Развертывание с помощью другой системы mobile Управление устройствами (MDM) для Microsoft Defender для конечной точки в macOS

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием необходимых компонентов и системных требований для текущей версии программного обеспечения на странице main Microsoft Defender для конечной точки на macOS.

Способ

Предостережение

В настоящее время корпорация Майкрософт официально поддерживает только Intune и JAMF для развертывания Microsoft Defender для конечной точки и управления ими в macOS. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении информации, приведенной ниже.

Если ваша организация использует решение mobile Управление устройствами (MDM), которое официально не поддерживается, это не означает, что вы не можете развернуть или запустить Microsoft Defender для конечной точки в macOS.

Microsoft Defender для конечной точки в macOS не зависит от каких-либо функций, относящихся к поставщику. Его можно использовать с любым решением MDM, которое поддерживает следующие функции:

  • Развертывание .pkg macOS на управляемых устройствах.
  • Развертывание профилей конфигурации системы macOS на управляемых устройствах.
  • Запустите произвольно настроенное администратором средство или скрипт на управляемых устройствах.

Большинство современных решений MDM включают эти функции, однако они могут называть их по-разному.

Однако вы можете развернуть Defender для конечной точки без последнего требования из предыдущего списка:

  • Вы не сможете централизованно собирать состояние.
  • Если вы решили удалить Defender для конечной точки, необходимо войти на клиентское устройство локально с правами администратора.

Развертывание

Большинство решений MDM используют ту же модель для управления устройствами macOS с аналогичной терминологией. Используйте развертывание на основе JAMF в качестве шаблона.

Пакет

Настройте развертывание необходимого пакета приложения с пакетом установки (wdav.pkg), скачанным с Microsoft Defender портала.

Предупреждение

Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

Чтобы развернуть пакет на предприятии, используйте инструкции, связанные с решением MDM.

Параметры лицензии

Настройка профиля конфигурации системы.

Решение MDM может называть его как "Настраиваемый профиль параметров", так как Microsoft Defender для конечной точки в macOS не является частью macOS.

Используйте список свойств jamf/WindowsDefenderATPOnboarding.plist, который можно извлечь из пакета подключения, загруженного с Microsoft Defender портала. Система может поддерживать произвольный список свойств в формате XML. В этом случае можно отправить файл jamf/WindowsDefenderATPOnboarding.plist как есть. Кроме того, сначала может потребоваться преобразовать список свойств в другой формат.

Как правило, настраиваемый профиль имеет идентификатор, имя или атрибут домена. Для этого значения необходимо использовать именно "com.microsoft.wdav.atp". MDM использует его для развертывания файла параметров в /Library/Managed Preferences/com.microsoft.wdav.atp.plist на клиентском устройстве, а Defender для конечной точки использует этот файл для загрузки сведений о подключении.

Профили конфигурации системы

MacOS требует, чтобы пользователь вручную и явным образом утверждал определенные функции, используемые приложением, например расширения системы, выполняющиеся в фоновом режиме, отправляя уведомления, полный доступ к диску и т. д. Microsoft Defender для конечной точки полагается на эти функции и не может правильно работать, пока пользователь не получит все эти согласия.

Чтобы предоставить согласие автоматически от имени пользователя, администратор отправляет системные политики через систему MDM. Это то, что мы настоятельно рекомендуем делать, а не полагаться на утверждения пользователей вручную.

Мы поставляем все политики, которые Microsoft Defender для конечной точки требуются в виде файлов mobileconfig, доступных по адресу https://github.com/microsoft/mdatp-xplat. Mobileconfig — это формат импорта и экспорта Apple, который apple Configurator или другие продукты, такие как iMazing Profile, Редактор поддерживать.

Большинство поставщиков MDM поддерживают импорт файла mobileconfig, который создает новый настраиваемый профиль конфигурации.

Чтобы настроить профили, выполните следующие действия:

  1. Узнайте, как выполняется импорт mobileconfig с поставщиком MDM.
  2. Для всех профилей из https://github.com/microsoft/mdatp-xplatскачайте файл mobileconfig и импортируйте его.
  3. Назначьте правильные область для каждого созданного профиля конфигурации.

