Bereitstellung mit einem anderen Mobile Geräteverwaltung -System (MDM) für Microsoft Defender for Endpoint unter macOS

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Voraussetzungen und Systemanforderungen

Beachten Sie vor dem Start die Hauptseite „Microsoft Defender für Endpunkt auf macOS“ für eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Ansatz

Achtung

Derzeit unterstützt Microsoft offiziell nur Intune und JAMF für die Bereitstellung und Verwaltung von Microsoft Defender for Endpoint unter macOS. Microsoft übernimmt keine Ausdrücklichen oder Stillschweigenden Gewährleistungen in Bezug auf die unten angegebenen Informationen.

Wenn Ihr organization eine Mobile Geräteverwaltung (MDM)-Lösung verwendet, die nicht offiziell unterstützt wird, bedeutet dies nicht, dass Sie Microsoft Defender for Endpoint unter macOS nicht bereitstellen oder ausführen können.

Microsoft Defender for Endpoint unter macOS ist nicht von herstellerspezifischen Features abhängig. Es kann mit jeder MDM-Lösung verwendet werden, die die folgenden Features unterstützt:

  • Stellen Sie eine macOS-.pkg auf verwalteten Geräten bereit.
  • Stellen Sie macOS-Systemkonfigurationsprofile auf verwalteten Geräten bereit.
  • Führen Sie ein beliebiges vom Administrator konfiguriertes Tool/Skript auf verwalteten Geräten aus.

Die meisten modernen MDM-Lösungen enthalten diese Features, sie können sie jedoch anders nennen.

Sie können Defender für Endpunkt jedoch ohne die letzte Anforderung aus der obigen Liste bereitstellen:

  • Sie können status nicht zentral erfassen.
  • Wenn Sie Defender für Endpunkt deinstallieren möchten, müssen Sie sich lokal als Administrator beim Clientgerät anmelden.

Bereitstellung)

Die meisten MDM-Lösungen verwenden das gleiche Modell für die Verwaltung von macOS-Geräten mit ähnlicher Terminologie. Verwenden Sie die JAMF-basierte Bereitstellung als Vorlage.

Paket

Konfigurieren Sie die Bereitstellung eines erforderlichen Anwendungspakets, wobei das Installationspaket (wdav.pkg) aus Microsoft Defender Portal heruntergeladen wurde.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

Um das Paket in Ihrem Unternehmen bereitzustellen, verwenden Sie die Anweisungen, die Ihrer MDM-Lösung zugeordnet sind.

Lizenzeinstellungen

Richten Sie ein Systemkonfigurationsprofil ein.

Ihre MDM-Lösung kann sie etwa "Benutzerdefiniertes Einstellungsprofil" nennen, da Microsoft Defender for Endpoint unter macOS nicht Teil von macOS ist.

Verwenden Sie die Eigenschaftenliste jamf/WindowsDefenderATPOnboarding.plist, die aus einem Onboardingpaket extrahiert werden kann, das aus Microsoft Defender Portal heruntergeladen wurde. Ihr System unterstützt möglicherweise eine beliebige Eigenschaftsliste im XML-Format. Sie können die Datei jamf/WindowsDefenderATPOnboarding.plist in diesem Fall unverändert hochladen. Alternativ kann es erforderlich sein, dass Sie die Eigenschaftenliste zuerst in ein anderes Format konvertieren.

In der Regel verfügt Ihr benutzerdefiniertes Profil über eine ID, einen Namen oder ein Domänenattribute. Sie müssen genau "com.microsoft.wdav.atp" für diesen Wert verwenden. MDM verwendet sie, um die Einstellungsdatei in /Library/Managed Preferences/com.microsoft.wdav.atp.plist auf einem Clientgerät bereitzustellen, und Defender für Endpunkt verwendet diese Datei zum Laden der Onboardinginformationen.

Systemkonfigurationsprofile

macOS erfordert, dass ein Benutzer bestimmte Funktionen, die eine Anwendung verwendet, manuell und explizit genehmigt, z. B. Systemerweiterungen, ausführung im Hintergrund, Senden von Benachrichtigungen, vollständiger Datenträgerzugriff usw. Microsoft Defender for Endpoint auf diese Funktionen angewiesen ist und nicht ordnungsgemäß funktionieren kann, bis alle diese Zustimmungen von einem Benutzer erhalten wurden.

Um die Zustimmung automatisch im Namen eines Benutzers zu erteilen, pusht ein Administrator Systemrichtlinien über sein MDM-System. Dies ist es, was wir dringend empfehlen, anstatt sich auf manuelle Genehmigungen von Endbenutzern zu verlassen.

Wir stellen alle Richtlinien bereit, die Microsoft Defender for Endpoint als mobileconfig-Dateien benötigt, die unter verfügbar sindhttps://github.com/microsoft/mdatp-xplat. Mobileconfig ist ein Import-/Exportformat von Apple, das Apple Configurator oder andere Produkte wie iMazing Profile Editor unterstützt.

Die meisten MDM-Anbieter unterstützen das Importieren einer mobileconfig-Datei und das Erstellen eines neuen benutzerdefinierten Konfigurationsprofils.

So richten Sie Profile ein:

  1. Erfahren Sie, wie ein mobileconfig-Import mit Ihrem MDM-Anbieter erfolgt.
  2. Laden Sie für alle Profile von https://github.com/microsoft/mdatp-xplateine mobileconfig-Datei herunter, und importieren Sie sie.
  3. Weisen Sie jedem erstellten Konfigurationsprofil den richtigen Bereich zu.

Beachten Sie, dass Apple regelmäßig neue Arten von Nutzlasten mit neuen Versionen des Betriebssystems erstellt. Sie müssen die oben genannte Seite besuchen und neue Profile veröffentlichen, sobald sie verfügbar sind. Wir veröffentlichen Benachrichtigungen auf unserer Seite Neuerungen , sobald wir solche Änderungen vorgenommen haben.

Überprüfen der installations status

Führen Sie Microsoft Defender for Endpoint auf einem Clientgerät aus, um die Onboarding-status zu überprüfen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.