在 Jamf Pro 的 macOS 原則上設定適用於端點的 Microsoft Defender

適用於：

• Mac 上適用於端點的 Defender
• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

使用本文來設定使用 Jamf Pro 在 Mac 上適用於端點的 Defender 的原則。

步驟 1：取得適用於端點的 Microsoft Defender 上線套件

1. 在 Microsoft Defender XDR 中，流覽至 [ 設定 > 端點 > 上線]。

2. 選取 [macOS] 作為操作系統，並選取 [行動裝置管理/ Microsoft Intune] 作為部署方法。

   

3. 選 取 [下載上線套 件 (WindowsDefenderATPOnboardingPackage.zip) ]。

4. 擷取WindowsDefenderATPOnboardingPackage.zip

5. 將檔案複製到您慣用的位置。 例如，C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist。

步驟 2：使用上線套件在 Jamf Pro 中建立組態配置檔

1. 找出上一節中的檔案 WindowsDefenderATPOnboarding.plist 。

   

2. 登入 Jamf Pro，流覽至 [計算機>組態配置檔]，然後選取 [ 新增]。

   

3. 在 [ 一般 ] 索引標籤中輸入下列詳細資料：

   • 名稱： MDE onboarding for macOS
   • 描述： MDE EDR onboarding for macOS
   • 類別： None
   • 散發方法： Install Automatically
   • 層級： Computer Level

4. 流覽至 [應用程式 & 自定義設定 ] 頁面，選取 [ 上傳]，然後選取 [ 新增]。

   

5. 選 取 [上傳檔案 (PLIST 檔案) 然後在 [ 喜好設定網域] 中輸入 com.microsoft.wdav.atp。

   

   

6. 選 取 [開 啟]，然後選取上線檔案。

   

7. 選取 [上傳]。

   

8. 選取 [ 範圍] 索引標籤 。

   

9. 選取目標計算機。

   

   

10. 選取 [儲存]。

    

    

11. 選取 [完成]。

    

    

步驟 3：設定適用於端點的 Microsoft Defender 設定

在此步驟中，我們會移至 [ 喜好 設定]，讓您可以使用 Microsoft Defender XDR https://security.microsoft.com 入口網站 () 或 JamF 來設定反惡意代碼和 EDR 原則。

重要事項

Microsoft適用於端點的 Defender 安全性設定管理原則優先於 JamF 設定 (和其他第三方 MDM) 原則。

3a. 使用 Microsoft Defender 入口網站設定原則

1. 在使用 Microsoft Defender 設定安全策略之前，請遵循 在 Intune 中設定適用於端點 的 Microsoft Defender 中的指引。

2. 在 Microsoft Defender 入口網站中，移至 [ 設定管理>端點安全策略>] [Mac 原則>] [建立新原則]。

3. 在 [ 選取平臺] 底下，選取 [macOS]。

4. 在 [ 選取範本] 下，選擇範本，然後選取 [ 建立原則]。

5. 指定原則的名稱和描述，然後選取 [ 下一步]。

6. 在 [ 指派] 索引標籤 上，將配置檔指派給 macOS 裝置和/或使用者所在的群組，或 [ 所有使用者 ] 和 [ 所有裝置]。

如需管理安全性設定的詳細資訊，請參閱下列文章：

• 使用 Microsoft Intune 在裝置上管理適用於端點的 Microsoft Defender

• 在適用於端點的Defender中以原生方式管理 Windows、macOS 和Linux的安全性設定

3b. 使用 JamF 設定原則

您可以使用 JAMF Pro GUI 來編輯適用於端點的 Microsoft Defender 設定的個別設定，或使用舊版方法，方法是在文本編輯器中建立設定 Plist，並將它上傳至 JAMF Pro。

請注意，您必須使用完全 com.microsoft.wdav 相同的 喜好設定網域;Microsoft適用於端點的 Defender 只會使用此名稱並 com.microsoft.wdav.ext 載入其 Managed 設定。

com.microsoft.wdav.ext (當您想要使用 GUI 方法，但也需要設定尚未新增至架構的設定時，此版本可能在極少數情況下使用。)

GUI 方法

1. 從 Defender 的 GitHub 存放庫 下載schema.json檔案，並將其儲存至本機檔案：

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. 建立新的組態配置檔。 在 [ 計算機] 下，移至 [ 組態配置檔]，然後在 [ 一般 ] 索引標籤上指定下列詳細數據：

   

