Konfigurer Microsoft Defender for Endpoint på macOS-politikker i Jamf Pro
Gælder for:
- Defender for Endpoint på Mac
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Brug denne artikel til at konfigurere politikker for Defender for Endpoint på Mac ved hjælp af Jamf Pro.
Trin 1: Hent onboardingpakken til Microsoft Defender for Endpoint
I Microsoft Defender XDR skal du navigere til Onboarding af indstillingsslutpunkter >>.
Vælg macOS som operativsystem og Mobil Enhedshåndtering/Microsoft Intune som installationsmetode.
Vælg Download onboarding-pakke (WindowsDefenderATPOnboardingPackage.zip).
Udtræk
WindowsDefenderATPOnboardingPackage.zip
.Kopiér filen til din foretrukne placering. Det kunne f.eks. være
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist
.
Trin 2: Create en konfigurationsprofil i Jamf Pro ved hjælp af onboardingpakken
Find filen
WindowsDefenderATPOnboarding.plist
fra det forrige afsnit.Log på Jamf Pro, naviger til Computere>Konfigurationsprofiler, og vælg Ny.
Angiv følgende oplysninger under fanen Generelt :
- Navn:
MDE onboarding for macOS
- Beskrivelse:
MDE EDR onboarding for macOS
- Kategori:
None
- Distributionsmetode:
Install Automatically
- Niveau:
Computer Level
- Navn:
Gå til siden Program & Brugerdefinerede indstillinger , vælg Upload, og vælg derefter Tilføj.
Vælg Upload fil (PLIST-fil), og skriv
com.microsoft.wdav.atp
derefter i Præferencedomæne .Vælg Åbn , og vælg onboardingfilen.
Vælg Upload.
Vælg fanen Område .
Vælg destinationscomputerne.
Vælg Gem.
Vælg Udført.
Trin 3: Konfigurer indstillinger for Microsoft Defender for Endpoint
I dette trin gennemgår vi Indstillinger, så du kan konfigurere antimalware- og EDR-politikker ved hjælp af Microsoft Defender XDR portal (https://security.microsoft.com) eller JamF.
Vigtigt!
Microsoft Defender for Endpoint politikker for administration af sikkerhedsindstillinger tilsidesætter JamF-sætpolitikker (og andre MDM-politikker fra tredjepart).
3a. Angiv politikker ved hjælp af Microsoft Defender-portalen
Følg vejledningen i Konfigurer Microsoft Defender for Endpoint i Intune, før du angiver sikkerhedspolitikkerne ved hjælp af Microsoft Defender.
På Microsoft Defender-portalen skal du gå til Konfigurationsstyring>Slutpunkt sikkerhedspolitikker>Mac-politikker>Create ny politik.
Under Vælg platform skal du vælge macOS.
Vælg en skabelon under Vælg skabelon, og vælg Create Politik.
Angiv et navn og en beskrivelse til politikken, og vælg derefter Næste.
Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.
Du kan få flere oplysninger om administration af sikkerhedsindstillinger i følgende artikler:
Administrer Microsoft Defender for Endpoint på enheder med Microsoft Intune
Administrer sikkerhedsindstillinger for Windows, macOS og Linux oprindeligt i Defender for Endpoint
3b. Angiv politikker ved hjælp af JamF
Du kan enten bruge JAMF Pro GUI til at redigere individuelle indstillinger for Microsoft Defender for Endpoint-konfigurationen eller bruge den ældre metode ved at oprette en konfigurations-Plist i en teksteditor og uploade den til JAMF Pro.
Bemærk, at du skal bruge præcis com.microsoft.wdav
som præferencedomæne. Microsoft Defender for Endpoint bruger kun dette navn og com.microsoft.wdav.ext
til at indlæse de administrerede indstillinger.
(Versionen com.microsoft.wdav.ext
kan bruges i sjældne tilfælde, når du foretrækker at bruge GUI-metoden, men også skal konfigurere en indstilling, der endnu ikke er føjet til skemaet).
