在 Jamf Pro 中设置 macOS 策略Microsoft Defender for Endpoint

适用于:

本文介绍如何使用 Jamf Pro 为 Mac 上的 Defender for Endpoint 设置策略。

步骤 1:获取Microsoft Defender for Endpoint载入包

重要

必须分配适当的角色才能查看、管理和载入设备。 有关详细信息,请参阅使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限

  1. Microsoft Defender门户中,导航到“设置>终结点>载入”。

  2. 选择“macOS”作为操作系统,选择“移动设备管理/Microsoft Intune”作为部署方法。

    “设置”页。

  3. 选择 “ (WindowsDefenderATPOnboardingPackage.zip) 下载载入包 ”。

  4. 提取 WindowsDefenderATPOnboardingPackage.zip

  5. 将文件复制到首选位置。 例如,C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist

步骤 2:使用载入包在 Jamf Pro 中创建配置文件

  1. 找到上一部分中的文件 WindowsDefenderATPOnboarding.plist

    Windows Defender ATP 载入文件。

  2. 登录到 Jamf Pro,导航到 “计算机>配置文件”,然后选择“ 新建”。

    在其中创建新 Jamf Pro 仪表板的页面。

  3. 在“ 常规 ”选项卡上,指定以下详细信息:

    • 名称MDE onboarding for macOS
    • 说明MDE EDR onboarding for macOS
    • 类别None
    • 分发方法Install Automatically
    • 级别Computer Level
  4. 导航到 “应用程序 & 自定义设置” 页,选择“ 上传”,然后选择“ 添加”。

    配置应用和自定义设置。

  5. 选择“ 上传文件 (PLIST 文件) 然后在 ”首选项域“中键入 com.microsoft.wdav.atp

    jamfpro plist 上传文件。

    上传文件属性 List 文件。

  6. 选择“ 打开 ”,然后选择加入文件。

    载入文件。

  7. 选择“上传”。

    正在上传的 plist 文件。

  8. 选择“ 范围 ”选项卡。

    “作用域”选项卡。

  9. 选择目标计算机。

    目标计算机。

    目标。

  10. 选择“保存”

    目标计算机的部署。

    目标计算机的选择。

  11. 选择“完成”。

    目标组的计算机。

    配置文件列表。

步骤 3:配置Microsoft Defender for Endpoint设置

在此步骤中,我们将遍历首选项,以便你可以使用Microsoft Defender XDR门户 (https://security.microsoft.com) 或 Jamf 配置反恶意软件和 EDR 策略。

重要

Microsoft Defender for Endpoint安全设置管理策略优先于 Jamf 设置 (和其他第三方 MDM) 策略。

3a. 使用 Microsoft Defender 门户设置策略

  1. 使用 Microsoft Defender 设置安全策略之前,请按照在 Intune 中配置Microsoft Defender for Endpoint中的指南进行操作。

  2. Microsoft Defender门户中,转到“配置管理>终结点安全策略>”“Mac 策略>”“创建新策略”。

  3. “选择平台”下,选择“ macOS”。

  4. “选择模板”下,选择一个模板,然后选择“ 创建策略”。

  5. 指定策略的名称和说明,然后选择“ 下一步”。

  6. 在“ 分配 ”选项卡上,将配置文件分配给 macOS 设备和/或用户所在的组,或者将 配置文件分配给所有用户所有设备

有关管理安全设置的详细信息,请参阅以下文章:

3b. 使用 Jamf 设置策略

可以使用 Jamf Pro GUI 编辑Microsoft Defender for Endpoint配置的各个设置,或者通过在文本编辑器中创建配置 Plist 并将其上传到 Jamf Pro,使用旧方法。

必须使用 exact com.microsoft.wdav 作为 首选项域。 Microsoft Defender for Endpoint仅使用此名称并com.microsoft.wdav.ext加载其托管设置。 com.microsoft.wdav.ext (如果希望使用 GUI 方法,但还需要配置尚未添加到架构的设置,则可以在极少数情况下使用版本。)

