Microsoft Intuneを使用して macOS にMicrosoft Defender for Endpointをデプロイする
適用対象:
- macOS 用 Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
このトピックでは、Microsoft Intuneを介して macOS にMicrosoft Defender for Endpointをデプロイする方法について説明します。 デプロイが成功するには、次のすべての手順を完了する必要があります。
前提条件とシステム要件
作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「macOS のメイン Microsoft Defender for Endpoint」ページを参照してください。
注:
Microsoft Defender for Endpointは、Apple が 2022 年 12 月に Catalina (10.15) のサポートを終了したので、macOS Catalina (10.15) はサポートされなくなりました。
概要
次の表は、Microsoft Intuneを使用して Mac でMicrosoft Defender for Endpointをデプロイおよび管理するために必要な手順をまとめたものです。 詳細な手順については、以下を参照してください。
| 手順 | サンプル ファイル名 | BundleIdentifier |
|---|---|---|
| オンボーディング パッケージをダウンロードする | WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml | com.microsoft.wdav.atp |
| Microsoft Defender for Endpointのシステム拡張機能を承認する | MDATP_SysExt.xml | 該当なし |
| ネットワーク拡張機能ポリシー | MDATP_NetExt.xml | 該当なし |
| Microsoft AutoUpdate (MAU) を構成する | MDATP_Microsoft_AutoUpdate.xml | com.microsoft.autoupdate2 |
| Microsoft Defender for Endpoint構成設定 メモ: macOS 用のサード パーティ製 AV を実行する予定の場合は、 を に設定 |
MDATP_WDAV_and_exclusion_settings_Preferences.xml | com.microsoft.wdav |
| Microsoft Defender for Endpointおよび MS AutoUpdate (MAU) 通知を構成する | MDATP_MDAV_Tray_and_AutoUpdate2.mobileconfig | com.microsoft.autoupdate2 または com.microsoft.wdav.tray |
オンボーディング パッケージをダウンロードする
Microsoft 365 Defender ポータルからオンボード パッケージをダウンロードします。
Microsoft 365 Defender ポータルで、[設定] [エンドポイント]> [デバイス管理>] [オンボード]> の順に移動します。
オペレーティング システムを macOS に設定し、デプロイ方法を Mobile デバイス管理/Microsoft Intune に設定します。
![[オンボード設定] ページ](images/macos-install-with-intune.png?view=o365-worldwide)
[オンボーディング パッケージをダウンロードする] を選択します。 同じディレクトリ にWindowsDefenderATPOnboardingPackage.zip として保存します。
.zip ファイルの内容を抽出します。
unzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip warning: WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators inflating: intune/kext.xml inflating: intune/WindowsDefenderATPOnboarding.xml inflating: jamf/WindowsDefenderATPOnboarding.plist
![[オンボード設定] ページ](images/macos-install-with-intune.png?view=o365-worldwide#lightbox)
システム構成プロファイルの作成
次の手順では、必要なシステム構成プロファイルMicrosoft Defender for Endpoint作成します。 Microsoft Intune管理センターで、[デバイス>構成プロファイル] を開きます。
BLOB のオンボード
このプロファイルには、Microsoft Defender for Endpointのライセンス情報が含まれています。 ライセンス情報がないと、Microsoft Defender for Endpointはライセンスが付与されていないことを報告します。
[構成プロファイル] で [プロファイルの作成] を選択します。
[プラットフォーム=macOS]、[プロファイルの種類] [テンプレート] を選択=します。 テンプレート名=カスタム。 [作成] をクリックします。
![[カスタム構成プロファイルの作成] ページ](images/mdatp-6-systemconfigurationprofiles-1.png?view=o365-worldwide)
プロファイルの名前を選択します(例: "Defender for Cloud または Endpoint onboarding for macOS")。 [次へ] をクリックします。
