שתף באמצעות

הגדרת המדיניות Microsoft Defender עבור נקודת קצה macOS ב- Jamf Pro

  • מאמר

חל על:

השתמש במאמר זה כדי להגדיר מדיניות עבור Defender for Endpoint ב- Mac באמצעות Jamf Pro.

שלב 1: קבלת Microsoft Defender עבור נקודת קצה הצירוף

חשוב

דרוש לך תפקיד מתאים לצורך הצגה, ניהול וצירוף של מכשירים. לקבלת מידע נוסף, ראה ניהול גישה Microsoft Defender XDR עם Microsoft Entra כלליים.

  1. בפורטל Microsoft Defender, נווט אל צירוף>נקודות קצה>של הגדרות.

  2. בחר macOS כמערכת ההפעלה וב- Mobile ניהול מכשירים / Microsoft Intune כשיעולת הפריסה.

    הדף 'הגדרות'.

  3. בחר הורד חבילת צירוף (WindowsDefenderATPOnboardingPackage.zip).

  4. חלץ WindowsDefenderATPOnboardingPackage.zipאת .

  5. העתק את הקובץ למיקום המועדף עליך. לדוגמה: C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist

שלב 2: יצירת פרופיל תצורה ב- Jamf Pro באמצעות חבילת הצירוף

  1. אתר את הקובץ WindowsDefenderATPOnboarding.plist מהסעיף הקודם.

    קובץ הצירוף של Windows Defender ATP.

  2. היכנס אל Jamf Pro, נווט אל פרופילי תצורה>של מחשבים ובחר חדש.

    הדף שבו אתה יוצר לוח מחוונים חדש של Jamf Pro.

  3. בכרטיסיה כללי , ציין את הפרטים הבאים:

    • שם:MDE onboarding for macOS
    • תיאור תיאור: MDE EDR onboarding for macOS
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer Level

  4. נווט אל הדף הגדרות & מותאמות אישית, בחר העלה ולאחר מכן בחר הוסף.

    יישום התצורה והגדרות מותאמות אישית.

  5. בחר העלה קובץ (קובץ PLIST) ולאחר מכן, בתחום העדפה, הקלד com.microsoft.wdav.atp.

    קובץ ההעלאה של jamfpro plist.

    קובץ רשימת מאפייני הקובץ של ההעלאה.

  6. בחר פתח ובחר את קובץ הצירוף.

    קובץ הצירוף.

  7. בחר העלה.

    קובץ ה- plist ה מעלה.

  8. בחר בכרטיסיה טווח .

    הכרטיסיה טווח.

  9. בחר את מחשבי היעד.

    מחשבי היעד.

    היעדים.

  10. לחץ שמור.

    הפריסה של מחשבי יעד.

    בחירת מחשבי היעד.

  11. בחר בוצע.

    המחשבים של קבוצת יעד.

    רשימת פרופילי התצורה.

שלב 3: קביעת Microsoft Defender עבור נקודת קצה ההגדרות

בשלב זה, תדלג על העדפות כדי שתוכל לקבוע את התצורה של פריטי מדיניות למניעת תוכנות זדוניות ו- EDR באמצעות Microsoft Defender XDR (https://security.microsoft.com) או Jamf.

חשוב

Microsoft Defender עבור נקודת קצה ניהול הגדרות אבטחה מקבלות עדיפות על-פני מדיניות Jamf set (ומדיניות MDM של צד שלישי אחר).

3א', 3א', 3א' הגדרת פריטי מדיניות באמצעות Microsoft Defender שלך

  1. בצע את ההנחיות במאמר קביעת Microsoft Defender עבור נקודת קצה ב- Intune לפני הגדרת מדיניות האבטחה באמצעות Microsoft Defender.

  2. בפורטל Microsoft Defender, עבור אל מדיניות>האבטחה של Mac עבור> ניהול תצורהשל נקודת קצה יצירת>מדיניות חדשה.

  3. תחת בחר פלטפורמה, בחר macOS.

  4. תחת בחר תבנית, בחר תבנית ובחר צור מדיניות.

  5. ציין שם ותיאור עבור המדיניות ולאחר מכן בחר הבא.

  6. בכרטיסיה מטלות , הקצה את הפרופיל לקבוצה שבה ממוקמים מכשירי macOS ו/או המשתמשים, או כל המשתמשים וכלהמכשירים.

