다음을 통해 공유


macOS의 엔드포인트용 Microsoft Defender 기본 설정

적용 대상:

중요

이 문서에는 엔터프라이즈 조직의 macOS에서 엔드포인트용 Microsoft Defender에 대한 기본 설정을 지정하는 방법에 대한 지침이 포함되어 있습니다. 명령줄 인터페이스를 사용하여 macOS에서 엔드포인트용 Microsoft Defender를 구성하려면 리소스를 참조하세요.

요약

엔터프라이즈 조직에서 macOS의 엔드포인트용 Microsoft Defender는 여러 관리 도구 중 하나를 사용하여 배포된 구성 프로필을 통해 관리할 수 있습니다. 보안 운영 팀에서 관리하는 기본 설정은 디바이스에서 로컬로 설정된 기본 설정보다 우선합니다. 구성 프로필을 통해 설정된 기본 설정을 변경하려면 에스컬레이션된 권한이 필요하며 관리 권한이 없는 사용자는 사용할 수 없습니다.

이 문서에서는 구성 프로필의 구조를 설명하고, 시작하는 데 사용할 수 있는 권장 프로필을 포함하고, 프로필을 배포하는 방법에 대한 지침을 제공합니다.

구성 프로필 구조

구성 프로필은 키(기본 설정의 이름을 나타내는)로 식별되는 항목과 기본 설정의 특성에 따라 달라지는 값으로 구성된 .plist 파일입니다. 값은 단순(예: 숫자 값) 또는 복합(예: 중첩된 기본 설정 목록)일 수 있습니다.

주의

구성 프로필의 레이아웃은 사용 중인 관리 콘솔에 따라 달라집니다. 다음 섹션에는 JAMF 및 Intune에 대한 구성 프로필의 예가 포함되어 있습니다.

구성 프로필의 최상위 수준에는 다음 섹션에서 자세히 설명하는 엔드포인트용 Microsoft Defender의 하위 영역에 대한 제품 전체 기본 설정 및 항목이 포함됩니다.

바이러스 백신 엔진 기본 설정

구성 프로필의 바이러스 백신Engine 섹션은 엔드포인트용 Microsoft Defender의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.

섹션
도메인 com.microsoft.wdav
antivirusEngine
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

바이러스 백신 엔진에 대한 적용 수준

바이러스 백신 엔진의 적용 기본 설정을 지정합니다. 적용 수준을 설정하기 위한 세 가지 값이 있습니다.

  • 실시간(real_time): 실시간 보호(액세스 시 파일 검색)가 사용하도록 설정됩니다.
  • 주문형(on_demand): 파일은 요청 시만 검사됩니다. 이 예제에서는 다음을 수행합니다.
    • 실시간 보호가 꺼져 있습니다.
  • 수동(passive): 수동 모드에서 바이러스 백신 엔진을 실행합니다. 이 예제에서는 다음을 수행합니다.
    • 실시간 보호가 꺼져 있습니다.
    • 주문형 검사가 켜져 있습니다.
    • 자동 위협 수정이 꺼져 있습니다.
    • 보안 인텔리전스 업데이트가 켜져 있습니다.
    • 상태 메뉴 아이콘이 숨겨져 있습니다.
섹션
도메인 com.microsoft.wdav
enforcementLevel
Data type String
사용 가능한 값: real_time(기본값)

on_demand

수동

Comments 엔드포인트용 Microsoft Defender 버전 101.10.72 이상에서 사용할 수 있습니다.

동작 모니터링 사용/사용 안 함

디바이스에서 동작 모니터링 및 차단 기능을 사용할 수 있는지 여부를 결정합니다.

참고

이 기능은 Real-Time 보호 기능을 사용하는 경우에만 적용됩니다.

섹션
도메인 com.microsoft.wdav
behaviorMonitoring
Data type String
사용 가능한 값: 비활성화됨

사용(기본값)

Comments 엔드포인트용 Microsoft Defender 버전 101.24042.0002 이상에서 사용할 수 있습니다.