GUI 方法

  1. schema.jsonDefender 的 GitHub 存储库下载文件,并将其保存到本地文件:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
    
  2. 创建新的配置文件。 在 “计算机”下,转到 “配置文件”,然后在“ 常规 ”选项卡上指定以下详细信息:

    新配置文件。

    • 名称MDATP MDAV configuration settings
    • 说明<blank\>
    • 类别None (default)
    • 级别Computer Level (default)
    • 分发方法Install Automatically (default)
  3. 向下滚动到“ 应用程序 & 自定义设置” 选项卡,选择“ 外部应用程序”,选择“ 添加”,然后使用 “自定义架构 ”作为首选项域的源。

    添加自定义架构。

  4. 键入 com.microsoft.wdav “首选项域”,选择“ 添加架构”schema.json 然后上传步骤 1 中下载的文件。 选择“保存”

    上传架构。

  5. 可以在“首选项域属性”下查看所有受支持的Microsoft Defender for Endpoint配置设置。 选择“ 添加/删除属性 ”以选择要管理的设置,然后选择“ 确定” 保存更改。 (未选中的设置未包含在托管配置中,最终用户可以在其计算机上配置这些设置。)

    所选的托管设置。

  6. 将设置的值更改为所需值。 可以选择“ 详细信息 ”以获取特定设置的文档。 (可以选择 “Plist 预览 ”来检查配置 plist。选择 “窗体编辑器” 以返回到可视化编辑器。)

    更改设置值的页面。

  7. 选择“ 范围 ”选项卡。

    配置文件范围。

  8. 选择 “Contoso 的计算机组”。 选择 “添加”,然后选择“ 保存”。

    可在其中添加配置设置的页面。

    可在其中保存配置设置的页面。

  9. 选择“完成”。 你将看到新的 配置文件

    完成配置设置的页面。

Microsoft Defender for Endpoint随时间推移添加新设置。 这些新设置将添加到架构,并将新版本发布到 GitHub。 若要获取更新,请下载更新的架构并编辑现有配置文件。 在“ 应用程序 & 自定义设置” 选项卡上,选择 “编辑架构”。

旧方法

  1. 使用以下Microsoft Defender for Endpoint配置设置:

    • enableRealTimeProtection
    • passiveMode (默认情况下未打开此设置。如果计划在 Mac 上运行非Microsoft防病毒软件,请将其设置为 true.)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (EICAR 位于示例中。如果要完成概念证明,请删除它,尤其是在测试 EICAR.)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    有关详细信息,请参阅 Jamf 完整配置文件的属性列表

      <?xml version="1.0" encoding="UTF-8"?>
      <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
      <plist version="1.0">
      <dict>
          <key>antivirusEngine</key>
          <dict>
              <key>enableRealTimeProtection</key>
              <true/>
              <key>passiveMode</key>
              <false/>
              <key>exclusions</key>
              <array>
                  <dict>
                      <key>$type</key>
                      <string>excludedPath</string>
                      <key>isDirectory</key>
                      <false/>
                      <key>path</key>
                      <string>/var/log/system.log</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedPath</string>
                      <key>isDirectory</key>
                      <true/>
                      <key>path</key>
                      <string>/home</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedFileExtension</string>
                      <key>extension</key>
                      <string>pdf</string>
                  </dict>
                  <dict>
                      <key>$type</key>
                      <string>excludedFileName</string>
                      <key>name</key>
                      <string>cat</string>
                  </dict>
              </array>
              <key>exclusionsMergePolicy</key>
              <string>merge</string>
              <key>allowedThreats</key>
              <array>
                  <string>EICAR-Test-File (not a virus)</string>
              </array>
              <key>disallowedThreatActions</key>
              <array>
                  <string>allow</string>
                  <string>restore</string>
              </array>
              <key>threatTypeSettings</key>
              <array>
                  <dict>
                      <key>key</key>
                      <string>potentially_unwanted_application</string>
                      <key>value</key>
                      <string>block</string>
                  </dict>
                  <dict>
                      <key>key</key>
                      <string>archive_bomb</string>
                      <key>value</key>
                      <string>audit</string>
                  </dict>
              </array>
              <key>threatTypeSettingsMergePolicy</key>
              <string>merge</string>
          </dict>
          <key>cloudService</key>
          <dict>
              <key>enabled</key>
              <true/>
              <key>diagnosticLevel</key>
              <string>optional</string>
              <key>automaticSampleSubmission</key>
              <true/>
          </dict>
          <key>edr</key>
          <dict>
              <key>tags</key>
              <array>
                  <dict>
                      <key>key</key>
                      <string>GROUP</string>
                      <key>value</key>
                      <string>ExampleTag</string>
                  </dict>
              </array>
          </dict>
          <key>userInterface</key>
          <dict>
              <key>hideStatusMenuIcon</key>
              <false/>
          </dict>
      </dict>
      </plist>
    
