Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro

Dotyczy:

• Usługa Defender dla punktu końcowego na komputerach Mac
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Ten artykuł umożliwia skonfigurowanie zasad dla usługi Defender for Endpoint na komputerach Mac przy użyciu narzędzia Jamf Pro.

Krok 1. Pobieranie pakietu dołączania Ochrona punktu końcowego w usłudze Microsoft Defender

1. W Microsoft Defender XDR przejdź do pozycji Ustawienia > Dołączanie punktów końcowych>.

2. Wybierz system macOS jako system operacyjny, a jako metodę wdrażania wybierz pozycję Mobile Zarządzanie urządzeniami/Microsoft Intune.

   

3. Wybierz pozycję Pobierz pakiet dołączania (WindowsDefenderATPOnboardingPackage.zip).

4. Wyodrębnij WindowsDefenderATPOnboardingPackage.zip.

5. Skopiuj plik do preferowanej lokalizacji. Na przykład C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Krok 2. Twórca profilu konfiguracji w narzędziu Jamf Pro przy użyciu pakietu dołączania

1. Znajdź plik WindowsDefenderATPOnboarding.plist z poprzedniej sekcji.

   

2. Zaloguj się do narzędzia Jamf Pro, przejdź do pozycjiProfile konfiguracjikomputerów> i wybierz pozycję Nowy.

   

3. Wprowadź następujące szczegóły na karcie Ogólne :

   • Nazwa: MDE onboarding for macOS
   • Opis: MDE EDR onboarding for macOS
   • Kategoria: None
   • Metoda dystrybucji: Install Automatically
   • Poziom: Computer Level

4. Przejdź do strony Ustawienia niestandardowe & aplikacji , wybierz pozycję Przekaż, a następnie wybierz pozycję Dodaj.

   

5. Wybierz pozycję Przekaż plik (plik PLIST), a następnie w polu Domena preferencji wpisz com.microsoft.wdav.atp.

   

   

6. Wybierz pozycję Otwórz i wybierz plik dołączania.

   

7. Wybierz pozycję Przekaż.

   

8. Wybierz kartę Zakres .

   

9. Wybierz komputery docelowe.

   

   

10. Wybierz Zapisz.

    

    

11. Wybierz pozycję Gotowe.

    

    

Krok 3. Konfigurowanie ustawień Ochrona punktu końcowego w usłudze Microsoft Defender

W tym kroku przejdziemy przez preferencje, aby można było skonfigurować zasady ochrony przed złośliwym oprogramowaniem i EDR przy użyciu portalu Microsoft Defender XDR (https://security.microsoft.com) lub narzędzia JamF.

Ważna

Ochrona punktu końcowego w usłudze Microsoft Defender zasady zarządzania ustawieniami zabezpieczeń mają pierwszeństwo przed zasadami zestawu JamF (i innych firm mdm).

3a. Ustawianie zasad przy użyciu portalu Microsoft Defender

1. Przed ustawieniem zasad zabezpieczeń przy użyciu Microsoft Defender postępuj zgodnie ze wskazówkami w temacie Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Intune.

2. W portalu Microsoft Defender przejdź do obszaruZasady> zabezpieczeń punktu końcowego zarządzania konfiguracją>Zasady> zabezpieczeń dla komputerów Mac Twórca nowe zasady.

3. W obszarze Wybierz platformę wybierz pozycję macOS.

4. W obszarze Wybierz szablon wybierz szablon i wybierz pozycję Twórca Zasady.

5. Określ nazwę i opis zasad, a następnie wybierz pozycję Dalej.

6. Na karcie Przypisania przypisz profil do grupy, w której znajdują się urządzenia z systemem macOS i/lub użytkownicy, lub Wszyscy użytkownicy i wszystkie urządzenia.