파일 해시 계산 기능 구성

파일 해시 계산 기능을 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 검사하는 파일에 대한 해시를 계산하여 표시기 규칙과 더 잘 일치할 수 있도록 합니다. macOS에서는 스크립트 및 Mach-O(32 및 64비트) 파일만 이 해시 계산에 고려됩니다(엔진 버전 1.1.20000.2 이상). 이 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 자세한 내용은 파일 표시기 만들기를 참조하세요.

섹션
도메인 com.microsoft.wdav
enableFileHashComputation
Data type 부울
사용 가능한 값: false(기본값)

true

Comments 엔드포인트용 Defender 버전 101.86.81 이상에서 사용할 수 있습니다.

정의가 업데이트된 후 검사 실행

디바이스에서 새 보안 인텔리전스 업데이트를 다운로드한 후 프로세스 검사를 시작할지 여부를 지정합니다. 이 설정을 사용하도록 설정하면 디바이스의 실행 중인 프로세스에서 바이러스 백신 검사가 트리거됩니다.

섹션
도메인 com.microsoft.wdav
scanAfterDefinitionUpdate
Data type 부울
사용 가능한 값: true(기본값)

false

Comments 엔드포인트용 Microsoft Defender 버전 101.41.10 이상에서 사용할 수 있습니다.

검사 보관 파일(주문형 바이러스 백신 검사만 해당)

주문형 바이러스 백신 검사 중에 보관 파일을 검사할지 여부를 지정합니다.

섹션
도메인 com.microsoft.wdav
scanArchives
Data type 부울
사용 가능한 값: true(기본값)

false

Comments 엔드포인트용 Microsoft Defender 버전 101.41.10 이상에서 사용할 수 있습니다.

주문형 검사에 대한 병렬 처리 수준

주문형 검사에 대한 병렬 처리 수준을 지정합니다. 이는 검사를 수행하는 데 사용되는 스레드 수에 해당하며 CPU 사용량과 주문형 검사 기간에 영향을 줍니다.

섹션
도메인 com.microsoft.wdav
maximumOnDemandScanThreads
Data type 정수
사용 가능한 값: 2(기본값). 허용되는 값은 1에서 64 사이의 정수입니다.
Comments 엔드포인트용 Microsoft Defender 버전 101.41.10 이상에서 사용할 수 있습니다.

제외 병합 정책

제외에 대한 병합 정책을 지정합니다. 이는 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(mergeadmin_only)의 조합일 수 있습니다. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.

섹션
도메인 com.microsoft.wdav
exclusionsMergePolicy
Data type String
사용 가능한 값: merge(기본값)

admin_only

Comments 엔드포인트용 Microsoft Defender 버전 100.83.73 이상에서 사용할 수 있습니다.

제외 검사

검사에서 제외된 엔터티를 지정합니다. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)

섹션
도메인 com.microsoft.wdav
제외
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
제외 유형

형식별로 검사할 때 제외된 콘텐츠를 지정합니다.

섹션
도메인 com.microsoft.wdav
$type
Data type String
사용 가능한 값: excludedPath

excludedFileExtension

excludedFileName

제외된 콘텐츠의 경로

전체 파일 경로로 검사할 때 제외된 콘텐츠를 지정합니다.

섹션
도메인 com.microsoft.wdav
경로
Data type String
사용 가능한 값: 유효한 경로
Comments $typeexcludedPath인 경우에만 적용 가능

지원되는 제외 유형

다음 표에서는 Mac의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.

제외 정의 예제
파일 확장명 확장이 있는 모든 파일(디바이스의 모든 위치) .test
File 전체 경로로 식별되는 특정 파일 /var/log/test.log

/var/log/*.log

/var/log/install.?.log

폴더 지정된 폴더 아래의 모든 파일(재귀) /var/log/

/var/*/

프로세스 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일 /bin/cat

cat

c?t

중요

위의 경로는 성공적으로 제외되려면 기호 링크가 아닌 하드 링크여야 합니다. 를 실행 file <path-name>하여 경로가 기호 링크인지 확인할 수 있습니다.

