פריסה עם מערכת אחרת של ניהול מכשירים (MDM) Microsoft Defender עבור נקודת קצה ב- macOS

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

דרישות מוקדמות ודרישות מערכת

לפני שתתחיל, עיין בדף Microsoft Defender עבור נקודת קצה macOS לקבלת תיאור של דרישות מוקדמות ודרישות המערכת עבור גירסת התוכנה הנוכחית.

גישה

זהירות

בשלב זה, Microsoft תומכת באופן רשמי Intune ו- JAMF לפריסה ולהנהלה של Microsoft Defender עבור נקודת קצה ב- macOS. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המפורט להלן.

אם הארגון שלך משתמש בפתרון ניהול מכשירים נייד (MDM) שאינו נתמך באופן רשמי, זה לא אומר שאינך יכול לפרוס או להפעיל Microsoft Defender עבור נקודת קצה ב- macOS.

Microsoft Defender עבור נקודת קצה ב- macOS אינו תלוי בתכונות ספציפיות לספק. ניתן להשתמש בו עם כל פתרון MDM התומך בתכונות הבאות:

• פרוס macOS .pkg למכשירים מנוהלים.
• פרוס פרופילי תצורת מערכת של macOS למכשירים מנוהלים.
• הפעל כלי/קובץ Script שרירותי שתצורתו נקבעה על-ידי מנהל מערכת במכשירים מנוהלים.

רוב פתרונות MDM המודרניים כוללים תכונות אלה, עם זאת, הם עשויים לקרוא להם באופן שונה.

עם זאת, באפשרותך לפרוס את Defender for Endpoint ללא הדרישה האחרונה מהרשימה הקודמת:

• לא תוכל לאסוף מצב באופן מרוכז.
• אם תחליט להסיר את ההתקנה של Defender for Endpoint, תצטרך להיכנס למכשיר הלקוח באופן מקומי כמנהל מערכת.

פריסה

רוב פתרונות MDM משתמשים באותו מודל לניהול מכשירי macOS, עם מינוח דומה. השתמש בפריסה מבוססת-JAMF כתבנית.

חבילת

קבע תצורה של פריסה של חבילת יישום נדרשת, עם הורדת חבילת ההתקנה (wdav.pkg) Microsoft Defender הפורטל.

אזהרה

אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.

כדי לפרוס את החבילה בארגון שלך, השתמש בהוראות המשויכות לפתרון MDM שלך.

הגדרות רשיון

הגדר פרופיל תצורת מערכת.

פתרון MDM שלך עשוי לקרוא לו משהו כמו "פרופיל הגדרות מותאמות אישית", Microsoft Defender עבור נקודת קצה ב- macOS אינו חלק מ- macOS.

השתמש ברשימת המאפיינים, jamf/WindowsDefenderATPOnboarding.plist, שניתן לחלץ מחבילה צירוף שהורדת מפורטל Microsoft Defender שלך. המערכת שלך עשויה לתמוך ברשימת מאפיינים שרירותית בתבנית XML. באפשרותך להעלות את קובץ jamf/WindowsDefenderATPOnboarding.plist כפי שהוא במקרה זה. לחלופין, ייתכן שתידרש להמיר תחילה את רשימת המאפיינים לתבנית אחרת.

בדרך כלל, הפרופיל המותאם אישית שלך כולל תכונת מזהה, שם או תחום. עליך להשתמש בדיוק ב- "com.microsoft.wdav.atp" עבור ערך זה. MDM משתמש בו כדי לפרוס את קובץ ההגדרות ב- /Library/Managed Preferences/com.microsoft.wdav.atp.plist במכשיר לקוח, ו- Defender for Endpoint משתמש בקובץ זה לטעינת פרטי הצירוף.

פרופילי תצורת מערכת

macOS דורש שמשתמש יאשר באופן ידני ובמפורש פונקציות מסוימות שיישום משתמש אותן, לדוגמה, הרחבות מערכת הפועלות ברקע, שליחת הודעות, גישה מלאה לדיסקים וכו'. Microsoft Defender עבור נקודת קצה מסתמך על פונקציות אלה, ולא יוכל לפעול כהלכה עד שכל ההסכמים האלה יתקבלו ממשתמש.

כדי להעניק הסכמה באופן אוטומטי בשמו של משתמש, מנהל מערכת דוחף מדיניות מערכת באמצעות מערכת MDM שלו. זו הפעולות שאנו ממליצים לבצע, במקום להשתמש באיש אישורי קצה ידניים.

אנו מספקים את כל פריטי המדיניות Microsoft Defender עבור נקודת קצה כקבצים ניידים הזמינים בכתובת https://github.com/microsoft/mdatp-xplat. Mobileconfig היא תבנית ייבוא/ייצוא של Apple ש- Apple Configurator או מוצרים אחרים כגון iMazing Profile עורך תמיכה.

רוב ספקי MDM תומכים בייבוא קובץ תצורה למכשירים ניידים אשר יוצר פרופיל תצורה מותאם אישית חדש.

