必要條件和系統需求
開始之前,請參閱 macOS 上的主要 適用於端點的 Microsoft Defender 頁面,以取得目前軟體版本的必要條件和系統需求描述。
方法
注意
目前,Microsoft 官方僅支援 Intune 和 JAMF 在 macOS 上部署和管理適用於端點的 Microsoft Defender。 Microsoft 對所提供的資訊不作任何明示或暗示的保證。
如果您的組織使用不受官方支援的行動 裝置管理 (MDM) 解決方案,這並不表示您無法在 macOS 上部署或執行適用於端點的 Microsoft Defender。
macOS 上的適用於端點的 Microsoft Defender 不相依於任何廠商特定功能。 它可以與任何支援下列功能的 MDM 解決方案搭配使用:
- 將 macOS .pkg部署至受管理裝置。
- 將 macOS 系統組態設定檔部署至受管理裝置。
- 在受管理裝置上執行任意管理員設定的工具/指令碼。
大多數現代 MDM 解決方案都包含這些功能,但是,它們的稱呼可能不同。
不過,您可以部署適用於端點的 Defender,而不需要上述清單中的最後一個需求:
- 您可能無法集中收集狀態。
- 如果您決定解除安裝適用於端點的 Defender,您必須以系統管理員身分在本機登入用戶端裝置。
部署
大多數 MDM 解決方案使用相同的模型來管理 macOS 設備,但術語相似。 使用 JAMF 型部署 作為範本。
套件
設定所需應用程式套件的部署, (wdav.pkg) 從入口網站下載安裝套件Microsoft Defender。
警告
不支援重新封裝適用於端點的 Defender 安裝套件案例。 這樣做可能會對產品的完整性產生負面影響並導致不利結果,包括但不限於觸發篡改警報和無法應用的更新。
若要將套件部署至您的企業,請使用與 MDM 解決方案相關聯的指示。
授權設定
設定 系統組態設定檔。
您的 MDM 解決方案可能會稱之為「自訂設定設定檔」,因為 macOS 上的適用於端點的 適用於端點的 Microsoft Defender 不是 macOS 的一部分。
使用屬性清單 jamf/WindowsDefenderATPOnboarding.plist,可從從 Microsoft Defender 入口網站下載的上線套件擷取。 您的系統可能支援 XML 格式的任意內容清單。 在這種情況下,您可以依原樣上傳 jamf/WindowsDefenderATPOnboarding.plist 檔案。 或者,它可能需要您先將屬性清單轉換為不同的格式。
通常,您的自訂設定檔具有 ID、名稱或網域屬性。 您必須針對此值使用「com.microsoft.wdav.atp」。 MDM 會使用它將設定檔案部署至用戶端裝置上的 /Library/Managed Preferences/com.microsoft.wdav.atp.plist ,而適用於端點的 Defender 會使用此檔案來載入上線資訊。
系統組態設定檔
macOS 要求使用者手動且明確地核准應用程式使用的某些功能,例如系統延伸功能、在背景執行、傳送通知、完整磁碟存取等,適用於端點的 Microsoft Defender依賴這些功能,並且在收到使用者的所有同意之前無法正常運作。
若要代表使用者自動授予同意,管理員會透過其 MDM 系統推送系統原則。 這是我們強烈建議執行的動作,而不是依賴使用者的手動核准。
我們提供適用於端點的 Microsoft Defender 所需的所有原則,作為 mobileconfig 檔案,網址為 https://github.com/microsoft/mdatp-xplat。 Mobileconfig 是 Apple Configurator 或其他產品(如 iMazing 設定檔編輯器)支援的 Apple 匯入/匯出格式。
大多數 MDM 供應商都支援匯入 mobileconfig 檔案來建立新的自訂配置描述檔。
若要設定設定檔:
- 了解如何與您的 MDM 供應商完成 mobileconfig 匯入。
- 對於 中的所有 https://github.com/microsoft/mdatp-xplat設定檔,請下載 mobileconfig 檔案並匯入。
- 為每個建立的組態設定檔指派適當的範圍。
Apple 會定期使用新版本的作業系統創建新型有效負載。 您需要訪問上述頁面,並在新個人資料可用後發布它們。 一旦我們進行此類更改,我們就會在 我們的新功能頁面 上發布通知。
適用於端點的 Defender 組態設定
若要部署適用於端點的 Microsoft Defender 設定,您需要組態配置檔。
下列步驟說明如何套用和驗證套用組態設定檔。
1. MDM 將配置描述檔部署到已註冊的機器 您可以在「系統設定 > 描述檔」中檢視描述檔。 尋找您用於適用於端點的 Microsoft Defender 組態設定配置檔的名稱。 如果您沒有看到它,請參閱您的 MDM 文件以獲取故障排除提示。
2. 配置配置文件顯示在正確的文件中
適用於端點的 Microsoft Defender 讀取/Library/Managed Preferences/com.microsoft.wdav.plist和/Library/Managed Preferences/com.microsoft.wdav.ext.plist檔案。
它只會使用這兩個檔案進行受管理設定。
如果您看不到這些檔案,但您已確認設定檔已傳送 (看到上一節) ,則表示您的設定檔設定錯誤。 您要麼將此組態配置檔設為「使用者層級」,而不是「電腦層級」,要麼使用不同的喜好設定網域,而不是適用於端點的 Microsoft Defender預期的網域 (「com.microsoft.wdav」和「com.microsoft.wdav.ext」) 。
請參閱您的 MDM 文件,以了解如何設定應用程式配置描述檔。
3.配置配置文件包含預期的結構
此步驟可能很難驗證。 適用於端點的 Microsoft Defender 預期具有嚴格結構的 com.microsoft.wdav.plist。 如果您將設定放在非預期的位置、拼錯設定或使用無效的類型,則會以無訊息方式忽略這些設定。
- 您可以檢查
mdatp health並確認您設定的設定是否報告為[managed]。 - 您可以檢查的內容
/Library/Managed Preferences/com.microsoft.wdav.plist,並確保它符合預期的設定:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
您可以使用記載的 組態設定檔結構 作為指導方針。
本文說明「antivirusEngine」、「edr」、「tamperProtection」是設定檔頂層的設定。 而且,例如,“scanHistoryMaximumItems” 位於第二層,並且是整數類型。
您應該會在上一個命令的輸出中看到此資訊。 如果“antivirusEngine”嵌套在其他設置下 - 則配置文件配置錯誤。 如果您可以看到“antivirus engine”而不是“antivirusEngine”,則該名稱拼寫錯誤,並且忽略了整個設置子樹。 如果 ,使用 "scanHistoryMaximumItems" => "10000"錯誤的類型並忽略該設定。
檢查是否已部署所有設定檔
您可以下載並運行 analyze_profiles.py。 此指令碼會收集並分析部署至電腦的所有設定檔,並警告您遺漏的設定檔。 它可能會遺漏一些錯誤,而且它不知道系統管理員故意做出的一些設計決策。 使用此指令碼作為指引,但如果您看到標示為錯誤的內容,請務必進行調查。 例如,上線指南會告訴您部署上線 Blob 的組態配置檔。 然而,一些組織決定改為執行手動上線腳本。 analyze_profile.py 會警告您遺失的設定檔。 您可以決定透過設定檔上線,或完全忽略警告。
檢查安裝狀態
在用戶端裝置上執行適用於端點的 Microsoft Defender,以檢查上線狀態。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。