   • 名稱： MDATP MDAV configuration settings
   • 描述： <blank\>
   • 類別： None (default)
   • 層級： Computer Level (default)
   • 散發方法： Install Automatically (default)

3. 向下卷動至 [ 應用程式 & 自定義設定] 索引標籤，選取 [ 外部應用程式]，選取 [ 新增]，然後使用 [自定義架構 ] 作為喜好設定網域的來源。

   

4. 輸入 com.microsoft.wdav 喜好設定網域，選取 [ 新增架構 ]，然後上傳 schema.json 在步驟 1 下載的檔案。 選取 [儲存]。

   

5. 您可以在 [喜好設定網域屬性] 下方看到所有支援的 Microsoft Defender for Endpoint 組態設定。 選 取 [新增/移除屬性 ] 以選取您要管理的設定，然後選取 [ 確定 ] 以儲存變更。 (未選取的設定未包含在受控組態中，使用者就可以在其計算機上設定這些設定。)

   

6. 將設定的值變更為所需的值。 您可以選擇 [更多資訊 ] 以取得特定設定的檔案。 (您可以選取 [Plist 預覽 ] 來檢查設定 plist 的外觀。選 取 [表單編輯 器] 以返回視覺效果編輯器。)

   

7. 選取 [ 範圍] 索引標籤 。

   

8. 選 取 Contoso 的電腦群組。

9. 選取 [新增]，然後選取 [ 儲存]。

   

   

10. 選取 [完成]。 您會看到新的組 態設定檔。

    

Microsoft適用於端點的 Defender 會隨著時間新增設定。 這些新設定會新增至架構，而新版本會發佈至 GitHub。 若要取得更新，請下載更新的架構並編輯現有的組態配置檔。 在 [ 應用程式 & 自定義設定] 索引標籤 上，選取 [ 編輯架構]。

舊版方法

1. 使用下列Microsoft適用於端點的Defender組態設定：

   • enableRealTimeProtection

   • passiveMode

     注意事項

     預設不會開啟，如果您打算執行 macOS 的第三方防病毒軟體，請將它 true設定為 。

   • exclusions

   • excludedPath

   • excludedFileExtension

   • excludedFileName

   • exclusionsMergePolicy

   • allowedThreats

     注意事項

     EICAR 位於範例中，如果您正在進行概念證明，請特別在測試 EICAR 時移除它。

   • disallowedThreatActions

   • potentially_unwanted_application

   • archive_bomb

   • cloudService

   • automaticSampleSubmission

   • tags

   • hideStatusMenuIcon

   如需詳細資訊，請參閱 JAMF 完整組態配置檔的屬性清單。

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>antivirusEngine</key>
       <dict>
           <key>enableRealTimeProtection</key>
           <true/>
           <key>passiveMode</key>
           <false/>
           <key>exclusions</key>
           <array>
               <dict>
                   <key>$type</key>
                   <string>excludedPath</string>
                   <key>isDirectory</key>
                   <false/>
                   <key>path</key>
                   <string>/var/log/system.log</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedPath</string>
                   <key>isDirectory</key>
                   <true/>
                   <key>path</key>
                   <string>/home</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedFileExtension</string>
                   <key>extension</key>
                   <string>pdf</string>
               </dict>
               <dict>
                   <key>$type</key>
                   <string>excludedFileName</string>
                   <key>name</key>
                   <string>cat</string>
               </dict>
           </array>
           <key>exclusionsMergePolicy</key>
           <string>merge</string>
           <key>allowedThreats</key>
           <array>
               <string>EICAR-Test-File (not a virus)</string>
           </array>
           <key>disallowedThreatActions</key>
           <array>
               <string>allow</string>
               <string>restore</string>
           </array>
           <key>threatTypeSettings</key>
           <array>
               <dict>
                   <key>key</key>
                   <string>potentially_unwanted_application</string>
                   <key>value</key>
                   <string>block</string>
               </dict>
               <dict>
                   <key>key</key>
                   <string>archive_bomb</string>
                   <key>value</key>
                   <string>audit</string>
               </dict>
           </array>
           <key>threatTypeSettingsMergePolicy</key>
           <string>merge</string>
       </dict>
       <key>cloudService</key>
       <dict>
           <key>enabled</key>
           <true/>
           <key>diagnosticLevel</key>
           <string>optional</string>
           <key>automaticSampleSubmission</key>
           <true/>
       </dict>
       <key>edr</key>
       <dict>
           <key>tags</key>
           <array>
               <dict>
                   <key>key</key>
                   <string>GROUP</string>
                   <key>value</key>
                   <string>ExampleTag</string>
               </dict>
           </array>
       </dict>
       <key>userInterface</key>
       <dict>
           <key>hideStatusMenuIcon</key>
           <false/>
       </dict>
   </dict>
   </plist>
   

