Udrul Microsoft Defender for Endpoint på macOS med Microsoft Intune
Gælder for:
- Microsoft Defender for Endpoint på macOS
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender til virksomheder
I denne artikel beskrives det, hvordan du installerer Microsoft Defender for Endpoint på macOS via Microsoft Intune.
Forudsætninger og systemkrav
Før du går i gang, kan du se de primære Microsoft Defender for Endpoint på macOS-siden for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.
Oversigt
I følgende tabel opsummeres de trin, du skal udføre for at udrulle og administrere Microsoft Defender for Endpoint på Macs via Microsoft Intune. Se følgende tabel for at få mere detaljerede trin.
Trin | Eksempelfilnavn | Bundt-id |
---|---|---|
Godkend systemudvidelse | sysext.mobileconfig |
NIELSEN |
Politik for netværksudvidelse | netfilter.mobileconfig |
NIELSEN |
Fuld diskadgang | fulldisk.mobileconfig |
com.microsoft.wdav.epsext |
konfigurationsindstillinger for Microsoft Defender for Endpoint Hvis du planlægger at køre et antivirusprogram, der ikke er fra Microsoft, på Mac, skal du angive passiveMode til true . |
MDE_MDAV_and_exclusion_settings_Preferences.xml |
com.microsoft.wdav |
Baggrundstjenester | background_services.mobileconfig |
NIELSEN |
Konfigurer Microsoft Defender for Endpoint meddelelser | notif.mobileconfig |
com.microsoft.wdav.tray |
Indstillinger for hjælp til handicappede | accessibility.mobileconfig |
com.microsoft.dlp.daemon |
Bluetooth | bluetooth.mobileconfig |
com.microsoft.dlp.agent |
Konfigurer Microsoft Automatiske opdateringer (MAU) | com.microsoft.autoupdate2.mobileconfig |
com.microsoft.autoupdate2 |
Enhedsstyring | DeviceControl.mobileconfig |
NIELSEN |
Forebyggelse af datatab | DataLossPrevention.mobileconfig |
NIELSEN |
Download onboardingpakken | WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml |
com.microsoft.wdav.atp |
Installér Microsoft Defender for Endpoint på macOS-programmet | Wdav.pkg |
NIELSEN |
Create systemkonfigurationsprofiler
Det næste trin er at oprette systemkonfigurationsprofiler, som Microsoft Defender for Endpoint har brug for. ÅbnEnhedskonfigurationsprofiler i Microsoft Intune Administration>.
Trin 1: Godkend systemudvidelser
I Intune Administration skal du gå til Enheder, og under Administrer enheder skal du vælge Konfiguration.
Under Konfigurationsprofiler skal du vælge Create Profil.
Denne profil er nødvendig for Big Sur (11) eller nyere. Det ignoreres på ældre versioner af macOS, fordi de bruger kerneudvidelsen.
Under fanen Politikker skal du vælge Create>Ny politik.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Udvidelser og derefter vælge Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
SysExt-prod-macOS-Default-MDE
. Vælg derefter Næste.Vælg Næste.
På fanen Konfigurationsindstillinger skal du udvide Systemudvidelser og tilføje følgende poster i afsnittet Tilladte systemudvidelser :
Bundt-id Team-id com.microsoft.wdav.epsext
UBF8T346G9
com.microsoft.wdav.netext
UBF8T346G9
Vælg derefter Næste.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller vælge indstillingerne Tilføj alle brugere og Tilføj alle enheder . Vælg derefter Næste.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 2: Netværksfilter
Som en del af funktionerne Til registrering og svar af slutpunkter Microsoft Defender for Endpoint på macOS inspicerer sockettrafik og rapporterer disse oplysninger til Microsoft 365 Defender-portalen. Følgende politik gør det muligt for netværksudvidelsen at udføre denne funktionalitet.
Download netfilter.mobileconfig fra GitHub-lageret.
Sådan konfigurerer du netværksfilter:
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret.
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
NetFilter-prod-macOS-Default-MDE
. Vælg derefter Næste.Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
NetFilter-prod-macOS-Default-MDE
.Vælg en udrulningskanal, og vælg derefter Næste.
Vælg Næste.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 3: Fuld diskadgang
Bemærk!
Fra og med macOS Catalina (10.15) eller nyere, for at sikre beskyttelse af personlige oplysninger for slutbrugerne skabte den FDA (Full Disk Access). Aktivering af TCC (Transparency, Consent & Control) via en Mobil Enhedshåndtering-løsning, f.eks. Intune, fjerner risikoen for, at Defender for Endpoint mister fuld autorisation til diskadgang for at fungere korrekt.
Denne konfigurationsprofil giver fuld diskadgang til Microsoft Defender for Endpoint. Hvis du tidligere har konfigureret Microsoft Defender for Endpoint via Intune, anbefaler vi, at du opdaterer installationen med denne konfigurationsprofil.
Download fulldisk.mobileconfig fra GitHub-lageret.
Sådan konfigurerer du fuld diskadgang:
Vælg Create Profil under Konfigurationsprofiler i Intune Administration.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret. Vælg derefter Create
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
Background_Services-prod-macOS-Default-MDE
.Vælg Næste.
Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
background_services.mobileconfig
.Vælg en udrulningskanal, og vælg derefter Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Bemærk!
Fuld diskadgang, der tildeles via Apple MDM-konfigurationsprofilen, afspejles ikke i Systemindstillinger => Beskyttelse af personlige oplysninger & Sikkerhed => Fuld diskadgang.
Trin 4: Baggrundstjenester
Forsigtighed
macOS 13 (Ventura) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke køre i baggrunden uden eksplicit samtykke. Microsoft Defender for Endpoint skal køre daemonprocessen i baggrunden. Denne konfigurationsprofil giver Background Service tilladelser til at Microsoft Defender for Endpoint. Hvis du tidligere har konfigureret Microsoft Defender for Endpoint via Microsoft Intune, anbefaler vi, at du opdaterer installationen med denne konfigurationsprofil.
Download background_services.mobileconfig fra GitHub-lageret.
Sådan konfigurerer du baggrundstjenester:
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret og derefter vælge Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
BackgroundServices-prod-macOS-Default-MDE
.Vælg Næste.
Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
background_services.mobileconfig
.Vælg en installationskanal.
Vælg Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 5: Meddelelser
Denne profil bruges til at tillade, at Microsoft Defender for Endpoint på macOS og Microsoft Automatiske opdateringer får vist meddelelser i brugergrænsefladen.
Download notif.mobileconfig fra GitHub-lageret.
Hvis du vil slå meddelelser for slutbrugerne fra, kan du ændre Vis Meddelelsescenter fra true
til false
i notif.mobileconfig.
Sådan konfigurerer du meddelelser:
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret.
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
BackgroundServices-prod-macOS-Default-MDE
.Vælg Næste.
Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
Notif.mobileconfig
.Vælg en udrulningskanal, og vælg derefter Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 6: Indstillinger for hjælp til handicappede
Denne profil bruges til at give Microsoft Defender for Endpoint på macOS adgang til tilgængelighedsindstillingerne på Apple macOS High Sierra (10.13.6) og nyere.
Download accessibility.mobileconfig fra GitHub-lageret.
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret.
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
Accessibility-prod-macOS-Default-MDE
.Vælg Næste.
Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
Accessibility.mobileconfig
.Vælg en installationskanal.
Vælg Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 7: Bluetooth-tilladelser
Forsigtighed
macOS 14 (Sonoma) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke få adgang til Bluetooth uden eksplicit samtykke. Microsoft Defender for Endpoint bruger den, hvis du konfigurerer Bluetooth-politikker for Enhedshåndtering.
Download bluetooth.mobileconfig fra GitHub-lageret , og brug den samme arbejdsproces som for tilgængelighedsindstillingerne ovenfor for at aktivere Bluetooth-adgang.
Bemærk!
Bluetooth, der er tildelt via Apple MDM-konfigurationsprofilen, afspejles ikke i Systemindstillinger => Beskyttelse af personlige oplysninger & Sikkerhed => Bluetooth.
Trin 8: Microsoft Automatiske opdateringer
Denne profil bruges til at opdatere Microsoft Defender for Endpoint på macOS via Microsoft Automatiske opdateringer (MAU). Hvis du udruller Microsoft Defender for Endpoint på macOS, har du mulighed for at få en opdateret version af programmet (Platform Update), der findes i de forskellige kanaler, der er nævnt her:
- Beta (Insiders-Fast)
- Aktuel kanal (prøveversion, Insiders-Slow)
- Aktuel kanal (produktion)
Du kan få flere oplysninger under Udrul opdateringer til Microsoft Defender for Endpoint på macOS.
Download AutoUpdate2.mobileconfig fra GitHub-lageret.
Bemærk!
AutoUpdate2.mobileconfig-eksemplet fra GitHub-lageret har den angivet til Aktuel kanal (produktion).
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret.
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Vælg f.eks.
MDATP onboarding for MacOS
Næste.Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
com.microsoft.autoupdate2.mobileconfig
.Vælg en installationskanal.
Vælg Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
Trin 9: Microsoft Defender for Endpoint konfigurationsindstillinger
I dette trin gennemgår vi "Indstillinger", som gør det muligt for dig at konfigurere politikker for antimalware og EDR ved hjælp af Microsoft Defender portal og Microsoft Intune.
