使用其他移动设备管理 (MDM) 系统在 macOS 上Microsoft Defender for Endpoint进行部署

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

先决条件和系统要求

在开始之前,请参阅 macOS 上的main Microsoft Defender for Endpoint页,了解当前软件版本的先决条件和系统要求的说明。

方法

警告

目前,Microsoft 正式仅支持 Intune 和 JAMF 在 macOS 上部署和管理Microsoft Defender for Endpoint。 Microsoft 对下面提供的信息不作任何明示或暗示的保证。

如果你的组织使用不受官方支持的移动设备管理 (MDM) 解决方案,这并不意味着你无法在 macOS 上部署或运行Microsoft Defender for Endpoint。

macOS 上的Microsoft Defender for Endpoint不依赖于任何特定于供应商的功能。 它可以与支持以下功能的任何 MDM 解决方案一起使用:

  • 将 macOS .pkg部署到托管设备。
  • 将 macOS 系统配置文件部署到托管设备。
  • 在托管设备上运行任意管理员配置的工具/脚本。

大多数新式 MDM 解决方案都包含这些功能,但是,它们可能以不同的方式调用它们。

但是,无需上述列表中的最后一个要求即可部署 Defender for Endpoint:

  • 无法集中收集状态。
  • 如果决定卸载 Defender for Endpoint,则需要以管理员身份在本地登录到客户端设备。

部署

大多数 MDM 解决方案使用相同的模型来管理 macOS 设备,其术语类似。 使用 基于 JAMF 的部署 作为模板。

配置所需应用程序包的部署, (wdav.pkg) 从 Microsoft Defender 门户下载安装包。

警告

不支持重新打包 Defender for Endpoint 安装包。 这样做可能会对产品的完整性产生负面影响,并导致不良结果,包括但不限于触发篡改警报和无法应用的更新。

若要将包部署到企业,请使用与 MDM 解决方案关联的说明。

许可证设置

设置 系统配置文件

MDM 解决方案可能会将其称为“自定义设置配置文件”,因为 macOS 上的Microsoft Defender for Endpoint不属于 macOS。

使用属性列表 jamf/WindowsDefenderATPOnboarding.plist,该列表可以从从 Microsoft Defender 门户下载的载入包中提取。 系统可能支持 XML 格式的任意属性列表。 在这种情况下,可以按原样上传 jamf/WindowsDefenderATPOnboarding.plist 文件。 或者,可能需要先将属性列表转换为不同的格式。

通常,自定义配置文件具有 ID、名称或域属性。 必须完全使用“com.microsoft.wdav.atp”作为此值。 MDM 使用它将设置文件部署到客户端设备上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist,Defender for Endpoint 使用此文件加载载入信息。

系统配置文件

macOS 要求用户手动显式批准应用程序使用的某些功能,例如系统扩展、在后台运行、发送通知、完全磁盘访问等,Microsoft Defender for Endpoint依赖于这些函数,在收到用户的所有这些同意之前,无法正常运行。

若要代表用户自动授予同意,管理员会通过其 MDM 系统推送系统策略。 我们强烈建议这样做,而不是依赖于最终用户的手动批准。

我们提供了Microsoft Defender for Endpoint要求的所有策略,如 上https://github.com/microsoft/mdatp-xplat提供的 mobileconfig 文件。 Mobileconfig 是 Apple Configurator 或其他产品(如 iMazing 配置文件编辑器) 支持的导入/导出格式。

大多数 MDM 供应商都支持导入 mobileconfig 文件,并创建新的自定义配置文件。

设置配置文件:

  1. 了解如何通过 MDM 供应商完成 mobileconfig 导入。
  2. 对于 来自 https://github.com/microsoft/mdatp-xplat的所有配置文件,请下载并导入 mobileconfig 文件。
  3. 为每个创建的配置文件分配适当的范围。

请注意,Apple 会定期使用新版本的 OS 创建新类型的有效负载。 必须访问上述页面,并在新配置文件可用后发布。 进行此类更改后,我们会将通知发布到 “新增功能”页面

检查安装状态

在客户端设备上运行Microsoft Defender for Endpoint以检查载入状态。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区