Jamf Pro で macOS ポリシーでMicrosoft Defender for Endpointを設定する

  • [アーティクル]

適用対象:

このページでは、Jamf Pro で macOS ポリシーを設定するために必要な手順について説明します。

次の手順を実行する必要があります。

  1. Microsoft Defender for Endpoint オンボード パッケージを取得する
  2. オンボード パッケージを使用して Jamf Pro で構成プロファイルをCreateする
  3. Microsoft Defender for Endpoint設定を構成する
  4. Microsoft Defender for Endpoint通知設定を構成する
  5. Microsoft AutoUpdate (MAU) を構成する
  6. Microsoft Defender for Endpointへのフル ディスク アクセスの付与
  7. Microsoft Defender for Endpointのシステム拡張機能を承認する
  8. ネットワーク拡張機能の構成
  9. Background Services の構成
  10. Bluetooth アクセス許可を付与する
  11. macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする
  12. macOS にMicrosoft Defender for Endpointをデプロイする

手順 1: Microsoft Defender for Endpoint オンボード パッケージを取得する

  1. Microsoft Defender XDRで、[設定エンドポイント>のオンボード] >に移動します。

  2. オペレーティング システムとして [macOS] を選択し、展開方法として [Mobile デバイス管理/Microsoft Intune] を選択します。

    [設定] ページ。

  3. [ オンボード パッケージのダウンロード (WindowsDefenderATPOnboardingPackage.zip)] を選択します。

  4. を抽出します WindowsDefenderATPOnboardingPackage.zip

  5. ファイルを任意の場所にコピーします。 たとえば、「 C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist 」のように入力します。

手順 2: オンボード パッケージを使用して Jamf Pro で構成プロファイルをCreateする

  1. 前のセクションのファイル WindowsDefenderATPOnboarding.plist を見つけます。

    WINDOWS DEFENDER ATP オンボード ファイル。

  2. Jamf Pro にサインインし、[ コンピューター>構成プロファイル] に移動し、[ 新規] を選択します。

    新しい Jamf Pro ダッシュボードを作成するページ。

  3. [ 全般 ] タブに次の詳細を入力します。

    • 名前: macOS のオンボードMDE
    • 説明: macOS の EDR オンボードをMDEする
    • カテゴリ: なし
    • 配布方法: 自動的にインストールする
    • レベル: コンピューター レベル

  4. [アプリケーション & カスタム設定] ページに移動し、[追加アップロード>] を選択します。

    構成アプリとカスタム設定。

  5. [ ファイルのアップロード (PLIST ファイル)] を選択し、[ 基本設定ドメイン] に「」と入力します com.microsoft.wdav.atp

    jamfpro plist アップロード ファイル。

    アップロード ファイル プロパティ List ファイル。

  6. [ 開く ] を選択し、オンボード ファイルを選択します。

    オンボード ファイル。

  7. [アップロード] を選択します。

    アップロードしている plist ファイル。

  8. [ スコープ ] タブを選択します。

    [スコープ] タブ。

  9. ターゲット コンピューターを選択します。

    ターゲット コンピューター。

    ターゲット。

  10. [保存] を選択します。

    ターゲット コンピューターの展開。

    ターゲット コンピューターの選択。

  11. [完了] を選択します。

    ターゲット グループのコンピューター。

    構成プロファイルの一覧。

手順 3: Microsoft Defender for Endpoint設定を構成する

JAMF Pro GUI を使用して、Microsoft Defender for Endpoint構成の個々の設定を編集するか、テキスト エディターで構成 Plist を作成して JAMF Pro にアップロードすることで、従来の方法を使用できます。

ユーザー設定ドメインとして正確にcom.microsoft.wdav使用する必要があることに注意してください。Microsoft Defender for Endpointは、この名前のみを使用し、com.microsoft.wdav.extそのマネージド設定を読み込みます。

(このバージョンは com.microsoft.wdav.ext 、GUI メソッドを使用する場合にまれに使用される場合がありますが、スキーマにまだ追加されていない設定を構成する必要もあります)。

