重要事項
本文包含如何在企業組織中設定 macOS 上適用於端點的 Microsoft Defender 喜好設定的指示。 若要使用命令列介面在 macOS 上設定適用於端點的 Microsoft Defender,請參閱 資源。
摘要
在企業組織中,macOS 上的適用於端點的 Microsoft Defender可以透過使用數種管理工具之一部署的組態描述檔來管理。 由安全作業小組管理的喜好設定優先於在裝置上本機設定的喜好設定。 變更透過配置描述檔設定的偏好設定需要提升權限,且沒有管理權限的使用者無法使用。
本文說明設定描述檔的結構、包含可用來開始使用的建議描述檔,並提供如何部署描述檔的指示。
配置設定檔結構
配置配置檔案是一個 .plist 檔案,其中包含由索引鍵 (標識的條目組成,該鍵表示首選項) 的名稱,後面接著一個值,該值取決於首選項的性質。 值可以是簡單的 (,例如數值) ,也可以是複雜的,例如巢狀喜好設定清單。
注意
組態設定檔的版面配置取決於您使用的管理主控台。 下列各節包含 JAMF 和 Intune 的組態配置檔範例。
組態配置檔的最上層包含全產品喜好設定和適用於端點的 Microsoft Defender 子區域的專案,下一節將更詳細地說明這些專案。
防毒引擎偏好設定
組態配置檔的 antivirusEngine 區段可用來管理適用於端點的 Microsoft Defender 防病毒軟體元件的喜好設定適用於端點的 Microsoft Defender。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 防毒引擎 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
防毒引擎的強制執行層級
指定防毒引擎的強制偏好設定。 設定強制執行層級有三個值:
- 即時 (
real_time) :即時保護 (在存取檔案) 啟用時掃描檔案。 - 隨選 (
on_demand) :僅按需掃描檔案。 在此:- 即時保護已關閉。
- 被動 (
passive) :以被動模式運行防病毒引擎。 在此:- 即時保護已關閉。
- 隨選掃描已開啟。
- 自動威脅補救已關閉。
- 安全性情報更新已開啟。
- 狀態功能表圖示已隱藏。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enforcementLevel |
| 資料類型 | 字串 |
| 可能值 | real_time (預設) on_demand 被動的 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.10.72 版或更新版本。 |
啟用/停用行為監控
判斷是否在裝置上啟用行為監視和封鎖功能。
注意事項
此功能僅在啟用 Real-Time 保護功能時適用。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 行為監控 |
| 資料類型 | 字串 |
| 可能值 | 已停用 已啟用 (預設) |
| Comments | 適用於適用於端點的 Microsoft Defender 101.24042.0002 版或更新版本。 |
設定檔案雜湊計算功能
啟用或停用檔案雜湊計算功能。 啟用此功能時,適用於端點的 Defender 會計算其掃描檔案的雜湊,以更好地比對指標規則。 在 macOS 上,只有指令碼和 Mach-O (32 位元和 64 位元) 檔案才會考慮用於引擎版本 1.1.20000.2 或更高版本) 的雜湊計算 (。 啟用此功能可能會影響裝置效能。 如需詳細資訊,請參閱: 建立檔案指標。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enableFileHashComputation |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 實 |
| Comments | 適用於端點的 Defender 101.86.81 版或更新版本中可用。 |
在更新定義之後執行掃描
指定是否在裝置上下載新的安全性情報更新後啟動程序掃描。 啟用此設定會觸發對裝置正在運行的進程進行防毒掃描。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanAfterDefinitionUpdate |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 偽 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
掃描檔案 (僅限於選防病毒掃描)
指定是否在隨選防毒掃描期間掃描封存。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 掃描檔案 |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 偽 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
隨選掃描的平行處理度
指定隨選掃描的平行處理程度。 這對應於用來執行掃描的執行緒數目,並影響 CPU 使用率,以及隨選掃描的持續時間。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | maximumOnDemandScanThreads |
| 資料類型 | 整數 |
| 可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
排除合併原則
指定排除項目的合併原則。 這可以是管理員定義的排除和使用者定義的排除 (merge) 的組合,也可以是只有管理員定義的排除 (admin_only) 。 此設定可用來限制本機使用者定義自己的排除項目。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 排除合併原則 |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
掃描排除
指定從掃描中排除的實體。 排除項目可以由完整路徑、副檔名或檔名指定。 (排除項目指定為項目陣列,管理員可以視需要以任何順序指定任意數量的元素 ) 。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 排除事項 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
排除類型
依類型指定從掃描中排除的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | $type |
| 資料類型 | 字串 |
| 可能值 | 排除路徑 excludedFile副檔名 excludedFileName |
排除內容的路徑
指定從完整檔案路徑掃描中排除的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 路徑 |
| 資料類型 | 字串 |
