MacOS-käytäntöjen Microsoft Defender for Endpoint määrittäminen Jamf Prossa

Koskee seuraavia:

• Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Tämän artikkelin avulla voit määrittää Käytäntöjä Defender for Endpointille Macissa Jamf Pron avulla.

Vaihe 1: hanki Microsoft Defender for Endpoint perehdytyspaketti

Tärkeää

Sinulla on oltava asianmukainen rooli määritettynä laitteiden tarkastelemiseen, hallintaan ja käyttöönottoon. Lisätietoja on artikkelissa Microsoft Defender XDR käyttöoikeuksien hallinta Microsoft Entra yleisillä rooleilla.

1. Siirry Microsoft Defender-portaalissakohtaan Asetukset>Päätepisteiden>käyttöönotto.

2. Valitse käyttöjärjestelmäksi macOS ja käyttöönottomenetelmäksi Mobile Laitteiden hallinta/Microsoft Intune.

   

3. Valitse Lataa perehdytyspaketti (WindowsDefenderATPOnboardingPackage.zip).

4. Poimi WindowsDefenderATPOnboardingPackage.zip.

5. Kopioi tiedosto haluamaasi sijaintiin. Esimerkiksi C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Vaihe 2: Määritysprofiilin luominen Jamf Prossa perehdytyspaketin avulla

1. Etsi tiedosto WindowsDefenderATPOnboarding.plist edellisestä osasta.

   

2. Kirjaudu sisään Jamf Prohon, siirry kohtaan Tietokoneiden>määritysprofiilit ja valitse Uusi.

   

3. Määritä Yleiset-välilehdessä seuraavat tiedot:

   • Nimi: MDE onboarding for macOS
   • Kuvaus: MDE EDR onboarding for macOS
   • Luokka: None
   • Jakelumenetelmä: Install Automatically
   • Taso: Computer Level

4. Siirry Sovellus & Mukautetut asetukset - sivulle, valitse Lataa ja valitse sitten Lisää.

   

5. Valitse Lataa tiedosto (PLIST-tiedosto) ja kirjoita sitten Asetustoimialue-kohdassacom.microsoft.wdav.atp .

   

   

6. Valitse Avaa ja valitse käyttöönottotiedosto.

   

7. Valitse Lataa.

   

8. Valitse Käyttöalue-välilehti .

   

9. Valitse kohdetietokoneet.

   

   

10. Valitse Tallenna.

    

    

11. Valitse Valmis.

    

    

Vaihe 3: Microsoft Defender for Endpoint asetusten määrittäminen

Tässä vaiheessa käymme läpi Asetukset, jotta voit määrittää haittaohjelmien torjunta- ja EDR-käytännöt käyttämällä Microsoft Defender XDR portaalia (https://security.microsoft.com) tai Jamfia.

Tärkeää

Microsoft Defender for Endpoint Suojausasetusten hallintakäytännöt ovat etusijalla Jamf-joukon (ja muiden kolmannen osapuolen MDM-käytäntöjen) käytäntöihin nähden.

3a. Käytäntöjen määrittäminen Microsoft Defender portaalin avulla

1. Noudata Microsoft Defender for Endpoint määrittäminen Intune -kohdan ohjeita, ennen kuin määrität suojauskäytännöt Microsoft Defender avulla.

2. Siirry Microsoft Defender-portaalissakohtaan Määritysten hallinta>Päätepisteiden suojauskäytännöt>Mac-käytännöt>Luo uusi käytäntö.

3. Valitse Valitse käyttöympäristö -kohdasta macOS.

4. Valitse Valitse malli -kohdasta malli ja valitse Luo käytäntö.

5. Määritä käytännön nimi ja kuvaus ja valitse sitten Seuraava.

6. Määritä Määritykset-välilehdessä profiili ryhmälle, jossa macOS-laitteet ja/tai käyttäjät sijaitsevat, tai Kaikille käyttäjille ja kaikille laitteille.