2. 將檔案儲存為 MDATP_MDAV_configuration_settings.plist。

3. 在 Jamf Pro 儀錶板中，開啟 [計算機] 及其 [ 組態配置檔]。 選取 [新增 ]，然後切換至 [ 一般] 索引 卷標。

   

4. 在 [ 一般 ] 索引標籤上輸入下列詳細資料：

   • 名稱： MDATP MDAV configuration settings
   • 描述： <blank>
   • 類別： None (default)
   • 散發方法： Install Automatically (default)
   • 層級： Computer Level (default)

5. 在 [應用程式 & 自定義設定] 中，選取 [ 設定]。

   

   

6. 選 取 [上傳檔案 (PLIST 檔案) 。

   

7. 在 [ 喜好設定網域] 中輸入 com.microsoft.wdav，然後選取 [上傳 PLIST 檔案]。

   

8. 選 取 [選擇檔案]。

   

9. 選 取 MDATP_MDAV_configuration_settings.plist，然後選取 [ 開啟]。

   

10. 選取 [上傳]。

    

    

    注意事項

    如果您上傳 Intune 檔案，將會收到下列錯誤：

    

11. 選取 [儲存]。

    

12. 檔案已上傳。

    

    

13. 選取 [ 範圍] 索引標籤 。

    

14. 選 取 Contoso 的電腦群組。

15. 選取 [新增]，然後選取 [ 儲存]。

    

    

16. 選取 [完成]。 您會看到新的 組態設定檔。

    

步驟 4：設定通知設定

這些步驟適用於macOS 11 (Big Sur) 或更新版本。

1. 在 Jamf Pro 儀錶板中，依序選取 [ 計算機] 和 [ 組態配置檔]。

2. 選取 [新增]，然後在 [選項] 的 [ 一般 ] 索引卷標中輸入下列詳細 數據：

   • 名稱： MDATP MDAV Notification settings

   • 描述： macOS 11 (Big Sur) or later

   • 類別： None *(default)*

   • 散發方法： Install Automatically *(default)*

   • 層級： Computer Level *(default)*

     

   • 索 引標籤通知，選取 [新增]，然後輸入下列值：

     • 套件組合識別碼： com.microsoft.wdav.tray

     • 重大警示：選取 [停用]

     • 通知：選取 [啟用]

     • 橫幅警示類型：選取 [ 包含 ] 和 [ 暫 存 (預設)

     • 鎖定畫面上的通知：選取 [隱藏]

     • 通知中心內的通知：選取 [顯示]

     • 徽章應用程式圖示：選取 顯示

       

   • 索 引標籤通知，選取 [再 新增 一次]，向下捲動至 [ 新增通知設定]

     • 套件組合識別碼： com.microsoft.autoupdate.fba

     • 將其餘設定設定為先前提到的相同值

       

       請注意，現在您有兩個具有通知組態的數據表，一個用於套件組合 標識符：com.microsoft.wdav.tray，另一個用於套件 組合標識符：com.microsoft.autoupdate.fba。 雖然您可以根據需求設定警示設定，但套件組合標識碼必須與之前所述完全相同，而 [通知] 的 [包含] 參數必須是 [開啟]。

3. 選取 [ 範圍] 索引 標籤，然後選取 [ 新增]。

   

4. 選 取 Contoso 的電腦群組。

5. 選取 [新增]，然後選取 [ 儲存]。

   

   

6. 選取 [完成]。 您應該會看到新的 組態配置檔。

   

步驟 5：設定 Microsoft AutoUpdate (MAU)

1. 使用下列Microsoft適用於端點的Defender組態設定：

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. 將它儲存為 MDATP_MDAV_MAU_settings.plist。

3. 在 Jamf Pro 儀錶板中，選取 [ 一般]。

   

4. 在 [ 一般 ] 索引標籤上輸入下列詳細資料：

   • 名稱： MDATP MDAV MAU settings
   • 描述： Microsoft AutoUpdate settings for MDATP for macOS
   • 類別： None (default)
   • 散發方法： Install Automatically (default)
   • 層級： Computer Level (default)

5. 在 [應用程式 & 自定義設定] 中 ，選取 [ 設定]。

   

