Udostępnij za pośrednictwem

Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro

  • Artykuł

Dotyczy:

Ten artykuł umożliwia skonfigurowanie zasad dla usługi Defender for Endpoint na komputerach Mac przy użyciu narzędzia Jamf Pro.

Krok 1. Pobieranie pakietu dołączania Ochrona punktu końcowego w usłudze Microsoft Defender

Ważna

Musisz mieć przypisaną odpowiednią rolę do wyświetlania urządzeń, zarządzania nimi i dołączania ich. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do Microsoft Defender XDR za pomocą Microsoft Entra ról globalnych.

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Dołączaniepunktów końcowych>.

  2. Wybierz system macOS jako system operacyjny, a jako metodę wdrażania wybierz pozycję Mobile Zarządzanie urządzeniami/Microsoft Intune.

    Strona Ustawienia.

  3. Wybierz pozycję Pobierz pakiet dołączania (WindowsDefenderATPOnboardingPackage.zip).

  4. Wyodrębnij WindowsDefenderATPOnboardingPackage.zip.

  5. Skopiuj plik do preferowanej lokalizacji. Na przykład C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Krok 2. Tworzenie profilu konfiguracji w narzędziu Jamf Pro przy użyciu pakietu dołączania

  1. Znajdź plik WindowsDefenderATPOnboarding.plist z poprzedniej sekcji.

    Plik dołączania usługi Windows Defender ATP.

  2. Zaloguj się do narzędzia Jamf Pro, przejdź do pozycjiProfile konfiguracjikomputerów> i wybierz pozycję Nowy.

    Strona, na której tworzysz nowy pulpit nawigacyjny narzędzia Jamf Pro.

  3. Na karcie Ogólne określ następujące szczegóły:

    • Nazwa: MDE onboarding for macOS
    • Opis: MDE EDR onboarding for macOS
    • Kategoria: None
    • Metoda dystrybucji: Install Automatically
    • Poziom: Computer Level

  4. Przejdź do strony Ustawienia niestandardowe & aplikacji , wybierz pozycję Przekaż, a następnie wybierz pozycję Dodaj.

    Aplikacja konfiguracji i ustawienia niestandardowe.

  5. Wybierz pozycję Przekaż plik (plik PLIST), a następnie w polu Domena preferencji wpisz com.microsoft.wdav.atp.

    Plik przekazywania narzędzia jamfpro plist.

    Plik listy właściwości upload file.

  6. Wybierz pozycję Otwórz i wybierz plik dołączania.

    Plik dołączania.

  7. Wybierz pozycję Przekaż.

    Plik plist przekazywania.

  8. Wybierz kartę Zakres .

    Karta Zakres.

  9. Wybierz komputery docelowe.

    Komputery docelowe.

    Cele.

  10. Wybierz Zapisz.

    Wdrażanie komputerów docelowych.

    Wybór komputerów docelowych.

  11. Wybierz pozycję Gotowe.

    Komputery grupy docelowej.

    Lista profilów konfiguracji.

Krok 3. Konfigurowanie ustawień Ochrona punktu końcowego w usłudze Microsoft Defender

W tym kroku przejdziemy przez preferencje, aby można było skonfigurować zasady ochrony przed złośliwym oprogramowaniem i EDR przy użyciu portalu Microsoft Defender XDR (https://security.microsoft.com) lub narzędzia Jamf.

Ważna

Ochrona punktu końcowego w usłudze Microsoft Defender zasady zarządzania ustawieniami zabezpieczeń mają pierwszeństwo przed zasadami zestawu narzędzi Jamf (i innych firm mdm).

3a. Ustawianie zasad przy użyciu portalu Microsoft Defender

  1. Przed ustawieniem zasad zabezpieczeń przy użyciu Microsoft Defender postępuj zgodnie ze wskazówkami w temacie Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Intune.

  2. W portalu Microsoft Defender przejdź do pozycjiZasady> zabezpieczeń punktu końcowego zarządzania konfiguracją> Zasady > zabezpieczeńdla komputerów MacUtwórz nowe zasady.

  3. W obszarze Wybierz platformę wybierz pozycję macOS.

  4. W obszarze Wybierz szablon wybierz szablon i wybierz pozycję Utwórz zasady.

  5. Określ nazwę i opis zasad, a następnie wybierz pozycję Dalej.

  6. Na karcie Przypisania przypisz profil do grupy, w której znajdują się urządzenia z systemem macOS i/lub użytkownicy, lub Wszyscy użytkownicy i wszystkie urządzenia.

