שתף באמצעות

הגדרת המדיניות Microsoft Defender עבור נקודת קצה macOS ב- Jamf Pro

  • מאמר

חל על:

השתמש במאמר זה כדי להגדיר מדיניות עבור Defender for Endpoint ב- Mac באמצעות Jamf Pro.

שלב 1: קבלת Microsoft Defender עבור נקודת קצה הצירוף

  1. ב Microsoft Defender XDR, נווט אל צירוף > נקודות קצה > של הגדרות.

  2. בחר macOS כמערכת ההפעלה וב- Mobile ניהול מכשירים / Microsoft Intune כשיעולת הפריסה.

    הדף 'הגדרות'.

  3. בחר הורד חבילת צירוף (WindowsDefenderATPOnboardingPackage.zip).

  4. חלץ WindowsDefenderATPOnboardingPackage.zipאת .

  5. העתק את הקובץ למיקום המועדף עליך. לדוגמה: C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist

שלב 2: Create פרופיל תצורה ב- Jamf Pro באמצעות חבילת הצירוף

  1. אתר את הקובץ WindowsDefenderATPOnboarding.plist מהסעיף הקודם.

    הקובץ Windows Defender ATP Onboarding.

  2. היכנס אל Jamf Pro, נווט אל פרופילי תצורה>של מחשבים ובחר חדש.

    הדף שבו אתה יוצר לוח מחוונים חדש של Jamf Pro.

  3. הזן את הפרטים הבאים בכרטיסיה כללי :

    • שם:MDE onboarding for macOS
    • תיאור תיאור: MDE EDR onboarding for macOS
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer Level

  4. נווט אל הדף הגדרות & מותאמות אישית, בחר העלה ולאחר מכן בחר הוסף.

    יישום התצורה והגדרות מותאמות אישית.

  5. בחר העלה קובץ (קובץ PLIST) ולאחר מכן, בתחום העדפה, הקלד com.microsoft.wdav.atp.

    קובץ ההעלאה של jamfpro plist.

    קובץ רשימת מאפייני הקובץ של ההעלאה.

  6. בחר פתח ובחר את קובץ הצירוף.

    קובץ הצירוף.

  7. בחר העלה.

    קובץ ה- plist ה מעלה.

  8. בחר בכרטיסיה טווח .

    הכרטיסיה טווח.

  9. בחר את מחשבי היעד.

    מחשבי היעד.

    היעדים.

  10. לחץ שמור.

    הפריסה של מחשבי יעד.

    בחירת מחשבי היעד.

  11. בחר בוצע.

    המחשבים של קבוצת יעד.

    רשימת פרופילי התצורה.

שלב 3: קביעת Microsoft Defender עבור נקודת קצה ההגדרות

בשלב זה, לעבור על העדפות כך שתוכל לקבוע תצורה של מדיניות נגד תוכנות זדוניות ו- EDR באמצעות פורטל Microsoft Defender XDR (https://security.microsoft.com) או JamF.

חשוב

Microsoft Defender עבור נקודת קצה ניהול הגדרות אבטחה מקבלות עדיפות על-פני מדיניות JamF Set (ומדיניות MDM של צד שלישי אחר).

3א', 3א', 3א' הגדרת פריטי מדיניות באמצעות Microsoft Defender שלך

  1. בצע את ההנחיות במאמר קביעת Microsoft Defender עבור נקודת קצה ב- Intune לפני הגדרת מדיניות האבטחה באמצעות Microsoft Defender.

  2. בפורטל Microsoft Defender, עבור אל מדיניות>האבטחה של>Mac> עבור ניהול תצורה של נקודות קצה Create מדיניות חדשה.

  3. תחת בחר פלטפורמה, בחר macOS.

  4. תחת בחר תבנית, בחר תבנית ובחר Create מדיניות.

  5. ציין שם ותיאור עבור המדיניות ולאחר מכן בחר הבא.

  6. בכרטיסיה מטלות , הקצה את הפרופיל לקבוצה שבה ממוקמים מכשירי macOS ו/או המשתמשים, או כל המשתמשים וכלהמכשירים.