GUI-metode
Download schema.json fil fra Defenders GitHub-lager , og gem den i en lokal fil:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
Create en ny konfigurationsprofil. Under Computere skal du gå til Konfigurationsprofiler og derefter angive følgende oplysninger under fanen Generelt :
- Navn:
MDATP MDAV configuration settings
- Beskrivelse:
<blank\>
- Kategori:
None (default)
- Niveau:
Computer Level (default)
- Distributionsmetode:
Install Automatically (default)
- Navn:
Rul ned til fanen Program & Brugerdefinerede indstillinger , vælg Eksterne programmer, vælg Tilføj, og brug derefter Brugerdefineret skema som kilde til præferencedomænet.
Skriv
com.microsoft.wdav
præferencedomænet, vælg Tilføj skema , og upload derefter denschema.json
fil, der blev downloadet på trin 1. Vælg Gem.Du kan se alle understøttede Microsoft Defender for Endpoint konfigurationsindstillinger under Indstillinger Domæneegenskaber. Vælg Tilføj/fjern egenskaber for at vælge de indstillinger, du vil administrere, og vælg derefter OK for at gemme dine ændringer. (Indstillinger, der ikke er markeret, medtages ikke i den administrerede konfiguration, slutbrugeren kan konfigurere disse indstillinger på deres computere).
Skift værdierne for indstillingerne til de ønskede værdier. Du kan vælge Flere oplysninger for at få dokumentation til en bestemt indstilling. (Du kan vælge Plist Preview for at undersøge, hvordan konfigurations-plist vil se ud. Vælg Formulareditor for at vende tilbage til visualiseringseditoren.
Vælg fanen Område .
Vælg Contosos computergruppe.
Vælg Tilføj, og vælg derefter Gem.
Vælg Udført. Du får vist den nye konfigurationsprofil.
Microsoft Defender for Endpoint tilføjer nye indstillinger over tid. Disse nye indstillinger føjes til skemaet, og der publiceres en ny version på GitHub. Hvis du vil hente opdateringer, skal du downloade et opdateret skema og redigere din eksisterende konfigurationsprofil. På fanen Program & Brugerdefinerede indstillinger skal du vælge Rediger skema.
Ældre metode
Brug følgende Microsoft Defender for Endpoint konfigurationsindstillinger:
enableRealTimeProtection
passiveMode
Bemærk!
Ikke slået til som standard. Hvis du planlægger at køre et antivirusprogram fra tredjepart til macOS, skal du angive det til
true
.exclusions
excludedPath
excludedFileExtension
excludedFileName
exclusionsMergePolicy
allowedThreats
Bemærk!
EICAR er på prøve, hvis du går gennem en proof-of-concept, fjerne det især hvis du tester EICAR.
disallowedThreatActions
potentially_unwanted_application
archive_bomb
cloudService
automaticSampleSubmission
tags
hideStatusMenuIcon
Du kan få flere oplysninger under Egenskabsliste for JAMF-profil med fuld konfiguration.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
Gem filen som
MDATP_MDAV_configuration_settings.plist
.Åbn Computere og deres konfigurationsprofiler på Jamf Pro-dashboardet. Vælg Ny , og skift til fanen Generelt .
Angiv følgende oplysninger under fanen Generelt :
- Navn:
MDATP MDAV configuration settings
- Beskrivelse:
<blank>
- Kategori:
None (default)
- Distributionsmetode:
Install Automatically (default)
- Niveau:
Computer Level (default)
- Navn:
I Program & Brugerdefinerede indstillinger skal du vælge Konfigurer.
Vælg Upload fil (PLIST-fil).
I Indstillinger Domæne skal du skrive
com.microsoft.wdav
og derefter vælge Overfør PLIST-fil.Vælg Vælg fil.
Vælg MDATP_MDAV_configuration_settings.plist, og vælg derefter Åbn.
Vælg Upload.
Vælg Gem.
Filen uploades.
Vælg fanen Område .
Vælg Contosos computergruppe.