Aby uzyskać więcej informacji na temat zarządzania ustawieniami zabezpieczeń, zobacz następujące artykuły:

3b. Ustawianie zasad przy użyciu narzędzia Jamf

Możesz użyć graficznego interfejsu użytkownika narzędzia Jamf Pro, aby edytować poszczególne ustawienia konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, lub użyć starszej metody, tworząc konfigurację Plist w edytorze tekstów i przekazując ją do narzędzia Jamf Pro.

Należy użyć dokładnej com.microsoft.wdav jako domeny preferencji. Ochrona punktu końcowego w usłudze Microsoft Defender używa tylko tej nazwy i com.microsoft.wdav.ext ładuje ustawienia zarządzane. (Wersja może być używana com.microsoft.wdav.ext w rzadkich przypadkach, gdy wolisz używać metody graficznego interfejsu użytkownika, ale musisz również skonfigurować ustawienie, które nie zostało jeszcze dodane do schematu).

Gui, metoda

  1. schema.json Pobierz plik z repozytorium GitHub usługi Defender i zapisz go w pliku lokalnym:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Utwórz nowy profil konfiguracji. W obszarze Komputery przejdź do pozycji Profile konfiguracji, a następnie na karcie Ogólne określ następujące szczegóły:

    Nowy profil.

    • Nazwa: MDATP MDAV configuration settings
    • Opis: <blank\>
    • Kategoria: None (default)
    • Poziom: Computer Level (default)
    • Metoda dystrybucji: Install Automatically (default)

  3. Przewiń w dół do karty Ustawienia niestandardowe & aplikacji , wybierz pozycję Aplikacje zewnętrzne, wybierz pozycję Dodaj, a następnie użyj schematu niestandardowego jako źródła dla domeny preferencji.

    Dodaj schemat niestandardowy.

  4. Wpisz com.microsoft.wdav domenę preferencji, wybierz pozycję Dodaj schemat , a następnie przekaż schema.json plik pobrany w kroku 1. Wybierz Zapisz.

    Przekazywanie schematu.

  5. Wszystkie obsługiwane ustawienia konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender można wyświetlić w obszarze Właściwości domeny preferencji. Wybierz pozycję Dodaj/Usuń właściwości , aby wybrać ustawienia, które mają być zarządzane, a następnie wybierz przycisk OK , aby zapisać zmiany. (Ustawienia, które pozostały niezaznaczone, nie są uwzględniane w konfiguracji zarządzanej, użytkownik końcowy może skonfigurować te ustawienia na swoich maszynach).

    Wybrane ustawienia zarządzane.

  6. Zmień wartości ustawień na żądane wartości. Możesz wybrać pozycję Więcej informacji, aby uzyskać dokumentację dla określonego ustawienia. (Możesz wybrać pozycję Plist preview , aby sprawdzić, co jest elementem plist konfiguracji. Wybierz pozycję Edytor formularzy , aby powrócić do edytora wizualizacji).

    Strona, na której są zmieniane wartości ustawień.

  7. Wybierz kartę Zakres .

    Zakres profilu konfiguracji.

  8. Wybierz pozycję Grupa maszyn firmy Contoso. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

    Strona, na której można dodać ustawienia konfiguracji.

    Strona, na której można zapisać ustawienia konfiguracji.

  9. Wybierz pozycję Gotowe. Zostanie wyświetlony nowy profil konfiguracji.

    Strona, na której zostaną ukończone ustawienia konfiguracji.

Ochrona punktu końcowego w usłudze Microsoft Defender dodaje nowe ustawienia w czasie. Te nowe ustawienia są dodawane do schematu, a nowa wersja jest publikowana w usłudze GitHub. Aby uzyskać aktualizacje, pobierz zaktualizowany schemat i edytuj istniejący profil konfiguracji. Na karcie Ustawienia niestandardowe & aplikacji wybierz pozycję Edytuj schemat.

