在 Jamf Pro 的 macOS 政策上設定適用於端點的 Microsoft Defender

適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

請參考這篇文章，使用 Jamf Pro 在 macOS 上設定 Defender for Endpoint 的政策。

步驟 1：取得適用於端點的 Microsoft Defender 入門套件

重要事項

您必須指定適當的角色來檢視、管理和安裝裝置。欲了解更多資訊，請參閱「管理 Microsoft Entra 全球角色對 Microsoft Defender 全面偵測回應的存取」。

在 Microsoft Defender 入口網站中，請前往設定>端點>新進。
選擇 macOS 作為作業系統，並選擇行動裝置管理/Microsoft Intune 作為部署方式。
選擇 下載入職套件 (WindowsDefenderATPOnboardingPackage.zip) 。
擷取 WindowsDefenderATPOnboardingPackage.zip。
將檔案複製到你偏好的位置。例如，C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist。

步驟 2：使用 Onboarding 套件在 Jamf Pro 建立設定檔

找到前一部分的檔案 WindowsDefenderATPOnboarding.plist 。
登入 Jamf Pro，導覽到電腦>設定檔，選擇新。
在 「一般 」標籤中，請指定以下細節：
- 姓名： MDE onboarding for macOS
- 說明： MDE EDR onboarding for macOS
- 分類： None
- 分配方式： Install Automatically
- 等級： Computer Level
前往 應用程式 & 自訂設定 頁面，選擇上傳，然後選擇新增。
選擇 上傳檔案 (PLIST 檔案) 然後在 偏好網域中輸入 com.microsoft.wdav.atp。
選擇開啟並選擇入職檔案。
選取 [上傳]。
選擇範圍標籤。
選擇目標電腦。
選取 [儲存]。
選取 [完成]。

步驟 3：設定適用於端點的 Microsoft Defender 設定

在此步驟，我們會介紹偏好設定，讓您能利用Microsoft Defender入口網站 (https://security.microsoft.com) 或 Jamf，設定反惡意軟體與 EDR 政策。

重要事項

適用於端點的 Microsoft Defender安全設定管理政策優先於 Jamf 設定 (及其他第三方 MDM) 政策。

3a。使用 Microsoft Defender 入口設定政策

在設定安全政策前，請依照 Configure 適用於端點的 Microsoft Defender in Intune 的指引Microsoft Defender。
在 Microsoft Defender 入口網站，請前往配置管理>端點安全政策>Mac 政策>建立新政策。
在 選擇平台中，選擇 macOS。
在 「選擇範本」中，選擇一個範本並選擇 「建立政策」。
指定政策名稱和描述，然後選擇 「下一步」。
在「指派」標籤中，將設定檔指派到包含 macOS 裝置和/或使用者的群組，或是 「所有使用者 」和 「所有裝置」。

欲了解更多管理安全設定的資訊，請參閱以下文章：
- 管理使用 Microsoft Intune 的裝置上的適用於端點的 Microsoft Defender
- 在Defender for Endpoint中原生管理Windows、macOS和Linux的安全設定

3b。使用 Jamf 設定政策

你可以使用 Jamf Pro 圖形介面來編輯適用於端點的 Microsoft Defender 設定的個別設定，或者使用舊有方法，在文字編輯器中建立設定清單，然後上傳到 Jamf Pro。

你必須使用 exact com.microsoft.wdav 作為 偏好域。適用於端點的 Microsoft Defender 僅使用此名稱並com.microsoft.wdav.ext載入其管理設定。 (com.microsoft.wdav.ext 這個版本在你偏好使用 GUI 方法，但同時需要設定尚未加入結構的設定時才會使用 )

GUI 方法

請從 Defender 的 GitHub 倉庫下載檔案schema.json並儲存到本地檔案：

curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

建立一個新的設定檔。在電腦中，前往 設定檔，然後在一般標籤中指定以下細節：
- 姓名： MDATP MDAV configuration settings
- 說明： <blank\>
- 分類： None (default)
- 等級： Computer Level (default)
- 分配方式： Install Automatically (default)
往下滑到 Application & 自訂設定 標籤，選擇 「外部應用程式」，選擇 「新增」，然後用 自訂結構 作為偏好設定網域的來源。
輸入 com.microsoft.wdav 偏好網域，選擇 新增結構 ，然後上傳 schema.json 步驟 1 下載的檔案。選取 [儲存]。
您可以在偏好設定網域屬性中看到所有支援的適用於端點的 Microsoft Defender 設定。選擇 新增/移除屬性 以選擇你想管理的設定，然後選擇確定來儲存你的更改。 (未選擇的設定不包含在管理設定中，最終使用者可以在自己的機器上設定這些設定 )
將設定值調整為所需值。您可以選擇 「更多資訊 」以取得特定環境的文件。 (你可以選擇 Plist 預覽 來檢查設定 plist。選擇 表單編輯器 以返回視覺編輯器 )
選擇範圍標籤。
選擇 Contoso的機器組。選擇新增，再選擇儲存。
選取 [完成]。你會看到新的 設定檔。