Vælg Tilføj, og vælg derefter Gem.
Vælg Udført. Du kan se den nye konfigurationsprofil.
Trin 4: Konfigurer indstillinger for meddelelser
Disse trin er gældende på macOS 11 (Big Sur) eller nyere.
På Jamf Pro-dashboardet skal du vælge Computere og derefter Konfigurationsprofiler.
Vælg Ny, og angiv følgende oplysninger under fanen Generelt for Indstillinger:
Navn:
MDATP MDAV Notification settings
Beskrivelse:
macOS 11 (Big Sur) or later
Kategori:
None *(default)*
Distributionsmetode:
Install Automatically *(default)*
Niveau:
Computer Level *(default)*
Tabulatormeddelelser, vælg Tilføj, og angiv følgende værdier:
Fanemeddelelser, vælg Tilføj en gang mere, rul ned til Indstillinger for nye meddelelser
Bundt-id:
com.microsoft.autoupdate.fba
Konfigurer resten af indstillingerne til de samme værdier, der er nævnt tidligere
Bemærk, at du nu har to tabeller med meddelelseskonfigurationer, én for Bundle ID: com.microsoft.wdav.tray og en anden for Bundle ID: com.microsoft.autoupdate.fba. Selvom du kan konfigurere beskedindstillinger i henhold til dine krav, skal bundt-id'er være nøjagtigt de samme som beskrevet før, og knappen Medtag skal være Slået til for meddelelser.
Vælg fanen Område , og vælg derefter Tilføj.
Vælg Contosos computergruppe.
Vælg Tilføj, og vælg derefter Gem.
Vælg Udført. Du bør kunne se den nye konfigurationsprofil.
Trin 5: Konfigurer Microsoft Automatiske opdateringer (MAU)
Brug følgende Microsoft Defender for Endpoint konfigurationsindstillinger:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
Gem den som
MDATP_MDAV_MAU_settings.plist
.På Jamf Pro-dashboardet skal du vælge Generelt.
Angiv følgende oplysninger under fanen Generelt :
- Navn:
MDATP MDAV MAU settings
- Beskrivelse:
Microsoft AutoUpdate settings for MDATP for macOS
- Kategori:
None (default)
- Distributionsmetode:
Install Automatically (default)
- Niveau:
Computer Level (default)
- Navn:
I Program & Brugerdefinerede indstillinger skal du vælge Konfigurer.
Vælg Upload fil (PLIST-fil).
Vælg Upload PLIST-fil under Indstillingsdomænetype
com.microsoft.autoupdate2
.Vælg Vælg fil.
Vælg MDATP_MDAV_MAU_settings.plist.
Vælg Gem.
Vælg fanen Område .
Vælg Tilføj.
Vælg Udført.
Trin 6: Giv fuld diskadgang til Microsoft Defender for Endpoint
På Jamf Pro-dashboardet skal du vælge Konfigurationsprofiler.
Vælg + Ny.
Angiv følgende oplysninger under fanen Generelt :
- Navn:
MDATP MDAV - grant Full Disk Access to EDR and AV
- Beskrivelse:
On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
- Kategori:
None
- Distributionsmetode:
Install Automatically
- Niveau:
Computer level
- Navn:
I Konfigurer politik for politik for beskyttelse af personlige oplysninger skal du vælge Konfigurer.
Angiv følgende oplysninger i kontrolelementet Politik for beskyttelse af personlige oplysninger:
- Id:
com.microsoft.wdav
- Id-type:
Bundle ID
- Kodekrav:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Id:
Vælg + Tilføj.
- Under App eller tjeneste skal du vælge SystemPolicyAllFiles.
- Under adgang skal du vælge Tillad.
Vælg Gem (ikke den nederst til højre).
Vælg tegnet ud
+
for App Access for at tilføje en ny post.Angiv følgende oplysninger:
- Id:
com.microsoft.wdav.epsext
- Id-type:
Bundle ID
- Kodekrav:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Id:
Vælg + Tilføj.
