Delen via

De Microsoft Defender voor Eindpunt voor macOS-beleid instellen in Jamf Pro

  • Artikel

Van toepassing op:

Gebruik dit artikel om beleidsregels in te stellen voor Defender voor Eindpunt op Mac met behulp van Jamf Pro.

Stap 1: het Microsoft Defender voor Eindpunt onboardingpakket ophalen

Belangrijk

Er moet een geschikte rol zijn toegewezen om apparaten weer te geven, te beheren en te onboarden. Zie Toegang tot Microsoft Defender XDR beheren met Microsoft Entra globale rollen voor meer informatie.

  1. Navigeer in de Microsoft Defender Portal naar Instellingen>Eindpunten>Onboarding.

  2. Selecteer macOS als het besturingssysteem en Mobile Apparaatbeheer/Microsoft Intune als de implementatiemethode.

    De pagina Instellingen.

  3. Selecteer Onboarding-pakket downloaden (WindowsDefenderATPOnboardingPackage.zip).

  4. Pak uit WindowsDefenderATPOnboardingPackage.zip.

  5. Kopieer het bestand naar de gewenste locatie. Bijvoorbeeld C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Stap 2: een configuratieprofiel maken in Jamf Pro met behulp van het onboardingpakket

  1. Zoek het bestand WindowsDefenderATPOnboarding.plist uit de vorige sectie.

    Het onboardingbestand van Windows Defender ATP.

  2. Meld u aan bij Jamf Pro, navigeer naarComputerconfiguratieprofielen> en selecteer Nieuw.

    De pagina waarop u een nieuw Jamf Pro-dashboard maakt.

  3. Geef op het tabblad Algemeen de volgende details op:

    • Naam: MDE onboarding for macOS
    • Beschrijving: MDE EDR onboarding for macOS
    • Categorie: None
    • Distributiemethode: Install Automatically
    • Niveau: Computer Level

  4. Ga naar de pagina Toepassing & Aangepaste instellingen , selecteer Uploaden en selecteer vervolgens Toevoegen.

    De configuratie-app en aangepaste instellingen.

  5. Selecteer Bestand uploaden (PLIST-bestand) en typ com.microsoft.wdav.atpvervolgens in Voorkeursdomein.

    Het jamfpro plist-uploadbestand.

    Het bestand met de eigenschap Lijstbestand uploaden.

  6. Selecteer Openen en selecteer het onboardingbestand.

    Het onboarding-bestand.

  7. Selecteer Uploaden.

    Het plist-bestand dat wordt geüpload.

  8. Selecteer het tabblad Bereik .

    Het tabblad Bereik.

  9. Selecteer de doelcomputers.

    De doelcomputers.

    De doelen.

  10. Klik op Opslaan.

    De implementatie van doelcomputers.

    De selectie van doelcomputers.

  11. Selecteer Gereed.

    De computers van een doelgroep.

    De lijst met configuratieprofielen.

Stap 3: Microsoft Defender voor Eindpunt-instellingen configureren

In deze stap gaan we verder met Voorkeuren, zodat u antimalware- en EDR-beleid kunt configureren met behulp van Microsoft Defender XDR portal (https://security.microsoft.com) of Jamf.

Belangrijk

Microsoft Defender voor Eindpunt Het beheerbeleid voor beveiligingsinstellingen heeft voorrang op jamf-setbeleid (en andere MDM-beleidsregels van derden).

3a. Beleid instellen met behulp van Microsoft Defender portal

  1. Volg de richtlijnen in Microsoft Defender voor Eindpunt configureren in Intune voordat u het beveiligingsbeleid instelt met behulp van Microsoft Defender.

  2. Ga in de Microsoft Defender-portal naar Configuratiebeheer>Eindpuntbeveiligingsbeleid>Mac-beleid>Nieuw beleid maken.

  3. Selecteer onder Platform selecterende optie macOS.

  4. Kies onder Sjabloon selecteren een sjabloon en selecteer Beleid maken.

  5. Geef een naam en beschrijving op voor het beleid en selecteer vervolgens Volgende.

  6. Wijs op het tabblad Toewijzingen het profiel toe aan een groep waarin de macOS-apparaten en/of gebruikers zich bevinden, of Alle gebruikers en Alle apparaten.