Starsza metoda

  1. Użyj następujących ustawień konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender:

    • enableRealTimeProtection
    • passiveMode (To ustawienie nie jest domyślnie włączone. Jeśli planujesz uruchomić oprogramowanie antywirusowe inne niż Microsoft na komputerze Mac, ustaw je na true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (EICAR znajduje się na próbce. Jeśli przechodzisz przez weryfikację koncepcji, usuń ją, zwłaszcza jeśli testujesz EICAR).
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Aby uzyskać więcej informacji, zobacz Lista właściwości dla pełnego profilu konfiguracji narzędzia Jamf.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. Zapisz plik jako MDATP_MDAV_configuration_settings.plist.

  3. Na pulpicie nawigacyjnym narzędzia Jamf Pro otwórz pozycję Komputery i ich profile konfiguracji. Wybierz pozycję Nowy i przejdź do karty Ogólne .

    Strona z wyświetlonym nowym profilem.

  4. Na karcie Ogólne określ następujące szczegóły:

    • Nazwa: MDATP MDAV configuration settings
    • Opis: <blank>
    • Kategoria: None (default)
    • Metoda dystrybucji: Install Automatically (default)
    • Poziom: Computer Level (default)

  5. W obszarze Ustawienia niestandardowe & aplikacji wybierz pozycję Konfiguruj.

    Ustawienia konfiguracji MDATP MDAV.

    Aplikacja i ustawienia niestandardowe.

  6. Wybierz pozycję Przekaż plik (plik PLIST).

    Plik plist ustawień konfiguracji.

  7. W obszarze Domena preferencji wpisz com.microsoft.wdav, a następnie wybierz pozycję Przekaż plik PLIST.

    Domena preferencji ustawień konfiguracji.

  8. Wybierz pozycję Wybierz plik.

    Monit o wybranie pliku plist.

  9. Wybierz MDATP_MDAV_configuration_settings.plist, a następnie wybierz pozycję Otwórz.

    Ustawienia konfiguracji mdatpmdav.

  10. Wybierz pozycję Przekaż.

    Przekazywanie ustawienia konfiguracji.

    Monit o przekazanie obrazu związanego z ustawieniami konfiguracji.

    Uwaga

    Jeśli nastąpi przekazanie pliku Intune, zostanie wyświetlony następujący błąd:

    Monit o przekazanie pliku usługi Intune związany z ustawieniami konfiguracji.

  11. Wybierz Zapisz.

    Opcja zapisania obrazu związanego z ustawieniami konfiguracji.

  12. Plik jest przekazywany.

    Przekazany plik związany z ustawieniami konfiguracji.

    Strona ustawień konfiguracji.

  13. Wybierz kartę Zakres .

    Zakres ustawień konfiguracji.

  14. Wybierz pozycję Grupa maszyn firmy Contoso. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

    Ustawienia konfiguracji dodajeav.

    Powiadomienie o ustawieniach konfiguracji.

  15. Wybierz pozycję Gotowe. Zostanie wyświetlony nowy profil konfiguracji.

Obraz przedstawiający obraz profilu konfiguracji ustawień konfiguracji.

Krok 4. Konfigurowanie ustawień powiadomień

Uwaga

Te kroki mają zastosowanie w systemie macOS 11 (Big Sur) lub nowszym. Mimo że narzędzie Jamf obsługuje powiadomienia w systemie macOS w wersji 10.15 lub nowszej, usługa Defender for Endpoint na komputerach Mac wymaga systemu macOS 11 lub nowszego.

  1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Komputery, a następnie pozycję Profile konfiguracji.

  2. Wybierz pozycję Nowy, a następnie na karcie Ogólne w obszarze Opcje określ następujące szczegóły:

    • Nazwa: MDATP MDAV Notification settings

    • Opis: macOS 11 (Big Sur) or later

    • Kategoria: None *(default)*

    • Metoda dystrybucji: Install Automatically *(default)*

    • Poziom: Computer Level *(default)*

      Nowa strona profilu konfiguracji systemu macOS.

  3. Na karcie Powiadomienia wybierz pozycję Dodaj i określ następujące wartości:

    • Identyfikator pakietu: com.microsoft.wdav.tray
    • Alerty krytyczne: wybierz pozycję Wyłącz
    • Powiadomienia: wybierz pozycję Włącz
    • Typ alertu baneru: wybierz pozycję Dołącz i tymczasowe(wartość domyślna)
    • Powiadomienia na ekranie blokady: wybierz pozycję Ukryj
    • Powiadomienia w Centrum powiadomień: wybierz pozycję Wyświetl
    • Ikona aplikacji znaczek: wybierz pozycję Wyświetl

    Obszar powiadomień mdatpmdav ustawień konfiguracji.