לקבלת מידע נוסף אודות ניהול הגדרות אבטחה, עיין במאמרים הבאים:

3ב', 3b.3b. הגדרת פריטי מדיניות באמצעות JamF

באפשרותך להשתמש ב- JAMF Pro GUI כדי לערוך הגדרות נפרדות של תצורת Microsoft Defender עבור נקודת קצה, או להשתמש בשיטה מדור קודם על-ידי יצירת רשימת תצורת Plist בעורך טקסט, והעלה אותה ל- JAMF Pro.

שים לב כי עליך להשתמש במדוייק com.microsoft.wdav כתחום העדפה; Microsoft Defender עבור נקודת קצה משתמש בשם זה בלבד כדי לטעון com.microsoft.wdav.ext את ההגדרות המנוהלות שלו.

(ניתן com.microsoft.wdav.ext להשתמש בגירסה במקרים נדירים כאשר אתה מעדיף להשתמש בפעולת השירות GUI, אך עליך גם לקבוע תצורה של הגדרה שעדיין לא נוספה לסכימה.)

שיטת GUI

  1. הורד schema.json ממאגר GitHub של Defender ושמור אותו בקובץ מקומי:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Create פרופיל תצורה חדש. תחת מחשבים, עבור אל פרופילי תצורה ולאחר מכן ציין את הפרטים הבאים בכרטיסיה כללי:

    פרופיל חדש.

    • שם:MDATP MDAV configuration settings
    • תיאור תיאור: <blank\>
    • קטגוריה:None (default)
    • רמה: Computer Level (default)
    • שיטת הפצה: Install Automatically (default)

  3. גלול מטה אל הכרטיסיה יישום & מותאמות אישית, בחר יישומים חיצוניים, בחר הוסף ולאחר מכן השתמש בסכימה מותאמת אישית כמקור עבור תחום ההעדפה.

    הוסף סכימה מותאמת אישית.

  4. הקלד com.microsoft.wdav עבור תחום העדפה, בחר הוסף סכימה ולאחר מכן העלה את schema.json הקובץ שהורד בשלב 1. לחץ שמור.

    העלה סכימה.

  5. באפשרותך לראות את כל ההגדרות הנתמכות Microsoft Defender עבור נקודת קצה התצורה תחת מאפייני תחום העדפה. בחר הוסף/הסר מאפיינים כדי לבחור את ההגדרות שברצונך לנהל ולאחר מכן בחר אישור כדי לשמור את השינויים. (ההגדרות שלא נבחרו אינן נכללות בתצורה המנוהלת, משתמש קצה יכול לקבוע הגדרות אלה במחשבים שלו.)

    ההגדרות המנוהלות שנבחרו.

  6. שנה את הערכים של ההגדרות לערכים הרצויים. באפשרותך לבחור מידע נוסף כדי לקבל תיעוד עבור הגדרה מסוימת. (באפשרותך לבחור תצוגה מקדימה של Plist כדי לבדוק איך תיראו רשימת התצורה. בחר עורך טפסים כדי לחזור לעורך החזותי.)

    הדף שבו אתה משנה את ערכי ההגדרות.

  7. בחר בכרטיסיה טווח .

    טווח פרופיל התצורה.

  8. בחר קבוצת מחשב של Contoso.

  9. בחר הוסף ולאחר מכן בחר שמור.

    הדף שבו באפשרותך להוסיף את הגדרות התצורה.

    הדף שבו באפשרותך לשמור את הגדרות התצורה.

  10. בחר בוצע. תראה את פרופיל התצורה החדש.

    הדף שבו אתה משלים את הגדרות התצורה.

Microsoft Defender עבור נקודת קצה מוסיף הגדרות חדשות לאורך זמן. הגדרות חדשות אלה מתווספות לסכימה, וגירסה חדשה פורסמה ב- GitHub. כדי לקבל עדכונים, הורד סכימה מעודכנת וערוך את פרופיל התצורה הקיים שלך. בכרטיסיה הגדרות מותאמות & אישית , בחר ערוך סכימה.

שיטה מדור קודם

  1. השתמש בהגדרות התצורה Microsoft Defender עבור נקודת קצה הבאות:

    • enableRealTimeProtection

    • passiveMode

      הערה

      לא מופעל כברירת מחדל, אם בכוונתך להפעיל אנטי-וירוס של ספק חיצוני עבור macOS, הגדר אותו כ- true.