Zie de volgende artikelen voor meer informatie over het beheren van beveiligingsinstellingen:

3b. Beleid instellen met jamf

U kunt jamf Pro GUI gebruiken om afzonderlijke instellingen van de Microsoft Defender voor Eindpunt configuratie te bewerken, of de verouderde methode gebruiken door een configuratie-Plist te maken in een teksteditor en deze te uploaden naar Jamf Pro.

U moet exact com.microsoft.wdav gebruiken als het voorkeursdomein. Microsoft Defender voor Eindpunt gebruikt alleen deze naam en com.microsoft.wdav.ext om de beheerde instellingen te laden. (De com.microsoft.wdav.ext versie kan in zeldzame gevallen worden gebruikt wanneer u liever de GUI-methode gebruikt, maar ook een instelling moet configureren die nog niet aan het schema is toegevoegd.)

GUI-methode

  1. Download het bestand uit de schema.jsonGitHub-opslagplaats van Defender en sla het op in een lokaal bestand:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Maak een nieuw configuratieprofiel. Ga onder Computers naar Configuratieprofielen en geef op het tabblad Algemeen de volgende details op:

    Een nieuw profiel.

    • Naam: MDATP MDAV configuration settings
    • Beschrijving: <blank\>
    • Categorie: None (default)
    • Niveau: Computer Level (default)
    • Distributiemethode: Install Automatically (default)

  3. Schuif omlaag naar het tabblad Toepassing & Aangepaste instellingen , selecteer Externe toepassingen, selecteer Toevoegen en gebruik vervolgens Aangepast schema als bron voor het voorkeursdomein.

    Aangepast schema toevoegen.

  4. Typ com.microsoft.wdav voor het voorkeursdomein, selecteer Schema toevoegen en upload vervolgens het schema.json bestand dat is gedownload in stap 1. Klik op Opslaan.

    Schema uploaden.

  5. U ziet alle ondersteunde configuratie-instellingen voor Microsoft Defender voor Eindpunt onder Eigenschappen van voorkeursdomein. Selecteer Eigenschappen toevoegen/verwijderen om de instellingen te selecteren die u wilt beheren en selecteer vervolgens OK om uw wijzigingen op te slaan. (Instellingen die niet zijn geselecteerd, worden niet opgenomen in de beheerde configuratie. Een eindgebruiker kan deze instellingen op de computer configureren.)

    De gekozen beheerde instellingen.

  6. Wijzig de waarden van de instellingen in de gewenste waarden. U kunt Meer informatie selecteren om documentatie voor een bepaalde instelling op te halen. (U kunt Plist preview selecteren om te controleren wat de configuratie-plist is. Selecteer Formuliereditor om terug te keren naar de visuele editor.)

    De pagina waarop u de instellingenwaarden wijzigt.

  7. Selecteer het tabblad Bereik .

    Het bereik van het configuratieprofiel.

  8. Selecteer De machinegroep van Contoso. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De pagina waarop u de configuratie-instellingen kunt toevoegen.

    De pagina waarop u de configuratie-instellingen kunt opslaan.

  9. Selecteer Gereed. U ziet het nieuwe configuratieprofiel.

    De pagina waarop u de configuratie-instellingen voltooit.

Microsoft Defender voor Eindpunt voegt in de loop van de tijd nieuwe instellingen toe. Deze nieuwe instellingen worden toegevoegd aan het schema en er wordt een nieuwe versie gepubliceerd naar GitHub. Als u updates wilt downloaden, downloadt u een bijgewerkt schema en bewerkt u uw bestaande configuratieprofiel. Selecteer op het tabblad Toepassings- & Aangepaste instellingende optie Schema bewerken.