לקבלת מידע נוסף אודות ניהול הגדרות אבטחה, עיין במאמרים הבאים:

3ב', 3b.3b. הגדרת פריטי מדיניות באמצעות Jamf

באפשרותך להשתמש ב- Jamf Pro GUI כדי לערוך הגדרות נפרדות של תצורת Microsoft Defender עבור נקודת קצה, או להשתמש בשיטה מדור קודם על-ידי יצירת רשימת תצורה של Plist בעורך טקסט, והעלה אותה ל- Jamf Pro.

עליך להשתמש במדוייק com.microsoft.wdavכתחום העדפה. Microsoft Defender עבור נקודת קצה משתמש בשם זה בלבד כדי לטעון com.microsoft.wdav.ext את ההגדרות המנוהלות שלו. (ניתן com.microsoft.wdav.ext להשתמש בגירסה במקרים נדירים כאשר אתה מעדיף להשתמש בפעולת השירות GUI, אך עליך גם לקבוע תצורה של הגדרה שעדיין לא נוספה לסכימה.)

שיטת GUI

  1. הורד את schema.json הקובץ ממאגר GitHub של Defender ושמור אותו בקובץ מקומי:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. צור פרופיל תצורה חדש. תחת מחשבים, עבור אל פרופילי תצורה ולאחר מכן, בכרטיסיה כללי, ציין את הפרטים הבאים:

    פרופיל חדש.

    • שם:MDATP MDAV configuration settings
    • תיאור תיאור: <blank\>
    • קטגוריה:None (default)
    • רמה: Computer Level (default)
    • שיטת הפצה: Install Automatically (default)

  3. גלול מטה אל הכרטיסיה יישום & מותאמות אישית, בחר יישומים חיצוניים, בחר הוסף ולאחר מכן השתמש בסכימה מותאמת אישית כמקור עבור תחום ההעדפה.

    הוסף סכימה מותאמת אישית.

  4. הקלד com.microsoft.wdav עבור תחום העדפה, בחר הוסף סכימה ולאחר מכן העלה את schema.json הקובץ שהורד בשלב 1. לחץ שמור.

    העלה סכימה.

  5. באפשרותך לראות את כל ההגדרות הנתמכות Microsoft Defender עבור נקודת קצה התצורה תחת מאפייני תחום העדפה. בחר הוסף/הסר מאפיינים כדי לבחור את ההגדרות שברצונך לנהל ולאחר מכן בחר אישור כדי לשמור את השינויים. (ההגדרות שלא נבחרו אינן נכללות בתצורה המנוהלת, משתמש קצה יכול לקבוע הגדרות אלה במחשבים שלו.)

    ההגדרות המנוהלות שנבחרו.

  6. שנה את הערכים של ההגדרות לערכים הרצויים. באפשרותך לבחור מידע נוסף כדי לקבל תיעוד עבור הגדרה מסוימת. (באפשרותך לבחור תצוגה מקדימה של Plist כדי לבדוק מה התצורה plist. בחר עורך טפסים כדי לחזור לעורך החזותי.)

    הדף שבו אתה משנה את ערכי ההגדרות.

  7. בחר בכרטיסיה טווח .

    טווח פרופיל התצורה.

  8. בחר קבוצת מחשב של Contoso. בחר הוסף ולאחר מכן בחר שמור.

    הדף שבו באפשרותך להוסיף את הגדרות התצורה.

    הדף שבו באפשרותך לשמור את הגדרות התצורה.

  9. בחר בוצע. אתה רואה את פרופיל התצורה החדש.

    הדף שבו אתה משלים את הגדרות התצורה.

Microsoft Defender עבור נקודת קצה מוסיף הגדרות חדשות לאורך זמן. הגדרות חדשות אלה מתווספות לסכימה, וגירסה חדשה פורסמה ב- GitHub. כדי לקבל עדכונים, הורד סכימה מעודכנת וערוך את פרופיל התצורה הקיים שלך. בכרטיסיה הגדרות מותאמות & אישית , בחר ערוך סכימה.

