Käyttöönotto eri mobiililaitteiden Laitteiden hallinta (MDM) -järjestelmän kanssa Microsoft Defender for Endpoint macOS:ssä

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso macOS-sivun Microsoft Defender for Endpoint kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Lähestyminen

Varoitus

Tällä hetkellä Microsoft tukee virallisesti vain Intune ja JAMF:ia Microsoft Defender for Endpoint käyttöönottoon ja hallintaan macOS:ssä. Microsoft ei anna mitään nimenomaista tai implisiittistä takuuta annetuista tiedoista.

Jos organisaatiosi käyttää MDM Laitteiden hallinta ratkaisua, jota ei virallisesti tueta, et kuitenkaan pysty ottamaan käyttöön tai suorittamaan Microsoft Defender for Endpoint macOS:ssä.

macOS:n Microsoft Defender for Endpoint ei riipu toimittajakohtaisista ominaisuuksista. Sitä voidaan käyttää minkä tahansa mdm-ratkaisun kanssa, joka tukee seuraavia ominaisuuksia:

• MacOS-.pkg käyttöönotto hallituissa laitteissa.
• Ota macOS-järjestelmän määritysprofiilit käyttöön hallituissa laitteissa.
• Suorita mielivaltainen järjestelmänvalvojan määrittämä työkalu tai komentosarja hallituissa laitteissa.

Useimmat nykyaikaiset MDM-ratkaisut sisältävät nämä ominaisuudet, mutta ne saattavat kutsua niitä eri tavalla.

Voit kuitenkin ottaa Defender for Endpointin käyttöön ilman edeltävän luettelon viimeistä vaatimusta:

• Et ehkä voi kerätä tilaa keskitetysti.
• Jos päätät poistaa Defender for Endpointin asennuksen, sinun on kirjauduttava asiakaslaitteeseen paikallisesti järjestelmänvalvojana.

Käyttöönotto

Useimmat MDM-ratkaisut käyttävät samaa mallia macOS-laitteiden hallintaan samankaltaisin termein. Käytä JAMF-pohjaista käyttöönottoa mallina.

Paketti

Määritä tarvittavan sovelluspaketin käyttöönotto Microsoft Defender portaalista ladatulla asennuspaketilla (wdav.pkg).

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

Jos haluat ottaa paketin käyttöön yrityksessäsi, käytä MDM-ratkaisuun liittyviä ohjeita.

Käyttöoikeusasetukset

Määritä järjestelmän määritysprofiili.

MdM-ratkaisusi saattaa kutsua sitä esimerkiksi mukautettujen asetusten profiiliksi, koska macOS:n Microsoft Defender for Endpoint ei ole osa macOS:ää.

Käytä ominaisuusluetteloa jamf/WindowsDefenderATPOnboarding.plist, joka voidaan poimia Microsoft Defender portaalista ladatystä perehdytyspaketista. Järjestelmäsi saattaa tukea mielivaltaista XML-muotoista ominaisuusluetteloa. Voit ladata jamf/WindowsDefenderATPOnboarding.plist-tiedoston sellaisenaan tässä tapauksessa. Vaihtoehtoisesti se saattaa edellyttää ominaisuusluettelon muuntamista ensin eri muotoon.

Yleensä mukautetulla profiilillasi on tunnus, nimi tai toimialueen määrite. Tähän arvoon on käytettävä täsmälleen "com.microsoft.wdav.atp"-arvoa. MDM käyttää sitä asetustiedoston käyttöönottoon asiakaslaitteessa /Library/Managed Preferences/com.microsoft.wdav.atp.plist , ja Defender for Endpoint käyttää tätä tiedostoa perehdytystietojen lataamiseen.

Järjestelmän määritysprofiilit

macOS edellyttää, että käyttäjä hyväksyy manuaalisesti ja eksplisiittisesti tiettyjä funktioita, joita sovellus käyttää, kuten järjestelmälaajennukset, jotka suoritetaan taustalla, lähettävät ilmoituksia, levyn täydet käyttöoikeudet jne. Microsoft Defender for Endpoint käyttää näitä toimintoja, eivätkä toimi oikein, ennen kuin kaikki nämä suostumukset on vastaanotettu käyttäjältä.

Jos haluat antaa suostumuksen automaattisesti käyttäjän puolesta, järjestelmänvalvoja lähettää järjestelmäkäytännöt MDM-järjestelmänsä kautta. Suosittelemme tekemään näin sen sijaan, että luottaisimme loppukäyttäjien manuaalisiin hyväksyntöihin.

Tarjoamme kaikki käytännöt, joita Microsoft Defender for Endpoint edellyttävät mobiilimääritystiedostoina, jotka ovat käytettävissä osoitteessa https://github.com/microsoft/mdatp-xplat. Mobileconfig on Applen tuonti- ja vientimuoto, jota Apple Configurator tai muut tuotteet, kuten iMazing Profile, Kirjoitusavustaja tukevat.

Useimmat MDM-toimittajat tukevat uuden mukautetun määritysprofiilin luovan mobiilimääritystiedoston tuomista.