Verouderde methode

  1. Gebruik de volgende Microsoft Defender voor Eindpunt configuratie-instellingen:

    • enableRealTimeProtection
    • passiveMode (Deze instelling is niet standaard ingeschakeld. Als u van plan bent om niet-Microsoft-antivirussoftware op Mac uit te voeren, stelt u deze in op true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (EICAR is opgenomen in de steekproef. Als u een proof-of-concept doorloopt, verwijdert u deze vooral als u EICAR test.)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Zie Eigenschappenlijst voor het volledige jamf-configuratieprofiel voor meer informatie.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. Sla het bestand op als MDATP_MDAV_configuration_settings.plist.

  3. Open computers en hun configuratieprofielen in het Jamf Pro-dashboard. Selecteer Nieuw en ga naar het tabblad Algemeen .

    De pagina waarop een nieuw profiel wordt weergegeven.

  4. Geef op het tabblad Algemeen de volgende details op:

    • Naam: MDATP MDAV configuration settings
    • Beschrijving: <blank>
    • Categorie: None (default)
    • Distributiemethode: Install Automatically (default)
    • Niveau: Computer Level (default)

  5. Selecteer in Toepassings- & Aangepaste instellingende optie Configureren.

    De MDATP MDAV-configuratie-instellingen.

    De toepassing en aangepaste instellingen.

  6. Selecteer Bestand uploaden (PLIST-bestand).

    Het plist-bestand met configuratie-instellingen.

  7. Typ in Voorkeurendomeincom.microsoft.wdav en selecteer vervolgens PLIST-bestand uploaden.

    Het voorkeurendomein voor configuratie-instellingen.

  8. Selecteer Bestand kiezen.

    De prompt om het plist-bestand te kiezen.

  9. Selecteer de MDATP_MDAV_configuration_settings.plist en selecteer vervolgens Openen.

    De configuratie-instellingen voor mdatpmdav.

  10. Selecteer Uploaden.

    De configuratie-instelling uploaden.

    De vraag om de installatiekopieën te uploaden die betrekking hebben op de configuratie-instellingen.

    Opmerking

    Als u het Intune-bestand uploadt, krijgt u de volgende fout:

    De vraag om het Intune-bestand te uploaden met betrekking tot de configuratie-instellingen.

  11. Klik op Opslaan.

    De optie voor het opslaan van de installatiekopieën met betrekking tot de configuratie-instellingen.

  12. Het bestand wordt geüpload.

    Het geüploade bestand met betrekking tot de configuratie-instellingen.

    De pagina configuratie-instellingen.

  13. Selecteer het tabblad Bereik .

    Het bereik voor de configuratie-instellingen.

  14. Selecteer De machinegroep van Contoso. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De configuratie-instellingen addsav.

    De melding van configuratie-instellingen.

  15. Selecteer Gereed. U ziet het nieuwe configuratieprofiel.

Afbeelding van configuratie-instellingen configuratieprofielafbeelding.

Stap 4: instellingen voor meldingen configureren

Opmerking

Deze stappen zijn van toepassing op macOS 11 (Big Sur) of hoger. Hoewel Jamf ondersteuning biedt voor meldingen in macOS versie 10.15 of hoger, is voor Defender voor Eindpunt op Mac mac macOS 11 of hoger vereist.

  1. Selecteer in het Jamf Pro-dashboard de optie Computers en vervolgens Configuratieprofielen.

  2. Selecteer Nieuw en geef op het tabblad Algemeen bij Opties de volgende details op:

    • Naam: MDATP MDAV Notification settings

    • Beschrijving: macOS 11 (Big Sur) or later

    • Categorie: None *(default)*

    • Distributiemethode: Install Automatically *(default)*

    • Niveau: Computer Level *(default)*

      De nieuwe macOS-configuratieprofielpagina.

  3. Selecteer op het tabblad Meldingende optie Toevoegen en geef de volgende waarden op:

    • Bundel-id: com.microsoft.wdav.tray
    • Kritieke waarschuwingen: selecteer Uitschakelen
    • Meldingen: Selecteer Inschakelen
    • Waarschuwingstype banner: Selecteer Opnemen en Tijdelijk(standaard)
    • Meldingen op het vergrendelingsscherm: Selecteer Verbergen
    • Meldingen in het meldingencentrum: Selecteer Weergeven
    • Pictogram van badge-app: Beeldscherm selecteren

    De configuratie-instellingen mdatpmdav-meldingenvak.

