共用方式為


設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定

適用於:

重要事項

本文包含如何在企業組織中設定 macOS 上適用於端點的 Microsoft Defender 喜好設定的指示。 若要使用命令行介面在macOS上設定適用於端點的 Microsoft Defender,請參閱 資源

摘要

在企業組織中,macOS 上的適用於端點的 Microsoft Defender 可以透過使用數個管理工具之一所部署的組態配置檔來管理。 由安全性作業小組管理的喜好設定優先於在本機裝置上設定的喜好設定。 變更透過組態配置檔設定的喜好設定需要提升的許可權,而且沒有系統管理許可權的使用者無法使用這些許可權。

本文說明組態配置檔的結構、包含您可以用來開始使用的建議配置檔,並提供如何部署配置檔的指示。

組態配置文件結構

組態配置檔是 一個 .plist 檔案,由索引鍵 (所識別的專案所組成,該索引鍵) 代表喜好設定) 的名稱,後面接著值,這取決於喜好設定的本質。 值可以是簡單的 (,例如數值) 或複雜值,例如巢狀的喜好設定清單。

注意

組態配置檔的配置取決於您使用的管理主控台。 下列各節包含 JAMF 和 Intune 的組態配置檔範例。

組態配置檔的最上層包含適用於端點的 Microsoft Defender 子區域的全產品喜好設定和專案,下一節會詳細說明。

防病毒軟體引擎喜好設定

組態配置檔的 antivirusEngine 區段可用來管理適用於端點的 Microsoft Defender 防病毒軟體元件的喜好設定。

區段
網域 com.microsoft.wdav
機碼 antivirusEngine
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。

防病毒軟體引擎的強制層級

指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:

  • 即時 (real_time) :啟用存取檔案時 (掃描檔案的即時保護) 。
  • 隨選 (on_demand) :僅視需要掃描檔案。 在這裡範例中:
    • 即時保護已關閉。
  • 被動 (passive) :以被動模式執行防病毒軟體引擎。 在這裡範例中:
    • 即時保護已關閉。
    • 隨選掃描已開啟。
    • 自動威脅補救已關閉。
    • 安全性情報更新已開啟。
    • 狀態功能表圖示已隱藏。
區段
網域 com.microsoft.wdav
機碼 enforcementLevel
資料類型 字串
可能值 real_time (默认)

on_demand

被動

Comments 適用於端點的 Microsoft Defender 101.10.72 版或更新版本中提供。

啟用/停用行為監視

判斷裝置上是否啟用行為監視和封鎖功能。

注意事項

只有在啟用 Real-Time 保護功能時,才適用此功能。

區段
網域 com.microsoft.wdav
機碼 behaviorMonitoring
資料類型 字串
可能值 禁用

已啟用 (預設)

Comments 適用於端點的 Microsoft Defender 版本 101.24042.0002 或更新版本中提供。

設定檔案哈希計算功能

啟用或停用檔案哈希計算功能。 啟用此功能時,適用於端點的 Defender 會計算所掃描檔案的哈希,以針對指標規則進行更好的比對。 在 macOS 上,只有腳本和 Mach-O (32 和 64 位) 檔案會考慮此哈希計算 (來自引擎 1.1.20000.2 版或更新版本的) 。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱: 建立檔案的指標

區段
網域 com.microsoft.wdav
機碼 enableFileHashComputation
資料類型 布林值
可能值 false (預設)

Comments 適用於端點的 Defender 101.86.81 版或更新版本中提供。

更新定義之後執行掃描

指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。

區段
網域 com.microsoft.wdav
機碼 scanAfterDefinitionUpdate
資料類型 布林值
可能值 true (預設)

Comments 適用於端點的 Microsoft Defender 101.41.10 版或更新版本中提供。

僅掃描封存 (視需要的防病毒軟體掃描)

指定是否要在隨選防病毒軟體掃描期間掃描封存。

區段
網域 com.microsoft.wdav
機碼 scanArchives
資料類型 布林值
可能值 true (預設)

Comments 適用於端點的 Microsoft Defender 101.41.10 版或更新版本中提供。

隨選掃描的平行處理原則程度

指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。

區段
網域 com.microsoft.wdav
機碼 maximumOnDemandScanThreads
資料類型 整數
可能值 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。
Comments 適用於端點的 Microsoft Defender 101.41.10 版或更新版本中提供。

排除合併原則

指定排除範圍的合併原則。 這可以是系統管理員定義和用戶定義的排除 () merge 的組合,或只有系統管理員定義的排除 (admin_only) 。 此設定可用來限制本機用戶定義自己的排除範圍。

