分享方式:


在 Jamf Pro 中設定 macOS 原則的 適用於端點的 Microsoft Defender

適用於:

使用本文來設定使用 Jamf Pro 在 Mac 上適用於端點的 Defender 的原則。

步驟 1:取得 適用於端點的 Microsoft Defender 上線套件

重要事項

您必須獲指派適當的角色,才能檢視、管理和上線裝置。 如需詳細資訊,請參閱使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權。

  1. Microsoft Defender 入口網站中,流覽至 [設定>端點>上線]

  2. 選取macOS作為作業系統,並選取 [行動裝置管理/ Microsoft Intune 作為部署方法。

    [設定] 頁面。

  3. 取 [下載上線套 件 (WindowsDefenderATPOnboardingPackage.zip) ]。

  4. 擷取WindowsDefenderATPOnboardingPackage.zip

  5. 將檔案複製到您慣用的位置。 例如,C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist

步驟 2:使用上線套件在 Jamf Pro 中建立組態配置檔

  1. 找出上一節中的檔案 WindowsDefenderATPOnboarding.plist

    Windows Defender ATP 上線檔案。

  2. 登入 Jamf Pro,流覽至 [計算機>組態配置檔],然後選取 [ 新增]

    您在其中建立新 Jamf Pro 儀錶板的頁面。

  3. 在 [ 一般] 索引標籤上,指定下列詳細數據:

    • 名稱MDE onboarding for macOS
    • 描述MDE EDR onboarding for macOS
    • 類別None
    • 散發方法Install Automatically
    • 層級Computer Level
  4. 流覽至 [應用程式 & 自定義設定 ] 頁面,選取 [ 上傳],然後選取 [ 新增]

    組態應用程式和自定義設定。

  5. 取 [上傳檔案 (PLIST 檔案) 然後在 [ 喜好設定網域] 中輸入 com.microsoft.wdav.atp

    jamfpro plist 上傳檔案。

    上傳檔案屬性清單檔案。

  6. 取 [開 啟],然後選取上線檔案。

    上線檔案。

  7. 選取 [上傳]

    上傳的 plist 檔案。

  8. 選取 [ 範圍] 索引標籤

    [範圍] 索引標籤。

  9. 選取目標計算機。

    目標計算機。

    目標。

  10. 選取 [儲存]

    目標計算機的部署。

    選取目標計算機。

  11. 選取 [完成]

    目標組的計算機。

    組態配置檔的清單。

步驟 3:設定 適用於端點的 Microsoft Defender 設定

在此步驟中,我們會移至 [喜好設定],讓您可以使用 Microsoft Defender 全面偵測回應 入口網站 () https://security.microsoft.com 或 Jamf 來設定反惡意代碼和 EDR 原則。

重要事項

適用於端點的 Microsoft Defender 安全性設定管理原則優先於 Jamf 集合 (和其他第三方 MDM) 原則。

3a. 使用 Microsoft Defender 入口網站設定原則

  1. 在使用 Microsoft Defender 設定安全策略之前,請遵循在 Intune 中設定 適用於端點的 Microsoft Defender 中的指引。

  2. Microsoft Defender 入口網站中,移至 [組態管理>] [端點安全策略>] [Mac 原則>] [建立新原則]

  3. 在 [ 選取平臺] 底下,選取 [macOS]

  4. 在 [ 選取範本] 下,選擇範本,然後選取 [ 建立原則]

  5. 指定原則的名稱和描述,然後選取 [ 下一步]

  6. 在 [ 指派] 索引標籤 上,將配置檔指派給 macOS 裝置和/或使用者所在的群組,或 [ 所有使用者 ] 和 [ 所有裝置]

如需管理安全性設定的詳細資訊,請參閱下列文章:

3b. 使用 Jamf 設定原則

您可以使用 Jamf Pro GUI 來編輯 適用於端點的 Microsoft Defender 組態的個別設定,或使用舊版方法,方法是在文本編輯器中建立設定 Plist,並將它上傳至 Jamf Pro。

您必須使用完全 com.microsoft.wdav 相同的 喜好設定網域。 適用於端點的 Microsoft Defender 只使用此名稱,並com.microsoft.wdav.ext載入其Managed設定。 (當 com.microsoft.wdav.ext 您想要使用 GUI 方法,但也需要設定尚未新增至架構的設定時,此版本在極少數情況下可以使用。)

