Konfigurere Microsoft Defender for endepunkt på macOS-policyer i Jamf Pro

Gjelder for:

• Defender for Endpoint på Mac
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Bruk denne artikkelen til å konfigurere policyer for Defender for Endpoint på Mac ved hjelp av Jamf Pro.

Trinn 1: Få Microsoft Defender for endepunkt pålastingspakken

Viktig

Du må ha en passende rolle tilordnet for å vise, administrere og pålaste enheter. Hvis du vil ha mer informasjon, kan du se Administrere tilgang til Microsoft Defender XDR med Microsoft Entra globale roller.

1. Gå til Innstillinger-endepunkter>>pålasting i Microsoft Defender-portalen.

2. Velg macOS som operativsystem og mobil Enhetsbehandling/ Microsoft Intune som distribusjonsmetode.

   

3. Velg Last ned pålastingspakke (WindowsDefenderATPOnboardingPackage.zip).

4. Trekk ut WindowsDefenderATPOnboardingPackage.zip.

5. Kopier filen til foretrukket plassering. For eksempel C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Trinn 2: Opprett en konfigurasjonsprofil i Jamf Pro ved hjelp av pålastingspakken

1. Finn filen WindowsDefenderATPOnboarding.plist fra forrige del.

   

2. Logg på Jamf Pro, naviger tilKonfigurasjonsprofiler for datamaskiner>, og velg Ny.

   

3. Angi følgende detaljer på Generelt-fanen:

   • Navn: MDE onboarding for macOS
   • Beskrivelse: MDE EDR onboarding for macOS
   • Kategori: None
   • Distribusjonsmetode: Install Automatically
   • Nivå: Computer Level

4. Gå til siden Program & Egendefinerte innstillinger , velg Last opp, og velg deretter Legg til.

   

5. Velg Last opp fil (PLIST-fil) og skriv inn com.microsoft.wdav.atpi Preference Domain .

   

   

6. Velg Åpne , og velg pålastingsfilen.

   

7. Velg Last opp.

   

8. Velg Omfang-fanen .

   

9. Velg måldatamaskinene.

   

   

10. Velg Lagre.

    

    

11. Velg Ferdig.

    

    

Trinn 3: Konfigurere innstillinger for Microsoft Defender for endepunkt

I dette trinnet går vi gjennom Innstillinger, slik at du kan konfigurere policyer for skadelig programvare og EDR ved hjelp av Microsoft Defender XDR portal (https://security.microsoft.com) eller Jamf.

Viktig

Microsoft Defender for endepunkt policyer for administrasjon av sikkerhetsinnstillinger har forrang over Jamf-angitte (og andre TREDJEPARTS MDM)-policyer.

3a. Angi policyer ved hjelp av Microsoft Defender portal

1. Følg veiledningen i Konfigurer Microsoft Defender for endepunkt i Intune før du angir sikkerhetspolicyer ved hjelp av Microsoft Defender.

2. Gå tilsikkerhetspolicyer> for endepunkt for konfigurasjonsbehandling> i Microsoft Defender portalen, og opprett ny policy forMac>.

3. Velg macOS under Velg plattform.

4. Velg en mal under Velg mal, og velg Opprett policy.

5. Angi et navn og en beskrivelse for policyen, og velg deretter Neste.

6. Tilordne profilen til en gruppe der macOS-enhetene og/eller brukerne befinner seg, eller Alle brukere og Alle enheter på Oppgaver-fanen.

Hvis du vil ha mer informasjon om behandling av sikkerhetsinnstillinger, kan du se følgende artikler:

• Administrer Microsoft Defender for endepunkt på enheter med Microsoft Intune

• Administrer sikkerhetsinnstillinger for Windows, macOS og Linux opprinnelig i Defender for Endpoint

3b. Angi policyer ved hjelp av Jamf

Du kan enten bruke Jamf Pro GUI til å redigere individuelle innstillinger for Microsoft Defender for endepunkt-konfigurasjonen, eller bruke den eldre metoden ved å opprette en konfigurasjons-Plist i et tekstredigeringsprogram og laste den opp til Jamf Pro.