  4. Selecteer op het tabblad Meldingen de optie Nog één keer toevoegen en schuif omlaag naar Instellingen voor nieuwe meldingen.

    • Bundel-id: com.microsoft.autoupdate.fba

  5. De rest van de instellingen configureren voor dezelfde waarden die eerder zijn vermeld

    De configuratie-instellingen mdatpmdav-meldingen mau.

    U hebt nu twee tabellen met configuraties voor meldingen, één voor bundel-id: com.microsoft.wdav.tray en één voor bundel-id: com.microsoft.autoupdate.fba. Hoewel u waarschuwingsinstellingen kunt configureren op basis van uw vereisten, moeten bundel-id's exact hetzelfde zijn als eerder is beschreven en moet de schakeloptie Opnemenaan zijn voor meldingen.

  6. Selecteer het tabblad Bereik en selecteer vervolgens Toevoegen.

    De pagina waarop u waarden voor de configuratie-instellingen kunt toevoegen.

  7. Selecteer De machinegroep van Contoso. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De pagina waarop u waarden kunt opslaan voor de configuratie-instellingen contoso-machinegroep.

    De pagina waarop de voltooiingsmelding van de configuratie-instellingen wordt weergegeven.

  8. Selecteer Gereed. U ziet nu het nieuwe configuratieprofiel.

    De voltooide configuratie-instellingen.

Stap 5: Microsoft AutoUpdate (MAU) configureren

  1. Gebruik de volgende Microsoft Defender voor Eindpunt configuratie-instellingen:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Sla het op als MDATP_MDAV_MAU_settings.plist.

  3. Selecteer algemeen in het Jamf Pro-dashboard.

    De configuratie-instellingen.

  4. Geef op het tabblad Algemeen de volgende details op:

    • Naam: MDATP MDAV MAU settings
    • Beschrijving: Microsoft AutoUpdate settings for MDATP for macOS
    • Categorie: None (default)
    • Distributiemethode: Install Automatically (default)
    • Niveau: Computer Level (default)

  5. Selecteer in Toepassings- & Aangepaste instellingende optie Configureren.

    De toepassing voor configuratie-instellingen en aangepaste instellingen.

  6. Selecteer Bestand uploaden (PLIST-bestand).

  7. Typ in Voorkeursdomeincom.microsoft.autoupdate2en selecteer vervolgens PLIST-bestand uploaden.

    Het voorkeursdomein van de configuratie-instelling.

  8. Selecteer Bestand kiezen.

    De vraag om het bestand te kiezen met betrekking tot de configuratie-instelling.

  9. Selecteer MDATP_MDAV_MAU_settings.plist.

    De mdatpmdavmau-instellingen.

  10. Selecteer Uploaden. Het uploaden van het bestand met betrekking tot de configuratie-instelling.

    De pagina met de uploadoptie voor het bestand met betrekking tot de configuratie-instelling.

  11. Klik op Opslaan.

    De pagina met de optie opslaan voor het bestand met betrekking tot de configuratie-instelling.

  12. Selecteer het tabblad Bereik .

    Het tabblad Bereik voor de configuratie-instellingen.

  13. Kies Toevoegen.

    De optie voor het toevoegen van implementatiedoelen.

    De pagina waarop u meer waarden toevoegt aan de configuratie-instellingen.

    De pagina waarop u meer waarden kunt toevoegen aan de configuratie-instellingen.

  14. Selecteer Gereed.

    De voltooiingsmelding met betrekking tot de configuratie-instellingen.

Stap 6: volledige schijftoegang verlenen aan Microsoft Defender voor Eindpunt

  1. Selecteer configuratieprofielen in het Jamf Pro-dashboard.

    Het profiel waarvoor instellingen moeten worden geconfigureerd.

  2. Selecteer + Nieuw.

  3. Geef op het tabblad Algemeen de volgende details op:

    • Naam: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Beschrijving: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Categorie: None
    • Distributiemethode: Install Automatically
    • Niveau: Computer level

    De configuratie-instelling in het algemeen.