GUI 方法

  1. schema.jsonDefender 的 GitHub 存放庫下載檔案,並將其儲存至本機檔案:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
    
  2. 建立新的組態配置檔。 在 [ 計算機] 底下,移至 [ 組態配置檔],然後在 [ 一般 ] 索引標籤上指定下列詳細數據:

    新的配置檔。

    • 名稱MDATP MDAV configuration settings
    • 描述<blank\>
    • 類別None (default)
    • 層級Computer Level (default)
    • 散發方法Install Automatically (default)
  3. 向下卷動至 [ 應用程式 & 自定義設定] 索引標籤,選取 [ 外部應用程式],選取 [ 新增],然後使用 [自定義架構 ] 作為喜好設定網域的來源。

    新增自訂架構。

  4. 輸入 com.microsoft.wdav 喜好設定網域,選取 [ 新增架構 ],然後上傳 schema.json 在步驟 1 下載的檔案。 選取 [儲存]

    上傳架構。

  5. 您可以在 [喜好設定網域屬性] 下看到所有支援的 適用於端點的 Microsoft Defender 組態設定。 選 取 [新增/移除屬性 ] 以選取您要管理的設定,然後選取 [ 確定 ] 以儲存變更。 (未選取的設定未包含在受控組態中,使用者就可以在其計算機上設定這些設定。)

    選擇的受控設定。

  6. 將設定的值變更為所需的值。 您可以選擇 [更多資訊 ] 以取得特定設定的檔案。 (您可以選取 Plist 預覽 版來檢查設定 plist。選 取 [表單編輯 器] 以返回視覺效果編輯器。)

    您變更設定值的頁面。

  7. 選取 [ 範圍] 索引標籤

    組態配置檔範圍。

  8. 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]

    您可以在其中新增組態設定的頁面。

    您可以儲存組態設定的頁面。

  9. 選取 [完成]。 您會看到新的 組態設定檔

    您完成組態設定的頁面。

適用於端點的 Microsoft Defender 會隨著時間新增設定。 這些新設定會新增至架構,而新版本會發佈至 GitHub。 若要取得更新,請下載更新的架構並編輯現有的組態配置檔。 在 [ 應用程式 & 自定義設定] 索引標籤 上,選取 [ 編輯架構]

舊版方法

  1. 使用下列 適用於端點的 Microsoft Defender 組態設定:

    • enableRealTimeProtection
    • passiveMode (預設不會開啟此設定。如果您打算在 Mac 上執行非Microsoft防病毒軟體,請將它設定為 true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (範例上有 EICAR。如果您正在進行概念證明,請特別在測試 EICAR 時移除它。)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    如需詳細資訊,請參閱 Jamf 完整組態配置檔的屬性清單

      <?xml version="1.0" encoding="UTF-8"?>
      <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
      <plist version="1.0">
      <dict>
          <key>antivirusEngine</key>
          <dict>
              <key>enableRealTimeProtection</key>
              <true/>
              <key>passiveMode</key>
              <false/>
              <key>exclusions</key>
              <array>
                  <dict>
                      <key>$type</key>
                      <string>excludedPath</string>
                      <key>isDirectory</key>
                      <false/>
                      <key>path</key>
                      <string>/var/log/system.log</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedPath</string>
                      <key>isDirectory</key>
                      <true/>
                      <key>path</key>
                      <string>/home</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedFileExtension</string>
                      <key>extension</key>
                      <string>pdf</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedFileName</string>
                      <key>name</key>
                      <string>cat</string>
                  </dict>
              </array>
              <key>exclusionsMergePolicy</key>
              <string>merge</string>
              <key>allowedThreats</key>
              <array>
                  <string>EICAR-Test-File (not a virus)</string>
              </array>
              <key>disallowedThreatActions</key>
              <array>
                  <string>allow</string>
                  <string>restore</string>
              </array>
              <key>threatTypeSettings</key>
              <array>
                  <dict>
                      <key>key</key>
                      <string>potentially_unwanted_application</string>
                      <key>value</key>
                      <string>block</string>
                  </dict>
                  <dict>
                      <key>key</key>
                      <string>archive_bomb</string>
                      <key>value</key>
                      <string>audit</string>
                  </dict>
              </array>
              <key>threatTypeSettingsMergePolicy</key>
              <string>merge</string>
          </dict>
          <key>cloudService</key>
          <dict>
              <key>enabled</key>
              <true/>
              <key>diagnosticLevel</key>
              <string>optional</string>
              <key>automaticSampleSubmission</key>
              <true/>
          </dict>
          <key>edr</key>
          <dict>
              <key>tags</key>
              <array>
                  <dict>
                      <key>key</key>
                      <string>GROUP</string>
                      <key>value</key>
                      <string>ExampleTag</string>
                  </dict>
              </array>
          </dict>
          <key>userInterface</key>
          <dict>
              <key>hideStatusMenuIcon</key>
              <false/>
          </dict>
      </dict>
      </plist>
    