Du må bruke nøyaktig com.microsoft.wdav som innstillingsdomenet. Microsoft Defender for endepunkt bruker bare dette navnet og com.microsoft.wdav.ext til å laste inn de administrerte innstillingene. (Versjonen com.microsoft.wdav.ext kan brukes i sjeldne tilfeller når du foretrekker å bruke GUI-metoden, men også trenger å konfigurere en innstilling som ikke er lagt til i skjemaet ennå.)

GUI-metode

1. schema.json Last ned filen fra Defenders GitHub-repositorium, og lagre den i en lokal fil:

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. Opprett en ny konfigurasjonsprofil. Gå til Konfigurasjonsprofiler under Datamaskiner, og angi deretter følgende detaljer på generelt-fanen:

   

   • Navn: MDATP MDAV configuration settings
   • Beskrivelse: <blank\>
   • Kategori: None (default)
   • Nivå: Computer Level (default)
   • Distribusjonsmetode: Install Automatically (default)

3. Rull ned til fanen Program & Egendefinerte innstillinger , velg Eksterne programmer, velg Legg til, og bruk deretter Egendefinert skjema som kilde for innstillingsdomenet.

   

4. Skriv inn com.microsoft.wdav for innstillingsdomenet, velg Legg til skjema , og last deretter opp schema.json filen som ble lastet ned i trinn 1. Velg Lagre.

   

5. Du kan se alle støttede Microsoft Defender for endepunkt konfigurasjonsinnstillinger under Innstillinger for domeneegenskaper. Velg Legg til / fjern egenskaper for å velge innstillingene du vil behandle, og velg deretter OK for å lagre endringene. (Innstillinger som ikke er merket, er ikke inkludert i den administrerte konfigurasjonen, en sluttbruker kan konfigurere disse innstillingene på maskinene sine.)

   

6. Endre verdiene for innstillingene til ønskede verdier. Du kan velge Mer informasjon for å få dokumentasjon for en bestemt innstilling. (Du kan velge forhåndsvisning av Plist for å undersøke hva konfigurasjonslisten er. Velg Redigeringsprogram for skjema for å gå tilbake til redigeringsprogrammet for visualobjekter.)

   

7. Velg Omfang-fanen .

   

8. Velg Contosos maskingruppe. Velg Legg til, og velg deretter Lagre.

   

   

9. Velg Ferdig. Du ser den nye konfigurasjonsprofilen.

   

Microsoft Defender for endepunkt legger til nye innstillinger over tid. Disse nye innstillingene legges til i skjemaet, og en ny versjon publiseres til GitHub. Last ned et oppdatert skjema og rediger den eksisterende konfigurasjonsprofilen for å få oppdateringer. Velg Rediger skjema på fanen & egendefinerte innstillinger.

Eldre metode

1. Bruk følgende Microsoft Defender for endepunkt konfigurasjonsinnstillinger:

   • enableRealTimeProtection
   • passiveMode (Denne innstillingen er ikke aktivert som standard. Hvis du planlegger å kjøre antivirusprogramvare som ikke er Fra Microsoft på Mac, setter du den til true.)
   • exclusions
   • excludedPath
   • excludedFileExtension
   • excludedFileName
   • exclusionsMergePolicy
   • allowedThreats (EICAR er i eksemplet. Hvis du går gjennom et konseptbevis, fjerner du det spesielt hvis du tester EICAR.)
   • disallowedThreatActions
   • potentially_unwanted_application
   • archive_bomb
   • cloudService
   • automaticSampleSubmission
   • tags
   • hideStatusMenuIcon

   Hvis du vil ha mer informasjon, kan du se egenskapslisten for Full konfigurasjonsprofil for Jamf.