適用於端點的 Microsoft Defender 會隨時間新增設定。這些新設定會被加入結構中，並發布到GitHub。要獲得更新，請下載更新的架構並編輯你現有的設定檔。在 應用程式 & 自訂設定 標籤中，選擇 編輯結構。

遺留方法

請使用以下適用於端點的 Microsoft Defender 設定：

enableRealTimeProtection
passiveMode (這個設定預設不是開啟的。如果你打算在 Mac 上執行非Microsoft防毒軟體，請設定為 true.)
exclusions
excludedPath
excludedFileExtension
excludedFileName
exclusionsMergePolicy
allowedThreats (EICAR 也在樣本上。如果你正在進行概念驗證，尤其是測試EICAR時，最好移除它 )
disallowedThreatActions
potentially_unwanted_application
archive_bomb
cloudService
automaticSampleSubmission
tags
hideStatusMenuIcon

欲了解更多資訊，請參閱 Jamf 完整配置檔的屬性清單。

  <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

將檔案儲存為 MDATP_MDAV_configuration_settings.plist。
在 Jamf Pro 儀表板中，開啟 「電腦及其 配置設定檔」。選擇新建，然後切換到一般標籤。
在 「一般 」標籤中，請指定以下細節：
- 姓名： MDATP MDAV configuration settings
- 說明： <blank>
- 分類： None (default)
- 分配方式： Install Automatically (default)
- 等級： Computer Level (default)
在 應用程式 & 自訂設定中，選擇設定。
選擇 上傳檔案 (PLIST 檔案) 。
在 偏好設定網域中輸入 com.microsoft.wdav，然後選擇 上傳 PLIST 檔案。
選擇 選擇檔案。
選擇 MDATP_MDAV_configuration_settings.plist，然後選擇 「開啟」。
選取 [上傳]。

注意事項

如果你剛好上傳了 Intune 檔案，會出現以下錯誤：
選取 [儲存]。
檔案已經上傳了。
選擇範圍標籤。
選擇 Contoso的機器組。選擇新增，再選擇儲存。
選取 [完成]。你會看到新的 設定檔。

步驟 4：設定通知設定

注意事項

這些步驟適用於 macOS 11 (Big Sur) 或更新版本。雖然 Jamf 在 macOS 10.15 或更新版本上支援通知，但在 macOS 上的 Defender for Endpoint 則需要 macOS 11 或更新版本。

在 Jamf Pro 儀表板中，選擇 「電腦」，然後選擇 「設定檔」。
選擇新建，然後在 「一般 」標籤的選項中，指定以下細節：
- 姓名： MDATP MDAV Notification settings
- 說明： macOS 11 (Big Sur) or later
- 分類： None *(default)*
- 分配方式： Install Automatically *(default)*
- 等級： Computer Level *(default)*
在通知標籤中，選擇新增，並指定以下數值：
- 組合編號： com.microsoft.wdav.tray
- 關鍵警報：選擇停用
- 通知：選擇啟用
- 橫幅警示類型：選擇包含與暫存 (預設)
- 鎖定畫面通知：選擇隱藏
- 通知中心通知：選擇顯示
- 徽章應用程式圖示：選擇顯示
在通知標籤中，選擇 「再新增 一次」，然後往下滑到 「新通知設定」。
- 組合編號： com.microsoft.autoupdate.fba
把其他設定都設定到前面提到的那些值

現在你有兩個通知設定表，一個是 Bundle ID： com.microsoft.wdav.tray，另一個是 Bundle ID： com.microsoft.autoupdate.fba。雖然你可以依需求設定警示，但 Bundle ID 必須與前述完全相同，通知時 Include 開關必須開啟。
選擇範圍標籤，然後選擇新增。
選擇 Contoso的機器組。選擇新增，然後選擇儲存。
選取 [完成]。你應該會看到新的 設定設定檔。

步驟五：設定Microsoft自動更新 (MAU)

請使用以下適用於端點的 Microsoft Defender 設定：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

