Dela via

Distribuera Microsoft Defender för Endpoint på macOS med Microsoft Intune

  • Artikel

Gäller för:

Den här artikeln beskriver hur du distribuerar Microsoft Defender för Endpoint på macOS via Microsoft Intune.

Krav och systemkrav

Innan du börjar kan du se huvudsidan för Microsoft Defender för Endpoint på macOS för en beskrivning av krav och systemkrav för den aktuella programvaruversionen.

Översikt

I följande tabell sammanfattas stegen för att distribuera och hantera Microsoft Defender för Endpoint på Mac-datorer via Microsoft Intune. Mer detaljerade steg finns i följande tabell:

Steg Exempelfilnamn Paketidentifierare
Godkänn systemtillägg sysext.mobileconfig EJ TILLÄMPLIGT
Princip för nätverkstillägg netfilter.mobileconfig EJ TILLÄMPLIGT
Fullständig diskåtkomst fulldisk.mobileconfig com.microsoft.wdav.epsext
Microsoft Defender för Endpoint konfigurationsinställningar

Om du planerar att köra antivirusprogram som inte kommer från Microsoft på Mac anger du passiveMode till true.		 MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Bakgrundstjänster background_services.mobileconfig EJ TILLÄMPLIGT
Konfigurera Microsoft Defender för Endpoint meddelanden notif.mobileconfig com.microsoft.wdav.tray
Hjälpmedelsinställningar accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Konfigurera Microsoft AutoUpdate (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Enhetskontroll DeviceControl.mobileconfig EJ TILLÄMPLIGT
Dataförlustskydd DataLossPrevention.mobileconfig EJ TILLÄMPLIGT
Ladda ned onboarding-paketet WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Distribuera Microsoft Defender för Endpoint i macOS-programmet Wdav.pkg EJ TILLÄMPLIGT

Skapa systemkonfigurationsprofiler

Nästa steg är att skapa systemkonfigurationsprofiler som Microsoft Defender för Endpoint behöver. I Microsoft Intune administrationscenter öppnar du Enhetskonfigurationsprofiler>.

Steg 1: Godkänn systemtillägg

  1. I Intune administrationscenter går du till Enheter och under Hantera enheter väljer du Konfiguration.

  2. Under Konfigurationsprofiler väljer du Skapa profil.

  3. På fliken Principer väljer du Skapa>ny princip.

  4. Under Plattform väljer du macOS.

  5. Under Profiltyp väljer du Inställningskatalog.

  6. Välj Skapa.

  7. På fliken Grunder namngerdu profilen och anger en Beskrivning. Välj sedan Nästa.

  8. fliken Konfigurationsinställningar väljer du + Lägg till inställningar.

  9. Under Mallnamn väljer du Tillägg.

  10. I inställningsväljaren expanderar du kategorin Systemkonfiguration och väljer sedan Systemtillägg Tillåtna>systemtillägg:

    Skärmbild som visar inställningsväljaren

  11. Stäng inställningsväljaren och välj sedan + Redigera instans.

  12. Konfigurera följande poster i avsnittet Tillåtna systemtillägg och välj sedan Nästa.

    Tillåtna systemtillägg Teamidentifierare
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Skärmbild som visar tillåtna systemtillägg

  13. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna eller användarna finns.

  14. Granska konfigurationsprofilen. Välj Skapa.

Steg 2: Nätverksfilter

Som en del av funktionerna Slutpunktsidentifiering och svar inspekterar Microsoft Defender för Endpoint på macOS sockettrafik och rapporterar den här informationen till Microsoft 365 Defender-portalen. Följande princip gör att nätverkstillägget kan utföra den här funktionen.

Ladda ned netfilter.mobileconfig från GitHub-lagringsplatsen.

Viktigt

Endast en .mobileconfig (plist) för nätverksfilter stöds. Att lägga till flera nätverksfilter leder till problem med nätverksanslutningen på Mac. Det här problemet är inte specifikt för Defender för Endpoint på macOS.