  2. 將檔案儲存為 MDATP_MDAV_configuration_settings.plist

  3. 在 Jamf Pro 儀錶板中,開啟 [計算機] 及其 [ 組態配置檔]。 選取 [新增 ],然後切換至 [ 一般] 索引 卷標。

    顯示新配置檔的頁面。

  4. 在 [ 一般] 索引標籤上,指定下列詳細數據:

    • 名稱MDATP MDAV configuration settings
    • 描述<blank>
    • 類別None (default)
    • 散發方法Install Automatically (default)
    • 層級Computer Level (default)
  5. [應用程式 & 自定義設定] 中,選取 [ 設定]

    MDATP MDAV 組態設定。

    應用程式和自定義設定。

  6. 取 [上傳檔案 (PLIST 檔案)

    組態設定 plist 檔案。

  7. 在 [ 喜好設定網域] 中輸入 com.microsoft.wdav,然後選取 [上傳 PLIST 檔案]

    組態設定喜好設定網域。

  8. 取 [選擇檔案]

    選擇 plist 檔案的提示。

  9. 取 MDATP_MDAV_configuration_settings.plist,然後選取 [ 開啟]

    mdatpmdav 組態設定。

  10. 選取 [上傳]

    組態設定上傳。

    上傳與組態設定相關映像的提示。

    注意事項

    如果您上傳 Intune 檔案,您會收到下列錯誤:

    上傳與組態設定相關之 Intune 檔案的提示。

  11. 選取 [儲存]

    儲存與組態設定相關之映像的選項。

  12. 檔案已上傳。

    與組態設定相關的上傳檔案。

    組態設定頁面。

  13. 選取 [ 範圍] 索引標籤

    組態設定的範圍。

  14. 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]

    組態設定會加入av。

    組態設定的通知。

  15. 選取 [完成]。 您會看到新的 組態設定檔

組態設定組態配置檔映像的影像。

步驟 4:設定通知設定

注意事項

這些步驟適用於macOS 11 (Big Sur) 或更新版本。 雖然 Jamf 支援 macOS 10.15 版或更新版本的通知,但 Mac 上適用於端點的 Defender 需要 macOS 11 或更新版本。

  1. 在 Jamf Pro 儀錶板中,依序選取 [ 計算機] 和 [ 組態配置檔]

  2. 選取 [新增],然後在 [ 一般 ] 索引標籤上,針對 [ 選項] 指定下列詳細數據:

    • 名稱MDATP MDAV Notification settings

    • 描述macOS 11 (Big Sur) or later

    • 類別None *(default)*

    • 散發方法Install Automatically *(default)*

    • 層級Computer Level *(default)*

      新的 macOS 組態配置檔頁面。

  3. 在 [ 通知] 索引標籤 上,選取 [ 新增],然後指定下列值:

    • 套件組合識別碼com.microsoft.wdav.tray
    • 重大警示:選取 [停用]
    • 通知:選取 [啟用]
    • 橫幅警示類型:選取 [ 包含 ] 和 [ 存 (預設)
    • 鎖定畫面上的通知:選取 [隱藏]
    • 通知中心內的通知:選取 [顯示]
    • 徽章應用程式圖示:選取 顯示

    組態設定 mdatpmdav 通知匣。

  4. 在 [ 通知] 索引標籤 上,選取 [再 新增 一次],然後向下捲動至 [ 新增通知設定]