Angiv politikker ved hjælp af Microsoft Defender-portalen
Gennemgå Konfigurer Microsoft Defender for Endpoint i Intune, før du angiver sikkerhedspolitikkerne ved hjælp af Microsoft Defender.
På Microsoft Defender-portalen:
Gå til Konfigurationsstyring>Slutpunktsikkerhedspolitikker>Mac-politikker>Create ny politik.
Under Vælg platform skal du vælge macOS.
Vælg en skabelon under Vælg skabelon, og vælg Create Politik.
Angiv navnet på og beskrivelsen af politikken.
Vælg Næste.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Du kan få flere oplysninger om administration af sikkerhedsindstillinger under:
- Administrer Microsoft Defender for Endpoint på enheder med Microsoft Intune
- Administrer sikkerhedsindstillinger for Windows, macOS og Linux oprindeligt i Defender for Endpoint
Angiv politikker ved hjælp af Microsoft Intune
Du kan administrere sikkerhedsindstillingerne for Microsoft Defender for Endpoint på macOS under Indstillinger i Microsoft Intune.
Du kan få flere oplysninger under Angiv indstillinger for Microsoft Defender for Endpoint på Mac.
Trin 10: Netværksbeskyttelse af Microsoft Defender for Endpoint på macOS
På Microsoft Defender-portalen:
Gå til Konfigurationsstyring>Slutpunktsikkerhedspolitikker>Mac-politikker>Create ny politik.
Under Vælg platform skal du vælge macOS.
Under Vælg skabelon skal du vælge Microsoft Defender Antivirus og vælge Create Politik.
Under fanen Grundlæggende skal du angive navnet og beskrivelsen af politikken. Vælg Næste.
Under fanen Konfigurationsindstillinger under Netværksbeskyttelse skal du vælge niveauet Håndhævelse. Vælg Næste.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse politikken i Gennemse+Create, og vælg Gem.
Tip
Du kan også konfigurere netværksbeskyttelse ved at tilføje oplysningerne fra Netværksbeskyttelse for at forhindre macOS-forbindelser til forkerte websteder til .mobileconig fra trin 8.
Trin 11: Enhedshåndtering for Microsoft Defender for Endpoint på macOS
Hvis du vil angive Enhedskontrol for Microsoft Defender for Endpoint på macOS, skal du følge trinnene i:
Trin 12: Forebyggelse af datatab (DLP) for slutpunkt
Hvis du vil angive Purviews DLP (Forebyggelse af datatab) for slutpunkter på macOS, skal du følge trinnene i Onboard- og offboard macOS-enheder til Løsninger til overholdelse af angivne standarder ved hjælp af Microsoft Intune.
Trin 13: Kontrollér status for PList(.mobileconfig)
Når du har fuldført profilkonfigurationen, kan du gennemse status for politikkerne.
Vis status
Når de Intune ændringer overføres til de tilmeldte enheder, kan du se dem på listen under Overvåg>enhedsstatus:
Konfiguration af klientenhed
En standard Firmaportal installation er tilstrækkelig til en mac-enhed.
Bekræft enhedshåndtering.
Vælg Åbn systemindstillinger, find Administrationsprofil på listen, og vælg Godkend.... Din administrationsprofil vises som Bekræftet:
Vælg Fortsæt , og fuldfør tilmeldingen.
Du kan nu tilmelde flere enheder. Du kan også tilmelde dem senere, når du har afsluttet klargøring af systemkonfiguration og programpakker.
I Intune skal du åbne Administrer>enheder>Alle enheder. Her kan du se din enhed blandt de angivne:
Bekræft klientenhedstilstand
Når konfigurationsprofilerne er installeret på dine enheder, skal du åbne Profiler for systemindstillinger> på din Mac-enhed.
Kontrollér, at følgende konfigurationsprofiler findes og er installeret. Administrationsprofilen skal være den Intune systemprofil. Wdav-config og wdav-kext er systemkonfigurationsprofiler, der blev tilføjet i Intune:
Du bør også se ikonet Microsoft Defender for Endpoint i øverste højre hjørne.
Trin 14: Publicer program
Dette trin gør det muligt at udrulle Microsoft Defender for Endpoint på tilmeldte maskiner.
Åbn Appsi Microsoft Intune Administration.
Vælg Efter platform>macOS>Tilføj.
Under Apptype skal du vælge macOS. Vælg Vælg.
Bevar standardværdierne i appoplysningerne, og vælg Næste.
Vælg Næste under fanen Tildelinger.
Gennemse og Create. Du kan besøge Apps>By Platform>macOS for at se det på listen over alle programmer.
Du kan få flere oplysninger under Føj Microsoft Defender for Endpoint til macOS-enheder ved hjælp af Microsoft Intune.
