共用方式為


在macOS上使用不同的行動 裝置管理 (MDM) 系統進行部署 適用於端點的 Microsoft Defender

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

必要條件和系統需求

開始之前,請參閱 macOS 上的主要 適用於端點的 Microsoft Defender 頁面,以取得目前軟體版本的必要條件和系統需求說明。

方法

注意

目前,Microsoft 正式僅支援 Intune 和 JAMF 來部署和管理 macOS 上的 適用於端點的 Microsoft Defender。 Microsoft 對於以下提供的資訊,不提供任何明示或隱含的擔保。

如果您的組織使用未正式支援的行動 裝置管理 (MDM) 解決方案,這並不表示您無法在 macOS 上部署或執行 適用於端點的 Microsoft Defender。

macOS 上的 適用於端點的 Microsoft Defender不相依於任何廠商特定的功能。 它可以與支援下列功能的任何 MDM 解決方案搭配使用:

  • 將macOS .pkg部署到受控裝置。
  • 將macOS系統組態配置檔部署到受控裝置。
  • 在受管理的裝置上執行任意的系統管理員設定工具/腳本。

大部分的新式 MDM 解決方案都包含這些功能,不過,它們的呼叫方式可能不同。

不過,您可以部署適用於端點的 Defender,而不需要上述清單中的最後一項需求:

  • 您將無法以集中方式收集狀態。
  • 如果您決定卸載適用於端點的 Defender,則必須以系統管理員身分在本機登入客戶端裝置。

部署

大部分的 MDM 解決方案都使用相同的模型來管理具有類似術語的 macOS 裝置。 使用 JAMF 型部署 作為範本。

套件

設定必要應用程式套件的部署, (wdav.pkg) 從 Microsoft Defender 入口網站下載安裝套件。

警告

不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。

若要將套件部署到您的企業,請使用與 MDM 解決方案相關聯的指示。

授權設定

設定 系統組態配置檔

您的 MDM 解決方案可能會將其稱為「自定義設定設定檔」,因為 macOS 上的 適用於端點的 Microsoft Defender 不是 macOS 的一部分。

使用屬性清單 jamf/WindowsDefenderATPOnboarding.plist,可從從入口網站下載的上線套件中擷取 Microsoft Defender。 您的系統可能支援 XML 格式的任意屬性清單。 在此情況下,您可以依原樣上傳 jamf/WindowsDefenderATPOnboarding.plist 檔案。 或者,您可能需要先將屬性清單轉換成不同的格式。

一般而言,您的自定義配置檔會有標識符、名稱或網域屬性。 此值必須完全使用 「com.microsoft.wdav.atp」。。 MDM 會使用它將配置檔案部署至用戶端裝置上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist ,而適用於端點的 Defender 會使用此檔案來載入上線資訊。

系統組態配置檔

macOS 要求使用者手動並明確核准應用程式使用的特定函式,例如系統擴充功能、在背景執行、傳送通知、完整磁碟存取等。適用於端點的 Microsoft Defender 依賴這些函式,而且在收到使用者的同意之前,無法正常運作。

若要代表用戶自動授與同意,系統管理員會透過其 MDM 系統推送系統原則。 這是強烈建議的做法,而不是依賴終端使用者的手動核准。

我們提供 適用於端點的 Microsoft Defender 所需的所有原則,作為可在 https://github.com/microsoft/mdatp-xplat取得的mobileconfig檔案。 Mobileconfig 是 Apple 的匯入/匯出格式,Apple ConfiguratoriMazing Profile 等其他產品 編輯器 支援。

大部分的 MDM 廠商都支援匯入 mobileconfig 檔案,以建立新的自定義組態配置檔。

若要設定設定檔:

  1. 瞭解如何與 MDM 廠商一起完成mobileconfig 匯入。
  2. 針對 來自 的所有配置檔 https://github.com/microsoft/mdatp-xplat,下載mobileconfig檔案並加以匯入。
  3. 為每個建立的組態配置檔指派適當的範圍。

請注意,Apple 會定期使用新版本的操作系統建立新類型的承載。 您必須造訪上述頁面,並在配置檔可供使用后發佈新配置檔。 在進行這類變更后,我們會將通知張貼到 [ 新功能] 頁面

適用於端點的Defender組態設定

若要部署 適用於端點的 Microsoft Defender 組態,您需要組態配置檔。

下列步驟示範如何套用及驗證套用組態配置檔。

1. MDM 會將組態設定檔部署至已註冊的機器 您可以在 [系統設定 > 設定檔] 中檢視配置檔。 尋找您用於 適用於端點的 Microsoft Defender 組態設定設定檔的名稱。 如果您沒有看到,請參閱 MDM 檔以取得疑難解答秘訣。

2.組態配置檔會顯示在正確的檔案中

適用於端點的 Microsoft Defender 讀取/Library/Managed Preferences/com.microsoft.wdav.plist/Library/Managed Preferences/com.microsoft.wdav.ext.plist檔案。 它只會將這兩個檔案用於受控設定。

如果您看不到這些檔案,但已確認已傳遞配置檔 (請參閱上一節) ,則表示配置檔設定錯誤。 您可以將此組態配置檔設為「用戶層級」而非「計算機層級」,或使用不同的喜好設定網域,而不是 適用於端點的 Microsoft Defender 預期 (“com.microsoft.wdav” 和 “com.microsoft.wdav.ext”) 。

請參閱 MDM 檔,以瞭解如何設定應用程式組態設定檔。

3.組態配置檔包含預期的結構

此步驟可能難以驗證。 適用於端點的 Microsoft Defender 需要具有嚴格結構的 com.microsoft.wdav.plist。 如果您將設定放到非預期的位置,或將其拼錯,或使用無效的類型,則會以無訊息方式忽略這些設定。

  1. 您可以檢查 mdatp health 並確認您設定的設定報告為 [managed]
  2. 您可以檢查的內容 /Library/Managed Preferences/com.microsoft.wdav.plist ,並確定符合預期的設定:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

您可以使用記載的 組態配置檔結構 作為指導方針。

本文說明“antivirusEngine”、“edr”、“tamperProtection” 是組態檔最上層的設定。 例如,“scanHistoryMaximumItems” 位於第二層,且為整數類型。

您應該會在上一個命令的輸出中看到這項資訊。 如果您發現 「antivirusEngine」 在其他設定下是巢狀的,則設定檔設定錯誤。 如果您可以看到 「antivirusengine」 而非 「antivirusEngine」,則名稱拼錯,且會忽略設定的整個子樹。 如果 "scanHistoryMaximumItems" => "10000"為 ,則會使用錯誤的類型,並忽略設定。

檢查是否已部署所有配置檔

您可以下載並執行 analyze_profiles.py。 此文本會收集並分析部署到計算機的所有配置檔,並警告您遺漏的配置檔。 請注意,這可能會遺漏一些錯誤,而且不會察覺系統管理員刻意所做的一些設計決策。 請使用此腳本取得指引,但一律調查您是否看到標示為錯誤的內容。 例如,上線指南會告訴您部署用於上線 Blob 的組態配置檔。 然而,有些組織決定改為執行手動上線腳本。 analyze_profile.py警告您遺漏的配置檔。 您可以決定透過組態配置文件上線,或完全忽略警告。

檢查安裝狀態

在用戶端裝置上執行 適用於端點的 Microsoft Defender,以檢查上線狀態。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。