Så här konfigurerar du nätverksfiltret:

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

  6. På fliken Grunder namngerdu profilen. Till exempel NetFilter-prod-macOS-Default-MDE. Välj sedan Nästa.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel NetFilter-prod-macOS-Default-MDE.

  8. Välj en distributionskanal och välj Nästa.

  9. Välj en konfigurationsprofilfil och välj sedan Nästa.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  11. Granska konfigurationsprofilen. Välj Skapa.

Steg 3: Fullständig diskåtkomst

Obs!

Från och med macOS Catalina (10.15) eller senare, för att tillhandahålla sekretess för slutanvändarna, skapade den FDA (Full Disk Access). Om du aktiverar TCC (transparens, medgivande & kontroll) via en mobile Enhetshantering lösning, till exempel Intune, elimineras risken för att Defender för Endpoint förlorar fullständig åtkomstbehörighet för disk för att fungera korrekt.

Den här konfigurationsprofilen ger fullständig diskåtkomst till Microsoft Defender för Endpoint. Om du tidigare har konfigurerat Microsoft Defender för Endpoint via Intune rekommenderar vi att du uppdaterar distributionen med den här konfigurationsprofilen.

Ladda ned fulldisk.mobileconfig från GitHub-lagringsplatsen.

Så här konfigurerar du fullständig diskåtkomst:

  1. I Intune administrationscenter går du till Konfigurationsprofiler och väljer Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad och sedan Skapa.

  5. På fliken Grunder namngerdu profilen. Till exempel FullDiskAccess-prod-macOS-Default-MDE. Välj sedan Nästa.

  6. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel FullDiskAccess-prod-macOS-Default-MDE.

  7. Välj en distributionskanal och välj sedan Nästa.

  8. Välj en konfigurationsprofilfil.

  9. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  10. Granska konfigurationsprofilen. Välj Skapa.

Obs!

Fullständig diskåtkomst som beviljas via Apple MDM-konfigurationsprofilen återspeglas inte i Sekretess för systeminställningar > & Fullständig diskåtkomst för säkerhet>.

Steg 4: Bakgrundstjänster

Försiktighet

macOS 13 (Ventura) innehåller nya sekretessförbättringar. Från och med den här versionen kan program som standard inte köras i bakgrunden utan uttryckligt medgivande. Microsoft Defender för Endpoint måste köra sin daemonprocess i bakgrunden. Den här konfigurationsprofilen ger bakgrundstjänsten behörighet att Microsoft Defender för Endpoint. Om du tidigare har konfigurerat Microsoft Defender för Endpoint via Microsoft Intune rekommenderar vi att du uppdaterar distributionen med den här konfigurationsprofilen.

Ladda ned background_services.mobileconfig från GitHub-lagringsplatsen.

Så här konfigurerar du bakgrundstjänster:

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

  6. På fliken Grunder namngerdu profilen. Till exempel BackgroundServices-prod-macOS-Default-MDE. Välj sedan Nästa.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel backgroundServices-prod-macOS-Default-MDE.

  8. Välj en distributionskanal och välj Nästa.

  9. Välj en konfigurationsprofilfil.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  11. Granska konfigurationsprofilen. Välj Skapa.

Steg 5: Meddelanden

Den här profilen används för att tillåta att Microsoft Defender för Endpoint på macOS och Microsoft AutoUpdate visar meddelanden i användargränssnittet.

Ladda ned notif.mobileconfig från GitHub-lagringsplatsen.

Om du vill inaktivera meddelanden för slutanvändarna kan du ändra Visa NotificationCenter från true till false i notif.mobileconfig.

Skärmbild som visar notif.mobileconfig med ShowNotificationCenter inställt på Sant.

Så här konfigurerar du meddelanden:

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

  6. På fliken Grunder namngerdu profilen. Till exempel Notify-prod-macOS-Default-MDE. Välj sedan Nästa.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel Notif.mobileconfig.

  8. Välj en distributionskanal och välj sedan Nästa.

  9. Välj en konfigurationsprofilfil.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  11. Granska konfigurationsprofilen. Välj Skapa.

