macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
macOS 上のMicrosoft Defender for Endpointに組み込まれているスキャンをスケジュールする
Microsoft Defender for Endpointを使用して脅威スキャンをいつでも開始できますが、企業はスケジュールされたスキャンや時間指定スキャンの恩恵を受ける可能性があります。 たとえば、毎日または週の初めに実行するようにスキャンをスケジュールできます。
スケジュールされたスキャンには、時間単位、日単位、週単位の 3 種類のスキャンを構成できます。 毎時および毎日のスケジュールされたスキャンは常にクイック スキャンとして実行され、毎週のスキャンはクイック スキャンまたはフル スキャンのいずれかに構成できます。 3 種類のスケジュールされたスキャンをすべて同時に実行できます。 この記事のサンプルを参照してください。
前提条件:
- プラットフォーム更新プログラムのバージョン: 101.23122.0005 以降
macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする
macOS でMicrosoft Defender for Endpointするために組み込まれている macOS のスケジュールされたスキャンを作成できます。
ここで使用されるファイル形式の .plist 詳細については、Apple の公式開発者向け Web サイトの 「情報プロパティ リスト ファイルについて 」を参照してください。
次の例は、macOS でのスケジュールされたスキャンの日単位または週単位の構成を示しています。
ヒント
スケジュールは、デバイスのローカル タイム ゾーンに基づいています。
| パラメーター | このパラメーターの有効な値は次のとおりです。 |
|---|---|
scheduledScan |
enabled または disabled |
scanType |
quick または full |
ignoreExclusions |
true または false |
| lowPriorityScheduledScan |
true または false |
dayOfWeek |
範囲は と の間 0 です 8。 - 0:毎日毎日- 1:日曜日- 2:月曜日- 3:火曜日- 4:水曜日- 5:木曜日- 6:金曜日- 7:土曜日- 8:一度もない |
timeOfDay |
スケジュールされたスキャンを実行する時刻を の minutes after midnight数として指定します。 時刻は、コンピューター上のローカル時刻を指します。 このパラメーターの値を指定しない場合、スケジュールされたスキャンは、午前 0 時から 2 時間後の既定の時刻に実行されます。 |
interval |
0 (なし)、 every 1 (時間) から every 24 (時間、1 日あたり 1 回のスキャン) |
randomizeScanStartTime |
毎日のクイック スキャンまたは毎週のクイック/フル スキャンにのみ適用されます。 スキャンの開始時刻を、指定された時間数だけランダム化します。 たとえば、スキャンが午後 2 時にスケジュールされ randomizeScanStartTime 、2 に設定されている場合、スキャンは午後 2 時から午後 4 時のランダムな時間に開始されます。 |
スケジュールされたスキャンは、 で定義した日付、時刻、頻度で plist実行されます。
例 1: plist を使用して毎日のクイック スキャンと毎週のフル スキャンをスケジュールする
次の例では、毎日のクイック スキャン構成は、午前 0 時 (午後 2 時 45 分) の 885 分後に実行するように設定されています。 毎週の構成は、水曜日の午前 0 時 (午後 2 時 40 分) の 880 分後にフル スキャンを実行するように設定されています。 また、除外を無視し、優先度の低いスキャンを実行するように設定されています。
次のコードは、前に説明した要件に従ってスキャンをスケジュールするために使用する必要があるスキーマを示しています。
- テキスト エディターを開き、この例を独自のスケジュールされたスキャン ファイルのガイドとして使用します。
Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- ファイルを として
com.microsoft.wdav.mobileconfig保存します。
JamF およびその他のサード パーティ MDM の場合
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
ファイルを として
com.microsoft.wdav.plist保存します。スケジュールされたスキャンが "設定設定" を使用して構成されていることを確認します
mdatp health --details scheduled_scan結果には、[マネージド] が表示されます。
例 2: plist を使用して、1 時間ごとのクイック スキャン、毎日のクイック スキャン、毎週のフル スキャンをスケジュールする
次の例では、1 時間ごとのクイック スキャンが 6 時間ごとに実行され、毎日のクイック スキャン構成は午前 0 時 (午後 2 時 45 分) の後の 885 分に実行されるように設定され、毎週のフル スキャンは水曜日の午前 0 時 (午後 2 時 40 分) の 880 分後に実行されます。
Intuneの場合:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- ファイルを として
com.microsoft.wdav.mobileconfig保存します。
JamF およびその他のサード パーティ MDM の場合
- テキスト エディターを開き、この例を使用します。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
ファイルを として
com.microsoft.wdav.plist保存します。スケジュールされたスキャンが "設定設定" を使用して構成されていることを確認します
mdatp health --details scheduled_scan結果には、[マネージド] が表示されます。
オプション 3: CLI ツールを使用してスケジュールされたスキャンを構成する
スケジュールされたスキャン機能を有効にするには:
| バージョン | command |
|---|---|
| バージョン 101.23122.x 以降 | sudo mdatp config scheduled-scan settings feature --value enabled |
時間単位のクイック スキャンをスケジュールするには:
| バージョン | command |
|---|---|
| バージョン 101.23122.x 以降 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
毎日のクイック スキャンをスケジュールするには:
| バージョン | command |
|---|---|
| バージョン 101.23122.x 以降 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
毎週のスキャンをスケジュールするには:
| バージョン | command |
|---|---|
| バージョン 101.23122.x 以降 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
その他の構成オプションの場合:
スケジュールされたスキャンの前に定義の更新をチェックするには:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueスケジュールされたスキャンに優先度の低いスレッドを使用するには:
sudo mdatp config scheduled-scan settings low-priority --value true
スケジュールされたスキャンが実行されたことを確認する
次のコマンドを使用します。
mdatp scan list
\<snip\>
重要
スケジュールされたスキャンは、デバイスがスリープ状態の間、スケジュールされた時刻には実行されません。 代わりに、スケジュールされたスキャンは、デバイスがスリープ モードから再開されたときに実行されます。 デバイスがオフになっている場合、スキャンは次回のスケジュールされたスキャン時刻に実行されます。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティとEngageします。