macOS でのMicrosoft Defender for Endpoint用の別のモバイル デバイス管理 (MDM) システムを使用したデプロイ
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
前提条件とシステム要件
作業を開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「macOS のメイン Microsoft Defender for Endpoint」ページを参照してください。
方法
注意
現在、Microsoft では、macOS でのMicrosoft Defender for Endpointの展開と管理のために、Intuneと JAMF のみを正式にサポートしています。 Microsoft は、以下に示す情報に関して、明示または黙示を問わず一切の保証を行いません。
organizationが公式にサポートされていない Mobile デバイス管理 (MDM) ソリューションを使用している場合、macOS でMicrosoft Defender for Endpointをデプロイまたは実行できないという意味ではありません。
macOS でのMicrosoft Defender for Endpointは、ベンダー固有の機能に依存しません。 これは、次の機能をサポートする任意の MDM ソリューションで使用できます。
- macOS .pkgをマネージド デバイスにデプロイします。
- macOS システム構成プロファイルをマネージド デバイスにデプロイします。
- 管理対象デバイスで任意の管理者が構成したツール/スクリプトを実行します。
ほとんどの最新の MDM ソリューションには、これらの機能が含まれていますが、呼び出し方法が異なる場合があります。
ただし、前の一覧の最後の要件なしで Defender for Endpoint を展開できます。
- 状態を一元的に収集することはできません。
- Defender for Endpoint をアンインストールする場合は、管理者としてクライアント デバイスにローカルでログオンする必要があります。
展開
ほとんどの MDM ソリューションでは、macOS デバイスの管理に同じモデルが使用され、用語も似ています。 JAMF ベースのデプロイをテンプレートとして使用します。
パッケージ
インストール パッケージ (wdav.pkg) をポータルからダウンロードして、必要なアプリケーション パッケージのデプロイMicrosoft Defender構成します。
警告
Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。
パッケージを企業に展開するには、MDM ソリューションに関連付けられている手順を使用します。
ライセンス設定
macOS のMicrosoft Defender for Endpointは macOS の一部ではないので、MDM ソリューションでは"カスタム設定プロファイル" と呼ばれる場合があります。
ポータルからダウンロードしたオンボード パッケージから抽出できる、jamf/WindowsDefenderATPOnboarding.plist プロパティ リストMicrosoft Defender使用します。 お使いのシステムでは、XML 形式の任意のプロパティ リストがサポートされる場合があります。 その場合は、jamf/WindowsDefenderATPOnboarding.plist ファイルをそのままアップロードできます。 または、最初にプロパティ リストを別の形式に変換することが必要になる場合があります。
通常、カスタム プロファイルには ID、名前、またはドメイン属性があります。 この値には、正確に "com.microsoft.wdav.atp" を使用する必要があります。 MDM はこれを使用して、クライアント デバイス上の /Library/Managed Preferences/com.microsoft.wdav.atp.plist に設定ファイルを展開し、Defender for Endpoint はこのファイルを使用してオンボード情報を読み込みます。
システム構成プロファイル
macOS では、システム拡張機能、バックグラウンドでの実行、通知の送信、フル ディスク アクセスなど、アプリケーションが使用する特定の機能をユーザーが手動で明示的に承認する必要があります。Microsoft Defender for Endpointはこれらの機能に依存しており、これらの同意をすべてユーザーから受け取るまで適切に機能することはできません。
ユーザーに代わって自動的に同意を付与するために、管理者は MDM システムを介してシステム ポリシーをプッシュします。 これは、エンド ユーザーからの手動承認に依存するのではなく、行うことを強くお勧めします。
で使用できる https://github.com/microsoft/mdatp-xplatmobileconfig ファイルとして必要なすべてのポリシー Microsoft Defender for Endpoint提供します。 Mobileconfig は、Apple Configurator や iMazing Profile などの他の製品がサポートする Apple のインポート/エクスポート形式エディターです。
ほとんどの MDM ベンダーは、新しいカスタム構成プロファイルを作成する mobileconfig ファイルのインポートをサポートしています。
プロファイルを設定するには:
- MDM ベンダーで mobileconfig インポートを実行する方法について説明します。
- から https://github.com/microsoft/mdatp-xplatのすべてのプロファイルについて、mobileconfig ファイルをダウンロードしてインポートします。
- 作成された構成プロファイルごとに適切なスコープを割り当てます。
Apple では、新しいバージョンの OS を使用して、新しい種類のペイロードが定期的に作成されることに注意してください。 上記のページにアクセスし、使用可能になったら新しいプロファイルを発行する必要があります。 このような変更を行うと、新 着情報ページ に通知が投稿されます。
Defender for Endpoint の構成設定
Microsoft Defender for Endpoint構成をデプロイするには、構成プロファイルが必要です。
次の手順では、構成プロファイルの適用と検証を行う方法を示します。
1. MDM は、登録済みマシンに構成プロファイルを展開 します。[システム設定プロファイル] > でプロファイルを表示できます。 構成設定プロファイルに使用した名前Microsoft Defender for Endpoint探します。 表示されない場合は、トラブルシューティングのヒントについては、MDM のドキュメントを参照してください。
2. 構成プロファイルが正しいファイルに表示される
読み取りと/Library/Managed Preferences/com.microsoft.wdav.ext.plist
ファイルのMicrosoft Defender for Endpoint/Library/Managed Preferences/com.microsoft.wdav.plist
。
管理設定には、これら 2 つのファイルのみが使用されます。
これらのファイルが表示されないのに、プロファイルが配信されたことを確認した場合 (前のセクションを参照)、プロファイルが正しく構成されていないことを意味します。 この構成プロファイルを "コンピューター レベル" ではなく "ユーザー レベル" にするか、Microsoft Defender for Endpointが想定するドメイン ("com.microsoft.wdav" と "com.microsoft.wdav.ext") ではなく別の基本設定ドメインを使用しました。
アプリケーション構成プロファイルを設定する方法については、MDM のドキュメントを参照してください。
3. 構成プロファイルには、予期される構造が含まれています
この手順を確認するのは難しい場合があります。 Microsoft Defender for Endpointでは、厳密な構造を持つ com.microsoft.wdav.plist が必要です。 設定を予期しない場所に配置したり、スペルミスを行ったり、無効な型を使用したりすると、設定は自動的に無視されます。
- 構成した設定が として
[managed]
報告されていることをチェックmdatp health
して確認できます。 - の内容
/Library/Managed Preferences/com.microsoft.wdav.plist
を調べ、期待される設定と一致することを確認できます。
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
ドキュメントに記載されている 構成プロファイル構造 をガイドラインとして使用できます。
この記事では、"antivirusEngine"、"edr"、"tamperProtection" が構成ファイルの最上位の設定であることを説明します。 たとえば、"scanHistoryMaximumItems" は 2 番目のレベルにあり、整数型です。
この情報は、前のコマンドの出力に表示されます。 "antivirusEngine" が他の設定の下に入れ子になっていることがわかった場合は、プロファイルが正しく構成されていません。 "antivirusEngine" ではなく "antivirusengine" が表示される場合、名前のスペルが間違っており、設定のサブツリー全体が無視されます。 の場合 "scanHistoryMaximumItems" => "10000"
、間違った型が使用され、設定は無視されます。
すべてのプロファイルがデプロイされていることを確認する
analyze_profiles.pyをダウンロードして実行できます。 このスクリプトは、マシンにデプロイされたすべてのプロファイルを収集して分析し、見逃したプロファイルについて警告します。 一部のエラーを見逃す可能性があり、システム管理者が意図的に行っている設計上の決定を認識できないことに注意してください。 ガイダンスにはこのスクリプトを使用しますが、エラーとしてマークされた内容が表示される場合は常に調査してください。 たとえば、オンボード ガイドでは、BLOB をオンボードするための構成プロファイルをデプロイするように指示されています。 ただし、一部の組織では、代わりに手動オンボード スクリプトを実行することにしました。 analyze_profile.pyは、見逃したプロファイルについて警告します。 構成プロファイルを使用してオンボードするか、警告を完全に無視するかを決定できます。
インストールの状態を確認する
クライアント デバイスでMicrosoft Defender for Endpointを実行して、オンボード状態をチェックします。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。