GUI メソッド

  1. Schema.jsonファイルを Defender の GitHub リポジトリからダウンロードし、ローカル ファイルに保存します。

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. [コンピューター] で新しい構成プロファイルをCreateする ->[構成プロファイル] で、[全般] タブに次の詳細を入力します。

    新しいプロファイル。

    • 名前: MDATP MDAV 構成設定
    • Description:<blank>
    • カテゴリ: なし (既定値)
    • レベル: コンピューター レベル (既定値)
    • 配布方法: 自動的にインストールする (既定値)

  3. [ アプリケーション & カスタム設定 ] タブまで下にスクロールし、[ 外部アプリケーション] を選択し、[ 追加 ] をクリックし、カスタム スキーマ をソースとして使用して基本設定ドメインに使用します。

    カスタム スキーマを追加します。

  4. 基本設定ドメインとして「」と入力 com.microsoft.wdav し、[ スキーマの追加 ] を選択し、手順 1 でダウンロードしたschema.json ファイルを アップロード します。 [保存] をクリックします。

    スキーマをアップロードします。

  5. サポートされているすべてのMicrosoft Defender for Endpoint構成設定は、下の [基本設定ドメインのプロパティ] で確認できます。 [ プロパティの追加と削除 ] をクリックして管理する設定を選択し、[OK] をクリックして変更を保存 します 。 (選択されていない設定はマネージド構成に含まれず、エンド ユーザーはそれらの設定を自分のマシンで構成できます)。

    選択した管理設定。

  6. 設定の値を目的の値に変更します。 [ 詳細情報 ] をクリックすると、特定の設定のドキュメントを取得できます。 ( Plist プレビュー をクリックして、構成 plist の外観を調べることができます。[ フォーム エディター ] をクリックしてビジュアル エディターに戻ります)。

    設定値を変更するページ。

  7. [ スコープ ] タブを選択します。

    構成プロファイルスコープ。

  8. [Contoso のコンピューター グループ] を選択します

  9. [ 追加] を選択し、[保存] を選択 します

    構成設定を追加できるページ。

    構成設定を保存できるページ。

  10. [完了] を選択します。 新しい 構成プロファイルが表示されます。

    構成設定を完了するページ。

Microsoft Defender for Endpointは、時間の経過に伴って新しい設定を追加します。 これらの新しい設定がスキーマに追加され、新しいバージョンが GitHub に発行されます。 更新を行うために必要なのは、[アプリケーション & カスタム設定] タブで、更新されたスキーマのダウンロード、既存の構成プロファイルの編集、スキーマの編集です。

レガシ メソッド

  1. 次のMicrosoft Defender for Endpoint構成設定を使用します。

    • enableRealTimeProtection
    • passiveMode

    注:

    既定ではオンになっていません。macOS 用のサード パーティ製 AV を実行する予定の場合は、 に true設定します。

    • 除外
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats

    注:

    EICAR はサンプルに含まれています。概念実証を行う場合は、EICAR をテストする場合は特に削除してください。

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    詳細については、「 JAMF の完全な構成プロファイルのプロパティリスト」を参照してください。

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. ファイルを として MDATP_MDAV_configuration_settings.plist保存します。

  3. Jamf Pro ダッシュボードで、 コンピューターとその 構成プロファイルを開きます。 [ 新規 ] をクリックし、[ 全般 ] タブに切り替えます。

    新しいプロファイルを表示するページ。

  4. [ 全般 ] タブに次の詳細を入力します。

    • 名前: MDATP MDAV 構成設定
    • Description:<blank>
    • カテゴリ: なし (既定値)
    • 配布方法: 自動的にインストールする (既定値)
    • レベル: コンピューター レベル (既定値)

  5. [ アプリケーション & カスタム設定] で、[構成] を選択 します

    MDATP MDAV 構成設定。

    アプリケーションとカスタム設定。

  6. [ ファイルのアップロード (PLIST ファイル)] を選択します

    構成設定の plist ファイル。

  7. [ 基本設定ドメイン] に「」と入力 com.microsoft.wdavし、[ PLIST ファイルのアップロード] を選択します。

    構成設定の基本設定ドメイン。

  8. [ ファイルの選択] を選択します

    plist ファイルを選択するプロンプト。

  9. MDATP_MDAV_configuration_settings.plist を選択し、[開く] を選択します。

    mdatpmdav の構成設定。

  10. [アップロード] を選択します。

    構成設定のアップロード。

    構成設定に関連するイメージをアップロードするためのプロンプト。

    注:

    Intune ファイルをアップロードすると、次のエラーが発生します。

    構成設定に関連する Intune ファイルをアップロードするためのプロンプト。

  11. [保存] を選択します。

    構成設定に関連するイメージを保存するオプション。

  12. ファイルがアップロードされます。

    構成設定に関連するアップロードされたファイル。

    構成設定ページ。

  13. [ スコープ ] タブを選択します。

    構成設定のスコープ。

  14. [Contoso のコンピューター グループ] を選択します

  15. [ 追加] を選択し、[保存] を選択 します

    構成設定 addsav。

    構成設定の通知。

  16. [完了] を選択します。 新しい 構成プロファイルが表示されます。

    構成設定構成プロファイルイメージの画像。構成プロファイルの設定。

手順 4: 通知設定を構成する

これらの手順は、macOS 11 (Big Sur) 以降で適用できます。

  1. Jamf Pro ダッシュボードで、[コンピューター]、[構成プロファイル] 順に選択します。

  2. [新規] をクリックし、[オプション] の [全般] タブに次の詳細を入力します。

    • 名前: MDATP MDAV 通知設定
    • 説明: macOS 11 (Big Sur) 以降
    • カテゴリ: なし (既定値)
    • 配布方法: 自動的にインストール する (既定値)
    • レベル: コンピューター レベル (既定値)

    新しい macOS 構成プロファイル ページ。

    • [ 通知] タブの [ 追加] をクリックし、次の値を入力します。

      • バンドル ID: com.microsoft.wdav.tray
      • 重要なアラート: [無効] をクリックします
      • 通知: [有効にする] をクリックします
      • バナー アラートの種類: [含める] と [一時](既定値) を選択します
      • ロック画面の通知: [非表示] をクリック します
      • 通知センターの通知: [表示] をクリックします
      • バッジ アプリ アイコン: [表示] をクリックします

      構成設定 mdatpmdav 通知トレイ。

    • [通知] タブをクリックし、[もう 1 回追加] をクリックし、[新しい通知の設定] まで下にスクロールします

      • バンドル ID: com.microsoft.autoupdate.fba
      • 残りの設定を上記と同じ値に構成する

      構成設定 mdatpmdav notifications mau.

      通知構成を持つ 2 つの "テーブル" があり、1 つは バンドル ID の場合は com.microsoft.wdav.tray、もう 1 つは バンドル ID: com.microsoft.autoupdate.fba であることに注意してください。 要件に応じてアラート設定を構成できますが、バンドル ID は前の説明とまったく同じである必要があります。また、通知には [含める] スイッチを [オン] にする必要があります。

  3. [ スコープ ] タブを選択し、[ 追加] を選択します。

    構成設定の値を追加できるページ。

  4. [Contoso のコンピューター グループ] を選択します

  5. [ 追加] を選択し、[保存] を選択 します

    構成設定 contoso マシン グループの値を保存できるページ。

    構成設定の完了通知を表示するページ。

  6. [完了] を選択します。 新しい 構成プロファイルが表示されます。

    完了した構成設定。

手順 5: Microsoft AutoUpdate (MAU) を構成する

  1. 次のMicrosoft Defender for Endpoint構成設定を使用します。

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. として MDATP_MDAV_MAU_settings.plist保存します。

  3. Jamf Pro ダッシュボードで、[全般] を選択 します

    構成設定。

  4. [ 全般 ] タブに次の詳細を入力します。

    • 名前: MDATP MDAV MAU 設定
    • 説明: macOS 用 MDATP の Microsoft AutoUpdate 設定
    • カテゴリ: なし (既定値)
    • 配布方法: 自動的にインストールする (既定値)
    • レベル: コンピューター レベル (既定値)