     <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
     <plist version="1.0">
     <dict>
         <key>antivirusEngine</key>
         <dict>
             <key>enableRealTimeProtection</key>
             <true/>
             <key>passiveMode</key>
             <false/>
             <key>exclusions</key>
             <array>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <false/>
                     <key>path</key>
                     <string>/var/log/system.log</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <true/>
                     <key>path</key>
                     <string>/home</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileExtension</string>
                     <key>extension</key>
                     <string>pdf</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileName</string>
                     <key>name</key>
                     <string>cat</string>
                 </dict>
             </array>
             <key>exclusionsMergePolicy</key>
             <string>merge</string>
             <key>allowedThreats</key>
             <array>
                 <string>EICAR-Test-File (not a virus)</string>
             </array>
             <key>disallowedThreatActions</key>
             <array>
                 <string>allow</string>
                 <string>restore</string>
             </array>
             <key>threatTypeSettings</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>potentially_unwanted_application</string>
                     <key>value</key>
                     <string>block</string>
                 </dict>
                 <dict>
                     <key>key</key>
                     <string>archive_bomb</string>
                     <key>value</key>
                     <string>audit</string>
                 </dict>
             </array>
             <key>threatTypeSettingsMergePolicy</key>
             <string>merge</string>
         </dict>
         <key>cloudService</key>
         <dict>
             <key>enabled</key>
             <true/>
             <key>diagnosticLevel</key>
             <string>optional</string>
             <key>automaticSampleSubmission</key>
             <true/>
         </dict>
         <key>edr</key>
         <dict>
             <key>tags</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>GROUP</string>
                     <key>value</key>
                     <string>ExampleTag</string>
                 </dict>
             </array>
         </dict>
         <key>userInterface</key>
         <dict>
             <key>hideStatusMenuIcon</key>
             <false/>
         </dict>
     </dict>
     </plist>
   

2. Lagre filen som MDATP_MDAV_configuration_settings.plist.

3. Åpne datamaskiner og deres konfigurasjonsprofiler i Jamf Pro-instrumentbordet. Velg Ny , og bytt til Generelt-fanen .

   

4. Angi følgende detaljer på Generelt-fanen:

   • Navn: MDATP MDAV configuration settings
   • Beskrivelse: <blank>
   • Kategori: None (default)
   • Distribusjonsmetode: Install Automatically (default)
   • Nivå: Computer Level (default)

5. Velg Konfigureri & Egendefinerte innstillinger for program.

   

   

6. Velg Last opp fil (PLIST-fil).

   

7. Skriv inn com.microsoft.wdavi Preferences Domain , og velg deretter Last opp PLIST-fil.

   

8. Velg Velg fil.

   

9. Velg MDATP_MDAV_configuration_settings.plist, og velg deretter Åpne.

   

10. Velg Last opp.

    

    

    Obs!

    Hvis du laster opp Intune-filen, får du følgende feilmelding:

    

11. Velg Lagre.

    

12. Filen lastes opp.

    

    

13. Velg Omfang-fanen .

    

14. Velg Contosos maskingruppe. Velg Legg til, og velg deretter Lagre.

    

    

15. Velg Ferdig. Du ser den nye konfigurasjonsprofilen.

Trinn 4: Konfigurere varslingsinnstillinger

Obs!

Disse trinnene gjelder for macOS 11 (Big Sur) eller nyere. Selv om Jamf støtter varsler på macOS versjon 10.15 eller nyere, krever Defender for Endpoint på Mac macOS 11 eller nyere.

1. Velg Datamaskiner i Jamf Pro-instrumentbordet, og deretter Konfigurasjonsprofiler.

2. Velg Ny, og angi deretter følgende detaljer på Generelt-fanen for Alternativer:

   • Navn: MDATP MDAV Notification settings

   • Beskrivelse: macOS 11 (Big Sur) or later

   • Kategori: None *(default)*

   • Distribusjonsmetode: Install Automatically *(default)*

   • Nivå: Computer Level *(default)*

     

3. Velg Legg til på Varsler-fanen, og angi følgende verdier:

   • Pakke-ID: com.microsoft.wdav.tray
   • Kritiske varsler: Velg Deaktiver
   • Varsler: Velg Aktiver
   • Bannervarslingstype: Velg Inkluder og Midlertidig(standard)
   • Varsler på låseskjermen: Velg Skjul
   • Varsler i varslingssenteret: Velg Vis
   • Indikatorappikon: Velg Vis

