Dela via


Ange inställningar för Microsoft Defender för Endpoint på macOS

Gäller för:

Viktigt

Den här artikeln innehåller instruktioner för hur du anger inställningar för Microsoft Defender för Endpoint på macOS i företagsorganisationer. Information om hur du konfigurerar Microsoft Defender för Endpoint på macOS med hjälp av kommandoradsgränssnittet finns i Resurser.

Sammanfattning

I företagsorganisationer kan Microsoft Defender för Endpoint på macOS hanteras via en konfigurationsprofil som distribueras med hjälp av något av flera hanteringsverktyg. Inställningar som hanteras av ditt säkerhetsåtgärdsteam har företräde framför inställningar som anges lokalt på enheten. Att ändra de inställningar som anges via konfigurationsprofilen kräver eskalerade privilegier och är inte tillgängligt för användare utan administratörsbehörighet.

Den här artikeln beskriver konfigurationsprofilens struktur, innehåller en rekommenderad profil som du kan använda för att komma igång och innehåller instruktioner om hur du distribuerar profilen.

Konfigurationsprofilstruktur

Konfigurationsprofilen är en .plist-fil som består av poster som identifieras med en nyckel (som anger namnet på preferensen), följt av ett värde som beror på typen av inställning. Värden kan antingen vara enkla (till exempel ett numeriskt värde) eller komplexa, till exempel en kapslad lista med inställningar.

Försiktighet

Konfigurationsprofilens layout beror på vilken hanteringskonsol du använder. Följande avsnitt innehåller exempel på konfigurationsprofiler för JAMF och Intune.

Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underområden i Microsoft Defender för Endpoint, som beskrivs mer detaljerat i nästa avsnitt.

Inställningar för antivirusmotorn

Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i Microsoft Defender för Endpoint.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel antivirusEngine
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Tillämpningsnivå för antivirusmotor

Anger tvingande inställningar för antivirusmotorn. Det finns tre värden för att ange tvingande nivå:

  • Realtid (real_time): Realtidsskydd (genomsökningsfiler när de används) är aktiverat.
  • På begäran (on_demand): Filer genomsöks endast på begäran. I det här:
    • Realtidsskydd är inaktiverat.
  • Passiv (passive): Kör antivirusmotorn i passivt läge. I det här:
    • Realtidsskydd är inaktiverat.
    • Genomsökning på begäran är aktiverat.
    • Automatisk hotreparation är inaktiverat.
    • Uppdateringar av säkerhetsinformation är aktiverade.
    • Statusmenyikonen är dold.
Avsnitt Värde
Domän com.microsoft.wdav
Nyckel enforcementLevel
Datatyp Sträng
Möjliga värden real_time (standard)

on_demand

Passiv

Kommentarer Finns i Microsoft Defender för Endpoint version 101.10.72 eller senare.

Aktivera/inaktivera beteendeövervakning

Avgör om funktionen för beteendeövervakning och blockering är aktiverad på enheten eller inte.

Obs!

Den här funktionen gäller endast när Real-Time Protection-funktionen är aktiverad.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel behaviorMonitoring
Datatyp Sträng
Möjliga värden Inaktiverad

aktiverad (standard)

Kommentarer Finns i Microsoft Defender för Endpoint version 101.24042.0002 eller senare.

Konfigurera funktionen för beräkning av filhash

Aktiverar eller inaktiverar funktionen för beräkning av filhash. När den här funktionen är aktiverad beräknar Defender för Endpoint hashvärden för filer som den söker igenom för att möjliggöra bättre matchning mot indikatorreglerna. På macOS beaktas endast skript- och Mach-O-filer (32 och 64 bitar) för den här hashberäkningen (från motorversion 1.1.20000.2 eller senare). Observera att aktivering av den här funktionen kan påverka enhetens prestanda. Mer information finns i: Skapa indikatorer för filer.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel enableFileHashComputation
Datatyp Boolesk
Möjliga värden false (standard)

Sant

Kommentarer Finns i Defender för Endpoint version 101.86.81 eller senare.

