在macOS上使用不同的行動 裝置管理 (MDM) 系統進行部署 適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

必要條件和系統需求

開始之前，請參閱 macOS 上的主要 適用於端點的 Microsoft Defender 頁面，以取得目前軟體版本的必要條件和系統需求說明。

方法

注意

目前，Microsoft 正式僅支援 Intune 和 JAMF 來部署和管理 macOS 上的 適用於端點的 Microsoft Defender。 Microsoft 對於以下提供的資訊，不提供任何明示或隱含的擔保。

如果您的組織使用未正式支援的行動 裝置管理 (MDM) 解決方案，這並不表示您無法在 macOS 上部署或執行 適用於端點的 Microsoft Defender。

macOS 上的 適用於端點的 Microsoft Defender不相依於任何廠商特定的功能。 它可以與支援下列功能的任何 MDM 解決方案搭配使用：

• 將macOS .pkg部署到受控裝置。
• 將macOS系統組態配置檔部署到受控裝置。
• 在受管理的裝置上執行任意的系統管理員設定工具/腳本。

大部分的新式 MDM 解決方案都包含這些功能，不過，它們的呼叫方式可能不同。

不過，您可以部署適用於端點的 Defender，而不需要上述清單中的最後一項需求：

• 您將無法以集中方式收集狀態。
• 如果您決定卸載適用於端點的 Defender，則必須以系統管理員身分在本機登入客戶端裝置。

部署

大部分的 MDM 解決方案都使用相同的模型來管理具有類似術語的 macOS 裝置。 使用 JAMF 型部署 作為範本。

套件

設定必要應用程式套件的部署， (wdav.pkg) 從 Microsoft Defender 入口網站下載安裝套件。

警告

不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響，並導致不良結果，包括但不限於觸發竄改警示和無法套用更新。

若要將套件部署到您的企業，請使用與 MDM 解決方案相關聯的指示。

授權設定

設定 系統組態配置檔。

您的 MDM 解決方案可能會將其稱為「自定義設定設定檔」，因為 macOS 上的 適用於端點的 Microsoft Defender 不是 macOS 的一部分。

使用屬性清單 jamf/WindowsDefenderATPOnboarding.plist，可從從入口網站下載的上線套件中擷取 Microsoft Defender。 您的系統可能支援 XML 格式的任意屬性清單。 在此情況下，您可以依原樣上傳 jamf/WindowsDefenderATPOnboarding.plist 檔案。 或者，您可能需要先將屬性清單轉換成不同的格式。

一般而言，您的自定義配置檔會有標識符、名稱或網域屬性。 此值必須完全使用 「com.microsoft.wdav.atp」。。 MDM 會使用它將配置檔案部署至用戶端裝置上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist ，而適用於端點的 Defender 會使用此檔案來載入上線資訊。

系統組態配置檔

macOS 要求使用者手動並明確核准應用程式使用的特定函式，例如系統擴充功能、在背景執行、傳送通知、完整磁碟存取等。適用於端點的 Microsoft Defender 依賴這些函式，而且在收到使用者的同意之前，無法正常運作。

若要代表用戶自動授與同意，系統管理員會透過其 MDM 系統推送系統原則。 這是強烈建議的做法，而不是依賴終端使用者的手動核准。

我們提供 適用於端點的 Microsoft Defender 所需的所有原則，作為可在 https://github.com/microsoft/mdatp-xplat取得的mobileconfig檔案。 Mobileconfig 是 Apple 的匯入/匯出格式，Apple Configurator 或 iMazing Profile 等其他產品 編輯器 支援。

大部分的 MDM 廠商都支援匯入 mobileconfig 檔案，以建立新的自定義組態配置檔。

若要設定設定檔：

1. 瞭解如何與 MDM 廠商一起完成mobileconfig 匯入。
2. 針對 來自 的所有配置檔 https://github.com/microsoft/mdatp-xplat，下載mobileconfig檔案並加以匯入。
3. 為每個建立的組態配置檔指派適當的範圍。

請注意，Apple 會定期使用新版本的操作系統建立新類型的承載。 您必須造訪上述頁面，並在配置檔可供使用后發佈新配置檔。 在進行這類變更后，我們會將通知張貼到 [ 新功能] 頁面 。

適用於端點的Defender組態設定

若要部署 適用於端點的 Microsoft Defender 組態，您需要組態配置檔。

下列步驟示範如何套用及驗證套用組態配置檔。

1. MDM 會將組態設定檔部署至已註冊的機器 您可以在 [系統設定 > 設定檔] 中檢視配置檔。 尋找您用於 適用於端點的 Microsoft Defender 組態設定設定檔的名稱。 如果您沒有看到，請參閱 MDM 檔以取得疑難解答秘訣。

2.組態配置檔會顯示在正確的檔案中

適用於端點的 Microsoft Defender 讀取/Library/Managed Preferences/com.microsoft.wdav.plist和/Library/Managed Preferences/com.microsoft.wdav.ext.plist檔案。 它只會將這兩個檔案用於受控設定。

如果您看不到這些檔案，但已確認已傳遞配置檔 (請參閱上一節) ，則表示配置檔設定錯誤。 您可以將此組態配置檔設為「用戶層級」而非「計算機層級」，或使用不同的喜好設定網域，而不是 適用於端點的 Microsoft Defender 預期 (“com.microsoft.wdav” 和 “com.microsoft.wdav.ext”) 。

請參閱 MDM 檔，以瞭解如何設定應用程式組態設定檔。

3.組態配置檔包含預期的結構

此步驟可能難以驗證。 適用於端點的 Microsoft Defender 需要具有嚴格結構的 com.microsoft.wdav.plist。 如果您將設定放到非預期的位置，或將其拼錯，或使用無效的類型，則會以無訊息方式忽略這些設定。

1. 您可以檢查 mdatp health 並確認您設定的設定報告為 [managed]。
2. 您可以檢查的內容 /Library/Managed Preferences/com.microsoft.wdav.plist ，並確定符合預期的設定：

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

您可以使用記載的 組態配置檔結構 作為指導方針。

本文說明“antivirusEngine”、“edr”、“tamperProtection” 是組態檔最上層的設定。 例如，“scanHistoryMaximumItems” 位於第二層，且為整數類型。

您應該會在上一個命令的輸出中看到這項資訊。 如果您發現 「antivirusEngine」 在其他設定下是巢狀的，則設定檔設定錯誤。 如果您可以看到 「antivirusengine」 而非 「antivirusEngine」，則名稱拼錯，且會忽略設定的整個子樹。 如果 "scanHistoryMaximumItems" => "10000"為 ，則會使用錯誤的類型，並忽略設定。

檢查是否已部署所有配置檔

您可以下載並執行 analyze_profiles.py。 此文本會收集並分析部署到計算機的所有配置檔，並警告您遺漏的配置檔。 請注意，這可能會遺漏一些錯誤，而且不會察覺系統管理員刻意所做的一些設計決策。 請使用此腳本取得指引，但一律調查您是否看到標示為錯誤的內容。 例如，上線指南會告訴您部署用於上線 Blob 的組態配置檔。 然而，有些組織決定改為執行手動上線腳本。 analyze_profile.py警告您遺漏的配置檔。 您可以決定透過組態配置文件上線，或完全忽略警告。

檢查安裝狀態

在用戶端裝置上執行 適用於端點的 Microsoft Defender，以檢查上線狀態。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。