שיטה מדור קודם

  1. השתמש בהגדרות התצורה Microsoft Defender עבור נקודת קצה הבאות:

    • enableRealTimeProtection
    • passiveMode (הגדרה זו אינה מופעלת כברירת מחדל. אם אתה מתכנן להפעיל תוכנת אנטי-וירוס שאינה של Microsoft ב- Mac, הגדר אותה ל- true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats אייקאר נמצא על המדגם. אם אתה עובר הגהה לרעיון, הסר אותו במיוחד אם אתה בודק את EICAR.)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    לקבלת מידע נוסף, ראה רשימת מאפיינים עבור פרופיל תצורה מלא Jamf.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. שמור את הקובץ כ- MDATP_MDAV_configuration_settings.plist.

  3. בלוח המחוונים Jamf Pro, פתח את מחשבים ואת פרופילי התצורה שלהם. בחר חדש ועבור לכרטיסיה כללי .

    הדף מציג פרופיל חדש.

  4. בכרטיסיה כללי , ציין את הפרטים הבאים:

    • שם:MDATP MDAV configuration settings
    • תיאור תיאור: <blank>
    • קטגוריה:None (default)
    • שיטת הפצה: Install Automatically (default)
    • רמה: Computer Level (default)

  5. בתיבה הגדרות מותאמות & אישית, בחר קבע תצורה.

    הגדרות התצורה של MDATP MDAV.

    היישום וההגדרות המותאמות אישית.

  6. בחר העלה קובץ (קובץ PLIST).

    קובץ plist של הגדרות התצורה.

  7. בתחום Preferences, הקלד , com.microsoft.wdavולאחר מכן בחר Upload PLIST File.

    התחום של העדפות הגדרות התצורה.

  8. בחר בחר קובץ.

    הבקשה לבחור את קובץ ה- plist.

  9. בחר את MDATP_MDAV_configuration_settings.plist ולאחר מכן בחר פתח.

    הגדרות התצורה של mdatpmdav.

  10. בחר העלה.

    העלאת הגדרת התצורה.

    הבקשה להעלות את התמונה הקשורה להגדרות התצורה.

    הערה

    אם אתה מעלה את הקובץ Intune, תקבל את השגיאה הבאה:

    הבקשה להעלות את קובץ ה- intune הקשור להגדרות התצורה.

  11. לחץ שמור.

    האפשרות לשמור את התמונה הקשורה להגדרות התצורה.

  12. הקובץ מועלה.

    הקובץ שהועלה הקשור להגדרות התצורה.

    דף הגדרות התצורה.

  13. בחר בכרטיסיה טווח .

    הטווח עבור הגדרות התצורה.

  14. בחר קבוצת מחשב של Contoso. בחר הוסף ולאחר מכן בחר שמור.

    Addsav של הגדרות התצורה.

    ההודעה על הגדרות התצורה.

  15. בחר בוצע. אתה רואה את פרופיל התצורה החדש.

תמונה של תמונת פרופיל התצורה של הגדרות התצורה.

שלב 4: קביעת תצורה של הגדרות הודעות

הערה

שלבים אלה ישימים ב- macOS 11 (Big Sur) ואילך. למרות ש- Jamf תומך בהודעות ב- macOS גירסה 10.15 ואילך, Defender for Endpoint ב- Mac דורש macOS 11 ואילך.

  1. בלוח המחוונים Jamf Pro, בחר מחשבים, ולאחר מכן פרופילי תצורה.

  2. בחר חדש ולאחר מכן, בכרטיסיה כללי ,עבור אפשרויות, ציין את הפרטים הבאים:

    • שם:MDATP MDAV Notification settings

    • תיאור תיאור: macOS 11 (Big Sur) or later

    • קטגוריה:None *(default)*

    • שיטת הפצה: Install Automatically *(default)*

    • רמה: Computer Level *(default)*

      דף פרופיל התצורה החדש של macOS.

  3. בכרטיסיה הודעות , בחר הוסף וציין את הערכים הבאים:

    • מזהה חבילה: com.microsoft.wdav.tray
    • התראות קריטיות: בחר הפוך ללא זמין
    • הודעות: בחר הפוך לזמין
    • סוג התראת כרזה: בחר כלולוזמני(ברירת מחדל)
    • הודעות במסך הנעילה: בחר 'הסתר'
    • הודעות במרכז ההודעות: בחר תצוגה
    • סמל האפליקציה 'תג': בחר 'תצוגה'

    מגש ההודעות של mdatpmdav של הגדרות התצורה.