Köra en genomsökning när definitionerna har uppdaterats

Anger om du vill starta en processgenomsökning när nya uppdateringar av säkerhetsinformation har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirusgenomsökning på enhetens processer som körs.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanAfterDefinitionUpdate
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Kommentarer Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare.

Sök igenom arkiv (endast antivirusgenomsökningar på begäran)

Anger om du vill genomsöka arkiv under antivirusgenomsökningar på begäran.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanArchives
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Kommentarer Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare.

Grad av parallellitet för genomsökningar på begäran

Anger graden av parallellitet för genomsökningar på begäran. Detta motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen samt varaktigheten för genomsökningen på begäran.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel maximumOnDemandScanThreads
Datatyp Heltal
Möjliga värden 2 (standard). Tillåtna värden är heltal mellan 1 och 64.
Kommentarer Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare.

Princip för undantagssammanslagning

Ange sammanslagningsprincipen för undantag. Detta kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge), eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel exclusionsMergePolicy
Datatyp Sträng
Möjliga värden merge (standard)

admin_only

Kommentarer Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare.

Genomsökningsundantag

Ange entiteter som inte ska genomsökas. Undantag kan anges av fullständiga sökvägar, tillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Undantag
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Typ av undantag

Ange innehåll som inte ska genomsökas efter typ.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel $type
Datatyp Sträng
Möjliga värden excludedPath

excludedFileExtension

excludedFileName

Sökväg till exkluderat innehåll

Ange innehåll som inte ska genomsökas av en fullständig filsökväg.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Sökvägen
Datatyp Sträng
Möjliga värden giltiga sökvägar
Kommentarer Gäller endast om $typeär excludedPath

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för Endpoint på Mac.

Uteslutning Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på enheten .test
Fil En specifik fil som identifieras av den fullständiga sökvägen /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mapp Alla filer under den angivna mappen (rekursivt) /var/log/

/var/*/

Process En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den /bin/cat

cat

c?t

Viktigt

Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>.

Fil-, mapp- och processundantag stöder följande jokertecken:

Jokertecken Beskrivning Exempel Matcher Matchar inte
* Matchar valfritt antal tecken, inklusive inget (observera att när det här jokertecknet används i en sökväg ersätter det bara en mapp) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Matchar ett enskilt tecken file?.log file1.log

file2.log

file123.log

Sökvägstyp (fil/katalog)

Ange om sökvägsegenskapen refererar till en fil eller katalog.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel isDirectory
Datatyp Boolesk
Möjliga värden false (standard)

Sant

Kommentarer Gäller endast om $typeär excludedPath

Filnamnstillägget undantas från genomsökningen

Ange innehåll som inte ska genomsökas av filnamnstillägget.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Förlängning
Datatyp Sträng
Möjliga värden giltiga filnamnstillägg
Kommentarer Gäller endast om $typeär excludedFileExtension

Processen exkluderas från genomsökningen

Ange en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Namn
Datatyp Sträng
Möjliga värden valfri sträng
Kommentarer Gäller endast om $typeär excludedFileName

Tillåtna hot

Ange hot efter namn som inte blockeras av Defender för Endpoint på Mac. Dessa hot kommer att tillåtas att köras.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel allowedThreats
Datatyp Matris med strängar

Otillåtna hotåtgärder

Begränsar de åtgärder som den lokala användaren av en enhet kan vidta när hot identifieras. Åtgärderna som ingår i den här listan visas inte i användargränssnittet.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel disallowedThreatActions
Datatyp Matris med strängar
Möjliga värden tillåt (hindrar användare från att tillåta hot)

återställa (hindrar användare från att återställa hot från karantänen)

Kommentarer Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare.

Inställningar för hottyp

Ange hur vissa hottyper hanteras av Microsoft Defender för Endpoint på macOS.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel threatTypeSettings
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Hottyp

Ange hottyper.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Nyckel
Datatyp Sträng
Möjliga värden potentially_unwanted_application

archive_bomb

Åtgärd att vidta

Ange vilken åtgärd som ska vidtas när ett hot av den typ som anges i föregående avsnitt identifieras. Välj bland följande alternativ:

  • Granskning: enheten är inte skyddad mot den här typen av hot, men en post om hotet loggas.
  • Blockera: enheten skyddas mot den här typen av hot och du meddelas i användargränssnittet och säkerhetskonsolen.
  • Av: enheten är inte skyddad mot den här typen av hot och ingenting loggas.
Avsnitt Värde
Domän com.microsoft.wdav
Nyckel värde
Datatyp Sträng
Möjliga värden granskning (standard)

blockera

Av

Princip för sammanslagning av hottypsinställningar

Ange sammanslagningsprincipen för inställningar för hottyp. Detta kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller endast administratörsdefinierade inställningar (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel threatTypeSettingsMergePolicy
Datatyp Sträng
Möjliga värden merge (standard)

admin_only

Kommentarer Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare.

Kvarhållning av antivirusgenomsökningshistorik (i dagar)

Ange hur många dagar resultatet ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också tas bort från disken.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanResultsRetentionDays
Datatyp Sträng
Möjliga värden 90 (standard). Tillåtna värden är från 1 dag till 180 dagar.
Kommentarer Finns i Microsoft Defender för Endpoint version 101.07.23 eller senare.

Maximalt antal objekt i antivirusgenomsökningshistoriken

Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Bland posterna finns alla genomsökningar på begäran som utförts tidigare och alla antivirusidentifieringar.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanHistoryMaximumItems
Datatyp Sträng
Möjliga värden 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt.
Kommentarer Finns i Microsoft Defender för Endpoint version 101.07.23 eller senare.

Molnlevererad skyddsinställningar

Konfigurera de molndrivna skyddsfunktionerna i Microsoft Defender för Endpoint på macOS.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel cloudService
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Aktivera/inaktivera molnlevererad skydd

Ange om du vill aktivera molnlevererade skydd på enheten eller inte. För att förbättra säkerheten för dina tjänster rekommenderar vi att du behåller den här funktionen aktiverad.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Aktiverat
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Diagnostiksamlingsnivå

Diagnostikdata används för att hålla Microsoft Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar. Den här inställningen bestämmer diagnostiknivån som skickas av Microsoft Defender för Endpoint till Microsoft.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel diagnosticLevel
Datatyp Sträng
Möjliga värden valfritt (standard)

Krävs

Konfigurera molnblockeringsnivå

Den här inställningen bestämmer hur aggressiv Defender för Endpoint kommer att vara när det gäller att blockera och genomsöka misstänkta filer. Om den här inställningen är aktiverad blir Defender för Endpoint mer aggressivt när du identifierar misstänkta filer som ska blockeras och genomsökas. Annars blir det mindre aggressivt och blockerar därför och skannar med mindre frekvens. Det finns fem värden för att ange molnblocknivå:

  • Normal (normal): Standardblockeringsnivån.
  • Måttlig (moderate): Ger endast bedömning för identifiering av hög konfidens.
  • Hög (high): Blockerar aggressivt okända filer samtidigt som prestandaoptimering optimeras (större risk att blockera icke-skadliga filer).
  • High Plus (high_plus): Blockerar okända filer aggressivt och tillämpar ytterligare skyddsåtgärder (kan påverka klientens enhetsprestanda).
  • Nolltolerans (zero_tolerance): Blockerar alla okända program.
Avsnitt Värde
Domän com.microsoft.wdav
Nyckel cloudBlockLevel
Datatyp Sträng
Möjliga värden normal (standard)

Måttlig

Hög

high_plus

zero_tolerance

Kommentarer Finns i Defender för Endpoint version 101.56.62 eller senare.