Aby uzyskać więcej informacji na temat zarządzania ustawieniami zabezpieczeń, zobacz następujące artykuły:

• Zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach przy użyciu Microsoft Intune

• Zarządzanie ustawieniami zabezpieczeń dla systemów Windows, macOS i Linux natywnie w usłudze Defender for Endpoint

3b. Ustawianie zasad przy użyciu narzędzia JamF

Możesz użyć graficznego interfejsu użytkownika narzędzia JAMF Pro do edytowania poszczególnych ustawień konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender lub użyć starszej metody, tworząc konfigurację Plist w edytorze tekstów i przekazując ją do narzędzia JAMF Pro.

Należy pamiętać, że należy użyć dokładnie com.microsoft.wdav jako domeny preferencji; Ochrona punktu końcowego w usłudze Microsoft Defender używa tylko tej nazwy i com.microsoft.wdav.ext ładuje swoje ustawienia zarządzane.

(Wersja może być używana com.microsoft.wdav.ext w rzadkich przypadkach, gdy wolisz używać metody graficznego interfejsu użytkownika, ale musisz również skonfigurować ustawienie, które nie zostało jeszcze dodane do schematu).

Gui, metoda

1. Pobierz plik schema.json z repozytorium GitHub usługi Defender i zapisz go w pliku lokalnym:

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. Twórca nowy profil konfiguracji. W obszarze Komputery przejdź do pozycji Profile konfiguracji, a następnie określ następujące szczegóły na karcie Ogólne :

   

   • Nazwa: MDATP MDAV configuration settings
   • Opis: <blank\>
   • Kategoria: None (default)
   • Poziom: Computer Level (default)
   • Metoda dystrybucji: Install Automatically (default)

3. Przewiń w dół do karty Ustawienia niestandardowe & aplikacji , wybierz pozycję Aplikacje zewnętrzne, wybierz pozycję Dodaj, a następnie użyj schematu niestandardowego jako źródła dla domeny preferencji.

   

4. Wpisz com.microsoft.wdav domenę preferencji, wybierz pozycję Dodaj schemat , a następnie przekaż schema.json plik pobrany w kroku 1. Wybierz Zapisz.

   

5. Wszystkie obsługiwane ustawienia konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender można wyświetlić w obszarze Właściwości domeny preferencji. Wybierz pozycję Dodaj/Usuń właściwości , aby wybrać ustawienia, które mają być zarządzane, a następnie wybierz przycisk OK , aby zapisać zmiany. (Ustawienia, które pozostały niezaznaczone, nie są uwzględniane w konfiguracji zarządzanej, użytkownik końcowy może skonfigurować te ustawienia na swoich maszynach).

   

6. Zmień wartości ustawień na żądane wartości. Możesz wybrać pozycję Więcej informacji, aby uzyskać dokumentację dla określonego ustawienia. (Możesz wybrać pozycję Plist preview , aby sprawdzić, jak będzie wyglądać plist konfiguracji. Wybierz pozycję Edytor formularzy , aby powrócić do edytora wizualizacji).

   

7. Wybierz kartę Zakres .

   

8. Wybierz pozycję Grupa maszyn firmy Contoso.

9. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

   

   

10. Wybierz pozycję Gotowe. Zostanie wyświetlony nowy profil konfiguracji.

    

Ochrona punktu końcowego w usłudze Microsoft Defender dodaje nowe ustawienia w czasie. Te nowe ustawienia są dodawane do schematu, a nowa wersja jest publikowana w usłudze GitHub. Aby uzyskać aktualizacje, pobierz zaktualizowany schemat i edytuj istniejący profil konfiguracji. Na karcie Ustawienia niestandardowe & aplikacji wybierz pozycję Edytuj schemat.

Starsza metoda

1. Użyj następujących ustawień konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender:

   • enableRealTimeProtection

   • passiveMode

     Uwaga

     Nie włączono domyślnie, jeśli planujesz uruchomić program antywirusowy innej firmy dla systemu macOS, ustaw go na true.

