次の方法で共有


Microsoft Intuneを使用して macOS にMicrosoft Defender for Endpointをデプロイする

適用対象:

この記事では、Microsoft Intuneを使用して macOS にMicrosoft Defender for Endpointをデプロイする方法について説明します。

前提条件とシステム要件

作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「macOS のメイン Microsoft Defender for Endpoint」ページを参照してください。

概要

次の表は、Microsoft Intuneを使用して Mac でMicrosoft Defender for Endpointをデプロイおよび管理する手順をまとめたものです。 詳細な手順については、次の表を参照してください。

手順 サンプル ファイル名 バンドル識別子
システム拡張機能を承認する sysext.mobileconfig 該当なし
ネットワーク拡張機能ポリシー netfilter.mobileconfig 該当なし
フル ディスク アクセス fulldisk.mobileconfig com.microsoft.wdav.epsext
Microsoft Defender for Endpoint構成設定

Mac で Microsoft 以外のウイルス対策を実行する予定の場合は、[ passiveMode ] を [ true] に設定します。
MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
バックグラウンド サービス background_services.mobileconfig 該当なし
Microsoft Defender for Endpoint通知を構成する notif.mobileconfig com.microsoft.wdav.tray
アクセシビリティ設定 accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Microsoft AutoUpdate (MAU) を構成する com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
デバイス コントロール DeviceControl.mobileconfig 該当なし
データ損失防止 DataLossPrevention.mobileconfig 該当なし
オンボーディング パッケージをダウンロードする WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
macOS アプリケーションにMicrosoft Defender for Endpointをデプロイする Wdav.pkg 該当なし

システム構成プロファイルを作成する

次の手順では、必要なシステム構成プロファイルMicrosoft Defender for Endpoint作成します。 Microsoft Intune管理センターで、[デバイス>構成プロファイル] を開きます

手順 1: システム拡張機能を承認する

  1. Intune管理センターで、[デバイス] に移動し、[デバイス管理] で [構成] を選択します

  2. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  3. [ポリシー] タブ 、[ 作成>新しいポリシー] を選択します。

  4. [ プラットフォーム] で、[ macOS] を選択します。

  5. [ プロファイルの種類] で、[ 設定カタログ] を選択します。

  6. [作成] を選択します。

  7. [ 基本 ] タブで、プロファイルに 名前 を付け、[ 説明] を入力します。に、[次へ] を選択します。

  8. [構成設定] タブで、[+ 設定の追加] を選択します。

  9. [ テンプレート名] で、[拡張機能] を選択 します

  10. [設定] ピッカーで、[システム構成] カテゴリを展開し、[システム拡張機能>[許可されたシステム拡張機能] を選択します。

    設定ピッカーを示すスクリーンショット

  11. [設定] ピッカーを閉じ、[ + インスタンスの編集] を選択します。

  12. [ 許可されるシステム拡張機能 ] セクションで次のエントリを構成し、[ 次へ] を選択します。

    許可されるシステム拡張機能 Team 識別子
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    許可されているシステム拡張機能を示すスクリーンショット

  13. [ 割り当て ] タブで、macOS デバイスまたはユーザーが配置されているグループにプロファイルを割り当てます。

  14. 構成プロファイルを確認します。 [作成] を選択します。

手順 2: ネットワーク フィルター

エンドポイント検出と応答機能の一部として、macOS のMicrosoft Defender for Endpointはソケット トラフィックを検査し、この情報を Microsoft 365 Defender ポータルに報告します。 次のポリシーを使用すると、ネットワーク拡張機能がこの機能を実行できます。

GitHub リポジトリから netfilter.mobileconfig をダウンロードします。

重要

ネットワーク フィルターの .mobileconfig (plist) は 1 つだけサポートされています。 複数のネットワーク フィルターを追加すると、Mac でのネットワーク接続の問題が発生します。 この問題は、macOS 上の Defender for Endpoint に固有ではありません。

ネットワーク フィルターを構成するには:

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 NetFilter-prod-macOS-Default-MDE 」のように入力します。 さらに [次へ] を選択します。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 NetFilter-prod-macOS-Default-MDE 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択し、[次へ] を選択します。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  11. 構成プロファイルを確認します。 [作成] を選択します。

手順 3: フル ディスク アクセス

注:

macOS Catalina (10.15) 以降では、エンド ユーザーのプライバシーを提供するために 、FDA (フル ディスク アクセス) が作成されました。 Intuneなどのモバイル デバイス管理 ソリューションを使用して TCC (透明性、同意 & 制御) を有効にすると、Defender for Endpoint が完全なディスク アクセス承認を失って正常に機能するリスクがなくなります。