Aktivera/inaktivera automatiska exempelöverföringar

Avgör om misstänkta exempel (som sannolikt kommer att innehålla hot) skickas till Microsoft. Det finns tre nivåer för att kontrollera sändning av exempel:

  • Ingen: inga misstänkta exempel skickas till Microsoft.
  • Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet för den här inställningen.
  • Alla: alla misstänkta exempel skickas till Microsoft.
Beskrivning Värde
Nyckel automaticSampleSubmissionConsent
Datatyp Sträng
Möjliga värden none (ingen)

säker (standard)

Alla

Aktivera/inaktivera automatiska uppdateringar av säkerhetsinformation

Avgör om uppdateringar av säkerhetsinformation installeras automatiskt:

Avsnitt Värde
Nyckel automaticDefinitionUpdateEnabled
Datatyp Boolesk
Möjliga värden true (standard)

Falska

Användargränssnittsinställningar

Hantera inställningarna för användargränssnittet för Microsoft Defender för Endpoint på macOS.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel userInterface
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Visa/dölj statusmenyikonen

Ange om statusmenyikonen ska visas eller döljas i det övre högra hörnet på skärmen.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel hideStatusMenuIcon
Datatyp Boolesk
Möjliga värden false (standard)

Sant

Visa/dölj alternativet för att skicka feedback

Ange om användare kan skicka feedback till Microsoft genom att gå till Help>Send Feedback.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel userInitiatedFeedback
Datatyp Sträng
Möjliga värden aktiverad (standard)

Inaktiverad

Kommentarer Finns i Microsoft Defender för Endpoint version 101.19.61 eller senare.

Kontrollera inloggningen till konsumentversionen av Microsoft Defender

Ange om användare kan logga in på konsumentversionen av Microsoft Defender.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel consumerExperience
Datatyp Sträng
Möjliga värden aktiverad (standard)

Inaktiverad

Kommentarer Finns i Microsoft Defender för Endpoint version 101.60.18 eller senare.

Inställningar för slutpunktsidentifiering och svar

Hantera inställningarna för komponenten slutpunktsidentifiering och svar (EDR) i Microsoft Defender för Endpoint på macOS.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Edr
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Enhetstaggar

Ange ett taggnamn och dess värde.

  • GRUPP-taggen markerar enheten med det angivna värdet. Taggen visas i portalen under enhetssidan och kan användas för filtrering och gruppering av enheter.
Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Taggar
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Typ av tagg

Anger typ av tagg

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Nyckel
Datatyp Sträng
Möjliga värden GROUP
Taggens värde

Anger värdet för taggen

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel värde
Datatyp Sträng
Möjliga värden valfri sträng

Viktigt

  • Endast ett värde per taggtyp kan anges.
  • Typ av taggar är unika och bör inte upprepas i samma konfigurationsprofil.

Gruppidentifierare

EDR-gruppidentifierare

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel groupIds
Datatyp Sträng
Kommentarer Gruppidentifierare

Manipulationsskydd

Hantera inställningarna för manipulationsskyddskomponenten i Microsoft Defender för Endpoint på macOS.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel manipulationSkydd
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.

Tillämpningsnivå

Om manipulationsskydd är aktiverat och om det är i strikt läge

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel enforcementLevel
Datatyp Sträng
Kommentarer En av "inaktiverade", "granskning" eller "blockera"

Möjliga värden:

  • inaktiverad – Manipuleringsskydd är inaktiverat, inget skydd mot attacker eller rapportering till molnet
  • audit – Manipulationsskydd rapporterar manipuleringsförsök till molnet, men blockerar dem inte
  • block – Manipulationsskydd både blockerar och rapporterar attacker till molnet

Undantag

Definierar processer som tillåts ändra Microsoft Defender-tillgången, utan att överväga manipulering. Antingen sökväg, teamId eller signingId, eller så måste deras kombination anges. Args kan dessutom tillhandahållas för att ange tillåten process mer exakt.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Undantag
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av ordlisteinnehållet.
Sökväg