  4. Selecteer in Beleidsbeheer voor privacyvoorkeuren configurerende optie Configureren.

    Het besturingselement voor het configuratieprivacybeleid.

  5. Voer in Beleidsbeheer voor privacyvoorkeuren de volgende details in:

    • Id: com.microsoft.wdav
    • Id-type: Bundle ID
    • Codevereiste: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Details van het beheer van het privacyvoorkeurbeleid voor de configuratie-instelling.

  6. Selecteer + Toevoegen.

    Met de configuratie-instelling kunt u de optie Systeembeleid alle bestanden toevoegen.

    • Selecteer onder App of servicede optie SystemPolicyAllFiles.
    • Selecteer onder Toegangde optie Toestaan.

  7. Selecteer Opslaan (niet de optie rechtsonder).

    De bewerking opslaan voor de configuratie-instelling.

  8. Selecteer het + teken naast App-toegang om een nieuwe vermelding toe te voegen.

    De opslagbewerking met betrekking tot de configuratie-instelling.

  9. Voer de volgende gegevens in:

    • Id: com.microsoft.wdav.epsext
    • Id-type: Bundle ID
    • Codevereiste: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Selecteer + Toevoegen.

    De configuratie-instelling tcc epsext-vermelding.

  • Selecteer onder App of servicede optie SystemPolicyAllFiles.
  • Selecteer onder Toegangde optie Toestaan.
  1. Selecteer Opslaan (niet de optie rechtsonder).

Het andere exemplaar van configuratie-instelling tcc epsext.

  1. Selecteer het tabblad Bereik .

De pagina met het bereik voor de configuratie-instelling.

  1. Selecteer + Toevoegen.

De pagina met de configuratie-instelling.

  1. Selecteer Computer Groepen en selecteer onder Groepsnaamde optie MachineGroep van Contoso.

De configuratie-instelling contoso-machinegroep.

  1. Kies Toevoegen. Selecteer vervolgens Opslaan.

  2. Selecteer Gereed.

    De configuratie-instelling contoso machine-group.

    De afbeelding van de configuratie-instelling.

U kunt ook fulldisk.mobileconfig downloaden en uploaden naar Jamf-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Opmerking

Volledige schijftoegang verleend via Apple MDM-configuratieprofiel wordt niet weergegeven in Systeeminstellingen => Privacy & Beveiliging => Volledige schijftoegang.

Stap 7: Systeemextensies goedkeuren voor Microsoft Defender voor Eindpunt

  1. Selecteer + Nieuw in de configuratieprofielen.

    De beschrijving van de automatisch gegenereerde social media post.

  2. Geef op het tabblad Algemeen de volgende details op:

    • Naam: MDATP MDAV System Extensions
    • Beschrijving: MDATP system extensions
    • Categorie: None
    • Distributiemethode: Install Automatically
    • Niveau: Computer Level

    De configuratie-instellingen sysext nieuw profiel.

  3. Selecteer in Systeemextensiesde optie Configureren.

    Het deelvenster met de optie Configureren voor de systeemextensies.

  4. Voer in Systeemextensies de volgende gegevens in:

    • Weergavenaam: Microsoft Corp. System Extensions
    • Typen systeemuitbreidingen: Allowed System Extensions
    • Team-id: UBF8T346G9
    • Toegestane systeemextensies:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Het deelvenster MDATP MDAV-systeemextensies.

  5. Selecteer het tabblad Bereik .

    Het selectievenster Doelcomputers.

  6. Selecteer + Toevoegen.

  7. Selecteer Computer Groepen> selecteer onder Groepsnaam> de optie Machinegroep van Contoso.

  8. Selecteer + Toevoegen.

    Het deelvenster Nieuw macOS-configuratieprofiel.

  9. Klik op Opslaan.

    De weergave van opties met betrekking tot MDATP MDAV-systeemextensies.

  10. Selecteer Gereed.

    De configuratie-instellingen sysext - final.