Steg 6: Hjälpmedelsinställningar

Den här profilen används för att ge Microsoft Defender för Endpoint på macOS åtkomst till hjälpmedelsinställningarna på Apple macOS High Sierra (10.13.6) och senare.

Ladda ned accessibility.mobileconfig från GitHub-lagringsplatsen.

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

  6. På fliken Grunder namngerdu profilen. Till exempel Accessibility-prod-macOS-Default-MDE. Välj sedan Nästa.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel Accessibility.mobileconfig.

  8. Välj en distributionskanal och välj Nästa.

  9. Välj en konfigurationsprofilfil.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  11. Granska konfigurationsprofilen. Välj Skapa.

Steg 7: Bluetooth-behörigheter

Försiktighet

macOS 14 (Sonoma) innehåller nya sekretessförbättringar. Från och med den här versionen kan program som standard inte komma åt Bluetooth utan uttryckligt medgivande. Microsoft Defender för Endpoint använder den om du konfigurerar Bluetooth-principer för enhetskontroll.

Ladda ned bluetooth.mobileconfig från GitHub-lagringsplatsen och använd samma arbetsflöde som i Steg 6: Hjälpmedelsinställningar för att aktivera Bluetooth-åtkomst.

Obs!

Bluetooth som beviljas via Apple MDM-konfigurationsprofilen återspeglas inte i Systeminställningar => Sekretess & Säkerhet => Bluetooth.

Steg 8: Microsoft AutoUpdate

Den här profilen används för att uppdatera Microsoft Defender för Endpoint på macOS via Microsoft AutoUpdate (MAU). Om du distribuerar Microsoft Defender för Endpoint på macOS har du alternativ för att hämta en uppdaterad version av programmet (plattformsuppdatering) som finns i de olika kanalerna som nämns här:

  • Beta (Insiders-Fast)
  • Aktuell kanal (förhandsversion, insiders-långsam)
  • Aktuell kanal (produktion)

Mer information finns i Distribuera uppdateringar för Microsoft Defender för Endpoint på macOS.

Ladda ned com.microsoft.autoupdate2.mobileconfig från GitHub-lagringsplatsen.

Obs!

com.microsoft.autoupdate2.mobileconfig Exemplet från GitHub-lagringsplatsen har angetts till Aktuell kanal (produktion).

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

  6. På fliken Grunder namngerdu profilen. Till exempel Autoupdate-prod-macOS-Default-MDE. Välj sedan Nästa.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel com.microsoft.autoupdate2.mobileconfig.

  8. Välj en distributionskanal och välj Nästa.

  9. Välj en konfigurationsprofilfil.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

  11. Granska konfigurationsprofilen. Välj Skapa.

Steg 9: Microsoft Defender för Endpoint konfigurationsinställningar

I det här steget går vi igenom Inställningar som gör att du kan konfigurera principer för skydd mot skadlig kod och EDR med hjälp av Microsoft Intune (https://intune.microsoft.com).

9a. Ange principer med hjälp av Microsoft Defender-portalen

Ange principer med hjälp av Microsoft Defender-portalen genom att implementera följande instruktioner eller med hjälp av Microsoft Intune:

  1. Gå igenom Konfigurera Microsoft Defender för Endpoint i Intune innan du ställer in säkerhetsprinciperna med hjälp av Microsoft Defender för Endpoint Hantering av säkerhetsinställningar.

  2. I Microsoft Defender-portalen går du till Konfigurationshantering>Slutpunktssäkerhetsprinciper>Mac-principer>Skapa ny princip.

  3. Under Välj plattform väljer du macOS.

  4. Under Välj mall väljer du en mall och sedan Skapa princip.

  5. Ange ett namn och en beskrivning för principen och välj sedan Nästa.

  6. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

Mer information om hur du hanterar säkerhetsinställningar finns i:

Ange principer med hjälp av Microsoft Intune

Du kan hantera säkerhetsinställningarna för Microsoft Defender för Endpoint på macOS under Inställningsinställningar i Microsoft Intune.