| 可能值 | 有效路徑 |
| Comments | 僅適用於排除$type路徑 |
支援的排除類型
下表顯示適用於端點的 Defender 在 macOS 上支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 所有具有副檔名的檔案,位於裝置上的任何位置 | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞迴) | /var/log/ |
| 程序 | 特定進程 (由完整路徑或檔案名稱) 以及它開啟的所有檔案指定 | /bin/cat |
重要事項
上述路徑必須是硬連結,而不是符號連結,才能成功排除。 您可以執行 file <path-name>來檢查路徑是否為符號連結。
檔案、資料夾和程序排除支援下列萬用字元:
| 萬用字元 | 描述 | 範例 | 相符 | 不匹配 |
|---|---|---|---|---|
| * | 匹配任意數量的任何字符,包括無 (請注意,當此萬用字元在路徑內使用時,它只會替換一個文件夾) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | 匹配任何單個字符 | file?.log |
file1.log |
file123.log |
路徑類型 (檔案/目錄)
指出 路徑 屬性是否參照檔案或目錄。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | is目錄 |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 實 |
| Comments | 僅適用於排除$type路徑 |
從掃描中排除的副檔名
指定依副檔名排除掃描的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 擴展 |
| 資料類型 | 字串 |
| 可能值 | 有效的副檔名 |
| Comments | 只有在排除 FileExtension 時才適用$type |
從掃描中排除的程序
指定從掃描中排除所有檔案活動的程序。 程序可以以其名稱指定,例如 (cat) 或完整路徑 (例如 /bin/cat) 。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | name |
| 資料類型 | 字串 |
| 可能值 | 任何字串 |
| Comments | 只有在排除 FileName 時才適用$type |
允許的威脅
依名稱指定 macOS 上適用於端點的 Defender 未封鎖的威脅。 這些威脅被允許運行。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 允許的威脅 |
| 資料類型 | 字串陣列 |
不允許的威脅動作
限制裝置本機使用者在偵測到威脅時可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 不允許威脅動作 |
| 資料類型 | 字串陣列 |
| 可能值 | 允許 (限制使用者允許威脅) 還原 (限制使用者從隔離) 還原威脅 |
| Comments | 適用於適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
威脅類型設定
指定 macOS 上適用於端點的 Microsoft Defender 如何處理特定威脅類型。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | threatTypeSettings |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
威脅類型
指定威脅類型。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 機碼 |
| 資料類型 | 字串 |
| 可能值 | potentially_unwanted_application archive_bomb |
要採取的動作
指定偵測到上一節中指定類型的威脅時要採取的動作。 從下列選項中選擇:
- 稽核:您的裝置不會受到此類威脅的保護,但會記錄有關威脅的專案。
- 封鎖:您的裝置會受到保護,免於這種類型的威脅,而且您會在使用者介面和 Microsoft Defender 入口網站中收到通知。
- 關閉:您的裝置未受到此類威脅的保護,並且不會記錄任何內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 數值 |
| 資料類型 | 字串 |
| 可能值 | 稽核 (預設) 塞 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是管理員定義和使用者定義的設定的組合 (merge) ,也可以是僅管理員定義的設定 (admin_only) 。 此設定可用來限制本機使用者針對不同的威脅類型定義自己的設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | threatTypeSettingsMergePolicy |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
防毒掃描記錄保留 (天數)
指定結果在裝置上的掃描歷程中保留的天數。 舊的掃描結果會從歷程記錄中移除。 也會從磁碟中移除的舊隔離檔案。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanResults保留天數 |
| 資料類型 | 字串 |
| 可能值 | 90 (默認) 。 允許的值為一天到 180 天。 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.07.23 版或更新版本。 |
防毒掃描歷程記錄中的項目數目上限
指定要保留在掃描歷程中的項目數目上限。 項目包括過去執行的所有隨選掃描和所有防病毒檢測。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 掃描歷程記錄最大項目 |
| 資料類型 | 字串 |
| 可能值 | 10000 (預設) 。 允許的值從 5000 個項目到 15000 個項目。 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.07.23 版或更新版本。 |
雲端提供的保護偏好設定
在 macOS 上設定 適用於端點的 Microsoft Defender 的雲端驅動保護功能。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 雲端服務 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
啟用/停用雲端提供的保護