  4. בכרטיסיה הודעות, בחר הוסף פעם נוספת ולאחר מכן גלול מטה אל הגדרות הודעות חדשות.

    • מזהה חבילה: com.microsoft.autoupdate.fba

  5. קבע את שאר ההגדרות לאותם ערכים שהוזכרו קודם לכן

    mdatpmdav notifications mau של הגדרות התצורה.

    שים לב מעתה יש לך שתי טבלאות עם תצורות של הודעות, אחת עבור Bundle ID: com.microsoft.wdav.tray וטבלה נוספת עבור Bundle ID: com.microsoft.autoupdate.fba. על אף שבאפשרותך לקבוע את תצורת הגדרות ההתראה לפי הדרישות שלך, על זהות החבילה להיות זהה בדיוק לאלו שתואר קודם לכן, ועל המתג Includeלהיות מופעל עבור הודעות.

  6. בחר בכרטיסיה טווח ולאחר מכן בחר הוסף.

    הדף שבו באפשרותך להוסיף ערכים עבור הגדרות התצורה.

  7. בחר קבוצת מחשב של Contoso. בחר הוסף ולאחר מכן בחר שמור.

    הדף שבו ניתן לשמור ערכים עבור קבוצת המחשב contoso של הגדרות התצורה.

    הדף המציג את הודעת ההשלמה של הגדרות התצורה.

  8. בחר בוצע. אתה אמור לראות את פרופיל התצורה החדש.

    הגדרות התצורה שהושלמו.

שלב 5: קביעת התצורה של Microsoft AutoUpdate (MAU)

  1. השתמש בהגדרות התצורה Microsoft Defender עבור נקודת קצה הבאות:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. שמור אותו כ- MDATP_MDAV_MAU_settings.plist.

  3. בלוח המחוונים Jamf Pro, בחר כללי.

    הגדרות התצורה.

  4. בכרטיסיה כללי , ציין את הפרטים הבאים:

    • שם:MDATP MDAV MAU settings
    • תיאור תיאור: Microsoft AutoUpdate settings for MDATP for macOS
    • קטגוריה:None (default)
    • שיטת הפצה: Install Automatically (default)
    • רמה: Computer Level (default)

  5. ביישום, & הגדרות מותאמות אישית, בחר קבע תצורה.

    היישום והגדרת התצורה וההגדרות המותאמות אישית.

  6. בחר העלה קובץ (קובץ PLIST).

  7. בתיבה Preference Domain type com.microsoft.autoupdate2, ולאחר מכן בחר Upload PLIST File.

    תחום העדפת הגדרת התצורה.

  8. בחר בחר קובץ.

    הבקשה לבחור את הקובץ בנוגע להגדרת התצורה.

  9. בחר MDATP_MDAV_MAU_settings.plist.

    הגדרות mdatpmdavmau.

  10. בחר העלה. העלאת הקובץ בנוגע להגדרת תצורה.

    הדף המציג את אפשרות ההעלאה עבור הקובץ בנוגע להגדרת התצורה.

  11. לחץ שמור.

    הדף מציג את אפשרות השמירה עבור הקובץ בנוגע להגדרת תצורה.

  12. בחר בכרטיסיה טווח .

    הכרטיסיה טווח עבור הגדרות התצורה.

  13. בחר הוסף.

    האפשרות להוסיף יעדי פריסה.

    הדף שבו אתה מוסיף ערכים נוספים להגדרות התצורה.

    הדף שבו ניתן להוסיף ערכים נוספים להגדרות התצורה.

  14. בחר בוצע.

    הודעת ההשלמה בנוגע להגדרות התצורה.

שלב 6: הענק גישה מלאה לדיסק Microsoft Defender עבור נקודת קצה

  1. בלוח המחוונים Jamf Pro, בחר פרופילי תצורה.

    הפרופיל שעבורו יש לקבוע את תצורת ההגדרות.

  2. בחר + חדש.

  3. בכרטיסיה כללי , ציין את הפרטים הבאים:

    • שם:MDATP MDAV - grant Full Disk Access to EDR and AV
    • תיאור תיאור: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer level

    הגדרת התצורה באופן כללי.

  4. תחת קבע תצורה של בקרת מדיניות העדפות פרטיות, בחר קבע תצורה.

    בקרת מדיניות הפרטיות של התצורה.