    • exclusions

    • excludedPath

    • excludedFileExtension

    • excludedFileName

    • exclusionsMergePolicy

    • allowedThreats

      הערה

      אייקר הוא על המדגם, אם אתה עובר הוכחת רעיון, הסר אותו במיוחד אם אתה בודק את EICAR.

    • disallowedThreatActions

    • potentially_unwanted_application

    • archive_bomb

    • cloudService

    • automaticSampleSubmission

    • tags

    • hideStatusMenuIcon

    לקבלת מידע, ראה רשימת מאפיינים עבור פרופיל תצורה מלא JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. שמור את הקובץ כ- MDATP_MDAV_configuration_settings.plist.

  3. בלוח המחוונים Jamf Pro, פתח את מחשבים ואת פרופילי התצורה שלהם. בחר חדש ועבור לכרטיסיה כללי .

    הדף מציג פרופיל חדש.

  4. הזן את הפרטים הבאים בכרטיסיה כללי :

    • שם:MDATP MDAV configuration settings
    • תיאור תיאור: <blank>
    • קטגוריה:None (default)
    • שיטת הפצה: Install Automatically (default)
    • רמה: Computer Level (default)

  5. בתיבה הגדרות מותאמות & אישית, בחר קבע תצורה.

    הגדרות התצורה של MDATP MDAV.

    היישום וההגדרות המותאמות אישית.

  6. בחר העלה קובץ (קובץ PLIST).

    קובץ plist של הגדרות התצורה.

  7. בתחום Preferences, הקלד , com.microsoft.wdavולאחר מכן בחר Upload PLIST File.

    התחום של העדפות הגדרות התצורה.

  8. בחר בחר קובץ.

    הבקשה לבחור את קובץ ה- plist.

  9. בחר את MDATP_MDAV_configuration_settings.plist ולאחר מכן בחר פתח.

    הגדרות התצורה של mdatpmdav.

  10. בחר העלה.

    העלאת הגדרת התצורה.

    הבקשה להעלות את התמונה הקשורה להגדרות התצורה.

    הערה

    אם אתה מעלה את הקובץ Intune, תקבל את השגיאה הבאה:

    הבקשה להעלות את קובץ ה- intune הקשור להגדרות התצורה.

  11. לחץ שמור.

    האפשרות לשמור את התמונה הקשורה להגדרות התצורה.

  12. הקובץ מועלה.

    הקובץ שהועלה הקשור להגדרות התצורה.

    דף הגדרות התצורה.

  13. בחר בכרטיסיה טווח .

    הטווח עבור הגדרות התצורה.

  14. בחר קבוצת מחשב של Contoso.

  15. בחר הוסף ולאחר מכן בחר שמור.

    Addsav של הגדרות התצורה.

    ההודעה על הגדרות התצורה.

  16. בחר בוצע. אתה רואה את פרופיל התצורה החדש.

    תמונה של תמונת פרופיל התצורה של הגדרות התצורה.

שלב 4: קביעת תצורה של הגדרות הודעות

שלבים אלה ישימים ב- macOS 11 (Big Sur) ואילך.

  1. בלוח המחוונים Jamf Pro, בחר מחשבים, ולאחר מכן פרופילי תצורה.

  2. בחר חדש והזן את הפרטים הבאים בכרטיסיה כללי עבור אפשרויות:

    • שם:MDATP MDAV Notification settings

    • תיאור תיאור: macOS 11 (Big Sur) or later

    • קטגוריה:None *(default)*

    • שיטת הפצה: Install Automatically *(default)*

    • רמה: Computer Level *(default)*

      דף פרופיל התצורה החדש של macOS.

    • הודעות כרטיסיה, בחר הוסף והזן את הערכים הבאים:

      • מזהה חבילה: com.microsoft.wdav.tray

      • התראות קריטיות: בחר הפוך ללא זמין

      • הודעות: בחר הפוך לזמין

      • סוג התראת כרזה: בחר כלולוזמני(ברירת מחדל)

      • הודעות במסך הנעילה: בחר 'הסתר'

      • הודעות במרכז ההודעות: בחר תצוגה

      • סמל האפליקציה 'תג': בחר 'תצוגה'

        מגש ההודעות של mdatpmdav של הגדרות התצורה.

