Üzembe helyezés másik Mobile Eszközkezelés (MDM) rendszerrel Végponthoz készült Microsoft Defender macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Előfeltételek és rendszerkövetelmények
A kezdés előtt tekintse meg a macOS fő Végponthoz készült Microsoft Defender oldalon az aktuális szoftververzió előfeltételeinek és rendszerkövetelményeinek leírását.
Megközelítés
Figyelem!
A Microsoft jelenleg hivatalosan csak a Intune és a JAMF-et támogatja a macOS-en futó Végponthoz készült Microsoft Defender üzembe helyezéséhez és kezeléséhez. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az alábbi információkra vonatkozóan.
Ha szervezete hivatalosan nem támogatott Mobileszköz-Eszközkezelés (MDM) megoldást használ, az nem jelenti azt, hogy nem tudja telepíteni vagy futtatni a Végponthoz készült Microsoft Defender macOS rendszeren.
Végponthoz készült Microsoft Defender macOS rendszeren nem függ semmilyen szállítóspecifikus funkciótól. Bármilyen MDM-megoldással használható, amely a következő funkciókat támogatja:
- MacOS-.pkg üzembe helyezése felügyelt eszközökön.
- MacOS rendszerkonfigurációs profilok telepítése felügyelt eszközökre.
- Futtasson egy tetszőleges rendszergazda által konfigurált eszközt/szkriptet a felügyelt eszközökön.
A legtöbb modern MDM-megoldás tartalmazza ezeket a funkciókat, de másként is hívhatja őket.
A Végponthoz készült Defendert azonban az előző lista utolsó követelménye nélkül is üzembe helyezheti:
- Az állapotokat nem fogja tudni központosított módon gyűjteni.
- Ha úgy dönt, hogy eltávolítja a Végponthoz készült Defendert, helyi rendszergazdaként kell bejelentkeznie az ügyféleszközre.
Bevezetés
A legtöbb MDM-megoldás ugyanazt a modellt használja a macOS-eszközök kezeléséhez, hasonló terminológiával. HASZNÁLJON JAMF-alapú üzembe helyezést sablonként.
Csomag
Konfigurálja a szükséges alkalmazáscsomag üzembe helyezését a Microsoft Defender portalról letöltött telepítőcsomaggal (wdav.pkg).
Figyelmeztetés
A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.
A csomag vállalati üzembe helyezéséhez használja az MDM-megoldáshoz tartozó utasításokat.
Licencbeállítások
Állítson be egy rendszerkonfigurációs profilt.
Az MDM-megoldás az "Egyéni beállítások profilja" kifejezéshez hasonló lehet, mivel a macOS-en Végponthoz készült Microsoft Defender nem része a macOS-nek.
Használja a jamf/WindowsDefenderATPOnboarding.plist tulajdonságlistát, amely egy Microsoft Defender portálról letöltött előkészítési csomagból nyerhető ki. A rendszer tetszőleges tulajdonságlistát támogathat XML formátumban. Ebben az esetben feltöltheti a jamf/WindowsDefenderATPOnboarding.plist fájlt. Másik lehetőségként előfordulhat, hogy a tulajdonságlistát először másik formátumra kell konvertálnia.
Az egyéni profil általában azonosítóval, névvel vagy tartományi attribútummal rendelkezik. Ehhez az értékhez pontosan a "com.microsoft.wdav.atp" értéket kell használnia. Az MDM ezzel telepíti a beállításfájlt a /Library/Managed Preferences/com.microsoft.wdav.atp.plist webhelyen egy ügyféleszközön, a Végponthoz készült Defender pedig ezt a fájlt használja az előkészítési információk betöltéséhez.
Rendszerkonfigurációs profilok
A macOS megköveteli, hogy a felhasználó manuálisan és explicit módon jóváhagyjon bizonyos függvényeket, amelyeket az alkalmazás használ, például a rendszerbővítményeket, amelyek háttérben futnak, értesítéseket küldenek, teljes lemezhozzáférést stb. Végponthoz készült Microsoft Defender ezekre a függvényekre támaszkodnak, és nem tudnak megfelelően működni, amíg az összes hozzájárulás meg nem érkezik egy felhasználótól.
Ha a felhasználó nevében automatikusan szeretne hozzájárulást adni, a rendszergazda leküldi a rendszerszabályzatokat az MDM-rendszerén keresztül. Határozottan javasoljuk, hogy ezt tegye ahelyett, hogy a végfelhasználók manuális jóváhagyására hagyatkoznánk.
Minden olyan szabályzatot megadunk, amelyet Végponthoz készült Microsoft Defender igényel, mivel a mobilkonfigurálási fájlok a címen https://github.com/microsoft/mdatp-xplatérhetők el. A Mobileconfig az Apple importálási/exportálási formátuma, amelyet az Apple Configurator vagy más termékek, például az iMazing Profile Szerkesztő támogatnak.
A legtöbb MDM-szállító támogatja egy új egyéni konfigurációs profilt létrehozó mobileconfig-fájl importálását.
Profilok beállítása:
- Megtudhatja, hogyan történik a mobilkonfigurálás importálása az MDM-szállítóval.
