Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS

Gilt für:

Wichtig

Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS in Unternehmen. Informationen zum Konfigurieren Microsoft Defender for Endpoint unter macOS über die Befehlszeilenschnittstelle finden Sie unter "Ressourcen".

Zusammenfassung

In Unternehmen können Microsoft Defender for Endpoint unter macOS über ein Konfigurationsprofil verwaltet werden, das mithilfe eines von mehreren Verwaltungstools bereitgestellt wird. Einstellungen, die von Ihrem Sicherheitsteam verwaltet werden, haben Vorrang vor Einstellungen, die lokal auf dem Gerät festgelegt werden. Das Ändern der Einstellungen, die über das Konfigurationsprofil festgelegt werden, erfordert eskalierte Berechtigungen und ist für Benutzer ohne Administratorberechtigungen nicht verfügbar.

Dieser Artikel beschreibt die Struktur des Konfigurationsprofils, enthält ein empfohlenes Profil, das Sie für die ersten Schritte verwenden können, und enthält Anweisungen zum Bereitstellen des Profils.

Konfigurationsprofilstruktur

Das Konfigurationsprofil ist eine PLIST-Datei , die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach (z. B. ein numerischer Wert) oder komplex sein, z. B. eine geschachtelte Liste von Einstellungen.

Achtung

Das Layout des Konfigurationsprofils hängt von der von Ihnen verwendeten Verwaltungskonsole ab. Die folgenden Abschnitte enthalten Beispiele für Konfigurationsprofile für JAMF und Intune.

Die oberste Ebene des Konfigurationsprofils umfasst produktweite Einstellungen und Einträge für Unterbereiche von Microsoft Defender for Endpoint, die in den nächsten Abschnitten ausführlicher erläutert werden.

Einstellungen des Antivirusmoduls

Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente von Microsoft Defender for Endpoint zu verwalten.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel antivirusEngine
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Erzwingungsstufe für das Antivirenmodul

Gibt die Erzwingungseinstellung des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:

  • Echtzeit (real_time): Der Echtzeitschutz (Scannen von Dateien während des Zugriffs) ist aktiviert.
  • Bei Bedarf (on_demand): Dateien werden nur bei Bedarf gescannt. In diesem:
    • Der Echtzeitschutz ist deaktiviert.
  • Passiv (passive): Führt das Antivirenmodul im passiven Modus aus. In diesem:
    • Der Echtzeitschutz ist deaktiviert.
    • Das Scannen bei Bedarf ist aktiviert.
    • Die automatische Bedrohungsbehebung ist deaktiviert.
    • Sicherheitsintelligenzupdates sind aktiviert.
    • Das Statusmenüsymbol ist ausgeblendet.


Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel enforcementLevel
Datentyp String
Mögliche Werte real_time (Standard)

on_demand

Passive

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.10.72 oder höher.

Konfigurieren der Dateihashberechnungsfunktion

Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden. Beachten Sie, dass sich das Aktivieren dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter: Erstellen von Indikatoren für Dateien.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel enableFileHashComputation
Datentyp String
Mögliche Werte deaktiviert (Standard)

aktiviert

Kommentare Verfügbar in Defender für Endpunkt, Version 101.73.77 oder höher.

Ausführen eines Scans nach dem Aktualisieren von Definitionen

Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Sicherheitsintelligenzupdates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanAfterDefinitionUpdate
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.

Scannen von Archiven (nur Bei-Bedarf-Antivirenscans)

Gibt an, ob Archive während scans bei Bedarf Antivirus gescannt werden sollen.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanArchives
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.

Grad der Parallelität für On-Demand-Scans

Gibt den Grad der Parallelität für Scans bei Bedarf an. Dies entspricht der Anzahl der Threads, die für die Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung sowie die Dauer des On-Demand-Scans aus.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel maximumOnDemandScanThreads
Datentyp Integer
Mögliche Werte 2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64.
Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.

Ausschlusszusammenführungsrichtlinie

Geben Sie die Seriendruckrichtlinie für Ausschlüsse an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur administratordefinierten Ausschlüssen (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel exclusionsMergePolicy
Datentyp String
Mögliche Werte zusammenführen (Standard)

admin_only

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.