  2. 将文件另存为 MDATP_MDAV_configuration_settings.plist

  3. 在 Jamf Pro 仪表板中,打开“计算机”及其“配置文件”。 选择“ 新建 ”并切换到“ 常规 ”选项卡。

    显示新配置文件的页面。

  4. 在“ 常规 ”选项卡上,指定以下详细信息:

    • 名称MDATP MDAV configuration settings
    • 说明<blank>
    • 类别None (default)
    • 分发方法Install Automatically (default)
    • 级别Computer Level (default)
  5. “应用程序 & 自定义设置”中,选择“ 配置”。

    MDATP MDAV 配置设置。

    应用程序和自定义设置。

  6. ) 选择“上传文件” (PLIST 文件

    配置设置 plist 文件。

  7. “首选项域”中,键入 com.microsoft.wdav,然后选择“ 上传 PLIST 文件”。

    配置设置首选项域。

  8. 选择“ 选择文件”。

    选择 plist 文件的提示。

  9. 选择 “MDATP_MDAV_configuration_settings.plist”,然后选择“ 打开”。

    mdatpmdav 配置设置。

  10. 选择“上传”。

    配置设置上传。

    提示上传与配置设置相关的映像。

    注意

    如果碰巧上传Intune文件,将收到以下错误:

    提示上传与配置设置相关的 intune 文件。

  11. 选择“保存”

    用于保存与配置设置相关的映像的选项。

  12. 文件已上传。

    与配置设置相关的上传文件。

    配置设置页。

  13. 选择“ 范围 ”选项卡。

    配置设置的范围。

  14. 选择 “Contoso 的计算机组”。 选择 “添加”,然后选择“ 保存”。

    配置设置将添加av。

    配置设置的通知。

  15. 选择“完成”。 你将看到新的 配置文件

配置设置配置文件映像的图像。

步骤 4:配置通知设置

注意

这些步骤适用于 macOS 11 (Big Sur) 或更高版本。 尽管 Jamf 支持 macOS 版本 10.15 或更高版本上的通知,但 Mac 上的 Defender for Endpoint 需要 macOS 11 或更高版本。

  1. 在 Jamf Pro 仪表板中,依次选择“计算机”、“配置文件”。

  2. 选择“ 新建”,然后在“ 常规 ”选项卡上,为 “选项”指定以下详细信息:

    • 名称MDATP MDAV Notification settings

    • 说明macOS 11 (Big Sur) or later

    • 类别None *(default)*

    • 分发方法Install Automatically *(default)*

    • 级别Computer Level *(default)*

      新的 macOS 配置文件页。

  3. 在“ 通知 ”选项卡上,选择“ 添加”,并指定以下值:

    • 捆绑 IDcom.microsoft.wdav.tray
    • 严重警报:选择 “禁用”
    • 通知:选择 “启用”
    • 横幅警报类型:选择 “包括 ”和 “临时 (默认)
    • 锁屏界面上的通知:选择“隐藏
    • 通知中心中的通知:选择“显示
    • 锁屏提醒应用图标:选择“显示