Stap 8: Netwerkextensie configureren

Als onderdeel van de mogelijkheden voor eindpuntdetectie en -respons inspecteert Microsoft Defender voor Eindpunt in macOS socketverkeer en rapporteert deze informatie aan de Microsoft Defender portal.

Opmerking

Deze stappen zijn van toepassing op macOS 11 (Big Sur) of hoger. Hoewel Jamf ondersteuning biedt voor meldingen in macOS versie 10.15 of hoger, is voor Defender voor Eindpunt op Mac mac macOS 11 of hoger vereist.

  1. Selecteer in het Jamf Pro-dashboard de optie Computers en vervolgens Configuratieprofielen.

  2. Selecteer Nieuw en voer de volgende gegevens in voor Opties:

  3. Geef op het tabblad Algemeen de volgende waarden op:

    • Naam: Microsoft Defender Network Extension
    • Beschrijving: macOS 11 (Big Sur) or later
    • Categorie: None *(default)*
    • Distributiemethode: Install Automatically *(default)*
    • Niveau: Computer Level *(default)*

  4. Geef op het tabblad Inhoudsfilter de volgende waarden op:

    • Filternaam: Microsoft Defender Content Filter
    • Id: com.microsoft.wdav
    • Laat serviceadres, organisatie, gebruikersnaam, wachtwoord, certificaat leeg (Opnemen is niet geselecteerd)
    • Filtervolgorde: Inspector
    • Socketfilter: com.microsoft.wdav.netext
    • Vereiste voor socketfilter: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • Laat velden voor netwerkfilter leeg (Opnemen is niet geselecteerd)

    Houd er rekening mee dat id, socketfilter en socketfilter de exacte vereiste waarden zoals eerder zijn opgegeven.

    De configuratie-instelling mdatpmdav.

  5. Selecteer het tabblad Bereik .

    Het tabblad Configuratie-instellingen sco.

  6. Selecteer + Toevoegen. Selecteer Computer Groepen en selecteer vervolgens onder Groepsnaam de optie Computergroep van Contoso. Selecteer vervolgens + Toevoegen.

    De configuratie-instellingen adim.

  7. Klik op Opslaan.

    Het deelvenster Inhoudsfilter.

  8. Selecteer Gereed.

    De configuratie-instellingen netext - definitief.

U kunt ook netfilter.mobileconfig downloaden en uploaden naar Jamf-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|

Stap 9: Achtergrondservices configureren

Voorzichtigheid

macOS 13 (Ventura) bevat nieuwe privacyverbeteringen. Vanaf deze versie kunnen toepassingen standaard niet op de achtergrond worden uitgevoerd zonder expliciete toestemming. Microsoft Defender voor Eindpunt moet het daemonproces op de achtergrond uitvoeren.

Dit configuratieprofiel verleent Background Service-machtigingen aan Microsoft Defender voor Eindpunt. Als u eerder Microsoft Defender voor Eindpunt hebt geconfigureerd via Jamf, raden we u aan de implementatie bij te werken met dit configuratieprofiel.

Download background_services.mobileconfig uit onze GitHub-opslagplaats.

Gedownloade mobileconfig uploaden naar Jamf-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Stap 10: Bluetooth-machtigingen verlenen

Voorzichtigheid

macOS 14 (Sonoma) bevat nieuwe privacyverbeteringen. Vanaf deze versie hebben toepassingen standaard geen toegang tot Bluetooth zonder expliciete toestemming. Microsoft Defender voor Eindpunt gebruikt dit als u Bluetooth-beleid configureert voor Apparaatbeheer.

Download bluetooth.mobileconfig uit de GitHub-opslagplaats.