    • הודעות כרטיסיה, בחר הוסף פעם נוספת, גלול מטה אל הגדרות הודעות חדשות

      • מזהה חבילה: com.microsoft.autoupdate.fba

      • קבע את שאר ההגדרות לאותם ערכים שהוזכרו קודם לכן

        mdatpmdav notifications mau של הגדרות התצורה.

        שים לב מעתה יש לך שתי טבלאות עם תצורות של הודעות, אחת עבור Bundle ID: com.microsoft.wdav.tray וטבלה נוספת עבור Bundle ID: com.microsoft.autoupdate.fba. על אף שבאפשרותך לקבוע את תצורת הגדרות ההתראה לפי הדרישות שלך, על זהות החבילה להיות זהה בדיוק לאלו שתואר קודם לכן, ועל המתג Includeלהיות מופעל עבור הודעות.

  3. בחר בכרטיסיה טווח ולאחר מכן בחר הוסף.

    הדף שבו באפשרותך להוסיף ערכים עבור הגדרות התצורה.

  4. בחר קבוצת מחשב של Contoso.

  5. בחר הוסף ולאחר מכן בחר שמור.

    הדף שבו ניתן לשמור ערכים עבור קבוצת המחשב contoso של הגדרות התצורה.

    הדף המציג את הודעת ההשלמה של הגדרות התצורה.

  6. בחר בוצע. אתה אמור לראות את פרופיל התצורה החדש.

    הגדרות התצורה שהושלמו.

שלב 5: קביעת התצורה של Microsoft AutoUpdate (MAU)

  1. השתמש בהגדרות התצורה Microsoft Defender עבור נקודת קצה הבאות:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. שמור אותו כ- MDATP_MDAV_MAU_settings.plist.

  3. בלוח המחוונים Jamf Pro, בחר כללי.

    הגדרות התצורה.

  4. הזן את הפרטים הבאים בכרטיסיה כללי :

    • שם:MDATP MDAV MAU settings
    • תיאור תיאור: Microsoft AutoUpdate settings for MDATP for macOS
    • קטגוריה:None (default)
    • שיטת הפצה: Install Automatically (default)
    • רמה: Computer Level (default)

  5. ביישום, & הגדרות מותאמות אישית, בחר קבע תצורה.

    היישום והגדרת התצורה וההגדרות המותאמות אישית.

  6. בחר העלה קובץ (קובץ PLIST).

  7. בתיבה Preference Domain type com.microsoft.autoupdate2, ולאחר מכן בחר Upload PLIST File.

    תחום העדפת הגדרת התצורה.

  8. בחר בחר קובץ.

    הבקשה לבחור את הקובץ בנוגע להגדרת התצורה.

  9. בחר MDATP_MDAV_MAU_settings.plist.

    הגדרות mdatpmdavmau.

  10. בחר העלה. העלאת הקובץ בנוגע להגדרת תצורה.

    הדף המציג את אפשרות ההעלאה עבור הקובץ בנוגע להגדרת התצורה.

  11. לחץ שמור.

    הדף מציג את אפשרות השמירה עבור הקובץ בנוגע להגדרת תצורה.

  12. בחר בכרטיסיה טווח .

    הכרטיסיה טווח עבור הגדרות התצורה.

  13. בחר הוסף.

    האפשרות להוסיף יעדי פריסה.

    הדף שבו אתה מוסיף ערכים נוספים להגדרות התצורה.

    הדף שבו ניתן להוסיף ערכים נוספים להגדרות התצורה.

  14. בחר בוצע.

    הודעת ההשלמה בנוגע להגדרות התצורה.

שלב 6: הענק גישה מלאה לדיסק Microsoft Defender עבור נקודת קצה

  1. בלוח המחוונים Jamf Pro, בחר פרופילי תצורה.

    הפרופיל שעבורו יש לקבוע את תצורת ההגדרות.

  2. בחר + חדש.

  3. הזן את הפרטים הבאים בכרטיסיה כללי :

    • שם:MDATP MDAV - grant Full Disk Access to EDR and AV
    • תיאור תיאור: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer level

    הגדרת התצורה באופן כללי.

  4. תחת קבע תצורה של בקרת מדיניות העדפות פרטיות, בחר קבע תצורה.