  4. Na karcie Powiadomienia wybierz kolejno pozycje Dodaj , a następnie przewiń w dół do pozycji Nowe ustawienia powiadomień.

    • Identyfikator pakietu: com.microsoft.autoupdate.fba

  5. Skonfiguruj pozostałe ustawienia na te same wartości, które zostały wymienione wcześniej

    Ustawienia konfiguracji mdatpmdav powiadomienia mau.

    Pamiętaj, że teraz masz dwie tabele z konfiguracjami powiadomień: jedną dla identyfikatora pakietu: com.microsoft.wdav.tray, a drugą dla identyfikatora pakietu: com.microsoft.autoupdate.fba. Chociaż można skonfigurować ustawienia alertów zgodnie z wymaganiami, identyfikatory pakietów muszą być dokładnie takie same, jak opisano wcześniej, a przełącznik Dołączanie musi być włączony dla powiadomień.

  6. Wybierz kartę Zakres , a następnie wybierz pozycję Dodaj.

    Strona, na której można dodać wartości ustawień konfiguracji.

  7. Wybierz pozycję Grupa maszyn firmy Contoso. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

    Strona, na której można zapisywać wartości dla grupy maszyn contoso ustawień konfiguracji.

    Strona, która wyświetla powiadomienie o ukończeniu ustawień konfiguracji.

  8. Wybierz pozycję Gotowe. Powinien zostać wyświetlony nowy profil konfiguracji.

    Ukończone ustawienia konfiguracji.

Krok 5. Konfigurowanie usługi Microsoft AutoUpdate (MAU)

  1. Użyj następujących ustawień konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Zapisz go jako MDATP_MDAV_MAU_settings.plist.

  3. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Ogólne.

    Ustawienia konfiguracji.

  4. Na karcie Ogólne określ następujące szczegóły:

    • Nazwa: MDATP MDAV MAU settings
    • Opis: Microsoft AutoUpdate settings for MDATP for macOS
    • Kategoria: None (default)
    • Metoda dystrybucji: Install Automatically (default)
    • Poziom: Computer Level (default)

  5. W obszarze Ustawienia niestandardowe & aplikacji wybierz pozycję Konfiguruj.

    Ustawienia konfiguracji aplikacji i ustawień niestandardowych.

  6. Wybierz pozycję Przekaż plik (plik PLIST).

  7. W polu Typ com.microsoft.autoupdate2domeny preferencji , a następnie wybierz pozycję Przekaż plik PLIST.

    Domena preferencji ustawienia konfiguracji.

  8. Wybierz pozycję Wybierz plik.

    Monit o wybranie pliku dotyczącego ustawienia konfiguracji.

  9. Wybierz pozycję MDATP_MDAV_MAU_settings.plist.

    Ustawienia mdatpmdavmau.

  10. Wybierz pozycję Przekaż. Przekazywanie pliku dotyczącego ustawienia konfiguracji.

    Strona z opcją przekazywania pliku dotyczącą ustawienia konfiguracji.

  11. Wybierz Zapisz.

    Strona z opcją zapisywania pliku dotyczącą ustawienia konfiguracji.

  12. Wybierz kartę Zakres .

    Karta Zakres ustawień konfiguracji.

  13. Wybierz opcję Dodaj.

    Opcja dodawania obiektów docelowych wdrożenia.

    Strona, na której dodajesz więcej wartości do ustawień konfiguracji.

    Strona, na której można dodać więcej wartości do ustawień konfiguracji.

  14. Wybierz pozycję Gotowe.

    Powiadomienie o ukończeniu dotyczące ustawień konfiguracji.

Krok 6. Udzielanie pełnego dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender

  1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Profile konfiguracji.

    Profil, dla którego mają zostać skonfigurowane ustawienia.

  2. Wybierz pozycję + Nowy.

  3. Na karcie Ogólne określ następujące szczegóły:

    • Nazwa: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Opis: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Kategoria: None
    • Metoda dystrybucji: Install Automatically
    • Poziom: Computer level

    Ogólnie rzecz biorąc, ustawienie konfiguracji.

  4. W obszarze Konfigurowanie kontroli zasad preferencji prywatności wybierz pozycję Konfiguruj.

    Kontrola zasad ochrony prywatności konfiguracji.