Lisätietoja suojausasetusten hallinnasta on seuraavissa artikkeleissa:

• Microsoft Defender for Endpoint hallinta laitteissa Microsoft Intune avulla

• Windowsin, macOS:n ja Linuxin suojausasetusten hallinta suoraan Defender for Endpointissa

3b. Käytäntöjen määrittäminen Jamf:n avulla

Voit muokata Microsoft Defender for Endpoint kokoonpanon yksittäisiä asetuksia Jamf Pro GUI:n avulla tai käyttää vanhaa menetelmää luomalla määritys-Plist-luettelon tekstieditorissa ja lataamalla sen Jamf Prohon.

Sinun on käytettävä täsmälleen com.microsoft.wdavoletustoimialueena. Microsoft Defender for Endpoint käyttää vain tätä nimeä ja com.microsoft.wdav.ext lataa hallitut asetukset. (Versiota com.microsoft.wdav.ext voi käyttää harvoissa tapauksissa, kun haluat käyttää GUI-menetelmää, mutta sinun on myös määritettävä asetus, jota ei ole vielä lisätty rakenteeseen.)

GUI-menetelmä

1. schema.json Lataa tiedosto Defenderin GitHub-säilöstä ja tallenna se paikalliseen tiedostoon:

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. Luo uusi määritysprofiili. Valitse Tietokoneet-kohdassaMääritysprofiilit ja määritä sitten Yleiset-välilehdessä seuraavat tiedot:

   

   • Nimi: MDATP MDAV configuration settings
   • Kuvaus: <blank\>
   • Luokka: None (default)
   • Taso: Computer Level (default)
   • Jakelumenetelmä: Install Automatically (default)

3. Vieritä alaspäin Sovellus & Mukautetut asetukset -välilehteen, valitse Ulkoiset sovellukset, valitse Lisää ja käytä mukautettua rakennetta oletustoimialueen lähteenä.

   

4. Kirjoita com.microsoft.wdav Asetukset-toimialueelle, valitse Lisää rakenne ja lataa schema.json sitten vaiheeseen 1 ladattu tiedosto. Valitse Tallenna.

   

5. Näet kaikki tuetut Microsoft Defender for Endpoint määritysasetukset kohdassa Asetukset Toimialueen ominaisuudet. Valitse Lisää tai poista ominaisuuksia valitaksesi asetukset, joita haluat hallita, ja valitse sitten OK tallentaaksesi muutokset. (Valitsematta jätettyjä asetuksia ei sisällytetä hallittuun kokoonpanoon, loppukäyttäjä voi määrittää nämä asetukset koneissaan.)

   

6. Muuta asetusten arvot halutuille arvoille. Voit valita Lisätietoja saadaksesi ohjeita tietylle asetukselle. (Voit valita Plist-esikatselun ja tarkistaa, mikä määritysten plist-luettelo on. Palaa visualisointieditoriin valitsemalla Lomake-editori .)

   

7. Valitse Käyttöalue-välilehti .

   

8. Valitse Contoson koneryhmä. Valitse Lisää ja valitse sitten Tallenna.

   

   

9. Valitse Valmis. Näet uuden määritysprofiilin.

   

Microsoft Defender for Endpoint lisää uusia asetuksia ajan kuluessa. Nämä uudet asetukset lisätään rakenteeseen, ja GitHubiin julkaistaan uusi versio. Jos haluat saada päivityksiä, lataa päivitetty rakenne ja muokkaa aiemmin luotua määritysprofiiliasi. Valitse Sovellus & Mukautetut asetukset -välilehdessä Muokkaa rakennetta.