   

4. Velg Legg til én gang til på Varsler-fanen, og rull deretter ned til Innstillinger for nye varsler.

   • Pakke-ID: com.microsoft.autoupdate.fba

5. Konfigurer resten av innstillingene til de samme verdiene som ble nevnt tidligere

   

   Vær oppmerksom på at nå har du to tabeller med varslingskonfigurasjoner, én for Pakke-ID: com.microsoft.wdav.tray og en annen for Pakke-ID: com.microsoft.autoupdate.fba. Selv om du kan konfigurere varselinnstillinger i henhold til kravene dine, må pakke-ID-er være nøyaktig de samme som beskrevet tidligere, og Inkluder-bryteren må være på for varsler.

6. Velg Omfang-fanen , og velg deretter Legg til.

   

7. Velg Contosos maskingruppe. Velg Legg til, og velg deretter Lagre.

   

   

8. Velg Ferdig. Du skal kunne se den nye konfigurasjonsprofilen.

   

Trinn 5: Konfigurere Microsoft Automatiske oppdateringer (MAU)

1. Bruk følgende Microsoft Defender for endepunkt konfigurasjonsinnstillinger:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. Lagre den som MDATP_MDAV_MAU_settings.plist.

3. Velg Generelt i Jamf Pro-instrumentbordet.

   

4. Angi følgende detaljer på Generelt-fanen:

   • Navn: MDATP MDAV MAU settings
   • Beskrivelse: Microsoft AutoUpdate settings for MDATP for macOS
   • Kategori: None (default)
   • Distribusjonsmetode: Install Automatically (default)
   • Nivå: Computer Level (default)

5. Velg Konfigureri & Egendefinerte innstillinger for program.

   

6. Velg Last opp fil (PLIST-fil).

7. Velg Last opp PLIST-fil under Innstillingsdomene , com.microsoft.autoupdate2og velg deretter Last opp PLIST-fil.

   

8. Velg Velg fil.

   

9. Velg MDATP_MDAV_MAU_settings.plist.

   

10. Velg Last opp.

    

11. Velg Lagre.

    

12. Velg Omfang-fanen .

    

13. Velg Legg til.

    

    

    

14. Velg Ferdig.

    

Trinn 6: Gi full disktilgang til Microsoft Defender for endepunkt

1. Velg Konfigurasjonsprofiler i Jamf Pro-instrumentbordet.

   

2. Velg + Ny.

3. Angi følgende detaljer på Generelt-fanen:

   • Navn: MDATP MDAV - grant Full Disk Access to EDR and AV
   • Beskrivelse: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • Kategori: None
   • Distribusjonsmetode: Install Automatically
   • Nivå: Computer level

   

4. Velg Konfigurer i Konfigurer policykontroll for personverninnstillinger.

   

5. Skriv inn følgende detaljer i policyen for personverninnstillinger:

   • Identifikator: com.microsoft.wdav
   • Identifikatortype: Bundle ID
   • Kodekrav: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. Velg + Legg til.

   

   • Velg SystemPolicyAllFiles under App eller tjeneste.
   • Velg Tillat under tilgang.

7. Velg Lagre (ikke den nederst til høyre).

   

8. Velg fortegnet ved + siden av AppTilgang for å legge til en ny oppføring.

   

9. Skriv inn følgende detaljer:

   • Identifikator: com.microsoft.wdav.epsext
   • Identifikatortype: Bundle ID
   • Kodekrav: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. Velg + Legg til.

    

• Velg SystemPolicyAllFiles under App eller tjeneste.
• Velg Tillat under tilgang.

