Nasazení s jiným systémem mdm (Mobile Správa zařízení) pro Microsoft Defender for Endpoint v macOS
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Požadavky a požadavky na systém
Než začnete, podívejte se na hlavní Microsoft Defender for Endpoint na stránce macOS, kde najdete popis požadavků a požadavků na systém pro aktuální verzi softwaru.
Přístup
Upozornění
V současné době Microsoft oficiálně podporuje pouze Intune a JAMF pro nasazení a správu Microsoft Defender for Endpoint v systému macOS. Společnost Microsoft neposkytuje na níže uvedené informace žádné záruky, ať už výslovné nebo předpokládané.
Pokud vaše organizace používá řešení MDM (Mobile Správa zařízení), které není oficiálně podporováno, neznamená to, že nemůžete nasadit nebo spustit Microsoft Defender for Endpoint v systému macOS.
Microsoft Defender for Endpoint v systému macOS nezávisí na žádných funkcích specifických pro dodavatele. Dá se použít s jakýmkoli řešením MDM, které podporuje následující funkce:
- Nasazení .pkg macOS na spravovaná zařízení
- Nasaďte profily konfigurace systému macOS do spravovaných zařízení.
- Na spravovaných zařízeních spusťte libovolný nástroj nebo skript nakonfigurovaný správcem.
Většina moderních řešení MDM tyto funkce zahrnuje, ale můžou je volat jinak.
Defender for Endpoint můžete nasadit bez posledního požadavku z předchozího seznamu, ale:
- Nebudete moct shromažďovat stav centralizovaným způsobem.
- Pokud se rozhodnete defender for Endpoint odinstalovat, budete se muset přihlásit ke klientskému zařízení místně jako správce.
Nasazení
Většina řešení MDM používá stejný model pro správu zařízení s macOS s podobnou terminologií. Jako šablonu použijte nasazení založené na JAMF .
Balíček
Nakonfigurujte nasazení požadovaného balíčku aplikace s instalačním balíčkem (wdav.pkg) staženým z portálu Microsoft Defender.
Upozornění
Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.
Pokud chcete balíček nasadit do podniku, postupujte podle pokynů přidružených k vašemu řešení MDM.
Nastavení licence
Nastavte profil konfigurace systému.
Vaše řešení MDM ho může nazývat něco jako "Vlastní profil nastavení", protože Microsoft Defender for Endpoint v macOS není součástí macOS.
Použijte seznam vlastností jamf/WindowsDefenderATPOnboarding.plist, který lze extrahovat z onboardingového balíčku staženého z portálu Microsoft Defender. Váš systém může podporovat seznam libovolných vlastností ve formátu XML. V takovém případě můžete nahrát soubor jamf/WindowsDefenderATPOnboarding.plist tak, jak je. Případně může vyžadovat, abyste nejprve převedli seznam vlastností do jiného formátu.
Váš vlastní profil má obvykle ID, název nebo atribut domény. Pro tuto hodnotu musíte použít přesně "com.microsoft.wdav.atp". MDM ho používá k nasazení souboru nastavení do /Library/Managed Preferences/com.microsoft.wdav.atp.plist na klientském zařízení a Defender for Endpoint použije tento soubor k načtení informací o onboardingu.
Profily konfigurace systému
macOS vyžaduje, aby uživatel ručně a explicitně schválil určité funkce, které aplikace používá, například rozšíření systému, spouštění na pozadí, odesílání oznámení, plný přístup k disku atd. Microsoft Defender for Endpoint na tyto funkce spoléhá a nemůže správně fungovat, dokud od uživatele neobdrží všechny tyto souhlasy.
Pokud chce správce udělit souhlas jménem uživatele automaticky, nasdílí systémové zásady prostřednictvím svého systému MDM. To důrazně doporučujeme, abyste se nespoléhat na ruční schválení od koncových uživatelů.
Všechny zásady, které Microsoft Defender for Endpoint vyžadují, poskytujeme jako soubory mobileconfig dostupné na adrese https://github.com/microsoft/mdatp-xplat. Mobileconfig je formát importu/exportu od společnosti Apple, který Editor podporuje Apple Configurator nebo jiné produkty, jako je iMazing Profile.
Většina dodavatelů MDM podporuje import souboru mobileconfig, který vytvoří nový vlastní konfigurační profil.
Nastavení profilů:
- Zjistěte, jak se import mobileconfig provádí u dodavatele MDM.