파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.

와일드 카드 설명 예제 일치 항목 일치하지 않음
* 없음을 포함한 모든 문자 수와 일치합니다(이 와일드카드를 경로 내에서 사용하면 하나의 폴더만 대체됨). /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? 모든 단일 문자와 일치 file?.log file1.log

file2.log

file123.log

경로 형식(파일/디렉터리)

path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.

섹션
도메인 com.microsoft.wdav
isDirectory
Data type 부울
사용 가능한 값: false(기본값)

true

Comments $typeexcludedPath인 경우에만 적용 가능

검사에서 제외된 파일 확장자

파일 확장명에서 검사할 때 제외된 콘텐츠를 지정합니다.

섹션
도메인 com.microsoft.wdav
확장
Data type String
사용 가능한 값: 유효한 파일 확장자
Comments $type제외된 경우에만 적용할 수 있습니다FileExtension

검사에서 제외된 프로세스

모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.

섹션
도메인 com.microsoft.wdav
이름
Data type String
사용 가능한 값: 모든 문자열
Comments $type제외된 경우에만 적용할 수 있습니다FileName

허용되는 위협

Mac의 엔드포인트용 Defender에서 차단되지 않는 이름으로 위협을 지정합니다. 이러한 위협은 실행할 수 있습니다.

섹션
도메인 com.microsoft.wdav
allowedThreats
Data type 문자열 배열

허용되지 않는 위협 작업

위협이 감지될 때 디바이스의 로컬 사용자가 수행할 수 있는 작업을 제한합니다. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.

섹션
도메인 com.microsoft.wdav
disallowedThreatActions
Data type 문자열 배열
사용 가능한 값: 허용(사용자가 위협을 허용하지 못하도록 제한)

복원(사용자가 격리에서 위협을 복원하지 못하도록 제한)

Comments 엔드포인트용 Microsoft Defender 버전 100.83.73 이상에서 사용할 수 있습니다.

위협 유형 설정

macOS의 엔드포인트용 Microsoft Defender에서 특정 위협 유형을 처리하는 방법을 지정합니다.

섹션
도메인 com.microsoft.wdav
threatTypeSettings
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
위협 유형

위협 유형을 지정합니다.

섹션
도메인 com.microsoft.wdav
Data type String
사용 가능한 값: potentially_unwanted_application

archive_bomb

수행할 작업

이전 섹션에서 지정된 형식의 위협이 검색될 때 수행할 작업을 지정합니다. 다음 옵션 중에서 선택합니다.

  • 감사: 디바이스는 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다.
  • 차단: 디바이스는 이러한 유형의 위협으로부터 보호되며 사용자 인터페이스 및 보안 콘솔에서 알림을 받습니다.
  • 끄기: 디바이스는 이러한 유형의 위협으로부터 보호되지 않으며 아무 것도 기록되지 않습니다.
섹션
도메인 com.microsoft.wdav
Data type String
사용 가능한 값: audit(기본값)

블록

끄기

위협 유형 설정 병합 정책

위협 유형 설정에 대한 병합 정책을 지정합니다. 이는 관리자 정의 설정과 사용자 정의 설정() 또는 관리자 정의 설정(mergeadmin_only)의 조합일 수 있습니다. 이 설정을 사용하여 로컬 사용자가 다양한 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.

섹션
도메인 com.microsoft.wdav
threatTypeSettingsMergePolicy
Data type String
사용 가능한 값: merge(기본값)

admin_only

Comments 엔드포인트용 Microsoft Defender 버전 100.83.73 이상에서 사용할 수 있습니다.

바이러스 백신 검사 기록 보존(일)

디바이스의 검사 기록에 결과가 보존되는 일 수를 지정합니다. 이전 검사 결과가 기록에서 제거됩니다. 디스크에서 제거된 이전 격리된 파일입니다.

섹션
도메인 com.microsoft.wdav
scanResultsRetentionDays
Data type String
사용 가능한 값: 90(기본값). 허용되는 값은 1일에서 180일까지입니다.
Comments 엔드포인트용 Microsoft Defender 버전 101.07.23 이상에서 사용할 수 있습니다.