    • 套件組合識別碼com.microsoft.autoupdate.fba
  5. 將其餘設定設定為先前提到的相同值

    組態設定 mdatpmdav 通知 mau。

    請注意,現在您有兩個具有通知組態的數據表,一個用於套件組合 標識符:com.microsoft.wdav.tray,另一個用於套件 組合標識符:com.microsoft.autoupdate.fba。 雖然您可以根據需求設定警示設定,但套件組合標識碼必須與之前所述完全相同,而 [通知] 的 [包含] 參數必須是 [開啟]

  6. 選取 [ 範圍] 索引 標籤,然後選取 [ 新增]

    您可以在其中新增組態設定值的頁面。

  7. 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]

    您可以在其中儲存組態設定 contoso 計算機群組值的頁面。

    顯示組態設定完成通知的頁面。

  8. 選取 [完成]。 您應該會看到新的 組態配置檔

    完成的組態設定。

步驟 5:設定 Microsoft AutoUpdate (MAU)

  1. 使用下列 適用於端點的 Microsoft Defender 組態設定:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
     <key>ChannelName</key>
     <string>Current</string>
     <key>HowToCheck</key>
     <string>AutomaticDownload</string>
     <key>EnableCheckForUpdatesButton</key>
     <true/>
     <key>DisableInsiderCheckbox</key>
     <false/>
     <key>SendAllTelemetryEnabled</key>
     <true/>
    </dict>
    </plist>
    
  2. 將它儲存為 MDATP_MDAV_MAU_settings.plist

  3. 在 Jamf Pro 儀錶板中,選取 [ 一般]

    組態設定。

  4. 在 [ 一般] 索引標籤上,指定下列詳細數據:

    • 名稱MDATP MDAV MAU settings
    • 描述Microsoft AutoUpdate settings for MDATP for macOS
    • 類別None (default)
    • 散發方法Install Automatically (default)
    • 層級Computer Level (default)
  5. [應用程式 & 自定義設定] 中 ,選取 [ 設定]

    組態設定應用程式和自定義設定。

  6. 取 [上傳檔案 (PLIST 檔案)

  7. 在 [ 喜好設定網域 ] 中輸入 com.microsoft.autoupdate2,然後選取 [ 上傳 PLIST 檔案]

    組態設定喜好設定網域。

  8. 取 [選擇檔案]

    選擇有關組態設定之檔案的提示。

  9. 取 [MDATP_MDAV_MAU_settings.plist]

    mdatpmdavmau 設定。

  10. 選取 [上傳] 關於組態設定的檔案上傳。

    顯示有關組態設定之檔案上傳選項的頁面。

  11. 選取 [儲存]

    顯示有關組態設定之檔案儲存選項的頁面。

  12. 選取 [ 範圍] 索引標籤

    組態設定的 [範圍] 索引標籤。

  13. 選取 新增

    新增部署目標的選項。

    您在其中將更多值新增至組態設定的頁面。

    您可以在其中將更多值新增至組態設定的頁面。

  14. 選取 [完成]

    關於組態設定的完成通知。

步驟 6:授與完整磁碟存取權給 適用於端點的 Microsoft Defender

  1. 在 Jamf Pro 儀錶板中,選取 [ 組態配置檔]

    要設定其設定的配置檔。

  2. 取 [+ 新增]

  3. 在 [ 一般] 索引標籤上,指定下列詳細數據:

    • 名稱MDATP MDAV - grant Full Disk Access to EDR and AV
    • 描述On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • 類別None
    • 散發方法Install Automatically
    • 層級Computer level

    一般而言,組態設定。

  4. [設定隱私權喜好設定原則控制] 中,選取 [ 設定]

    設定隱私策略控制件。

  5. 在 [ 隱私權喜好設定原則控制] 中,輸入下列詳細數據:

    • 識別碼com.microsoft.wdav
    • 識別元類型Bundle ID
    • 程式代碼需求identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    組態設定隱私權喜好設定原則控制詳細數據。

  6. 選取 [+ 新增]

    組態設定會新增系統原則 [所有檔案] 選項。

    • [應用程式或服務] 底下,選 取 [SystemPolicyAllFiles]
    • 在 [ 存取] 底下,選取 [ 允許]
  7. 選取 [儲存 (不是右下方) 。

    組態設定的儲存作業。

  8. 選取 +[應用程式存取] 旁的符號以新增專案。

    與組態設定相關的儲存作業。

  9. 輸入下列詳細資料:

    • 識別碼com.microsoft.wdav.epsext
    • 識別元類型Bundle ID
    • 程式代碼需求identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  10. 選取 [+ 新增]

    組態設定 tcc epsext 專案。

  • [應用程式或服務] 底下,選 取 [SystemPolicyAllFiles]
  • 在 [ 存取] 底下,選取 [ 允許]
  1. 選取 [儲存 (不是右下方) 。

組態設定 tcc epsext 的另一個實例。

  1. 選取 [ 範圍] 索引標籤

描述組態設定範圍的頁面。

  1. 選取 [+ 新增]

描述組態設定的頁面。

  1. 取 [計算機 群組],然後在 [組名] 底下,選取 [Contoso 的 MachineGroup]

組態設定 contoso 計算機群組。

  1. 選取 新增。 然後選取 [儲存]

  2. 選取 [完成]

    組態設定 contoso machine-group。

    組態設定圖例。

或者,您可以下載 fulldisk.mobileconfig 並將它上傳至 Jamf 組態配置檔,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro

注意事項

透過 Apple MDM 組態設定檔授與的完整磁碟存取權不會反映在系統設定 => 隱私權 & 安全性 => 完整磁碟存取中。

步驟 7:核准 適用於端點的 Microsoft Defender 的系統擴充功能

  1. 在 [ 組態配置檔] 中,選取 [ + 新增]

    自動產生的社交媒體文章描述。

  2. 在 [ 一般] 索引標籤上,指定下列詳細數據:

    • 名稱MDATP MDAV System Extensions
    • 描述MDATP system extensions
    • 類別None
    • 散發方法Install Automatically
    • 層級Computer Level

    組態設定 sysext 新配置檔。

  3. [系統延伸模組] 中 ,選 取 [設定]

    具有系統擴充功能之 [設定] 選項的窗格。

  4. [系統延伸模組] 中,輸入下列詳細資料:

    • 顯示名稱Microsoft Corp. System Extensions
    • 系統延伸模組類型Allowed System Extensions
    • 小組識別碼UBF8T346G9
    • 允許的系統延伸模組
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    [MDATP MDAV 系統延伸模組] 窗格。

  5. 選取 [ 範圍] 索引標籤

    [目標計算機] 選取窗格。

  6. 選取 [+ 新增]

  7. 取 [組名>] 底下的 [>計算機 群組],選取 [Contoso 的計算機群組]

  8. 選取 [+ 新增]

    [新增 macOS 組態配置檔] 窗格。

  9. 選取 [儲存]

    顯示有關 MDATP MDAV 系統延伸模組的選項。

  10. 選取 [完成]

    組態設定 sysext - final。

步驟 8:設定網路擴充功能

作為端點偵測和回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查套接字流量,並將此資訊報告至 Microsoft Defender 入口網站。

注意事項

這些步驟適用於macOS 11 (Big Sur) 或更新版本。 雖然 Jamf 支援 macOS 10.15 版或更新版本的通知,但 Mac 上適用於端點的 Defender 需要 macOS 11 或更新版本。

  1. 在 Jamf Pro 儀錶板中,依序選取 [ 計算機] 和 [ 組態配置檔]

  2. 選取 [新增],然後針對 [ 選項] 輸入下列詳細資料:

  3. 在 [ 一般] 索引標籤上,指定下列值:

    • 名稱Microsoft Defender Network Extension
    • 描述macOS 11 (Big Sur) or later
    • 類別None *(default)*
    • 散發方法Install Automatically *(default)*
    • 層級Computer Level *(default)*
  4. 在 [ 內容篩選] 索引 標籤上,指定下列值:

    • 篩選名稱Microsoft Defender Content Filter
    • 識別碼com.microsoft.wdav
    • 未選取 [服務位址]、[組織]、[使用者名稱]、[密碼]、[憑證空白 ([包含])
    • 篩選順序Inspector
    • 套接字篩選com.microsoft.wdav.netext
    • 套接字篩選指定的需求identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • [網络篩選] 字段保留空白 (選取 [包含])

