Implementatie met een ander MDM-systeem (Mobile Apparaatbeheer) voor Microsoft Defender voor Eindpunt in macOS
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Vereisten en systeemvereisten
Voordat u aan de slag gaat, raadpleegt u de hoofdpagina Microsoft Defender voor Eindpunt op macOS voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.
Aanpak
Voorzichtigheid
Momenteel ondersteunt Microsoft officieel alleen Intune en JAMF voor de implementatie en het beheer van Microsoft Defender voor Eindpunt in macOS. Microsoft biedt geen garanties, expliciet of impliciet, met betrekking tot de onderstaande informatie.
Als uw organisatie een MDM-oplossing (Mobile Apparaatbeheer) gebruikt die niet officieel wordt ondersteund, betekent dit niet dat u Microsoft Defender voor Eindpunt niet kunt implementeren of uitvoeren in macOS.
Microsoft Defender voor Eindpunt op macOS is niet afhankelijk van leverancierspecifieke functies. Het kan worden gebruikt met elke MDM-oplossing die de volgende functies ondersteunt:
- Implementeer een macOS-.pkg op beheerde apparaten.
- MacOS-systeemconfiguratieprofielen implementeren op beheerde apparaten.
- Voer een willekeurig door de beheerder geconfigureerd hulpprogramma/script uit op beheerde apparaten.
De meeste moderne MDM-oplossingen bevatten deze functies, maar ze kunnen ze anders aanroepen.
U kunt Defender voor Eindpunt echter implementeren zonder de laatste vereiste uit de voorgaande lijst:
- U kunt de status niet op een gecentraliseerde manier verzamelen.
- Als u besluit Defender voor Eindpunt te verwijderen, moet u zich lokaal aanmelden bij het clientapparaat als beheerder.
Implementatie
De meeste MDM-oplossingen gebruiken hetzelfde model voor het beheren van macOS-apparaten, met vergelijkbare terminologie. Op JAMF gebaseerde implementatie gebruiken als sjabloon.
Pakket
Configureer de implementatie van een vereist toepassingspakket, waarbij het installatiepakket (wdav.pkg) is gedownload vanuit Microsoft Defender portal.
Waarschuwing
Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.
Als u het pakket in uw onderneming wilt implementeren, gebruikt u de instructies die zijn gekoppeld aan uw MDM-oplossing.
Licentie-instellingen
Stel een systeemconfiguratieprofiel in.
Uw MDM-oplossing kan dit zoiets noemen als 'Profiel voor aangepaste instellingen', omdat Microsoft Defender voor Eindpunt op macOS geen deel uitmaakt van macOS.
Gebruik de eigenschappenlijst jamf/WindowsDefenderATPOnboarding.plist, die kan worden geëxtraheerd uit een onboardingpakket dat is gedownload van Microsoft Defender portal. Uw systeem ondersteunt mogelijk een lijst met willekeurige eigenschappen in XML-indeling. In dat geval kunt u het bestand jamf/WindowsDefenderATPOnboarding.plist uploaden. Het kan ook zijn dat u eerst de lijst met eigenschappen moet converteren naar een andere indeling.
Normaal gesproken heeft uw aangepaste profiel een id, naam of domeinkenmerk. U moet precies 'com.microsoft.wdav.atp' gebruiken voor deze waarde. MDM gebruikt het om het instellingenbestand te implementeren in /Library/Managed Preferences/com.microsoft.wdav.atp.plist op een clientapparaat en Defender voor Eindpunt gebruikt dit bestand voor het laden van de onboardinggegevens.
Systeemconfiguratieprofielen
macOS vereist dat een gebruiker handmatig en expliciet bepaalde functies goedkeurt die een toepassing gebruikt, zoals systeemextensies, die op de achtergrond worden uitgevoerd, meldingen verzenden, volledige schijftoegang, enzovoort Microsoft Defender voor Eindpunt afhankelijk is van deze functies en pas goed kan werken als al deze toestemmingen van een gebruiker zijn ontvangen.
Als u namens een gebruiker automatisch toestemming wilt verlenen, pusht een beheerder systeembeleid via het MDM-systeem. Dit is wat we ten zeerste aanbevelen, in plaats van te vertrouwen op handmatige goedkeuringen van eindgebruikers.
We leveren alle beleidsregels die Microsoft Defender voor Eindpunt vereist als mobileconfig-bestanden die beschikbaar zijn op https://github.com/microsoft/mdatp-xplat. Mobileconfig is een import-/exportindeling van Apple die Apple Configurator of andere producten zoals iMazing Profile Editor ondersteunen.
De meeste MDM-leveranciers ondersteunen het importeren van een mobileconfig-bestand waarmee een nieuw aangepast configuratieprofiel wordt gemaakt.
Profielen instellen:
- Ontdek hoe een mobileconfig-import wordt uitgevoerd met uw MDM-leverancier.