Mer information finns i Ange inställningar för Microsoft Defender för Endpoint på Mac.

Steg 10: Nätverksskydd för Microsoft Defender för Endpoint på macOS

I Microsoft Defender-portalen:

  1. Gå till Konfigurationshantering>Slutpunktssäkerhetsprinciper>Mac-principer>Skapa ny princip.

  2. Under Välj plattform väljer du macOS.

  3. Under Välj mall väljer du Microsoft Defender Antivirus och väljer Skapa princip.

    Skärmbild som visar sidan där du skapar en princip.

  4. På fliken Grundläggande anger du principens namn och beskrivning . Välj Nästa.

    Skärmbild som visar fliken Grundläggande inställningar.

  5. På fliken Konfigurationsinställningar går du till Nätverksskydd och väljer en tvingande nivå. Välj Nästa.

    Skärmbild som visar sidan Skapa en ny princip.

  6. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

    Skärmbild som visar sidan där du konfigurerar inställningarna för alternativet Tilldelningar.

  7. Granska principen i Granska+skapa och välj Spara.

Tips

Du kan också konfigurera nätverksskydd genom att lägga till informationen från Nätverksskydd för att förhindra macOS-anslutningar till felaktiga platser till .mobileconfig från steg 8.

Steg 11: Enhetskontroll för Microsoft Defender för Endpoint på macOS

Följ stegen i om du vill ange Enhetskontroll för Microsoft Defender för Endpoint på macOS:

Steg 12: Dataförlustskydd (DLP) för slutpunkt

Om du vill ange Purviews dataförlustskydd (DLP) för slutpunkten på macOS följer du stegen i Registrera och avregistrera macOS-enheter i Efterlevnadslösningar med hjälp av Microsoft Intune.

Steg 13: Kontrollera status för PList (.mobileconfig)

När du har slutfört profilkonfigurationen kan du granska statusen för principerna.

Visa status

När Intune ändringarna har spridits till de registrerade enheterna kan du se dem i listan under Övervaka>enhetsstatus:

Skärmbild som visar vyn över enhetens status.

Installation av klientenhet

En standardinstallation Företagsportal är tillräcklig för en Mac-enhet.

  1. Bekräfta enhetshantering.

    Skärmbild som visar sidan Bekräfta enhetshantering.

    Välj Öppna systeminställningar, leta upp Hanteringsprofil i listan och välj Godkänn.... Din hanteringsprofil visas som Verifierad:

    Skärmbild som visar sidan Hanteringsprofil.

  2. Välj Fortsätt och slutför registreringen.

    Nu kan du registrera fler enheter. Du kan också registrera dem senare när du har slutfört konfigurations- och programpaketen för etableringssystemet.

  3. Öppna Hantera>enheter>Alla enheter i Intune. Här kan du se din enhet bland de listade:

    Skärmbild som visar sidan Alla enheter.

Verifiera klientenhetens tillstånd

  1. När konfigurationsprofilerna har distribuerats till dina enheter öppnar du Systeminställningar>profiler på din Mac-enhet.

    Skärmbild som visar sidan Systeminställningar.

    Skärmbild som visar sidan Profiler för systeminställningar.

  2. Kontrollera att följande konfigurationsprofiler finns och installeras. Hanteringsprofilen ska vara den Intune systemprofilen. Wdav-config och wdav-kext är systemkonfigurationsprofiler som lades till i Intune:

    Skärmbild som visar sidan Profiler.

  3. Du bör också se ikonen Microsoft Defender för Endpoint i det övre högra hörnet.

    Skärmbild som visar ikonen för Microsoft Defender för Endpoint i statusfältet.

Steg 14: Publicera program

Det här steget gör det möjligt att distribuera Microsoft Defender för Endpoint till registrerade datorer.

  1. Öppna Appar i Microsoft Intune administrationscenter.

    Skärmbild som visar programmets översiktssida.

  2. Välj Efter plattform>macOS>Lägg till.

  3. Under Apptyp väljer du macOS. Välj Välj.

    Skärmbild som visar den specifika programtypen.

