Distribusjon med et annet mdm-system (Mobile Enhetsbehandling) for Microsoft Defender for endepunkt på macOS
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Forutsetninger og systemkrav
Før du begynner, kan du se hoved Microsoft Defender for endepunkt på macOS-siden for en beskrivelse av forutsetninger og systemkrav for den gjeldende programvareversjonen.
Tilnærming
Forsiktig!
For øyeblikket støtter Microsoft offisielt bare Intune og JAMF for distribusjon og administrasjon av Microsoft Defender for endepunkt på macOS. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen nedenfor.
Hvis organisasjonen bruker en mdm-løsning (Mobile Enhetsbehandling) som ikke støttes offisielt, betyr ikke dette at du ikke kan distribuere eller kjøre Microsoft Defender for endepunkt på macOS.
Microsoft Defender for endepunkt på macOS avhenger ikke av noen leverandørspesifikke funksjoner. Den kan brukes med alle MDM-løsninger som støtter følgende funksjoner:
- Distribuer en macOS-.pkg til administrerte enheter.
- Distribuer konfigurasjonsprofiler for MacOS-systemet til administrerte enheter.
- Kjør et vilkårlig administratorkonfigurert verktøy/skript på administrerte enheter.
De fleste moderne MDM-løsninger inkluderer disse funksjonene, men de kan imidlertid kalle dem annerledes.
Du kan distribuere Defender for endepunkt uten det siste kravet fra den foregående listen, men:
- Du kan ikke samle inn status på en sentralisert måte.
- Hvis du bestemmer deg for å avinstallere Defender for Endpoint, må du logge på klientenheten lokalt som administrator.
Distribusjon
De fleste MDM-løsninger bruker samme modell for administrasjon av macOS-enheter, med lignende terminologi. Bruk JAMF-basert distribusjon som en mal.
Pakken
Konfigurer distribusjon av en nødvendig programpakke, med installasjonspakken (wdav.pkg) lastet ned fra Microsoft Defender portal.
Advarsel
Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.
Hvis du vil distribuere pakken til virksomheten, kan du bruke instruksjonene som er knyttet til MDM-løsningen.
Lisensinnstillinger
Konfigurer en systemkonfigurasjonsprofil.
MDM-løsningen kan kalle den noe sånt som «Egendefinert innstillingsprofil», da Microsoft Defender for endepunkt på macOS ikke er en del av macOS.
Bruk egenskapslisten Jamf/WindowsDefenderATPOnboarding.plist, som kan pakkes ut fra en pålastingspakke som er lastet ned fra Microsoft Defender portal. Systemet kan støtte en vilkårlig egenskapsliste i XML-format. Du kan laste opp jamf/WindowsDefenderATPOnboarding.plist-filen som den er i så fall. Alternativt kan det hende at du må konvertere egenskapslisten til et annet format først.
Den egendefinerte profilen har vanligvis en ID, et navn eller et domeneattributt. Du må bruke nøyaktig "com.microsoft.wdav.atp" for denne verdien. MDM bruker den til å distribuere innstillingsfilen til /Library/Managed Preferences/com.microsoft.wdav.atp.plist på en klientenhet, og Defender for Endpoint bruker denne filen til å laste inn pålastingsinformasjonen.
Systemkonfigurasjonsprofiler
macOS krever at en bruker manuelt og eksplisitt godkjenner visse funksjoner som et program bruker, for eksempel systemutvidelser, kjører i bakgrunnen, sender varsler, full disktilgang osv. Microsoft Defender for endepunkt er avhengig av disse funksjonene, og kan ikke fungere riktig før alle disse samtykkene mottas fra en bruker.
En administrator sender systempolicyer gjennom MDM-systemet for å gi samtykke automatisk på en brukers vegne. Dette anbefaler vi på det sterkeste å gjøre, i stedet for å stole på manuelle godkjenninger fra sluttbrukere.
Vi leverer alle policyer som Microsoft Defender for endepunkt krever som mobileconfig-filer som er tilgjengelige på https://github.com/microsoft/mdatp-xplat. Mobileconfig er et Apples import-/eksportformat som Apple Configurator eller andre produkter som iMazing Profile Redaktør støtte.
De fleste MDM-leverandører støtter import av en mobileconfig-fil som oppretter en ny egendefinert konfigurasjonsprofil.
Slik konfigurerer du profiler:
- Finn ut hvordan en mobilkonfigurasjonsimport gjøres med MDM-leverandøren.