  5. W obszarze Kontrola zasad preferencji prywatności wprowadź następujące szczegóły:

    • Identyfikator: com.microsoft.wdav
    • Typ identyfikatora: Bundle ID
    • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Szczegóły kontroli zasad preferencji prywatności ustawienia konfiguracji.

  6. Wybierz pozycję + Dodaj.

    Ustawienie konfiguracji powoduje dodanie zasad systemowych dla wszystkich plików.

    • W obszarze Aplikacja lub usługa wybierz pozycję SystemPolicyAllFiles.
    • W obszarze dostęp wybierz pozycję Zezwalaj.

  7. Wybierz pozycję Zapisz (nie tę w prawym dolnym rogu).

    Operacja zapisywania ustawienia konfiguracji.

  8. + Wybierz znak obok pozycji Dostęp do aplikacji, aby dodać nowy wpis.

    Operacja zapisywania związana z ustawieniem konfiguracji.

  9. Wprowadź następujące szczegóły:

    • Identyfikator: com.microsoft.wdav.epsext
    • Typ identyfikatora: Bundle ID
    • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Wybierz pozycję + Dodaj.

    Ustawienie konfiguracji wpisu tcc epsext.

  • W obszarze Aplikacja lub usługa wybierz pozycję SystemPolicyAllFiles.
  • W obszarze dostęp wybierz pozycję Zezwalaj.
  1. Wybierz pozycję Zapisz (nie tę w prawym dolnym rogu).

Inne wystąpienie ustawienia konfiguracji tcc epsext.

  1. Wybierz kartę Zakres .

Strona przedstawiająca zakres ustawienia konfiguracji.

  1. Wybierz pozycję + Dodaj.

Strona przedstawiająca ustawienie konfiguracji.

  1. Wybierz pozycję Komputer Grupy, a następnie w obszarze Nazwa grupy wybierz pozycję MachineGroup firmy Contoso.

Ustawienie konfiguracji grupy maszyn contoso.

  1. Wybierz opcję Dodaj. Następnie wybierz pozycję Zapisz.

  2. Wybierz pozycję Gotowe.

    Ustawienie konfiguracji contoso machine-group.

    Ilustracja ustawienia konfiguracji.

Alternatywnie możesz pobrać plik fulldisk.mobileconfig i przekazać go do profilów konfiguracji narzędzia Jamf, zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Uwaga

Pełny dostęp do dysku udzielany za pośrednictwem profilu konfiguracji mdm firmy Apple nie jest odzwierciedlony w obszarze Ustawienia systemu => Prywatność & Zabezpieczenia => Pełny dostęp do dysku.

Krok 7. Zatwierdzanie rozszerzeń systemu dla Ochrona punktu końcowego w usłudze Microsoft Defender

  1. W obszarze Profile konfiguracji wybierz pozycję + Nowy.

    Opis automatycznie wygenerowanego wpisu w mediach społecznościowych.

  2. Na karcie Ogólne określ następujące szczegóły:

    • Nazwa: MDATP MDAV System Extensions
    • Opis: MDATP system extensions
    • Kategoria: None
    • Metoda dystrybucji: Install Automatically
    • Poziom: Computer Level

    Ustawienia konfiguracji sysext nowy profil.

  3. W obszarze Rozszerzenia systemu wybierz pozycję Konfiguruj.

    Okienko z opcją Konfiguruj dla rozszerzeń systemu.

  4. W obszarze Rozszerzenia systemu wprowadź następujące szczegóły:

    • Nazwa wyświetlana: Microsoft Corp. System Extensions
    • Typy rozszerzeń systemu: Allowed System Extensions
    • Identyfikator zespołu: UBF8T346G9
    • Dozwolone rozszerzenia systemu:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Okienko rozszerzeń systemu MDAV MDATP.

  5. Wybierz kartę Zakres .

    Okienko wyboru Komputery docelowe.

  6. Wybierz pozycję + Dodaj.

  7. Wybierz pozycję Komputer Grupy> w obszarze Nazwa> grupy wybierz pozycję Grupa maszyn firmy Contoso.

  8. Wybierz pozycję + Dodaj.

    Okienko Nowy profil konfiguracji systemu macOS.

  9. Wybierz Zapisz.

    Wyświetlanie opcji dotyczących rozszerzeń systemu MDAV MDATP.

  10. Wybierz pozycję Gotowe.

    Ustawienia konfiguracji sysext — końcowy.