  5. [ アプリケーション & カスタム設定] で、[ 構成] を選択 します

    構成設定アプリケーションとカスタム設定。

  6. [ ファイルのアップロード (PLIST ファイル)] を選択します

  7. [ 基本設定ドメイン] に「: com.microsoft.autoupdate2」と入力し、[ PLIST ファイルのアップロード] を選択します。

    構成設定の基本設定ドメイン。

  8. [ ファイルの選択] を選択します

    構成設定に関するファイルを選択するプロンプト。

  9. [MDATP_MDAV_MAU_settings.plist] を選択します。

    mdatpmdavmau の設定。

  10. [アップロード] を選択します。 構成設定に関するファイルのアップロード。

    構成設定に関するファイルのアップロード オプションを表示するページ。

  11. [保存] を選択します。

    構成設定に関するファイルの保存オプションを表示するページ。

  12. [ スコープ ] タブを選択します。

    構成設定の [スコープ] タブ。

  13. [追加] を選択します。

    デプロイ ターゲットを追加するオプション。

    構成設定にさらに値を追加するページ。

    構成設定にさらに値を追加できるページ。

  14. [完了] を選択します。

    構成設定に関する完了通知。

手順 6: Microsoft Defender for Endpointへのフル ディスク アクセスを許可する

  1. Jamf Pro ダッシュボードで、[ 構成プロファイル] を選択します。

    設定を構成するプロファイル。

  2. [ + 新規] を選択します。

  3. [ 全般 ] タブに次の詳細を入力します。

    • 名前: MDATP MDAV - EDR と AV へのフル ディスク アクセスの付与
    • 説明: macOS 11 (Big Sur) 以降では、新しいプライバシー設定ポリシー コントロール
    • カテゴリ: なし
    • 配布方法: 自動インストール
    • レベル: コンピューター レベル

    一般的な構成設定。

  4. [ プライバシー設定ポリシー制御の構成 ] で、[構成] を選択 します

    構成のプライバシー ポリシー制御。

  5. [ プライバシー設定ポリシー制御] に、次の詳細を入力します。

    • 識別子: com.microsoft.wdav
    • 識別子の種類: バンドル ID
    • コード要件: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    構成設定のプライバシー設定ポリシー制御の詳細。

  6. [+ 追加] を選択します。

    構成設定の [システム ポリシーのすべてのファイルの追加] オプション。

    • [アプリまたはサービス]: SystemPolicyAllFiles に設定します

    • [アクセス] : [許可] に設定します

  7. 右下にある [ 保存 ] を選択します。

    構成設定の保存操作。

  8. [App Access] の+横にある記号をクリックして、新しいエントリを追加します。

    構成設定に関連する保存操作。

  9. 次の詳細を入力します:

    • 識別子: com.microsoft.wdav.epsext
    • 識別子の種類: バンドル ID
    • コード要件: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. [+ 追加] を選択します。

    構成設定 tcc epsext エントリ。

    • [アプリまたはサービス]: SystemPolicyAllFiles に設定します

    • [アクセス] : [許可] に設定します

  11. 右下にある [ 保存 ] を選択します。

    構成設定 tcc epsext のもう 1 つのインスタンス。

  12. [ スコープ ] タブを選択します。

    構成設定のスコープを示すページ。

  13. [+ 追加] を選択します。

    構成設定を示すページ。

  14. [グループ名>] で [コンピューター グループ>] を選択し、Contoso の MachineGroup を選択します

    構成設定 contoso マシン グループ。

  15. [追加] を選択します。

  16. [保存] を選択します。

  17. [完了] を選択します。

    構成設定 contoso machine-group。

    構成設定の図。

または、「Jamf Pro を使用したカスタム構成プロファイルの展開|方法 2: 構成プロファイルを Jamf Pro にアップロードします。

注:

Apple MDM 構成プロファイルを介して付与された完全なディスク アクセスは、システム設定 => プライバシー & セキュリティ => フル ディスク アクセスには反映されません。