儲存為 MDATP_MDAV_MAU_settings.plist。
在 Jamf Pro 儀表板中，選擇「一般」。
在 「一般 」標籤中，請指定以下細節：
- 姓名： MDATP MDAV MAU settings
- 說明： Microsoft AutoUpdate settings for MDATP for macOS
- 分類： None (default)
- 分配方式： Install Automatically (default)
- 等級： Computer Level (default)
在應用程式 & 自訂設定中選擇配置。
選擇 上傳檔案 (PLIST 檔案) 。
在 偏好網域 中輸入 com.microsoft.autoupdate2，然後選擇 上傳 PLIST 檔案。
選擇 選擇檔案。
選擇 MDATP_MDAV_MAU_settings.plist。
選取 [上傳]。
選取 [儲存]。
選擇範圍標籤。
選取新增。
選取 [完成]。

步驟 6：授予適用於端點的 Microsoft Defender 完整磁碟存取權

在 Jamf Pro 儀表板中，選擇 設定檔。
選擇 + 新。
在 「一般 」標籤中，請指定以下細節：
- 姓名： MDATP MDAV - grant Full Disk Access to EDR and AV
- 說明： On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
- 分類： None
- 分配方式： Install Automatically
- 等級： Computer level
在 設定隱私偏好、政策控制 中，選擇配置。
在 隱私偏好政策控制中，輸入以下細節：
- 識別碼： com.microsoft.wdav
- 識別碼類型： Bundle ID
- 法規要求： identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
選取 [+ 新增]。
- 在 應用程式或服務中，選擇 SystemPolicyAllFiles。
- 在存取權限中，選擇允許。
選擇儲存 (而不是右下角的) 。
選擇 + 「 App Access 」旁的標誌以新增條目。
請輸入以下細節：
- 識別碼： com.microsoft.wdav.epsext
- 識別碼類型： Bundle ID
- 法規要求： identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
選取 [+ 新增]。
- 在 應用程式或服務中，選擇 SystemPolicyAllFiles。
- 在存取權限中，選擇允許。
選擇儲存 (而不是右下角的) 。
選擇範圍標籤。
選取 [+ 新增]。
選擇 電腦群組，並在 群組名稱下選擇 Contoso 的機器群組。
選取新增。然後選取 [儲存]。
選取 [完成]。

或者，您也可以下載 fulldisk.mobileconfig ，並依照《使用 Jamf Pro| 部署自訂設定檔》中所述，上傳至 Jamf 配置檔。方法二：將設定檔上傳到 Jamf Pro。

注意事項

透過 Apple MDM 設定檔授予的全磁碟存取權限不會反映在系統設定 => 隱私 & 安全性 => 完整磁碟存取。

步驟 7：批准適用於端點的 Microsoft Defender 的系統擴充

在設定檔中，選擇 + 新。
在 「一般 」標籤中，請指定以下細節：
- 姓名： MDATP MDAV System Extensions
- 說明： MDATP system extensions
- 分類： None
- 分配方式： Install Automatically
- 等級： Computer Level
在 系統擴充中 選擇 「設定」。
在 系統擴充中輸入以下細節：
- 顯示名稱： Microsoft Corp. System Extensions
- 系統擴充類型： Allowed System Extensions
- 球隊識別碼： UBF8T346G9
- 允許的系統擴充：
  - com.microsoft.wdav.epsext
  - com.microsoft.wdav.netext
選擇範圍標籤。
選取 [+ 新增]。
在群組名稱>下選擇電腦群組，並>選擇 Contoso 的機器群組。
選取 [+ 新增]。
選取 [儲存]。
選取 [完成]。

步驟八：設定網路擴展

作為端點偵測與回應功能的一部分，macOS 上的適用於端點的 Microsoft Defender 會檢查 socket 流量並將此資訊回報至 Microsoft Defender 入口網站。

注意事項

這些步驟適用於 macOS 11 (Big Sur) 或更新版本。雖然 Jamf 在 macOS 10.15 或更新版本上支援通知，但在 macOS 上的 Defender for Endpoint 則需要 macOS 11 或更新版本。

在 Jamf Pro 儀表板中，選擇 「電腦」，然後選擇 「設定檔」。
選擇新，並輸入以下選項細節：
在一般標籤中，指定以下數值：
- 姓名： Microsoft Defender Network Extension
- 說明： macOS 11 (Big Sur) or later
- 分類： None *(default)*
- 分配方式： Install Automatically *(default)*
- 等級： Computer Level *(default)*
在 內容篩選 標籤中，指定以下數值：
- 過濾器名稱： Microsoft Defender Content Filter
- 識別碼： com.microsoft.wdav
- 留下 服務地址、組織、 使用者名稱、密碼、證書為空白 (包含未被選擇)
- 篩選順序： Inspector
- 插座濾波器： com.microsoft.wdav.netext
- 插座濾波器指定需求： identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- 網路篩選欄位留空 (包含未被選中 )
請注意， 識別碼、**套接字過濾器及 套接字過濾器指定需求 ，皆為先前指定的精確值。
選擇範圍標籤。
選取 [+ 新增]。選擇 電腦群組，然後在 群組名稱下選擇 Contoso 的機器群組。然後選擇 + Add。
選取 [儲存]。
選取 [完成]。