바이러스 백신 검사 기록의 최대 항목 수

검사 기록에 유지할 최대 항목 수를 지정합니다. 항목에는 과거에 수행된 모든 주문형 검사와 모든 바이러스 백신 검색이 포함됩니다.

섹션
도메인 com.microsoft.wdav
scanHistoryMaximumItems
Data type String
사용 가능한 값: 10000(기본값). 허용되는 값은 5000개 항목에서 15000개 항목까지입니다.
Comments 엔드포인트용 Microsoft Defender 버전 101.07.23 이상에서 사용할 수 있습니다.

클라우드 제공 보호 기본 설정

macOS에서 엔드포인트용 Microsoft Defender의 클라우드 기반 보호 기능을 구성합니다.

섹션
도메인 com.microsoft.wdav
cloudService
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

클라우드 제공 보호 사용/사용 안 함

디바이스에서 클라우드 제공 보호를 사용하도록 설정할지 여부를 지정합니다. 서비스의 보안을 개선하려면 이 기능을 계속 켜두는 것이 좋습니다.

섹션
도메인 com.microsoft.wdav
활성화됨
Data type 부울
사용 가능한 값: true(기본값)

false

진단 수집 수준

진단 데이터는 엔드포인트용 Microsoft Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품 개선에도 사용됩니다. 이 설정은 엔드포인트용 Microsoft Defender에서 Microsoft로 보낸 진단 수준을 결정합니다.

섹션
도메인 com.microsoft.wdav
diagnosticLevel
Data type String
사용 가능한 값: 선택 사항(기본값)

필수

클라우드 블록 수준 구성

이 설정은 엔드포인트용 Defender가 의심스러운 파일을 차단하고 검사하는 데 얼마나 적극적인지를 결정합니다. 이 설정이 설정되면 차단 및 검색할 의심스러운 파일을 식별할 때 엔드포인트용 Defender가 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 더 적은 빈도로 차단하고 스캔합니다. 클라우드 블록 수준을 설정하기 위한 5가지 값은 다음과 같습니다.

  • 보통(normal): 기본 차단 수준입니다.
  • 보통(moderate): 높은 신뢰도 검색에 대해서만 평결을 제공합니다.
  • 높음(high): 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 높음).
  • High Plus(high_plus): 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있음).
  • 무관용(zero_tolerance): 알 수 없는 모든 프로그램을 차단합니다.
섹션
도메인 com.microsoft.wdav
cloudBlockLevel
Data type String
사용 가능한 값: normal(기본값)

온건한

높은

high_plus

zero_tolerance

Comments 엔드포인트용 Defender 버전 101.56.62 이상에서 사용할 수 있습니다.

자동 샘플 제출 사용/사용 안 함

의심스러운 샘플(위협을 포함할 가능성이 있음)이 Microsoft로 전송되는지 여부를 결정합니다. 샘플 제출을 제어하는 세 가지 수준이 있습니다.

  • 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
  • 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 설정의 기본값입니다.
  • 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.
설명
automaticSampleSubmissionConsent
Data type String
사용 가능한 값: 없음

safe(기본값)

모든

자동 보안 인텔리전스 업데이트 사용/사용 안 함

보안 인텔리전스 업데이트가 자동으로 설치되는지 여부를 결정합니다.

섹션
automaticDefinitionUpdateEnabled
Data type 부울
사용 가능한 값: true(기본값)

false

사용자 인터페이스 기본 설정

macOS에서 엔드포인트용 Microsoft Defender의 사용자 인터페이스에 대한 기본 설정을 관리합니다.

섹션
도메인 com.microsoft.wdav
userInterface
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

상태 표시/숨기기 메뉴 아이콘

화면의 오른쪽 위 모서리에 상태 메뉴 아이콘을 표시할지 숨길지 여부를 지정합니다.