指定是否要啟用雲端提供的裝置保護。 為了提高服務安全性,我們建議您保持開啟此功能。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 已啟用 |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 偽 |
診斷收集層級
診斷數據可用來保持適用於端點的 Microsoft Defender 安全且最新、偵測、診斷和修正問題,以及進行產品改善。 此設定會決定適用於端點的 Microsoft Defender 傳送至 Microsoft 的診斷層級。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | diagnosticLevel |
| 資料類型 | 字串 |
| 可能值 | 選用 (預設) 必要 |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 在封鎖和掃描可疑檔案時的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它的攻擊性會降低,因此阻塞和掃描的頻率較低。 設定雲端區塊層級有五個值:
- 正常 (
normal) :預設封鎖層級。 - 中等 (
moderate) :僅針對高信賴度偵測提供判定。 - 高 (
high) :積極阻止未知文件,同時優化性能 (阻止無害文件) 的機會更大。 - 高加 (
high_plus) :積極阻止未知檔案並應用額外的保護措施 (可能會影響客戶端設備性能) 。 - 零容忍 (
zero_tolerance) :阻止所有未知程序。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | cloudBlockLevel |
| 資料類型 | 字串 |
| 可能值 | 正常 (預設) 中等的 高 high_plus zero_tolerance |
| Comments | 適用於端點的 Defender 版本 101.56.62 或更新版本。 |
啟用/停用自動範例提交
判斷是否將可能包含威脅) 的可疑樣本 (傳送至Microsoft。 控制樣品提交有三個層級:
- 無:不會將可疑範例提交給 Microsoft。
- 安全:只有不包含個人資料 (PII) 的可疑樣本才會自動提交。 這是此設定的預設值。
- 全部:所有可疑的範例都會提交給 Microsoft。
| 描述 | 值 |
|---|---|
| 機碼 | automaticSampleSubmission同意 |
| 資料類型 | 字串 |
| 可能值 | 無 安全 (預設) 都 |
啟用/停用自動安全性情報更新
判斷是否自動安裝安全性情報更新:
| 區段 | 值 |
|---|---|
| 機碼 | automaticDefinitionUpdate已啟用 |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 偽 |
安全情報更新的持續時間,以天數為單位 ()
決定上次安裝的安全性情報更新被視為過期的天數。
| 區段 | 值 |
|---|---|
| 機碼 | 定義更新到期 |
| 資料類型 | 整數 |
| 可能值 | 7 (預設) 。 允許的值是介於 1 到 30 之間的整數 |
安全情報更新間隔 (秒)
指定 (的時間間隔(以秒為單位) 之後將檢查安全情報更新)。
| 區段 | 值 |
|---|---|
| 機碼 | definitionUpdates間隔 |
| 資料類型 | 整數 |
| 可能值 | 28800 (默認,8 小時) 。 允許的值是介於 60 (1 分鐘) 到 86400 (24 小時) 之間的整數 |
| Comments | 將值設定得太低可能會導致重複或不必要的安全性情報更新檢查。 |
適用於端點的 Defender 通訊的 Proxy
設定所有適用於端點的 Defender 雲端通訊的 Proxy。 如果未設定,則會使用全系統 Proxy。
| 區段 | 值 |
|---|---|
| 機碼 | 代理 |
| 資料類型 | 字串 |
| Comments | 格式:“http://proxy.server:port"或“https://proxy.server:port". |
重要事項
- 不正確的代理配置可能會中斷 MDE 功能。
- 您可以在端點上執行「mdatp連線測試」,以在套用 Proxy 設定之後測試 mde 連線。
使用者介面偏好設定
管理 macOS 上 適用於端點的 Microsoft Defender 使用者介面的偏好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 使用者介面 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
顯示/隱藏狀態選單圖示
指定是否要顯示或隱藏畫面右上角的狀態功能表圖示。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 隱藏狀態功能表圖示 |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 實 |
顯示/隱藏發送反饋的選項
指定使用者是否可以移至 Help>Send FeedbackMicrosoft 提交意見反應。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | userInitiated意見反應 |
| 資料類型 | 字串 |
| 可能值 | 已啟用 (預設) 已停用 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.19.61 版或更新版本。 |
控制登入 Microsoft Defender 取用者版本
指定使用者是否可以登入 Microsoft Defender 的取用者版本。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 消費者體驗 |
| 資料類型 | 字串 |
| 可能值 | 已啟用 (預設) 已停用 |
| Comments | 適用於適用於端點的 Microsoft Defender 101.60.18 版或更新版本。 |
端點偵測和回應偏好設定
在 macOS 上管理端點偵測和回應 (EDR) 適用於端點的 Microsoft Defender元件的偏好設定 在 macOS 上。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 埃德爾 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
裝置標籤
指定標籤名稱及其值。
- GROUP 標籤會以指定的值標示裝置。 標籤會反映在裝置頁面下的入口網站中,並可用於篩選和分組裝置。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 標記 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
標籤類型
指定標籤的類型
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 機碼 |