    配置设置 mdatpmdav 通知托盘。

  4. 在“ 通知 ”选项卡上,选择“ 添加 一次”,然后向下滚动到 “新建通知设置”。

    • 捆绑 IDcom.microsoft.autoupdate.fba
  5. 将其余设置配置为前面提到的相同值

    配置设置 mdatpmdav notifications mau。

    请注意,现在你有两个具有通知配置的表,一个用于 捆绑包 ID:com.microsoft.wdav.tray,另一个用于 捆绑包 ID:com.microsoft.autoupdate.fba。 虽然可以根据要求配置警报设置,但捆绑包 ID 必须与前面所述完全相同,并且“包含”开关对于通知必须为“打开”。

  6. 选择“ 作用域 ”选项卡,然后选择“ 添加”。

    可在其中为配置设置添加值的页面。

  7. 选择 “Contoso 的计算机组”。 选择“ 添加”,然后选择“ 保存”。

    可在其中保存配置设置 contoso 计算机组的值的页面。

    显示配置设置的完成通知的页面。

  8. 选择“完成”。 应会看到新的 配置文件

    已完成的配置设置。

步骤 5:配置 Microsoft AutoUpdate (MAU)

  1. 使用以下Microsoft Defender for Endpoint配置设置:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
     <key>ChannelName</key>
     <string>Current</string>
     <key>HowToCheck</key>
     <string>AutomaticDownload</string>
     <key>EnableCheckForUpdatesButton</key>
     <true/>
     <key>DisableInsiderCheckbox</key>
     <false/>
     <key>SendAllTelemetryEnabled</key>
     <true/>
    </dict>
    </plist>
    
  2. 将其另存为 MDATP_MDAV_MAU_settings.plist

  3. 在 Jamf Pro 仪表板中,选择“常规”。

    配置设置。

  4. 在“ 常规 ”选项卡上,指定以下详细信息:

    • 名称MDATP MDAV MAU settings
    • 说明Microsoft AutoUpdate settings for MDATP for macOS
    • 类别None (default)
    • 分发方法Install Automatically (default)
    • 级别Computer Level (default)
  5. “应用程序 & 自定义设置”中 ,选择“ 配置”。

    配置设置应用程序和自定义设置。

  6. ) 选择“上传文件” (PLIST 文件

  7. “首选项域 ”中,选择 com.microsoft.autoupdate2上传 PLIST 文件”。

    配置设置首选项域。

  8. 选择“ 选择文件”。

    选择有关配置设置的文件的提示。

  9. 选择 “MDATP_MDAV_MAU_settings.plist”。

    mdatpmdavmau 设置。

  10. 选择“上传”。 有关配置设置的文件的上传。

    显示有关配置设置的文件上传选项的页面。

  11. 选择“保存”

    显示有关配置设置的文件保存选项的页面。

  12. 选择“ 范围 ”选项卡。

    配置设置的“作用域”选项卡。

  13. 选择“添加”。

    用于添加部署目标的选项。

    向配置设置添加更多值的页面。

    可在其中向配置设置添加更多值的页面。

  14. 选择“完成”。

    有关配置设置的完成通知。

步骤 6:授予对Microsoft Defender for Endpoint的完全磁盘访问权限

  1. 在 Jamf Pro 仪表板,选择“配置文件”。

    要为其配置设置的配置文件。

  2. 选择“ + 新建”。

  3. 在“ 常规 ”选项卡上,指定以下详细信息:

    • 名称MDATP MDAV - grant Full Disk Access to EDR and AV
    • 说明On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • 类别None
    • 分发方法Install Automatically
    • 级别Computer level

    一般情况下的配置设置。

  4. “配置隐私首选项策略控制 ”中,选择“ 配置”。

    配置隐私策略控制。

  5. “隐私首选项策略控制”中,输入以下详细信息:

    • 标识符com.microsoft.wdav
    • 标识符类型Bundle ID
    • 代码要求identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    配置设置隐私首选项策略控制详细信息。

  6. 选择“+ 添加”

    配置设置添加系统策略“所有文件”选项。

    • “应用或服务”下,选择“ SystemPolicyAllFiles”。
    • “访问权限”下,选择“ 允许”。
  7. 选择“ 保存 ” (而不是右下角) 。