Krok 8. Konfigurowanie rozszerzenia sieci

W ramach funkcji wykrywania punktów końcowych i reagowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS sprawdza ruch gniazd i zgłasza te informacje do portalu Microsoft Defender.

Uwaga

Te kroki mają zastosowanie w systemie macOS 11 (Big Sur) lub nowszym. Mimo że narzędzie Jamf obsługuje powiadomienia w systemie macOS w wersji 10.15 lub nowszej, usługa Defender for Endpoint na komputerach Mac wymaga systemu macOS 11 lub nowszego.

  1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Komputery, a następnie pozycję Profile konfiguracji.

  2. Wybierz pozycję Nowy i wprowadź następujące szczegóły w obszarze Opcje:

  3. Na karcie Ogólne określ następujące wartości:

    • Nazwa: Microsoft Defender Network Extension
    • Opis: macOS 11 (Big Sur) or later
    • Kategoria: None *(default)*
    • Metoda dystrybucji: Install Automatically *(default)*
    • Poziom: Computer Level *(default)*

  4. Na karcie Filtr zawartości określ następujące wartości:

    • Nazwa filtru: Microsoft Defender Content Filter
    • Identyfikator: com.microsoft.wdav
    • Pozostaw pusty adres usługi, organizację, nazwę użytkownika, hasło, certyfikat (nie zaznaczono opcji Dołącz)
    • Kolejność filtrów: Inspector
    • Filtr gniazd: com.microsoft.wdav.netext
    • Wymagane ustawienie filtru gniazda: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • Pozostaw puste pola filtru sieciowego (nie zaznaczono opcji Dołącz)

    Należy pamiętać, że dokładne wartości identyfikatora, filtru gniazda i filtru gniazda wyznaczone wymagania , jak określono wcześniej.

    Ustawienie konfiguracji mdatpmdav.

  5. Wybierz kartę Zakres .

    Karta sco ustawień konfiguracji.

  6. Wybierz pozycję + Dodaj. Wybierz pozycję Komputer Grupy, a następnie w obszarze Nazwa grupy wybierz pozycję Grupa maszyn firmy Contoso. Następnie wybierz pozycję + Dodaj.

    Ustawienia konfiguracji adim.

  7. Wybierz Zapisz.

    Okienko Filtr zawartości.

  8. Wybierz pozycję Gotowe.

    Netext ustawień konfiguracji — końcowy.

Alternatywnie możesz pobrać plik netfilter.mobileconfig i przekazać go do profilów konfiguracji narzędzia Jamf, zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|

Krok 9. Konfigurowanie usług w tle

Uwaga

System macOS 13 (Ventura) zawiera nowe ulepszenia prywatności. Począwszy od tej wersji, domyślnie aplikacje nie mogą działać w tle bez wyraźnej zgody. Ochrona punktu końcowego w usłudze Microsoft Defender musi uruchomić swój proces demona w tle.

Ten profil konfiguracji udziela uprawnień usługi w tle do Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli wcześniej skonfigurowano Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą narzędzia Jamf, zalecamy zaktualizowanie wdrożenia przy użyciu tego profilu konfiguracji.

Pobierz plik background_services.mobileconfig z repozytorium GitHub.

Przekaż pobrany plik mobileconfig do profilów konfiguracji narzędzia Jamf zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Krok 10. Udzielanie uprawnień bluetooth

Uwaga

System macOS 14 (Sonoma) zawiera nowe ulepszenia prywatności. Począwszy od tej wersji, domyślnie aplikacje nie mogą uzyskać dostępu do połączenia Bluetooth bez wyraźnej zgody. Ochrona punktu końcowego w usłudze Microsoft Defender używa go w przypadku konfigurowania zasad bluetooth dla funkcji Device Control.

Pobierz plik bluetooth.mobileconfig z repozytorium GitHub.