   • exclusions

   • excludedPath

   • excludedFileExtension

   • excludedFileName

   • exclusionsMergePolicy

   • allowedThreats

     Uwaga

     EICAR jest na przykładzie, jeśli przechodzisz weryfikację koncepcji, usuń ją, zwłaszcza jeśli testujesz EICAR.

   • disallowedThreatActions

   • potentially_unwanted_application

   • archive_bomb

   • cloudService

   • automaticSampleSubmission

   • tags

   • hideStatusMenuIcon

   Aby uzyskać informacje, zobacz Lista właściwości dla pełnego profilu konfiguracji JAMF.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>antivirusEngine</key>
       <dict>
           <key>enableRealTimeProtection</key>
           <true/>
           <key>passiveMode</key>
           <false/>
           <key>exclusions</key>
           <array>
               <dict>
                   <key>$type</key>
                   <string>excludedPath</string>
                   <key>isDirectory</key>
                   <false/>
                   <key>path</key>
                   <string>/var/log/system.log</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedPath</string>
                   <key>isDirectory</key>
                   <true/>
                   <key>path</key>
                   <string>/home</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedFileExtension</string>
                   <key>extension</key>
                   <string>pdf</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedFileName</string>
                   <key>name</key>
                   <string>cat</string>
               </dict>
           </array>
           <key>exclusionsMergePolicy</key>
           <string>merge</string>
           <key>allowedThreats</key>
           <array>
               <string>EICAR-Test-File (not a virus)</string>
           </array>
           <key>disallowedThreatActions</key>
           <array>
               <string>allow</string>
               <string>restore</string>
           </array>
           <key>threatTypeSettings</key>
           <array>
               <dict>
                   <key>key</key>
                   <string>potentially_unwanted_application</string>
                   <key>value</key>
                   <string>block</string>
               </dict>
               <dict>
                   <key>key</key>
                   <string>archive_bomb</string>
                   <key>value</key>
                   <string>audit</string>
               </dict>
           </array>
           <key>threatTypeSettingsMergePolicy</key>
           <string>merge</string>
       </dict>
       <key>cloudService</key>
       <dict>
           <key>enabled</key>
           <true/>
           <key>diagnosticLevel</key>
           <string>optional</string>
           <key>automaticSampleSubmission</key>
           <true/>
       </dict>
       <key>edr</key>
       <dict>
           <key>tags</key>
           <array>
               <dict>
                   <key>key</key>
                   <string>GROUP</string>
                   <key>value</key>
                   <string>ExampleTag</string>
               </dict>
           </array>
       </dict>
       <key>userInterface</key>
       <dict>
           <key>hideStatusMenuIcon</key>
           <false/>
       </dict>
   </dict>
   </plist>
   

2. Zapisz plik jako MDATP_MDAV_configuration_settings.plist.

3. Na pulpicie nawigacyjnym narzędzia Jamf Pro otwórz pozycję Komputery i ich profile konfiguracji. Wybierz pozycję Nowy i przejdź do karty Ogólne .

   

4. Wprowadź następujące szczegóły na karcie Ogólne :

   • Nazwa: MDATP MDAV configuration settings
   • Opis: <blank>
   • Kategoria: None (default)
   • Metoda dystrybucji: Install Automatically (default)
   • Poziom: Computer Level (default)

5. W obszarze Ustawienia niestandardowe & aplikacji wybierz pozycję Konfiguruj.

   

   

6. Wybierz pozycję Przekaż plik (plik PLIST).

   

7. W obszarze Domena preferencji wpisz com.microsoft.wdav, a następnie wybierz pozycję Przekaż plik PLIST.

   

8. Wybierz pozycję Wybierz plik.

   

9. Wybierz MDATP_MDAV_configuration_settings.plist, a następnie wybierz pozycję Otwórz.

   

10. Wybierz pozycję Przekaż.

    

    