Vanha menetelmä

1. Käytä seuraavia Microsoft Defender for Endpoint määritysasetuksia:

   • enableRealTimeProtection
   • passiveMode (Tämä asetus ei ole oletusarvoisesti käytössä. Jos aiot suorittaa muun kuin Microsoftin virustentorjuntaohjelman Macissa, aseta sen arvoksi true.)
   • exclusions
   • excludedPath
   • excludedFileExtension
   • excludedFileName
   • exclusionsMergePolicy
   • allowedThreats (Eicar on mallissa. Jos käyt läpi soveltuvuusselvitystä, poista se erityisesti, jos testaat EICAR-testiä.)
   • disallowedThreatActions
   • potentially_unwanted_application
   • archive_bomb
   • cloudService
   • automaticSampleSubmission
   • tags
   • hideStatusMenuIcon

   Lisätietoja on kohdassa Jamf:n täyden määritysprofiilin ominaisuusluettelo.

     <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
     <plist version="1.0">
     <dict>
         <key>antivirusEngine</key>
         <dict>
             <key>enableRealTimeProtection</key>
             <true/>
             <key>passiveMode</key>
             <false/>
             <key>exclusions</key>
             <array>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <false/>
                     <key>path</key>
                     <string>/var/log/system.log</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <true/>
                     <key>path</key>
                     <string>/home</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileExtension</string>
                     <key>extension</key>
                     <string>pdf</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileName</string>
                     <key>name</key>
                     <string>cat</string>
                 </dict>
             </array>
             <key>exclusionsMergePolicy</key>
             <string>merge</string>
             <key>allowedThreats</key>
             <array>
                 <string>EICAR-Test-File (not a virus)</string>
             </array>
             <key>disallowedThreatActions</key>
             <array>
                 <string>allow</string>
                 <string>restore</string>
             </array>
             <key>threatTypeSettings</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>potentially_unwanted_application</string>
                     <key>value</key>
                     <string>block</string>
                 </dict>
                 <dict>
                     <key>key</key>
                     <string>archive_bomb</string>
                     <key>value</key>
                     <string>audit</string>
                 </dict>
             </array>
             <key>threatTypeSettingsMergePolicy</key>
             <string>merge</string>
         </dict>
         <key>cloudService</key>
         <dict>
             <key>enabled</key>
             <true/>
             <key>diagnosticLevel</key>
             <string>optional</string>
             <key>automaticSampleSubmission</key>
             <true/>
         </dict>
         <key>edr</key>
         <dict>
             <key>tags</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>GROUP</string>
                     <key>value</key>
                     <string>ExampleTag</string>
                 </dict>
             </array>
         </dict>
         <key>userInterface</key>
         <dict>
             <key>hideStatusMenuIcon</key>
             <false/>
         </dict>
     </dict>
     </plist>
   

2. Tallenna tiedosto nimellä MDATP_MDAV_configuration_settings.plist.

3. Avaa Jamf Pro -koontinäytössä Tietokoneet ja niiden määritysprofiilit. Valitse Uusi ja siirry Yleiset-välilehteen.

   

4. Määritä Yleiset-välilehdessä seuraavat tiedot:

   • Nimi: MDATP MDAV configuration settings
   • Kuvaus: <blank>
   • Luokka: None (default)
   • Jakelumenetelmä: Install Automatically (default)
   • Taso: Computer Level (default)

5. Valitse Sovelluksen & mukautetut asetukset -kohdassaMääritä.

   

   

6. Valitse Lataa tiedosto (PLIST-tiedosto).

   

7. Kirjoita Asetukset-toimialue-ruutuuncom.microsoft.wdav ja valitse sitten Lataa PLIST-tiedosto.

   

8. Valitse Valitse tiedosto.

   

9. Valitse MDATP_MDAV_configuration_settings.plist ja valitse sitten Avaa.

   

10. Valitse Lataa.

    

    

    Huomautus

    Jos lataat Intune-tiedoston palvelimeen, saat seuraavan virheilmoituksen:

    

11. Valitse Tallenna.

    

12. Tiedosto ladataan palvelimeen.

    

    

13. Valitse Käyttöalue-välilehti .

    

14. Valitse Contoson koneryhmä. Valitse Lisää ja valitse sitten Tallenna.

    

    

15. Valitse Valmis. Näet uuden määritysprofiilin.

Vaihe 4: Ilmoitusasetusten määrittäminen

Huomautus

Nämä vaiheet koskevat macOS 11:ta (Big Sur) tai uudempaa. Vaikka Jamf tukee ilmoituksia macOS-versiossa 10.15 tai uudemmassa, Defender for Endpoint Macissa edellyttää macOS 11:tä tai uudempaa.