Ostrzeżenie

Bieżąca wersja narzędzia Jamf Pro nie obsługuje jeszcze tego rodzaju ładunku. Jeśli przekażesz ten plik mobileconfig w takim stanie, w jakim jest, narzędzie Jamf Pro usunie nieobsługiwany ładunek i nie będzie miało zastosowania do maszyn klienckich. Najpierw musisz podpisać pobrany plik mobileconfig, po tym jak narzędzie Jamf Pro uzna je za "zapieczętowane" i nie będzie go modyfikować. Zobacz poniższe instrukcje:

  • Musisz mieć co najmniej jeden certyfikat podpisywania zainstalowany w pęku kluczy, nawet certyfikat z podpisem własnym działa. Możesz sprawdzić, co masz z:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

Wybierz dowolny z nich i podaj tekst w cudzysłów jako -N parametr:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Teraz możesz przekazać wygenerowany plik bluetooth-signed.mobileconfig do narzędzia Jamf Pro zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Uwaga

Połączenie Bluetooth udzielane za pośrednictwem profilu konfiguracji mdm firmy Apple nie jest odzwierciedlone w obszarze Ustawienia systemu => Prywatność & Zabezpieczenia => Bluetooth.

Krok 11. Planowanie skanowania przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Postępuj zgodnie z instrukcjami w temacie Planowanie skanowania przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Krok 12. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Uwaga

W poniższych krokach przykładami są nazwa .pkg pliku i wartości Nazwa wyświetlana . W tych przykładach reprezentuje datę utworzenia 200329 pakietu i zasad (w yymmdd formacie) i v100.86.92 reprezentuje wersję wdrożonej aplikacji Microsoft Defender. Te wartości powinny zostać zaktualizowane, aby były zgodne z konwencją nazewnictwa używaną w środowisku dla pakietów i zasad.

  1. Przejdź do miejsca, w którym zapisano plik wdav.pkg.

    Pakiet wdav eksploratora plików.

  2. Zmień jego nazwę na wdav_MDM_Contoso_200329.pkg.

    Pakiet wdavmdm eksploratora plików1.

  3. Otwórz pulpit nawigacyjny narzędzia Jamf Pro.

    Ustawienia konfiguracji narzędzia Jamf pro.

  4. Wybierz komputer i wybierz ikonę koła zębatego u góry, a następnie wybierz pozycję Zarządzanie komputerem.

    Ustawienia konfiguracji — zarządzanie komputerem.

  5. W obszarze Pakiety wybierz pozycję + Nowy.

    Opis ptaka dla automatycznie wygenerowanego pakietu.

  6. Na karcie Ogólne w obszarze Nowy pakiet określ następujące szczegóły:

    • Nazwa wyświetlana: pozostaw ją na razie pustą. Ponieważ jest on resetowany po wybraniu pkg.
    • Kategoria: None (default)
    • Nazwa pliku: Choose File

    Karta Ogólne dla ustawień konfiguracji.

  7. Otwórz plik i wskaż go do wdav.pkg lub wdav_MDM_Contoso_200329.pkg.

    Ekran komputera z opisem automatycznie wygenerowanego pakietu.

  8. Wybierz opcję Otwórz. Ustaw nazwę wyświetlaną na Microsoft Defender zaawansowaną ochronę przed zagrożeniami i program antywirusowy Microsoft Defender.

    • Plik manifestu nie jest wymagany. Ochrona punktu końcowego w usłudze Microsoft Defender działa bez pliku manifestu.
    • Karta Opcje: Zachowaj wartości domyślne.
    • Karta Ograniczenia: Zachowaj wartości domyślne.

    Karta ograniczeń ustawień konfiguracji.

  9. Wybierz Zapisz. Pakiet jest przekazywany do narzędzia Jamf Pro.

    Proces przekazywania pakietu pakietów ustawień konfiguracji związany z ustawieniami konfiguracji.

    Udostępnienie pakietu do wdrożenia może potrwać kilka minut.

    Wystąpienie przekazywania pakietu dla ustawień konfiguracji.

  10. Przejdź do strony Zasady .

Zasady ustawień konfiguracji.

  1. Wybierz pozycję + Nowy, aby utworzyć nowe zasady.

    Konfiguracja ustawi nowe zasady.

  2. W polu Ogólne w polu Nazwa wyświetlana użyj polecenia MDATP Onboarding Contoso 200329 v100.86.92 or later.

    Ustawienia konfiguracji — dołączanie protokołu MDATP.

  3. Wybierz pozycję Cykliczne zaewidencjonowanie.

    Cykliczne ewidencjonowanie ustawień konfiguracji.

  4. Wybierz Zapisz. Następnie wybierz pozycję Pakiety, a następnie wybierz pozycjęKonfiguruj.

    Opcja konfigurowania pakietów.

