排查 macOS 上Microsoft Defender for Endpoint的配置问题

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

配置未按预期应用

你为Microsoft Defender配置了所需的设置,但看不到应用了某些 (或所有) 。 如何对其进行故障排除?

配置源

Microsoft Defender从多个源收集配置。

在几乎所有情况下,都可以动态更改配置,并且将立即应用配置,无需重启。

不同的源具有不同的优先级。 当同一设置来自多个源时,Microsoft Defender将合并来自不同源的值。 在大多数情况下,这意味着优先级较高的值占上风,优先级较低的源将被忽略。 在某些情况下, (例如, 防病毒排除) 。 有关详细信息,请参阅配置文档。

按优先级 (“1”顺序的配置源是优先级最高的) :

  1. MDE附加,在 Intune 门户中配置的 Defender
  2. 使用 MDM 软件配置的 MDM 配置文件
  3. 使用命令作为本地管理员或通过Microsoft Defender的应用程序进行的mdatp config ...本地配置
  4. 未提供显式设置时使用的默认设置

MDE附加和 MDM 配置文件

警告

MDE附加配置文件和 MDM 配置文件是相互排除的。 如果为两者提供一些配置,则仅使用MDE附加设置,并忽略所有 MDM 设置! 不要将它们一起使用。

使用 mdatp health --field managed_by 了解是否使用 MDE Attach。

  1. “MDE”指示MDE附加。 忽略使用 MDM 配置文件指定的任何配置。
  2. “MEM”指示 MDM 配置文件,或仅本地配置

可以运行 mdatp health 以获取当前使用Microsoft Defender的配置。 如果在值旁边看到“[managed]”,则表示它当前是通过 MDM 配置文件配置的。 如果没有“[managed]”,则在本地或通过MDE附加进行配置。

MDE附加和 MDM 配置故障排除

检查以下文件:

  1. /Library/Preferences/com.microsoft.mdeattach.plist- Microsoft Defender读取此文件的附加MDE传递的设置。 如果预期某些设置,但未看到它已配置,则检查它在那里
  2. /Library/Managed Preferences/com.microsoft.wdav.plist/Library/Managed Preferences/com.microsoft.wdav.ext.plist - Microsoft Defender读取这些文件以获取 MDM 提供的设置。

文件路径和名称必须与所述完全相同! 如果看到类似但有点不同的文件路径,则表示Microsoft Defender忽略它。

如果预期某些 MDM 设置,但看不到这些文件,则表示 MDM 根本没有将配置文件传递到计算机。 若要排查配置文件传递问题,请参阅 MDM 软件 (JAMF、Intune 等 ) 资源。

如果预期某些设置,并且看到这些文件,则检查其内容:

> plutil -p '/Library/Managed Preferences/com.microsoft.wdav.plist
{
  "antivirusEngine" => {
    "enforcementLevel" => "real_time"
  }
}

这些设置必须与配置的那些设置匹配。 其名称、间接级别、类型必须与 记录的完全一致。

例如,如果plist告诉你“防病毒”位于其他组中,则可以确信Microsoft Defender完全忽略“enforcementLevel”设置:

# Bad configuration!
> plutil -p '/Library/Managed Preferences/com.microsoft.wdav.plist
{
  "Forced" => {
    "mcx_preference_settings" => {
      "antivirusEngine" => {
        "enforcementLevel" => "real_time"
      }
    }
  }
}

MDM 配置 - 它来自何处?

macOS 基于通过 MDM 部署的配置文件更新 /Library/Managed Preferences/ 文件。

如果未看到预期的托管首选项文件,或其内容与预期内容不同,请打开  => 系统设置 => 配置文件。

可以在“设备 (托管) ”下看到通过 MDM 部署的所有配置文件。查找在 MDM 中配置的配置文件,以便Microsoft Defender配置。 可以打开它并检查其内容。 它必须与 /Library/Managed Preferences/com.microsoft.wdav.plist 中的内容和你在 MDM 中配置的内容匹配。

如果看不到 com.microsoft.wdav 的任何托管配置文件,则 MDM 未提供它。 请参阅 MDM 软件文档进行故障排除,原因可能有多种,MDM 的故障排除Microsoft Defender文档范围外。

如果看到同一个 com.microsoft.wdav 的多个配置文件,则可能是Microsoft Defender未预期配置的原因。 macOS 会执行这些配置文件的一些合并到单个 .plist 中,但它只能正确合并顶级配置。 也就是说,不能跨两个 com.microsoft.wdav 配置文件分散不同的“防病毒”设置,MDM 只随机使用其中一个配置文件,而忽略其余设置。 如果需要再次将设置放在两个配置文件 (,则可以使用额外的 com.microsoft.wdav.ext 配置文件,最多只能有一个具有 com.microsoft.wdav.ext 的配置文件以及) 。

换句话说,避免为同一标识符使用多个配置文件。

MDE附加配置 - 它来自哪里?

它不是通过 MDM 传递的。 有关如何对其进行故障排除,请参阅MDE附加文档。

  • Last updated on