在 Jamf Pro 中设置 macOS 上的 Microsoft Defender for Endpoint 策略
适用于:
- Mac 上的 Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
本文介绍如何使用 Jamf Pro 为 Mac 上的 Defender for Endpoint 设置策略。
步骤 1:获取 Microsoft Defender for Endpoint 载入包
在 Microsoft Defender XDR 中,导航到 “设置 > 终结点 > 载入”。
选择“macOS”作为操作系统,选择“移动设备管理/Microsoft Intune”作为部署方法。
选择 “ (WindowsDefenderATPOnboardingPackage.zip) 下载载入包 ”。
提取
WindowsDefenderATPOnboardingPackage.zip
。将文件复制到首选位置。 例如,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist
。
步骤 2:使用载入包在 Jamf Pro 中创建配置文件
找到上一部分中的文件
WindowsDefenderATPOnboarding.plist
。登录到 Jamf Pro,导航到 “计算机>配置文件”,然后选择“ 新建”。
在“ 常规 ”选项卡中输入以下详细信息:
-
名称:
MDE onboarding for macOS
-
说明:
MDE EDR onboarding for macOS
-
类别:
None
-
分发方法:
Install Automatically
-
级别:
Computer Level
-
名称:
导航到 “应用程序 & 自定义设置” 页,选择“ 上传”,然后选择“ 添加”。
选择“ 上传文件 (PLIST 文件) 然后在 ”首选项域“中键入
com.microsoft.wdav.atp
。选择“ 打开 ”,然后选择加入文件。
选择“上传”。
选择“ 范围 ”选项卡。
选择目标计算机。
选择“保存”。
选择“完成”。
步骤 3:配置 Microsoft Defender for Endpoint 设置
在此步骤中,我们将遍历 首选项 ,以便你可以使用 Microsoft Defender XDR 门户 (https://security.microsoft.com) 或 JamF 配置反恶意软件和 EDR 策略。
重要
Microsoft Defender for Endpoint 安全设置管理策略优先于 JamF 集 (和其他第三方 MDM) 策略。
3a. 使用 Microsoft Defender 门户设置策略
使用 Microsoft Defender 设置安全策略之前,请按照 在 Intune 中配置 Microsoft Defender for Endpoint 中的指南进行操作。
在 Microsoft Defender 门户中,转到 “配置管理>终结点安全策略>”“Mac 策略>”“创建新策略”。
在 “选择平台”下,选择“ macOS”。
在 “选择模板”下,选择一个模板,然后选择“ 创建策略”。
指定策略的名称和说明,然后选择“ 下一步”。
在“ 分配 ”选项卡上,将配置文件分配给 macOS 设备和/或用户所在的组,或者将 配置文件分配给所有用户 和 所有设备。
有关管理安全设置的详细信息,请参阅以下文章:
3b. 使用 JamF 设置策略
可以使用 JAMF Pro GUI 编辑 Microsoft Defender for Endpoint 配置的各个设置,也可以使用旧方法,方法是在文本编辑器中创建配置 Plist 并将其上传到 JAMF Pro。
请注意,必须使用 exact com.microsoft.wdav
作为 首选项域;Microsoft Defender for Endpoint 仅使用此名称并 com.microsoft.wdav.ext
加载其托管设置。
com.microsoft.wdav.ext
(如果希望使用 GUI 方法,但还需要配置尚未添加到架构的设置,则版本可能在极少数情况下使用。)
GUI 方法
从 Defender 的 GitHub 存储库 下载schema.json文件,并将其保存到本地文件:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
创建新的配置文件。 在 “计算机”下,转到 “配置文件”,然后在“ 常规 ”选项卡上指定以下详细信息:
-
名称:
MDATP MDAV configuration settings
-
说明:
<blank\>
-
类别:
None (default)
-
级别:
Computer Level (default)
-
分发方法:
Install Automatically (default)
-
名称:
向下滚动到“ 应用程序 & 自定义设置” 选项卡,选择“ 外部应用程序”,选择“ 添加”,然后使用 “自定义架构 ”作为首选项域的源。
键入
com.microsoft.wdav
“首选项域”,选择“ 添加架构” ,schema.json
然后上传步骤 1 中下载的文件。 选择“保存”。可以在“ 首选项域属性”下看到所有受支持的 Microsoft Defender for Endpoint 配置设置。 选择“ 添加/删除属性 ”以选择要管理的设置,然后选择“ 确定” 保存更改。 (未选中的设置未包含在托管配置中,最终用户可以在其计算机上配置这些设置。)
将设置的值更改为所需值。 可以选择“ 详细信息 ”以获取特定设置的文档。 (可以选择 “Plist 预览 ”来检查配置 plist 的外观。选择 “窗体编辑器” 以返回到可视化编辑器。)
选择“ 范围 ”选项卡。
选择 “Contoso 的计算机组”。
选择 “添加”,然后选择“ 保存”。
选择“完成”。 你将看到新的 配置文件。
Microsoft Defender for Endpoint 随时间推移添加新设置。 这些新设置将添加到架构,并将新版本发布到 GitHub。 若要获取更新,请下载更新的架构并编辑现有配置文件。 在“ 应用程序 & 自定义设置” 选项卡上,选择 “编辑架构”。
旧方法
使用以下Microsoft Defender for Endpoint 配置设置:
enableRealTimeProtection
passiveMode
注意
默认情况下未启用,如果计划运行适用于 macOS 的第三方防病毒,请将其设置为
true
。exclusions
excludedPath
excludedFileExtension
excludedFileName
exclusionsMergePolicy
allowedThreats
注意
EICAR 位于示例中,如果要完成概念证明,请删除它,尤其是在测试 EICAR 时。
disallowedThreatActions
potentially_unwanted_application
archive_bomb
cloudService
automaticSampleSubmission
tags
hideStatusMenuIcon
有关信息,请参阅 JAMF 完整配置文件的属性列表。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
将文件另存为
MDATP_MDAV_configuration_settings.plist
。在 Jamf Pro 仪表板中,打开 “计算机”及其 “配置文件”。 选择“ 新建 ”并切换到“ 常规 ”选项卡。
在“ 常规 ”选项卡上输入以下详细信息:
-
名称:
MDATP MDAV configuration settings
-
说明:
<blank>
-
类别:
None (default)
-
分发方法:
Install Automatically (default)
-
级别:
Computer Level (default)
-
名称:
在 “应用程序 & 自定义设置”中,选择“ 配置”。
) 选择“上传文件” (PLIST 文件。
在 “首选项域”中,键入
com.microsoft.wdav
,然后选择“ 上传 PLIST 文件”。选择“ 选择文件”。
选择 “MDATP_MDAV_configuration_settings.plist”,然后选择“ 打开”。
选择“上传”。
选择“保存”。
文件已上传。
选择“ 范围 ”选项卡。
选择 “Contoso 的计算机组”。
选择 “添加”,然后选择“ 保存”。
选择“完成”。 你将看到新的 配置文件。
步骤 4:配置通知设置
这些步骤适用于 macOS 11 (Big Sur) 或更高版本。
在 Jamf Pro 仪表板中,依次选择“ 计算机”、“ 配置文件”。
选择“新建”,然后在“选项”的“常规”选项卡中输入以下详细信息:
名称:
MDATP MDAV Notification settings
说明:
macOS 11 (Big Sur) or later
类别:
None *(default)*
分发方法:
Install Automatically *(default)*
级别:
Computer Level *(default)*
选项卡 “通知”,选择“ 添加”,然后输入以下值:
选项卡 “通知”,再选择“ 添加 一次”,向下滚动到 “新建通知设置”
选择“ 作用域 ”选项卡,然后选择“ 添加”。
选择 “Contoso 的计算机组”。
选择“ 添加”,然后选择“ 保存”。
选择“完成”。 应会看到新的 配置文件。
步骤 5:配置 Microsoft AutoUpdate (MAU)
使用以下Microsoft Defender for Endpoint 配置设置:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
将其另存为
MDATP_MDAV_MAU_settings.plist
。在 Jamf Pro 仪表板中,选择“ 常规”。
在“ 常规 ”选项卡上输入以下详细信息:
-
名称:
MDATP MDAV MAU settings
-
说明:
Microsoft AutoUpdate settings for MDATP for macOS
-
类别:
None (default)
-
分发方法:
Install Automatically (default)
-
级别:
Computer Level (default)
-
名称:
在 “应用程序 & 自定义设置”中 ,选择“ 配置”。
) 选择“上传文件” (PLIST 文件。
在 “首选项域 ”中,选择
com.microsoft.autoupdate2
“ 上传 PLIST 文件”。选择“ 选择文件”。
选择 “MDATP_MDAV_MAU_settings.plist”。
选择“保存”。
选择“ 范围 ”选项卡。
选择“添加”。
选择“完成”。
步骤 6:授予对 Microsoft Defender for Endpoint 的完全磁盘访问权限
在 Jamf Pro 仪表板中,选择“ 配置文件”。
选择“ + 新建”。
在“ 常规 ”选项卡上输入以下详细信息:
-
名称:
MDATP MDAV - grant Full Disk Access to EDR and AV
-
说明:
On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
-
类别:
None
-
分发方法:
Install Automatically
-
级别:
Computer level
-
名称:
在 “配置隐私首选项策略控制 ”中,选择“ 配置”。
在 “隐私首选项策略控制”中,输入以下详细信息:
-
标识符:
com.microsoft.wdav
-
标识符类型:
Bundle ID
-
代码要求:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
标识符:
选择“+ 添加”。
- 在 “应用或服务”下,选择“ SystemPolicyAllFiles”。
- 在 “访问权限”下,选择“ 允许”。
选择“ 保存 ” (而不是右下角) 。
+
选择“应用访问”旁边的符号以添加新条目。输入以下详细信息:
-
标识符:
com.microsoft.wdav.epsext
-
标识符类型:
Bundle ID
-
代码要求:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
标识符:
选择“+ 添加”。
- 在 “应用或服务”下,选择“ SystemPolicyAllFiles”。
- 在 “访问权限”下,选择“ 允许”。
选择“ 保存 ” (而不是右下角) 。
选择“ 范围 ”选项卡。
选择“+ 添加”。
选择“ 计算机组”,然后在“ 组名称”下选择 “Contoso 的 MachineGroup”。
选择“添加”。
选择“保存”。
选择“完成”。
或者,可以下载 fulldisk.mobileconfig 并将其上传到 JAMF 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
注意
通过 Apple MDM 配置配置文件授予的完全磁盘访问权限不会反映在系统设置 => 隐私 & 安全性 => 完全磁盘访问中。
步骤 7:批准 Microsoft Defender for Endpoint 的系统扩展
在 “配置文件”中,选择“ + 新建”。
在“ 常规 ”选项卡上输入以下详细信息:
-
名称:
MDATP MDAV System Extensions
-
说明:
MDATP system extensions
-
类别:
None
-
分发方法:
Install Automatically
-
级别:
Computer Level
-
名称:
在 “系统扩展 ”中,选择“ 配置”。
在 “系统扩展”中,输入以下详细信息:
-
显示名称:
Microsoft Corp. System Extensions
-
系统扩展类型:
Allowed System Extensions
-
团队标识符:
UBF8T346G9
-
允许的系统扩展:
com.microsoft.wdav.epsext
com.microsoft.wdav.netext
-
显示名称:
选择“ 范围 ”选项卡。
选择“+ 添加”。
选择“组>名称>”下的“计算机组”,选择“Contoso 的计算机组”。
选择“+ 添加”。
选择“保存”。
选择“完成”。
步骤 8:配置网络扩展
作为终结点检测和响应功能的一部分,macOS 上的 Microsoft Defender for Endpoint 检查套接字流量,并将此信息报告给 Microsoft Defender 门户。 以下策略允许网络扩展执行此功能。
这些步骤适用于 macOS 11 (Big Sur) 或更高版本。
在 Jamf Pro 仪表板中,依次选择“ 计算机”、“ 配置文件”。
选择“ 新建”,并为 “选项”输入以下详细信息:
选项卡 常规:
-
名称:
Microsoft Defender Network Extension
-
说明:
macOS 11 (Big Sur) or later
-
类别:
None *(default)*
-
分发方法:
Install Automatically *(default)*
-
级别:
Computer Level *(default)*
-
名称:
选项卡 内容筛选器:
-
筛选器名称:
Microsoft Defender Content Filter
-
标识符:
com.microsoft.wdav
- 将 “服务地址”、“ 组织”、“ 用户名”、“ 密码”、“ 证书 ”留空 (“ 包括 ” 未 选中)
-
筛选顺序:
Inspector
-
套接字筛选器:
com.microsoft.wdav.netext
-
套接字筛选器指定要求:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- 将“网络筛选器”字段留空 (未选择“包括”)
请注意, 标识符、 套接字筛选器 和 套接字筛选器指定要求 与上面指定的值完全相同。
-
筛选器名称:
选择“ 范围 ”选项卡。
选择“+ 添加”。
选择“组>名称>”下的“计算机组”,选择“Contoso 的计算机组”。
选择“+ 添加”。
选择“保存”。
选择“完成”。
或者,可以下载 netfilter.mobileconfig 并将其上传到 JAMF 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
步骤 9:配置后台服务
警告
macOS 13 (Ventura) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法在后台运行。 Microsoft Defender for Endpoint 必须在后台运行其守护程序进程。
此配置文件向 Microsoft Defender for Endpoint 授予后台服务权限。 如果以前通过 JAMF Microsoft Defender for Endpoint 配置,我们建议使用此配置文件更新部署。
从 GitHub 存储库下载 background_services.mobileconfig。
如使用 Jamf Pro 部署自定义配置文件中所述,将下载的 mobileconfig 上传到 JAMF 配置文件|方法 2:将配置文件上传到 Jamf Pro。
步骤 10:授予蓝牙权限
警告
macOS 14 (Sonoma) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法访问蓝牙。 如果为设备控制配置蓝牙策略,Microsoft Defender for Endpoint 会使用它。
从 GitHub 存储库下载 bluetooth.mobileconfig。
警告
当前版本的 JAMF Pro 尚不支持此类有效负载。 如果按原样上传此 mobileconfig,JAMF Pro 将删除不受支持的有效负载,并且无法应用于客户端计算机。 你需要首先对下载的 mobileconfig 进行签名,之后 JAMF Pro 会将其视为“密封”,并且不会篡改它。 请参阅以下说明:
需要至少将一个签名证书安装到 KeyChain 中,即使自签名证书也有效。 可以使用以下方法检查你拥有的内容:
> /usr/bin/security find-identity -p codesigning -v 1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert" 2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)" 3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)" 4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)" 4 valid identities found