この構成プロファイルは、Microsoft Defender for Endpointへのフル ディスク アクセスを許可します。 以前にIntuneを使用してMicrosoft Defender for Endpointを構成した場合は、この構成プロファイルを使用してデプロイを更新することをお勧めします。

GitHub リポジトリから fulldisk.mobileconfig をダウンロードします。

フル ディスク アクセスを構成するには:

  1. Intune管理センターの [構成プロファイル] で、[プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で [ カスタム] を選択し、[ 作成] を選択します。

  5. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 FullDiskAccess-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

  6. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 FullDiskAccess-prod-macOS-Default-MDE 」のように入力します。

  7. [デプロイ チャネル] を選択し、[次へ] を選択します。

  8. 構成プロファイル ファイルを選択します。

  9. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  10. 構成プロファイルを確認します。 [作成] を選択します。

注:

Apple MDM 構成プロファイルを介して付与されたフル ディスク アクセスは、[ システム設定] > [プライバシー] & [セキュリティ] > [フル ディスク アクセス] には反映されません。

手順 4: バックグラウンド サービス

注意

macOS 13 (Ventura) には、新しいプライバシーの強化が含まれています。 このバージョン以降、既定では、明示的な同意なしにアプリケーションをバックグラウンドで実行することはできません。 Microsoft Defender for Endpointデーモン プロセスをバックグラウンドで実行する必要があります。 この構成プロファイルは、バックグラウンド サービスのアクセス許可をMicrosoft Defender for Endpointに付与します。 以前にMicrosoft Intuneを使用してMicrosoft Defender for Endpointを構成した場合は、この構成プロファイルを使用してデプロイを更新することをお勧めします。

GitHub リポジトリから background_services.mobileconfig をダウンロードします。

バックグラウンド サービスを構成するには:

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 BackgroundServices-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 backgroundServices-prod-macOS-Default-MDE 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択します。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  11. 構成プロファイルを確認します。 [作成] を選択します。

手順 5: 通知

このプロファイルは、macOS と Microsoft AutoUpdate のMicrosoft Defender for Endpointが UI に通知を表示できるようにするために使用されます。

GitHub リポジトリから notif.mobileconfig をダウンロードします。

エンド ユーザーの通知をオフにするには、通知センターの表示true から notif.mobileconfigfalseに変更できます。

ShowNotificationCenter を True に設定した notif.mobileconfig を示すスクリーンショット。

通知を構成するには:

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 Notify-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 Notif.mobileconfig 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択します。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  11. 構成プロファイルを確認します。 [作成] を選択します。

手順 6: アクセシビリティ設定

このプロファイルは、macOS のMicrosoft Defender for Endpointが Apple macOS High Sierra (10.13.6) 以降のアクセシビリティ設定にアクセスできるようにするために使用されます。

GitHub リポジトリから accessibility.mobileconfig をダウンロードします。

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 Accessibility-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 Accessibility.mobileconfig 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択します。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  11. 構成プロファイルを確認します。 [作成] を選択します。

手順 7: アクセス許可をBluetoothする

注意

macOS 14 (Sonoma) には、新しいプライバシーの強化が含まれています。 このバージョン以降、既定では、アプリケーションは明示的な同意なしにBluetoothにアクセスできません。 Microsoft Defender for Endpointデバイス制御のBluetoothポリシーを構成する場合に使用されます。

GitHub リポジトリから bluetooth.mobileconfig をダウンロードし、手順 6: アクセシビリティ設定と同じワークフローを使用してBluetoothアクセスを有効にします。

注:

Apple MDM 構成プロファイルを使用して付与されたBluetoothは、システム設定 => プライバシー & セキュリティ => Bluetoothには反映されません。

手順 8: Microsoft AutoUpdate

このプロファイルは、Microsoft AutoUpdate (MAU) を使用して macOS 上のMicrosoft Defender for Endpointを更新するために使用されます。 macOS にMicrosoft Defender for Endpointをデプロイする場合は、ここで説明するさまざまなチャネルにあるアプリケーションの更新バージョン (プラットフォーム更新プログラム) を取得するオプションがあります。

  • ベータ (Insiders-Fast)
  • 現在のチャネル (プレビュー、Insiders-Slow)
  • 現在のチャネル (運用)

詳細については、「macOS でMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。

GitHub リポジトリから com.microsoft.autoupdate2.mobileconfig をダウンロードします。

注:

GitHub リポジトリからのサンプル com.microsoft.autoupdate2.mobileconfig は、現在のチャネル (運用) に設定されています。

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 Autoupdate-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 com.microsoft.autoupdate2.mobileconfig 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択します。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

  11. 構成プロファイルを確認します。 [作成] を選択します。

手順 9: 構成設定をMicrosoft Defender for Endpointする

この手順では、Microsoft Intune (https://intune.microsoft.com) を使用してマルウェア対策ポリシーと EDR ポリシーを構成できる [基本設定] に進みます。