    請注意, 標識碼套接字篩選 器和 套接字篩選指定的需求 確切值,如先前所指定。

    mdatpmdav 組態設定。

  5. 選取 [ 範圍] 索引標籤

    組態設定範圍索引標籤。

  6. 選取 [+ 新增]。 選取 [計算機 群組],然後在 [組名] 底下,選取 [Contoso 的計算機群組]。 然後選取 [+ 新增]

    組態設定 adim。

  7. 選取 [儲存]

    [內容篩選] 窗格。

  8. 選取 [完成]

    組態設定 netext - final。

或者,您可以下載 netfilter.mobileconfig 並將它上傳至 Jamf 組態配置檔,如使用 Jamf Pro 部署自定義組態配置檔|

步驟 9:設定背景服務

注意

macOS 13 (Ventura) 包含新的隱私權增強功能。 從這個版本開始,根據預設,應用程式在未經明確同意的情況下,無法在背景中執行。 適用於端點的 Microsoft Defender 必須在背景中執行其精靈進程。

此組態配置檔會將背景服務許可權授與 適用於端點的 Microsoft Defender。 如果您先前已透過 Jamf 設定 適用於端點的 Microsoft Defender,建議您使用此組態配置檔來更新部署。

我們的 GitHub 存放庫下載 background_services.mobileconfig

將下載的mobileconfig上傳至 Jamf 組態配置檔,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro

步驟 10:授與藍牙許可權

注意

macOS 14 (Sonoma) 包含新的隱私權增強功能。 從此版本開始,應用程式預設無法在未經明確同意的情況下存取藍牙。 如果您為裝置控制設定藍牙原則,適用於端點的 Microsoft Defender 會使用它。

GitHub 存放庫下載 bluetooth.mobileconfig

警告

目前版本的 Jamf Pro 尚不支援這種承載。 如果您依原樣上傳此mobileconfig,Jamf Pro 將會移除不支持的承載,且無法套用至客戶端電腦。 您必須先簽署下載的mobileconfig,之後 Jamf Pro 會將其視為「密封」,且不會竄改它。 請參閱下列指示:

  • 您必須至少將一個簽署憑證安裝到您的 KeyChain 中,即使是自我簽署憑證也可運作。 您可以使用下列項目來檢查您擁有的內容:

    > /usr/bin/security find-identity -p codesigning -v
    
      1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
      2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
      3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
      4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
         4 valid identities found
    

選擇其中任何一個,並提供引號文字作為 -N 參數:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

現在您可以將產生的藍牙簽署.mobileconfig 上傳至 Jamf Pro,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro

注意事項

透過 Apple MDM 組態設定檔授與的藍牙不會反映在系統設定 => 隱私權 & 安全性 => 藍牙中。

步驟 11:在 macOS 上使用 適用於端點的 Microsoft Defender 排程掃描

請遵循在macOS上使用 適用於端點的 Microsoft Defender 排程掃描中的指示。

步驟 12:在 macOS 上部署 適用於端點的 Microsoft Defender

注意事項

在後續步驟中,檔名和顯示名稱.pkg值都是範例。 在這些範例中, 200329 代表以格式) (yymmdd 建立套件和原則的日期,並v100.86.92代表要部署的 Microsoft Defender 應用程式版本。 這些值應該更新,以符合您在環境中用於套件和原則的命名慣例。

  1. 流覽至您儲存 wdav.pkg的位置。

    檔案總管 wdav 套件。

  2. 重新命名為 wdav_MDM_Contoso_200329.pkg

    檔案總管 1 wdavmdm 套件。

  3. 開啟 Jamf Pro 儀錶板。

    Jamf pro 的組態設定。

  4. 選取您的計算機,然後選取頂端的齒輪圖示,然後選取 [ 計算機管理]

    組態設定 - 計算機管理。

  5. [套件] 中,選取 [+ 新增]

    自動產生之封裝的鳥類描述。

  6. 在 [ 一般] 索引標籤的 [ 新增套件] 中,指定下列詳細數據:

    • 顯示名稱:目前將它保留空白。 因為當您選擇 pkg 時,它會重設。
    • 類別None (default)
    • 檔案名稱Choose File

    組態設定的 [一般] 索引標籤。

  7. 開啟檔案,並將其 wdav.pkg 指向 或 wdav_MDM_Contoso_200329.pkg

    顯示自動產生之套件描述的計算機畫面。

  8. 選取 [開啟]。 將 [顯示名稱] 設定為 [Microsoft Defender 進階威脅防護] 和 [Microsoft Defender 防病毒軟體]