11. Velg Lagre (ikke den nederst til høyre).

12. Velg Omfang-fanen .

13. Velg + Legg til.

14. Velg Datamaskin Grupper, og velg Contosos maskingruppe under Gruppenavn.

15. Velg Legg til. Velg deretter Lagre.

16. Velg Ferdig.

    

    

Alternativt kan du laste ned fulldisk.mobileconfig og laste den opp til Jamf Configuration Profiles som beskrevet i distribuering av egendefinerte konfigurasjonsprofiler ved hjelp av Jamf Pro|Metode 2: Last opp en konfigurasjonsprofil til Jamf Pro.

Obs!

Full disktilgang som gis via Apple MDM Configuration Profile, gjenspeiles ikke i Systeminnstillinger => Personvern & Sikkerhet => Full disktilgang.

Trinn 7: Godkjenn systemutvidelser for Microsoft Defender for endepunkt

1. Velg + Ny i konfigurasjonsprofilene.

   

2. Angi følgende detaljer på Generelt-fanen:

   • Navn: MDATP MDAV System Extensions
   • Beskrivelse: MDATP system extensions
   • Kategori: None
   • Distribusjonsmetode: Install Automatically
   • Nivå: Computer Level

   

3. Velg Konfigurer i Systemutvidelser.

   

4. Skriv inn følgende detaljer i systemutvidelser:

   • Visningsnavn: Microsoft Corp. System Extensions
   • Systemutvidelsestyper: Allowed System Extensions
   • Teamidentifikator: UBF8T346G9
   • Tillatte systemutvidelser:
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. Velg Omfang-fanen .

   

6. Velg + Legg til.

7. Velg Datamaskin Grupper> velg Contosos maskingruppe under Gruppenavn>.

8. Velg + Legg til.

   

9. Velg Lagre.

   

10. Velg Ferdig.

    

Trinn 8: Konfigurere nettverksutvidelse

Som en del av gjenkjennings- og responsfunksjonene for endepunkt inspiserer Microsoft Defender for endepunkt på macOS sockettrafikken og rapporterer denne informasjonen til Microsoft Defender-portalen.

Obs!

Disse trinnene gjelder for macOS 11 (Big Sur) eller nyere. Selv om Jamf støtter varsler på macOS versjon 10.15 eller nyere, krever Defender for Endpoint på Mac macOS 11 eller nyere.

1. Velg Datamaskiner i Jamf Pro-instrumentbordet, og deretter Konfigurasjonsprofiler.

2. Velg Ny, og skriv inn følgende detaljer for Alternativer:

3. Angi følgende verdier på Generelt-fanen:

   • Navn: Microsoft Defender Network Extension
   • Beskrivelse: macOS 11 (Big Sur) or later
   • Kategori: None *(default)*
   • Distribusjonsmetode: Install Automatically *(default)*
   • Nivå: Computer Level *(default)*

4. Angi følgende verdier på Innholdsfilter-fanen :

   • Filternavn: Microsoft Defender Content Filter
   • Identifikator: com.microsoft.wdav
   • La tjenesteadresse, organisasjon, brukernavn, passord, sertifikat stå tomt (inkluder er ikke valgt)
   • Filterrekkefølge: Inspector
   • Muffefilter: com.microsoft.wdav.netext
   • Angitt krav for socketfilter: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
   • La nettverksfilterfeltene stå tomme (Inkluder er ikke valgt)

   Vær oppmerksom på at identifikator, socketfilter og muffefilter angitte krav nøyaktige verdier som angitt tidligere.

   

5. Velg Omfang-fanen .

   

6. Velg + Legg til. Velg Datamaskin Grupper, og velg deretter Contosos maskingruppe under Gruppenavn. Velg deretter + Legg til.

   

7. Velg Lagre.

   

8. Velg Ferdig.

   

Alternativt kan du laste ned netfilter.mobileconfig og laste den opp til Jamf Configuration Profiles som beskrevet i Distribusjon av egendefinerte konfigurasjonsprofiler ved hjelp av Jamf Pro|

Trinn 9: Konfigurere Bakgrunnstjenester

Forsiktig!

macOS 13 (Ventura) inneholder nye personvernforbedringer. Fra og med denne versjonen kan programmer som standard ikke kjøre i bakgrunnen uten eksplisitt samtykke. Microsoft Defender for endepunkt må kjøre daemonprosessen i bakgrunnen.