1. Valitse Jamf Pro -koontinäytössä Tietokoneet ja sitten Määritysprofiilit.

2. Valitse Uusi ja määritä sitten Yleiset-välilehden Asetukset-kohdassa seuraavat tiedot:

   • Nimi: MDATP MDAV Notification settings

   • Kuvaus: macOS 11 (Big Sur) or later

   • Luokka: None *(default)*

   • Jakelumenetelmä: Install Automatically *(default)*

   • Taso: Computer Level *(default)*

     

3. Valitse Ilmoitukset-välilehdessäLisää ja määritä seuraavat arvot:

   • Nipun tunnus: com.microsoft.wdav.tray
   • Kriittiset ilmoitukset: Valitse Poista käytöstä
   • Ilmoitukset: Valitse Ota käyttöön
   • Ilmoitustyyppi: Valitse Sisällytä ja Väliaikainen(oletus)
   • Ilmoitukset lukitusnäytössä: Valitse Piilota
   • Ilmoitukset ilmoituskeskuksessa: Valitse Näytä
   • Merkkisovelluksen kuvake: Valitse Näyttö

   

4. Valitse Ilmoitukset-välilehdessäLisää vielä kerran ja vieritä sitten alaspäin kohtaan Uudet ilmoitukset asetukset.

   • Nipun tunnus: com.microsoft.autoupdate.fba

5. Määritä muut asetukset samoihin arvoihin, jotka mainittiin aiemmin

   

   Huomaa, että sinulla on nyt kaksi taulukkoa, joissa on ilmoitusmääritykset, toinen Bundle ID:lle: com.microsoft.wdav.tray ja toinen Bundle ID:lle: com.microsoft.autoupdate.fba. Vaikka voit määrittää ilmoitusasetukset tarpeitasi vastaavaksi, pakettitunnuksien on oltava täsmälleen samat kuin aiemmin kuvattiin ja Sisällytä-valitsimen on oltava käytössäilmoituksille.

6. Valitse Käyttöalue-välilehti ja valitse sitten Lisää.

   

7. Valitse Contoson koneryhmä. Valitse Lisää ja valitse sitten Tallenna.

   

   

8. Valitse Valmis. Sinun pitäisi nähdä uusi määritysprofiili.

   

Vaihe 5: Microsoft autoUpdaten (MAU) määrittäminen

1. Käytä seuraavia Microsoft Defender for Endpoint määritysasetuksia:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. Tallenna se nimellä MDATP_MDAV_MAU_settings.plist.

3. Valitse Jamf Pro -koontinäytössä Yleiset.

   

4. Määritä Yleiset-välilehdessä seuraavat tiedot:

   • Nimi: MDATP MDAV MAU settings
   • Kuvaus: Microsoft AutoUpdate settings for MDATP for macOS
   • Luokka: None (default)
   • Jakelumenetelmä: Install Automatically (default)
   • Taso: Computer Level (default)

5. Valitse Sovellus & Mukautetut asetukset -kohdassaMääritä.

   

6. Valitse Lataa tiedosto (PLIST-tiedosto).

7. Valitse Asetukset Toimialuetyyppicom.microsoft.autoupdate2ja valitse sitten Lataa PLIST-tiedosto.

   

8. Valitse Valitse tiedosto.

   

9. Valitse MDATP_MDAV_MAU_settings.plist.

   

10. Valitse Lataa.

    

11. Valitse Tallenna.

    

12. Valitse Käyttöalue-välilehti .

    