- Pro všechny profily z https://github.com/microsoft/mdatp-xplatnástroje stáhněte soubor mobileconfig a naimportujte ho.
- Každému vytvořenému konfiguračnímu profilu přiřaďte správný obor.
Mějte na paměti, že Apple pravidelně vytváří nové typy datových částí s novými verzemi operačního systému. Budete muset navštívit výše uvedenou stránku a publikovat nové profily, jakmile budou k dispozici. Jakmile provedeme podobné změny, zveřejníme oznámení na naší stránce Co je nového .
Nastavení konfigurace Defenderu for Endpoint
K nasazení Microsoft Defender for Endpoint konfigurace potřebujete konfigurační profil.
Následující kroky ukazují, jak použít a ověřit použití konfiguračního profilu.
1. MDM nasadí konfigurační profil na zaregistrované počítače . Profily můžete zobrazit v části Profily nastavení > systému. Vyhledejte název, který jste použili pro Microsoft Defender for Endpoint profilu nastavení konfigurace. Pokud ho nevidíte, podívejte se do dokumentace k MDM, kde najdete tipy pro řešení potíží.
2. Konfigurační profil se zobrazí ve správném souboru
Microsoft Defender for Endpoint čtení /Library/Managed Preferences/com.microsoft.wdav.plist
a /Library/Managed Preferences/com.microsoft.wdav.ext.plist
souborů.
Pro spravovaná nastavení používá pouze tyto dva soubory.
Pokud tyto soubory nevidíte, ale ověřili jste, že se profily doručily (viz předchozí část), znamená to, že jsou vaše profily chybně nakonfigurované. Buď jste z tohoto konfiguračního profilu vytvořili "Úroveň uživatele" místo "Úroveň počítače", nebo jste použili jinou doménu předvoleb místo těch, které Microsoft Defender for Endpoint očekává (com.microsoft.wdav a com.microsoft.wdav.ext).
Postup nastavení konfiguračních profilů aplikací najdete v dokumentaci k MDM.
3. Konfigurační profil obsahuje očekávanou strukturu.
Ověření tohoto kroku může být složité. Microsoft Defender for Endpoint očekává com.microsoft.wdav.plist s přísnou strukturou. Pokud vložíte nastavení na neočekávané místo, chybně je zadáte nebo použijete neplatný typ, nastavení se tiše ignoruje.
- Můžete zkontrolovat
mdatp health
a ověřit, že se nakonfigurovaná nastavení hlásí jako[managed]
. - Můžete zkontrolovat obsah
/Library/Managed Preferences/com.microsoft.wdav.plist
a ujistit se, že odpovídá očekávaným nastavením:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
Jako vodítko můžete použít zdokumentovanou strukturu profilu konfigurace .
Tento článek vysvětluje, že "antivirusEngine", "edr", "tamperProtection" jsou nastavení na nejvyšší úrovni konfiguračního souboru. A například "scanHistoryMaximumItems" jsou na druhé úrovni a jsou celočíselného typu.
Tyto informace byste měli vidět ve výstupu předchozího příkazu. Pokud jste zjistili, že "antivirusEngine" je vnořený pod nějakým jiným nastavením, pak je profil chybně nakonfigurovaný. Pokud se místo "antivirusEngine" zobrazí "antivirusengine", název je chybně napsaný a celý podstrom nastavení se ignoruje. Pokud "scanHistoryMaximumItems" => "10000"
, použije se nesprávný typ a nastavení se bude ignorovat.
Zkontrolujte, jestli jsou nasazené všechny profily.
Můžete si stáhnout a spustit analyze_profiles.py. Tento skript shromáždí a analyzuje všechny profily nasazené na počítači a upozorní vás na zmeškané profily. Upozorňujeme, že můžou chybět některé chyby a nemá povědomí o některých rozhodnutích o návrhu, která správci systému dělají záměrně. Tento skript použijte jako doprovodné materiály, ale vždy prozkoumejte, jestli se něco označeného jako chyba nezobrazuje. Například průvodce onboardingem vás informuje o nasazení konfiguračního profilu pro onboarding objekt blob. Některé organizace se ale rozhodnou, že místo toho spustí ruční skript pro zprovoznění. analyze_profile.py vás upozorní na zmeškaný profil. Můžete se buď rozhodnout pro onboarding prostřednictvím konfiguračního profilu, nebo můžete upozornění úplně ignorovat.
Kontrola stavu instalace
Spuštěním Microsoft Defender for Endpoint na klientském zařízení zkontrolujte stav onboardingu.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.