  5. Wybierz przycisk Dodaj obok pozycji Microsoft Defender Advanced Threat Protection i Microsoft Defender Antivirus.

    Opcja dodawania większej liczby ustawień do rozwiązania MDATP MDA.

  6. Wybierz Zapisz.

    Opcja zapisywania ustawień konfiguracji.

Utwórz grupę inteligentną dla maszyn z profilami Microsoft Defender.

Aby uzyskać lepsze środowisko użytkownika, profile konfiguracji na zarejestrowanych maszynach muszą zostać zainstalowane przed Microsoft Defender pakietu. W większości przypadków narzędzie JamF Pro wypycha profile konfiguracji natychmiast, a te zasady są wykonywane po pewnym czasie (czyli podczas ewidencjonowania). Jednak w niektórych przypadkach wdrażanie profilów konfiguracji można wdrożyć ze znacznym opóźnieniem (oznacza to, że jeśli maszyna użytkownika jest zablokowana).

Narzędzie Jamf Pro zapewnia prawidłową kolejność. Możesz utworzyć grupę inteligentną dla maszyn, które już otrzymały profil konfiguracji Microsoft Defender, i zainstalować pakiet Microsoft Defender tylko na tych maszynach (i zaraz po otrzymaniu tego profilu).

Wykonaj następujące czynności:

  1. Utwórz grupę inteligentną. W nowym oknie przeglądarki otwórz pozycję Komputery inteligentne Grupy.

  2. Wybierz pozycję Nowy i nadaj grupie nazwę.

  3. Na karcie Kryteria wybierz pozycję Dodaj, a następnie wybierz pozycję Pokaż kryteria zaawansowane.

  4. Wybierz pozycję Nazwa profilu jako kryterium i użyj nazwy wcześniej utworzonego profilu konfiguracji jako wartości:

    Tworzenie grupy inteligentnej.

  5. Wybierz Zapisz.

  6. Wstecz do okna, w którym skonfigurowano zasady pakietu.

  7. Wybierz kartę Zakres .

    Karta Zakres powiązana z ustawieniami konfiguracji.

  8. Wybierz komputery docelowe.

    Opcja dodawania grup komputerów.

  9. W obszarze Zakres wybierz pozycję Dodaj.

    Ustawienia konfiguracji — ad1.

  10. Przejdź do karty Komputer Grupy. Znajdź utworzoną grupę inteligentną, a następnie wybierz pozycję Dodaj.

Ustawienia konfiguracji — ad2.

  1. Jeśli chcesz, aby użytkownicy dobrowolnie (lub na żądanie) zainstalować usługę Defender for Endpoint, wybierz pozycję Samoobsługi.

Karta Samoobsługowe dla ustawień konfiguracji.

  1. Wybierz pozycję Gotowe.

Stan dołączania firmy Contoso z opcją jego ukończenia.

Strona zasad.

Zakres profilu konfiguracji

Narzędzie Jamf wymaga zdefiniowania zestawu maszyn dla profilu konfiguracji. Musisz upewnić się, że wszystkie maszyny otrzymujące pakiet usługi Defender otrzymują również wszystkie profile konfiguracji wymienione powyżej.

Ostrzeżenie

Narzędzie Jamf obsługuje Grupy inteligentnego komputera, które umożliwiają wdrażanie, takich jak profile konfiguracji lub zasady na wszystkich maszynach spełniających określone kryteria oceniane dynamicznie. Jest to zaawansowana koncepcja, która jest szeroko używana do dystrybucji profilów konfiguracji.

Należy jednak pamiętać, że kryteria te nie powinny obejmować obecności usługi Defender na maszynie. Użycie tego kryterium może wydawać się logiczne, ale powoduje problemy trudne do zdiagnozowania.

Usługa Defender korzysta ze wszystkich tych profilów w momencie instalacji.

Tworzenie profilów konfiguracji w zależności od obecności usługi Defender skutecznie opóźnia wdrażanie profilów konfiguracji i powoduje początkową złą kondycję produktu i/lub monity o ręczne zatwierdzenie niektórych uprawnień aplikacji, które w przeciwnym razie są automatycznie zatwierdzane przez profile. Wdrożenie zasad z pakietem Microsoft Defender po wdrożeniu profilów konfiguracji zapewnia najlepsze środowisko użytkownika końcowego, ponieważ wszystkie wymagane konfiguracje zostaną zastosowane przed zainstalowaniem pakietu.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.