Vigtigt!
Du skal oprette og installere konfigurationsprofilerne i ovenstående rækkefølge (trin 1-13) for at få en vellykket systemkonfiguration.
Trin 15: Download onboardingpakken
Sådan downloader du onboardingpakker fra Microsoft 365 Defender-portalen:
På Microsoft 365 Defender-portalen skal du gå til Indstillinger>Slutpunkter>Onboarding af enhedshåndtering>.
Angiv operativsystemet til macOS og installationsmetoden til Mobile Enhedshåndtering/Microsoft Intune.
Vælg Download onboarding-pakke. Gem den som WindowsDefenderATPOnboardingPackage.zip i den samme mappe.
Udpak indholdet af den .zip fil:
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip
warning: WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
inflating: intune/kext.xml
inflating: intune/WindowsDefenderATPOnboarding.xml
inflating: jamf/WindowsDefenderATPOnboarding.plist
Trin 16: Udrul onboardingpakken
Denne profil indeholder licensoplysninger om Microsoft Defender for Endpoint.
Sådan installerer du onboardingpakken:
Under Konfigurationsprofiler skal du vælge Create Profil.
Under Platform skal du vælge macOS.
Under Profiltype skal du vælge Skabeloner.
Under Skabelonnavn skal du vælge Brugerdefineret.
Vælg Create.
Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være
Autoupdate-prod-macOS-Default-MDE
. Vælg Næste.Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være
Autoupdate.mobileconfig
.Vælg en installationskanal.
Vælg Næste.
Vælg en konfigurationsprofilfil.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Gennemse konfigurationsprofilen. Vælg Create.
ÅbnEnhedskonfigurationsprofiler> for at se den oprettede profil.
Trin 17: Kontrollér registrering af antimalware
Se følgende artikel for at teste for en gennemgang af registrering af antimalware: Test af antivirusregistrering til bekræftelse af enhedens onboarding- og rapporteringstjenester
Trin 18: Kontrollerer EDR-registrering
Se følgende artikel for at teste for en gennemgang af EDR-registrering: EDR-registreringstest til bekræftelse af onboarding af enheder og rapporteringstjenester
Fejlfinding
Problem: Der blev ikke fundet en licens.
Løsning: Følg trinnene i denne artikel for at oprette en enhedsprofil ved hjælp af WindowsDefenderATPOnboarding.xml.
Logføring af installationsproblemer
Se Logføring af installationsproblemer for at få oplysninger om, hvordan du finder den automatisk genererede log, der er oprettet af installationsprogrammet, når der opstår en fejl.
Du kan få oplysninger om fejlfindingsprocedurer under:
- Foretag fejlfinding af problemer med systemudvidelser i Microsoft Defender for Endpoint på macOS
- Foretag fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på macOS
- Foretag fejlfinding af licensproblemer for Microsoft Defender for Endpoint på macOS
- Foretag fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på macOS
- Foretag fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på macOS
Uninstallation
Se Fjernelse for at få oplysninger om, hvordan du fjerner Microsoft Defender for Endpoint på macOS fra klientenheder.
Anbefalet indhold
Føj Microsoft Defender for Endpoint til macOS-enheder ved hjælp af Microsoft Intune
Få mere at vide om, hvordan du føjer Microsoft Defender for Endpoint til macOS-enheder ved hjælp af Microsoft Intune.
Eksempler på politikker for enhedsstyring for Intune
Få mere at vide om, hvordan du bruger politikker for enhedskontrol ved hjælp af eksempler, der kan bruges sammen med Intune.
Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Beskriver, hvordan du installerer Microsoft Defender for Endpoint på iOS-funktioner.
Installér Microsoft Defender for Endpoint på iOS med Microsoft Intune
Beskriver, hvordan du installerer Microsoft Defender for Endpoint på iOS ved hjælp af en app.
Konfigurer Microsoft Defender for Endpoint i Microsoft Intune
Beskriver oprettelse af forbindelse til Defender for Endpoint, onboarding af enheder, tildeling af overholdelse af angivne standarder for risikoniveauer og politikker for betinget adgang.
Foretag fejlfinding af problemer, og find svar på ofte stillede spørgsmål, der er relateret til Microsoft Defender for Endpoint på iOS
Fejlfinding og ofte stillede spørgsmål – Microsoft Defender for Endpoint på iOS.
Konfigurer Microsoft Defender for Endpoint på Android-funktioner
Beskriver, hvordan du konfigurerer Microsoft Defender for Endpoint på Android.
Administrer Defender for Endpoint på Android-enheder i Intune – Azure
Konfigurer Microsoft Defender for Endpoint webbeskyttelse på Android-enheder, der administreres af Microsoft Intune.
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om