  5. ב בקרת מדיניות העדפות פרטיות, הזן את הפרטים הבאים:

    • מזהה:com.microsoft.wdav
    • סוג מזהה: Bundle ID
    • דרישת קוד: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    פרטי הבקרה של מדיניות העדפות הפרטיות של הגדרת התצורה.

  6. בחר + הוסף.

    הגדרת התצורה מוסיפה את אפשרות מדיניות המערכת של כל הקבצים.

    • תחת אפליקציה או שירות, בחר SystemPolicyAllFiles.
    • תחת גישה, בחר אפשר.

  7. בחר שמור (לא את האפשרות בפינה השמאלית התחתונה).

    פעולת השמירה עבור הגדרת התצורה.

  8. בחר את + הסימן לצד App Access כדי להוסיף ערך חדש.

    פעולת השמירה הקשורה להגדרת התצורה.

  9. הזן את הפרטים הבאים:

    • מזהה:com.microsoft.wdav.epsext
    • סוג מזהה: Bundle ID
    • דרישת קוד: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. בחר + הוסף.

    ערך epsext של הגדרת התצורה tcc.

  • תחת אפליקציה או שירות, בחר SystemPolicyAllFiles.
  • תחת גישה, בחר אפשר.
  1. בחר שמור (לא את האפשרות בפינה השמאלית התחתונה).

המופע השני של הגדרת תצורה מסוג tcc epsext.

  1. בחר בכרטיסיה טווח .

הדף המתאר את הטווח עבור הגדרת התצורה.

  1. בחר + הוסף.

הדף המתאר את הגדרת התצורה.

  1. בחר מחשב קבוצות ולאחר מכן, תחת שם קבוצה, בחר קבוצת מחשב של Contoso.

הגדרת התצורה של קבוצת מחשב contoso.

  1. בחר הוסף. לאחר מכן בחר שמור.

  2. בחר בוצע.

    הגדרת התצורה contoso machine-group.

    איור הגדרת התצורה.

לחלופין, באפשרותך להוריד fulldisk.mobileconfig ולהעלות אותו לפרופילי תצורה של Jamf כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

הערה

גישה מלאה לדיסק שהוענקה דרך פרופיל התצורה של Apple MDM אינה משתקפת בהגדרות המערכת => הגדרות & אבטחה => גישה לדיסק מלא.

שלב 7: אישור הרחבות מערכת עבור Microsoft Defender עבור נקודת קצה

  1. בפרופילי התצורה, בחר + חדש.

    התיאור של פרסום המדיה החברתית שנוצר באופן אוטומטי.

  2. בכרטיסיה כללי , ציין את הפרטים הבאים:

    • שם:MDATP MDAV System Extensions
    • תיאור תיאור: MDATP system extensions
    • קטגוריה:None
    • שיטת הפצה: Install Automatically
    • רמה: Computer Level

    הפרופיל החדש sysext של הגדרות התצורה.

  3. ב'הרחבות מערכת', בחר קבע תצורה.

    החלונית עם האפשרות 'קבע תצורה' עבור הרחבות המערכת.

  4. בהרחבות מערכת, הזן את הפרטים הבאים:

    • שם תצוגה: Microsoft Corp. System Extensions
    • סוגי הרחבות מערכת: Allowed System Extensions
    • מזהה צוות: UBF8T346G9
    • הרחבות מערכת מותרות:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    חלונית הרחבות המערכת של MDATP MDAV.

  5. בחר בכרטיסיה טווח .

    חלונית הבחירה 'מחשבי יעד'.

  6. בחר + הוסף.

  7. בחר מחשב קבוצות> תחת שם קבוצה>, בחר קבוצת מחשב של Contoso.

  8. בחר + הוסף.

    החלונית פרופיל תצורה חדש של macOS.

  9. לחץ שמור.

    הצגת אפשרויות בנוגע להרחבות המערכת של MDATP MDAV.

  10. בחר בוצע.

    sysext של הגדרות התצורה - סופי.

שלב 8: קביעת תצורה של הרחבת רשת

כחלק מיכולות הזיהוי והתגובה של נקודות הקצה, Microsoft Defender עבור נקודת קצה ב- macOS בודק את תעבורת ה- Socket ומ מדווח על מידע זה לפורטל Microsoft Defender.

