Megosztás a következőn keresztül:

A Végponthoz készült Microsoft Defender beállítása macOS-szabályzatokon a Jamf Pro-ban

  • Cikk

Érintett szolgáltatás:

Ezzel a cikkel szabályzatokat állíthat be a Végponthoz készült Defenderhez Macen a Jamf Pro használatával.

1. lépés: A Végponthoz készült Microsoft Defender előkészítési csomag lekérése

Fontos

Az eszközök megtekintéséhez, kezeléséhez és előkészítéséhez megfelelő szerepkörrel kell rendelkeznie. További információ: A Microsoft Defender XDR hozzáférésének kezelése Microsoft Entra globális szerepkörökkel.

  1. A Microsoft Defender Portalon lépjen a Beállítások>Végpontok>Előkészítés területre.

  2. Az operációs rendszerként válassza a macOS és a Mobile Eszközkezelés/Microsoft Intune telepítési módszert.

    A Beállítások lap.

  3. Válassza az Előkészítési csomag letöltése (WindowsDefenderATPOnboardingPackage.zip) lehetőséget.

  4. Bontsa ki WindowsDefenderATPOnboardingPackage.zipa elemet.

  5. Másolja a fájlt a kívánt helyre. Használja például a C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist címet.

2. lépés: Konfigurációs profil létrehozása a Jamf Pro-ban az előkészítési csomag használatával

  1. Keresse meg az előző szakaszból származó fájlt WindowsDefenderATPOnboarding.plist .

    A Windows Defender ATP előkészítési fájlja.

  2. Jelentkezzen be a Jamf Pro szolgáltatásba, lépjen a Számítógépek>konfigurációs profiljai lapra, és válassza az Új lehetőséget.

    Az az oldal, amelyen új Jamf Pro-irányítópultot hoz létre.

  3. Az Általános lapon adja meg a következő adatokat:

    • Név: MDE onboarding for macOS
    • Leírás: MDE EDR onboarding for macOS
    • Kategória: None
    • Terjesztési módszer: Install Automatically
    • Szint: Computer Level

  4. Lépjen az Alkalmazás & Egyéni beállítások lapra , válassza a Feltöltés, majd a Hozzáadás lehetőséget.

    A konfigurációs alkalmazás és az egyéni beállítások.

  5. Válassza a Fájl feltöltése (PLIST-fájl) lehetőséget, majd a Beállítástartomány mezőbe írja be a következőt com.microsoft.wdav.atp: .

    A jamfpro plist upload fájl.

    A upload file (Fájl feltöltése) tulajdonság List file (Listafájl) tulajdonsága.

  6. Válassza a Megnyitás lehetőséget, és válassza ki az előkészítési fájlt.

    Az előkészítési fájl.

  7. Válassza a Feltöltés lehetőséget.

    A feltöltési plist fájl.

  8. Válassza a Hatókör lapot.

    A Hatókör lap.

  9. Válassza ki a célszámítógépeket.

    A célszámítógépek.

    A célpontok.

  10. Válassza a Mentés elemet.

    A célszámítógépek telepítése.

    A célszámítógépek kiválasztása.

  11. Válassza a Kész lehetőséget.

    A célcsoport számítógépei.

    A konfigurációs profilok listája.

3. lépés: A Végponthoz készült Microsoft Defender beállításainak konfigurálása

Ebben a lépésben a Beállításokat megyünk át, hogy a Microsoft Defender XDR portal (https://security.microsoft.com) vagy a Jamf használatával konfigurálhassa a kártevőirtó és az EDR-szabályzatokat.

Fontos

Végponthoz készült Microsoft Defender Biztonsági beállítások felügyeleti házirendjei elsőbbséget élveznek a Jamf-készlet (és más külső MDM-) szabályzatokkal szemben.

3a. Szabályzatok beállítása Microsoft Defender portál használatával

  1. A biztonsági szabályzatok Microsoft Defender használatával történő beállítása előtt kövesse az Intune Végponthoz készült Microsoft Defender konfigurálása című cikkben található útmutatást.

  2. A Microsoft Defender portálon lépjen a Konfigurációkezelés>Végpontbiztonsági szabályzatokMac-szabályzatok>>Új szabályzat létrehozása elemre.

  3. A Platform kiválasztása területen válassza a macOS lehetőséget.

  4. A Sablon kiválasztása területen válasszon ki egy sablont, és válassza a Szabályzat létrehozása lehetőséget.

  5. Adja meg a szabályzat nevét és leírását, majd válassza a Tovább gombot.

  6. A Hozzárendelések lapon rendelje hozzá a profilt egy olyan csoporthoz, ahol a macOS-eszközök és/vagy a felhasználók találhatók, vagy a Minden felhasználó és a Minden eszköz.