Denne konfigurasjonsprofilen gir bakgrunnstjenestetillatelser til Microsoft Defender for endepunkt. Hvis du tidligere har konfigurert Microsoft Defender for endepunkt via Jamf, anbefaler vi at du oppdaterer distribusjonen med denne konfigurasjonsprofilen.

Last ned background_services.mobileconfig fra GitHub-repositoriet vårt.

Last opp nedlastet mobileconfig til Jamf Configuration Profiles som beskrevet i distribuering av egendefinerte konfigurasjonsprofiler ved hjelp av Jamf Pro|Metode 2: Last opp en konfigurasjonsprofil til Jamf Pro.

Trinn 10: Gi Bluetooth-tillatelser

Forsiktig!

macOS 14 (Sonoma) inneholder nye personvernforbedringer. Fra og med denne versjonen får programmer som standard ikke tilgang til Bluetooth uten eksplisitt samtykke. Microsoft Defender for endepunkt bruker den hvis du konfigurerer Bluetooth-policyer for enhetskontroll.

Last ned bluetooth.mobileconfig fra GitHub-repositoriet.

Advarsel

Gjeldende versjon av Jamf Pro støtter ikke denne typen nyttelast ennå. Hvis du laster opp denne mobileconfig som den er, vil Jamf Pro fjerne nyttelasten som ikke støttes, og den vil ikke gjelde for klientmaskiner. Du må signere nedlastet mobileconfig først, etter at Jamf Pro vil vurdere det "forseglet" og vil ikke tukle med det. Se instruksjonene nedenfor:

• Du må ha minst ett signeringssertifikat installert i nøkkelringen, selv et selvsignert sertifikat fungerer. Du kan undersøke hva du har med:

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

Velg en av dem, og angi den siterte teksten som -N parameter:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Nå kan du laste opp den genererte Bluetooth-signerte.mobileconfig til Jamf Pro som beskrevet i distribuering av egendefinerte konfigurasjonsprofiler ved hjelp av Jamf Pro|Metode 2: Last opp en konfigurasjonsprofil til Jamf Pro.

Obs!

Bluetooth som gis via Apple MDM Configuration Profile gjenspeiles ikke i Systeminnstillinger => Personvern & Sikkerhet => Bluetooth.

Trinn 11: Planlegge skanninger med Microsoft Defender for endepunkt på macOS

Følg instruksjonene i Planlegg skanninger med Microsoft Defender for endepunkt på macOS.

Trinn 12: Distribuer Microsoft Defender for endepunkt på macOS

Obs!

I trinnene nedenfor er navnet .pkg på filen og visningsnavnverdiene eksempler. I disse eksemplene 200329 representerer du datoen pakken og policyen ble opprettet (i yymmdd format), og v100.86.92 representerer versjonen av det Microsoft Defender programmet som distribueres. Disse verdiene bør oppdateres for å samsvare med navnekonvensjonen du bruker i miljøet for pakker og policyer.

1. Naviger til der du lagret wdav.pkg.

   

2. Gi den nytt navn til wdav_MDM_Contoso_200329.pkg.

   

3. Åpne Jamf Pro-instrumentbordet.

   

4. Velg datamaskinen, og velg tannhjulikonet øverst, og velg deretter Datamaskinbehandling.

   

5. Velg + Ny i Pakker.

   

6. Angi følgende detaljer i Ny pakke på Generelt-fanen:

   • Visningsnavn: La det stå tomt inntil videre. Fordi den tilbakestilles når du velger pkg.
   • Kategori: None (default)
   • Filnavn: Choose File

   

7. Åpne filen og pek den til wdav.pkg eller wdav_MDM_Contoso_200329.pkg.

   

8. Klikk Åpne. Angi visningsnavnet til Microsoft Defender Advanced Threat Protection og Microsoft Defender Antivirus.

   • Manifestfil er ikke nødvendig. Microsoft Defender for endepunkt fungerer uten manifestfil.
   • Alternativer-fanen: Behold standardverdier.
   • Begrensninger-fanen: Behold standardverdier.

