macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする

macOS 上のMicrosoft Defender for Endpointに組み込まれているスキャンをスケジュールする

Microsoft Defender for Endpointを使用して脅威スキャンをいつでも開始できますが、企業はスケジュールされたスキャンや時間指定スキャンの恩恵を受ける可能性があります。 たとえば、毎日または週の初めに実行するようにスキャンをスケジュールできます。

スケジュールされたスキャンには、時間単位、日単位、週単位の 3 種類のスキャンを構成できます。 毎時および毎日のスケジュールされたスキャンは常にクイック スキャンとして実行され、毎週のスキャンはクイック スキャンまたはフル スキャンのいずれかに構成できます。 3 種類のスケジュールされたスキャンをすべて同時に実行できます。 この記事のサンプルを参照してください。

前提条件:

• プラットフォーム更新プログラムのバージョン: 101.23122.0005 以降

macOS でMicrosoft Defender for Endpointを使用してスキャンをスケジュールする

macOS でMicrosoft Defender for Endpointするために組み込まれている macOS のスケジュールされたスキャンを作成できます。

ここで使用される .plist ファイル形式の詳細については、Apple 開発者向け公式 Web サイトの 「情報プロパティ リスト ファイルについて 」を参照してください。

次の例は、macOS でのスケジュールされたスキャンの日単位または週単位の構成を示しています。

スケジュールされたスキャンは、 plistで定義した日付、時刻、頻度で実行されます。

例 1: plist を使用して毎日のクイック スキャンと毎週のフル スキャンをスケジュールする

次の例では、毎日のクイック スキャン構成は、午前 0 時 (午後 2 時 45 分) の 885 分後に実行するように設定されています。 毎週の構成は、水曜日の午前 0 時 (午後 2 時 40 分) の 880 分後にフル スキャンを実行するように設定されています。 また、除外を無視し、優先度の低いスキャンを実行するように設定されています。

次のコードは、前に説明した要件に従ってスキャンをスケジュールするために使用する必要があるスキーマを示しています。

1. テキスト エディターを開き、この例を独自のスケジュールされたスキャン ファイルのガイドとして使用します。

Intune の場合

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>PayloadUUID</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft</string>
    <key>PayloadIdentifier</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadDisplayName</key>
    <string>Microsoft Defender for Endpoint settings</string>
    <key>PayloadDescription</key>
    <string>Microsoft Defender for Endpoint configuration settings</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadUUID</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadType</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>features</key> 
            <dict>
                <key>scheduledScan</key> 
                <string>enabled</string> 
            </dict> 
            <key>scheduledScan</key> 
            <dict> 
                <key>ignoreExclusions</key> 
                <true/> 
                <key>lowPriorityScheduledScan</key> 
                <true/> 
                <key>dailyConfiguration</key> 
                <dict> 
                    <key>timeOfDay</key> 
                    <integer>880</integer> 
                </dict> 
                <key>weeklyConfiguration</key> 
                <dict> 
                    <key>dayOfWeek</key> 
                    <integer>4</integer> 
                    <key>timeOfDay</key> 
                    <integer>885</integer> 
                    <key>scanType</key> 
                    <string>full</string>
                </dict>
            </dict> 
        </dict>
    </array>
</dict> 
</plist>

1. ファイルを com.microsoft.wdav.mobileconfigとして保存します。

JamF およびその他のサード パーティ MDM の場合

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist> 

1. ファイルを com.microsoft.wdav.plistとして保存します。

2. スケジュールされたスキャンが "設定設定" を使用して構成されていることを確認します

   mdatp health --details scheduled_scan
   

   結果には、[マネージド] が表示されます。

例 2: plist を使用して、1 時間ごとのクイック スキャン、毎日のクイック スキャン、毎週のフル スキャンをスケジュールする

次の例では、1 時間ごとのクイック スキャンが 6 時間ごとに実行され、毎日のクイック スキャン構成は午前 0 時 (午後 2 時 45 分) の後の 885 分に実行されるように設定され、毎週のフル スキャンは水曜日の午前 0 時 (午後 2 時 40 分) の 880 分後に実行されます。

Intune の場合:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
     <key>PayloadUUID</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadType</key>
     <string>Configuration</string>
     <key>PayloadOrganization</key>
     <string>Microsoft</string>
     <key>PayloadIdentifier</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadDisplayName</key>
     <string>Microsoft Defender for Endpoint settings</string>
     <key>PayloadDescription</key>
     <string>Microsoft Defender for Endpoint configuration settings</string>
     <key>PayloadVersion</key>
     <integer>1</integer>
     <key>PayloadEnabled</key>
     <true/>
     <key>PayloadRemovalDisallowed</key>
     <true/>
     <key>PayloadScope</key>
     <string>System</string>
     <key>PayloadContent</key>
     <array>
       <dict>
           <key>PayloadUUID</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadType</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</array>
</dict>
</plist> 

1. ファイルを com.microsoft.wdav.mobileconfigとして保存します。

JamF およびその他のサード パーティ MDM の場合

1. テキスト エディターを開き、この例を使用します。

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist> 

1. ファイルを com.microsoft.wdav.plistとして保存します。

2. スケジュールされたスキャンが "設定設定" を使用して構成されていることを確認します

   mdatp health --details scheduled_scan
   

   結果には、[マネージド] が表示されます。

オプション 3: CLI ツールを使用してスケジュールされたスキャンを構成する

スケジュールされたスキャン機能を有効にするには:

時間単位のクイック スキャンをスケジュールするには:

毎日のクイック スキャンをスケジュールするには:

毎週のスキャンをスケジュールするには:

その他の構成オプションの場合:

• スケジュールされたスキャンの前に定義の更新をチェックするには:

  sudo mdatp config scheduled-scan settings check-for-definitions --value true

• スケジュールされたスキャンに優先度の低いスレッドを使用するには:

  sudo mdatp config scheduled-scan settings low-priority --value true

スケジュールされたスキャンが実行されたことを確認する

次のコマンドを使用します。

mdatp scan list

\<snip\>