A biztonsági beállítások kezelésével kapcsolatos további információkért tekintse meg a következő cikkeket:

3b. Szabályzatok beállítása a Jamf használatával

A Jamf Pro grafikus felhasználói felületével szerkesztheti a Végponthoz készült Microsoft Defender konfiguráció egyes beállításait, vagy használhatja az örökölt módszert egy konfigurációs Plist szövegszerkesztőben való létrehozásával és a Jamf Pro-ba való feltöltésével.

Pontos beállítástartományt kell használniacom.microsoft.wdav. Végponthoz készült Microsoft Defender csak ezt a nevet használja, és com.microsoft.wdav.ext betölti a felügyelt beállításait. (A com.microsoft.wdav.ext verzió ritka esetekben használható, ha inkább grafikus felhasználói felületi metódust szeretne használni, de olyan beállítást is konfigurálnia kell, amely még nem lett hozzáadva a sémához.)

Grafikus felhasználói felületi metódus

  1. Töltse le a fájlt a schema.jsonDefender GitHub-adattárából , és mentse egy helyi fájlba:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Hozzon létre egy új konfigurációs profilt. A Számítógépek területen lépjen a Konfigurációs profilok elemre, majd az Általános lapon adja meg a következő adatokat:

    Új profil.

    • Név: MDATP MDAV configuration settings
    • Leírás: <blank\>
    • Kategória: None (default)
    • Szint: Computer Level (default)
    • Terjesztési módszer: Install Automatically (default)

  3. Görgessen le az Alkalmazás & Egyéni beállítások lapra, válassza a Külső alkalmazások, majd a Hozzáadás lehetőséget, majd használja az Egyéni séma lehetőséget a beállítástartomány forrásaként.

    Egyéni séma hozzáadása.

  4. Írja be com.microsoft.wdav a beállítástartományt, válassza a Séma hozzáadása lehetőséget, majd töltse fel az schema.json 1. lépésben letöltött fájlt. Válassza a Mentés elemet.

    Séma feltöltése.

  5. Az összes támogatott Végponthoz készült Microsoft Defender konfigurációs beállítást a Beállítástartomány tulajdonságai területen tekintheti meg. Válassza a Tulajdonságok hozzáadása/eltávolítása lehetőséget a kezelni kívánt beállítások kiválasztásához, majd kattintson az OK gombra a módosítások mentéséhez. (A nem kijelölt beállítások nem szerepelnek a felügyelt konfigurációban, a végfelhasználók konfigurálhatják ezeket a beállításokat a gépükön.)

    A kiválasztott felügyelt beállítások.

  6. Módosítsa a beállítások értékeit a kívánt értékekre. Ha egy adott beállítás dokumentációját szeretné lekérni, válassza a További információ lehetőséget. (A Plist előzetes verziójának kiválasztásával megvizsgálhatja, hogy mi a konfigurációs plist. Válassza az Űrlapszerkesztő lehetőséget a vizualizációszerkesztőbe való visszatéréshez.)

    Az a lap, amelyen módosítja a beállítások értékeit.

  7. Válassza a Hatókör lapot.

    A Konfigurációs profil hatóköre.

  8. Válassza a Contoso gépcsoportja lehetőséget. Válassza a Hozzáadás, majd a Mentés lehetőséget.

    Az a lap, amelyen hozzáadhatja a konfigurációs beállításokat.

    Az a lap, amelyre a Konfigurációs beállításokat mentheti.

  9. Válassza a Kész lehetőséget. Megjelenik az új konfigurációs profil.

    Az a lap, amelyen a konfigurációs beállításokat végrehajtja.

Végponthoz készült Microsoft Defender idővel új beállításokat ad hozzá. Ezek az új beállítások hozzá lesznek adva a sémához, és egy új verziót tesznek közzé a GitHubon. A frissítések letöltéséhez töltsön le egy frissített sémát, és szerkessze a meglévő konfigurációs profilt. Az Alkalmazás & Egyéni beállítások lapon válassza a Séma szerkesztése lehetőséget.

Örökölt metódus

  1. Használja az alábbi Végponthoz készült Microsoft Defender konfigurációs beállításokat:

    • enableRealTimeProtection
    • passiveMode (Ez a beállítás alapértelmezés szerint nincs bekapcsolva. Ha nem Microsoft-alapú víruskereső szoftvert szeretne futtatni Mac gépen, állítsa be a következőre: true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (Az EICAR a mintán van. Ha egy megvalósíthatósági vizsgálaton megy keresztül, távolítsa el, különösen akkor, ha az EICAR-t teszteli.)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    További információ: A Jamf teljes konfigurációs profiljának tulajdonságlistája.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. Mentse a fájlt néven MDATP_MDAV_configuration_settings.plist.