手順 7: Microsoft Defender for Endpointのシステム拡張機能を承認する

  1. [構成プロファイル] で、[+ 新規] を選択します。

    自動的に生成されたソーシャル メディア投稿の説明。

  2. [ 全般 ] タブに次の詳細を入力します。

    • 名前: MDATP MDAV システム拡張機能
    • 説明: MDATP システム拡張機能
    • カテゴリ: なし
    • 配布方法: 自動的にインストールする
    • レベル: コンピューター レベル

    構成設定 sysext 新しいプロファイル。

  3. [ システム拡張機能] で 、[構成] を選択 します

    システム拡張機能の [構成] オプションが表示されたペイン。

  4. [ システム拡張機能] に、次の詳細を入力します。

    • 表示名: Microsoft Corp. System Extensions
    • システム拡張機能の種類: 許可されるシステム拡張機能
    • チーム識別子: UBF8T346G9
    • 許可されるシステム拡張機能:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    [MDATP MDAV システム拡張機能] ウィンドウ。

  5. [ スコープ ] タブを選択します。

    [ターゲット コンピューター] 選択ウィンドウ。

  6. [+ 追加] を選択します。

  7. [グループ名>] で [コンピューター グループ>] を選択し、Contoso のコンピューター グループを選択します。

  8. [+ 追加] を選択します。

    [新しい macOS 構成プロファイル] ウィンドウ。

  9. [保存] を選択します。

    MDATP MDAV システム拡張機能に関するオプションの表示。

  10. [完了] を選択します。

    構成設定 sysext - final。

手順 8: ネットワーク拡張機能を構成する

エンドポイント検出および応答機能の一部として、macOS のMicrosoft Defender for Endpointはソケット トラフィックを検査し、この情報をMicrosoft Defender ポータルに報告します。 次のポリシーを使用すると、ネットワーク拡張機能がこの機能を実行できます。

これらの手順は、macOS 11 (Big Sur) 以降で適用できます。

  1. Jamf Pro ダッシュボードで、[コンピューター]、[構成プロファイル] 順に選択します。

  2. [ 新規] をクリックし、[ オプション] に次の詳細を入力します。

    • [ 全般] タブ:

      • 名前: ネットワーク拡張機能Microsoft Defender
      • 説明: macOS 11 (Big Sur) 以降
      • カテゴリ: なし (既定値)
      • 配布方法: 自動的にインストール する (既定値)
      • レベル: コンピューター レベル (既定値)

    • タブ コンテンツ フィルター:

      • フィルター名: コンテンツ フィルター Microsoft Defender
      • 識別子: com.microsoft.wdav
      • サービス アドレス組織ユーザー名パスワード証明書を空白のままにします ([含める] が選択されていません)
      • フィルター順序: インスペクター
      • ソケット フィルター: com.microsoft.wdav.netext
      • ソケット フィルター指定要件: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • [ネットワーク フィルター] フィールドは空白のままにします ([含める] が選択されていません)

      上記で指定した 識別子ソケット フィルターソケット フィルター指定要件 の正確な値に注意してください。

      mdatpmdav 構成設定。

  3. [ スコープ ] タブを選択します。

    構成設定の [sco] タブ。

  4. [+ 追加] を選択します。

  5. [グループ名>] で [コンピューター グループ>] を選択し、Contoso のコンピューター グループを選択します。

  6. [+ 追加] を選択します。

    構成設定 adim。

  7. [保存] を選択します。

    [コンテンツ フィルター] ウィンドウ。

  8. [完了] を選択します。

    構成設定の netext - final。

または、「Jamf Pro を使用したカスタム構成プロファイルのデプロイ|方法 2: 構成プロファイルを Jamf Pro にアップロードします。

手順 9: バックグラウンド サービスを構成する

注意

macOS 13 (Ventura) には、新しいプライバシーの強化が含まれています。 このバージョン以降、既定では、明示的な同意なしにアプリケーションをバックグラウンドで実行することはできません。 Microsoft Defender for Endpointデーモン プロセスをバックグラウンドで実行する必要があります。

この構成プロファイルは、バックグラウンド サービスのアクセス許可をMicrosoft Defender for Endpointに付与します。 以前に JAMF を使用してMicrosoft Defender for Endpointを構成した場合は、この構成プロファイルを使用してデプロイを更新することをお勧めします。