- Last ned en mobileconfig-fil for alle profiler fra https://github.com/microsoft/mdatp-xplat, og importer den.
- Tilordne riktig omfang for hver opprettet konfigurasjonsprofil.
Vær oppmerksom på at Apple jevnlig oppretter nye typer nyttelaster med nye versjoner av et operativsystem. Du må gå til den ovennevnte siden og publisere nye profiler når de ble tilgjengelige. Vi legger inn varsler på vår Nyheter-side når vi gjør slike endringer.
Konfigurasjonsinnstillinger for Defender for Endpoint
Hvis du vil distribuere Microsoft Defender for endepunkt konfigurasjon, trenger du en konfigurasjonsprofil.
Følgende fremgangsmåte viser hvordan du bruker og bekrefter bruk av en konfigurasjonsprofil.
1. MDM distribuerer konfigurasjonsprofil til registrerte maskiner Du kan vise profiler i Systeminnstillinger-profiler > . Se etter navnet du brukte for Microsoft Defender for endepunkt profil for konfigurasjonsinnstillinger. Hvis du ikke ser den, kan du se MDM-dokumentasjonen for feilsøkingstips.
2. Konfigurasjonsprofilen vises i riktig fil
Microsoft Defender for endepunkt leser /Library/Managed Preferences/com.microsoft.wdav.plist og /Library/Managed Preferences/com.microsoft.wdav.ext.plist filer.
Den bruker bare disse to filene for administrerte innstillinger.
Hvis du ikke kan se disse filene, men du har bekreftet at profilene ble levert (se forrige del), betyr det at profilene er feilkonfigurert. Enten opprettet du denne konfigurasjonsprofilen «Brukernivå» i stedet for «Datamaskinnivå», eller du brukte et annet innstillingsdomene i stedet for de som Microsoft Defender for endepunkt forventer («com.microsoft.wdav» og «com.microsoft.wdav.ext»).
Se MDM-dokumentasjonen for hvordan du konfigurerer programkonfigurasjonsprofiler.
3. Konfigurasjonsprofilen inneholder den forventede strukturen
Dette trinnet kan være vanskelig å bekrefte. Microsoft Defender for endepunkt forventer com.microsoft.wdav.plist med en streng struktur. Hvis du plasserer innstillingene på uventet sted eller feilstaver dem, eller bruker en ugyldig type, ignoreres innstillingene i stillhet.
- Du kan kontrollere
mdatp healthog bekrefte at innstillingene du konfigurerte, rapporteres som[managed]. - Du kan undersøke innholdet
/Library/Managed Preferences/com.microsoft.wdav.plisti og kontrollere at det samsvarer med de forventede innstillingene:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
Du kan bruke den dokumenterte konfigurasjonsprofilstrukturen som en retningslinje .
Denne artikkelen forklarer at AntivirusEngine, edr, TamperProtection er innstillinger på øverste nivå i konfigurasjonsfilen. Og for eksempel er «scanHistoryMaximumItems» på andre nivå og er av heltallstype.
Du skal kunne se denne informasjonen i utdataene fra den forrige kommandoen. Hvis du fant ut at AntivirusEngine er nestet under en annen innstilling, er profilen feilkonfigurert. Hvis du kan se antivirusteknikk i stedet for AntivirusEngine, blir navnet feilstavet, og hele undertreet med innstillinger ignoreres. Hvis "scanHistoryMaximumItems" => "10000", brukes feil type, og innstillingen ignoreres.
Kontroller at alle profiler er distribuert
Du kan laste ned og kjøre analyze_profiles.py. Dette skriptet samler inn og analyserer alle profiler som er distribuert til en maskin, og advarer deg om tapte. Vær oppmerksom på at det kan gå glipp av noen feil, og det er ikke klar over noen utformingsbeslutninger som systemansvarlige tar med hensikt. Bruk dette skriptet til veiledning, men undersøk alltid om du ser noe merket som en feil. Pålastingsveiledningen ber deg for eksempel om å distribuere en konfigurasjonsprofil for pålastingsblob. Likevel bestemmer noen organisasjoner seg for å kjøre det manuelle pålastingsskriptet i stedet. analyze_profile.py advarer deg om den tapte profilen. Du kan enten velge om bord via konfigurasjonsprofilen, eller se bort fra advarselen helt.
Kontroller installasjonsstatus
Kjør Microsoft Defender for endepunkt på en klientenhet for å kontrollere pålastingsstatusen.
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for