  3. A Jamf Pro irányítópultján nyissa meg a Számítógépek és a hozzájuk tartozó konfigurációs profilok elemet. Válassza az Új lehetőséget, és váltson az Általános lapra.

    Az új profilt megjelenítő lap.

  4. Az Általános lapon adja meg a következő adatokat:

    • Név: MDATP MDAV configuration settings
    • Leírás: <blank>
    • Kategória: None (default)
    • Terjesztési módszer: Install Automatically (default)
    • Szint: Computer Level (default)

  5. Az Alkalmazás & Egyéni beállítások területen válassza a Konfigurálás lehetőséget.

    Az MDATP MDAV konfigurációs beállításai.

    Az alkalmazás és az egyéni beállítások.

  6. Válassza a Fájl feltöltése (PLIST-fájl) lehetőséget.

    A konfigurációs beállítások plist-fájlja.

  7. A Preferences Domain (Beállítások tartománya) mezőbe írja be a parancsot com.microsoft.wdav, majd válassza a Upload PLIST File (PLIST-fájl feltöltése) lehetőséget.

    A konfigurációs beállítások tartománya.

  8. Válassza a Fájl kiválasztása lehetőséget.

    A plist fájl kiválasztására vonatkozó kérdés.

  9. Válassza a MDATP_MDAV_configuration_settings.plist fájlt, majd a Megnyitás lehetőséget.

    Az mdatpmdav konfigurációs beállításai.

  10. Válassza a Feltöltés lehetőséget.

    A konfigurációs beállítás feltöltése.

    A konfigurációs beállításokhoz kapcsolódó kép feltöltésére szolgáló kérdés.

    Megjegyzés:

    Ha éppen feltölti a Intune fájlt, a következő hibaüzenet jelenik meg:

    A konfigurációs beállításokhoz kapcsolódó Intune-fájl feltöltésének kérése.

  11. Válassza a Mentés elemet.

    A konfigurációs beállításokhoz kapcsolódó lemezkép mentésének lehetősége.

  12. A rendszer feltölti a fájlt.

    A konfigurációs beállításokhoz kapcsolódó feltöltött fájl.

    A konfigurációs beállítások lapja.

  13. Válassza a Hatókör lapot.

    A konfigurációs beállítások hatóköre.

  14. Válassza a Contoso gépcsoportja lehetőséget. Válassza a Hozzáadás, majd a Mentés lehetőséget.

    A konfigurációs beállításokhoz adja hozzá a mentést.

    A konfigurációs beállításokról szóló értesítés.

  15. Válassza a Kész lehetőséget. Megjelenik az új konfigurációs profil.

A konfigurációs beállítások konfigurációs profiljának képe.

4. lépés: Értesítések beállításainak konfigurálása

Megjegyzés:

Ezek a lépések macOS 11 (Big Sur) vagy újabb rendszeren alkalmazhatók. Bár a Jamf támogatja az értesítéseket a macOS 10.15-ös vagy újabb verziójában, a Végponthoz készült Defender macOS 11-es vagy újabb verziójára van szükség.

  1. A Jamf Pro irányítópultján válassza a Számítógépek, majd a Konfigurációs profilok lehetőséget.

  2. Válassza az Új lehetőséget, majd az Általános lapon a Beállítások területen adja meg a következő adatokat:

    • Név: MDATP MDAV Notification settings

    • Leírás: macOS 11 (Big Sur) or later

    • Kategória: None *(default)*

    • Terjesztési módszer: Install Automatically *(default)*

    • Szint: Computer Level *(default)*

      Az új macOS konfigurációs profillap.

  3. Az Értesítések lapon válassza a Hozzáadás lehetőséget, és adja meg a következő értékeket:

    • Csomagazonosító: com.microsoft.wdav.tray
    • Kritikus riasztások: Válassza a Letiltás lehetőséget
    • Értesítések: Válassza az Engedélyezés lehetőséget
    • Szalagcím riasztástípusa: Válassza a Belefoglalás és az Ideiglenes(alapértelmezett) lehetőséget
    • Értesítések a zárolási képernyőn: Válassza az Elrejtés lehetőséget
    • Értesítések az Értesítési központban: Válassza a Megjelenítés lehetőséget
    • Jelvényalkalmazás ikonja: Megjelenítés kiválasztása

    A konfigurációs beállítások mdatpmdav értesítési tálcája.

  4. Az Értesítések lapon válassza az Újabb időpont hozzáadása lehetőséget, majd görgessen le az Új értesítések beállításaihoz.