Scanausschlüsse

Geben Sie Entitäten an, die von der Überprüfung ausgeschlossen sind. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Ausschlüsse
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Art des Ausschlusses

Geben Sie Inhalte an, die nach Typ von der Überprüfung ausgeschlossen sind.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel $type
Datentyp String
Mögliche Werte excludedPath

excludedFileExtension

excludedFileName

Pfad zu ausgeschlossenen Inhalten

Geben Sie Inhalte an, die nicht durch den vollständigen Dateipfad gescannt werden sollen.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel path
Datentyp String
Mögliche Werte gültige Pfade
Kommentare Gilt nur, wenn $type excludedPath ist

Unterstützte Ausschlusstypen

In der folgenden Tabelle sind die Ausschlusstypen aufgeführt, die von Defender für Endpunkt auf Mac unterstützt werden.



Ausschluss Definition Beispiele
Dateierweiterung Alle Dateien mit der Erweiterung, überall auf dem Gerät .test
Datei Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Ordner Alle Dateien unter dem angegebenen Ordner (rekursiv) /var/log/

/var/*/

Prozess Ein bestimmter Prozess (angegeben durch den vollständigen Pfad oder Dateinamen) und alle von ihr geöffneten Dateien /bin/cat

cat

c?t

Wichtig

Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad ein symbolischer Link ist, indem Sie ausführen file <path-name>.

Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Platzhalter:



Platzhalter Beschreibung Beispiel Übereinstimmungen Stimmt nicht überein
* Gleicht eine beliebige Anzahl von Zeichen ab, einschließlich keiner Zeichen (beachten Sie, dass bei Verwendung dieses Platzhalters in einem Pfad nur ein Ordner ersetzt wird). /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Gleicht ein einzelnes Zeichen ab file?.log file1.log

file2.log

file123.log

Pfadtyp (Datei/Verzeichnis)

Geben Sie an, ob die Pfadeigenschaft auf eine Datei oder ein Verzeichnis verweist.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Isdirectory
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Kommentare Gilt nur, wenn $type excludedPath ist

Dateierweiterung vom Scan ausgeschlossen

Geben Sie Inhalte an, die von der Überprüfung durch die Dateierweiterung ausgeschlossen sind.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Erweiterung
Datentyp String
Mögliche Werte gültige Dateierweiterungen
Kommentare Gilt nur, wenn $type ausgeschlossen istFileExtension

Prozess, der von der Überprüfung ausgeschlossen wurde

Geben Sie einen Prozess an, für den alle Dateiaktivitäten vom Scannen ausgeschlossen werden. Der Prozess kann entweder durch seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel name
Datentyp String
Mögliche Werte beliebige Zeichenfolge
Kommentare Gilt nur, wenn $type excludedFileName ist

Zulässige Bedrohungen

Geben Sie Bedrohungen anhand des Namens an, die von Defender für Endpunkt auf Mac nicht blockiert werden. Diese Bedrohungen dürfen ausgeführt werden.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel allowedThreats
Datentyp Array aus Zeichenfolgen

Unzulässige Bedrohungsaktionen

Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel disallowedThreatActions
Datentyp Array aus Zeichenfolgen
Mögliche Werte zulassen (verhindert, dass Benutzer Bedrohungen zulassen)

Wiederherstellen (verhindert, dass Benutzer Bedrohungen aus der Quarantäne wiederherstellen)

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.

Einstellungen für Bedrohungstypen

Geben Sie an, wie bestimmte Bedrohungstypen von Microsoft Defender for Endpoint unter macOS behandelt werden.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel threatTypeSettings
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Bedrohungstyp

Geben Sie Bedrohungstypen an.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Schlüssel
Datentyp String
Mögliche Werte potentially_unwanted_application

archive_bomb

Zu ergreifende Maßnahme

Geben Sie an, welche Aktion ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs erkannt wird. Wählen Sie aus den folgenden Optionen aus:

  • Überwachung: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag über die Bedrohung wird protokolliert.
  • Block: Ihr Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden in der Benutzeroberfläche und der Sicherheitskonsole benachrichtigt.
  • Aus: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.


Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Wert
Datentyp String
Mögliche Werte Überwachung (Standard)

Block

Aus

Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen

Geben Sie die Seriendruckrichtlinie für Bedrohungstypeinstellungen an. Hierbei kann es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) handelt. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für unterschiedliche Bedrohungstypen zu definieren.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel threatTypeSettingsMergePolicy
Datentyp String
Mögliche Werte zusammenführen (Standard)

admin_only

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.

Aufbewahrung des Antivirusscanverlaufs (in Tagen)

Geben Sie die Anzahl der Tage an, die die Ergebnisse im Scanverlauf auf dem Gerät beibehalten werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte in Quarantäne befindliche Dateien, die ebenfalls vom Datenträger entfernt werden.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanResultsRetentionDays
Datentyp String
Mögliche Werte 90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen.
Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher.