כדי להגדיר פרופילים:

1. גלה כיצד מתבצע ייבוא תצורה למכשירים ניידים עם ספק ה- MDM שלך.
2. עבור כל הפרופילים מ- https://github.com/microsoft/mdatp-xplat, הורד קובץ תצורה למכשירים ניידים ויבא אותו.
3. הקצה טווח מתאים עבור כל פרופיל תצורה שנוצר.

שים לב ש- Apple יוצרת באופן קבוע סוגים חדשים של תוכן תוכן עם גירסאות חדשות של מערכת הפעלה. יהיה עליך לבקר בדף שהוזכר לעיל ולפרסם פרופילים חדשים ברגע שהם הופכים לזמינים. אנו נפרסם הודעות בדף 'מה חדש' שלנו לאחר שנבצע שינויים באופן זה.

הגדרות תצורה של Defender for Endpoint

כדי לפרוס Microsoft Defender עבור נקודת קצה התצורה, דרוש לך פרופיל תצורה.

השלבים הבאים מראים כיצד להחיל ולאמת החלת פרופיל תצורה.

1. MDM פורס פרופיל תצורה במחשבים רשומים באפשרותך להציג פרופילים בפרופילי הגדרות > מערכת. חפש את השם שבו השתמשת עבור Microsoft Defender עבור נקודת קצה התצורה שלך. אם אינך רואה אותו, עיין בתיעוד MDM לקבלת עצות לפתרון בעיות.

2. פרופיל התצורה מופיע בקובץ הנכון

Microsoft Defender עבור נקודת קצה קורא וקבצים /Library/Managed Preferences/com.microsoft.wdav.plist/Library/Managed Preferences/com.microsoft.wdav.ext.plist. הוא משתמש בשני קבצים אלה בלבד עבור הגדרות מנוהלות.

אם אינך רואה קבצים אלה, אך אימתת שהפרופילים נמסרו (עיין בסעיף הקודם), פירוש הדבר שהפרופילים שלך הוגנו באופן שגוי. יצרת פרופיל תצורה זה כ"רמת משתמש" במקום "רמת מחשב", או שהשתמשת בתחום העדפה אחר במקום בתחום ההעדפות ש- Microsoft Defender עבור נקודת קצה מצפה לו ("com.microsoft.wdav" ו- "com.microsoft.wdav.ext").

עיין בתיעוד MDM לקבלת מידע על אופן הגדרת פרופילי תצורת היישום.

3. פרופיל התצורה מכיל את המבנה הצפוי

אימות שלב זה עשוי להיות מסובך. Microsoft Defender עבור נקודת קצה מצפה ל- com.microsoft.wdav.plist עם מבנה קפדני. אם תמקם הגדרות במקום בלתי צפוי, או אם איית אותן באופן שגוי, או תשתמש בסוג לא חוקי, המערכת תתעלם מההגדרות באופן שקט.

1. באפשרותך לבדוק ולא mdatp health לאשר שההגדרות שתצורתן דווחו כ- [managed].
2. באפשרותך לבדוק את התוכן של /Library/Managed Preferences/com.microsoft.wdav.plist ולהוודא שהוא תואם להגדרות הצפויות:

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

באפשרותך להשתמש במבנה פרופיל התצורה שתואר כקווים מנחים.

מאמר זה מסביר כי "antivirusEngine", "edr", "tamperProtection" הן הגדרות ברמה העליונה של קובץ התצורה. כמו כן, לדוגמה, "scanHistoryMaximumItems" נמצא ברמה השניה וסוג המספר השלם.

מידע זה אמור להופיע בפלט של הפקודה הקודמת. אם מצאת כי "antivirusEngine" מקונן תחת הגדרה אחרת מסוימת - אז הפרופיל אינו מוגדר כהלכה. אם אתה רואה את הטקסט "antivirusengine" במקום "antivirusEngine", השם מאוית באופן שגוי ותתעלם מכל עץ המשנה של ההגדרות. אם "scanHistoryMaximumItems" => "10000"נעשה שימוש בסוג שגוי וההגדרה תתעלם.

ודא שכל הפרופילים נפרסים

באפשרותך להוריד ולהפעיל analyze_profiles.py. קובץ Script זה יאסוף וינתח את כל הפרופילים שנפרסו במחשב ויזהיר אותך לגבי הפרופילים שלא נענו. שים לב שהיא עשויה להחמיץ שגיאות מסוימות, והיא אינה מודעת להחלטות עיצוב מסוימות שמנהלי המערכת עושים באופן מכוון. השתמש בקובץ Script זה לקבלת הדרכה, אך בדוק תמיד אם אתה רואה משהו מסומן כשגיאה. לדוגמה, מדריך הצירוף מורה לך לפרוס פרופיל תצורה עבור blob של צירוף. עם זאת, ארגונים מסוימים מחליטים להפעיל את קובץ ה- Script של צירוף ידני במקום זאת. analyze_profile.py מזהיר אותך לגבי הפרופיל שלא נענו. באפשרותך להחליט להתווסף באמצעות פרופיל תצורה, או להתעלם לחלוטין מההזהרה.

בדוק את מצב ההתקנה

הפעל Microsoft Defender עבור נקודת קצה במכשיר לקוח כדי לבדוק את מצב הצירוף.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.