在macOS上使用不同的行動 裝置管理 (MDM) 系統進行部署 適用於端點的 Microsoft Defender
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
必要條件和系統需求
開始之前,請參閱 macOS 上的主要 適用於端點的 Microsoft Defender 頁面,以取得目前軟體版本的必要條件和系統需求說明。
方法
注意
目前,Microsoft 正式僅支援 Intune 和 JAMF 來部署和管理 macOS 上的 適用於端點的 Microsoft Defender。 Microsoft 對於以下提供的資訊,不提供任何明示或隱含的擔保。
如果您的組織使用未正式支援的行動 裝置管理 (MDM) 解決方案,這並不表示您無法在 macOS 上部署或執行 適用於端點的 Microsoft Defender。
macOS 上的 適用於端點的 Microsoft Defender不相依於任何廠商特定的功能。 它可以與支援下列功能的任何 MDM 解決方案搭配使用:
- 將macOS .pkg部署到受控裝置。
- 將macOS系統組態配置檔部署到受控裝置。
- 在受管理的裝置上執行任意的系統管理員設定工具/腳本。
大部分的新式 MDM 解決方案都包含這些功能,不過,它們的呼叫方式可能不同。
不過,您可以部署適用於端點的 Defender,而不需要上述清單中的最後一項需求:
- 您將無法以集中方式收集狀態。
- 如果您決定卸載適用於端點的 Defender,則必須以系統管理員身分在本機登入客戶端裝置。
部署
大部分的 MDM 解決方案都使用相同的模型來管理具有類似術語的 macOS 裝置。 使用 JAMF 型部署 作為範本。
套件
設定必要應用程式套件的部署, (wdav.pkg) 從 Microsoft Defender 入口網站下載安裝套件。
警告
不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。
若要將套件部署到您的企業,請使用與 MDM 解決方案相關聯的指示。
授權設定
設定 系統組態配置檔。
您的 MDM 解決方案可能會將其稱為「自定義設定設定檔」,因為 macOS 上的 適用於端點的 Microsoft Defender 不是 macOS 的一部分。
使用屬性清單 jamf/WindowsDefenderATPOnboarding.plist,可從從入口網站下載的上線套件中擷取 Microsoft Defender。 您的系統可能支援 XML 格式的任意屬性清單。 在此情況下,您可以依原樣上傳 jamf/WindowsDefenderATPOnboarding.plist 檔案。 或者,您可能需要先將屬性清單轉換成不同的格式。
一般而言,您的自定義配置檔會有標識符、名稱或網域屬性。 此值必須完全使用 「com.microsoft.wdav.atp」。。 MDM 會使用它將配置檔案部署至用戶端裝置上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist ,而適用於端點的 Defender 會使用此檔案來載入上線資訊。
系統組態配置檔
macOS 要求使用者手動並明確核准應用程式使用的特定函式,例如系統擴充功能、在背景執行、傳送通知、完整磁碟存取等。適用於端點的 Microsoft Defender 依賴這些函式,而且在收到使用者的同意之前,無法正常運作。
若要代表用戶自動授與同意,系統管理員會透過其 MDM 系統推送系統原則。 這是強烈建議的做法,而不是依賴終端使用者的手動核准。
我們提供 適用於端點的 Microsoft Defender 所需的所有原則,作為可在 https://github.com/microsoft/mdatp-xplat取得的mobileconfig檔案。 Mobileconfig 是 Apple 的匯入/匯出格式,Apple Configurator 或 iMazing Profile 等其他產品 編輯器 支援。
大部分的 MDM 廠商都支援匯入 mobileconfig 檔案,以建立新的自定義組態配置檔。
若要設定設定檔:
- 瞭解如何與 MDM 廠商一起完成mobileconfig 匯入。
- 針對 來自 的所有配置檔 https://github.com/microsoft/mdatp-xplat,下載mobileconfig檔案並加以匯入。
- 為每個建立的組態配置檔指派適當的範圍。
請注意,Apple 會定期使用新版本的操作系統建立新類型的承載。 您必須造訪上述頁面,並在配置檔可供使用后發佈新配置檔。 在進行這類變更后,我們會將通知張貼到 [ 新功能] 頁面 。
適用於端點的Defender組態設定
若要部署 適用於端點的 Microsoft Defender 組態,您需要組態配置檔。
下列步驟示範如何套用及驗證套用組態配置檔。
1. MDM 會將組態設定檔部署至已註冊的機器 您可以在 [系統設定 > 設定檔] 中檢視配置檔。 尋找您用於 適用於端點的 Microsoft Defender 組態設定設定檔的名稱。 如果您沒有看到,請參閱 MDM 檔以取得疑難解答秘訣。
2.組態配置檔會顯示在正確的檔案中
適用於端點的 Microsoft Defender 讀取/Library/Managed Preferences/com.microsoft.wdav.plist和/Library/Managed Preferences/com.microsoft.wdav.ext.plist檔案。
它只會將這兩個檔案用於受控設定。
如果您看不到這些檔案,但已確認已傳遞配置檔 (請參閱上一節) ,則表示配置檔設定錯誤。 您可以將此組態配置檔設為「用戶層級」而非「計算機層級」,或使用不同的喜好設定網域,而不是 適用於端點的 Microsoft Defender 預期 (“com.microsoft.wdav” 和 “com.microsoft.wdav.ext”) 。
請參閱 MDM 檔,以瞭解如何設定應用程式組態設定檔。
3.組態配置檔包含預期的結構
此步驟可能難以驗證。 適用於端點的 Microsoft Defender 需要具有嚴格結構的 com.microsoft.wdav.plist。 如果您將設定放到非預期的位置,或將其拼錯,或使用無效的類型,則會以無訊息方式忽略這些設定。
- 您可以檢查
mdatp health並確認您設定的設定報告為[managed]。 - 您可以檢查的內容
/Library/Managed Preferences/com.microsoft.wdav.plist,並確定符合預期的設定:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
您可以使用記載的 組態配置檔結構 作為指導方針。
本文說明“antivirusEngine”、“edr”、“tamperProtection” 是組態檔最上層的設定。 例如,“scanHistoryMaximumItems” 位於第二層,且為整數類型。
您應該會在上一個命令的輸出中看到這項資訊。 如果您發現 「antivirusEngine」 在其他設定下是巢狀的,則設定檔設定錯誤。 如果您可以看到 「antivirusengine」 而非 「antivirusEngine」,則名稱拼錯,且會忽略設定的整個子樹。 如果 "scanHistoryMaximumItems" => "10000"為 ,則會使用錯誤的類型,並忽略設定。
檢查是否已部署所有配置檔
您可以下載並執行 analyze_profiles.py。 此文本會收集並分析部署到計算機的所有配置檔,並警告您遺漏的配置檔。 請注意,這可能會遺漏一些錯誤,而且不會察覺系統管理員刻意所做的一些設計決策。 請使用此腳本取得指引,但一律調查您是否看到標示為錯誤的內容。 例如,上線指南會告訴您部署用於上線 Blob 的組態配置檔。 然而,有些組織決定改為執行手動上線腳本。 analyze_profile.py警告您遺漏的配置檔。 您可以決定透過組態配置文件上線,或完全忽略警告。
檢查安裝狀態
在用戶端裝置上執行 適用於端點的 Microsoft Defender,以檢查上線狀態。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。