    • Csomagazonosító: com.microsoft.autoupdate.fba

  5. Konfigurálja a többi beállítást a korábban említett értékekre

    A konfigurációs beállítások mdatpmdav értesítések mau.

    Vegye figyelembe, hogy most már két tábla van értesítési konfigurációval, az egyik a csomagazonosítóhoz: com.microsoft.wdav.tray, a másik pedig a csomagazonosítóhoz: com.microsoft.autoupdate.fba. Bár a riasztási beállításokat a követelményeknek megfelelően konfigurálhatja, a csomagazonosítóknak pontosan meg kell egyeznie a korábban leírtakkal, a Belefoglalás kapcsolónak pedig be kell kapcsolnia az értesítésekhez.

  6. Válassza a Hatókör lapot, majd a Hozzáadás lehetőséget.

    Az a lap, amelyen értékeket adhat hozzá a konfigurációs beállításokhoz.

  7. Válassza a Contoso gépcsoportja lehetőséget. Válassza a Hozzáadás, majd a Mentés lehetőséget.

    Az oldal, amelyen mentheti a contoso számítógépcsoport konfigurációs beállításainak értékeit.

    A konfigurációs beállítások befejezési értesítését megjelenítő oldal.

  8. Válassza a Kész lehetőséget. Ekkor megjelenik az új konfigurációs profil.

    A befejezett konfigurációs beállítások.

5. lépés: A Microsoft AutoUpdate (MAU) konfigurálása

  1. Használja az alábbi Végponthoz készült Microsoft Defender konfigurációs beállításokat:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Mentse a fájlként MDATP_MDAV_MAU_settings.plist.

  3. A Jamf Pro irányítópultján válassza az Általános lehetőséget.

    A konfigurációs beállítások.

  4. Az Általános lapon adja meg a következő adatokat:

    • Név: MDATP MDAV MAU settings
    • Leírás: Microsoft AutoUpdate settings for MDATP for macOS
    • Kategória: None (default)
    • Terjesztési módszer: Install Automatically (default)
    • Szint: Computer Level (default)

  5. Az Alkalmazás & Egyéni beállítások területen válassza a Konfigurálás lehetőséget.

    A konfigurációs beállítási alkalmazás és az egyéni beállítások.

  6. Válassza a Fájl feltöltése (PLIST-fájl) lehetőséget.

  7. A Preference Domain (Preferenciális tartomány ) mezőbe írja be a következőt com.microsoft.autoupdate2: , majd válassza a Upload PLIST File (PLIST-fájl feltöltése) lehetőséget.

    A konfigurációs beállítás beállítási tartománya.

  8. Válassza a Fájl kiválasztása lehetőséget.

    A konfigurációs beállítással kapcsolatos fájl kiválasztásának kérése.

  9. Válassza a MDATP_MDAV_MAU_settings.plist elemet.

    Az mdatpmdavmau beállításai.

  10. Válassza a Feltöltés lehetőséget. A konfigurációs beállítással kapcsolatos fájl feltöltése.

    A konfigurációs beállítással kapcsolatos fájl feltöltési beállítását megjelenítő lap.

  11. Válassza a Mentés elemet.

    A konfigurációs beállítással kapcsolatos fájl mentési beállítását megjelenítő lap.

  12. Válassza a Hatókör lapot.

    A konfigurációs beállítások Hatókör lapja.

  13. Válassza a Hozzáadás lehetőséget.

    Az üzembehelyezési célok hozzáadásának lehetősége.

    Az a lap, amelyen további értékeket ad hozzá a konfigurációs beállításokhoz.

    Az a lap, amelyen további értékeket adhat hozzá a konfigurációs beállításokhoz.

  14. Válassza a Kész lehetőséget.

    A konfigurációs beállításokra vonatkozó befejezési értesítés.

6. lépés: Teljes lemezhozzáférés biztosítása Végponthoz készült Microsoft Defender

  1. A Jamf Pro irányítópultján válassza a Konfigurációs profilok lehetőséget.

    Az a profil, amelyhez a beállításokat konfigurálni kell.

  2. Válassza az + Új lehetőséget.

  3. Az Általános lapon adja meg a következő adatokat:

    • Név: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Leírás: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Kategória: None
    • Elosztási módszer: Install Automatically
    • Szint: Computer level

    A konfigurációs beállítás általában.

  4. Az Adatvédelmi beállítások házirend-vezérlésének konfigurálása területen válassza a Konfigurálás lehetőséget.

    A konfigurációs adatvédelmi szabályzat vezérlője.