    Uwaga

    Jeśli nastąpi przekazanie pliku Intune, zostanie wyświetlony następujący błąd:

    

11. Wybierz Zapisz.

    

12. Plik jest przekazywany.

    

    

13. Wybierz kartę Zakres .

    

14. Wybierz pozycję Grupa maszyn firmy Contoso.

15. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

    

    

16. Wybierz pozycję Gotowe. Zostanie wyświetlony nowy profil konfiguracji.

    

Krok 4. Konfigurowanie ustawień powiadomień

Te kroki mają zastosowanie w systemie macOS 11 (Big Sur) lub nowszym.

1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Komputery, a następnie pozycję Profile konfiguracji.

2. Wybierz pozycję Nowy i wprowadź następujące szczegóły na karcie Ogólne dla pozycji Opcje:

   • Nazwa: MDATP MDAV Notification settings

   • Opis: macOS 11 (Big Sur) or later

   • Kategoria: None *(default)*

   • Metoda dystrybucji: Install Automatically *(default)*

   • Poziom: Computer Level *(default)*

     

   • Powiadomienia na karcie, wybierz pozycję Dodaj i wprowadź następujące wartości:

     • Identyfikator pakietu: com.microsoft.wdav.tray

     • Alerty krytyczne: wybierz pozycję Wyłącz

     • Powiadomienia: wybierz pozycję Włącz

     • Typ alertu baneru: wybierz pozycję Dołącz i tymczasowe(wartość domyślna)

     • Powiadomienia na ekranie blokady: wybierz pozycję Ukryj

     • Powiadomienia w Centrum powiadomień: wybierz pozycję Wyświetl

     • Ikona aplikacji znaczek: wybierz pozycję Wyświetl

       

   • Powiadomienia na karcie, wybierz pozycję Dodaj jeszcze raz, przewiń w dół do pozycji Nowe ustawienia powiadomień

     • Identyfikator pakietu: com.microsoft.autoupdate.fba

     • Skonfiguruj pozostałe ustawienia na te same wartości, które zostały wymienione wcześniej

       

       Pamiętaj, że teraz masz dwie tabele z konfiguracjami powiadomień: jedną dla identyfikatora pakietu: com.microsoft.wdav.tray, a drugą dla identyfikatora pakietu: com.microsoft.autoupdate.fba. Chociaż można skonfigurować ustawienia alertów zgodnie z wymaganiami, identyfikatory pakietów muszą być dokładnie takie same, jak opisano wcześniej, a przełącznik Dołączanie musi być włączony dla powiadomień.

3. Wybierz kartę Zakres , a następnie wybierz pozycję Dodaj.

   

4. Wybierz pozycję Grupa maszyn firmy Contoso.

5. Wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.

   

   

6. Wybierz pozycję Gotowe. Powinien zostać wyświetlony nowy profil konfiguracji.

   

Krok 5. Konfigurowanie usługi Microsoft AutoUpdate (MAU)

1. Użyj następujących ustawień konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. Zapisz go jako MDATP_MDAV_MAU_settings.plist.

3. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Ogólne.

   

4. Wprowadź następujące szczegóły na karcie Ogólne :

   • Nazwa: MDATP MDAV MAU settings
   • Opis: Microsoft AutoUpdate settings for MDATP for macOS
   • Kategoria: None (default)
   • Metoda dystrybucji: Install Automatically (default)
   • Poziom: Computer Level (default)

5. W obszarze Ustawienia niestandardowe & aplikacji wybierz pozycję Konfiguruj.

   

6. Wybierz pozycję Przekaż plik (plik PLIST).

7. W polu Typ com.microsoft.autoupdate2domeny preferencji , a następnie wybierz pozycję Przekaż plik PLIST.

   

8. Wybierz pozycję Wybierz plik.

   

9. Wybierz pozycję MDATP_MDAV_MAU_settings.plist.

   

10. Wybierz pozycję Przekaż.

    

11. Wybierz Zapisz.

    

12. Wybierz kartę Zakres .

    

13. Wybierz opcję Dodaj.

    

    

    

14. Wybierz pozycję Gotowe.

    

Krok 6. Udzielanie pełnego dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender

1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Profile konfiguracji.