6. 選 取 [上傳檔案 (PLIST 檔案) 。

7. 在 [ 喜好設定網域 ] 中輸入 com.microsoft.autoupdate2，然後選取 [ 上傳 PLIST 檔案]。

   

8. 選 取 [選擇檔案]。

   

9. 選 取 [MDATP_MDAV_MAU_settings.plist]。

   

10. 選取 [上傳]。

    

11. 選取 [儲存]。

    

12. 選取 [ 範圍] 索引標籤 。

    

13. 選取 新增。

    

    

    

14. 選取 [完成]。

    

步驟 6：授與適用於端點的 Microsoft Defender 的完整磁碟存取權

1. 在 Jamf Pro 儀錶板中，選取 [ 組態配置檔]。

   

2. 選 取 [+ 新增]。

3. 在 [ 一般 ] 索引標籤上輸入下列詳細資料：

   • 名稱： MDATP MDAV - grant Full Disk Access to EDR and AV
   • 描述： On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • 類別： None
   • 散發方法： Install Automatically
   • 層級： Computer level

   

4. 在 [設定隱私權喜好設定原則控制] 中，選取 [ 設定]。

   

5. 在 [ 隱私權喜好設定原則控制] 中，輸入下列詳細數據：

   • 識別碼： com.microsoft.wdav
   • 識別元類型： Bundle ID
   • 程式代碼需求： identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. 選取 [+ 新增]。

   

   • 在 [應用程式或服務] 底下，選 取 [SystemPolicyAllFiles]。
   • 在 [ 存取] 底下，選取 [ 允許]。

7. 選取 [儲存 (不是右下方) 。

   

8. 選取 +[應用程式存取] 旁的符號以新增專案。

   

9. 輸入下列詳細資料：

   • 識別碼： com.microsoft.wdav.epsext
   • 識別元類型： Bundle ID
   • 程式代碼需求： identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. 選取 [+ 新增]。

    

    • 在 [應用程式或服務] 底下，選 取 [SystemPolicyAllFiles]。
    • 在 [ 存取] 底下，選取 [ 允許]。

11. 選取 [儲存 (不是右下方) 。

    

12. 選取 [ 範圍] 索引標籤 。

    

13. 選取 [+ 新增]。

    

14. 選取 [計算機群組]，然後在 [ 組名] 底下，選取 [Contoso 的 MachineGroup]。

    

15. 選取 新增。

16. 選取 [儲存]。

17. 選取 [完成]。

    

    

或者，您可以下載 fulldisk.mobileconfig 並將它上傳至 JAMF 組態配置檔，如 使用 Jamf Pro 部署自定義組態配置檔|方法 2：將組態配置檔上傳至 Jamf Pro。

注意事項

透過 Apple MDM 組態設定檔授與的完整磁碟存取權不會反映在系統設定 => 隱私權 & 安全性 => 完整磁碟存取中。

步驟 7：核准適用於端點的 Microsoft Defender 的系統擴充功能

1. 在 [ 組態配置檔] 中，選取 [ + 新增]。

   

2. 在 [ 一般 ] 索引標籤上輸入下列詳細資料：

   • 名稱： MDATP MDAV System Extensions
   • 描述： MDATP system extensions
   • 類別： None
   • 散發方法： Install Automatically
   • 層級： Computer Level

   

3. 在 [系統延伸模組] 中 ，選 取 [設定]。

   

4. 在 [系統延伸模組] 中，輸入下列詳細資料：

   • 顯示名稱： Microsoft Corp. System Extensions
   • 系統延伸模組類型： Allowed System Extensions
   • 小組識別碼： UBF8T346G9
   • 允許的系統延伸模組：
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. 選取 [ 範圍] 索引標籤 。

   

6. 選取 [+ 新增]。

7. 選取 [組名>] 底下的 [計算機群組>]，選取 [Contoso 的計算機群組]。

8. 選取 [+ 新增]。

   

9. 選取 [儲存]。

   

10. 選取 [完成]。

    

步驟 8：設定網路擴充功能

作為端點偵測和回應功能的一部分，macOS 上適用於端點的 Microsoft Defender 會檢查套接字流量，並將此資訊報告至 Microsoft Defender 入口網站。 下列原則可讓網路擴充功能執行這項功能。