- Under App eller tjeneste skal du vælge SystemPolicyAllFiles.
- Under adgang skal du vælge Tillad.
Vælg Gem (ikke den nederst til højre).
Vælg fanen Område .
Vælg + Tilføj.
Vælg Computer Grupper, og vælg Contoso's MachineGroup under Gruppenavn.
Vælg Tilføj.
Vælg Gem.
Vælg Udført.
Du kan også downloade fulldisk.mobileconfig og uploade den til JAMF-konfigurationsprofiler som beskrevet i Udrulning af brugerdefinerede konfigurationsprofiler ved hjælp af Jamf Pro|Metode 2: Overfør en konfigurationsprofil til Jamf Pro.
Bemærk!
Fuld diskadgang, der tildeles via Apple MDM-konfigurationsprofilen, afspejles ikke i Systemindstillinger => Beskyttelse af personlige oplysninger & Sikkerhed => Fuld diskadgang.
Trin 7: Godkend systemudvidelser for Microsoft Defender for Endpoint
I Konfigurationsprofiler skal du vælge + Ny.
Angiv følgende oplysninger under fanen Generelt :
- Navn:
MDATP MDAV System Extensions
- Beskrivelse:
MDATP system extensions
- Kategori:
None
- Distributionsmetode:
Install Automatically
- Niveau:
Computer Level
- Navn:
I Systemudvidelser skal du vælge Konfigurer.
Angiv følgende oplysninger i Systemudvidelser:
- Vist navn:
Microsoft Corp. System Extensions
- Systemudvidelsestyper:
Allowed System Extensions
- Gruppe-id:
UBF8T346G9
- Tilladte systemudvidelser:
com.microsoft.wdav.epsext
com.microsoft.wdav.netext
- Vist navn:
Vælg fanen Område .
Vælg + Tilføj.
Vælg Computer Grupper> under Gruppenavn> skal du vælge Contosos computergruppe.
Vælg + Tilføj.
Vælg Gem.
Vælg Udført.
Trin 8: Konfigurer netværksudvidelse
Som en del af slutpunktsregistrerings- og svarfunktionerne undersøger Microsoft Defender for Endpoint på macOS sockettrafik og rapporterer disse oplysninger til Microsoft Defender-portalen. Følgende politik gør det muligt for netværksudvidelsen at udføre denne funktionalitet.
Disse trin er gældende på macOS 11 (Big Sur) eller nyere.
På Jamf Pro-dashboardet skal du vælge Computere og derefter Konfigurationsprofiler.
Vælg Ny, og angiv følgende oplysninger for Indstillinger:
Fanen Generelt:
- Navn:
Microsoft Defender Network Extension
- Beskrivelse:
macOS 11 (Big Sur) or later
- Kategori:
None *(default)*
- Distributionsmetode:
Install Automatically *(default)*
- Niveau:
Computer Level *(default)*
- Navn:
Faneindholdsfilter:
- Filternavn:
Microsoft Defender Content Filter
- Id:
com.microsoft.wdav
- Lad Tjenesteadresse, Organisation, Brugernavn, Adgangskode, Certifikat være tomt (Medtag er ikke valgt)
- Filterrækkefølge:
Inspector
- Sokkelfilter:
com.microsoft.wdav.netext
- Udpeget krav til socketfilter:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Lad Netværksfilterfelter være tomme (Medtag er ikke valgt)
Bemærk, at identifikator, sokkelfilter og muffefilter angiver præcise kravværdier som angivet ovenfor.
- Filternavn:
Vælg fanen Område .
Vælg + Tilføj.
Vælg Computer Grupper> under Gruppenavn> skal du vælge Contosos computergruppe.
Vælg + Tilføj.
Vælg Gem.
Vælg Udført.
Du kan også downloade netfilter.mobileconfig og uploade den til JAMF-konfigurationsprofiler som beskrevet i Udrulning af brugerdefinerede konfigurationsprofiler ved hjælp af Jamf Pro|Metode 2: Overfør en konfigurationsprofil til Jamf Pro.