Обратите внимание, что Apple регулярно создает новые типы полезных данных с новыми версиями ОС. Вам потребуется посетить указанную выше страницу и опубликовать новые профили, как только они становятся доступными. Мы публикуем уведомления на странице "Новые возможности" после внесения таких изменений.

Параметры конфигурации Defender для конечной точки

Для развертывания Microsoft Defender для конечной точки конфигурации требуется профиль конфигурации.

Ниже показано, как применить и проверить применение профиля конфигурации.

1. MDM развертывает профиль конфигурации на зарегистрированных компьютерах . Профили можно просмотреть в разделе Профили параметров > системы. Найдите имя, используемое для Microsoft Defender для конечной точки профиля параметров конфигурации. Если вы не видите его, ознакомьтесь с документацией по MDM, чтобы получить советы по устранению неполадок.

2. Профиль конфигурации отображается в правильном файле

Microsoft Defender для конечной точки чтение /Library/Managed Preferences/com.microsoft.wdav.plist и /Library/Managed Preferences/com.microsoft.wdav.ext.plist файлы. Он использует только эти два файла для управляемых параметров.

Если вы не видите эти файлы, но убедились, что профили были доставлены (см. предыдущий раздел), это означает, что ваши профили настроены неправильно. Либо вы сделали этот профиль конфигурации "Уровень пользователя" вместо "Уровень компьютера", либо использовали другой домен предпочтения вместо тех, которые Microsoft Defender для конечной точки ожидается ("com.microsoft.wdav" и "com.microsoft.wdav.ext").

Сведения о настройке профилей конфигурации приложений см. в документации по MDM.

3. Профиль конфигурации содержит ожидаемую структуру.

Этот шаг может быть сложно проверить. Microsoft Defender для конечной точки ожидается, что com.microsoft.wdav.plist имеет строгую структуру. Если вы помещаете параметры в непредвиденное место, неправильно их вводите или используете недопустимый тип, параметры автоматически игнорируются.

  1. Вы можете проверка mdatp health и подтвердить, что настроенные параметры отображаются как [managed].
  2. Вы можете проверить содержимое /Library/Managed Preferences/com.microsoft.wdav.plist и убедиться, что оно соответствует ожидаемым параметрам:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

В качестве руководства можно использовать документированную структуру профиля конфигурации .

В этой статье объясняется, что "antivirusEngine", "edr", "tamperProtection" являются параметрами на верхнем уровне файла конфигурации. Например, scanHistoryMaximumItems находятся на втором уровне и имеют целочисленный тип.

Эти сведения должны отображаться в выходных данных предыдущей команды. Если вы обнаружили, что "antivirusEngine" вложен под каким-либо другим параметром , то профиль будет настроен неправильно. Если вы видите "antivirusengine" вместо "antivirusEngine", имя будет неправильно написано, а все поддереве параметров игнорируется. Если "scanHistoryMaximumItems" => "10000"задано значение , используется неправильный тип и параметр будет игнорироваться.

Проверка развертывания всех профилей

Вы можете скачать и запустить analyze_profiles.py. Этот скрипт будет собирать и анализировать все профили, развернутые на компьютере, и предупреждать о пропущенных профилях. Обратите внимание, что он может пропустить некоторые ошибки и не знает о некоторых конструктивных решениях, которые системные администраторы делают намеренно. Используйте этот скрипт для получения рекомендаций, но всегда проверяйте, видите ли что-то, помеченное как ошибка. Например, в руководстве по подключению показано, как развернуть профиль конфигурации для подключения большого двоичного объекта. Тем не менее, некоторые организации решили запустить сценарий подключения вручную. analyze_profile.py предупреждает о пропущенных профилях. Вы можете либо подключиться с помощью профиля конфигурации, либо полностью игнорировать предупреждение.

Проверка состояния установки

Запустите Microsoft Defender для конечной точки на клиентском устройстве, чтобы проверка состояние подключения.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.