在 macOS 上手动部署Microsoft Defender for Endpoint

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft 365 Defender

希望体验 Defender for Endpoint？ 注册免费试用版。

本主题介绍如何在 macOS 上手动部署Microsoft Defender for Endpoint。 成功的部署需要完成以下所有步骤：

• 下载安装和载入包
• 应用程序安装 (macOS 11 及更新版本)
• 客户端配置

先决条件和系统要求

在开始之前，请参阅 macOS 上的main Microsoft Defender for Endpoint页，了解当前软件版本的先决条件和系统要求的说明。

下载安装和载入包

从 Microsoft 365 Defender 门户下载安装和载入包：

1. 在Microsoft 365 Defender门户中，转到“设置>终结点>”“设备管理>”“载入”。

2. 在页面的第 1 部分，将操作系统设置为 macOS ，将部署方法设置为 本地脚本。

3. 在页面的第 2 部分，选择 “下载安装包”。 将其作为 wdav.pkg 保存到本地目录。

4. 在页面的第 2 部分，选择 “下载载入包”。 将其作为WindowsDefenderATPOnboardingPackage.zip保存到同一目录。

   

5. 在命令提示符下，验证是否具有这两个文件。

应用程序安装 (macOS 11 及更新版本)

若要完成此过程，必须在设备上具有管理员权限。

1. 导航到 Finder 中下载的 wdav.pkg 并将其打开。

   

2. 选择“ 继续”，同意许可条款，并在出现提示时输入密码。

3. 安装过程结束时，系统会提示你批准产品所使用的系统扩展。 选择“ 打开安全首选项”。

   

4. 在 “安全 & 隐私” 窗口中，选择“ 允许”。

   

5. 对于在 Mac 上使用 Microsoft Defender for Endpoint 分发的所有系统扩展，重复步骤 3 & 4。

6. 作为终结点检测和响应功能的一部分，Mac 上的Microsoft Defender for Endpoint会检查套接字流量，并将此信息报告给Microsoft 365 Defender门户。 当系统提示授予Microsoft Defender for Endpoint筛选网络流量的权限时，请选择“允许”。

   

7. 打开“系统首选项>安全&隐私”并导航到“隐私”选项卡。向Microsoft Defender和 Microsoft Defenders Endpoint Security Extension 授予“完全磁盘访问权限”。

   

客户端配置

1. 将 wdav.pkg 和 MicrosoftDefenderATPOnboardingMacOs.sh 复制到在 macOS 上部署Microsoft Defender for Endpoint的设备。

   客户端设备未与org_id关联。 请注意， org_id 属性为空。

   mdatp health --field org_id
   

2. 运行 Bash 脚本以安装配置文件：

   Sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh
   

3. 验证设备现在是否与组织关联，并报告有效的组织 ID：

   mdatp health --field org_id
   

   安装后，你将在右上角的 macOS 状态栏中看到Microsoft Defender图标。

   

如何允许完全磁盘访问

1. 若要授予许可，请打开“系统首选项”“安全&隐私>”“隐私>”“完全磁盘访问权限”。> 单击锁图标以 (对话框底部) 进行更改。 选择“Microsoft Defender for Endpoint”。

2. 运行 AV 检测测试，验证设备是否已正确载入并向服务报告。 在新加入的设备上执行以下步骤：

   1. 通过运行以下命令) ，确保启用实时保护 (结果 1 表示：

      mdatp health --field real_time_protection_enabled
      

   2. 打开终端窗口。 复制并执行以下命令：

      curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      

   3. 该文件应已由 Mac 上的 Defender for Endpoint 隔离。 使用以下命令列出所有检测到的威胁：

      mdatp threat list
      

3. 运行 EDR 检测测试，验证设备是否已正确载入并向服务报告。 在新加入的设备上执行以下步骤：

   1. 在浏览器中，例如 Microsoft Edge for Mac 或 Safari。

   2. 从 https://aka.ms/mdatpmacosdiy 和 提取 MDATP MacOS DIY.zip。

      系统可能会提示你：

      是否允许在“mdatpclientanalyzer.blob.core.windows.net”上进行下载？
      可以在“网站首选项”中更改哪些网站可以下载文件。

4. 单击“ 允许”。

5. 打开“下载”。

6. 应会看到 MDATP MacOS DIY。

   提示

   如果双击，将收到以下消息：

   无法打开“MDATP MacOS DIY”，因为开发人员无法成为验证者。
   macOS 无法验证此应用是否没有恶意软件。
   [移动到回收站][取消]

7. Click Cancel.

8. 右键单击“ MDATP MacOS DIY”，然后单击“ 打开”。

   系统应显示以下消息：

   macOS 无法验证 MDATP MacOS DIY 的开发人员。 是否确定要打开它？
   通过打开此应用，你将替代系统安全性，这可能会将你的计算机和个人信息公开给可能损害 Mac 或侵犯你的隐私的恶意软件。

9. 单击“打开”。

   系统应显示以下消息：

   Microsoft Defender for Endpoint - macOS EDR DIY 测试文件
   MDATP 门户中将提供相应的警报。

10. 单击“打开”。

    几分钟后，应引发名为“macOS EDR 测试警报”的警报。

11. 转到Microsoft 365 Defender门户 (https://security.microsoft.com/) 。

12. 转到警报队列。

    

    查看警报详细信息和设备时间线，并执行常规调查步骤。

日志记录安装问题

有关如何在发生错误时查找安装程序创建的自动生成的日志的详细信息，请参阅 日志记录安装问题 。

卸载

有关如何从客户端设备中删除 macOS 上的Microsoft Defender for Endpoint的详细信息，请参阅卸载。