![[カスタム構成プロファイル名] フィールド](images/mdatp-6-systemconfigurationprofiles-2.png?view=o365-worldwide)
構成プロファイル名の名前 (例: "Defender for Endpoint onboarding for macOS" ) を選択します。
デプロイ チャネルを選択します。
上記のオンボード パッケージから抽出した intune/WindowsDefenderATPOnboarding.xmlを構成プロファイル ファイルとして選択します。
[次へ] をクリックします。
[割り当て] タブでデバイスを 割り当てます 。[ 次へ] をクリックします。
確認して 作成します。
[デバイス>構成プロファイル] を開くと、作成したプロファイルがそこに表示されます。
![[カスタム構成プロファイルの作成] ページ](images/mdatp-6-systemconfigurationprofiles-1.png?view=o365-worldwide#lightbox)
![[カスタム構成プロファイル名] フィールド](images/mdatp-6-systemconfigurationprofiles-2.png?view=o365-worldwide#lightbox)
システム拡張機能の承認
このプロファイルは、macOS 11 (Big Sur) 以降に必要です。 古い macOS では無視されます。
[構成プロファイル] で [プロファイルの作成] を選択します。
[プラットフォーム=macOS]、[プロファイルの種類] [テンプレート] を選択=します。 テンプレート名=拡張機能。 [作成] をクリックします。
[ 基本 ] タブで、この新しいプロファイルに名前を付けます。
[ 構成設定 ] タブで、[ システム拡張機能] を展開し、[ 許可されているシステム拡張機能 ] セクションに次のエントリを追加します。
バンドル識別子 チーム識別子 com.microsoft.wdav.epsext UBF8T346G9 com.microsoft.wdav.netext UBF8T346G9 
[割り当て] タブで、このプロファイルを [すべてのユーザー] [すべてのデバイス] &に割り当てます。
この構成プロファイルを確認して作成します。
フル ディスク アクセス
注:
Intuneなどのモバイル デバイス管理 ソリューションを使用して TCC (透明性、同意&制御) を有効にすると、Defender for Endpoint が完全なディスク アクセス承認を失って正常に機能するリスクがなくなります。
この構成プロファイルは、Microsoft Defender for Endpointへのフル ディスク アクセスを許可します。 以前にIntuneを使用してMicrosoft Defender for Endpointを構成した場合は、この構成プロファイルを使用してデプロイを更新することをお勧めします。
GitHub リポジトリから fulldisk.mobileconfig をダウンロードします。
"Defender for Endpoint Full Disk Access" をプロファイル名として使用し、構成プロファイル名として fulldisk.mobileconfig をダウンロードして、上記の BLOB のオンボードに関する手順に従います。
ネットワーク フィルター
エンドポイント検出と応答機能の一部として、macOS のMicrosoft Defender for Endpointはソケット トラフィックを検査し、この情報をMicrosoft 365 Defender ポータルに報告します。 次のポリシーを使用すると、ネットワーク拡張機能がこの機能を実行できます。
GitHub リポジトリから netfilter.mobileconfig をダウンロードします。
"Defender for Endpoint Network Filter" をプロファイル名として使用し、netfilter.mobileconfig を構成プロファイル名としてダウンロードして、上記の BLOB のオンボードに関する手順に従います。
通知
このプロファイルは、macOS と Microsoft Auto Update のMicrosoft Defender for Endpointが UI に通知を表示できるようにするために使用されます。
GitHub リポジトリから notif.mobileconfig をダウンロードします。
"Defender for Endpoint Notifications" をプロファイル名として使用し、notif.mobileconfig を構成プロファイル名としてダウンロードして、上記の BLOB のオンボードに関する手順に従います。
Background Services
注意
macOS 13 (Ventura) には、新しいプライバシーの強化が含まれています。 このバージョン以降、既定では、明示的な同意なしにアプリケーションをバックグラウンドで実行することはできません。 Microsoft Defender for Endpointデーモン プロセスをバックグラウンドで実行する必要があります。
この構成プロファイルは、バックグラウンド サービスのアクセス許可をMicrosoft Defender for Endpointに付与します。 以前にMicrosoft Intuneを使用してMicrosoft Defender for Endpointを構成した場合は、この構成プロファイルを使用してデプロイを更新することをお勧めします。
GitHub リポジトリから background_services.mobileconfig をダウンロードします。
"Defender for Background Services" をプロファイル名として使用し、構成プロファイル名として background_services.mobileconfig をダウンロードして、上から BLOB をオンボードする手順に従います。