Waarschuwing

De huidige versie van Jamf Pro biedt nog geen ondersteuning voor dit soort payloads. Als u deze mobileconfig as-is uploadt, verwijdert Jamf Pro de niet-ondersteunde nettolading en kan deze niet worden toegepast op clientcomputers. U moet eerst de gedownloade mobileconfig ondertekenen, waarna Jamf Pro het als 'verzegeld' beschouwt en er niet mee zal knoeien. Zie de onderstaande instructies:

  • U moet ten minste één handtekeningcertificaat in uw sleutelhanger hebben geïnstalleerd, zelfs een zelfondertekend certificaat werkt. U kunt controleren wat u hebt met:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

Kies een van deze opties en geef de aan geciteerde tekst op als de -N parameter:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

U kunt nu de gegenereerde bluetooth-signed.mobileconfig uploaden naar Jamf Pro, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Opmerking

Bluetooth verleend via Apple MDM-configuratieprofiel wordt niet weergegeven in Systeeminstellingen => Privacy & Beveiliging => Bluetooth.

Stap 11: scans plannen met Microsoft Defender voor Eindpunt in macOS

Volg de instructies in Scans plannen met Microsoft Defender voor Eindpunt in macOS.

Stap 12: Microsoft Defender voor Eindpunt implementeren in macOS

Opmerking

In de volgende stappen zijn de naam van het .pkg bestand en de weergavenaamwaarden voorbeelden. In deze voorbeelden 200329 vertegenwoordigt de datum waarop het pakket en beleid zijn gemaakt (in yymmdd indeling) en v100.86.92 de versie van de Microsoft Defender toepassing die wordt geïmplementeerd. Deze waarden moeten worden bijgewerkt om te voldoen aan de naamgevingsconventie die u in uw omgeving gebruikt voor pakketten en beleid.

  1. Navigeer naar de locatie waar u hebt opgeslagen wdav.pkg.

    Het verkenner wdav-pakket.

  2. Wijzig de naam in wdav_MDM_Contoso_200329.pkg.

    Het verkenner1 wdavmdm-pakket.

  3. Open het Jamf Pro-dashboard.

    De configuratie-instellingen voor Jamf pro.

  4. Selecteer uw computer, selecteer het tandwielpictogram bovenaan en selecteer vervolgens Computerbeheer.

    De configuratie-instellingen : computerbeheer.

  5. Selecteer in Pakketten de optie + Nieuw.

    De vogelbeschrijving voor een automatisch gegenereerd pakket.

  6. Geef op het tabblad Algemeen in Nieuw pakket de volgende details op:

    • Weergavenaam: laat deze voorlopig leeg. Omdat het opnieuw wordt ingesteld wanneer u uw pkg kiest.
    • Categorie: None (default)
    • Bestandsnaam: Choose File

    Het tabblad Algemeen voor configuratie-instellingen.

  7. Open het bestand en wijs het naar wdav.pkg of wdav_MDM_Contoso_200329.pkg.

    Het computerscherm met de beschrijving van een automatisch gegenereerd pakket.

  8. Selecteer Openen. Stel de weergavenaam in op Microsoft Defender Advanced Threat Protection en Microsoft Defender Antivirus.

    • Manifestbestand is niet vereist. Microsoft Defender voor Eindpunt werkt zonder manifestbestand.
    • Tabblad Opties: Standaardwaarden behouden.
    • Tabblad Beperkingen: standaardwaarden behouden.

    Het tabblad Beperking voor de configuratie-instellingen.

  9. Klik op Opslaan. Het pakket wordt geüpload naar Jamf Pro.

    Het uploadproces van het configuratie-instellingenpakket voor het pakket met betrekking tot de configuratie-instellingen.

    Het kan enkele minuten duren voordat het pakket beschikbaar is voor implementatie.

    Een exemplaar van het uploaden van het pakket voor configuratie-instellingen.

  10. Ga naar de pagina Beleid .

Het beleid voor configuratie-instellingen.

  1. Selecteer + Nieuw om een nieuw beleid te maken.

    Het nieuwe beleid voor configuratie-instellingen.

  2. Gebruik in Algemeen voor de weergavenaamMDATP Onboarding Contoso 200329 v100.86.92 or later.

    De configuratie-instellingen - MDATP onboarden.

  3. Selecteer Terugkerend inchecken.

    De terugkerende check-in voor de configuratie-instellingen.

  4. Klik op Opslaan. Selecteer vervolgens Pakketten en vervolgensConfigureren.

    De optie voor het configureren van pakketten.