13. Valitse Lisää.

    

    

    

14. Valitse Valmis.

    

Vaihe 6: Myönnä Microsoft Defender for Endpoint koko levyn käyttöoikeus

1. Valitse Jamf Pro -koontinäytössä Kokoonpanoprofiilit.

   

2. Valitse + Uusi.

3. Määritä Yleiset-välilehdessä seuraavat tiedot:

   • Nimi: MDATP MDAV - grant Full Disk Access to EDR and AV
   • Kuvaus: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • Luokka: None
   • Jakelumenetelmä: Install Automatically
   • Taso: Computer level

   

4. Valitse Määritä tietosuoja-asetuksetKäytännön hallinta -kohdassaMääritä.

   

5. Anna Tietosuoja-asetukset-käytännön ohjausobjektissa seuraavat tiedot:

   • Tunnus: com.microsoft.wdav
   • Tunnisteen tyyppi: Bundle ID
   • Koodivaatimus: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. Valitse + Lisää.

   

   • Valitse Sovellus tai palvelu -kohdasta SystemPolicyAllFiles.
   • Valitse Käyttöoikeudet-kohdassaSalli.

7. Valitse Tallenna (ei sitä, joka on oikeassa alakulmassa).

   

8. + Lisää uusi merkintä valitsemalla App Accessin vieressä oleva merkki.

   

9. Anna seuraavat tiedot:

   • Tunnus: com.microsoft.wdav.epsext
   • Tunnisteen tyyppi: Bundle ID
   • Koodivaatimus: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. Valitse + Lisää.

    

• Valitse Sovellus tai palvelu -kohdasta SystemPolicyAllFiles.
• Valitse Käyttöoikeudet-kohdassaSalli.

11. Valitse Tallenna (ei sitä, joka on oikeassa alakulmassa).

12. Valitse Käyttöalue-välilehti .

13. Valitse + Lisää.

14. Valitse Tietokone Ryhmät ja valitse sitten Ryhmän nimi -kohdasta Contoson MachineGroup.

15. Valitse Lisää. Valitse sitten Tallenna.

16. Valitse Valmis.

    

    

Vaihtoehtoisesti voit ladata fulldisk.mobileconfig-tiedoston ja ladata sen Jamf Configuration Profilesiin kohdassa Mukautettujen määritysprofiilien käyttöönotto Jamf Pron avulla|Tapa 2: Kokoonpanoprofiilin lataaminen Jamf Prohon.

Huomautus

Apple MDM -määritysprofiilin kautta myönnetty koko levyn käyttöoikeus ei näy kohdassa Järjestelmäasetukset => Tietosuoja & Suojaus => Koko levyn käyttö.

Vaihe 7: Hyväksy Microsoft Defender for Endpoint järjestelmälaajennukset

1. Valitse Määritysprofiilit-kohdasta+ Uusi.

   

2. Määritä Yleiset-välilehdessä seuraavat tiedot:

   • Nimi: MDATP MDAV System Extensions
   • Kuvaus: MDATP system extensions
   • Luokka: None
   • Jakelumenetelmä: Install Automatically
   • Taso: Computer Level

   

3. Valitse Järjestelmälaajennukset-kohdassaMääritä.

   

4. Kirjoita Järjestelmälaajennukset-kohtaan seuraavat tiedot:

   • Näyttönimi: Microsoft Corp. System Extensions
   • Järjestelmän laajennustyypit: Allowed System Extensions
   • Ryhmän tunnus: UBF8T346G9
   • Sallitut järjestelmälaajennukset:
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. Valitse Käyttöalue-välilehti .

   

6. Valitse + Lisää.

7. Valitse Tietokone Ryhmät>valitse Ryhmän nimi> -kohdasta Contoson koneryhmä.

8. Valitse + Lisää.

   

9. Valitse Tallenna.

   

10. Valitse Valmis.

    

Vaihe 8: Verkkolaajennuksen määrittäminen

MacOS:n Microsoft Defender for Endpoint tarkistaa päätepisteen tunnistuksen ja vastauksen osana vastakeliikenteen ja raportoi nämä tiedot Microsoft Defender-portaaliin.