הערה

שלבים אלה ישימים ב- macOS 11 (Big Sur) ואילך. למרות ש- Jamf תומך בהודעות ב- macOS גירסה 10.15 ואילך, Defender for Endpoint ב- Mac דורש macOS 11 ואילך.

  1. בלוח המחוונים Jamf Pro, בחר מחשבים, ולאחר מכן פרופילי תצורה.

  2. בחר חדש והזן את הפרטים הבאים עבור אפשרויות:

  3. בכרטיסיה כללי, ציין את הערכים הבאים:

    • שם:Microsoft Defender Network Extension
    • תיאור תיאור: macOS 11 (Big Sur) or later
    • קטגוריה:None *(default)*
    • שיטת הפצה: Install Automatically *(default)*
    • רמה: Computer Level *(default)*

  4. בכרטיסיה מסנן תוכן , ציין את הערכים הבאים:

    • שם מסנן: Microsoft Defender Content Filter
    • מזהה:com.microsoft.wdav
    • השאר את 'כתובת שירות', 'ארגון', 'שם משתמש', 'סיסמה', 'אישור' ריק (האפשרות 'כלול' לא נבחרה)
    • סדר סינון: Inspector
    • מסנן שקע: com.microsoft.wdav.netext
    • דרישה ייעודית של מסנן Socket: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • השאר את שדות מסנן הרשת ריקים (האפשרותכלול לא נבחרה)

    שים לב כי הערכים המדויקיםשל הדרישה הייעודיתעבור מזהה , מסנן Socket ו- Socket מוגדרים כפי שצוין קודם לכן.

    הגדרת התצורה של mdatpmdav.

  5. בחר בכרטיסיה טווח .

    הכרטיסיה sco של הגדרות התצורה.

  6. בחר + הוסף. בחר מחשב קבוצות ולאחר מכן, תחת שם קבוצה, בחר קבוצת מחשב של Contoso. לאחר מכן בחר + הוסף.

    הגדרות התצורה adim.

  7. לחץ שמור.

    החלונית מסנן תוכן.

  8. בחר בוצע.

    netext של הגדרות התצורה - סופי.

לחלופין, באפשרותך להוריד netfilter.mobileconfig ולהעלות אותו לפרופילי תצורה של Jamf כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|

שלב 9: קביעת תצורה של שירותי רקע

זהירות

macOS 13 (Enhancement) מכיל שיפורי פרטיות חדשים. החל מגירסה זו, כברירת מחדל, יישומים אינם יכולים לפעול ברקע ללא הסכמה מפורשת. Microsoft Defender עבור נקודת קצה להפעיל את תהליך ה- Daemon שלו ברקע.

פרופיל תצורה זה מעניק הרשאות שירות ברקע Microsoft Defender עבור נקודת קצה. אם בעבר הגדרת תצורה Microsoft Defender עבור נקודת קצה Jamf, מומלץ לעדכן את הפריסה עם פרופיל תצורה זה.

הורד background_services.mobileconfigממאגר GitHub שלנו.

Upload downloaded mobileconfig to Jamf Configuration Profiles as described in Deploying Custom Configuration Profiles using Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

שלב 10: הענקת הרשאות Bluetooth

זהירות

macOS 14 (Sonoma) מכיל שיפורי פרטיות חדשים. החל מגירסה זו, כברירת מחדל, לאפליקציות אין אפשרות לגשת ל- Bluetooth ללא הסכמה מפורשת. Microsoft Defender עבור נקודת קצה משתמשת בו אם אתה קובע את התצורה של מדיניות Bluetooth עבור בקרת התקן.

הורד את bluetooth.mobileconfigממאגר GitHub.

אזהרה

הגירסה הנוכחית של Jamf Pro אינה תומכת עדיין במטען מסוג זה. אם תהעלה תצורה ניידת זו כפי שהיא, Jamf Pro יסיר תוכן מנה שאינו נתמך ויכשל בהחלתו על מחשבי לקוח. עליך לחתום תחילה על התצורה הניידת שהורדת, לאחר ש- Jamf Pro ישקול אותה כ"חתומה" ולא תקבע שלא כדין. עיין בהוראות שלהלן:

  • דרוש לך לפחות אישור חתימה אחד מותקן ב- KeyChain שלך, אפילו אישור בחתימה עצמית פועל. באפשרותך לבדוק מה יש לך עם:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

בחר כל אחד מהם וספק את הטקסט הגרשי בפרמטר -N :

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

כעת באפשרותך להעלות את ה- bluetooth-signed.mobileconfig שנוצר ל- Jamf Pro כמתואר בנושא פריסת פרופילי תצורה מותאמים אישית באמצעות Jamf Pro|שיטה 2: העלה פרופיל תצורה ל- Jamf Pro.