- Voor alle profielen van https://github.com/microsoft/mdatp-xplatdownloadt u een mobileconfig-bestand en importeert u het.
- Wijs het juiste bereik toe voor elk gemaakt configuratieprofiel.
Apple maakt regelmatig nieuwe typen nettoladingen met nieuwe versies van een besturingssysteem. U moet de bovenstaande pagina bezoeken en nieuwe profielen publiceren zodra deze beschikbaar zijn. Zodra we dergelijke wijzigingen hebben aangebracht, plaatsen we meldingen op de pagina Wat is er nieuw .
Configuratie-instellingen voor Defender voor Eindpunt
Als u Microsoft Defender voor Eindpunt-configuratie wilt implementeren, hebt u een configuratieprofiel nodig.
In de volgende stappen ziet u hoe u een configuratieprofiel toepast en controleert.
1. MDM implementeert configuratieprofiel op ingeschreven machines U kunt profielen weergeven in SysteeminstellingenProfielen > . Zoek de naam die u hebt gebruikt voor Microsoft Defender voor Eindpunt profiel voor configuratie-instellingen. Als u deze niet ziet, raadpleegt u uw MDM-documentatie voor tips voor probleemoplossing.
2. Het configuratieprofiel wordt weergegeven in het juiste bestand
Microsoft Defender voor Eindpunt leesbewerkingen /Library/Managed Preferences/com.microsoft.wdav.plist en /Library/Managed Preferences/com.microsoft.wdav.ext.plist bestanden.
Alleen deze twee bestanden worden gebruikt voor beheerde instellingen.
Als u deze bestanden niet kunt zien, maar u hebt gecontroleerd of de profielen zijn geleverd (zie de vorige sectie), betekent dit dat uw profielen onjuist zijn geconfigureerd. U hebt dit configuratieprofiel 'Gebruikersniveau' gemaakt in plaats van 'Computerniveau', of u hebt een ander voorkeursdomein gebruikt in plaats van het domein dat Microsoft Defender voor Eindpunt verwacht ('com.microsoft.wdav' en 'com.microsoft.wdav.ext').
Raadpleeg uw MDM-documentatie voor het instellen van toepassingsconfiguratieprofielen.
3. Het configuratieprofiel bevat de verwachte structuur
Deze stap kan lastig zijn om te controleren. Microsoft Defender voor Eindpunt verwacht com.microsoft.wdav.plist met een strikte structuur. Als u instellingen op een onverwachte plaats plaatst of als u ze verkeerd spelt of een ongeldig type gebruikt, worden de instellingen op de achtergrond genegeerd.
- U kunt controleren
mdatp healthen bevestigen dat de instellingen die u hebt geconfigureerd, worden gerapporteerd als[managed]. - U kunt de inhoud van
/Library/Managed Preferences/com.microsoft.wdav.plistcontroleren en controleren of deze overeenkomt met de verwachte instellingen:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
U kunt de gedocumenteerde configuratieprofielstructuur als richtlijn gebruiken.
In dit artikel wordt uitgelegd dat 'antivirusEngine', 'edr', 'tamperProtection' instellingen zijn op het hoogste niveau van het configuratiebestand. En bijvoorbeeld 'scanHistoryMaximumItems' bevinden zich op het tweede niveau en zijn van het type geheel getal.
U ziet deze informatie in de uitvoer van de vorige opdracht. Als u ontdekt dat antivirusEngine is genest onder een andere instelling, is het profiel onjuist geconfigureerd. Als u 'antivirusengine' ziet in plaats van 'antivirusEngine', wordt de naam verkeerd gespeld en wordt de hele substructuur van instellingen genegeerd. Als "scanHistoryMaximumItems" => "10000", wordt het verkeerde type gebruikt en wordt de instelling genegeerd.
Controleren of alle profielen zijn geïmplementeerd
U kunt analyze_profiles.py downloaden en uitvoeren. Dit script verzamelt en analyseert alle profielen die zijn geïmplementeerd op een computer en waarschuwt u voor gemiste profielen. Houd er rekening mee dat er fouten kunnen ontbreken en dat het niet op de hoogte is van sommige ontwerpbeslissingen die systeembeheerders bewust nemen. Gebruik dit script voor hulp, maar onderzoek altijd of u iets ziet dat is gemarkeerd als een fout. In de onboardinghandleiding wordt bijvoorbeeld uitgelegd dat u een configuratieprofiel moet implementeren voor het onboarden van blob. Toch besluiten sommige organisaties in plaats daarvan het handmatige onboardingscript uit te voeren. analyze_profile.py waarschuwt u voor het gemiste profiel. U kunt besluiten om te onboarden via het configuratieprofiel of de waarschuwing helemaal negeren.
Installatiestatus controleren
Voer Microsoft Defender voor Eindpunt uit op een clientapparaat om de onboardingstatus te controleren.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor