使用 JAMF 部署和管理设备控制

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 商业版

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

通过 macOS 上的 Microsoft Defender for Endpoint 中的设备控制，可以审核、允许或阻止对可移动存储的读取、写入或执行访问。 设备控制还允许你管理 iOS 和便携式设备和蓝牙媒体，无论是否包含排除项。

许可要求

在开始之前，请确认订阅。 若要访问和使用设备控制，订阅必须包含 Defender for Endpoint 计划 1。 有关详细信息，请参阅以下资源：

• Microsoft 365 企业版计划比较表
• 了解 Microsoft 365 商业版中的订阅和许可证

重要

本文包含有关第三方工具的信息。 这样做是为了帮助完成集成方案，但是，Microsoft不提供对第三方工具的故障排除支持。
请联系第三方供应商获取支持。

使用 JAMF 部署策略

步骤 1：创建 JSON 策略

Mac 上的设备控制是通过 JSON 策略定义的。 此策略应具有为定制特定客户条件而定义的相应组、规则和设置。 例如，某些企业组织可能需要完全阻止所有可移动媒体设备，而另一些企业组织可能具有供应商或序列号的特定例外。 Microsoft具有可用于生成策略的 本地 GitHub 存储库 。

有关设置、规则和组的详细信息，请参阅 适用于 macOS 的设备控制。

步骤 2：验证 JSON 策略

创建 JSON 策略后，必须对其进行验证，以确保没有语法或配置错误。 GitHub 存储库中提供了设备控制策略的架构。 Defender for Endpoint 应用程序具有内置功能，用于将 JSON 与定义的架构进行比较。 

1. 将本地设备上的配置保存为 .json 文件。

2. 确保有权访问 mdatp 命令。 如果设备已载入，则应具有此功能。

3. 运行 mdatp device-control policy validate --path <pathtojson>。

步骤 3：更新 Defender for Endpoint 首选项架构

Defender for Endpoint 首选项架构包括新deviceControl/policy密钥。 应更新现有的 Defender for Endpoint 首选项配置文件，以使用新架构文件的内容。

步骤 4：将设备控制策略添加到 Defender for Endpoint 首选项

现在可以将新的设备控件属性添加到用户体验中。

1. 在 Jamf 控制台中，依次选择“ 添加/删除属性”、“ 设备控制”和“ 应用”。

   

2. 向下滚动，直到看到 “设备控制 ”属性 (它位于列表) 底部，然后选择“ 添加/删除属性”。

3. 选择“ 设备控制策略”，然后选择“ 应用”。

   

4. 将设备控制策略 JSON 复制并粘贴到文本框中。

   

5. 保存所做的更改。

另请参阅

• 适用于 macOS 的设备控制
• 使用 Intune 部署和管理设备控制
• macOS 设备控制常见问题解答 (常见问题解答)

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。