9a。 ポータルを使用してポリシー Microsoft Defender設定する

次の手順を実装するか、Microsoft Intuneを使用して、Microsoft Defenderポータルを使用してポリシーを設定します。

  1. Microsoft Defender for Endpointセキュリティ設定管理を使用してセキュリティ ポリシーを設定する前に、IntuneでMicrosoft Defender for Endpointの構成に関するページを参照してください。

  2. Microsoft Defender ポータルで、構成管理>Endpoint セキュリティ ポリシー>Mac ポリシー>新しいポリシーの作成に移動します。

  3. [ プラットフォームの選択] で、[ macOS] を選択します。

  4. [ テンプレートの選択] でテンプレートを選択し、[ ポリシーの作成] を選択します。

  5. ポリシーの名前と説明を指定し、[ 次へ] を選択します。

  6. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

セキュリティ設定の管理の詳細については、次を参照してください。

Microsoft Intuneを使用してポリシーを設定する

macOS のMicrosoft Defender for Endpointのセキュリティ設定は、Microsoft Intuneの [設定設定] で管理できます。

詳細については、「Mac でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

手順 10: macOS でのMicrosoft Defender for Endpointのネットワーク保護

Microsoft Defender ポータルで、次の手順を実行します

  1. [構成管理>Endpoint セキュリティ ポリシー>Mac ポリシー>新しいポリシーの作成に関するページに移動します

  2. [ プラットフォームの選択] で、[ macOS] を選択します。

  3. [テンプレートの選択]で、[ウイルス対策のMicrosoft Defender] を選択し、[ポリシーの作成] を選択します。

    ポリシーを作成するページを示すスクリーンショット。

  4. [ 基本 ] タブで、ポリシーの [名前] と [ 説明] を入力します。 [次へ] を選択します。

    [基本] タブを示すスクリーンショット。

  5. [ 構成設定] タブの [ネットワーク保護] で、 適用レベルを選択します。 [次へ] を選択します。

    [新しいポリシーの作成] ページを示すスクリーンショット。

  6. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

    [割り当て] オプションの設定を構成するページを示すスクリーンショット。

  7. [ 確認と作成 ] でポリシーを確認し、[保存] を選択 します

ヒント

また、ネットワーク保護の情報を追加してネットワーク保護を構成して、手順 8. から 不適切なサイトへの macOS 接続.mobileconfig に防ぐことができます。

手順 11: macOS でのMicrosoft Defender for Endpointのデバイス制御

macOS でMicrosoft Defender for Endpointのデバイス制御を設定するには、次の手順に従います。

手順 12: エンドポイントのデータ損失防止 (DLP)

macOS 上のエンドポイントに Purview のデータ損失防止 (DLP) を設定するには、「Microsoft Intuneを使用して macOS デバイスをコンプライアンス ソリューションにオンボードおよびオフボードする」の手順に従います。

手順 13: PList (.mobileconfig) の状態を確認する

プロファイルの構成が完了すると、ポリシーの状態を確認できます。

状態の表示

Intuneの変更が登録済みデバイスに反映されると、[Monitor>Device status]\(監視デバイスの状態\) の下に表示されます。

デバイスの状態のビューを示すスクリーンショット。

クライアント デバイスのセットアップ

mac デバイスには、標準のポータル サイトインストールで十分です。

  1. デバイス管理を確認します。

    [デバイス管理の確認] ページを示すスクリーンショット。

    [ Open System Preferences]\(システム環境設定を開く\) を選択し、一覧から [管理プロファイル ] を見つけて、[ 承認...] を選択します。[管理プロファイル] が [検証済み] として表示されます。

    [管理プロファイル] ページを示すスクリーンショット。

  2. [ 続行] を 選択し、登録を完了します。

    これで、さらに多くのデバイスを登録できます。 プロビジョニング システム構成とアプリケーション パッケージが完了した後で登録することもできます。

  3. Intuneで、[管理>Devices>すべてのデバイス] を開きます。 ここでは、一覧の中からデバイスを確認できます。

    [すべてのデバイス] ページを示すスクリーンショット。

クライアント デバイスの状態を確認する

  1. 構成プロファイルがデバイスに展開されたら、Mac デバイスで システム環境設定>Profiles を開きます。

    [システム環境設定] ページを示すスクリーンショット。

    [システム環境設定プロファイル] ページを示すスクリーンショット。

  2. 次の構成プロファイルが存在し、インストールされていることを確認します。 管理プロファイルは、Intune システム プロファイルである必要があります。 Wdav-configwdav-kext は、Intuneで追加されたシステム構成プロファイルです。