הערה

Bluetooth המוענק דרך פרופיל התצורה של Apple MDM אינו בא לידי ביטוי בהגדרות המערכת => הגדרות & אבטחה => Bluetooth.

שלב 11: תזמון סריקות באמצעות Microsoft Defender עבור נקודת קצה ב- macOS

בצע את ההוראות במאמר תזמון סריקות באמצעות Microsoft Defender עבור נקודת קצה ב- macOS.

שלב 12: פריסת Microsoft Defender עבור נקודת קצה ב- macOS

הערה

בשלבים הבאים, שם הקובץ .pkg והערכים של שם התצוגה הם דוגמאות. בדוגמאות אלה, 200329 מייצג את התאריך שבו החבילה והמדיניות נוצרו (yymmddבתבנית), v100.86.92 ומייצג את הגירסה של Microsoft Defender היישום שנפרס. יש לעדכן ערכים אלה כדי לפעול לפי מוסכמת מתן השמות שבה אתה משתמש בסביבה שלך עבור חבילות ומדיניות.

  1. נווט אל המקום שבו שמרת את wdav.pkg.

    חבילת wdav של סייר הקבצים.

  2. שנה את שמו ל- wdav_MDM_Contoso_200329.pkg.

    חבילת wdavmdm של סייר הקבצים1.

  3. פתח את לוח המחוונים Jamf Pro.

    הגדרות התצורה עבור Jamf pro.

  4. בחר את המחשב שלך ובחר את סמל גלגל השיניים בחלק העליון ולאחר מכן בחר ניהול מחשב.

    הגדרות התצורה - ניהול מחשב.

  5. בחבילות, בחר + חדש.

    תיאור הציפור עבור חבילה שנוצרה באופן אוטומטי.

  6. בכרטיסיה כללי , בחבילהחדשה, ציין את הפרטים הבאים:

    • שם תצוגה: השאר אותו ריק כעת. מאחר שהוא מאופס בעת בחירת ה- pkg שלך.
    • קטגוריה:None (default)
    • שם קובץ: Choose File

    הכרטיסיה 'כללי' עבור הגדרות תצורה.

  7. פתח את הקובץ והצבע עליו אל wdav.pkg או wdav_MDM_Contoso_200329.pkg.

    מסך המחשב מציג את התיאור של חבילה שנוצרה באופן אוטומטי.

  8. בחר באפשרות פתח. הגדר את שם התצוגה כך Microsoft DefenderAdvanced Threat Protection Microsoft Defender Antivirus.

    • קובץ מניפסט אינו נדרש. Microsoft Defender עבור נקודת קצה פועל ללא קובץ מניפסט.
    • הכרטיסיה אפשרויות: שמור ערכי ברירת מחדל.
    • הכרטיסיה מגבלות: שמור ערכי ברירת מחדל.

    הכרטיסיה 'מגבלה' עבור הגדרות התצורה.

  9. לחץ שמור. החבילה מועלת ל- Jamf Pro.

    תהליך העלאת ערכת הגדרות התצורה עבור החבילה הקשורה להגדרות התצורה.

    ייתכן שהחבילה תהיה זמינה לפריסה בתוך כמה דקות.

    מופע של העלאת החבילה עבור הגדרות תצורה.

  10. נווט אל הדף פריטי מדיניות.

פריטי המדיניות של הגדרות התצורה.

  1. בחר + חדש כדי ליצור מדיניות חדשה.

    מדיניות חדשה של הגדרות תצורה.

  2. באופן כללי, עבור שם התצוגה, השתמש ב- MDATP Onboarding Contoso 200329 v100.86.92 or later.

    הגדרות התצורה - MDATP קלוט.

  3. בחר צ'ק-אין חוזר.

    הכניסה החוזרת עבור הגדרות התצורה.

  4. לחץ שמור. לאחר מכן בחר חבילות ולאחר מכן בחר קבעתצורה.

    האפשרות לקבוע תצורה של חבילות.