    בקרת מדיניות הפרטיות של התצורה.

  5. ב בקרת מדיניות העדפות פרטיות, הזן את הפרטים הבאים:

    • מזהה:com.microsoft.wdav
    • סוג מזהה: Bundle ID
    • דרישת קוד: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    פרטי הבקרה של מדיניות העדפות הפרטיות של הגדרת התצורה.

  6. בחר + הוסף.

    הגדרת התצורה מוסיפה את אפשרות מדיניות המערכת של כל הקבצים.

    • תחת אפליקציה או שירות, בחר SystemPolicyAllFiles.
    • תחת גישה, בחר אפשר.

  7. בחר שמור (לא את האפשרות בפינה השמאלית התחתונה).

    פעולת השמירה עבור הגדרת התצורה.

  8. בחר את + הסימן לצד App Access כדי להוסיף ערך חדש.

    פעולת השמירה הקשורה להגדרת התצורה.

  9. הזן את הפרטים הבאים:

    • מזהה:com.microsoft.wdav.epsext
    • סוג מזהה: Bundle ID
    • דרישת קוד: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. בחר + הוסף.

    ערך epsext של הגדרת התצורה tcc.

    • תחת אפליקציה או שירות, בחר SystemPolicyAllFiles.
    • תחת גישה, בחר אפשר.

  11. בחר שמור (לא את האפשרות בפינה השמאלית התחתונה).

    המופע השני של הגדרת תצורה מסוג tcc epsext.

  12. בחר בכרטיסיה טווח .

    הדף המתאר את הטווח עבור הגדרת התצורה.

  13. בחר + הוסף.

    הדף המתאר את הגדרת התצורה.

  14. בחר מחשב קבוצות ולאחר מכן, תחת שם קבוצה, בחר קבוצת מחשב של Contoso.

    הגדרת התצורה של קבוצת מחשב contoso.

  15. בחר הוסף.

  16. לחץ שמור.

  17. בחר בוצע.

    הגדרת התצורה contoso machine-group.

    איור הגדרת התצורה.

לחלופין, באפשרותך להוריד fulldisk.mobileconfig ולהעלות אותו לפרופילי תצורה של JAMF כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

הערה

גישה מלאה לדיסק שהוענקה דרך פרופיל התצורה של Apple MDM אינה משתקפת בהגדרות המערכת => הגדרות & אבטחה => גישה לדיסק מלא.

שלב 7: אישור הרחבות מערכת עבור Microsoft Defender עבור נקודת קצה

  1. בפרופילי התצורה, בחר + חדש.

    התיאור של פרסום המדיה החברתית שנוצר באופן אוטומטי.

  2. הזן את הפרטים הבאים בכרטיסיה כללי :

    • שם:MDATP MDAV System Extensions
    • תיאור תיאור: MDATP system extensions
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer Level

    הפרופיל החדש sysext של הגדרות התצורה.

  3. ב'הרחבות מערכת', בחר קבע תצורה.

    החלונית עם האפשרות 'קבע תצורה' עבור הרחבות המערכת.

  4. בהרחבות מערכת, הזן את הפרטים הבאים:

    • שם תצוגה: Microsoft Corp. System Extensions
    • סוגי הרחבות מערכת: Allowed System Extensions
    • מזהה צוות: UBF8T346G9
    • הרחבות מערכת מותרות:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    חלונית הרחבות המערכת של MDATP MDAV.

  5. בחר בכרטיסיה טווח .

    חלונית הבחירה 'מחשבי יעד'.

  6. בחר + הוסף.

  7. בחר מחשב קבוצות> תחת שם קבוצה>, בחר קבוצת מחשב של Contoso.

  8. בחר + הוסף.

    החלונית פרופיל תצורה חדש של macOS.

  9. לחץ שמור.

    הצגת אפשרויות בנוגע להרחבות המערכת של MDATP MDAV.

  10. בחר בוצע.

    sysext של הגדרות התצורה - סופי.

שלב 8: קביעת תצורה של הרחבת רשת

כחלק מיכולות הזיהוי והתגובה של נקודות הקצה, Microsoft Defender עבור נקודת קצה ב- macOS בודק את תעבורת ה- Socket ומ מדווח על מידע זה לפורטל Microsoft Defender. המדיניות הבאה מאפשרת לסיומת הרשת לבצע פונקציונליות זו.