GitHub リポジトリから background_services.mobileconfig をダウンロードします。

Jamf Pro を使用したカスタム構成プロファイルのデプロイに関するページの説明に従って、ダウンロードした mobileconfig を JAMF 構成プロファイルにアップロードする|方法 2: 構成プロファイルを Jamf Pro にアップロードします。

手順 10: Bluetooth アクセス許可を付与する

注意

macOS 14 (Sonoma) には、新しいプライバシーの強化が含まれています。 このバージョン以降、アプリケーションは明示的な同意なしに Bluetooth にアクセスできません。 Microsoft Defender for Endpointデバイス制御の Bluetooth ポリシーを構成する場合に使用されます。

GitHub リポジトリから bluetooth.mobileconfig をダウンロードします。

警告

現在のバージョンの JAMF Pro では、この種のペイロードはまだサポートされていません。 この mobileconfig をそのままアップロードすると、JAMF Pro はサポートされていないペイロードを削除し、クライアント マシンに適用できません。 最初にダウンロードした mobileconfig に署名する必要があります。その後、JAMF Pro はそれを "封印済み" と見なし、改ざんしません。 以下の手順を参照してください。

  • KeyChain に少なくとも 1 つの署名証明書をインストールする必要があります。自己署名証明書でも機能します。 次を使用して、持っているものを検査できます。
> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found
  • いずれかを選択し、引用符で囲まれたテキストを -N パラメーターとして指定します。
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

注:

Apple MDM 構成プロファイルを介して付与された Bluetooth は、システム設定 => プライバシー & セキュリティ => Bluetooth には反映されません。

手順 11: macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする

「macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする」の手順に従います。

手順 12: macOS にMicrosoft Defender for Endpointをデプロイする

注:

次の手順では、ファイルの .pkg 名前と 表示名 の値を例に示します。 これらの例では、200329パッケージとポリシーが作成された日付 (yymmdd形式) を表し、v100.86.92デプロイされているMicrosoft Defender アプリケーションのバージョンを表します。 これらの値は、パッケージとポリシーの環境で使用する名前付け規則に準拠するように更新する必要があります。

  1. を保存した場所に移動します wdav.pkg

    エクスプローラー wdav パッケージ。

  2. 名前を に変更します wdav_MDM_Contoso_200329.pkg

    エクスプローラー 1 wdavmdm パッケージ。

  3. Jamf Pro ダッシュボードを開きます。

    jamfpro の構成設定。

  4. コンピューターを選択し、上部にある歯車アイコンをクリックし、[ コンピューターの管理] を選択します。

    構成設定 - コンピューターの管理。

  5. [ パッケージ] で、[ + 新規] を選択します。 自動的に生成されるパッケージの bird Description。

  6. [ 全般] タブで、[ 新しいパッケージ] に次の詳細を入力します。

    • 表示名: 今のところ空白のままにします。 pkg を選択するとリセットされるためです。
    • カテゴリ: なし (既定値)
    • ファイル名: [ファイル] を選択します

    構成設定の [全般] タブ。

    ファイルを開き、 または wdav_MDM_Contoso_200329.pkgwdav.pkgポイントします。

    自動生成されたパッケージの説明を表示するコンピューター画面。

  7. [開く]を選択します。 [表示名] を [Advanced Threat Protection] と [Microsoft Defender ウイルス対策] Microsoft Defender設定します。

    マニフェスト ファイル は必要ありません。 Microsoft Defender for Endpointマニフェスト ファイルなしで動作します。

    [オプション] タブ: 既定値をそのまま使用します。

    [制限事項] タブ: 既定値をそのまま使用します。

    構成設定の制限タブ。

  8. [保存] を選択します。 パッケージは Jamf Pro にアップロードされます。

    構成設定に関連するパッケージの構成設定パックのアップロード プロセス。

    パッケージがデプロイに使用できるようになるまで数分かかる場合があります。

    構成設定用にパッケージをアップロードするインスタンス。

  9. [ ポリシー] ページに 移動します。

    構成設定ポリシー。

  10. [ + 新規] を選択して、新しいポリシーを作成します。

    構成設定の新しいポリシー。

  11. [ 全般] に、表示名 MDATP Onboarding Contoso 200329 v100.86.92 以降を入力します

    構成設定 - MDATP オンボード。

  12. [ 定期的なチェックイン] を選択します

    構成設定の定期的なチェック。

  13. [保存] を選択します。

  14. [パッケージの構成] を選択します>

    パッケージを構成するオプション。

  15. [Advanced Threat Protection と Microsoft Defender ウイルス対策] の横にある [追加] ボタンMicrosoft Defender選択します。