    • 不需要指令清單檔。 適用於端點的 Microsoft Defender 不使用指令清單檔即可運作。
    • 選項索引標籤:保留預設值。
    • 限制索引標籤:保留預設值。

    組態設定的限制索引標籤。

  9. 選取 [儲存]。 套件會上傳至 Jamf Pro。

    與組態設定相關的封裝組態設定套件上傳程式。

    可能需要幾分鐘的時間,封裝才會可供部署。

    上傳組態設定套件的實例。

  10. 流覽至 [ 原則] 頁面。

組態設定原則。

  1. 取 [+ 新增 ] 以建立新原則。

    組態設定會設定新的原則。

  2. [一般] 中,針對 [顯示名稱],請使用 MDATP Onboarding Contoso 200329 v100.86.92 or later

    組態設定 - MDATP 上線。

  3. 選取 [週期性簽入]

    組態設定的週期性簽入。

  4. 選取 [儲存]。 然後選取 [ 套件],然後選取 [設定]

    設定套件的選項。

  5. 選取 [階威脅防護] Microsoft Defender 旁邊的 [新增] 按鈕,Microsoft Defender 防病毒軟體]

    將更多設定新增至 MDATP MDA 的選項。

  6. 選取 [儲存]

    組態設定的儲存選項。

為具有 Microsoft Defender 配置檔的電腦建立智慧群組。

若要獲得更好的用戶體驗,必須先安裝已註冊計算機的組態配置檔,再 Microsoft Defender 套件。 在大部分情況下,JamF Pro 會立即推送組態配置檔,而這些原則會在簽入期間 (一段時間后執行) 。 不過,在某些情況下,如果使用者的計算機已鎖定) ,則組態配置檔部署可能會有顯著的延遲 (。

Jamf Pro 提供確保正確順序的方法。 您可以為已收到 Microsoft Defender 組態配置檔的機器建立智慧群組,並只將 Microsoft Defender 的套件安裝到這些電腦 (,且只要它們收到此配置檔) 。

依照下列步驟執行:

  1. 建立智慧群組。 在新的瀏覽器視窗中,開啟 [智慧型計算機] 群組

  2. 選取 [新增],併為您的群組命名。

  3. 在 [ 準則] 索引 標籤上,選取 [ 新增],然後選取 [ 顯示進階準則]

  4. 取 [設定檔名稱 ] 作為準則,並使用先前建立的組態設定檔名稱作為值:

    建立智慧群組。

  5. 選取 [儲存]

  6. 返回 至您設定套件原則的視窗。

  7. 選取 [ 範圍] 索引標籤

    與組態設定相關的 [範圍] 索引標籤。

  8. 選取目標計算機。

    新增計算機群組的選項。

  9. 在 [ 範圍] 底下,選取 [ 新增]

    組態設定 - ad1。

  10. 切換至 [計算機 群組] 索引標籤。尋找您建立的智慧群組,然後選取 [新增]

組態設定 - ad2。

  1. 如果您想要讓用戶主動安裝適用於端點的 Defender (或視需要) ,請選取 [自助]

組態設定的 [自助式] 索引標籤。

  1. 選取 [完成]

Contoso 上線狀態,具有完成它的選項。

原則頁面。

組態配置檔範圍

Jamf 會要求您為組態配置檔定義一組機器。 您必須確定所有接收 Defender 套件的機器,也會接收上面所列 的所有 組態配置檔。

警告

Jamf 支援允許部署的智慧型手機 群組,例如組態配置檔或原則,以動態方式評估符合特定準則的所有機器。 這是廣泛用於組態配置檔散發的強大概念。

不過,請記住,這些準則不應該包含計算機上有 Defender。 雖然使用此準則聽起來可能邏輯,但它會產生難以診斷的問題。

Defender 在安裝時依賴所有這些配置檔。

根據 Defender 的存在進行組態配置檔會有效地延遲部署組態配置檔,並導致一開始狀況不良的產品和/或提示手動核准特定應用程式許可權,否則會由配置檔自動核准。部署組態配置檔之後,使用 Microsoft Defender 套件部署原則可確保終端使用者的最佳體驗,因為所有必要的設定都會在套件安裝之前套用。

提示

想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。