    配置设置的保存操作。

  8. +选择“应用访问”旁边的符号以添加新条目。

    与配置设置相关的保存操作。

  9. 输入以下详细信息:

    • 标识符com.microsoft.wdav.epsext
    • 标识符类型Bundle ID
    • 代码要求identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  10. 选择“+ 添加”

    配置设置 tcc epsext 条目。

  • “应用或服务”下,选择“ SystemPolicyAllFiles”。
  • “访问权限”下,选择“ 允许”。
  1. 选择“ 保存 ” (而不是右下角) 。

配置设置 tcc epsext 的另一个实例。

  1. 选择“ 范围 ”选项卡。

描述配置设置范围的页面。

  1. 选择“+ 添加”

描述配置设置的页面。

  1. 选择“计算机组”,然后在“组名称”下,选择“Contoso 的 MachineGroup”。

配置设置 contoso 计算机组。

  1. 选择“添加”。 然后选择“保存”。

  2. 选择“完成”。

    配置设置 contoso machine-group。

    配置设置图示。

或者,可以下载 fulldisk.mobileconfig 并将其上传到 Jamf 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro

注意

通过 Apple MDM 配置配置文件授予的完全磁盘访问权限不会反映在系统设置 => 隐私 & 安全性 => 完全磁盘访问中。

步骤 7:批准Microsoft Defender for Endpoint的系统扩展

  1. “配置文件”中,选择“ + 新建”。

    自动生成的社交媒体帖子的说明。

  2. 在“ 常规 ”选项卡上,指定以下详细信息:

    • 名称MDATP MDAV System Extensions
    • 说明MDATP system extensions
    • 类别None
    • 分发方法Install Automatically
    • 级别Computer Level

    配置设置 sysext 新配置文件。

  3. “系统扩展 ”中,选择“ 配置”。

    具有系统扩展的“配置”选项的窗格。

  4. “系统扩展”中,输入以下详细信息:

    • 显示名称Microsoft Corp. System Extensions
    • 系统扩展类型Allowed System Extensions
    • 团队标识符UBF8T346G9
    • 允许的系统扩展
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    “MDATP MDAV 系统扩展”窗格。

  5. 选择“ 范围 ”选项卡。

    “目标计算机”选择窗格。

  6. 选择“+ 添加”

  7. 在“组名称>”下选择“计算机组>”,选择“Contoso 的计算机组”。

  8. 选择“+ 添加”

    “新建 macOS 配置文件”窗格。

  9. 选择“保存”

    有关 MDATP MDAV 系统扩展的选项的显示。

  10. 选择“完成”。

    配置设置 sysext - final。

步骤 8:配置网络扩展

作为终结点检测和响应功能的一部分,macOS 上的Microsoft Defender for Endpoint会检查套接字流量,并将此信息报告给Microsoft Defender门户。

注意

这些步骤适用于 macOS 11 (Big Sur) 或更高版本。 尽管 Jamf 支持 macOS 版本 10.15 或更高版本上的通知,但 Mac 上的 Defender for Endpoint 需要 macOS 11 或更高版本。

  1. 在 Jamf Pro 仪表板中,依次选择“计算机”、“配置文件”。

  2. 选择“ 新建”,并为 “选项”输入以下详细信息:

  3. 在“ 常规 ”选项卡上,指定以下值:

    • 名称Microsoft Defender Network Extension
    • 说明macOS 11 (Big Sur) or later
    • 类别None *(default)*
    • 分发方法Install Automatically *(default)*
    • 级别Computer Level *(default)*
  4. 在“ 内容筛选器 ”选项卡上,指定以下值:

    • 筛选器名称Microsoft Defender Content Filter
    • 标识符com.microsoft.wdav
    • “服务地址”、“ 组织”、“ 用户名”、“ 密码”、“ 证书 ”留空 (“ 包括 选中)
    • 筛选顺序Inspector
    • 套接字筛选器com.microsoft.wdav.netext
    • 套接字筛选器指定要求identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • “网络筛选器”字段留空 (选择“包括”)

