macOS에서 엔드포인트용 Microsoft Defender 위한 다른 MDM(모바일 장치 관리) 시스템을 사용한 배포

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

필수 구성 요소 및 시스템 요구 사항

시작하기 전에 macOS의 기본 엔드포인트용 Microsoft Defender 페이지에서 현재 소프트웨어 버전에 대한 필수 구성 요소 및 시스템 요구 사항에 대한 설명을 참조하세요.

방법

주의

현재 Microsoft는 macOS에서 엔드포인트용 Microsoft Defender 배포 및 관리를 위해 Intune 및 JAMF만 공식적으로 지원합니다. Microsoft는 아래에 제공된 정보와 관련하여 명시적 또는 묵시적 보증을 하지 않습니다.

organization 공식적으로 지원되지 않는 MDM(모바일 장치 관리) 솔루션을 사용하는 경우 macOS에서 엔드포인트용 Microsoft Defender 배포하거나 실행할 수 없다는 의미는 아닙니다.

macOS의 엔드포인트용 Microsoft Defender 공급업체별 기능에 의존하지 않습니다. 다음 기능을 지원하는 모든 MDM 솔루션과 함께 사용할 수 있습니다.

• 관리되는 디바이스에 macOS .pkg 배포합니다.
• 관리되는 디바이스에 macOS 시스템 구성 프로필을 배포합니다.
• 관리되는 디바이스에서 임의 관리자 구성 도구/스크립트를 실행합니다.

대부분의 최신 MDM 솔루션에는 이러한 기능이 포함되어 있지만 다르게 호출할 수 있습니다.

그러나 이전 목록의 마지막 요구 사항 없이 엔드포인트용 Defender를 배포할 수 있습니다.

• 중앙 집중식 방식으로 상태 수집할 수 없습니다.
• 엔드포인트용 Defender를 제거하려는 경우 관리자 권한으로 로컬로 클라이언트 디바이스에 로그온해야 합니다.

배포

대부분의 MDM 솔루션은 비슷한 용어를 사용하여 macOS 디바이스를 관리하는 데 동일한 모델을 사용합니다. JAMF 기반 배포를 템플릿으로 사용합니다.

패키지

Microsoft Defender 포털에서 다운로드한 설치 패키지(wdav.pkg)를 사용하여 필요한 애플리케이션 패키지의 배포를 구성합니다.

경고

엔드포인트용 Defender 설치 패키지를 다시 패키징하는 것은 지원되는 시나리오가 아닙니다. 이렇게 하면 제품의 무결성에 부정적인 영향을 미칠 수 있으며 변조 경고 및 업데이트가 적용되지 않는 것을 포함하지만 이에 국한되지 않는 부정적인 결과를 초래할 수 있습니다.

엔터프라이즈에 패키지를 배포하려면 MDM 솔루션과 관련된 지침을 사용합니다.

라이선스 설정

시스템 구성 프로필을 설정합니다.

macOS의 엔드포인트용 Microsoft Defender macOS의 일부가 아니기 때문에 MDM 솔루션은 "사용자 지정 설정 프로필"처럼 호출할 수 있습니다.

Microsoft Defender 포털에서 다운로드한 온보딩 패키지에서 추출할 수 있는 속성 목록 jamf/WindowsDefenderATPOnboarding.plist를 사용합니다. 시스템에서 XML 형식의 임의의 속성 목록을 지원할 수 있습니다. 이 경우 jamf/WindowsDefenderATPOnboarding.plist 파일을 있는 그대로 업로드할 수 있습니다. 또는 먼저 속성 목록을 다른 형식으로 변환해야 할 수 있습니다.

일반적으로 사용자 지정 프로필에는 ID, 이름 또는 도메인 특성이 있습니다. 이 값에는 정확히 "com.microsoft.wdav.atp"를 사용해야 합니다. MDM은 이를 사용하여 클라이언트 디바이스의 /Library/Managed Preferences/com.microsoft.wdav.atp.plist 에 설정 파일을 배포하고 엔드포인트용 Defender는 이 파일을 사용하여 온보딩 정보를 로드합니다.

시스템 구성 프로필

macOS를 사용하려면 사용자가 시스템 확장, 백그라운드에서 실행, 알림 보내기, 전체 디스크 액세스 등과 같이 애플리케이션에서 사용하는 특정 함수를 수동으로 명시적으로 승인해야 합니다. 엔드포인트용 Microsoft Defender 이러한 함수를 사용하며 이러한 모든 동의가 사용자로부터 수신될 때까지 제대로 작동할 수 없습니다.

사용자를 대신하여 자동으로 동의를 부여하기 위해 관리자는 MDM 시스템을 통해 시스템 정책을 푸시합니다. 최종 사용자의 수동 승인에 의존하는 대신 이 작업을 수행하는 것이 좋습니다.

엔드포인트용 Microsoft Defender 에서 사용할 수 https://github.com/microsoft/mdatp-xplat있는 mobileconfig 파일로 필요한 모든 정책을 제공합니다. Mobileconfig는 Apple Configurator 또는 iMazing Profile과 같은 다른 제품이 지원하는 Apple의 가져오기/내보내기 형식 편집기입니다.