שלבים אלה ישימים ב- macOS 11 (Big Sur) ואילך.

  1. בלוח המחוונים Jamf Pro, בחר מחשבים, ולאחר מכן פרופילי תצורה.

  2. בחר חדש והזן את הפרטים הבאים עבור אפשרויות:

    • כרטיסיה כללי:

      • שם:Microsoft Defender Network Extension
      • תיאור תיאור: macOS 11 (Big Sur) or later
      • קטגוריה:None *(default)*
      • שיטת הפצה: Install Automatically *(default)*
      • רמה: Computer Level *(default)*

    • מסנן תוכן של כרטיסיה:

      • שם מסנן: Microsoft Defender Content Filter
      • מזהה:com.microsoft.wdav
      • השאר את 'כתובת שירות', 'ארגון', 'שם משתמש', 'סיסמה', 'אישור' ריק (האפשרות 'כלול' לא נבחרה)
      • סדר סינון: Inspector
      • מסנן שקע: com.microsoft.wdav.netext
      • דרישה ייעודית של מסנן Socket: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • השאר את שדות מסנן הרשת ריקים (האפשרותכלול לא נבחרה)

      שים לב כי הערכים המדויקיםשל הדרישה הייעודיתעבור מזהה , מסנן Socket ו- Socket מוגדרים, כפי שצוין לעיל.

      הגדרת התצורה של mdatpmdav.

  3. בחר בכרטיסיה טווח .

    הכרטיסיה sco של הגדרות התצורה.

  4. בחר + הוסף.

  5. בחר מחשב קבוצות> תחת שם קבוצה>, בחר קבוצת מחשב של Contoso.

  6. בחר + הוסף.

    הגדרות התצורה adim.

  7. לחץ שמור.

    החלונית מסנן תוכן.

  8. בחר בוצע.

    netext של הגדרות התצורה - סופי.

לחלופין, באפשרותך להוריד netfilter.mobileconfig ולהעלות אותו לפרופילי תצורה של JAMF כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

שלב 9: קביעת תצורה של שירותי רקע

זהירות

macOS 13 (Enhancement) מכיל שיפורי פרטיות חדשים. החל מגירסה זו, כברירת מחדל, יישומים אינם יכולים לפעול ברקע ללא הסכמה מפורשת. Microsoft Defender עבור נקודת קצה להפעיל את תהליך ה- Daemon שלו ברקע.

פרופיל תצורה זה מעניק הרשאות שירות ברקע Microsoft Defender עבור נקודת קצה. אם הגדרת בעבר את Microsoft Defender עבור נקודת קצה JAMF, מומלץ לעדכן את הפריסה עם פרופיל תצורה זה.

הורד background_services.mobileconfigממאגר GitHub שלנו.

Upload downloaded mobileconfig to JAMF Configuration Profiles as described in Deploying Custom Configuration Profiles using Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

שלב 10: הענקת הרשאות Bluetooth

זהירות

macOS 14 (Sonoma) מכיל שיפורי פרטיות חדשים. החל מגירסה זו, כברירת מחדל, לאפליקציות אין אפשרות לגשת ל- Bluetooth ללא הסכמה מפורשת. Microsoft Defender עבור נקודת קצה משתמשת בו אם אתה קובע את התצורה של מדיניות Bluetooth עבור בקרת התקן.

הורד את bluetooth.mobileconfigממאגר GitHub.

אזהרה

הגירסה הנוכחית של JAMF Pro אינה תומכת עדיין במטען מסוג זה. אם אתה מעלה תצורה ניידת זו כפי שהיא, JAMF Pro יסיר תוכן מנה שאינו נתמך, והוא לא יחול על מחשבי לקוח. עליך לחתום תחילה על התצורה הניידת שהורדת, לאחר ש- JAMF Pro ישקול אותה כ"חתומה" ולא תקבע שלא כדין. עיין בהוראות שלהלן:

  • דרוש לך לפחות אישור חתימה אחד מותקן ב- KeyChain שלך, אפילו אישור בחתימה עצמית פועל. באפשרותך לבדוק מה יש לך עם:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

  • בחר כל אחד מהם וספק את הטקסט הגרשי בפרמטר -N:

    /usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

  • כעת באפשרותך להעלות את ה- bluetooth-signed.mobileconfig שנוצר ל- JAMF Pro כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

    הערה

    Bluetooth המוענק דרך פרופיל התצורה של Apple MDM אינו בא לידי ביטוי בהגדרות המערכת => הגדרות & אבטחה => Bluetooth.

