培训
认证
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用新式管理、共同管理方法和 Microsoft Intune 集成的基本元素规划和执行终结点部署策略。
使用其他移动设备管理 (MDM) 系统在 macOS 上Microsoft Defender for Endpoint进行部署
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
在开始之前,请参阅 macOS 上的main Microsoft Defender for Endpoint页,了解当前软件版本的先决条件和系统要求的说明。
注意
目前,Microsoft正式仅支持Intune和 JAMF 在 macOS 上部署和管理Microsoft Defender for Endpoint。 Microsoft对提供的信息不作任何明示或暗示的保证。
如果你的组织使用不受官方支持的移动设备管理 (MDM) 解决方案,这并不意味着你无法在 macOS 上部署或运行Microsoft Defender for Endpoint。
macOS 上的Microsoft Defender for Endpoint不依赖于任何特定于供应商的功能。 它可以与支持以下功能的任何 MDM 解决方案一起使用:
- 将 macOS .pkg部署到托管设备。
- 将 macOS 系统配置文件部署到托管设备。
- 在托管设备上运行任意管理员配置的工具/脚本。
大多数新式 MDM 解决方案都包含这些功能,但是,它们可能以不同的方式调用它们。
但是,无需上述列表中的最后一个要求即可部署 Defender for Endpoint:
- 可能无法集中收集状态。
- 如果决定卸载 Defender for Endpoint,则需要以管理员身份在本地登录客户端设备。
大多数 MDM 解决方案使用相同的模型来管理 macOS 设备,其术语类似。 使用 基于 JAMF 的部署 作为模板。
配置所需应用程序包的部署, (wdav.pkg) 从 Microsoft Defender 门户下载安装包。
警告
不支持重新打包 Defender for Endpoint 安装包。 这样做可能会对产品的完整性产生负面影响,并导致不良结果,包括但不限于触发篡改警报和无法应用的更新。
若要将包部署到企业,请使用与 MDM 解决方案关联的说明。
设置 系统配置文件。
MDM 解决方案可能会将其称为“自定义设置配置文件”,因为 macOS 上的Microsoft Defender for Endpoint不属于 macOS。
使用属性列表 jamf/WindowsDefenderATPOnboarding.plist,该列表可以从从 Microsoft Defender 门户下载的载入包中提取。 系统可能支持 XML 格式的任意属性列表。 在这种情况下,可以按原样上传 jamf/WindowsDefenderATPOnboarding.plist 文件。 或者,可能需要先将属性列表转换为不同的格式。
通常,自定义配置文件具有 ID、名称或域属性。 必须完全使用“com.microsoft.wdav.atp”作为此值。 MDM 使用它将设置文件部署到客户端设备上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist,Defender for Endpoint 使用此文件加载载入信息。
macOS 要求用户手动和显式批准应用程序使用的某些函数,例如系统扩展、在后台运行、发送通知、完全磁盘访问等。Microsoft Defender for Endpoint依赖于这些函数,在收到用户的同意之前,无法正常运行。
若要代表用户自动授予同意,管理员会通过其 MDM 系统推送系统策略。 我们强烈建议这样做,而不是依赖于最终用户的手动批准。
我们提供了Microsoft Defender for Endpoint要求的所有策略,如 上https://github.com/microsoft/mdatp-xplat提供的 mobileconfig 文件。 Mobileconfig 是 Apple Configurator 或其他产品(如 iMazing Profile)编辑器支持的 Apple 导入/导出格式。
大多数 MDM 供应商都支持导入可创建新的自定义配置文件的 mobileconfig 文件。
设置配置文件:
- 了解如何通过 MDM 供应商完成 mobileconfig 导入。
- 对于 来自 https://github.com/microsoft/mdatp-xplat的所有配置文件,请下载并导入 mobileconfig 文件。
- 为每个创建的配置文件分配适当的范围。
Apple 会定期使用作系统的新版本创建新型有效负载。 你需要访问上述页面,并在新配置文件可用后发布它们。 进行此类更改后,我们会将通知发布到 “新增功能”页面 。
若要部署Microsoft Defender for Endpoint配置,需要配置文件。
以下步骤演示如何应用和验证应用配置文件。
1. MDM 将配置文件部署到已注册的计算机 你可以在系统设置 > 配置文件中查看配置文件。 查找用于Microsoft Defender for Endpoint配置设置配置文件的名称。 如果未看到它,请参阅 MDM 文档以获取故障排除提示。
2.配置文件显示在正确的文件中
Microsoft Defender for Endpoint读取/Library/Managed Preferences/com.microsoft.wdav.plist和/Library/Managed Preferences/com.microsoft.wdav.ext.plist文件。
它仅将这两个文件用于托管设置。
如果看不到这些文件,但已验证配置文件是否已传递 (请参阅上一部分) ,则表示配置文件配置错误。 你将此配置文件设置为“用户级别”而不是“计算机级别”,或者使用了其他首选项域,而不是Microsoft Defender for Endpoint预期 (“com.microsoft.wdav”和“com.microsoft.wdav.ext”) 。
有关如何设置应用程序配置文件,请参阅 MDM 文档。
此步骤可能很难验证。 Microsoft Defender for Endpoint要求 com.microsoft.wdav.plist 具有严格的结构。 如果将设置置于意外位置,或者拼写错误,或者使用无效类型,则以静默方式忽略这些设置。
- 可以检查
mdatp health并确认配置的设置是否报告为[managed]。 - 可以检查 的内容
/Library/Managed Preferences/com.microsoft.wdav.plist,并确保它与预期设置匹配:
shell
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
可以使用记录的 配置文件结构 作为指南。
本文介绍“防病毒”、“edr”、“篡改保护”是配置文件的顶级设置。 例如,“scanHistoryMaximumItems”位于第二级,属于整数类型。
应在上一个命令的输出中看到此信息。 如果“防病毒”嵌套在其他设置下 - 则配置文件配置错误。 如果可以看到“防病毒引擎”而不是“防病毒引擎”,则名称拼写错误,并忽略设置的整个子树。 如果 "scanHistoryMaximumItems" => "10000"为 ,则使用错误类型,并忽略设置。
可以下载并运行 analyze_profiles.py。 此脚本收集并分析部署到计算机的所有配置文件,并警告你错过的配置文件。 它可能会错过一些错误,并且不知道系统管理员故意做出的某些设计决策。 使用此脚本获取指导,但如果看到标记为错误的内容,请始终进行调查。 例如,载入指南告知你为加入 Blob 部署配置文件。 但是,某些组织决定改为运行手动载入脚本。 analyze_profile.py会警告你错过的配置文件。 可以决定通过配置文件加入,也可以完全忽略警告。
在客户端设备上运行Microsoft Defender for Endpoint以检查载入状态。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。