或者，您也可以下載 netfilter.mobileconfig，並依照《使用 Jamf Pro| 部署自訂設定檔》中所述，上傳至 Jamf 設定檔。

步驟 9：設定背景服務

注意

macOS 13 (Ventura) 包含新的隱私增強功能。從這個版本開始，預設情況下，應用程式不能在沒有明確同意的情況下在背景執行。適用於端點的 Microsoft Defender 必須在背景執行其守護程序。

此設定檔授予適用於端點的 Microsoft Defender 背景服務權限。如果您之前透過 Jamf 設定適用於端點的 Microsoft Defender，我們建議您更新部署並使用此設定設定檔。

從我們的 GitHub 倉庫下載 background_services.mobileconfig。

依照《使用 Jamf Pro| 部署自訂設定檔》一文中所述，上傳下載的 mobileconfig 到 Jamf 設定檔。方法二：將設定檔上傳到 Jamf Pro。

步驟 10：授予藍牙權限

注意

macOS 14 (Sonoma) 包含新的隱私增強功能。從這個版本開始，預設情況下，應用程式無法在未經明確同意的情況下存取藍牙。如果你設定藍牙控制的裝置控制政策，適用於端點的 Microsoft Defender 會使用它。

從 GitHub 倉庫下載 bluetooth.mobileconfig。

警告

目前版本的 Jamf Pro 還不支援這種負載。如果你直接上傳這個 mobileconfig，Jamf Pro 會移除不支援的有效載荷，且無法套用到用戶端機器。你必須先簽署下載的 mobileconfig，之後 Jamf Pro 會視為「封存」，不會動手腳。請參考以下說明：

你需要至少在鑰匙鍊中安裝一份簽署憑證，即使是自簽憑證也行。你可以用以下工具檢查你擁有的設備：

> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

選擇任一，並以引文作為 -N 參數：

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

現在你可以上傳已產生的藍牙簽名檔案。如《使用 Jamf Pro| 部署自訂設定檔》中所述，從 Mobileconfig 到 Jamf Pro|方法二：將設定檔上傳到 Jamf Pro。

注意事項

透過 Apple MDM 設定檔授予的藍牙不會反映在系統設定中 = 隱私 &> 安全性 => 藍牙。

步驟 11：在 macOS 上使用適用於端點的 Microsoft Defender 排程掃描

請依照 macOS 上適用於端點的 Microsoft Defender 排程掃描的指示操作。

步驟 12：在 macOS 上部署適用於端點的 Microsoft Defender

注意事項

接下來的步驟中，檔案名稱 .pkg 和 顯示名稱 值就是範例。在這些範例中，代表200329套件與政策建立的日期，格式yymmdd為 () ，並v100.86.92代表正在部署的Microsoft Defender應用程式版本。這些值應更新以符合你在環境中用於套件與政策的命名慣例。

導航到你儲存 wdav.pkg的地方。
重新命名為 wdav_MDM_Contoso_200329.pkg。
打開 Jamf Pro 儀表板。
選擇你的電腦，選擇頂部的齒輪圖示，然後選擇 電腦管理。
在「套件」中，選擇 + 新。
在 「General 」標籤的 「新套件」中，請指定以下細節：
- 顯示名稱：暫時保持空白。因為當你選擇你的 pkg 時，它會被重置。
- 分類： None (default)
- 檔案名稱： Choose File
打開檔案並指向 wdav.pkg 或 wdav_MDM_Contoso_200329.pkg。
選取 [開啟]。將顯示名稱設為 Microsoft Defender Advanced Threat Protection 和 Microsoft Defender 防毒軟體。
- 清單檔案不是必須的。適用於端點的 Microsoft Defender 在沒有 Manifest 檔案的情況下運作。
- 選項標籤：保留預設值。
- 限制標籤：保留預設值。
選取 [儲存]。套件會上傳到 Jamf Pro。

套件可能需要幾分鐘才能部署。
請前往政策頁面。
選擇 + 新建 以建立新政策。
一般來說，顯示名稱使用MDATP Onboarding Contoso 200329 v100.86.92 or later。
選擇定期打卡。
選取 [儲存]。然後選擇 「套件」，再選擇「配置」。
請選擇 Microsoft Defender Advanced Threat Protection 與 Microsoft Defender Antivirus 旁的新增按鈕。
選取 [儲存]。