  5. Az Adatvédelmi beállítások házirend-vezérlése területen adja meg a következő adatokat:

    • Azonosító: com.microsoft.wdav
    • Azonosító típusa: Bundle ID
    • Kódkövetelmény: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    A konfigurációs beállítás adatvédelmi beállítási szabályzatának részletei.

  6. Válassza a + Hozzáadás lehetőséget.

    A konfigurációs beállítás hozzáadja a rendszerházirend minden fájl beállítását.

    • Az Alkalmazás vagy szolgáltatás területen válassza a SystemPolicyAllFiles elemet.
    • A Hozzáférés területen válassza az Engedélyezés lehetőséget.

  7. Válassza a Mentés lehetőséget (nem a jobb alsó sarokban lévőt).

    A konfigurációs beállítás mentési művelete.

  8. Új bejegyzés hozzáadásához kattintson az +App Access melletti jelre.

    A konfigurációs beállításhoz kapcsolódó mentési művelet.

  9. Adja meg a következő adatokat:

    • Azonosító: com.microsoft.wdav.epsext
    • Azonosító típusa: Bundle ID
    • Kódkövetelmény: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Válassza a + Hozzáadás lehetőséget.

    A konfigurációs beállítás tcc epsext bejegyzése.

  • Az Alkalmazás vagy szolgáltatás területen válassza a SystemPolicyAllFiles elemet.
  • A Hozzáférés területen válassza az Engedélyezés lehetőséget.
  1. Válassza a Mentés lehetőséget (nem a jobb alsó sarokban lévőt).

A konfigurációs beállítás másik példánya a tcc epsext.

  1. Válassza a Hatókör lapot.

A konfigurációs beállítás hatókörét ábrázoló oldal.

  1. Válassza a + Hozzáadás lehetőséget.

A konfigurációs beállítást ábrázoló oldal.

  1. Válassza a Számítógép Csoportok lehetőséget, majd a Csoport neve területen válassza a Contoso MachineGroup elemét.

A contoso számítógépcsoport konfigurációs beállítása.

  1. Válassza a Hozzáadás lehetőséget. Ezután válassza a Mentés lehetőséget.

  2. Válassza a Kész lehetőséget.

    A contoso machine-group konfigurációs beállítás.

    A konfigurációs beállítás ábrája.

Másik lehetőségként letöltheti a fulldisk.mobileconfig fájlt, és feltöltheti a Jamf konfigurációs profiljaiba az Egyéni konfigurációs profilok üzembe helyezése a Jamf Pro használatával című cikkben leírtak szerint.2. módszer: Konfigurációs profil feltöltése a Jamf Pro-ba.

Megjegyzés:

Az Apple MDM konfigurációs profilon keresztül megadott teljes lemezhozzáférés nem jelenik meg a Rendszerbeállítások => Adatvédelem & Biztonság => Teljes lemezes hozzáférés területen.

7. lépés: Rendszerbővítmények jóváhagyása Végponthoz készült Microsoft Defender

  1. A Konfigurációs profilok területen válassza az + Új lehetőséget.

    Az automatikusan generált közösségimédia-bejegyzés leírása.

  2. Az Általános lapon adja meg a következő adatokat:

    • Név: MDATP MDAV System Extensions
    • Leírás: MDATP system extensions
    • Kategória: None
    • Terjesztési módszer: Install Automatically
    • Szint: Computer Level

    A konfigurációs beállítások új profilt adnak ki.

  3. A Rendszerbővítmények területen válassza a Konfigurálás lehetőséget.

    A rendszerbővítmények Konfigurálás lehetőségével rendelkező panel.

  4. A Rendszerbővítmények területen adja meg a következő adatokat:

    • Megjelenítendő név: Microsoft Corp. System Extensions
    • Rendszerbővítmény-típusok: Allowed System Extensions
    • Csapatazonosító: UBF8T346G9
    • Engedélyezett rendszerbővítmények:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Az MDATP MDAV rendszerbővítmények panelje.

  5. Válassza a Hatókör lapot.

    A Célszámítógépek kijelölési panel.

  6. Válassza a + Hozzáadás lehetőséget.

  7. Válassza a Számítógép Csoportok>csoport neve> alatt a Contoso számítógépcsoportja lehetőséget.

  8. Válassza a + Hozzáadás lehetőséget.

    Az Új macOS konfigurációs profil panel.

  9. Válassza a Mentés elemet.

    Az MDATP MDAV rendszerbővítményekkel kapcsolatos lehetőségek megjelenítése.

  10. Válassza a Kész lehetőséget.

    A konfigurációs beállítások sysext – végleges.