Trin 9: Konfigurer baggrundstjenester
Forsigtighed
macOS 13 (Ventura) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke køre i baggrunden uden eksplicit samtykke. Microsoft Defender for Endpoint skal køre daemonprocessen i baggrunden.
Denne konfigurationsprofil giver Background Service tilladelser til at Microsoft Defender for Endpoint. Hvis du tidligere har konfigureret Microsoft Defender for Endpoint via JAMF, anbefaler vi, at du opdaterer installationen med denne konfigurationsprofil.
Download background_services.mobileconfig fra vores GitHub-lager.
Overfør downloadet mobilkonfiguration til JAMF-konfigurationsprofiler som beskrevet i Udrulning af brugerdefinerede konfigurationsprofiler ved hjælp af Jamf Pro|Metode 2: Overfør en konfigurationsprofil til Jamf Pro.
Trin 10: Tildel Bluetooth-tilladelser
Forsigtighed
macOS 14 (Sonoma) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke få adgang til Bluetooth uden eksplicit samtykke. Microsoft Defender for Endpoint bruger den, hvis du konfigurerer Bluetooth-politikker for Enhedshåndtering.
Download bluetooth.mobileconfig fra GitHub-lageret.
Advarsel
Den aktuelle version af JAMF Pro understøtter endnu ikke denne type nyttedata. Hvis du uploader denne mobilkonfiguration, som den er, fjerner JAMF Pro nyttedata, der ikke understøttes, og den kan ikke anvendes på klientcomputere. Du skal signere downloadet mobileconfig først, efter at JAMF Pro vil overveje det "forseglet" og vil ikke ændre med det. Se vejledningen nedenfor:
Du skal have mindst ét signeringscertifikat installeret i din Nøglekæde, selv et selvsigneret certifikat fungerer. Du kan undersøge, hvad du har med:
> /usr/bin/security find-identity -p codesigning -v 1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert" 2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)" 3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)" 4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)" 4 valid identities found
Vælg en af dem, og angiv den citerede tekst som parameteren -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
Nu kan du uploade den genererede bluetooth-signed.mobileconfig til JAMF Pro som beskrevet i Udrulning af brugerdefinerede konfigurationsprofiler ved hjælp af Jamf Pro|Metode 2: Overfør en konfigurationsprofil til Jamf Pro.
Bemærk!
Bluetooth, der er tildelt via Apple MDM-konfigurationsprofilen, afspejles ikke i Systemindstillinger => Beskyttelse af personlige oplysninger & Sikkerhed => Bluetooth.
Trin 11: Planlæg scanninger med Microsoft Defender for Endpoint på macOS
Følg vejledningen i Planlæg scanninger med Microsoft Defender for Endpoint på macOS.
Trin 12: Installér Microsoft Defender for Endpoint på macOS
Bemærk!
I de efterfølgende trin er navnet på .pkg
filen og værdierne for Vist navn eksempler. I disse eksempler repræsenterer den dato, 200329
hvor pakken og politikken blev oprettet (i yymmdd
format), og v100.86.92
repræsenterer versionen af det Microsoft Defender program, der installeres.
Disse værdier skal opdateres, så de overholder den navngivningskonvention, du bruger i dit miljø til pakker og politikker.
Naviger til den placering, hvor du gemte
wdav.pkg
.Omdøb den til
wdav_MDM_Contoso_200329.pkg
.Åbn Jamf Pro-dashboardet.
Vælg computeren, og vælg tandhjulsikonet øverst, og vælg derefter Computeradministration.
I Pakker skal du vælge + Ny.
Under fanen Generelt skal du angive følgende oplysninger i Ny pakke:
- Vist navn: Lad det være tomt lige nu. Fordi den nulstilles, når du vælger din pkg.
- Kategori:
None (default)
- Filnavn:
Choose File
Åbn filen, og peg på
wdav.pkg
ellerwdav_MDM_Contoso_200329.pkg
.Vælg Åbn. Angiv Vist navn til Microsoft Defender Advanced Threat Protection og Microsoft Defender Antivirus.