| 資料類型 | 字串 |
| 可能值 | GROUP |
標籤的值
指定標籤的值
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 數值 |
| 資料類型 | 字串 |
| 可能值 | 任何字串 |
重要事項
- 每種標籤型別只能設定一個值。
- 標籤類型是唯一的,不應在相同的配置描述檔中重複使用。
群組識別碼
EDR 群組識別碼
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 群組識別碼 |
| 資料類型 | 字串 |
| Comments | 群組識別碼 |
篡改保護
在 macOS 上管理適用於端點的 Microsoft Defender 竄改保護元件的喜好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 竄改保護 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
強制執行層級
如果啟用了篡改保護,並且它處於嚴格模式
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enforcementLevel |
| 資料類型 | 字串 |
| Comments | 「已停用」、「稽核」或「封鎖」之一 |
可能的值:
- disabled - 竄改防護已關閉,無法防止攻擊或向雲端報告
- audit - 竄改保護只會向雲端報告竄改嘗試,但不會封鎖它們
- block - 竄改保護會封鎖攻擊並報告攻擊至雲端
排除項目
定義允許變更 Microsoft Defender 資產的進程,而不考慮竄改。 必須提供路徑、teamId 或 signingId 或其組合。 可以額外提供引數,以更精確地指定允許的進程。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 排除事項 |
| 資料類型 | 字典 (巢狀喜好設定) |
| Comments | 請參閱下列各節,以取得字典內容的說明。 |
路徑
進程可執行檔的確切路徑。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 路徑 |
| 資料類型 | 字串 |
| Comments | 如果是 shell 腳本,則是解譯器二進位檔的確切路徑,例如 /bin/zsh。 不允許使用萬用字元。 |
團隊識別碼
Apple 供應商的「團隊 ID」。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 團隊識別碼 |
| 資料類型 | 字串 |
| Comments | 例如, UBF8T346G9 對於 Microsoft |
簽署標識碼
Apple 的「簽署 ID」。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | signingId |
| 資料類型 | 字串 |
| Comments | 例如, com.apple.ruby 對於 Ruby 解釋器 |
處理程序引數
與其他參數結合使用來識別過程。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | signingId |
| 資料類型 | 字串陣列 |
| Comments | 如果指定,則進程引數必須完全符合這些引數,區分大小寫 |
建議的組態設定檔
若要開始使用,建議您的企業使用下列設定,以利用適用於端點的 Microsoft Defender 提供的所有保護功能。
下列組態配置檔 (,如果有 JAMF,則可上傳至自訂設定組態配置檔) 的內容清單:
- 啟用即時保護 (RTP)
- 指定如何處理下列威脅類型:
- 封鎖 PUA) (潛在有害應用程式
- 封存炸彈 (具有高壓縮率的文件) 會被審核以記錄適用於端點的 Microsoft Defender
- 啟用自動安全性情報更新
- 啟動雲端提供的保護
- 啟用自動範例提交
JAMF 建議組態設定檔的內容清單
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune 建議的配置檔
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
完整組態設定檔範例
下列範本包含本檔所述所有設定的專案,可用於您想要在 macOS 上進一步控制適用於端點的 Microsoft Defender 的更進階案例。
JAMF 完整組態設定檔的內容清單
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune 完整配置檔
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>behaviorMonitoring</key>
<string>enabled</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
屬性清單驗證
屬性清單必須是有效的 .plist 檔案。 這可以透過執行來檢查:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
如果檔案格式正確,上述指令會 OK 輸出並傳回結束碼 0。 否則,會顯示說明問題的錯誤,且指令會傳回結束碼 1。
配置設定檔部署
為企業建立組態設定檔之後,您可以透過企業正在使用的管理主控台進行部署。 下列各節提供如何使用 JAMF 和 Intune 部署此設定檔的指示。
JAMF 部署
從 JAMF 主控台中,開啟 [電腦組>態設定檔],導覽至您要使用的組態設定檔,然後選取 [自訂設定]。 建立一個條目 com.microsoft.wdav 作為首選項網域,並上傳先前產生的 .plist 。
注意
您必須輸入正確的偏好設定網域 (com.microsoft.wdav) ;否則,適用於端點的 Microsoft Defender將無法辨識偏好設定。
Intune 部署
開啟 裝置>組態設定檔。 選取 建立設定檔。
選擇設定檔的名稱。 將 Platform=macOS 變更為 Profile type=Templates, 然後在範本名稱區段中選擇 Custom (自訂 )。 選取 [設定]。
將先前產生的 .plist 儲存為
com.microsoft.wdav.xml。輸入
com.microsoft.wdav作為 自訂設定檔名稱。開啟組態設定檔並上傳檔案
com.microsoft.wdav.xml。 (此檔案是在步驟 3.) 中建立的選取 [確定]。
選取 [管理>指派]。 在 [ 包含 ] 索引標籤中,選取 [指派給所有使用者 ] & [ 所有裝置]。
注意
您必須輸入正確的自訂配置描述檔名稱;否則,適用於端點的 適用於端點的 Microsoft Defender 將無法辨識這些喜好設定。
資源
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。