  5. בחר בלחצן הוסף לצד הגנה Microsoft Defender מתקדמת מפני איומים Microsoft Defender אנטי-וירוס.

    האפשרות להוסיף הגדרות נוספות ל- MDATP MDA.

  6. לחץ שמור.

    אפשרות השמירה עבור הגדרות התצורה.

צור קבוצה חכמה עבור מחשבים Microsoft Defender פרופילים.

לקבלת חוויית משתמש טובה יותר, יש להתקין פרופילי תצורה למחשבים רשומים Microsoft Defender החבילה של המשתמש. ברוב המקרים, JamF Pro דוחף פרופילי תצורה באופן מיידי, ומדיניות זו מבוצעת לאחר זמן מה (לדוגמה, במהלך הצ'ק-אין). עם זאת, במקרים מסוימים, ניתן לפרוס פריסת פרופילי תצורה בעיכוב משמעותי (לדוגמה, אם מחשב של משתמש נעול).

Jamf Pro מספק דרך להבטיח את הסדר הנכון. באפשרותך ליצור קבוצה חכמה עבור מחשבים שכבר קיבלו את פרופיל התצורה של Microsoft Defender, ולהתקין את החבילה של Microsoft Defender במחשבים אלה בלבד (ברגע שהם מקבלים פרופיל זה).

בצע שלבים אלה:

  1. יצירת קבוצה חכמה. בחלון דפדפן חדש, פתח את מחשבים חכמים קבוצות.

  2. בחר חדש ותן לקבוצה שלך שם.

  3. בכרטיסיה קריטריונים , בחר הוסף ולאחר מכן בחר הצג קריטריונים מתקדמים.

  4. בחר שם פרופיל כקריטריון והשתמש בשם של פרופיל תצורה שנוצר בעבר כערך:

    יוצר קבוצה חכמה.

  5. לחץ שמור.

  6. חזור לחלון שבו אתה קובע את התצורה של מדיניות חבילה.

  7. בחר בכרטיסיה טווח .

    הכרטיסיה טווח הקשורה להגדרות התצורה.

  8. בחר את מחשבי היעד.

    האפשרות להוסיף קבוצות מחשבים.

  9. תחת טווח, בחר הוסף.

    הגדרות התצורה - ad1.

  10. עבור אל הכרטיסיה קבוצות מחשב. אתר את הקבוצה החכמה שיצרת ולאחר מכן בחר הוסף.

הגדרות התצורה - ad2.

  1. אם ברצונך שמשתמשים יתקינו את Defender עבור נקודת קצה מרצונך (או לפי דרישה), בחר שירות עצמי.

הכרטיסיה 'שירות עצמי' עבור הגדרות תצורה.

  1. בחר בוצע.

מצב הצירוף של Contoso כולל אפשרות להשלים אותו.

דף המדיניות.

טווח פרופיל תצורה

Jamf דורש ממך להגדיר ערכת מחשבים עבור פרופיל תצורה. עליך לוודא שכל המחשבים המקבלים את החבילה של Defender יקבלו גם את כל פרופילי התצורה המפורטים לעיל.

אזהרה

Jamf תומך בהגדרות קבוצות המאפשרות פריסה, כגון פרופילי תצורה או פריטי מדיניות לכל המחשבים התואמים לקריטריונים מסוימים, המוערכים באופן דינאמי. זהו רעיון רב-עוצמה המשמש בהיקף נרחב להפצה של פרופילי תצורה.

עם זאת, זכור שקריטריונים אלה אינם צריכים לכלול נוכחות של Defender במחשב. בעת השימוש בקריטריון זה עשוי להישמע הגיוני, הוא יוצר בעיות שקשה לאבחן.

Defender מסתמך על כל הפרופילים האלה ברגע ההתקנה שלו.

יצירת פרופילי תצורה, בהתאם לנוכחות של Defender, מעכבת ביעילות את הפריסה של פרופילי תצורה, וגורמת למוצר לא תקני בהתחלה ו/או להנחיות לאישור ידני של הרשאות אפליקציה מסוימות, שאושרה באופן אוטומטי על-ידי פרופילים. פריסת מדיניות עם Microsoft Defender לאחר פריסת פרופילי תצורה מבטיחה את החוויה הטובה ביותר של משתמש הקצה, מכיוון שכל התצורות הנדרשות יוחלו לפני התקנות החבילה.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.