區段
網域 com.microsoft.wdav
機碼 exclusionsMergePolicy
資料類型 字串
可能值 合併 (預設)

admin_only

Comments 適用於端點的 Microsoft Defender 100.83.73 版或更新版本中提供。

掃描排除專案

指定從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)

區段
網域 com.microsoft.wdav
機碼 排除
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。
排除類型

指定從類型掃描中排除的內容。

區段
網域 com.microsoft.wdav
機碼 $type
資料類型 字串
可能值 excludedPath

excludedFileExtension

excludedFileName

排除內容的路徑

指定從完整檔案路徑掃描中排除的內容。

區段
網域 com.microsoft.wdav
機碼 路徑
資料類型 字串
可能值 有效路徑
Comments 只有在已排除 $type 時才適用 Path

支援的排除類型

下表顯示 Mac 上適用於端點的 Defender 所支援的排除類型。

排除 定義 範例
副檔名 所有具有擴充功能的檔案,位於裝置上的任何位置 .test
檔案 完整路徑所識別的特定檔案 /var/log/test.log

/var/log/*.log

/var/log/install.?.log

資料夾 指定資料夾下的所有檔案 (遞歸) /var/log/

/var/*/

程序 特定進程 (由完整路徑或檔名指定) 以及其開啟的所有檔案 /bin/cat

cat

c?t

重要事項

上述路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 來檢查路徑是否為符號連結 file <path-name>

檔案、資料夾和行程排除項目支援下列通配符:

萬用字元 描述 範例 相符 不相符
* 比對任意數目的任何字元,包括無 (請注意,在路徑內使用此通配符時,只會取代一個資料夾) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? 比對任何單一字元 file?.log file1.log

file2.log

file123.log

檔案/目錄 () 路徑類型

指出 路徑 屬性是否參考檔案或目錄。

區段
網域 com.microsoft.wdav
機碼 isDirectory
資料類型 布林值
可能值 false (預設)

Comments 只有在已排除 $type 時才適用 Path

從掃描中排除擴展名

指定從擴展名掃描中排除的內容。

區段
網域 com.microsoft.wdav
機碼 擴展
資料類型 字串
可能值 有效的擴展名
Comments 只有在 排除$type 時才適用 FileExtension

從掃描中排除的進程

指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat 例如,) 或完整路徑 (例如 /bin/cat ,) 。

區段
網域 com.microsoft.wdav
機碼 name
資料類型 字串
可能值 任何字串
Comments 只有在已排除$typeFileName 時才適用

允許的威脅

依名稱指定 Mac 上適用於端點的 Defender 未封鎖的威脅。 這些威脅將可執行。

區段
網域 com.microsoft.wdav
機碼 allowedThreats
資料類型 字串陣列

不允許的威脅動作

限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。

區段
網域 com.microsoft.wdav
機碼 disallowedThreatActions
資料類型 字串陣列
可能值 允許 (限制使用者允許威脅)

還原 (會限制使用者從隔離) 還原威脅

Comments 適用於端點的 Microsoft Defender 100.83.73 版或更新版本中提供。

威脅類型設定

指定 MacOS 上適用於端點的 Microsoft Defender 如何處理特定威脅類型。

區段
網域 com.microsoft.wdav
機碼 threatTypeSettings
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。
威脅類型

指定威脅類型。

區段
網域 com.microsoft.wdav
機碼 機碼
資料類型 字串
可能值 potentially_unwanted_application

archive_bomb

要採取的動作

指定在偵測到上一節中所指定類型的威脅時,要採取的動作。 從下列選項中選擇:

  • 稽核:您的裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。
  • 封鎖:您的裝置會受到保護,免於遭受這類威脅,而且會在使用者介面和安全性控制台中通知您。
  • 關閉:您的裝置不會受到這類威脅的保護,而且不會記錄任何專案。
區段
網域 com.microsoft.wdav
機碼 數值
資料類型 字串
可能值 稽核 (預設)

關閉

威脅類型設定合併原則

指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge 或只有系統管理員定義的設定 (admin_only) 。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。

區段
網域 com.microsoft.wdav
機碼 threatTypeSettingsMergePolicy
資料類型 字串
可能值 合併 (預設)

admin_only

Comments 適用於端點的 Microsoft Defender 100.83.73 版或更新版本中提供。

防病毒軟體掃描歷程記錄保留 (天數)

指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。

區段
網域 com.microsoft.wdav
機碼 scanResultsRetentionDays
資料類型 字串
可能值 90 (預設) 。 允許的值是從1天到180天。
Comments 適用於端點的 Microsoft Defender 101.07.23 版或更新版本中提供。