   

2. Wybierz pozycję + Nowy.

3. Wprowadź następujące szczegóły na karcie Ogólne :

   • Nazwa: MDATP MDAV - grant Full Disk Access to EDR and AV
   • Opis: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • Kategoria: None
   • Metoda dystrybucji: Install Automatically
   • Poziom: Computer level

   

4. W obszarze Konfigurowanie kontroli zasad preferencji prywatności wybierz pozycję Konfiguruj.

   

5. W obszarze Kontrola zasad preferencji prywatności wprowadź następujące szczegóły:

   • Identyfikator: com.microsoft.wdav
   • Typ identyfikatora: Bundle ID
   • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. Wybierz pozycję + Dodaj.

   

   • W obszarze Aplikacja lub usługa wybierz pozycję SystemPolicyAllFiles.
   • W obszarze dostęp wybierz pozycję Zezwalaj.

7. Wybierz pozycję Zapisz (nie tę w prawym dolnym rogu).

   

8. + Wybierz znak obok pozycji Dostęp do aplikacji, aby dodać nowy wpis.

   

9. Wprowadź następujące szczegóły:

   • Identyfikator: com.microsoft.wdav.epsext
   • Typ identyfikatora: Bundle ID
   • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. Wybierz pozycję + Dodaj.

    

    • W obszarze Aplikacja lub usługa wybierz pozycję SystemPolicyAllFiles.
    • W obszarze dostęp wybierz pozycję Zezwalaj.

11. Wybierz pozycję Zapisz (nie tę w prawym dolnym rogu).

    

12. Wybierz kartę Zakres .

    

13. Wybierz pozycję + Dodaj.

    

14. Wybierz pozycję Komputer Grupy, a następnie w obszarze Nazwa grupy wybierz pozycję MachineGroup firmy Contoso.

    

15. Wybierz opcję Dodaj.

16. Wybierz Zapisz.

17. Wybierz pozycję Gotowe.

    

    

Alternatywnie możesz pobrać plik fulldisk.mobileconfig i przekazać go do profilów konfiguracji JAMF zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Uwaga

Pełny dostęp do dysku udzielany za pośrednictwem profilu konfiguracji mdm firmy Apple nie jest odzwierciedlony w obszarze Ustawienia systemu => Prywatność & Zabezpieczenia => Pełny dostęp do dysku.

Krok 7. Zatwierdzanie rozszerzeń systemu dla Ochrona punktu końcowego w usłudze Microsoft Defender

1. W obszarze Profile konfiguracji wybierz pozycję + Nowy.

   

2. Wprowadź następujące szczegóły na karcie Ogólne :

   • Nazwa: MDATP MDAV System Extensions
   • Opis: MDATP system extensions
   • Kategoria: None
   • Metoda dystrybucji: Install Automatically
   • Poziom: Computer Level

   

3. W obszarze Rozszerzenia systemu wybierz pozycję Konfiguruj.

   

4. W obszarze Rozszerzenia systemu wprowadź następujące szczegóły:

   • Nazwa wyświetlana: Microsoft Corp. System Extensions
   • Typy rozszerzeń systemu: Allowed System Extensions
   • Identyfikator zespołu: UBF8T346G9
   • Dozwolone rozszerzenia systemu:
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. Wybierz kartę Zakres .