- Manifestfilen er ikke påkrævet. Microsoft Defender for Endpoint fungerer uden manifestfilen.
- Fanen Indstillinger: Bevar standardværdier.
- Fanen Begrænsninger: Bevar standardværdier.
Vælg Gem. Pakken uploades til Jamf Pro.
Det kan tage et par minutter, før pakken er tilgængelig til installation.
Gå til siden Politikker .
Vælg + Ny for at oprette en ny politik.
Generelt skal du bruge
MDATP Onboarding Contoso 200329 v100.86.92 or later
for Vist navn.Vælg Tilbagevendende indtjekning.
Vælg Gem.
Vælg Konfigurer pakker>.
Vælg knappen Tilføjud for Microsoft Defender Advanced Threat Protection og Microsoft Defender Antivirus.
Vælg Gem.
Create en smart gruppe til maskiner med Microsoft Defender profiler.
Hvis du vil have en bedre brugeroplevelse, skal der installeres konfigurationsprofiler på de tilmeldte computere, før Microsoft Defender pakke. I de fleste tilfælde pusher JAMF Pro konfigurationsprofiler med det samme, og disse politikker udføres efter et stykke tid (dvs. under indtjekning). I nogle tilfælde kan installationen af konfigurationsprofiler dog installeres med en betydelig forsinkelse (dvs. hvis en brugers computer er låst).
JAMF Pro er en måde at sikre den korrekte rækkefølge på. Du kan oprette en smart gruppe for maskiner, der allerede har modtaget Microsoft Defender konfigurationsprofil, og kun installere Microsoft Defender pakke på disse maskiner (og så snart de modtager denne profil).
Følg disse trin:
Create en smart gruppe. Åbn Smart Computers Grupper i et nyt browservindue.
Vælg Ny, og giv din gruppe et navn.
Under fanen Kriterier skal du vælge Tilføj og derefter vælge Vis avancerede kriterier.
Vælg Profilnavn som et kriterium, og brug navnet på en tidligere oprettet konfigurationsprofil som værdien:
Vælg Gem.
Gå tilbage til det vindue, hvor du konfigurerer en pakkepolitik.
Vælg fanen Område .
Vælg destinationscomputerne.
Under Område skal du vælge Tilføj.
Skift til fanen Computer Grupper. Find den intelligente gruppe, du har oprettet, og vælg derefter Tilføj.
Hvis brugerne skal installere Defender for Endpoint frivilligt (eller efter behov), skal du vælge Selvbetjening.
Vælg Udført.
Omfang af konfigurationsprofil
JAMF kræver, at du definerer et sæt maskiner til en konfigurationsprofil. Du skal sørge for, at alle computere, der modtager Defender-pakken, også modtager alle de konfigurationsprofiler, der er angivet ovenfor.
Advarsel
JAMF understøtter Smart Computer-Grupper, der tillader udrulning, f.eks. konfigurationsprofiler eller politikker på alle computere, der opfylder visse kriterier, der evalueres dynamisk. Det er et effektivt koncept, der bruges i vid udstrækning til distribution af konfigurationsprofiler.
Vær dog opmærksom på, at disse kriterier ikke bør omfatte tilstedeværelsen af Defender på en maskine. Når du bruger dette kriterium, kan det lyde logisk, men det skaber problemer, der er svære at diagnosticere.
Defender er afhængig af alle disse profiler på tidspunktet for dens installation. Konfigurationen af konfigurationsprofiler, afhængigt af Defenders tilstedeværelse, forsinker effektivt installationen af konfigurationsprofiler og resulterer i et oprindeligt usundt produkt og/eller beder om manuel godkendelse af visse programtilladelser, som ellers godkendes automatisk af profiler.
Installation af en politik med Microsoft Defender pakke efter installation af konfigurationsprofiler sikrer slutbrugerens bedste oplevelse, fordi alle påkrævede konfigurationer anvendes, før pakken installeres.
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om