在macOS上使用 適用於端點的 Microsoft Defender 排程掃描

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

在macOS上排程內建於 適用於端點的 Microsoft Defender的掃描

雖然您可以使用 適用於端點的 Microsoft Defender 隨時啟動威脅掃描,但您的企業可能會受益於排程或定時掃描。 例如,您可以將掃描排程在每個工作日或星期的開頭執行。

可設定的排程掃描有三種類型:每小時、每日和每周掃描。 每小時和每日排程的掃描一律會以快速掃描的方式執行,每周掃描可以設定為快速或完整掃描。 您可以同時進行這三種類型的排程掃描。 請參閱本文中的範例。

必要條件

在macOS上使用 適用於端點的 Microsoft Defender 排程掃描

您可以為macOS建立排程掃描,其內建於macOS上 適用於端點的 Microsoft Defender

如需此處所使用檔格式的 .plist 詳細資訊,請參閱Apple開發人員官方網站的 關於資訊屬性清單檔案

下列範例顯示 macOS 上排程掃描的每日和/或每周設定。

提示

排程是以裝置的當地時區為基礎。

參數 此參數可接受的值為:
scheduledScan enableddisabled
scanType quickfull
ignoreExclusions truefalse
lowPriorityScheduledScan truefalse
dayOfWeek 範圍介於和8之間0
- 0:每天
- 1:星期日
- 2:星期一
- 3:星期二
- 4:星期三
- 5:星期四
- 6:星期五
- 7:星期六
- 8:從不
timeOfDay 指定一天中執行排程掃描的時間,做為 的 minutes after midnight數目。 時間是指電腦上的當地時間。 如果您未指定此參數的值,排程掃描會在午夜后兩小時的默認時間執行。
interval 0 (永遠不會) , every 1 (小時) 到 every 24 (小時,每天掃描一次)
randomizeScanStartTime 僅適用於每日快速掃描或每周快速/完整掃描。 將掃描的開始時間隨機化最多指定的時數。
例如,如果掃描排程為下午 2 點,且 randomizeScanStartTime 設定為 2,則掃描會在下午 2 點到下午 4 點之間隨機開始。

排定的掃描會在您於 中定義的日期、時間和頻率執行 plist

範例 1:使用 plist 排程每日快速掃描和每周完整掃描

在下列範例中,每日快速掃描組態設定為在午夜 (下午 2:45 ) 885 分鐘執行。 每周設定設定為在星期三午夜 (下午 2:40 ) 880 分鐘執行完整掃描。 而且它會設定為忽略排除專案,並執行低優先順序掃描。

下列程式代碼顯示您需要使用的架構,以根據稍早所述的需求來排程掃描。

  1. 開啟文字編輯器,並使用此範例作為您自己排程掃描檔案的指南。

針對 Intune

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>PayloadUUID</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft</string>
    <key>PayloadIdentifier</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadDisplayName</key>
    <string>Microsoft Defender for Endpoint settings</string>
    <key>PayloadDescription</key>
    <string>Microsoft Defender for Endpoint configuration settings</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadUUID</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadType</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>features</key> 
            <dict>
                <key>scheduledScan</key> 
                <string>enabled</string> 
            </dict> 
            <key>scheduledScan</key> 
            <dict> 
                <key>ignoreExclusions</key> 
                <true/> 
                <key>lowPriorityScheduledScan</key> 
                <true/> 
                <key>dailyConfiguration</key> 
                <dict> 
                    <key>timeOfDay</key> 
                    <integer>880</integer> 
                </dict> 
                <key>weeklyConfiguration</key> 
                <dict> 
                    <key>dayOfWeek</key> 
                    <integer>4</integer> 
                    <key>timeOfDay</key> 
                    <integer>885</integer> 
                    <key>scanType</key> 
                    <string>full</string>
                </dict>
            </dict> 
        </dict>
    </array>
</dict> 
</plist>
  1. 將檔案儲存為 com.microsoft.wdav.mobileconfig

適用於 JamF 和其他第三方 MDM

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist> 
  1. 將檔案儲存為 com.microsoft.wdav.plist

  2. 檢查已透過「設定喜好設定」設定排程掃描

    mdatp health --details scheduled_scan
    

    在結果中,您應該可以看到 [managed]。

範例 2:使用 plist 排程每小時快速掃描、每日快速掃描和每周完整掃描

在下列範例中,每小時的快速掃描會每隔 6 小時執行一次,每日快速掃描組態會設定為在午夜 (下午 2:45 ) 885 分鐘執行,而每周完整掃描會在午夜 (下午 2:40) 之後的 880 分鐘執行。

針對 Intune:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
     <key>PayloadUUID</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadType</key>
     <string>Configuration</string>
     <key>PayloadOrganization</key>
     <string>Microsoft</string>
     <key>PayloadIdentifier</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadDisplayName</key>
     <string>Microsoft Defender for Endpoint settings</string>
     <key>PayloadDescription</key>
     <string>Microsoft Defender for Endpoint configuration settings</string>
     <key>PayloadVersion</key>
     <integer>1</integer>
     <key>PayloadEnabled</key>
     <true/>
     <key>PayloadRemovalDisallowed</key>
     <true/>
     <key>PayloadScope</key>
     <string>System</string>
     <key>PayloadContent</key>
     <array>
       <dict>
           <key>PayloadUUID</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadType</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</array>
</dict>
</plist> 
  1. 將檔案儲存為 com.microsoft.wdav.mobileconfig

適用於 JamF 和其他第三方 MDM

  1. 開啟文字編輯器並使用此範例。
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist> 
  1. 將檔案儲存為 com.microsoft.wdav.plist

  2. 檢查已透過「設定喜好設定」設定排程掃描

    mdatp health --details scheduled_scan
    

    在結果中,您應該可以看到 [managed]。

選項3:透過 CLI 工具設定排程掃描

若要啟用排程掃描功能:

版本 命令
版本 101.23122.x 或更新版本 sudo mdatp config scheduled-scan settings feature --value enabled

若要排程每小時的快速掃描:

版本 命令
版本 101.23122.x 或更新版本 sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\>

排程每小時掃描的螢幕快照。

若要排程每日快速掃描:

版本 命令
版本 101.23122.x 或更新版本 sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\>

排程每日快速掃描的螢幕快照。

若要排程每周掃描:

版本 命令
版本 101.23122.x 或更新版本 sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\>

排程每周掃描的螢幕快照。

如需其他設定選項:

  • 若要在排程掃描之前檢查定義更新:

    sudo mdatp config scheduled-scan settings check-for-definitions --value true

  • 若要使用低優先順序線程進行排程掃描:

    sudo mdatp config scheduled-scan settings low-priority --value true

檢查排定的掃描是否已執行

使用下列命令:

mdatp scan list

已執行排程的螢幕快照。 \<snip\>

已成功執行排程的螢幕快照。

重要

當裝置處於睡眠狀態時,排程掃描不會在排程的時間執行。 相反地,當裝置從睡眠模式繼續時,會執行排程掃描。 如果裝置已關閉,掃描會在下一個排定的掃描時間執行。

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。