    请注意, 标识符套接字筛选器套接字筛选器指定要求 与前面指定的值完全相同。

    mdatpmdav 配置设置。

  5. 选择“ 范围 ”选项卡。

    配置设置范围选项卡。

  6. 选择“+ 添加”。 选择“计算机组”,然后在“组名称”下,选择“Contoso 的计算机组”。 然后选择“ + 添加”。

    配置设置 adim。

  7. 选择“保存”

    “内容筛选器”窗格。

  8. 选择“完成”。

    配置设置 netext - final。

或者,可以下载 netfilter.mobileconfig 并将其上传到 Jamf 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|

步骤 9:配置后台服务

警告

macOS 13 (Ventura) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法在后台运行。 Microsoft Defender for Endpoint必须在后台运行其守护程序进程。

此配置文件向Microsoft Defender for Endpoint授予后台服务权限。 如果以前通过 Jamf 配置Microsoft Defender for Endpoint,建议使用此配置文件更新部署。

GitHub 存储库下载 background_services.mobileconfig

如使用 Jamf Pro 部署自定义配置文件中所述,将下载的 mobileconfig 上传到 Jamf 配置文件|方法 2:将配置文件上传到 Jamf Pro

步骤 10:授予蓝牙权限

警告

macOS 14 (Sonoma) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法访问蓝牙。 如果为设备控制配置蓝牙策略,Microsoft Defender for Endpoint会使用它。

GitHub 存储库下载 bluetooth.mobileconfig

警告

当前版本的 Jamf Pro 尚不支持此类有效负载。 如果按原样上传此 mobileconfig,Jamf Pro 将删除不受支持的有效负载,并且无法应用于客户端计算机。 你需要首先对下载的 mobileconfig 进行签名,之后 Jamf Pro 会将其视为“密封”,并且不会篡改它。 请参阅以下说明:

  • 需要至少将一个签名证书安装到 KeyChain 中,即使自签名证书也有效。 可以使用以下方法检查你拥有的内容:

    > /usr/bin/security find-identity -p codesigning -v
    
      1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
      2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
      3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
      4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
         4 valid identities found
    

选择其中任何一个,并提供带引号的文本作为 -N 参数:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

现在,你可以将生成的蓝牙签名.mobileconfig 上传到 Jamf Pro,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro

注意

通过 Apple MDM 配置配置文件授予的蓝牙不会反映在系统设置 => 隐私 & 安全性 => 蓝牙中。

步骤 11:在 macOS 上使用 Microsoft Defender for Endpoint 计划扫描

按照在 macOS 上使用Microsoft Defender for Endpoint计划扫描中的说明进行操作。

步骤 12:在 macOS 上部署Microsoft Defender for Endpoint

注意

在后续步骤中 .pkg ,文件名和 “显示名称” 值是示例。 在这些示例中, 200329 表示 (yymmdd) 格式创建包和策略的日期,并v100.86.92表示正在部署的 Microsoft Defender 应用程序的版本。 应更新这些值,以符合在包和策略环境中使用的命名约定。

  1. 导航到保存 wdav.pkg的位置。

    文件资源管理器 wdav 包。

  2. 将其重命名为 wdav_MDM_Contoso_200329.pkg

    文件资源管理器 1 wdavmdm 包。

  3. 打开 Jamf Pro 仪表板。

    Jamf pro 的配置设置。

  4. 选择计算机并选择顶部的齿轮图标,然后选择“ 计算机管理”。

    配置设置 - 计算机管理。

  5. “包”中,选择“ + 新建”。

    自动生成的包的鸟描述。

  6. “常规”选项卡上的“新建包”中,指定以下详细信息:

    • 显示名称:暂时将其留空。 因为它在你选择 pkg 时重置。
    • 类别None (default)
    • 文件名Choose File

    配置设置的“常规”选项卡。

  7. 打开文件并将其指向 wdav.pkgwdav_MDM_Contoso_200329.pkg

    显示自动生成包的说明的计算机屏幕。

  8. 选择 “打开”。 将“显示名称”设置为“Microsoft Defender高级威胁防护”和“Microsoft Defender防病毒”。

    • 不需要清单文件。 Microsoft Defender for Endpoint在没有清单文件的情况下工作。
    • “选项”选项卡:保留默认值。
    • “限制”选项卡:保留默认值。

    配置设置的限制选项卡。

  9. 选择“保存”。 包将上传到 Jamf Pro。

    与配置设置相关的包的配置设置包上传过程。

    包可能需要几分钟时间才能进行部署。

    上传用于配置设置的包的实例。

  10. 导航到 “策略” 页。

配置设置策略。

  1. 选择“ + 新建” 以创建新策略。

    配置设置新策略。

  2. “常规”中,对于 “显示名称”,请使用 MDATP Onboarding Contoso 200329 v100.86.92 or later

    配置设置 - MDATP 板载。

  3. 选择“ 定期签入”。

    配置设置的定期检查。

  4. 选择“保存”。 然后选择“ ”,然后选择“配置”。

    用于配置包的选项。

  5. 选择“Microsoft Defender高级威胁防护和Microsoft Defender防病毒”旁边的“添加”按钮。

    向 MDATP MDA 添加更多设置的选项。

  6. 选择“保存”

    配置设置的保存选项。

为具有Microsoft Defender配置文件的计算机创建智能组。

为了获得更好的用户体验,必须在Microsoft Defender包之前安装已注册计算机的配置文件。 在大多数情况下,JamF Pro 会立即推送配置文件,这些策略在一段时间后执行, (即在检查) 期间执行。 但是,在某些情况下,在部署配置文件部署时可能会延迟很大, (也就是说,如果用户的计算机被锁定) 。

Jamf Pro 提供了一种确保正确顺序的方法。 可以为已接收Microsoft Defender配置文件的计算机创建一个智能组,并将Microsoft Defender包仅安装到 (计算机,并在它们收到此配置文件后立即) 。

请按照下列步骤操作:

  1. 创建智能组。 在新的浏览器窗口中,打开智能计算机组

  2. 选择“ 新建”,并为组命名。

  3. 在“ 条件 ”选项卡上,选择“ 添加”,然后选择“ 显示高级条件”。

  4. 选择“ 配置文件名称” 作为条件,并使用以前创建的配置文件的名称作为值:

    创建智能组。

  5. 选择“保存”

  6. 返回到配置包策略的窗口。

  7. 选择“ 范围 ”选项卡。

    与配置设置相关的“范围”选项卡。

  8. 选择目标计算机。

    用于添加计算机组的选项。

  9. 在“ 作用域”下,选择“ 添加”。

    配置设置 - ad1。

  10. 切换到“计算机组”选项卡。找到创建的智能组,然后选择“添加”。

配置设置 - ad2。

  1. 如果希望用户自愿 (或按需安装 Defender for Endpoint) ,请选择“ 自助服务”。

配置设置的“自助服务”选项卡。

  1. 选择“完成”。

Contoso 载入状态,其中包含完成该操作的选项。

策略页。

配置文件范围

Jamf 要求你为配置文件定义一组计算机。 你需要确保接收 Defender 包的所有计算机也都接收上面列出的 所有 配置文件。

警告

Jamf 支持允许部署的智能计算机组,例如将配置文件或策略部署到与动态评估的特定条件匹配的所有计算机。 它是一个功能强大的概念,它广泛用于配置文件分发。

但是,请记住,这些条件不应包括计算机上存在 Defender。 虽然使用此条件可能听起来合乎逻辑,但它会产生难以诊断的问题。

Defender 在安装时依赖于所有这些配置文件。

根据 Defender 的存在创建配置文件实际上会延迟配置文件的部署,并导致最初不正常的产品和/或提示手动批准某些应用程序权限,否则这些权限由配置文件自动批准。在部署配置文件使用 Microsoft Defender 包部署策略可确保最终用户的最佳体验,因为所有必需的配置都将在包安装之前应用。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区