Развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune

Статья
04/27/2024

Область применения:

В этой статье описывается развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием необходимых компонентов и системных требований для текущей версии программного обеспечения на странице main Microsoft Defender для конечной точки на macOS.

Обзор

В следующей таблице приведены шаги, необходимые для развертывания Microsoft Defender для конечной точки на компьютерах Mac и управления ими с помощью Microsoft Intune. Более подробные инструкции см. в следующей таблице.

Шаг	Имя примера файла	Идентификатор пакета
Утверждение расширения системы	`sysext.mobileconfig`	Н/Д
Политика расширения сети	`netfilter.mobileconfig`	Н/Д
Полный доступ к диску	`fulldisk.mobileconfig`	`com.microsoft.wdav.epsext`
параметры конфигурации Microsoft Defender для конечной точки Если вы планируете запустить антивирусную программу сторонних разработчиков на Mac, задайте для `true`значение `passiveMode` .	`MDE_MDAV_and_exclusion_settings_Preferences.xml`	`com.microsoft.wdav`
Фоновые службы	`background_services.mobileconfig`	Недоступно
Настройка уведомлений Microsoft Defender для конечной точки	`notif.mobileconfig`	`com.microsoft.wdav.tray`
Параметры специальных возможностей	`accessibility.mobileconfig`	`com.microsoft.dlp.daemon`
Bluetooth	`bluetooth.mobileconfig`	`com.microsoft.dlp.agent`
Настройка автоматического обновления (Майкрософт)	`com.microsoft.autoupdate2.mobileconfig`	`com.microsoft.autoupdate2`
Управление устройствами	`DeviceControl.mobileconfig`	Н/Д
Защита от потери данных	`DataLossPrevention.mobileconfig`	Н/Д
Скачивание пакета подключения	`WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml`	`com.microsoft.wdav.atp`
Развертывание Microsoft Defender для конечной точки в приложении macOS	`Wdav.pkg`	Недоступно

Create профили конфигурации системы

Далее необходимо создать профили конфигурации системы, которые Microsoft Defender для конечной точки. В Центре администрирования Microsoft Intune откройтепрофили конфигурацииустройств>.

Шаг 1. Утверждение расширений системы

В центре администрирования Intune перейдите в раздел Устройства и в разделе Управление устройствами выберите Конфигурация.
В разделе Профили конфигурации выберите Create Профиль.

Этот профиль необходим для Big Sur (11) или более поздней версии. Он игнорируется в более старых версиях macOS, так как они используют расширение ядра.
На вкладке Политики выберите Create>Новая политика.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Расширения, а затем Create.
На вкладке Основные сведенияназовите профиль. Например, SysExt-prod-macOS-Default-MDE. Затем выберите Далее.
Нажмите кнопку Далее.
На вкладке Параметры конфигурации разверните узел Расширения системы и добавьте следующие записи в раздел Разрешенные системные расширения :

Идентификатор пакета Идентификатор команды

com.microsoft.wdav.epsext UBF8T346G9

com.microsoft.wdav.netext UBF8T346G9

Нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или выберите параметры Добавить всех пользователей и Добавить все устройства . Нажмите кнопку Далее.
Просмотрите профиль конфигурации. Нажмите Создать.

Идентификатор пакета	Идентификатор команды
`com.microsoft.wdav.epsext`	`UBF8T346G9`
`com.microsoft.wdav.netext`	`UBF8T346G9`

Шаг 2. Фильтр сети

В рамках возможностей обнаружения конечных точек и реагирования Microsoft Defender для конечной точки в macOS проверяет трафик сокета и передает эти сведения на портал Microsoft 365 Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.

Скачайте netfilter.mobileconfig из репозитория GitHub.

Чтобы настроить сетевой фильтр, выполните следующие действия:

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, NetFilter-prod-macOS-Default-MDE. Затем выберите Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, NetFilter-prod-macOS-Default-MDE.
Выберите канал развертывания и нажмите кнопку Далее.
Нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 3. Полный доступ к диску

Примечание.

Начиная с macOS Catalina (10.15) или более поздней версии, чтобы обеспечить конфиденциальность для конечных пользователей, она создала FDA (полный доступ к диску). Включение TCC (управление прозрачностью, согласием &) с помощью решения для мобильных Управление устройствами, такого как Intune, устраняет риск того, что Defender для конечной точки потеря авторизации полного доступа к диску будет работать должным образом.

Этот профиль конфигурации предоставляет полный доступ к диску Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте fulldisk.mobileconfig из репозитория GitHub.

Чтобы настроить полный доступ к диску, выполните следующие действия.

В Центре администрирования Intune в разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский. Затем выберите Create
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, Background_Services-prod-macOS-Default-MDE.
Нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, background_services.mobileconfig.
Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Примечание.

Полный доступ к диску, предоставленный через профиль конфигурации Apple MDM, не отражается в разделе Параметры системы => Конфиденциальность & Безопасность => Полный доступ к диску.

Шаг 4. Фоновые службы

Предостережение

MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме. Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Microsoft Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте background_services.mobileconfig из репозитория GitHub.

Чтобы настроить фоновые службы, выполните следующие действия.

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский, а затем Create.
На вкладке Основные сведенияназовите профиль. Например, BackgroundServices-prod-macOS-Default-MDE.
Нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, background_services.mobileconfig.
Выберите канал развертывания.
Нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 5. Уведомления

Этот профиль используется для Microsoft Defender для конечной точки в macOS и автоматического обновления Майкрософт для отображения уведомлений в пользовательском интерфейсе.

Скачайте notif.mobileconfig из репозитория GitHub.

Чтобы отключить уведомления для конечных пользователей, можно изменить параметр Show NotificationCenter с true на falseв notif.mobileconfig.

Снимок экрана: notif.mobileconfig с параметром ShowNotificationCenter с значением True.

Чтобы настроить уведомления, выполните следующие действия.

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, BackgroundServices-prod-macOS-Default-MDE.
Нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, Notif.mobileconfig.
Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 6. Параметры специальных возможностей

Этот профиль используется для предоставления Microsoft Defender для конечной точки в macOS доступа к параметрам специальных возможностей в Apple macOS High Sierra (10.13.6) и более поздней версии.

Скачайте accessibility.mobileconfig из репозитория GitHub.

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, Accessibility-prod-macOS-Default-MDE.
Нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, Accessibility.mobileconfig.
Выберите канал развертывания.
Нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 7. Разрешения Bluetooth

Предостережение

macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.

Скачайте bluetooth.mobileconfig из репозитория GitHub и используйте тот же рабочий процесс, что и для параметров специальных возможностей выше, чтобы включить доступ по Bluetooth.

Примечание.

Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.

Шаг 8. Автоматическое обновления (Майкрософт)

Этот профиль используется для обновления Microsoft Defender для конечной точки в macOS с помощью автоматического обновления Майкрософт (MAU). Если вы развертываете Microsoft Defender для конечной точки в macOS, вы можете получить обновленную версию приложения (обновление платформы), которые находятся в разных каналах, упомянутых здесь:

Бета-версия (insiders-Fast)
Текущий канал (предварительная версия, insiders-Slow)
Текущий канал (рабочая среда)

Дополнительные сведения см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в macOS.

Скачайте AutoUpdate2.mobileconfig из репозитория GitHub.

Примечание.

Пример AutoUpdate2.mobileconfig из репозитория GitHub имеет значение Current Channel (Production).

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, MDATP onboarding for MacOSи нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, com.microsoft.autoupdate2.mobileconfig.
Выберите канал развертывания.
Нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 9. Microsoft Defender для конечной точки параметров конфигурации

На этом шаге мы рассмотрим параметры, которые позволяют настроить политики защиты от вредоносных программ и EDR с помощью портала Microsoft Defender и Microsoft Intune.

Настройка политик с помощью портала Microsoft Defender

Прежде чем задавать политики безопасности с помощью Microsoft Defender, перейдите к разделу Настройка Microsoft Defender для конечной точки в Intune.

На портале Microsoft Defender:

Перейдите в раздел Настройка управления политиками>>безопасности конечных точекПолитики> Mac Create новая политика.
В разделе Выбор платформы выберите macOS.
В разделе Выбор шаблона выберите шаблон и выберите Create Политика.
Введите имя и описание политики.
Нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

Дополнительные сведения об управлении параметрами безопасности см. в разделе:

Настройка политик с помощью Microsoft Intune

Вы можете управлять параметрами безопасности для Microsoft Defender для конечной точки в macOS в разделе Параметры в Microsoft Intune.

Дополнительные сведения см. в разделе Настройка параметров для Microsoft Defender для конечной точки на Mac.

Шаг 10. Защита сети для Microsoft Defender для конечной точки в macOS

На портале Microsoft Defender:

Перейдите в раздел Настройка управления политиками>>безопасности конечных точекПолитики> Mac Create новая политика.
В разделе Выбор платформы выберите macOS.
В разделе Выбор шаблона выберите Microsoft Defender Антивирусная программа и политика Create.
На вкладке Основные сведения введите имя и описание политики. Нажмите кнопку Далее.
На вкладке Параметры конфигурации в разделе Защита сети выберите уровень принудительного применения. Нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите политику в разделе Просмотр и Create и нажмите кнопку Сохранить.

Совет

Вы также можете настроить защиту сети, добавив сведения из раздела Защита сети, чтобы предотвратить подключения macOS к неверным сайтам в mobileconig из шага 8.

Шаг 11. Управление устройствами для Microsoft Defender для конечной точки в macOS

Чтобы настроить управление устройствами для Microsoft Defender для конечной точки в macOS, выполните следующие действия:

Шаг 12. Защита от потери данных (DLP) для конечной точки

Чтобы настроить защиту от потери данных (DLP) Purview для конечной точки в macOS, выполните действия, описанные в разделе Подключение и отключение устройств macOS в решениях соответствия требованиям с помощью Microsoft Intune.

Шаг 13. Проверка состояния PList(.mobileconfig)

После завершения настройки профиля вы сможете просмотреть состояние политик.

Просмотр состояния

После того как изменения Intune будут распространены на зарегистрированные устройства, вы увидите их в разделе Мониторинг>состояния устройства:

Настройка клиентского устройства

Для устройства Mac достаточно стандартной установки Корпоративный портал.

Подтвердите управление устройствами.

Выберите Открыть системные параметры, найдите Профиль управления в списке и выберите Утвердить.... Ваш профиль управления будет отображаться как Проверенный:
Нажмите кнопку Продолжить и завершите регистрацию.

Теперь вы можете зарегистрировать больше устройств. Вы также можете зарегистрировать их позже, после завершения настройки системы подготовки и пакетов приложений.
В Intune откройте Управление устройствами>>все устройства. Здесь вы можете увидеть ваше устройство среди перечисленных:

Проверка состояния клиентского устройства

После развертывания профилей конфигурации на устройствах откройтепрофилисистемных параметров> на устройстве Mac.
Убедитесь, что следующие профили конфигурации присутствуют и установлены. Профиль управления должен быть Intune системным профилем. Wdav-config и wdav-kext — это профили конфигурации системы, которые были добавлены в Intune:
Вы также увидите значок Microsoft Defender для конечной точки в правом верхнем углу.

Шаг 14. Публикация приложения

Этот шаг позволяет развернуть Microsoft Defender для конечной точки на зарегистрированных компьютерах.

В Центре администрирования Microsoft Intune откройте Приложения.
Выберите По платформе>macOS>Добавить.
В разделе Тип приложения выберите macOS. Выберите Выбрать.
В разделе Сведения о приложении оставьте значения по умолчанию и нажмите кнопку Далее.
На вкладке Назначения нажмите Далее.
Проверка и Create. Вы можете перейти на страницу Приложения>по платформе>macOS , чтобы просмотреть его в списке всех приложений.

Дополнительные сведения см. в статье Добавление Microsoft Defender для конечной точки на устройства macOS с помощью Microsoft Intune.

Важно!

Для успешной настройки системы необходимо создать и развернуть профили конфигурации в указанном выше порядке (шаг 1–13).

Шаг 15. Скачивание пакета подключения

Чтобы скачать пакеты подключения с портала Microsoft 365 Defender, выполните следующие действия:

На портале Microsoft 365 Defender перейдите в раздел Параметры Конечные>>точкиПодключениеуправления устройствами>.
Задайте для операционной системы значение macOS, а метод развертывания — Mobile Управление устройствами или Microsoft Intune.
Выберите Скачать пакет подключения. Сохраните его как WindowsDefenderATPOnboardingPackage.zip в том же каталоге.
Извлеките содержимое файла .zip:

unzip WindowsDefenderATPOnboardingPackage.zip

Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
  inflating: intune/kext.xml
  inflating: intune/WindowsDefenderATPOnboarding.xml
  inflating: jamf/WindowsDefenderATPOnboarding.plist

Шаг 16. Развертывание пакета подключения

Этот профиль содержит сведения о лицензии для Microsoft Defender для конечной точки.

Чтобы развернуть пакет подключения, выполните следующие действия:

В разделе Профили конфигурации выберите Create Профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например, Autoupdate-prod-macOS-Default-MDE. Нажмите кнопку Далее.
На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, Autoupdate.mobileconfig.
Выберите канал развертывания.
Нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Откройтепрофили конфигурацииустройств>, чтобы просмотреть созданный профиль.

Шаг 17. Проверка обнаружения вредоносных программ

Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения вредоносных программ: Антивирусная проверка для проверки подключений устройств и служб отчетов

Шаг 18. Проверка обнаружения EDR

Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения EDR: Проверка обнаружения EDR для проверки подключения устройств и служб отчетов

Устранение неполадок

Проблема: лицензия не найдена.

Решение. Выполните действия, описанные в этой статье, чтобы создать профиль устройства с помощью WindowsDefenderATPOnboarding.xml.

Ведение журнала проблем с установкой

Сведения о том, как найти автоматически созданный журнал, созданный установщиком, при возникновении ошибки см. в разделе Проблемы с установкой журналов в журнале.

Сведения о процедурах устранения неполадок см. в следующих разделах:

Удаления

Дополнительные сведения об удалении Microsoft Defender для конечной точки в macOS с клиентских устройств см. в разделе Удаление.

Развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune

Предварительные требования и требования к системе

Обзор

Create профили конфигурации системы

Шаг 1. Утверждение расширений системы

Шаг 2. Фильтр сети

Шаг 3. Полный доступ к диску

Шаг 4. Фоновые службы

Шаг 5. Уведомления

Шаг 6. Параметры специальных возможностей

Шаг 7. Разрешения Bluetooth

Шаг 8. Автоматическое обновления (Майкрософт)

Шаг 9. Microsoft Defender для конечной точки параметров конфигурации

Настройка политик с помощью портала Microsoft Defender

Настройка политик с помощью Microsoft Intune

Шаг 10. Защита сети для Microsoft Defender для конечной точки в macOS

Шаг 11. Управление устройствами для Microsoft Defender для конечной точки в macOS

Шаг 12. Защита от потери данных (DLP) для конечной точки

Шаг 13. Проверка состояния PList(.mobileconfig)

Просмотр состояния

Настройка клиентского устройства

Проверка состояния клиентского устройства

Шаг 14. Публикация приложения

Шаг 15. Скачивание пакета подключения

Шаг 16. Развертывание пакета подключения

Шаг 17. Проверка обнаружения вредоносных программ

Шаг 18. Проверка обнаружения EDR

Устранение неполадок

Ведение журнала проблем с установкой

Удаления

Рекомендуемое содержимое

Обратная связь

Обратная связь

Дополнительные ресурсы