使用其他移动设备管理 (MDM) 系统在 macOS 上Microsoft Defender for Endpoint进行部署

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

先决条件和系统要求

在开始之前,请参阅 macOS 上的main Microsoft Defender for Endpoint页,了解当前软件版本的先决条件和系统要求的说明。

方法

警告

目前,Microsoft 仅支持 Intune 和 JAMF 在 macOS 上部署和管理Microsoft Defender for Endpoint。 Microsoft 对下面提供的信息不作任何明示或暗示的保证。

如果你的组织使用不受官方支持的移动设备管理 (MDM) 解决方案,这并不意味着你无法在 macOS 上部署或运行Microsoft Defender for Endpoint。

macOS 上的Microsoft Defender for Endpoint不依赖于任何特定于供应商的功能。 它可以与支持以下功能的任何 MDM 解决方案一起使用:

  • 将 macOS .pkg部署到托管设备。
  • 将 macOS 系统配置文件部署到托管设备。
  • 在托管设备上运行任意管理员配置的工具/脚本。

大多数新式 MDM 解决方案都包含这些功能,但是,它们可能以不同的方式调用它们。

但是,无需上述列表中的最后一个要求即可部署 Defender for Endpoint:

  • 无法集中收集状态。
  • 如果决定卸载 Defender for Endpoint,则需要以管理员身份在本地登录到客户端设备。

部署

大多数 MDM 解决方案使用相同的模型来管理 macOS 设备,其术语类似。 使用 基于 JAMF 的部署 作为模板。

配置所需应用程序包的部署, (wdav.pkg) 从 Microsoft Defender 门户下载安装包。

警告

不支持重新打包 Defender for Endpoint 安装包。 这样做可能会对产品的完整性产生负面影响,并导致不良结果,包括但不限于触发篡改警报和无法应用的更新。

若要将包部署到企业,请使用与 MDM 解决方案关联的说明。

许可证设置

设置 系统配置文件

MDM 解决方案可能会将其称为“自定义设置配置文件”,因为 macOS 上的Microsoft Defender for Endpoint不属于 macOS。

使用属性列表 jamf/WindowsDefenderATPOnboarding.plist,该列表可以从从 Microsoft Defender 门户下载的载入包中提取。 系统可能支持 XML 格式的任意属性列表。 在这种情况下,可以按原样上传 jamf/WindowsDefenderATPOnboarding.plist 文件。 或者,可能需要先将属性列表转换为不同的格式。

通常,自定义配置文件具有 ID、名称或域属性。 必须完全使用“com.microsoft.wdav.atp”作为此值。 MDM 使用它将设置文件部署到客户端设备上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist,Defender for Endpoint 使用此文件加载载入信息。

系统配置文件

macOS 要求用户手动显式批准应用程序使用的某些功能,例如系统扩展、在后台运行、发送通知、完全磁盘访问等,Microsoft Defender for Endpoint依赖于这些函数,在收到用户的所有这些同意之前,无法正常运行。

若要代表用户自动授予同意,管理员会通过其 MDM 系统推送系统策略。 我们强烈建议这样做,而不是依赖于最终用户的手动批准。

我们提供了Microsoft Defender for Endpoint要求的所有策略,如 上https://github.com/microsoft/mdatp-xplat提供的 mobileconfig 文件。 Mobileconfig 是 Apple Configurator 或其他产品(如 iMazing Profile)编辑器支持的 Apple 导入/导出格式。

大多数 MDM 供应商都支持导入可创建新的自定义配置文件的 mobileconfig 文件。

设置配置文件:

  1. 了解如何通过 MDM 供应商完成 mobileconfig 导入。
  2. 对于 来自 https://github.com/microsoft/mdatp-xplat的所有配置文件,请下载并导入 mobileconfig 文件。
  3. 为每个创建的配置文件分配适当的范围。

请注意,Apple 会定期使用新版本的 OS 创建新型有效负载。 你需要访问上述页面,并在新配置文件可用后发布它们。 进行此类更改后,我们会将通知发布到 “新增功能”页面

Defender for Endpoint 配置设置

若要部署Microsoft Defender for Endpoint配置,需要配置文件。

以下步骤演示如何应用和验证应用配置文件。

1. MDM 将配置文件部署到已注册的计算机 你可以在系统设置 > 配置文件中查看配置文件。 查找用于Microsoft Defender for Endpoint配置设置配置文件的名称。 如果未看到它,请参阅 MDM 文档以获取故障排除提示。

2.配置文件显示在正确的文件中

Microsoft Defender for Endpoint读取/Library/Managed Preferences/com.microsoft.wdav.plist/Library/Managed Preferences/com.microsoft.wdav.ext.plist文件。 它仅将这两个文件用于托管设置。

如果看不到这些文件,但已验证配置文件是否已传递 (请参阅上一部分) ,则表示配置文件配置错误。 你将此配置文件设置为“用户级别”而不是“计算机级别”,或者使用了其他首选项域,而不是Microsoft Defender for Endpoint预期 (“com.microsoft.wdav”和“com.microsoft.wdav.ext”) 。

有关如何设置应用程序配置文件,请参阅 MDM 文档。

3.配置文件包含预期的结构

此步骤可能很难验证。 Microsoft Defender for Endpoint要求 com.microsoft.wdav.plist 具有严格的结构。 如果将设置置于意外位置,或者拼写错误,或者使用无效类型,则以静默方式忽略这些设置。

  1. 可以检查mdatp health并确认配置的设置是否报告为 [managed]
  2. 可以检查 的内容 /Library/Managed Preferences/com.microsoft.wdav.plist ,并确保它与预期设置匹配:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

可以使用记录的 配置文件结构 作为指南。

本文介绍“防病毒”、“edr”、“篡改保护”是配置文件的顶级设置。 例如,“scanHistoryMaximumItems”位于第二级,属于整数类型。

应在上一个命令的输出中看到此信息。 如果发现“防病毒”嵌套在其他设置下 , 则配置文件配置错误。 如果可以看到“防病毒”而不是“防病毒”,则名称拼写错误,并忽略设置的整个子树。 如果 "scanHistoryMaximumItems" => "10000"为 ,则使用错误的类型,并且将忽略该设置。

检查是否已部署所有配置文件

可以下载并运行 analyze_profiles.py。 此脚本将收集和分析部署到计算机的所有配置文件,并警告你错过的配置文件。 请注意,它可能会错过一些错误,并且它不知道系统管理员特意做出的某些设计决策。 使用此脚本获取指导,但如果看到标记为错误的内容,请始终进行调查。 例如,载入指南告知你为加入 Blob 部署配置文件。 但是,某些组织决定改为运行手动载入脚本。 analyze_profile.py会警告你错过的配置文件。 可以决定通过配置文件加入,也可以完全忽略警告。

检查安装状态

在客户端设备上运行Microsoft Defender for Endpoint以检查载入状态。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区