防病毒軟體掃描記錄中的項目數目上限

指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。

區段
網域 com.microsoft.wdav
機碼 scanHistoryMaximumItems
資料類型 字串
可能值 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。
Comments 適用於端點的 Microsoft Defender 101.07.23 版或更新版本中提供。

雲端式保護喜好設定

在macOS上設定適用於端點的 Microsoft Defender 的雲端驅動保護功能。

區段
網域 com.microsoft.wdav
機碼 cloudService
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。

啟用/停用雲端式保護

指定是否要啟用裝置的雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。

區段
網域 com.microsoft.wdav
機碼 啟用
資料類型 布林值
可能值 true (預設)

診斷收集層級

診斷數據可用來保護適用於端點的 Microsoft Defender 的安全性與最新狀態、偵測、診斷和修正問題,以及改善產品。 此設定會決定適用於端點的 Microsoft Defender 傳送給 Microsoft 的診斷層級。

區段
網域 com.microsoft.wdav
機碼 diagnosticLevel
資料類型 字串
可能值 選擇性 (預設)

必要

設定雲端區塊層級

此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。 設定雲端區塊層級有五個值:

  • 一般 (normal) :預設封鎖層級。
  • 中等 (moderate) :僅針對高信賴度偵測傳遞決策。
  • 高 (high) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。
  • 高加 () high_plus :積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。
  • 零容錯 (zero_tolerance) :封鎖所有未知的程式。
區段
網域 com.microsoft.wdav
機碼 cloudBlockLevel
資料類型 字串
可能值 一般 (預設)

溫和

high_plus

zero_tolerance

Comments 適用於端點的 Defender 101.56.62 版或更新版本中提供。

啟用/停用自動提交範例

判斷是否將可能包含威脅的可疑 () 傳送給 Microsoft。 控制範例提交有三個層級:

  • :不會將可疑的範例提交給 Microsoft。
  • 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是此設定的預設值。
  • 全部:所有可疑的範例都會提交給 Microsoft。
描述
機碼 automaticSampleSubmissionConsent
資料類型 字串
可能值

安全 (預設)

所有

啟用/停用自動安全情報更新

判斷是否自動安裝安全性情報更新:

區段
機碼 automaticDefinitionUpdateEnabled
資料類型 布林值
可能值 true (預設)

用戶介面喜好設定

管理 macOS 上適用於端點的 Microsoft Defender 使用者介面喜好設定。

區段
網域 com.microsoft.wdav
機碼 userInterface
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。

顯示/隱藏狀態功能表圖示

指定是否要顯示或隱藏畫面右上角的狀態功能表圖示。

區段
網域 com.microsoft.wdav
機碼 hideStatusMenuIcon
資料類型 布林值
可能值 false (預設)

顯示/隱藏傳送意見反應的選項

指定使用者是否可以前往 ,將意見反應提交給 Help>Send FeedbackMicrosoft。

區段
網域 com.microsoft.wdav
機碼 userInitiatedFeedback
資料類型 字串
可能值 已啟用 (預設)

禁用

Comments 適用於端點的 Microsoft Defender 101.19.61 版或更新版本中提供。

控制 Microsoft Defender 的取用者版本登入

指定使用者是否可以登入取用者版本的 Microsoft Defender。

區段
網域 com.microsoft.wdav
機碼 consumerExperience
資料類型 字串
可能值 已啟用 (預設)

禁用

Comments 適用於端點的 Microsoft Defender 101.60.18 版或更新版本中提供。

端點偵測和回應喜好設定

管理 macOS 上適用於端點的 Microsoft Defender 的 EDR) 元件 (端點偵測和回應的喜好設定。

區段
網域 com.microsoft.wdav
機碼 edr
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。

裝置標籤

指定標記名稱及其值。

  • GROUP 標記會以指定的值標記裝置。 標籤會反映在入口網站的 [裝置] 頁面下,並可用於篩選和分組裝置。
區段
網域 com.microsoft.wdav
機碼 標記
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。
標記的類型

指定標記的類型

區段
網域 com.microsoft.wdav
機碼 機碼
資料類型 字串
可能值 GROUP
標記的值

指定標記的值

區段
網域 com.microsoft.wdav
機碼 數值
資料類型 字串
可能值 任何字串

重要事項

  • 每個標籤只能設定一個值。
  • 標記的類型是唯一的,而且不應該在相同的組態配置檔中重複。

群組標識碼

EDR 群組標識碼

區段
網域 com.microsoft.wdav
機碼 groupIds
資料類型 字串
Comments 群組標識碼

竄改保護

管理 macOS 上適用於端點的 Microsoft Defender 竄改保護元件的喜好設定。

區段
網域 com.microsoft.wdav
機碼 tamperProtection
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。