8. lépés: Hálózati bővítmény konfigurálása

A végpontészlelési és -válasz képességek részeként a macOS-en Végponthoz készült Microsoft Defender megvizsgálja a szoftvercsatorna forgalmát, és jelenti ezeket az információkat a Microsoft Defender portálon.

Megjegyzés:

Ezek a lépések macOS 11 (Big Sur) vagy újabb rendszeren alkalmazhatók. Bár a Jamf támogatja az értesítéseket a macOS 10.15-ös vagy újabb verziójában, a Végponthoz készült Defender macOS 11-es vagy újabb verziójára van szükség.

  1. A Jamf Pro irányítópultján válassza a Számítógépek, majd a Konfigurációs profilok lehetőséget.

  2. Válassza az Új lehetőséget, és adja meg a következő adatokat a Beállítások mezőben:

  3. Az Általános lapon adja meg a következő értékeket:

    • Név: Microsoft Defender Network Extension
    • Leírás: macOS 11 (Big Sur) or later
    • Kategória: None *(default)*
    • Terjesztési módszer: Install Automatically *(default)*
    • Szint: Computer Level *(default)*

  4. A Tartalomszűrő lapon adja meg a következő értékeket:

    • Szűrő neve: Microsoft Defender Content Filter
    • Azonosító: com.microsoft.wdav
    • Hagyja üresen a szolgáltatás címét, a szervezetet, a felhasználónevet, a jelszót és a tanúsítványt (a Belefoglalásnincs kiválasztva)
    • Szűrési sorrend: Inspector
    • Szoftvercsatornaszűrő: com.microsoft.wdav.netext
    • Szoftvercsatorna-szűrőre kijelölt követelmény: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • Hagyja üresen a Hálózatszűrő mezőket (a Belefoglalásnincs kiválasztva)

    Vegye figyelembe, hogy az Azonosító, a Szoftvercsatornaszűrő és a Szoftvercsatornaszűrő által kijelölt követelmény pontos értékei a korábban megadottak szerint.

    Az mdatpmdav konfigurációs beállítás.

  5. Válassza a Hatókör lapot.

    A konfigurációs beállítások hatókörlapja.

  6. Válassza a + Hozzáadás lehetőséget. Válassza a Számítógép Csoportok lehetőséget, majd a Csoport neve területen válassza a Contoso számítógépcsoportja lehetőséget. Ezután válassza a + Hozzáadás lehetőséget.

    A konfigurációs beállítások adim.

  7. Válassza a Mentés elemet.

    A Tartalomszűrő panel.

  8. Válassza a Kész lehetőséget.

    A konfigurációs beállítások netext – végleges.

Másik lehetőségként letöltheti a netfilter.mobileconfig fájlt, és feltöltheti a Jamf konfigurációs profiljaiba az Egyéni konfigurációs profilok üzembe helyezése a Jamf Pro használatával című cikkben leírtak szerint.

9. lépés: Háttérszolgáltatások konfigurálása

Figyelem!

A macOS 13 (Ventura) új adatvédelmi fejlesztéseket tartalmaz. Ettől a verziótól kezdve az alkalmazások alapértelmezés szerint nem futtathatók a háttérben explicit hozzájárulás nélkül. Végponthoz készült Microsoft Defender a démonfolyamatot a háttérben kell futtatnia.

Ez a konfigurációs profil háttérszolgáltatás-engedélyeket biztosít a Végponthoz készült Microsoft Defender. Ha korábban a Jamfen keresztül konfigurálta Végponthoz készült Microsoft Defender, javasoljuk, hogy frissítse az üzemelő példányt ezzel a konfigurációs profillal.

Töltse le background_services.mobileconfig fájlt a GitHub-adattárból.

Töltse fel a letöltött mobilkonfigurációt a Jamf konfigurációs profiljaiba az Egyéni konfigurációs profilok üzembe helyezése a Jamf Pro használatával című cikkben leírtak szerint.2. módszer: Konfigurációs profil feltöltése a Jamf Pro-ba.

10. lépés: Bluetooth-engedélyek megadása

Figyelem!

A macOS 14 (Sonoma) új adatvédelmi fejlesztéseket tartalmaz. Ezzel a verzióval kezdődően az alkalmazások alapértelmezés szerint nem férhetnek hozzá a Bluetooth-hez kifejezett hozzájárulás nélkül. Végponthoz készült Microsoft Defender akkor használja, ha Bluetooth-szabályzatokat konfigurál az eszközvezérléshez.

Töltse le a bluetooth.mobileconfig fájlt a GitHub-adattárból.