섹션
도메인 com.microsoft.wdav
hideStatusMenuIcon
Data type 부울
사용 가능한 값: false(기본값)

true

피드백을 보내는 옵션 표시/숨기기

로 이동하여 사용자가 Microsoft에 피드백을 제출할 수 있는지 여부를 지정합니다 Help>Send Feedback.

섹션
도메인 com.microsoft.wdav
userInitiatedFeedback
Data type String
사용 가능한 값: 사용(기본값)

비활성화됨

Comments 엔드포인트용 Microsoft Defender 버전 101.19.61 이상에서 사용할 수 있습니다.

소비자 버전의 Microsoft Defender에 대한 로그인 제어

사용자가 Microsoft Defender의 소비자 버전에 로그인할 수 있는지 여부를 지정합니다.

섹션
도메인 com.microsoft.wdav
consumerExperience
Data type String
사용 가능한 값: 사용(기본값)

비활성화됨

Comments 엔드포인트용 Microsoft Defender 버전 101.60.18 이상에서 사용할 수 있습니다.

엔드포인트 검색 및 응답 기본 설정

macOS에서 엔드포인트용 Microsoft Defender의 EDR(엔드포인트 검색 및 응답) 구성 요소의 기본 설정을 관리합니다.

섹션
도메인 com.microsoft.wdav
Edr
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

디바이스 태그

태그 이름과 해당 값을 지정합니다.

  • GROUP 태그는 디바이스를 지정된 값으로 표시합니다. 태그는 디바이스 페이지 아래의 포털에 반영되며 디바이스 필터링 및 그룹화에 사용할 수 있습니다.
섹션
도메인 com.microsoft.wdav
태그
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
태그 유형

태그 유형을 지정합니다.

섹션
도메인 com.microsoft.wdav
Data type String
사용 가능한 값: GROUP
태그 값

태그 값을 지정합니다.

섹션
도메인 com.microsoft.wdav
Data type String
사용 가능한 값: 모든 문자열

중요

  • 태그 유형당 하나의 값만 설정할 수 있습니다.
  • 태그 유형은 고유하며 동일한 구성 프로필에서 반복해서는 안 됩니다.

그룹 식별자

EDR 그룹 식별자

섹션
도메인 com.microsoft.wdav
groupIds
Data type String
Comments 그룹 식별자

변조 방지

macOS에서 엔드포인트용 Microsoft Defender의 변조 방지 구성 요소의 기본 설정을 관리합니다.

섹션
도메인 com.microsoft.wdav
tamperProtection
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

적용 수준

변조 방지를 사용하도록 설정하고 엄격한 모드에 있는 경우

섹션
도메인 com.microsoft.wdav
enforcementLevel
Data type String
Comments 'disabled', 'audit' 또는 'block' 중 하나

사용 가능한 값:

  • 사용 안 함 - 변조 방지가 꺼져 있으며, 공격을 방지하거나 클라우드에 보고하지 않습니다.
  • 감사 - 변조 방지는 클라우드에 대한 변조 시도만 보고하지만 차단하지는 않습니다.
  • block - 변조 방지는 클라우드에 대한 공격을 차단하고 보고합니다.

제외

변조를 고려하지 않고 Microsoft Defender의 자산을 변경할 수 있는 프로세스를 정의합니다. path 또는 teamId 또는 signingId 또는 해당 조합을 제공해야 합니다. 더 정확하게 허용된 프로세스를 지정하기 위해 인수를 추가로 제공할 수 있습니다.

섹션
도메인 com.microsoft.wdav
제외
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
경로

프로세스 실행 파일의 정확한 경로입니다.

섹션
도메인 com.microsoft.wdav
경로
Data type String
Comments 셸 스크립트의 경우 인터프리터 이진 파일(예: )에 대한 정확한 경로가 됩니다. /bin/zsh 와일드카드가 허용되지 않습니다.
팀 ID

공급 업체의 애플의 "팀 ID".

섹션
도메인 com.microsoft.wdav
teamId
Data type String
Comments 예를 들어 UBF8T346G9 Microsoft의 경우
서명 ID

패키지의 Apple의 "서명 ID"입니다.