Huomautus

Nämä vaiheet koskevat macOS 11:ta (Big Sur) tai uudempaa. Vaikka Jamf tukee ilmoituksia macOS-versiossa 10.15 tai uudemmassa, Defender for Endpoint Macissa edellyttää macOS 11:tä tai uudempaa.

1. Valitse Jamf Pro -koontinäytössä Tietokoneet ja sitten Määritysprofiilit.

2. Valitse Uusi ja anna asetukset seuraavasti:

3. Määritä Yleiset-välilehdessä seuraavat arvot:

   • Nimi: Microsoft Defender Network Extension
   • Kuvaus: macOS 11 (Big Sur) or later
   • Luokka: None *(default)*
   • Jakelumenetelmä: Install Automatically *(default)*
   • Taso: Computer Level *(default)*

4. Määritä Sisältösuodatin-välilehdessä seuraavat arvot:

   • Suodattimen nimi: Microsoft Defender Content Filter
   • Tunnus: com.microsoft.wdav
   • Jätä palvelun osoite, organisaatio, käyttäjänimi, salasana, varmenne tyhjäksi (Sisällytäei ole valittu)
   • Suodatusjärjestys: Inspector
   • Vastakesuodatin: com.microsoft.wdav.netext
   • Vastakesuodattimen määrittämä vaatimus: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
   • Jätä verkkosuodatinkentät tyhjiksi (Sisällytäei ole valittuna)

   Huomaa, että tunnisteen, vastakesuodattimen ja vastakesuodattimen määrittämän vaatimuksen tarkat arvot, jotka on määritetty aiemmin.

   

5. Valitse Käyttöalue-välilehti .

   

6. Valitse + Lisää. Valitse Tietokone Ryhmät ja valitse sitten Ryhmän nimi -kohdasta Contoson koneryhmä. Valitse sitten + Lisää.

   

7. Valitse Tallenna.

   

8. Valitse Valmis.

   

Vaihtoehtoisesti voit ladata netfilter.mobileconfig-tiedoston ja ladata sen Jamf Configuration Profilesiin kohdassa Mukautettujen määritysprofiilien käyttöönotto Jamf Pron avulla|

Vaihe 9: Määritä taustapalvelut

Varoitus

macOS 13 (Ventura) sisältää uusia tietosuojaparannuksia. Tästä versiosta alkaen sovelluksia ei oletusarvoisesti voi suorittaa taustalla ilman nimenomaista suostumusta. Microsoft Defender for Endpoint on suoritettava daemon-prosessi taustalla.

Tämä määritysprofiili myöntää taustapalvelun käyttöoikeudet Microsoft Defender for Endpoint. Jos olet aiemmin määrittänyt Microsoft Defender for Endpoint Jamfin kautta, suosittelemme, että päivität käyttöönoton tällä määritysprofiililla.

Lataa background_services.mobileconfigGitHub-säilöstämme.

Lataa ladattu mobiilimääritys Jamf-määritysprofiileihin kohdassa Mukautettujen määritysprofiilien ottaminen käyttöön Jamf Pron avulla|Tapa 2: Kokoonpanoprofiilin lataaminen Jamf Prohon.

Vaihe 10: Bluetooth-käyttöoikeuksien myöntäminen

Varoitus

macOS 14 (Sonoma) sisältää uusia tietosuojaparannuksia. Tästä versiosta alkaen sovellukset eivät oletusarvoisesti voi käyttää Bluetoothia ilman nimenomaista suostumusta. Microsoft Defender for Endpoint käyttää sitä, jos määrität Bluetooth-käytännöt Device Controlille.

Lataa bluetooth.mobileconfigGitHub-säilöstä.

