在 macOS 上排程內建於 適用於端點的 Microsoft Defender 的掃描
雖然你可以隨時使用 適用於端點的 Microsoft Defender 開始威脅掃描,但你的企業可能會受益於排程或定時掃描。 例如,你可以安排在每個工作日或每週開始時執行掃描。
可設定的排程掃描有三種:每小時、每日及每週。 每小時及每日排程掃描皆為快速掃描,每週掃描可設定為快速或完整掃描。 三種類型的排程掃描同時進行是有可能的。 請參考本文中的範例。
先修條件:
- 平台更新版本:101.23122.0005 或更新版本。
在 macOS 上使用 適用於端點的 Microsoft Defender 排程掃描
你可以為 macOS 建立排程掃描,這功能內建於 macOS 上的 適用於端點的 Microsoft Defender。
欲了解更多此處所用檔案格式的.plist資訊,請參閱蘋果官方開發者網站上的「關於資訊屬性列表 Files」。
以下範例展示了 macOS 上排程掃描的每日及/或每週設定。
提示
排程是根據裝置的當地時區來設定的。
| 參數 | 此參數可接受的值為: |
|---|---|
scheduledScan |
enabled 或 disabled |
scanType |
quick 或 full |
ignoreExclusions |
true 或 false |
| 低優先權排程掃描 |
true 或 false |
dayOfWeek |
範圍介於 0 和 8之間。 - 0:每天 - 1:星期天 - 2:星期一 - 3:星期二 - 4:星期三 - 5:星期四 - 6:星期五 - 7:星期六 - 8:絕不 |
timeOfDay |
指定一天中執行預定掃描的時間,為執行預定掃描的數量 minutes after midnight。 時間指的是電腦上的當地時間。 如果你沒有指定這個參數的值,排程掃描會在午夜後兩小時執行。 |
interval |
0 (從不) ,從 every 1 (小時) 到 every 24 (小時,每天掃描一次) |
randomizeScanStartTime |
只適用於每日快速掃描或每週快速/完整掃描。 將掃描開始時間隨機化,最多可達指定小時數。 例如,若掃描排定於下午2點,且 randomizeScanStartTime 設定為2點,掃描會在下午2點到4點之間隨機開始。 |
你的預定掃描會在你定義的 plist日期、時間和頻率進行。
範例一:安排每日快速掃描及每週全掃描,使用plist進行
以下範例中,每日快速掃描設定在午夜過後885分鐘 (下午2:45 ) 執行。 每週的配置預計於週三午夜過後880分鐘 (下午2:40 ) 進行完整掃描。 而且它設定成忽略排除項目並執行低優先權掃描。
以下程式碼顯示你需要用來依照前述需求排程掃描的架構。
打開文字編輯器,並以以下範例作為你自己排程掃描檔案的參考。
為 Intune 服務
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 將檔案儲存為
com.microsoft.wdav.mobileconfig。
針對 JamF 及其他第三方 MDM
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
將檔案儲存為
com.microsoft.wdav.plist。請確認排程掃描是否透過「設定偏好」設定
mdatp health --details scheduled_scan
在結果中,你應該可以看到[已管理]。
範例二:安排每小時快速掃描、每日快速掃描,以及每週全掃描,使用 plist
以下範例中,每小時快速掃描每6小時執行一次,每日快速掃描設定為午夜後885分鐘 (下午2:45 ) ,每週全掃描則在週三午夜後880分鐘 () 下午2:40執行。
打開文字編輯器,並以以下範例作為你自己排程掃描檔案的參考。
針對 Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 將檔案儲存為
com.microsoft.wdav.mobileconfig。
針對 JamF 及其他第三方 MDM
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0. dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- 將檔案儲存為
com.microsoft.wdav.plist。
將 plist 檔案上傳到 Jamf Pro
前往 電腦 > 設定檔。
建立一個新的個人檔案。
新增 應用程式 & 自訂設定。
將偏好域設為
com.microsoft.wdav。將檔案內容
.plist貼到設定欄位。請確認排程掃描是否透過「設定偏好」設定
mdatp health --details scheduled_scan在結果中,你應該可以看到[已管理]。
選項三:透過 CLI 工具設定排程掃描
要啟用排程掃描功能:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan settings feature --value enabled |
要安排每小時快速掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
要安排每日快速掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
要安排每週掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
其他配置選項:
在排定掃描前檢查定義更新:
sudo mdatp config scheduled-scan settings check-for-definitions --value true要使用低優先權執行緒進行排程掃描:
sudo mdatp config scheduled-scan settings low-priority --value true
檢查預定掃描是否已執行
請使用以下指令:
mdatp scan list
\<snip\>
重要事項
裝置休眠時,排程掃描不會在預定時間執行。 取而代之的是,當裝置從休眠模式恢復時,排程掃描才會執行。 如果裝置關閉,掃描會在下一次預定的時間執行。