   

6. Wybierz pozycję + Dodaj.

7. Wybierz pozycję Komputer Grupy> w obszarze Nazwa> grupy wybierz pozycję Grupa maszyn firmy Contoso.

8. Wybierz pozycję + Dodaj.

   

9. Wybierz Zapisz.

   

10. Wybierz pozycję Gotowe.

    

Krok 8. Konfigurowanie rozszerzenia sieci

W ramach funkcji wykrywania punktów końcowych i reagowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS sprawdza ruch gniazd i zgłasza te informacje do portalu Microsoft Defender. Poniższe zasady umożliwiają rozszerzeniu sieci wykonywanie tej funkcji.

Te kroki mają zastosowanie w systemie macOS 11 (Big Sur) lub nowszym.

1. Na pulpicie nawigacyjnym narzędzia Jamf Pro wybierz pozycję Komputery, a następnie pozycję Profile konfiguracji.

2. Wybierz pozycję Nowy i wprowadź następujące szczegóły w obszarze Opcje:

   • Karta Ogólne:

     • Nazwa: Microsoft Defender Network Extension
     • Opis: macOS 11 (Big Sur) or later
     • Kategoria: None *(default)*
     • Metoda dystrybucji: Install Automatically *(default)*
     • Poziom: Computer Level *(default)*

   • Filtr zawartości karty:

     • Nazwa filtru: Microsoft Defender Content Filter
     • Identyfikator: com.microsoft.wdav
     • Pozostaw pusty adres usługi, organizację, nazwę użytkownika, hasło, certyfikat (nie zaznaczono opcji Dołącz)
     • Kolejność filtrów: Inspector
     • Filtr gniazd: com.microsoft.wdav.netext
     • Wymagane ustawienie filtru gniazda: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
     • Pozostaw puste pola filtru sieciowego (nie zaznaczono opcji Dołącz)

     Należy pamiętać, że dokładne wartości identyfikatora, filtru gniazda i filtru gniazda wyznaczone wymagania , jak określono powyżej.

     

3. Wybierz kartę Zakres .

   

4. Wybierz pozycję + Dodaj.

5. Wybierz pozycję Komputer Grupy> w obszarze Nazwa> grupy wybierz pozycję Grupa maszyn firmy Contoso.

6. Wybierz pozycję + Dodaj.

   

7. Wybierz Zapisz.

   

8. Wybierz pozycję Gotowe.

   

Alternatywnie możesz pobrać plik netfilter.mobileconfig i przekazać go do profilów konfiguracji JAMF zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Krok 9. Konfigurowanie usług w tle

Uwaga

System macOS 13 (Ventura) zawiera nowe ulepszenia prywatności. Począwszy od tej wersji, domyślnie aplikacje nie mogą działać w tle bez wyraźnej zgody. Ochrona punktu końcowego w usłudze Microsoft Defender musi uruchomić swój proces demona w tle.

Ten profil konfiguracji udziela uprawnień usługi w tle do Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli wcześniej skonfigurowano Ochrona punktu końcowego w usłudze Microsoft Defender za pośrednictwem narzędzia JAMF, zalecamy zaktualizowanie wdrożenia przy użyciu tego profilu konfiguracji.

Pobierz plik background_services.mobileconfig z repozytorium GitHub.

Przekaż pobraną aplikację mobileconfig do profilów konfiguracji jamf zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

Krok 10. Udzielanie uprawnień bluetooth

Uwaga

System macOS 14 (Sonoma) zawiera nowe ulepszenia prywatności. Począwszy od tej wersji, domyślnie aplikacje nie mogą uzyskać dostępu do połączenia Bluetooth bez wyraźnej zgody. Ochrona punktu końcowego w usłudze Microsoft Defender używa go w przypadku konfigurowania zasad bluetooth dla funkcji Device Control.

Pobierz plik bluetooth.mobileconfig z repozytorium GitHub.