Varoitus

Jamf Pron nykyinen versio ei vielä tue tällaisia tietoja. Jos lataat tämän mobiilimäärityksen sellaisenaan, Jamf Pro poistaa hyötykuorman, jota ei tueta, eikä sitä voi käyttää asiakaskoneissa. Sinun on ensin allekirjoitettava ladattu mobiilimääritys, jonka jälkeen Jamf Pro pitää sitä "sinetöitynä" eikä peukaloi sitä. Katso alla olevat ohjeet:

• Avaimenketjuun on oltava asennettuna vähintään yksi allekirjoitusvarmenne, jopa itse allekirjoitettu varmenne toimii. Voit tarkastaa, mitä sinulla on:

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

Valitse mikä tahansa niistä ja anna lainausmerkissä oleva -N teksti parametrina:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Nyt voit ladata luodun bluetooth-signed.mobileconfig-tiedoston Jamf Prohon artikkelissa Mukautettujen määritysprofiilien käyttöönotto Jamf Pron avulla kuvatulla tavalla|Tapa 2: Kokoonpanoprofiilin lataaminen Jamf Prohon.

Huomautus

Apple MDM Configuration Profilen kautta myönnetty Bluetooth ei näy kohdassa Järjestelmäasetukset => Tietosuoja & Suojaus => Bluetooth.

Vaihe 11: Skannausten ajoittaminen Microsoft Defender for Endpoint macOS:ssä

Noudata ohjeita kohdassa Ajoita tarkistukset Microsoft Defender for Endpoint macOS:ssä.

Vaihe 12: Microsoft Defender for Endpoint käyttöönotto macOS:ssä

Huomautus

Seuraavissa vaiheissa tiedoston nimi .pkg ja Näyttönimi-arvot ovat esimerkkejä. Näissä esimerkeissä yymmdd esitetään päivämäärä, 200329 jolloin paketti ja käytäntö luotiin (muodossa) ja v100.86.92 esitetään käyttöönotetun Microsoft Defender sovelluksen versio. Nämä arvot on päivitettävä vastaamaan nimeämiskäytäntöä, jota käytät ympäristössäsi paketteja ja käytäntöjä varten.

1. Siirry kohtaan, johon tallensit wdav.pkg.

   

2. Anna sen nimeksi wdav_MDM_Contoso_200329.pkg.

   

3. Avaa Jamf Pro -koontinäyttö.

   

4. Valitse tietokone, valitse yläreunasta hammasrataskuvake ja valitse sitten Tietokoneen hallinta.

   

5. Valitse Paketit-kohdassa+ Uusi.

   

6. Määritä Yleiset-välilehdenUusi paketti -kohdassa seuraavat tiedot:

   • Näyttönimi: Jätä se tyhjäksi toistaiseksi. Koska se nollataan, kun valitset pkg-laitteesi.
   • Luokka: None (default)
   • Tiedostonimi: Choose File

   

7. Avaa tiedosto ja osoita se kohteeseen wdav.pkg tai wdav_MDM_Contoso_200329.pkg.

   

8. Valitse Avaa. Määritä näyttönimeksiMicrosoft Defender Advanced Threat Protection ja Microsoft Defender virustentorjunta.

   • Luettelotiedostoa ei tarvita. Microsoft Defender for Endpoint toimii ilman luettelotiedostoa.
   • Asetukset-välilehti: Säilytä oletusarvot.
   • Rajoitukset-välilehti: Säilytä oletusarvot.

   

9. Valitse Tallenna. Paketti ladataan Jamf Prohon.

   

   Paketin käyttöönotto voi kestää muutaman minuutin.