   

9. Velg Lagre. Pakken lastes opp til Jamf Pro.

   

   Det kan ta noen minutter før pakken er tilgjengelig for distribusjon.

   

10. Gå til Policyer-siden .

11. Velg + Ny for å opprette en ny policy.

    

12. Bruk generelt for visningsnavnetMDATP Onboarding Contoso 200329 v100.86.92 or later.

    

13. Velg regelmessig innsjekking.

    

14. Velg Lagre. Velg deretter Pakker, og velg deretterKonfigurer.

    

15. Velg Legg til-knappen ved siden av Microsoft Defender Advanced Threat Protection og Microsoft Defender Antivirus.

    

16. Velg Lagre.

    

Opprett en smart gruppe for maskiner med Microsoft Defender profiler.

Hvis du vil ha en bedre brukeropplevelse, må konfigurasjonsprofiler for registrerte maskiner installeres før pakken Microsoft Defender. I de fleste tilfeller skyver JamF Pro konfigurasjonsprofiler umiddelbart, og disse policyene utføres etter en stund (det vil eksempelvis under innsjekking). I noen tilfeller kan imidlertid distribusjon av konfigurasjonsprofiler distribueres med en betydelig forsinkelse (det vil eksempelvis hvis en brukers maskin er låst).

Jamf Pro gir en måte å sikre riktig rekkefølge på. Du kan opprette en smartgruppe for maskiner som allerede har mottatt konfigurasjonsprofilen til Microsoft Defender, og installere pakken Microsoft Defender bare på disse maskinene (og så snart de mottar denne profilen).

Følg disse trinnene:

1. Opprett en smart gruppe. Åpne Smart Computers Grupper i et nytt nettleservindu.

2. Velg Ny, og gi gruppen et navn.

3. Velg Legg til på Vilkår-fanen, og velg deretter Vis avanserte vilkår.

4. Velg Profilnavn som vilkår, og bruk navnet på en tidligere opprettet konfigurasjonsprofil som verdi:

   

5. Velg Lagre.

6. Gå tilbake til vinduet der du konfigurerer en pakkepolicy.

7. Velg Omfang-fanen .

   

8. Velg måldatamaskinene.

   

9. Velg Legg til under Omfang.

   

10. Bytt til Datamaskin Grupper-fanen. Finn smartgruppen du opprettet, og velg deretter Legg til.

11. Hvis du vil at brukere skal installere Defender for Endpoint frivillig (eller ved behov), velger du Selvbetjent.

12. Velg Ferdig.

Konfigurasjonsprofilomfang

Jamf krever at du definerer et sett med maskiner for en konfigurasjonsprofil. Du må sørge for at alle maskiner som mottar Defender-pakken, også mottar alle konfigurasjonsprofilene som er oppført ovenfor.

Advarsel

Jamf støtter Smart Computer Grupper som tillater distribusjon, for eksempel konfigurasjonsprofiler eller policyer til alle maskiner som samsvarer med bestemte kriterier evaluert dynamisk. Det er et kraftig konsept som er mye brukt til distribusjon av konfigurasjonsprofiler.

Husk imidlertid at disse kriteriene ikke bør inkludere tilstedeværelsen av Defender på en maskin. Selv om dette vilkåret kan høres logisk ut, skaper det problemer som er vanskelige å diagnostisere.

Defender er avhengig av alle disse profilene i øyeblikket av installasjonen.

Å gjøre konfigurasjonsprofiler avhengig av Defenders tilstedeværelse forsinker effektiv distribusjon av konfigurasjonsprofiler, og resulterer i et opprinnelig usunt produkt og/eller ber om manuell godkjenning av bestemte programtillatelser, som ellers er automatisk godkjent av profiler. Distribusjon av en policy med Microsoft Defender-pakken etter distribusjon av konfigurasjonsprofiler sikrer sluttbrukerens beste opplevelse, fordi alle nødvendige konfigurasjoner vil bli brukt før pakken installeres.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.