  5. Selecteer de knop Toevoegen naast Microsoft Defender Advanced Threat Protection en Microsoft Defender Antivirus.

    De optie om meer instellingen toe te voegen aan MDATP MDA.

  6. Klik op Opslaan.

    De optie opslaan voor de configuratie-instellingen.

Maak een slimme groep voor machines met Microsoft Defender profielen.

Voor een betere gebruikerservaring moeten configuratieprofielen voor ingeschreven machines worden geïnstalleerd voordat het pakket van Microsoft Defender. In de meeste gevallen pusht JamF Pro configuratieprofielen onmiddellijk en worden deze beleidsregels na enige tijd uitgevoerd (dat wil gezegd, tijdens het inchecken). In sommige gevallen kan de implementatie van configuratieprofielen echter met een aanzienlijke vertraging worden geïmplementeerd (dat wil gezegd, als de computer van een gebruiker is vergrendeld).

Jamf Pro biedt een manier om de juiste volgorde te garanderen. U kunt een slimme groep maken voor machines die het configuratieprofiel van Microsoft Defender al hebben ontvangen en het pakket van Microsoft Defender alleen op die computers installeren (en zodra ze dit profiel hebben ontvangen).

Volg deze stappen:

  1. Maak een slimme groep. Open Smart Computers in een nieuw browservenster Groepen.

  2. Selecteer Nieuw en geef uw groep een naam.

  3. Selecteer op het tabblad Criteriade optie Toevoegen en selecteer vervolgens Geavanceerde criteria weergeven.

  4. Selecteer Profielnaam als criterium en gebruik de naam van een eerder gemaakt configuratieprofiel als de waarde:

    Een slimme groep maken.

  5. Klik op Opslaan.

  6. Terug naar het venster waarin u een pakketbeleid configureert.

  7. Selecteer het tabblad Bereik .

    Het tabblad Bereik met betrekking tot de configuratie-instellingen.

  8. Selecteer de doelcomputers.

    De optie voor het toevoegen van computergroepen.

  9. Selecteer onder Bereikde optie Toevoegen.

    De configuratie-instellingen - ad1.

  10. Ga naar het tabblad Computer Groepen. Zoek de slimme groep die u hebt gemaakt en selecteer vervolgens Toevoegen.

De configuratie-instellingen - ad2.

  1. Als u wilt dat gebruikers Defender voor Eindpunt vrijwillig (of op aanvraag) installeren, selecteert u Selfservice.

Het tabblad Selfservice voor configuratie-instellingen.

  1. Selecteer Gereed.

De onboardingstatus van Contoso met een optie om deze te voltooien.

De pagina met beleidsregels.

Bereik van configuratieprofiel

Jamf vereist dat u een set computers voor een configuratieprofiel definieert. U moet ervoor zorgen dat alle computers die het pakket van Defender ontvangen, ook alle configuratieprofielen ontvangen die hierboven worden vermeld.

Waarschuwing

Jamf ondersteunt Smart Computer-Groepen die implementatie mogelijk maken, zoals configuratieprofielen of beleidsregels op alle machines die voldoen aan bepaalde criteria die dynamisch worden geëvalueerd. Het is een krachtig concept dat veel wordt gebruikt voor de distributie van configuratieprofielen.

Houd er echter rekening mee dat deze criteria de aanwezigheid van Defender op een computer niet mogen omvatten. Hoewel het gebruik van dit criterium logisch klinkt, creëert het problemen die moeilijk te diagnosticeren zijn.

Defender vertrouwt op al deze profielen op het moment van de installatie.

Het maken van configuratieprofielen afhankelijk van de aanwezigheid van Defender vertraagt de implementatie van configuratieprofielen en resulteert in een initieel beschadigd product en/of prompts voor handmatige goedkeuring van bepaalde toepassingsmachtigingen, die anders automatisch worden goedgekeurd door profielen. Het implementeren van een beleid met het pakket van Microsoft Defender na het implementeren van configuratieprofielen zorgt voor de beste ervaring van de eindgebruiker, omdat alle vereiste configuraties worden toegepast voordat het pakket wordt geïnstalleerd.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.