   

10. Siirry Käytännöt-sivulle .

11. Luo uusi käytäntö valitsemalla + Uusi .

    

12. Yleensäkäytä näyttönimelle -parametria MDATP Onboarding Contoso 200329 v100.86.92 or later.

    

13. Valitse Toistuva sisäänkuittaus.

    

14. Valitse Tallenna. Valitse sitten Paketit ja valitse sittenMääritä.

    

15. Valitse Lisää-painikekohdan Microsoft Defender Advanced Threat Protection and Microsoft Defender Antivirus vieressä.

    

16. Valitse Tallenna.

    

Luo älykäs ryhmä koneille, joissa on Microsoft Defender profiileja.

Käyttökokemuksen parantamiseksi rekisteröityjen koneiden määritysprofiilit on asennettava ennen Microsoft Defender pakettia. Useimmissa tapauksissa JamF Pro työntää määritysprofiilit heti, ja nämä käytännöt suoritetaan jonkin ajan kuluttua (eli sisäänkuittauksen aikana). Joissakin tapauksissa määritysprofiilien käyttöönotto voidaan kuitenkin ottaa käyttöön merkittävällä viiveellä (eli jos käyttäjän tietokone on lukittu).

Jamf Pro tarjoaa tavan varmistaa oikea järjestys. Voit luoda älykkään ryhmän tietokoneille, jotka ovat jo vastaanottaneet Microsoft Defender määritysprofiilin, ja asentaa Microsoft Defender paketin vain kyseisiin koneisiin (ja heti, kun ne saavat tämän profiilin).

Toimi seuraavasti:

1. Luo älykäs ryhmä. Avaa uudessa selainikkunassa Älytietokoneet-Ryhmät.

2. Valitse Uusi ja anna ryhmällesi nimi.

3. Valitse Ehdot-välilehdessäLisää ja valitse sitten Näytä lisäehdot.

4. Valitse ehdoksi profiilin nimi ja käytä arvona aiemmin luodun määritysprofiilin nimeä:

   

5. Valitse Tallenna.

6. Palaa ikkunaan, jossa määrität pakettikäytännön.

7. Valitse Käyttöalue-välilehti .

   

8. Valitse kohdetietokoneet.

   

9. Valitse Käyttöalue-kohdastaLisää.

   

10. Siirry Tietokone Ryhmät-välilehteen. Etsi luomasi älyryhmä ja valitse sitten Lisää.

11. Jos haluat, että käyttäjät asentavat Defender for Endpointin vapaaehtoisesti (tai pyydettäessä), valitse Omatoiminen.

12. Valitse Valmis.

Määritysprofiilin vaikutusalue

Jamf edellyttää, että määrität kokoonpanoprofiilille joukon koneita. Sinun on varmistettava, että kaikki laitteet, jotka vastaanottavat Defenderin paketin, saavat myös kaikki yllä luetellut määritysprofiilit.

Varoitus

Jamf tukee Smart Computer -Ryhmät, jotka mahdollistavat käyttöönoton, kuten määritysprofiilit tai käytännöt, kaikissa koneissa, jotka täyttävät tietyt ehdot, jotka on arvioitu dynaamisesti. Se on tehokas käsite, jota käytetään laajalti määritysprofiilien jakelussa.

Muista kuitenkin, että näihin ehtoihin ei tule sisältyä Defenderin läsnäoloa tietokoneessa. Vaikka tämä kriteeri saattaa kuulostaa loogiselta, se aiheuttaa ongelmia, joita on vaikea diagnosoida.

Defender käyttää kaikkia näitä profiileja asennushetkellä.

Määritysprofiilien määrittäminen defenderin läsnäolon mukaan viivästyttää käytännössä määritysprofiilien käyttöönottoa ja johtaa aluksi epäterveelliseen tuotteeseen ja/tai kehottaa hyväksymään manuaalisesti tietyt sovelluskäyttöoikeudet, jotka profiilit muussa tapauksessa hyväksyvät automaattisesti. Käytännön käyttöönotto Microsoft Defender paketin kanssa määritysprofiilien käyttöönoton jälkeen varmistaa loppukäyttäjän parhaan käyttökokemuksen, koska kaikki vaaditut määritykset otetaan käyttöön ennen paketin asentamista.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.