Maximale Anzahl von Elementen im Antivirusscanverlauf

Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten On-Demand-Scans und alle Antivirenerkennungen.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanHistoryMaximumItems
Datentyp String
Mögliche Werte 10000 (Standard). Zulässige Werte liegen zwischen 5000 Elementen und 15000 Elementen.
Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher.

In der Cloud bereitgestellte Schutzeinstellungen

Konfigurieren Sie die cloudgesteuerten Schutzfeatures von Microsoft Defender for Endpoint unter macOS.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel cloudService
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Aktivieren/Deaktivieren des über die Cloud bereitgestellten Schutzes

Geben Sie an, ob der über die Cloud bereitgestellte Schutz des Geräts aktiviert werden soll. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel aktiviert
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Sammlungsebene von Diagnosedaten

Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Diagnoseebene, die von Microsoft Defender for Endpoint an Microsoft gesendet wird.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel diagnosticLevel
Datentyp String
Mögliche Werte optional (Standard)

erforderlich

Konfigurieren der Cloudblockebene

Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt dabei sein wird, verdächtige Dateien zu blockieren und zu scannen. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und gescannt werden sollen. andernfalls ist es weniger aggressiv und blockiert und scannt daher mit weniger Häufigkeit. Es gibt fünf Werte zum Festlegen der Cloudblockebene:

  • Normal (normal): Die Standardblockierungsstufe.
  • Moderat (moderate): Liefert die Bewertung nur für Erkennungen mit hoher Vertrauenswürdigkeit.
  • Hoch (high): Blockiert unbekannte Dateien aggressiv, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, nicht schädliche Dateien zu blockieren).
  • High Plus (high_plus): Blockiert unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (die sich möglicherweise auf die Leistung des Clientgeräts auswirken).
  • Nulltoleranz (zero_tolerance): Blockiert alle unbekannten Programme.
Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel cloudBlockLevel
Datentyp String
Mögliche Werte normal (Standard)

Moderate

Hoch

high_plus

zero_tolerance

Kommentare Verfügbar in Defender für Endpunkt, Version 101.56.62 oder höher.

Aktivieren/Deaktivieren automatischer Beispielübermittlungen

Bestimmt, ob verdächtige Beispiele (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Sie werden aufgefordert, ob die übermittelte Datei wahrscheinlich persönliche Informationen enthält.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel automaticSampleSubmission
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Aktivieren/Deaktivieren automatischer Sicherheitsintelligenzupdates

Bestimmt, ob Sicherheitsintelligenzupdates automatisch installiert werden:



Abschnitt Wert
Schlüssel automaticDefinitionUpdateEnabled
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Einstellungen für die Benutzeroberfläche

Verwalten Sie die Einstellungen für die Benutzeroberfläche von Microsoft Defender for Endpoint unter macOS.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel userInterface
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Statusmenüsymbol ein-/ausblenden

Geben Sie an, ob das Statusmenüsymbol in der oberen rechten Ecke des Bildschirms angezeigt oder ausgeblendet werden soll.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel hideStatusMenuIcon
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Option "Einblenden/Ausblenden" zum Senden von Feedback

Geben Sie an, ob Benutzer Feedback an Microsoft senden können, indem Sie zu Help > Send Feedback.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel userInitiatedFeedback
Datentyp String
Mögliche Werte aktiviert (Standard)

deaktiviert

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.19.61 oder höher.

Steuern der Anmeldung bei der Verbraucherversion von Microsoft Defender

Geben Sie an, ob sich Benutzer bei der Consumerversion von Microsoft Defender anmelden können.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel consumerExperience
Datentyp String
Mögliche Werte aktiviert (Standard)

deaktiviert

Kommentare Verfügbar in Microsoft Defender for Endpoint Version 101.60.18 oder höher.

Einstellungen für Endpunkterkennung und -reaktion

Verwalten Sie die Einstellungen der Endpunkterkennungs- und -reaktionskomponente (Endpoint Detection and Response, EDR) von Microsoft Defender for Endpoint unter macOS.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Edr
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Gerätetags

Geben Sie einen Tagnamen und dessen Wert an.

  • The GROUP tag, tags the device with the specified value. Das Tag wird im Portal unter der Geräteseite angezeigt und kann zum Filtern und Gruppieren von Geräten verwendet werden.


Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel tags
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Tagtyp

Gibt den Tagtyp an.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Schlüssel
Datentyp String
Mögliche Werte GROUP
Wert des Tags

Gibt den Wert des Tags an.



Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Wert
Datentyp String
Mögliche Werte beliebige Zeichenfolge

Wichtig

  • Es kann nur ein Wert pro Tagtyp festgelegt werden.
  • Der Typ von Tags ist eindeutig und sollte nicht im gleichen Konfigurationsprofil wiederholt werden.

Um zu beginnen, empfehlen wir die folgende Konfiguration für Ihr Unternehmen, um alle Schutzfeatures zu nutzen, die Microsoft Defender for Endpoint bietet.

Das folgende Konfigurationsprofil (oder im Fall von JAMF eine Eigenschaftenliste, die in das Konfigurationsprofil für benutzerdefinierte Einstellungen hochgeladen werden könnte) wird wie folgt ausgeführt:

  • Aktivieren des Echtzeitschutzes (RTP)
  • Geben Sie an, wie die folgenden Bedrohungstypen behandelt werden:
    • Potenziell unerwünschte Anwendungen (PUA) werden blockiert.
    • Archivbomben (Datei mit hoher Komprimierungsrate) werden auf Microsoft Defender for Endpoint Protokolle überwacht.
  • Aktivieren automatischer Sicherheitsintelligenzupdates
  • Aus der Cloud bereitgestellten Schutz aktivieren
  • Aktivieren der automatischen Beispielübermittlung
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Beispiel für ein vollständiges Konfigurationsprofil

Die folgenden Vorlagen enthalten Einträge für alle in diesem Dokument beschriebenen Einstellungen und können für komplexere Szenarien verwendet werden, in denen Sie mehr Kontrolle über Microsoft Defender for Endpoint unter macOS haben möchten.

Eigenschaftenliste für vollständiges JAMF-Konfigurationsprofil

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune vollständiges Profil

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Überprüfung der Eigenschaftenliste

Die Eigenschaftenliste muss eine gültige PLIST-Datei sein. Dies kann überprüft werden, indem Folgendes ausgeführt wird:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Wenn die Datei wohlgeformt ist, wird der obige Befehl ausgegeben OK und gibt einen Exit-Code von 0zurück. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt einen Exit-Code von 1zurück.

Bereitstellung von Konfigurationsprofilen

Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über die von Ihrem Unternehmen genutzte Verwaltungskonsole bereitstellen. In den folgenden Abschnitten finden Sie Anweisungen zum Bereitstellen dieses Profils mithilfe von JAMF und Intune.

JAMF-Bereitstellung

Öffnen Sie in der JAMF-Konsole Computerkonfigurationsprofile>, navigieren Sie zu dem Konfigurationsprofil, das Sie verwenden möchten, und wählen Sie dann "Benutzerdefinierte Einstellungen" aus. Erstellen Sie einen Eintrag mit com.microsoft.wdav der Einstellungsdomäne, und laden Sie die zuvor erstellte PLIST hoch.

Achtung

Sie müssen die richtige Einstellungsdomäne (com.microsoft.wdav) eingeben. Andernfalls werden die Einstellungen von Microsoft Defender for Endpoint nicht erkannt.

Intune Bereitstellung

  1. Öffnen **Sie "**Gerätekonfiguration verwalten>". Wählen Sie "Profile > verwalten > , Profil erstellen" aus.

  2. Wählen Sie einen Namen für das Profil aus. Ändern Sie "Platform=macOS**" in "Profiltyp=Benutzerdefiniert"**. Wählen Sie Konfigurieren aus.

  3. Speichern Sie die zuvor erstellte PLIST als com.microsoft.wdav.xml.

  4. Geben Sie com.microsoft.wdav den Namen des benutzerdefinierten Konfigurationsprofils ein.

  5. Öffnen Sie das Konfigurationsprofil, und laden Sie die com.microsoft.wdav.xml Datei hoch. (Diese Datei wurde in Schritt 3 erstellt.)

  6. Wählen Sie OK aus.

  7. Wählen Sie "Aufgaben verwalten>" aus. Wählen Sie auf der Registerkarte "Einschließen " die Option " Allen Benutzern & allen Geräten zuweisen" aus.

Achtung

Sie müssen den richtigen Namen des benutzerdefinierten Konfigurationsprofils eingeben. andernfalls werden diese Einstellungen von Microsoft Defender for Endpoint nicht erkannt.

Ressourcen