Ostrzeżenie

Bieżąca wersja narzędzia JAMF Pro nie obsługuje jeszcze tego rodzaju ładunku. Jeśli przekażesz ten plik mobileconfig w takim stanie, w jakim jest, narzędzie JAMF Pro usunie nieobsługiwany ładunek i nie będzie miało zastosowania do maszyn klienckich. Najpierw musisz podpisać pobrany plik mobileconfig, po tym jak narzędzie JAMF Pro uzna je za "zapieczętowane" i nie będzie go modyfikować. Zobacz poniższe instrukcje:

• Musisz mieć co najmniej jeden certyfikat podpisywania zainstalowany w pęku kluczy, nawet certyfikat z podpisem własnym działa. Możesz sprawdzić, co masz z:

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

• Wybierz dowolny z nich i podaj tekst w cudzysłówce jako parametr -N:

  /usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
  

• Teraz możesz przekazać wygenerowany plik bluetooth-signed.mobileconfig do narzędzia JAMF Pro zgodnie z opisem w temacie Wdrażanie niestandardowych profilów konfiguracji przy użyciu narzędzia Jamf Pro|Metoda 2. Przekazywanie profilu konfiguracji do narzędzia Jamf Pro.

  Uwaga

  Połączenie Bluetooth udzielane za pośrednictwem profilu konfiguracji mdm firmy Apple nie jest odzwierciedlone w obszarze Ustawienia systemu => Prywatność & Zabezpieczenia => Bluetooth.

Krok 11. Planowanie skanowania przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Postępuj zgodnie z instrukcjami dotyczącymi planowania skanowania za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Krok 12. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Uwaga

W poniższych krokach przykładami są nazwa .pkg pliku i wartości Nazwa wyświetlana . W tych przykładach reprezentuje datę utworzenia 200329 pakietu i zasad (w yymmdd formacie) i v100.86.92 reprezentuje wersję wdrożonej aplikacji Microsoft Defender. Te wartości powinny zostać zaktualizowane, aby były zgodne z konwencją nazewnictwa używaną w środowisku dla pakietów i zasad.

1. Przejdź do miejsca, w którym zapisano plik wdav.pkg.

   

2. Zmień jego nazwę na wdav_MDM_Contoso_200329.pkg.

   

3. Otwórz pulpit nawigacyjny narzędzia Jamf Pro.

   

4. Wybierz komputer i wybierz ikonę koła zębatego u góry, a następnie wybierz pozycję Zarządzanie komputerem.

   

5. W obszarze Pakiety wybierz pozycję + Nowy.

   

6. Na karcie Ogólne wprowadź następujące szczegóły w obszarze Nowy pakiet:

   • Nazwa wyświetlana: pozostaw ją na razie pustą. Ponieważ jest on resetowany po wybraniu pkg.
   • Kategoria: None (default)
   • Nazwa pliku: Choose File

   

   Otwórz plik i wskaż go do wdav.pkg lub wdav_MDM_Contoso_200329.pkg.

   

7. Wybierz opcję Otwórz. Ustaw nazwę wyświetlaną na Microsoft Defender zaawansowaną ochronę przed zagrożeniami i program antywirusowy Microsoft Defender.

   • Plik manifestu nie jest wymagany. Ochrona punktu końcowego w usłudze Microsoft Defender działa bez pliku manifestu.
   • Karta Opcje: Zachowaj wartości domyślne.
   • Karta Ograniczenia: Zachowaj wartości domyślne.

   

8. Wybierz Zapisz. Pakiet jest przekazywany do narzędzia Jamf Pro.

   

   Udostępnienie pakietu do wdrożenia może potrwać kilka minut.