섹션
도메인 com.microsoft.wdav
signingId
Data type String
Comments 예를 들어 com.apple.ruby Ruby 인터프리터의 경우
프로세스 인수

프로세스를 식별하기 위해 다른 매개 변수와 함께 사용됩니다.

섹션
도메인 com.microsoft.wdav
signingId
Data type 문자열 배열
Comments 지정된 경우 프로세스 인수는 대/소문자를 구분하는 인수와 정확히 일치해야 합니다.

시작하려면 엔터프라이즈에서 엔드포인트용 Microsoft Defender에서 제공하는 모든 보호 기능을 활용하려면 다음 구성을 사용하는 것이 좋습니다.

다음 구성 프로필(또는 JAMF의 경우 사용자 지정 설정 구성 프로필에 업로드할 수 있는 속성 목록)은 다음과 같습니다.

  • RTP(실시간 보호) 사용
  • 다음 위협 유형을 처리하는 방법을 지정합니다.
    • PUA(사용자 동의 없이 설치된 애플리케이션) 가 차단됨
    • 보관 폭탄 (압축 속도가 높은 파일)은 엔드포인트용 Microsoft Defender 로그에 감사됩니다.
  • 자동 보안 인텔리전스 업데이트 사용
  • 클라우드 제공 보호 사용
  • 자동 샘플 제출 사용
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

전체 구성 프로필 예제

다음 템플릿에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 macOS에서 엔드포인트용 Microsoft Defender를 보다 자세히 제어하려는 고급 시나리오에 사용할 수 있습니다.

JAMF 전체 구성 프로필의 속성 목록

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune 전체 프로필

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

속성 목록 유효성 검사

속성 목록은 유효한 .plist 파일이어야 합니다. 다음을 실행하여 확인할 수 있습니다.

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

파일이 올바른 형식이면 위의 명령이 출력되고 의 0종료 코드를 반환합니다OK. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령은 의 1종료 코드를 반환합니다.

구성 프로필 배포

엔터프라이즈에 대한 구성 프로필을 빌드한 후에는 엔터프라이즈에서 사용하는 관리 콘솔을 통해 배포할 수 있습니다. 다음 섹션에서는 JAMF 및 Intune을 사용하여 이 프로필을 배포하는 방법에 대한 지침을 제공합니다.

JAMF 배포

JAMF 콘솔에서 컴퓨터>구성 프로필을 열고 사용하려는 구성 프로필로 이동한 다음 사용자 지정 설정을 선택합니다. 를 기본 설정 도메인으로 사용하여 항목을 com.microsoft.wdav 만들고 이전에 생성된 .plist 를 업로드합니다.

주의

올바른 기본 설정 도메인(com.microsoft.wdav)을 입력해야 합니다. 그렇지 않으면 엔드포인트용 Microsoft Defender에서 기본 설정을 인식하지 않습니다.

Intune 배포

  1. 디바이스>구성 프로필을 엽니다. 프로필 만들기를 선택합니다.

  2. 프로필의 이름을 선택합니다. Platform=macOS프로필 형식=템플릿으로 변경하고 템플릿 이름 섹션에서 사용자 지정을 선택합니다. 구성을 선택합니다.

  3. 이전에 생성된 .plist를 로 com.microsoft.wdav.xml저장합니다.

  4. 를 사용자 지정 구성 프로필 이름으로 입력 com.microsoft.wdav 합니다.

  5. 구성 프로필을 열고 파일을 업로드합니다 com.microsoft.wdav.xml . (이 파일은 3단계에서 만들어졌습니다.)

  6. 확인을 선택합니다.

  7. 할당관리를> 선택합니다. 포함 탭에서 모든 사용자에게 할당 & 모든 디바이스를 선택합니다.

주의

올바른 사용자 지정 구성 프로필 이름을 입력해야 합니다. 그렇지 않으면 엔드포인트용 Microsoft Defender에서 이러한 기본 설정을 인식하지 않습니다.

리소스

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.