- Az összes profilja https://github.com/microsoft/mdatp-xplatesetében töltse le a mobileconfig fájlt, és importálja azt.
- Rendelje hozzá a megfelelő hatókört minden létrehozott konfigurációs profilhoz.
Vegye figyelembe, hogy az Apple rendszeresen hoz létre új típusú hasznos adatokat az operációs rendszer új verzióival. Miután elérhetővé váltak, meg kell látogatnia a fent említett oldalt, és közzé kell tennie az új profilokat. Ha ilyen módosításokat hajtunk végre, értesítéseket teszünk közzé az Újdonságok lapon .
Végponthoz készült Defender konfigurációs beállításai
Végponthoz készült Microsoft Defender konfiguráció üzembe helyezéséhez konfigurációs profilra van szükség.
Az alábbi lépések bemutatják, hogyan alkalmazhatja és ellenőrizheti egy konfigurációs profil alkalmazását.
1. Az MDM üzembe helyezi a konfigurációs profilt a regisztrált gépeken . A profilokat a Rendszerbeállítások > profiljaiban tekintheti meg. Keresse meg Végponthoz készült Microsoft Defender konfigurációs beállítások profiljához használt nevet. Ha nem látja, hibaelhárítási tippekért tekintse meg az MDM dokumentációját.
2. A konfigurációs profil a megfelelő fájlban jelenik meg
Végponthoz készült Microsoft Defender olvasásokat /Library/Managed Preferences/com.microsoft.wdav.plist és /Library/Managed Preferences/com.microsoft.wdav.ext.plist fájlokat.
Csak ezt a két fájlt használja a felügyelt beállításokhoz.
Ha nem látja ezeket a fájlokat, de ellenőrizte, hogy a profilok kézbesítése megtörtént-e (lásd az előző szakaszt), az azt jelenti, hogy a profilok helytelenül vannak konfigurálva. Ezt a konfigurációs profilt "Számítógépszint" helyett "Felhasználói szint" értékre tette, vagy egy másik preferenciatartományt használt a Végponthoz készült Microsoft Defender által vártak helyett ("com.microsoft.wdav" és "com.microsoft.wdav.ext").
Az alkalmazáskonfigurációs profilok beállításához tekintse meg az MDM dokumentációját.
3. A konfigurációs profil a várt struktúrát tartalmazza
Ezt a lépést nehéz lehet ellenőrizni. Végponthoz készült Microsoft Defender a com.microsoft.wdav.plist szigorú struktúrát vár. Ha nem várt helyre helyezi a beállításokat, vagy hibásan írta be őket, vagy érvénytelen típust használ, a rendszer figyelmen kívül hagyja a beállításokat.
- Ellenőrizheti
mdatp healthés ellenőrizheti, hogy a konfigurált beállítások a következőként[managed]vannak-e jelentve: . - Megvizsgálhatja a tartalmát
/Library/Managed Preferences/com.microsoft.wdav.plist, és meggyőződhet arról, hogy az megfelel a várt beállításoknak:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
Útmutatóként használhatja a dokumentált konfigurációs profilstruktúrát .
Ez a cikk azt ismerteti, hogy a "antivirusEngine", "edr", "tamperProtection" a konfigurációs fájl legfelső szintjén található beállítások. A "scanHistoryMaximumItems" például a második szinten van, és egész típusúak.
Ezt az információt az előző parancs kimenetében kell látnia. Ha kiderült, hogy a "antivirusEngine" más beállítás alá van ágyazva, akkor a profil helytelenül van konfigurálva. Ha a "antivirusEngine" helyett a "antivirusengine" szó látható, a név hibás, és a beállítások teljes részhalmaza figyelmen kívül lesz hagyva. Ha "scanHistoryMaximumItems" => "10000"a nem a megfelelő típust használja, a rendszer figyelmen kívül hagyja a beállítást.
Ellenőrizze, hogy az összes profil telepítve van-e
Letöltheti és futtathatja a analyze_profiles.py. Ez a szkript összegyűjti és elemzi a gépen üzembe helyezett összes profilt, és figyelmezteti a kihagyott profilokról. Vegye figyelembe, hogy kihagyhat néhány hibát, és nem tud bizonyos tervezési döntésekről, amelyeket a rendszergazdák szándékosan hoznak. Útmutatásért használja ezt a szkriptet, de mindig vizsgálja meg, hogy lát-e hibaként megjelölt elemet. Az előkészítési útmutató például arra utasítja, hogy helyezzen üzembe egy konfigurációs profilt a blob előkészítéséhez. Egyes szervezetek mégis úgy döntenek, hogy inkább a manuális előkészítési szkriptet futtatják. analyze_profile.py figyelmezteti a kihagyott profilra. Dönthet úgy, hogy a konfigurációs profilon keresztül regisztrál, vagy figyelmen kívül hagyja a figyelmeztetést.
A telepítés állapotának ellenőrzése
Az előkészítés állapotának ellenőrzéséhez futtassa Végponthoz készült Microsoft Defender egy ügyféleszközön.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: