Distribution med ett annat MDM-system (Mobile Enhetshantering) för Microsoft Defender för Endpoint på macOS

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Microsoft Defender för Endpoint på macOS för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Strategi

Försiktighet

För närvarande stöder Microsoft officiellt endast Intune och JAMF för distribution och hantering av Microsoft Defender för Endpoint på macOS. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på informationen nedan.

Om din organisation använder en MDM-lösning (Mobile Enhetshantering) som inte stöds officiellt betyder det inte att du inte kan distribuera eller köra Microsoft Defender för Endpoint på macOS.

Microsoft Defender för Endpoint på macOS är inte beroende av några leverantörsspecifika funktioner. Den kan användas med valfri MDM-lösning som stöder följande funktioner:

• Distribuera en macOS-.pkg till hanterade enheter.
• Distribuera macOS-systemkonfigurationsprofiler till hanterade enheter.
• Kör ett godtyckligt administratörskonfigurerat verktyg/skript på hanterade enheter.

De flesta moderna MDM-lösningar innehåller dessa funktioner, men de kan kalla dem olika.

Du kan dock distribuera Defender för Endpoint utan det sista kravet från föregående lista:

• Du kommer inte att kunna samla in status på ett centraliserat sätt.
• Om du bestämmer dig för att avinstallera Defender för Endpoint måste du logga in på klientenheten lokalt som administratör.

Distribution

De flesta MDM-lösningar använder samma modell för att hantera macOS-enheter med liknande terminologi. Använd JAMF-baserad distribution som en mall.

Paket

Konfigurera distribution av ett obligatoriskt programpaket med installationspaketet (wdav.pkg) nedladdat från Microsoft Defender-portalen.

Varning

Det går inte att paketera om installationspaketet för Defender för Endpoint. Detta kan påverka produktens integritet negativt och leda till negativa resultat, inklusive men inte begränsat till att utlösa manipuleringsaviseringar och uppdateringar som inte kan tillämpas.

Om du vill distribuera paketet till ditt företag använder du de instruktioner som är associerade med din MDM-lösning.

Licensinställningar

Konfigurera en systemkonfigurationsprofil.

Din MDM-lösning kan kalla den något i stil med "Anpassad inställningsprofil", eftersom Microsoft Defender för Endpoint på macOS inte ingår i macOS.

Använd egenskapslistan jamf/WindowsDefenderATPOnboarding.plist, som kan extraheras från ett registreringspaket som laddats ned från Microsoft Defender portalen. Systemet kan ha stöd för en godtycklig egenskapslista i XML-format. Du kan ladda upp filen jamf/WindowsDefenderATPOnboarding.plist i så fall. Du kan också kräva att du konverterar egenskapslistan till ett annat format först.

Vanligtvis har din anpassade profil ett ID, namn eller domänattribut. Du måste använda exakt "com.microsoft.wdav.atp" för det här värdet. MDM använder den för att distribuera inställningsfilen till /Library/Managed Preferences/com.microsoft.wdav.atp.plist på en klientenhet, och Defender för Endpoint använder den här filen för att läsa in registreringsinformationen.

Systemkonfigurationsprofiler

macOS kräver att en användare manuellt och uttryckligen godkänner vissa funktioner som ett program använder, till exempel systemtillägg, körs i bakgrunden, skickar meddelanden, fullständig diskåtkomst osv. Microsoft Defender för Endpoint förlitar sig på dessa funktioner och kan inte fungera korrekt förrän alla dessa medgivanden har tagits emot från en användare.

För att bevilja medgivande automatiskt för en användares räkning skickar en administratör systemprinciper via sitt MDM-system. Det här är vad vi starkt rekommenderar att du gör, i stället för att förlita oss på manuella godkännanden från slutanvändare.

Vi tillhandahåller alla principer som Microsoft Defender för Endpoint kräver som mobileconfig-filer som är tillgängliga på https://github.com/microsoft/mdatp-xplat. Mobileconfig är ett Apples import-/exportformat som Apple Configurator eller andra produkter som iMazing Profile Editor support.

De flesta MDM-leverantörer stöder import av en mobileconfig-fil som skapar en ny anpassad konfigurationsprofil.

Så här konfigurerar du profiler:

1. Ta reda på hur en mobileconfig-import görs med din MDM-leverantör.
2. För alla profiler från https://github.com/microsoft/mdatp-xplatladdar du ned en mobileconfig-fil och importerar den.
3. Tilldela rätt omfång för varje skapad konfigurationsprofil.

Observera att Apple regelbundet skapar nya typer av nyttolaster med nya versioner av ett operativsystem. Du måste gå till ovanstående sida och publicera nya profiler när de blev tillgängliga. Vi publicerar meddelanden på sidan Nyheter när vi har gjort ändringar på det viset .

Konfigurationsinställningar för Defender för Endpoint

Om du vill distribuera Microsoft Defender för Endpoint konfiguration behöver du en konfigurationsprofil.

Följande steg visar hur du tillämpar och verifierar tillämpningen av en konfigurationsprofil.

1. MDM distribuerar konfigurationsprofilen till registrerade datorer Du kan visa profiler i Profiler för systeminställningar > . Leta efter namnet som du använde för Microsoft Defender för Endpoint profil för konfigurationsinställningar. Om du inte ser den kan du läsa mer i MDM-dokumentationen för felsökningstips.

2. Konfigurationsprofilen visas i rätt fil

Microsoft Defender för Endpoint läsningar /Library/Managed Preferences/com.microsoft.wdav.plist och /Library/Managed Preferences/com.microsoft.wdav.ext.plist filer. Den använder bara dessa två filer för hanterade inställningar.

Om du inte kan se dessa filer, men du har verifierat att profilerna levererades (se föregående avsnitt), innebär det att dina profiler är felkonfigurerade. Antingen gjorde du den här konfigurationsprofilen till "Användarnivå" i stället för "Datornivå", eller så använde du en annan inställningsdomän i stället för de som Microsoft Defender för Endpoint förväntar sig ("com.microsoft.wdav" och "com.microsoft.wdav.ext").

Mer information om hur du konfigurerar programkonfigurationsprofiler finns i MDM-dokumentationen.

3. Konfigurationsprofilen innehåller den förväntade strukturen

Det här steget kan vara svårt att verifiera. Microsoft Defender för Endpoint förväntar sig com.microsoft.wdav.plist med en strikt struktur. Om du placerar inställningarna på en oväntad plats eller felstavar dem eller använder en ogiltig typ ignoreras inställningarna tyst.

1. Du kan kontrollera mdatp health och bekräfta att de inställningar som du har konfigurerat rapporteras som [managed].
2. Du kan granska innehållet /Library/Managed Preferences/com.microsoft.wdav.plist i och se till att det matchar de förväntade inställningarna:

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Du kan använda den dokumenterade konfigurationsprofilstrukturen som riktlinje.

Den här artikeln förklarar att "antivirusEngine", "edr", "manipulationProtection" är inställningar på den översta nivån i konfigurationsfilen. Och till exempel är "scanHistoryMaximumItems" på den andra nivån och är av heltalstyp.

Du bör se den här informationen i utdata från föregående kommando. Om du får reda på att "antivirusEngine" är kapslad under någon annan inställning är profilen felkonfigurerad. Om du kan se "antivirusengine" i stället för "antivirusEngine" är namnet felstavat och hela underträdet av inställningarna ignoreras. Om "scanHistoryMaximumItems" => "10000"används fel typ och inställningen ignoreras.

Kontrollera att alla profiler har distribuerats

Du kan ladda ned och köra analyze_profiles.py. Det här skriptet samlar in och analyserar alla profiler som distribuerats till en dator och varnar dig om missade profiler. Observera att den kan missa vissa fel och är inte medveten om några designbeslut som systemadministratörer fattar avsiktligt. Använd det här skriptet för vägledning, men undersök alltid om du ser något markerat som ett fel. Registreringsguiden instruerar dig till exempel att distribuera en konfigurationsprofil för registrering av blob. Ändå bestämmer sig vissa organisationer för att köra det manuella registreringsskriptet i stället. analyze_profile.py varnar dig om den missade profilen. Du kan antingen välja att registrera via konfigurationsprofilen eller ignorera varningen helt och hållet.

Kontrollera installationsstatus

Kör Microsoft Defender för Endpoint på en klientenhet för att kontrollera registreringsstatusen.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.