macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft 365 Defender

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft Defender for Endpointを使用して脅威スキャンをいつでも開始できますが、企業はスケジュールされたスキャンや時間指定スキャンの恩恵を受ける可能性があります。 たとえば、毎日または週の初めに実行するようにスキャンをスケジュールできます。

起動を使用してスキャンをスケジュールする

macOS デバイスで 起動済 みデーモンを使用して、スキャン スケジュールを作成できます。

ここで使用される .plist ファイル形式の詳細については、Apple 開発者向け公式 Web サイトの 「情報プロパティ リスト ファイルについて 」を参照してください。

クイック スキャンをスケジュールする

次のコードは、クイック スキャンをスケジュールするために使用する必要があるスキーマを示しています。

1. テキスト エディターを開き、この例を独自のスケジュールされたスキャン ファイルのガイドとして使用します。

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedquickscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan quick</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>0</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. ファイルを com.microsoft.wdav.schedquickscan.plist として /Library/LaunchDaemons ディレクトリに保存します。

フル スキャンをスケジュールする

1. テキスト エディターを開き、フル スキャンにこの例を使用します。

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedfullscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan full</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>50</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. ファイルを com.microsoft.wdav.schedfullscan.plist として /Library/LaunchDaemons ディレクトリに保存します。

ファイルを読み込む

1. ターミナルを開きます。

2. ファイルを読み込むには、次のコマンドを入力します。

   chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
   chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
   xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
   launchctl load -w /Library/LaunchDaemons/<your file name.plist>
   

3. スケジュールされたスキャンは、p リストで定義した日付、時刻、頻度で実行されます。 前の例では、スキャンは毎週金曜日の午前 2 時 50 分に実行されます。

   • のStartCalendarInterval値はWeekday整数を使用して、週の 5 日目 (金曜日) を示します。 範囲は 1 ~ 7 で、7 は日曜日を表します。
   • のStartCalendarInterval値はDay整数を使用して、月の 3 日目を示します。 範囲は 1 ~ 31 です。
   • のStartCalendarInterval値はHour整数を使用して、1 日の 2 時間目を示します。 範囲は 0 ~ 23 です。 のStartCalendarInterval値はMinute整数を使用して、時間の 50 分を示します。 範囲は 0 ~ 59 です。

重要

起動された状態で実行されたエージェントは、デバイスがスリープ状態の間、スケジュールされた時刻には実行されません。 代わりに、デバイスがスリープ モードから再開されると実行されます。

デバイスがオフになっている場合、スキャンは次回のスケジュールされたスキャン時刻に実行されます。

Intuneを使用してスキャンをスケジュールする

Microsoft Intuneを使用してスキャンをスケジュールすることもできます。 Microsoft Defender for Endpointのスクリプトで使用できる runMDATPQuickScan.sh シェル スクリプトは、デバイスがスリープ モードから再開されたときに保持されます。

エンタープライズでこのスクリプトを使用する方法の詳細については、「Intuneの macOS デバイスでシェル スクリプトを使用する」を参照してください。