   

9. Przejdź do strony Zasady .

   

10. Wybierz pozycję + Nowy, aby utworzyć nowe zasady.

    

11. W polu Ogólne w polu Nazwa wyświetlana użyj polecenia MDATP Onboarding Contoso 200329 v100.86.92 or later.

    

12. Wybierz pozycję Cykliczne zaewidencjonowanie.

    

13. Wybierz Zapisz.

14. Wybierz pozycję Skonfiguruj pakiety>.

    

15. Wybierz przycisk Dodaj obok pozycji Microsoft Defender Advanced Threat Protection i Microsoft Defender Antivirus.

    

16. Wybierz Zapisz.

    

17. Twórca grupę inteligentną dla maszyn z profilami Microsoft Defender.

    Aby uzyskać lepsze środowisko użytkownika, profile konfiguracji na zarejestrowanych maszynach muszą zostać zainstalowane przed Microsoft Defender pakietu. W większości przypadków narzędzie JAMF Pro natychmiast wypycha profile konfiguracji, a te zasady są wykonywane po pewnym czasie (czyli podczas ewidencjonowania). Jednak w niektórych przypadkach wdrażanie profilów konfiguracji można wdrożyć ze znacznym opóźnieniem (oznacza to, że jeśli maszyna użytkownika jest zablokowana).

    Narzędzie JAMF Pro zapewnia prawidłową kolejność. Możesz utworzyć grupę inteligentną dla maszyn, które już otrzymały profil konfiguracji Microsoft Defender, i zainstalować pakiet Microsoft Defender tylko na tych maszynach (i zaraz po otrzymaniu tego profilu).

    Wykonaj następujące czynności:

    1. Twórca grupę inteligentną. W nowym oknie przeglądarki otwórz pozycję Komputery inteligentne Grupy.

    2. Wybierz pozycję Nowy i nadaj grupie nazwę.

    3. Na karcie Kryteria wybierz pozycję Dodaj, a następnie wybierz pozycję Pokaż kryteria zaawansowane.

    4. Wybierz pozycję Nazwa profilu jako kryterium i użyj nazwy wcześniej utworzonego profilu konfiguracji jako wartości:

       

    5. Wybierz Zapisz.

    6. Wstecz do okna, w którym skonfigurowano zasady pakietu.

18. Wybierz kartę Zakres .

    

19. Wybierz komputery docelowe.

    

    W obszarze Zakres wybierz pozycję Dodaj.

    

    Przejdź do karty Komputer Grupy. Znajdź utworzoną grupę inteligentną, a następnie wybierz pozycję Dodaj.

    

    Jeśli chcesz, aby użytkownicy dobrowolnie (lub na żądanie) zainstalować usługę Defender for Endpoint, wybierz pozycję Samoobsługi.

    

20. Wybierz pozycję Gotowe.

    

    

Zakres profilu konfiguracji

Narzędzie JAMF wymaga zdefiniowania zestawu maszyn dla profilu konfiguracji. Musisz upewnić się, że wszystkie maszyny otrzymujące pakiet usługi Defender otrzymują również wszystkie profile konfiguracji wymienione powyżej.

Ostrzeżenie

Narzędzie JAMF obsługuje Grupy inteligentnego komputera, które umożliwiają wdrażanie, takich jak profile konfiguracji lub zasady na wszystkich maszynach spełniających określone kryteria oceniane dynamicznie. Jest to zaawansowana koncepcja, która jest szeroko używana do dystrybucji profilów konfiguracji.

Należy jednak pamiętać, że kryteria te nie powinny obejmować obecności usługi Defender na maszynie. Użycie tego kryterium może wydawać się logiczne, ale powoduje problemy trudne do zdiagnozowania.

Usługa Defender korzysta ze wszystkich tych profilów w momencie instalacji. Tworzenie profilów konfiguracji w zależności od obecności usługi Defender skutecznie opóźnia wdrażanie profilów konfiguracji i powoduje początkową złą kondycję produktu i/lub monity o ręczne zatwierdzenie niektórych uprawnień aplikacji, które w przeciwnym razie są automatycznie zatwierdzane przez profile.

Wdrożenie zasad z pakietem Microsoft Defender po wdrożeniu profilów konfiguracji zapewnia najlepsze środowisko użytkownika końcowego, ponieważ wszystkie wymagane konfiguracje zostaną zastosowane przed zainstalowaniem pakietu.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.