Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Konfigurasjonen brukes ikke som forventet
Du har konfigurert Microsoft Defender med innstillingene du trenger, og du ser ikke at noen (eller alle) av dem er aktivert. Hvordan feilsøke det?
Konfigurasjonskilder
Microsoft Defender samler inn konfigurasjon fra flere kilder.
I nesten alle tilfeller kan du endre konfigurasjonen dynamisk, og den vil bli brukt umiddelbart, uten at det kreves omstart.
Ulike kilder har ulike prioriteringer. Når den samme innstillingen kommer fra mer enn én kilde, fletter Microsoft Defender verdier fra ulike kilder. I de fleste tilfeller betyr det at verdien med høyere prioritet gjelder, og kilder fra lavere prioriteringer ignoreres. I noen tilfeller (for eksempel antivirusutelukkelser). Se konfigurasjonsdokumentasjonen for mer informasjon.
Konfigurasjonskilder i prioritetsrekkefølgen ("1" har høyest prioritet):
- MDE Attach, Defender konfigurert i Intune portal
- MDM-konfigurasjonsprofil, konfigurert ved hjelp av MDM-programvaren
-
Lokal konfigurasjon, som du har gjort ved hjelp av
mdatp config ...kommandoen som lokal administrator, eller gjennom Microsoft Defender-programmet - Standardinnstilling som brukes når du ikke har angitt noen eksplisitt innstilling
MDE Legg ved og MDM-konfigurasjonsprofil
Forsiktig!
MDE Legg ved og MDM-konfigurasjonsprofilen utelates gjensidig. Hvis du angir en del konfigurasjon for begge, brukes bare MDE Legg ved innstillinger, og alle MDM-innstillinger ignoreres! Ikke bruk dem sammen.
Bruk mdatp health --field managed_by denne til å finne ut om du bruker MDE Attach.
- «MDE» angir MDE Legg ved. Alle konfigurasjoner som er angitt med en MDM-konfigurasjonsprofil, ignoreres.
- MEM angir MDM-konfigurasjonsprofil eller bare lokal konfigurasjon
Du kan kjøre mdatp health for å få konfigurasjonen som Microsoft Defender brukes for øyeblikket. Hvis du ser «[administrert]» ved siden av en verdi, er den for øyeblikket konfigurert gjennom en MDM-konfigurasjonsprofil. Hvis det ikke finnes noen «[administrert]», er den konfigurert lokalt eller via MDE Legg ved.
feilsøking for MDE Legg ved og MDM-konfigurasjoner
Kontroller følgende filer:
-
/Library/Preferences/com.microsoft.mdeattach.plist– Microsoft Defender leser denne filen for innstillinger levert av MDE Attach. Hvis du forventer en innstilling, og du ikke ser den konfigurert, må du kontrollere at den er der -
/Library/Managed Preferences/com.microsoft.wdav.plistog/Library/Managed Preferences/com.microsoft.wdav.ext.plist– Microsoft Defender leser disse filene for innstillinger levert av MDM.
Filbanene og navnene må være akkurat som beskrevet! Hvis du ser en lignende, men litt annen filbane, betyr det at Microsoft Defender ignorerer den.
Hvis du forventer noen MDM-innstillinger og ikke ser disse filene, betyr det at MDM ikke har levert konfigurasjonsprofiler til maskinen i det hele tatt. Hvis du vil feilsøke profillevering, kan du ta kontakt med MDM-programvaren (JAMF, Intune osv.) ressurser.
Hvis du forventer noen innstillinger og du ser disse filene, kan du sjekke innholdet deres:
> plutil -p '/Library/Managed Preferences/com.microsoft.wdav.plist
{
"antivirusEngine" => {
"enforcementLevel" => "real_time"
}
}
Disse innstillingene må samsvare med innstillingene du konfigurerte. Navnene, indirekte nivå, typen må være nøyaktig som dokumentert.
Hvis du for eksempel plist forteller deg at AntivirusEngine er i en annen gruppe, kan du være sikker på at Microsoft Defender ignorerer «enforcementLevel»-innstillingen:
# Bad configuration!
> plutil -p '/Library/Managed Preferences/com.microsoft.wdav.plist
{
"Forced" => {
"mcx_preference_settings" => {
"antivirusEngine" => {
"enforcementLevel" => "real_time"
}
}
}
}
MDM-konfigurasjon – hvor kommer den fra?
macOS-oppdateringer /Bibliotek/Administrerte innstillinger/filer basert på profiler distribuert over MDM.
Hvis du ikke ser en forventet fil for administrerte innstillinger, eller innholdet er forskjellig fra det du forventer, åpner du => Systeminnstillinger => Profiler.
Du kan se alle profiler distribuert over MDM under «Enhet (administrert).» Finn en profil som du konfigurerte i MDM for Microsoft Defender konfigurasjon. Du kan åpne den og undersøke innholdet. Den må samsvare med hva som er i /Library/Managed Preferences/com.microsoft.wdav.plist og hva du konfigurerte i MDM.
Hvis du ikke ser noen administrert profil for com.microsoft.wdav, leverte ikke MDM den. Se dokumentasjonen for MDM-programvaren for feilsøking. Det kan være flere årsaker til at det skjedde. Feilsøking av MDM er utenfor omfanget for Microsoft Defender dokumentasjon.
Hvis du ser mer enn én konfigurasjonsprofil for samme com.microsoft.wdav, kan det være årsaken til at du ikke forventet konfigurasjon av Microsoft Defender. macOS utfører en del sammenslåing av disse profilene til én enkelt PLIST, men den kan bare slå sammen det øverste konfigurasjonsnivået på riktig måte. Det vil si at du ikke kan spre forskjellige "antivirusEngine"-innstillinger på tvers av to com.microsoft.wdav-konfigurasjonsprofiler, MDM bruker bare én av dem tilfeldig, og ignorerer resten. Du kan bruke ekstra com.microsoft.wdav.ext-profil hvis du må plassere innstillingene i to profiler (på nytt må det være maksimalt én konfigurasjonsprofil med com.microsoft.wdav.ext også).
Unngå med andre ord å ha mer enn én konfigurasjonsprofil for samme identifikator.
MDE Legg ved konfigurasjon – hvor kommer den fra?
Den leveres ikke over MDM. Se MDE Legg ved dokumentasjon for hvordan du feilsøker den.