대부분의 MDM 공급업체는 새 사용자 지정 구성 프로필을 만드는 mobileconfig 파일 가져오기를 지원합니다.

프로필을 설정하려면 다음을 수행합니다.

1. MDM 공급업체에서 mobileconfig 가져오기를 수행하는 방법을 알아보세요.
2. 의 모든 프로필에 https://github.com/microsoft/mdatp-xplat대해 mobileconfig 파일을 다운로드하고 가져옵니다.
3. 생성된 각 구성 프로필에 적절한 scope 할당합니다.

Apple은 정기적으로 새 버전의 OS를 사용하여 새 유형의 페이로드를 만듭니다. 위에서 언급한 페이지를 방문하여 새 프로필을 사용할 수 있게 되면 게시해야 합니다. 다음과 같이 변경하면 새로운 기능 페이지에 알림을 게시합니다.

엔드포인트용 Defender 구성 설정

엔드포인트용 Microsoft Defender 구성을 배포하려면 구성 프로필이 필요합니다.

다음 단계에서는 구성 프로필 적용을 적용하고 확인하는 방법을 보여줍니다.

1. MDM이 등록된 컴퓨터에 구성 프로필을 배포 합니다. 시스템 설정 > 프로필에서 프로필을 볼 수 있습니다. 엔드포인트용 Microsoft Defender 구성 설정 프로필에 사용한 이름을 찾습니다. 표시되지 않으면 MDM 설명서에서 문제 해결 팁을 참조하세요.

2. 구성 프로필이 올바른 파일에 표시됩니다.

읽기 /Library/Managed Preferences/com.microsoft.wdav.plist 및 /Library/Managed Preferences/com.microsoft.wdav.ext.plist 파일을 엔드포인트용 Microsoft Defender. 관리 설정에 이러한 두 파일만 사용합니다.

해당 파일을 볼 수 없지만 프로필이 배달되었는지 확인한 경우(이전 섹션 참조) 프로필이 잘못 구성되었음을 의미합니다. "컴퓨터 수준" 대신 이 구성 프로필을 "사용자 수준"으로 설정했거나 엔드포인트용 Microsoft Defender 필요한 도메인 대신 다른 기본 설정 도메인을 사용했습니다("com.microsoft.wdav" 및 "com.microsoft.wdav.ext").

애플리케이션 구성 프로필을 설정하는 방법은 MDM 설명서를 참조하세요.

3. 구성 프로필에 예상 구조체가 포함되어 있습니다.

이 단계는 확인하기가 까다로울 수 있습니다. 엔드포인트용 Microsoft Defender 엄격한 구조의 com.microsoft.wdav.plist를 기대합니다. 예기치 않은 위치에 설정을 배치하거나 잘못 입력하거나 잘못된 형식을 사용하는 경우 설정은 자동으로 무시됩니다.

1. 검사 mdatp health 구성한 설정이 로 보고[managed]되었는지 확인할 수 있습니다.
2. 의 /Library/Managed Preferences/com.microsoft.wdav.plist 콘텐츠를 검사하고 예상 설정과 일치하는지 확인할 수 있습니다.

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

문서화된 구성 프로필 구조를 지침으로 사용할 수 있습니다.

이 문서에서는 "antivirusEngine", "edr", "tamperProtection"이 구성 파일의 최상위 수준에 있는 설정임을 설명합니다. 예를 들어 "scanHistoryMaximumItems"는 두 번째 수준에 있으며 정수 형식입니다.

이전 명령의 출력에 이 정보가 표시됩니다. "바이러스 백신Engine"이 다른 설정 아래에 중첩된 경우 프로필이 잘못 구성됩니다. "antivirusEngine" 대신 "바이러스 백신"이 표시되면 이름의 철자가 틀렸고 설정의 전체 하위 트리가 무시됩니다. 이면 "scanHistoryMaximumItems" => "10000"잘못된 형식이 사용되고 설정이 무시됩니다.

모든 프로필이 배포되어 있는지 확인합니다.

analyze_profiles.py 다운로드하고 실행할 수 있습니다. 이 스크립트는 컴퓨터에 배포된 모든 프로필을 수집 및 분석하고 누락된 프로필에 대해 경고합니다. 일부 오류를 놓칠 수 있으며 시스템 관리자가 의도적으로 내리는 일부 디자인 결정을 인식하지 못합니다. 지침에 이 스크립트를 사용하지만 오류로 표시된 항목이 표시되는지 항상 조사합니다. 예를 들어 온보딩 가이드는 Blob 온보딩을 위한 구성 프로필을 배포하도록 지시합니다. 그러나 일부 조직에서는 수동 온보딩 스크립트를 대신 실행하기로 결정합니다. analyze_profile.py 누락된 프로필에 대해 경고합니다. 구성 프로필을 통해 온보딩하도록 결정하거나 경고를 완전히 무시할 수 있습니다.

설치 상태 확인

클라이언트 디바이스에서 엔드포인트용 Microsoft Defender 실행하여 온보딩 상태 검사.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.