Exakt sökväg till den körbara processen.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Sökvägen
Datatyp Sträng
Kommentarer När det gäller ett shell-skript är det den exakta sökvägen till tolkens binärfil, t.ex. /bin/zsh. Inga jokertecken tillåts.
Team-ID

Apples "team-ID" för leverantören.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel teamId
Datatyp Sträng
Kommentarer Till exempel UBF8T346G9 för Microsoft
Signerings-ID

Apples "signerings-ID" för paketet.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel signingId
Datatyp Sträng
Kommentarer Till exempel com.apple.ruby för Ruby-tolken
Processargument

Används i kombination med andra parametrar för att identifiera processen.

Avsnitt Värde
Domän com.microsoft.wdav
Nyckel signingId
Datatyp Matris med strängar
Kommentarer Om det anges måste processargumentet matcha dessa argument exakt, skiftlägeskänsliga

För att komma igång rekommenderar vi följande konfiguration för ditt företag för att dra nytta av alla skyddsfunktioner som Microsoft Defender för Endpoint tillhandahåller.

Följande konfigurationsprofil (eller, om det gäller JAMF, en egenskapslista som kan laddas upp till konfigurationsprofilen för anpassade inställningar) kommer att:

  • Aktivera realtidsskydd (RTP)
  • Ange hur följande hottyper ska hanteras:
    • Potentiellt oönskade program (PUA) blockeras
    • Arkivbomber (fil med hög komprimeringshastighet) granskas i Microsoft Defender för Endpoint-loggar
  • Aktivera automatiska uppdateringar av säkerhetsinformation
  • Aktivera molnbaserat skydd
  • Aktivera automatisk sändning av exempel
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Exempel på fullständig konfigurationsprofil

Följande mallar innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över Microsoft Defender för Endpoint på macOS.

Egenskapslista för fullständig JAMF-konfigurationsprofil

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Fullständig intune-profil

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Verifiering av egenskapslista

Egenskapslistan måste vara en giltig .plist-fil . Detta kan kontrolleras genom att köra:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Om filen är välformulerad matar ovanstående kommando ut OK och returnerar slutkoden 0. Annars visas ett fel som beskriver problemet och kommandot returnerar slutkoden 1.

Distribution av konfigurationsprofil

När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via hanteringskonsolen som företaget använder. Följande avsnitt innehåller instruktioner om hur du distribuerar den här profilen med JAMF och Intune.

JAMF-distribution

Från JAMF-konsolen öppnar du Konfigurationsprofiler för datorer>, navigerar till den konfigurationsprofil som du vill använda och väljer sedan Anpassade inställningar. Skapa en post med com.microsoft.wdav som inställningsdomän och ladda upp den .plist som skapades tidigare.

Försiktighet

Du måste ange rätt inställningsdomän (com.microsoft.wdav), annars kommer inställningarna inte att identifieras av Microsoft Defender för Endpoint.

Intune-distribution

  1. Öppna Enhetskonfigurationsprofiler>. Välj Skapa profil.

  2. Välj ett namn för profilen. Ändra Platform=macOS till Profiltyp=Mallar och välj Anpassad i avsnittet med mallnamn. Välj Konfigurera.

  3. Spara den .plist som skapades tidigare som com.microsoft.wdav.xml.

  4. Ange com.microsoft.wdav som namn på den anpassade konfigurationsprofilen.

  5. Öppna konfigurationsprofilen och ladda upp com.microsoft.wdav.xml filen. (Den här filen skapades i steg 3.)

  6. Välj OK.

  7. Välj Hantera>tilldelningar. På fliken Inkludera väljer du Tilldela till alla användare & Alla enheter.

Försiktighet

Du måste ange rätt namn på den anpassade konfigurationsprofilen. Annars kommer dessa inställningar inte att identifieras av Microsoft Defender för Endpoint.

Resurser

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.