    MDATP MDA にさらに設定を追加するオプション。

  16. [保存] を選択します。

    構成設定の保存オプション。

  17. Microsoft Defender プロファイルを持つマシンのスマート グループをCreateします。

    ユーザー エクスペリエンスを向上させるには、Microsoft Defenderのパッケージの前に、登録済みマシンの構成プロファイルをインストールする必要があります。 ほとんどの場合、JAMF Prof は構成プロファイルをすぐにプッシュします。このポリシーはしばらくしてから実行されます (つまり、チェックイン中)。

    ただし、場合によっては、構成プロファイルのデプロイを大幅な遅延 (つまり、ユーザーのマシンがロックされている場合) でデプロイできます。

    JAMF Pro は、正しい順序を確保する方法を提供します。 既にMicrosoft Defenderの構成プロファイルを受け取ったマシン用のスマート グループを作成し、Microsoft Defenderのパッケージをそれらのマシンにのみインストールできます (このプロファイルを受け取るとすぐにインストールできます)。

    これを行うには、まずスマート グループを作成します。 新しいブラウザー ウィンドウで、左側のメニューから [スマート コンピューター グループ] を開き、[ 新規] をクリックします。 名前を割り当て、[ 条件 ] タブに切り替え、[ 追加 ] と [ 詳細な条件の表示] をクリックします。

    条件として [プロファイル名] を選択し、以前に作成した構成プロファイルの名前を [値] として使用します。

    スマート グループの作成。

    [保存] をクリックします。 パッケージ ポリシーを構成するウィンドウに戻ります。

  18. [ スコープ ] タブを選択します。

    構成設定に関連する [スコープ] タブ。

  19. ターゲット コンピューターを選択します。

    コンピューター グループを追加するオプション。

    [ スコープ] で、[追加] を選択 します

    構成設定 - ad1。

    [ コンピューター グループ ] タブに切り替えます。作成したスマート グループを見つけて、[ 追加] を選択 します。

    構成設定 - ad2。

    ユーザーが任意でオンデマンドでMicrosoft Defenderをインストールする場合は、[セルフサービス] を選択します。

    構成設定の [セルフサービス] タブ。

  20. [完了] を選択します。

    Contoso のオンボード状態と、それを完了するためのオプション。

    [ポリシー] ページ。

構成プロファイルのスコープ

JAMF では、構成プロファイルの一連のマシンを定義する必要があります。 Defender のパッケージを受け取るすべてのマシンも、上記 のすべての 構成プロファイルを受け取るようにする必要があります。

警告

JAMF では、動的に評価された特定の条件に一致するすべてのマシンへの構成プロファイルやポリシーなどの展開を許可するスマート コンピューター グループがサポートされています。 これは、構成プロファイルの配布に広く使用される強力な概念です。

ただし、これらの条件には、コンピューター上の Defender の存在を含めないように注意してください。 この基準を使用すると論理的に聞こえるかもしれませんが、診断が困難な問題が発生します。

Defender は、インストールの時点でこれらすべてのプロファイルに依存しています。 Defender の存在に応じて構成プロファイルを作成すると、構成プロファイルの展開が実質的に遅れ、最初に異常な製品や、プロファイルによって自動承認される特定のアプリケーションのアクセス許可の手動承認を求めるメッセージが表示されます。

構成プロファイルを展開した後にMicrosoft Defenderのパッケージを使用してポリシーを展開すると、必要なすべての構成がパッケージのインストール前に適用されるため、エンド ユーザーの最適なエクスペリエンスが保証されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。