Figyelmeztetés

A Jamf Pro jelenlegi verziója még nem támogatja az ilyen hasznos adatokat. Ha a mobilkonfigurálást az adott állapotában tölti fel, a Jamf Pro eltávolítja a nem támogatott hasznos adatokat, és nem alkalmazható az ügyfélszámítógépekre. Először alá kell írnia a letöltött mobileconfigot, ezt követően a Jamf Pro "lezártnak" tekinti, és nem módosítja azt. Lásd az alábbi utasításokat:

  • Legalább egy aláíró tanúsítványt telepítenie kell a kulcskarikára, még egy önaláírt tanúsítvány is működik. A következőket vizsgálhatja meg:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

Válassza ki bármelyiket, és adja meg az idézett szöveget paraméterként -N :

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Most már feltöltheti a létrehozott bluetooth-signed.mobileconfig konfigurációt a Jamf Pro-ba az Egyéni konfigurációs profilok üzembe helyezése a Jamf Pro használatával című cikkben leírtak szerint.2. módszer: Konfigurációs profil feltöltése a Jamf Pro-ba.

Megjegyzés:

Az Apple MDM konfigurációs profilon keresztül megadott Bluetooth nem jelenik meg a Rendszerbeállítások => Adatvédelem & Biztonság => Bluetooth területen.

11. lépés: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender macOS rendszeren

Kövesse a vizsgálatok ütemezése Végponthoz készült Microsoft Defender macOS rendszeren című cikk utasításait.

12. lépés: Végponthoz készült Microsoft Defender üzembe helyezése macOS rendszeren

Megjegyzés:

A következő lépésekben a fájl neve .pkg és a Megjelenítendő név értékek példák. Ezekben a példákban 200329yymmdd a a csomag és a szabályzat létrehozásának dátumát jelöli (formátumban), és v100.86.92 az üzembe helyezett Microsoft Defender alkalmazás verzióját jelöli. Ezeket az értékeket frissíteni kell, hogy megfeleljenek a környezetében a Csomagok és szabályzatok elnevezési konvenciójának.

  1. Navigáljon oda, ahová mentette wdav.pkg.

    A fájlkezelő wdav csomagja.

  2. Nevezze át a névre wdav_MDM_Contoso_200329.pkg.

    A fájlkezelő1 wdavmdm csomagja.

  3. Nyissa meg a Jamf Pro irányítópultját.

    A Jamf Pro konfigurációs beállításai.

  4. Válassza ki a számítógépet, válassza a fogaskerék ikont a képernyő tetején, majd válassza a Számítógép-kezelés lehetőséget.

    A konfigurációs beállítások – számítógép-kezelés.

  5. A Csomagok területen válassza az + Új lehetőséget.

    A madár leírása egy automatikusan létrehozott csomaghoz.

  6. Az Általános lapÚj csomag területén adja meg a következő adatokat:

    • Megjelenítendő név: Egyelőre hagyja üresen. Mert a pkg kiválasztásakor a rendszer alaphelyzetbe állítja.
    • Kategória: None (default)
    • Fájlnév: Choose File

    A konfigurációs beállítások Általános lapja.

  7. Nyissa meg a fájlt, és mutasson a vagy wdav_MDM_Contoso_200329.pkga fájlrawdav.pkg.

    Az automatikusan létrehozott csomag leírását megjelenítő számítógépképernyő.

  8. Válassza a Megnyitás parancsot. A Megjelenítendő név mezőben adja meg az Advanced Threat Protection és Microsoft Defender víruskereső Microsoft Defender.

    • A jegyzékfájlra nincs szükség. Végponthoz készült Microsoft Defender jegyzékfájl nélkül működik.
    • Beállítások lap: Tartsa meg az alapértelmezett értékeket.
    • Korlátozások lap: Tartsa meg az alapértelmezett értékeket.

    A konfigurációs beállítások korlátozási lapja.

  9. Válassza a Mentés elemet. A csomag fel lesz töltve a Jamf Pro-ba.

    A konfigurációs beállítások csomagjának feltöltési folyamata a konfigurációs beállításokhoz kapcsolódó csomaghoz.

    Eltarthat néhány percig, amíg a csomag elérhetővé válik az üzembe helyezéshez.

    A csomag konfigurációs beállításokhoz való feltöltésének egy példánya.

  10. Lépjen a Szabályzatok lapra.

A konfigurációs beállítások szabályzatai.

  1. Új szabályzat létrehozásához válassza az + Új lehetőséget.

    A konfigurációs beállítások új szabályzata.

  2. Az Általános lapon a Megjelenítendő név mezőben használja a következőt MDATP Onboarding Contoso 200329 v100.86.92 or later: .

    A konfigurációs beállítások – MDATP előkészítése.

  3. Válassza az Ismétlődő bejelentkezés lehetőséget.

    A konfigurációs beállítások ismétlődő bejelentkezése.