  4. I Appinformation behåller du standardvärdena och väljer Nästa.

    Skärmbild som visar sidan för programegenskaper.

  5. På fliken Tilldelningar väljer du Nästa.

    Skärmbild som visar informationssidan Intune tilldelningar.

  6. Granska och skapa. Du kan gå till Appar>Per plattform>macOS för att se den i listan över alla program.

    Skärmbild som visar sidan med programlistor.

Mer information finns i Lägga till Microsoft Defender för Endpoint till macOS-enheter med hjälp av Microsoft Intune.

Viktigt

Du bör skapa och distribuera konfigurationsprofilerna i den angivna ordningen (steg 1–13) för en lyckad systemkonfiguration.

Steg 15: Ladda ned registreringspaketet

Så här laddar du ned registreringspaketen från Microsoft 365 Defender-portalen:

  1. I Microsoft 365 Defender-portalen går du till Systeminställningar>>Slutpunkter>Enhetshantering>Registrering.

  2. Ställ in operativsystemet på macOS och distributionsmetoden till Mobile Enhetshantering/Microsoft Intune.

    Skärmbild som visar sidan Inställningar för registrering.

  3. Välj Ladda ned registreringspaket. Spara den som WindowsDefenderATPOnboardingPackage.zip i samma katalog.

  4. Extrahera innehållet i .zip-filen:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
 inflating: intune/kext.xml
 inflating: intune/WindowsDefenderATPOnboarding.xml
 inflating: jamf/WindowsDefenderATPOnboarding.plist

    Skärmbild som visar exempelbeskrivningen.

Steg 16: Distribuera registreringspaketet

Den här profilen innehåller licensinformation för Microsoft Defender för Endpoint.

Så här distribuerar du registreringspaketet:

  1. Under Konfigurationsprofiler väljer du Skapa profil.

  2. Under Plattform väljer du macOS.

  3. Under Profiltyp väljer du Mallar.

  4. Under Mallnamn väljer du Anpassad.

  5. Välj Skapa.

    Skärmbild som visar distributionspaketet för registrering.

  6. På fliken Grunder namngerdu profilen. Till exempel Onboarding-prod-macOS-Default-MDE. Välj Nästa.

    Skärmbild som visar sidan Anpassad.

  7. På fliken Konfigurationsinställningar anger du namnet på en anpassad konfigurationsprofil . Till exempel WindowsDefenderATPOnboarding.

  8. Välj en distributionskanal och välj Nästa.

  9. Välj en konfigurationsprofilfil.

    Skärmbild som visar konfigurationsinställningarna.

  10. På fliken Tilldelningar tilldelar du profilen till en grupp där macOS-enheterna och/eller användarna finns, eller Alla användare och Alla enheter.

    Skärmbild som visar fliken Tilldelningar.

  11. Granska konfigurationsprofilen. Välj Skapa.

  12. Öppna Enhetskonfigurationsprofiler> för att se den skapade profilen.

Steg 17: Verifiera identifiering av skadlig kod

Se följande artikel för att testa för en granskning av identifiering av skadlig kod: Antivirusidentifieringstest för att verifiera enhetens registrerings- och rapporteringstjänster

Steg 18: Verifiera EDR-identifiering

Se följande artikel för att testa för en EDR-identifieringsgranskning: EDR-identifieringstest för att verifiera enhetsregistrerings- och rapporteringstjänster

Felsökning

Problem: Ingen licens hittades.

Lösning: Följ stegen i den här artikeln för att skapa en enhetsprofil med hjälp av WindowsDefenderATPOnboarding.xml.

Problem med loggningsinstallation

Information om hur du hittar den automatiskt genererade loggen som skapas av installationsprogrammet finns i Loggning av installationsproblem när ett fel inträffar.

Information om felsökningsprocedurer finns i:

Avinstallation

Mer information om hur du tar bort Microsoft Defender för Endpoint på macOS från klientenheter finns i Avinstallera.