状態の表示
Intune変更が登録済みデバイスに反映されると、[デバイスの状態の監視>] に一覧表示されます。
アプリケーションの発行
この手順では、登録済みマシンにMicrosoft Defender for Endpointをデプロイできます。
Microsoft Intune管理センターで、[アプリ] を開きます。
[プラットフォーム > 別 macOS > Add] を選択します。
[ アプリの種類=] macOS を選択し、[ 選択] をクリックします。
既定値をそのままにして、[ 次へ] をクリックします。
割り当てを追加し、[ 次へ] をクリックします。
![[Intune割り当て情報] ページ](images/mdatp-11-assignments.png?view=o365-worldwide)
確認して 作成します。
[プラットフォーム>別アプリ]>macOS にアクセスして、すべてのアプリケーションの一覧で確認できます。
![[Intune割り当て情報] ページ](images/mdatp-11-assignments.png?view=o365-worldwide#lightbox)
詳細については、「Microsoft Intuneを使用して macOS デバイスにMicrosoft Defender for Endpointを追加する」を参照してください。
注意
上記で説明したように、必要なすべての構成プロファイルを作成し、すべてのマシンにプッシュする必要があります。
クライアント デバイスのセットアップ
標準のポータル サイトインストールを超えて Mac デバイスに特別なプロビジョニングを行う必要はありません。
デバイス管理を確認します。
![[デバイス管理の確認] ページ](images/mdatp-3-confirmdevicemgmt.png?view=o365-worldwide)
[ Open System Preferences]\(システム環境設定を開く\) を選択し、一覧から [管理プロファイル ] を見つけて、[ 承認...] を選択します。[管理プロファイル] が [検証済み] として表示されます。
![[管理プロファイル] ページ](images/mdatp-4-managementprofile.png?view=o365-worldwide)
[ 続行] を 選択し、登録を完了します。
これで、さらに多くのデバイスを登録できます。 システム構成とアプリケーション パッケージのプロビジョニングが完了したら、後で登録することもできます。
Intuneで、[デバイスの管理>] [すべてのデバイス]> を開きます。 ここでは、一覧の中からデバイスを確認できます。
![[すべてのデバイス] ページ](images/mdatp-5-alldevices.png?view=o365-worldwide)
![[デバイス管理の確認] ページ](images/mdatp-3-confirmdevicemgmt.png?view=o365-worldwide#lightbox)
![[管理プロファイル] ページ](images/mdatp-4-managementprofile.png?view=o365-worldwide#lightbox)
![[すべてのデバイス] ページ](images/mdatp-5-alldevices.png?view=o365-worldwide#lightbox)
クライアント デバイスの状態を確認する
構成プロファイルがデバイスに展開されたら、Mac デバイスで [システム環境設定プロファイル] を>開きます。
![[システム環境設定] ページ](images/mdatp-13-systempreferences.png?view=o365-worldwide)
![[システム環境設定プロファイル] ページ](images/mdatp-14-systempreferencesprofiles.png?view=o365-worldwide)
次の構成プロファイルが存在し、インストールされていることを確認します。 管理プロファイルは、Intune システム プロファイルである必要があります。 Wdav-config と wdav-kext は、Intuneで追加されたシステム構成プロファイルです。
![[プロファイル] ページ](images/mdatp-15-managementprofileconfig.png?view=o365-worldwide)
右上隅には、Microsoft Defender for Endpoint アイコンも表示されます。
![[システム環境設定] ページ](images/mdatp-13-systempreferences.png?view=o365-worldwide#lightbox)
![[システム環境設定プロファイル] ページ](images/mdatp-14-systempreferencesprofiles.png?view=o365-worldwide#lightbox)
![[プロファイル] ページ](images/mdatp-15-managementprofileconfig.png?view=o365-worldwide#lightbox)
トラブルシューティング
問題: ライセンスが見つかりません。
解決策: 上記の手順に従って、WindowsDefenderATPOnboarding.xmlを使用してデバイス プロファイルを作成します。
ログのインストールに関する問題
エラーが発生したときにインストーラーによって作成される自動的に生成されたログを検索する方法の詳細については、「 ログのインストールに関する問題」を参照してください。
アンインストール
クライアント デバイスから macOS 上のMicrosoft Defender for Endpointを削除する方法の詳細については、「アンインストール」を参照してください。