  4. Válassza a Mentés elemet. Ezután válassza a Csomagok, majd aKonfigurálás lehetőséget.

    A csomagok konfigurálásának lehetősége.

  5. Válassza a Hozzáadás gombot Microsoft Defender Advanced Threat Protection és Microsoft Defender Víruskereső elem mellett.

    További beállítások hozzáadása az MDATP MDA-hoz.

  6. Válassza a Mentés elemet.

    A konfigurációs beállítások mentési lehetősége.

Hozzon létre egy intelligens csoportot Microsoft Defender profilokkal rendelkező gépekhez.

A jobb felhasználói élmény érdekében a regisztrált gépek konfigurációs profiljait telepíteni kell Microsoft Defender csomagja előtt. A legtöbb esetben a JamF Pro azonnal leküldi a konfigurációs profilokat, és a szabályzatok végrehajtása egy idő után (vagyis a bejelentkezés során) történik. Bizonyos esetekben azonban a konfigurációs profilok üzembe helyezése jelentős késéssel is üzembe helyezhető (azaz ha a felhasználó gépe zárolva van).

A Jamf Pro lehetővé teszi a megfelelő sorrend biztosítását. Létrehozhat egy intelligens csoportot azokhoz a gépekhez, amelyek már megkapták Microsoft Defender konfigurációs profilját, és csak ezekre a gépekre telepíti Microsoft Defender csomagját (és amint megkapják ezt a profilt).

Hajtsa végre az alábbi lépéseket:

  1. Hozzon létre egy intelligens csoportot. Egy új böngészőablakban nyissa meg az Intelligens számítógépek Csoportok.

  2. Válassza az Új lehetőséget, és adjon nevet a csoportnak.

  3. A Feltételek lapon válassza a Hozzáadás, majd a Speciális feltételek megjelenítése lehetőséget.

  4. Feltételként válassza a Profilnév lehetőséget, és használja a korábban létrehozott konfigurációs profil nevét értékként:

    Intelligens csoport létrehozása.

  5. Válassza a Mentés elemet.

  6. Vissza arra az ablakra, ahol a csomagszabályzatot konfigurálja.

  7. Válassza a Hatókör lapot.

    A konfigurációs beállításokhoz kapcsolódó Hatókör lap.

  8. Válassza ki a célszámítógépeket.

    A számítógépcsoportok hozzáadásának lehetősége.

  9. A Hatókör területen válassza a Hozzáadás lehetőséget.

    A konfigurációs beállítások – ad1.

  10. Váltson a Számítógép Csoportok lapra. Keresse meg a létrehozott intelligens csoportot, majd válassza a Hozzáadás lehetőséget.

A konfigurációs beállítások – ad2.

  1. Ha azt szeretné, hogy a felhasználók önként (vagy igény szerint) telepítsék a Végponthoz készült Defendert, válassza az Önkiszolgáló lehetőséget.

A konfigurációs beállítások Önkiszolgáló lapja.

  1. Válassza a Kész lehetőséget.

A Contoso előkészítési állapota a befejezési lehetőséggel.

A szabályzatok lap.

Konfigurációs profil hatóköre

A Jamf megköveteli, hogy egy konfigurációs profilhoz több gépet definiáljon. Győződjön meg arról, hogy a Defender csomagját fogadó összes gép a fent felsorolt összes konfigurációs profilt is megkapja.

Figyelmeztetés

A Jamf támogatja az intelligensszámítógép-Csoportok, amelyek lehetővé teszik a dinamikusan kiértékelt bizonyos feltételeknek megfelelő konfigurációs profilok vagy szabályzatok telepítését az összes gépen. Ez egy hatékony fogalom, amelyet széles körben használnak a konfigurációs profilok terjesztésére.

Ne feledje azonban, hogy ezek a feltételek nem tartalmazhatják a Defender jelenlétét a gépen. Ennek a feltételnek a használata logikusnak tűnhet, azonban nehezen diagnosztizálható problémákat okoz.

A Defender ezekre a profilokra támaszkodik a telepítés pillanatában.

A Konfigurációs profilok a Defender jelenlététől függően történő beállítása hatékonyan késlelteti a konfigurációs profilok telepítését, és kezdetben nem megfelelő állapotú terméket eredményez, és/vagy a profilok által egyébként automatikusan jóváhagyott alkalmazásengedélyek manuális jóváhagyását kéri. Ha a konfigurációs profilok telepítése után üzembe helyez egy szabályzatot Microsoft Defender csomagjával, az biztosítja a végfelhasználó számára a legjobb élményt, mivel a csomag telepítése előtt az összes szükséges konfigurációt alkalmazza a rendszer.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.