JAMF を使用したデバイス制御のデプロイと管理
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender for Business
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
macOS 上のMicrosoft Defender for Endpointのデバイス制御を使用すると、リムーバブル ストレージへの読み取り、書き込み、または実行アクセスを監査、許可、または防止できます。 デバイス制御を使用すると、除外の有無にかかわらず、iOS およびポータブル デバイスとBluetooth メディアを管理することもできます。
ライセンスの要件
開始する前に、サブスクリプションを確認します。 デバイス制御にアクセスして使用するには、サブスクリプションに Defender for Endpoint Plan 1 が含まれている必要があります。 詳細については、次のリソースを参照してください。
重要
この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。
JAMF を使用してポリシーをデプロイする
手順 1: JSON ポリシーを作成する
Mac のデバイス制御は、JSON ポリシーを使用して定義されます。 このポリシーには、特定の顧客条件を調整するために、適切なグループ、ルール、設定が定義されている必要があります。 たとえば、一部のエンタープライズ組織では、すべてのリムーバブル メディア デバイスを完全にブロックする必要がある場合もあれば、ベンダーまたはシリアル番号に対して特定の例外がある企業もあります。 Microsoft には、ポリシーの構築に使用できる ローカル GitHub リポジトリ があります。
設定、ルール、グループの詳細については、「 macOS のデバイス制御」を参照してください。
手順 2: JSON ポリシーの検証
JSON ポリシーを作成した後で検証し、構文や構成エラーがないことを確認する必要があります。 デバイス制御ポリシーのスキーマは、 GitHub リポジトリで入手できます。 Defender for Endpoint アプリケーションには、JSON を定義されたスキーマと比較するための機能が組み込まれています。
構成をローカル デバイスに
.jsonファイルとして保存します。mdatpコマンドにアクセスできることを確認します。 デバイスが既にオンボードされている場合は、この機能が必要です。mdatp device-control policy validate --path <pathtojson>を実行します。
手順 3: Defender for Endpoint 基本設定スキーマを更新する
Defender for Endpoint 基本設定スキーマには、新しいdeviceControl/policy キーが含まれています。 既存の Defender for Endpoint 基本設定構成プロファイルは、新しいスキーマ ファイルのコンテンツを使用するように更新する必要があります。
手順 4: デバイス制御ポリシーを Defender for Endpoint 基本設定に追加する
新しいデバイス コントロール プロパティを使用して、ユーザー エクスペリエンスに追加できるようになりました。
Jamf コンソールで、[プロパティの 追加と削除] を選択し、[ デバイス制御] を選択して、[ 適用] を選択します。
[デバイスコントロール] プロパティ (一覧の下部にあります) が表示されるまで下にスクロールし、[プロパティの追加と削除] を選択します。
[ デバイス制御ポリシー] を選択し、[ 適用] を選択します。
デバイス コントロール ポリシー JSON をコピーしてテキスト ボックスに貼り付けます。
変更内容を保存します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。