Profiilien määrittäminen:

1. Selvitä, miten mobiilimäärityksen tuonti tehdään mobiililaitteiden hallinnan toimittajan kanssa.
2. Lataa mobileconfig-tiedosto kaikille profiileille kohteesta https://github.com/microsoft/mdatp-xplatja tuo se.
3. Määritä asianmukainen vaikutusalue kullekin luodulle määritysprofiilille.

Apple luo säännöllisesti uudentyyppisiä hyötykuormat käyttöjärjestelmän uusilla versioilla. Sinun täytyy käydä yllä mainitulla sivulla ja julkaista uusia profiileja, kun ne ovat käytettävissä. Julkaisemme ilmoitukset Uudet ominaisuudet -sivulle , kun teemme tämän kaltaisia muutoksia.

Defender for Endpoint -määritysasetukset

Tarvitset määritysprofiilin Microsoft Defender for Endpoint käyttöönottoa varten.

Seuraavissa vaiheissa näytetään, miten määritysprofiilia käytetään ja tarkistetaan.

1. MDM ottaa määritysprofiilin käyttöön rekisteröidyissä tietokoneissa Voit tarkastella profiileja järjestelmäasetusprofiileissa > . Etsi nimi, jota käytit määritysasetusprofiilin Microsoft Defender for Endpoint. Jos et näe sitä, katso MDM-dokumentaatiosta vianmääritysvinkkejä.

2. Määritysprofiili näkyy oikeassa tiedostossa

Microsoft Defender for Endpoint lukee /Library/Managed Preferences/com.microsoft.wdav.plist ja /Library/Managed Preferences/com.microsoft.wdav.ext.plist tiedostot. Se käyttää vain näitä kahta tiedostoa hallituissa asetuksissa.

Jos et näe näitä tiedostoja, mutta olet varmistanut, että profiilit on toimitettu (katso edellinen osio), profiilisi on määritetty virheellisesti. Joko määritit tämän määritysprofiilin "Käyttäjätaso" tietokonetason sijaan tai käytit eri asetustoimialuetta kuin ne, joita Microsoft Defender for Endpoint odottaa ("com.microsoft.wdav" ja "com.microsoft.wdav.ext").

MdM-dokumentaatiosta saat lisätietoja sovellusmääritysprofiilien määrittämisestä.

3. Määritysprofiili sisältää odotetun rakenteen

Tämän vaiheen tarkistaminen voi olla hankalaa. Microsoft Defender for Endpoint odottaa, että com.microsoft.wdav.plist sisältää tiukan rakenteen. Jos sijoitat asetukset odottamattomaan paikkaan tai kirjoitat ne väärin tai käytät virheellistä tyyppiä, asetukset ohitetaan taustalla.

1. Voit tarkistaa mdatp health ja vahvistaa, että määrittämäsi asetukset ilmoitetaan muodossa [managed].
2. Voit tarkastaa kohteen sisällön /Library/Managed Preferences/com.microsoft.wdav.plist ja varmistaa, että se vastaa odotettuja asetuksia:

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Voit käyttää ohjeena dokumentoituja määritysprofiilirakenteita .

Tässä artikkelissa kerrotaan, että "antivirusEngine", "edr", "tamperProtection" ovat määritystiedoston ylimmän tason asetuksia. Ja esimerkiksi "scanHistoryMaximumItems" on toisella tasolla ja sen tyyppi on kokonaisluku.

Sinun pitäisi nähdä nämä tiedot edellisen komennon tulosteessa. Jos virustentorjuntaEngine on jonkin muun asetuksen alla, profiili on määritetty väärin. Jos näet virustentorjuntaohjelman virustentorjuntaohjelman virustentorjuntaohjelman sijaan, nimi on kirjoitettu väärin ja asetusten alipuu ohitetaan. Jos "scanHistoryMaximumItems" => "10000"kohteessa käytetään väärää tyyppiä ja asetus ohitetaan.

Tarkista, että kaikki profiilit on otettu käyttöön

Voit ladata ja suorittaa analyze_profiles.py. Tämä komentosarja kerää ja analysoi kaikki tietokoneessa käyttöönotetut profiilit ja varoittaa vastaamattomista profiileista. Se voi menettää joitakin virheitä, eikä se ole tietoinen joistakin suunnittelupäätöksistä, joita järjestelmänvalvojat tekevät tarkoituksella. Käytä tätä komentosarjaa ohjeiden ohjaukseen, mutta tarkista aina, näetkö jotain virheeksi merkittyä. Esimerkiksi perehdyttämisoppaassa kehotetaan ottamaan käyttöön määritysprofiili blob-objektin perehdyttämistä varten. Jotkin organisaatiot päättävät kuitenkin suorittaa manuaalisen käyttöönottokomentosarjan. analyze_profile.py varoittaa vastaamattomista profiileista. Voit joko päättää ottaa käyttöön määritysprofiilin kautta tai jättää varoituksen kokonaan huomiotta.

Tarkista asennuksen tila

Tarkista käyttöönottotila suorittamalla Microsoft Defender for Endpoint asiakaslaitteessa.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.