שלב 11: תזמון סריקות באמצעות Microsoft Defender עבור נקודת קצה ב- macOS

בצע את ההוראות בנושא תזמון סריקות באמצעות Microsoft Defender עבור נקודת קצה ב- macOS.

שלב 12: פריסת Microsoft Defender עבור נקודת קצה ב- macOS

הערה

בשלבים הבאים, שם הקובץ .pkg והערכים של שם התצוגה הם דוגמאות. בדוגמאות אלה, 200329 מייצג את התאריך שבו החבילה והמדיניות נוצרו (yymmddבתבנית), v100.86.92 ומייצג את הגירסה של Microsoft Defender היישום שנפרס. יש לעדכן ערכים אלה כדי לפעול לפי מוסכמת מתן השמות שבה אתה משתמש בסביבה שלך עבור חבילות ומדיניות.

  1. נווט אל המקום שבו שמרת את wdav.pkg.

    חבילת wdav של סייר הקבצים.

  2. שנה את שמו ל- wdav_MDM_Contoso_200329.pkg.

    חבילת wdavmdm של סייר הקבצים1.

  3. פתח את לוח המחוונים Jamf Pro.

    הגדרות התצורה עבור jamfpro.

  4. בחר את המחשב שלך ובחר את סמל גלגל השיניים בחלק העליון ולאחר מכן בחר ניהול מחשב.

    הגדרות התצורה - ניהול מחשב.

  5. בחבילות, בחר + חדש.

    תיאור הציפור עבור חבילה שנוצרה באופן אוטומטי.

  6. בכרטיסיה כללי , הזן את הפרטים הבאים בחבילה חדשה:

    • שם תצוגה: השאר אותו ריק כעת. מאחר שהוא מאופס בעת בחירת ה- pkg שלך.
    • קטגוריה:None (default)
    • שם קובץ: Choose File

    הכרטיסיה 'כללי' עבור הגדרות תצורה.

    פתח את הקובץ והצבע עליו אל wdav.pkg או wdav_MDM_Contoso_200329.pkg.

    מסך המחשב מציג את התיאור של חבילה שנוצרה באופן אוטומטי.

  7. בחר באפשרות פתח. הגדר את שם התצוגה כך Microsoft DefenderAdvanced Threat Protection Microsoft Defender Antivirus.

    • קובץ מניפסט אינו נדרש. Microsoft Defender עבור נקודת קצה פועל ללא קובץ מניפסט.
    • הכרטיסיה אפשרויות: שמור ערכי ברירת מחדל.
    • הכרטיסיה מגבלות: שמור ערכי ברירת מחדל.

    הכרטיסיה 'מגבלה' עבור הגדרות התצורה.

  8. לחץ שמור. החבילה מועלת ל- Jamf Pro.

    תהליך העלאת ערכת הגדרות התצורה עבור החבילה הקשורה להגדרות התצורה.

    ייתכן שהחבילה תהיה זמינה לפריסה בתוך כמה דקות.

    מופע של העלאת החבילה עבור הגדרות תצורה.

  9. נווט אל הדף פריטי מדיניות.

    פריטי המדיניות של הגדרות התצורה.

  10. בחר + חדש כדי ליצור מדיניות חדשה.

    מדיניות חדשה של הגדרות תצורה.

  11. באופן כללי, עבור שם התצוגה, השתמש ב- MDATP Onboarding Contoso 200329 v100.86.92 or later.

    הגדרות התצורה - MDATP קלוט.

  12. בחר צ'ק-אין חוזר.

    הכניסה החוזרת עבור הגדרות התצורה.

  13. לחץ שמור.

  14. בחר חבילות הגדר>.

    האפשרות לקבוע תצורה של חבילות.

  15. בחר בלחצן הוסף לצד הגנה Microsoft Defender מתקדמת מפני איומים Microsoft Defender אנטי-וירוס.