這些步驟適用於macOS 11 (Big Sur) 或更新版本。

1. 在 Jamf Pro 儀錶板中，依序選取 [ 計算機] 和 [ 組態配置檔]。

2. 選取 [新增]，然後針對 [ 選項] 輸入下列詳細資料：

   • 索引標籤 一般：

     • 名稱： Microsoft Defender Network Extension
     • 描述： macOS 11 (Big Sur) or later
     • 類別： None *(default)*
     • 散發方法： Install Automatically *(default)*
     • 層級： Computer Level *(default)*

   • 索引標籤 內容篩選器：

     • 篩選名稱： Microsoft Defender Content Filter
     • 識別碼： com.microsoft.wdav
     • 未選取 [服務位址]、[組織]、[使用者名稱]、[密碼]、[憑證空白 ([包含])
     • 篩選順序： Inspector
     • 套接字篩選： com.microsoft.wdav.netext
     • 套接字篩選指定的需求： identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
     • 將 [網络篩選] 字段保留空白 (未選取 [包含])

     請注意， 標識碼、 套接字篩選 器和 套接字篩選指定的需求 確切值，如上所述。

     

3. 選取 [ 範圍] 索引標籤 。

   

4. 選取 [+ 新增]。

5. 選取 [組名>] 底下的 [計算機群組>]，選取 [Contoso 的計算機群組]。

6. 選取 [+ 新增]。

   

7. 選取 [儲存]。

   

8. 選取 [完成]。

   

或者，您可以下載 netfilter.mobileconfig 並將它上傳至 JAMF 組態配置檔，如 使用 Jamf Pro 部署自定義組態配置檔|方法 2：將組態配置檔上傳至 Jamf Pro。

步驟 9：設定背景服務

注意

macOS 13 (Ventura) 包含新的隱私權增強功能。 從這個版本開始，根據預設，應用程式在未經明確同意的情況下，無法在背景中執行。 Microsoft適用於端點的 Defender 必須在背景中執行其精靈程式。

此組態配置檔會授與背景服務許可權，以Microsoft適用於端點的Defender。 如果您先前已透過 JAMF 設定Microsoft適用於端點的 Defender，建議您使用此組態配置檔來更新部署。

從我們的 GitHub 存放庫下載 background_services.mobileconfig。

將下載的mobileconfig上傳至 JAMF 組態配置檔，如 使用 Jamf Pro 部署自定義組態配置檔|方法 2：將組態配置檔上傳至 Jamf Pro。

步驟 10：授與藍牙許可權

注意

macOS 14 (Sonoma) 包含新的隱私權增強功能。 從此版本開始，應用程式預設無法在未經明確同意的情況下存取藍牙。 如果您為裝置控制設定藍牙原則，Microsoft適用於端點的 Defender 會使用它。

從 GitHub 存放庫下載 bluetooth.mobileconfig。

警告

目前版本的 JAMF Pro 尚不支援這種承載。 如果您依原樣上傳此mobileconfig，JAMF Pro 將會移除不支持的承載，且無法套用至客戶端電腦。 您必須先簽署下載的mobileconfig，之後 JAMF Pro 會將其視為「密封」，且不會竄改它。 請參閱下列指示：

• 您必須至少將一個簽署憑證安裝到您的 KeyChain 中，即使是自我簽署憑證也可運作。 您可以使用下列項目來檢查您擁有的內容：

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

• 選擇其中任何一個，並提供引號文字作為 -N 參數：

  /usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
  

• 現在您可以將產生的藍牙簽署.mobileconfig 上傳至 JAMF Pro，如 使用 Jamf Pro 部署自定義組態配置檔|方法 2：將組態配置檔上傳至 Jamf Pro。

  注意事項

  透過 Apple MDM 組態設定檔授與的藍牙不會反映在系統設定 => 隱私權 & 安全性 => 藍牙中。

步驟 11：在 macOS 上使用適用於端點的 Microsoft Defender 排程掃描

請遵循 在macOS上使用適用於端點的 Microsoft Defender 排程掃描的指示。

步驟 12：在 macOS 上部署適用於端點的 Microsoft Defender

注意事項

在後續步驟中，檔名和顯示名稱.pkg值都是範例。 在這些範例中， 200329 代表 (格式) yymmdd 建立套件和原則的日期，並 v100.86.92 代表要部署的 Microsoft Defender 應用程式版本。 這些值應該更新，以符合您在環境中用於套件和原則的命名慣例。

1. 流覽至您儲存 wdav.pkg的位置。

   

2. 重新命名為 wdav_MDM_Contoso_200329.pkg。

   