选择其中任何一个,并提供带引号的文本作为 -N 参数:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
现在,你可以将生成的蓝牙签名.mobileconfig 上传到 JAMF Pro,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
注意
通过 Apple MDM 配置配置文件授予的蓝牙不会反映在系统设置 => 隐私 & 安全性 => 蓝牙中。
步骤 11:在 macOS 上使用 Microsoft Defender for Endpoint 计划扫描
按照 macOS 上使用 Microsoft Defender for Endpoint 计划扫描中的说明进行操作。
步骤 12:在 macOS 上部署 Microsoft Defender for Endpoint
注意
在后续步骤中 .pkg
,文件名和 “显示名称” 值是示例。 在这些示例中, 200329
表示 (yymmdd
) 格式创建包和策略的日期,并 v100.86.92
表示正在部署的 Microsoft Defender 应用程序的版本。
应更新这些值,以符合在包和策略环境中使用的命名约定。
导航到保存
wdav.pkg
的位置。将其重命名为
wdav_MDM_Contoso_200329.pkg
。打开 Jamf Pro 仪表板。
选择计算机并选择顶部的齿轮图标,然后选择“ 计算机管理”。
在 “包”中,选择“ + 新建”。
在 “常规”选项卡中, 在新包中输入以下详细信息:
- 显示名称:暂时将其留空。 因为它在你选择 pkg 时重置。
-
类别:
None (default)
-
文件名:
Choose File
打开文件并将其指向
wdav.pkg
或wdav_MDM_Contoso_200329.pkg
。选择 “打开”。 将 “显示名称” 设置为 “Microsoft Defender 高级威胁防护”和“Microsoft Defender 防病毒”。
- 不需要清单文件。 Microsoft Defender for Endpoint 在没有清单文件的情况下工作。
- “选项”选项卡:保留默认值。
- “限制”选项卡:保留默认值。
选择“保存”。 包将上传到 Jamf Pro。
包可能需要几分钟时间才能进行部署。
导航到 “策略” 页。
选择“ + 新建” 以创建新策略。
在 “常规”中,对于 “显示名称”,请使用
MDATP Onboarding Contoso 200329 v100.86.92 or later
。选择“ 定期签入”。
选择“保存”。
选择 “包>配置”。
选择“Microsoft Defender 高级威胁防护”旁边的“添加”按钮,Microsoft Defender 防病毒。
选择“保存”。
为具有 Microsoft Defender 配置文件的计算机创建智能组。
为了获得更好的用户体验,必须在Microsoft Defender 包之前安装已注册计算机的配置文件。 在大多数情况下,JAMF Pro 会立即推送配置文件,这些策略在一段时间后执行, (即签入) 期间执行。 但是,在某些情况下,在部署配置文件部署时可能会延迟很大, (也就是说,如果用户的计算机被锁定) 。
JAMF Pro 提供了一种确保正确顺序的方法。 可以为已接收 Microsoft Defender 配置文件的计算机创建智能组,并将 Microsoft Defender 的包仅安装到这些计算机 (,一旦它们收到此配置文件) 。
请按照下列步骤操作:
选择“ 范围 ”选项卡。
选择目标计算机。
在“ 作用域”下,选择“ 添加”。
切换到“ 计算机组 ”选项卡。找到创建的智能组,然后选择“ 添加”。
如果希望用户自愿 (或按需安装 Defender for Endpoint) ,请选择“ 自助服务”。
选择“完成”。
配置文件范围
JAMF 要求为配置文件定义一组计算机。 你需要确保接收 Defender 包的所有计算机也都接收上面列出的 所有 配置文件。
警告
JAMF 支持允许部署的智能计算机组,例如将配置文件或策略部署到与动态评估的特定条件匹配的所有计算机。 它是一个功能强大的概念,它广泛用于配置文件分发。
但是,请记住,这些条件不应包括计算机上存在 Defender。 虽然使用此条件可能听起来合乎逻辑,但它会产生难以诊断的问题。
Defender 在安装时依赖于所有这些配置文件。 根据 Defender 的存在创建配置文件实际上会延迟配置文件的部署,并导致最初不正常的产品和/或提示手动批准某些应用程序权限,否则这些权限由配置文件自动批准。
在部署配置文件 后 使用 Microsoft Defender 包部署策略可确保最终用户的最佳体验,因为所有必需的配置都将在包安装之前应用。
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。