    [プロファイル] ページを示すスクリーンショット。

  3. 右上隅にMicrosoft Defender for Endpointアイコンも表示されます。

    ステータス バーのMicrosoft Defender for Endpointのアイコンを示すスクリーンショット。

手順 14: アプリケーションを発行する

この手順では、登録済みマシンにMicrosoft Defender for Endpointをデプロイできます。

  1. Microsoft Intune管理センターで、[アプリ] を開きます

    アプリケーションの概要ページを示すスクリーンショット。

  2. [ By platform>macOS>Add] を選択します

  3. [ アプリの種類] で、[ macOS] を選択します。 [ 選択] を選択します

    特定のアプリケーションの種類を示すスクリーンショット。

  4. [ アプリ情報] で、既定値をそのまま使用し、[ 次へ] を選択します。

    アプリケーションのプロパティ ページを示すスクリーンショット。

  5. [割り当て] タブで、[次へ] を選択します。

    Intune割り当て情報ページを示すスクリーンショット。

  6. 確認して 作成します。 アプリ>By プラットフォーム>macOS にアクセスして、すべてのアプリケーションの一覧に表示できます。

    アプリケーション リスト ページを示すスクリーンショット。

詳細については、「Microsoft Intuneを使用して macOS デバイスにMicrosoft Defender for Endpointを追加する」を参照してください。

重要

システム構成を正常に行うには、指定した順序 (手順 1 ~ 13) で構成プロファイルを作成して展開する必要があります。

手順 15: オンボード パッケージをダウンロードする

Microsoft 365 Defender ポータルからオンボード パッケージをダウンロードするには:

  1. Microsoft 365 Defender ポータルで、 System>Settings>Endpoints>Device Management>Onboarding に移動します

  2. オペレーティング システムを macOS に設定し、デプロイ方法を Mobile デバイス管理/Microsoft Intune に設定します。

    [オンボード設定] ページを示すスクリーンショット。

  3. [オンボーディング パッケージをダウンロードする] を選択します。 同じディレクトリ にWindowsDefenderATPOnboardingPackage.zip として保存します。

  4. .zip ファイルの内容を抽出します。

    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
     inflating: intune/kext.xml
     inflating: intune/WindowsDefenderATPOnboarding.xml
     inflating: jamf/WindowsDefenderATPOnboarding.plist
    

    サンプルの説明を示すスクリーンショット。

手順 16: オンボード パッケージをデプロイする

このプロファイルには、Microsoft Defender for Endpointのライセンス情報が含まれています。

オンボード パッケージをデプロイするには:

  1. [ 構成プロファイル] で、[ プロファイルの作成] を選択します。

  2. [ プラットフォーム] で、[ macOS] を選択します。

  3. [プロファイルの種類] で、[テンプレート] を選択します。

  4. [ テンプレート名] で、[カスタム] を選択 します

  5. [作成] を選択します。

    デプロイ オンボード パッケージを示すスクリーンショット。

  6. [ 基本 ] タブで、プロファイルに 名前を付 けます。 たとえば、「 Onboarding-prod-macOS-Default-MDE 」のように入力します。 [次へ] を選択します。

    [カスタム] ページを示すスクリーンショット。

  7. [ 構成設定 ] タブで、 カスタム構成プロファイル 名を入力します。 たとえば、「 WindowsDefenderATPOnboarding 」のように入力します。

  8. [デプロイ チャネル] を選択し、[次へ] を選択します。

  9. 構成プロファイル ファイルを選択します。

    構成設定を示すスクリーンショット。

  10. [ 割り当て ] タブで、macOS デバイスやユーザーが配置されているグループ、または すべてのユーザーすべてのデバイスにプロファイルを割り当てます。

    [割り当て] タブを示すスクリーンショット。

  11. 構成プロファイルを確認します。 [作成] を選択します。

  12. [デバイス>構成プロファイル] を開いて、作成されたプロファイルを表示します。

手順 17: マルウェア対策の検出を確認する

マルウェア対策の検出レビューをテストするには、次の記事を参照してください。 デバイスのオンボードおよびレポート サービスを確認するためのウイルス対策検出テスト

手順 18: EDR 検出の確認

EDR 検出レビューをテストするには、次の記事を参照してください。 デバイス のオンボードとレポート サービスを検証するための EDR 検出テスト

トラブルシューティング

問題: ライセンスが見つかりません。

解決策: この記事の手順に従って、WindowsDefenderATPOnboarding.xml を使用してデバイス プロファイルを作成します。

ログのインストールに関する問題

エラーが発生したときに、インストーラーによって作成された自動的に生成されたログを検索する方法については、「ログのインストールに関する 問題 」を参照してください。

トラブルシューティング手順の詳細については、次を参照してください。

アンインストール

クライアント デバイスから macOS 上のMicrosoft Defender for Endpointを削除する方法の詳細については、「アンインストール」を参照してください。