3. 開啟 Jamf Pro 儀錶板。

   

4. 選取您的計算機，然後選取頂端的齒輪圖示，然後選取 [ 計算機管理]。

   

5. 在 [套件] 中，選取 [+ 新增]。

   

6. 在 [ 一般] 索引標籤的 [ 新增套件] 中輸入下列詳細數據：

   • 顯示名稱：目前將它保留空白。 因為當您選擇 pkg 時，它會重設。
   • 類別： None (default)
   • 檔案名稱： Choose File

   

   開啟檔案，並將其 wdav.pkg 指向 或 wdav_MDM_Contoso_200329.pkg。

   

7. 選取 [開啟]。 將 [顯示名稱 ] 設定 為 [Microsoft Defender 進階威脅防護] 和 [Microsoft Defender 防病毒軟體]。

   • 不需要指令清單檔。 Microsoft適用於端點的 Defender 在不使用指令清單檔案的情況下運作。
   • 選項索引標籤：保留預設值。
   • 限制索引標籤：保留預設值。

   

8. 選取 [儲存]。 套件會上傳至 Jamf Pro。

   

   可能需要幾分鐘的時間，封裝才會可供部署。

   

9. 流覽至 [ 原則] 頁面。

   

10. 選 取 [+ 新增 ] 以建立新原則。

    

11. 在 [一般] 中，針對 [顯示名稱]，請使用 MDATP Onboarding Contoso 200329 v100.86.92 or later。

    

12. 選取 [週期性簽入]。

    

13. 選取 [儲存]。

14. 選 取 [封裝>設定]。

    

15. 選取 [Microsoft Defender 進階威脅防護] 旁的 [新增] 按鈕，Microsoft Defender 防病毒軟體]。

    

16. 選取 [儲存]。

    

17. 使用 Microsoft Defender 配置檔為電腦建立智慧群組。

    若要獲得更好的用戶體驗，必須先安裝已註冊計算機的組態配置檔，才能Microsoft Defender 的套件。 在大部分情況下，JAMF Pro 會立即推送組態配置檔，而這些原則會在簽入期間 (一段時間后執行) 。 不過，在某些情況下，如果使用者的計算機已鎖定) ，則組態配置檔部署可能會有顯著的延遲 (。

    JAMF Pro 提供確保正確順序的方法。 您可以為已收到 Microsoft Defender 組態配置檔的機器建立智慧群組，並只將 Microsoft Defender 的套件安裝到這些電腦 (，且只要它們收到此配置檔) 。

    依照下列步驟執行：

    1. 建立智慧群組。 在新的瀏覽器視窗中，開啟 [智慧型計算機群組]。

    2. 選取 [新增]，併為您的群組命名。

    3. 在 [ 準則] 索引 標籤上，選取 [ 新增]，然後選取 [ 顯示進階準則]。

    4. 選 取 [設定檔名稱 ] 作為準則，並使用先前建立的組態設定檔名稱作為值：

       

    5. 選取 [儲存]。

    6. 返回您設定套件原則的視窗。

18. 選取 [ 範圍] 索引標籤 。

    

19. 選取目標計算機。

    

    在 [ 範圍] 底下，選取 [ 新增]。

    

    切換至 [ 計算機群組] 索引標籤 。尋找您建立的智慧群組，然後選取 [ 新增]。

    

    如果您想要讓用戶主動安裝適用於端點的 Defender (或視需要) ，請選取 [自助]。

    

20. 選取 [完成]。

    

    

組態配置檔範圍

JAMF 會要求您為組態配置檔定義一組機器。 您必須確定所有接收 Defender 套件的機器，也會接收上面所列 的所有 組態配置檔。

警告

JAMF 支援允許部署的智慧型手機群組，例如組態配置檔或原則，以動態方式評估符合特定準則的所有機器。 這是廣泛用於組態配置檔散發的強大概念。

不過，請記住，這些準則不應該包含計算機上有 Defender。 雖然使用此準則聽起來可能邏輯，但它會產生難以診斷的問題。

Defender 在安裝時依賴所有這些配置檔。 根據 Defender 的存在進行組態配置檔會有效地延遲部署組態配置檔，並導致一開始狀況不良的產品和/或提示手動核准特定應用程式許可權，否則會由配置檔自動核准。

部署組態配置文件 之後 ，使用 Microsoft Defender 的套件部署原則可確保使用者的最佳體驗，因為所有必要的設定都會在套件安裝之前套用。

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft適用於端點的Defender技術社群。