    האפשרות להוסיף הגדרות נוספות ל- MDATP MDA.

  16. לחץ שמור.

    אפשרות השמירה עבור הגדרות התצורה.

  17. Create קבוצה חכמה עבור מחשבים Microsoft Defender פרופילים.

    לקבלת חוויית משתמש טובה יותר, יש להתקין פרופילי תצורה למחשבים רשומים Microsoft Defender החבילה של המשתמש. ברוב המקרים, JAMF Pro דוחף פרופילי תצורה באופן מיידי, ומדיניות זו מבוצעת לאחר זמן מה (לדוגמה, במהלך הצ'ק-אין). עם זאת, במקרים מסוימים, ניתן לפרוס פריסת פרופילי תצורה בעיכוב משמעותי (לדוגמה, אם מחשב של משתמש נעול).

    JAMF Pro מספק דרך להבטיח את הסדר הנכון. באפשרותך ליצור קבוצה חכמה עבור מחשבים שכבר קיבלו את פרופיל התצורה של Microsoft Defender, ולהתקין את החבילה של Microsoft Defender במחשבים אלה בלבד (ברגע שהם מקבלים פרופיל זה).

    בצע שלבים אלה:

    1. Create קבוצה חכמה. בחלון דפדפן חדש, פתח את מחשבים חכמים קבוצות.

    2. בחר חדש ותן לקבוצה שלך שם.

    3. בכרטיסיה קריטריונים , בחר הוסף ולאחר מכן בחר הצג קריטריונים מתקדמים.

    4. בחר שם פרופיל כקריטריון והשתמש בשם של פרופיל תצורה שנוצר בעבר כערך:

      יוצר קבוצה חכמה.

    5. לחץ שמור.

    6. חזור לחלון שבו אתה קובע את התצורה של מדיניות חבילה.

  18. בחר בכרטיסיה טווח .

    הכרטיסיה טווח הקשורה להגדרות התצורה.

  19. בחר את מחשבי היעד.

    האפשרות להוסיף קבוצות מחשבים.

    תחת טווח, בחר הוסף.

    הגדרות התצורה - ad1.

    עבור אל הכרטיסיה קבוצות מחשב. אתר את הקבוצה החכמה שיצרת ולאחר מכן בחר הוסף.

    הגדרות התצורה - ad2.

    אם ברצונך שמשתמשים יתקינו את Defender עבור נקודת קצה מרצונך (או לפי דרישה), בחר שירות עצמי.

    הכרטיסיה 'שירות עצמי' עבור הגדרות תצורה.

  20. בחר בוצע.

    מצב הצירוף של Contoso כולל אפשרות להשלים אותו.

    דף המדיניות.

טווח פרופיל תצורה

JAMF דורש ממך להגדיר ערכת מחשבים עבור פרופיל תצורה. עליך לוודא שכל המחשבים המקבלים את החבילה של Defender יקבלו גם את כל פרופילי התצורה המפורטים לעיל.

אזהרה

JAMF תומך בהגדרות קבוצות המאפשרות פריסה, כגון פרופילי תצורה או פריטי מדיניות לכל המחשבים התואמים לקריטריונים מסוימים, מוערכים באופן דינאמי. זהו רעיון רב-עוצמה המשמש בהיקף נרחב להפצה של פרופילי תצורה.

עם זאת, זכור שקריטריונים אלה אינם צריכים לכלול נוכחות של Defender במחשב. בעת השימוש בקריטריון זה עשוי להישמע הגיוני, הוא יוצר בעיות שקשה לאבחן.

Defender מסתמך על כל הפרופילים האלה ברגע ההתקנה שלו. יצירת פרופילי תצורה, בהתאם לנוכחות של Defender, מעכבת ביעילות את הפריסה של פרופילי תצורה, וגורמת למוצר לא תקני בהתחלה ו/או להנחיות לאישור ידני של הרשאות אפליקציה מסוימות, שאושרה באופן אוטומטי על-ידי פרופילים.

פריסת מדיניות עם Microsoft Defender לאחר פריסת פרופילי תצורה מבטיחה את החוויה הטובה ביותר של משתמש הקצה, מכיוון שכל התצורות הנדרשות יוחלו לפני התקנות החבילה.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.