強制層級

如果已啟用竄改保護,且其處於嚴格模式

區段
網域 com.microsoft.wdav
機碼 enforcementLevel
資料類型 字串
Comments 其中一個「已停用」、「稽核」或「封鎖」

可能的值:

  • disabled - 已關閉竄改保護,無法防止攻擊或向雲端報告
  • 稽核 - 竄改保護只會報告對雲端的竄改嘗試,但不會封鎖它們
  • 封鎖 - 竄改保護會封鎖並報告對雲端的攻擊

排除項目

定義允許改變 Microsoft Defender 資產的程式,而不考慮竄改。 必須提供path、teamId或 signingId 或其組合。 此外,還可以提供 Arg,以更精確地指定允許的程式。

區段
網域 com.microsoft.wdav
機碼 排除
資料類型 巢狀喜好設定 (字典)
Comments 如需字典內容的描述,請參閱下列各節。
路徑

進程可執行檔的確切路徑。

區段
網域 com.microsoft.wdav
機碼 路徑
資料類型 字串
Comments 如果是殼層文稿,則會是解釋器二進位檔的確切路徑,例如 。 /bin/zsh 不允許通配符。
小組標識碼

Apple 廠商的「小組標識碼」。

區段
網域 com.microsoft.wdav
機碼 teamId
資料類型 字串
Comments 例如, UBF8T346G9 針對 Microsoft
簽署標識碼

Apple 套件的「簽署標識碼」。

區段
網域 com.microsoft.wdav
機碼 signingId
資料類型 字串
Comments 例如, com.apple.ruby 針對 Ruby 解釋器
處理自變數

與其他參數搭配使用以識別進程。

區段
網域 com.microsoft.wdav
機碼 signingId
資料類型 字串陣列
Comments 如果指定,進程自變數必須完全符合這些自變數,區分大小寫

若要開始使用,我們建議您的企業使用適用於端點的 Microsoft Defender 所提供的所有保護功能來進行下列設定。

下列組態配置檔 (或者,如果是 JAMF,可以上傳至自定義設定組態設定檔的屬性清單) :

  • 啟用即時保護 (RTP)
  • 指定如何處理下列威脅類型:
    • 可能不想要的應用程式 (PUA) 遭到封鎖
    • 具有 高壓縮速率的封存 (檔案) 會稽核至適用於端點的 Microsoft Defender 記錄
  • 啟用自動安全性情報更新
  • 啟動雲端提供的保護
  • 啟用自動提交範例
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

完整組態配置檔範例

下列範本包含本檔所述之所有設定的專案,而且可用於更進階的案例,其中您想要在macOS上更充分掌控適用於端點的 Microsoft Defender。

JAMF 完整組態配置檔的屬性清單

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune 完整配置檔

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

屬性清單驗證

屬性清單必須是有效的 .plist 檔案。 您可以執行下列動作來檢查:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

如果檔案的格式正確,上述命令會 OK 輸出並傳回 的 0結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1結束代碼。

組態配置檔部署

為企業建置組態配置檔之後,您可以透過企業所使用的管理主控台進行部署。 下列各節提供如何使用 JAMF 和 Intune 部署此設定檔的指示。

JAMF 部署

從 JAMF 控制台開啟 [計算機>組態配置檔],流覽至您想要使用的組態配置檔,然後選取 [ 自定義設定]。 使用 建立專案 com.microsoft.wdav 做為喜好設定網域,並上傳稍早產生的 .plist

注意

您必須輸入正確的喜好設定網域 (com.microsoft.wdav) ;否則,適用於端點的 Microsoft Defender 將無法辨識這些喜好設定。

Intune 部署

  1. 啟 [裝置>組態配置檔]。 選取 建立設定檔

  2. 選擇設定檔的名稱。 將 Platform=macOS 變更為 [配置檔類型=範本 ],然後在 [範本名稱] 區段中選擇 [ 自定義 ]。 選 取 [設定]

  3. 將稍早產生的 .plist 儲存為 com.microsoft.wdav.xml

  4. 輸入 com.microsoft.wdav 作為 自定義組態配置檔名稱

  5. 開啟組態配置檔並上傳 com.microsoft.wdav.xml 檔案。 (此檔案是在步驟 3.) 中建立的

  6. 選取 [確定]

  7. 取 [管理>指派]。 在 [ 包含] 索 引標籤中,選 取 [指派給所有使用者 & 所有裝置]

注意

您必須輸入正確的自定義組態配置檔名稱;否則,適用於端點的 Microsoft Defender 將無法辨識這些喜好設定。

資源

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動: 適用於端點的 Microsoft Defender 技術社群