JAMF ベースの Microsoft Defender ATP for Mac の展開JAMF-based deployment for Microsoft Defender ATP for Mac

適用対象:Applies to:

このトピックでは、JAMF 経由で Microsoft Defender ATP for Mac を展開する方法について説明します。This topic describes how to deploy Microsoft Defender ATP for Mac through JAMF. 展開を成功させるには、次のすべての手順を完了する必要があります。A successful deployment requires the completion of all of the following steps:

  1. インストールとオンボードパッケージをダウンロードするDownload installation and onboarding packages
  2. JAMF ポリシーを作成するCreate JAMF policies
  3. クライアントデバイスのセットアップClient device setup
  4. 展開Deployment
  5. オンボードの状態を確認するCheck onboarding status

前提条件とシステム要件Prerequisites and system requirements

作業を開始する前に、現在のソフトウェアバージョンの前提条件とシステム要件の説明については、メインの Microsoft DEFENDER ATP For Mac のページを参照してください。Before you get started, see the main Microsoft Defender ATP for Mac page for a description of prerequisites and system requirements for the current software version.

さらに、JAMF の展開については、JAMF の管理タスク、JAMF テナント、パッケージの展開方法について理解しておく必要があります。In addition, for JAMF deployment, you need to be familiar with JAMF administration tasks, have a JAMF tenant, and know how to deploy packages. これには、適切に構成された配布ポイントが含まれます。This includes having a properly configured distribution point. JAMF には、同じタスクを実行するためのさまざまな方法があります。JAMF has many ways to complete the same task. 次の手順では、一般的なプロセスの例を示します。These instructions provide an example for most common processes. 組織では、別のワークフローを使用している可能性があります。Your organization might use a different workflow.

概要Overview

次の表は、JAMF を介して、Mac 用の Microsoft Defender ATP の展開と管理を行うために必要な手順をまとめたものです。The following table summarizes the steps you would need to take to deploy and manage Microsoft Defender ATP for Macs, via JAMF. 詳細な手順については、以下をご覧ください。More detailed steps are available below.

ステップStep ファイル名の例Sample file names BundleIdentifierBundleIdentifier
インストールとオンボードパッケージをダウンロードするDownload installation and onboarding packages WindowsDefenderATPOnboarding__MDATP_wdav.atp.xmlWindowsDefenderATPOnboarding__MDATP_wdav.atp.xml -microsoft wdav の atpcom.microsoft.wdav.atp
Microsoft Defender ATP の構成設定Microsoft Defender ATP configuration settings

注: MacOS でサードパーティの AV を実行する予定の場合は、 passiveMode をに設定 true します。Note: If you are planning to run a third party AV for macOS, set passiveMode to true.
MDATP_WDAV_and_exclusion_settings_Preferences plistMDATP_WDAV_and_exclusion_settings_Preferences.plist .com davcom.microsoft.wdav
Microsoft Defender ATP および MS AutoUpdate (MAU) の通知を構成するConfigure Microsoft Defender ATP and MS AutoUpdate (MAU) notifications MDATP_MDAV_Tray_and_AutoUpdate2 mobileconfigMDATP_MDAV_Tray_and_AutoUpdate2.mobileconfig .com または、トレイcom.microsoft.wdav.tray
Microsoft AutoUpdate (MAU) を構成するConfigure Microsoft AutoUpdate (MAU) MDATP_Microsoft_AutoUpdate mobileconfigMDATP_Microsoft_AutoUpdate.mobileconfig com.microsoft.autoupdate2.plistcom.microsoft.autoupdate2
Microsoft Defender ATP へのフルディスクアクセス権を付与するGrant Full Disk Access to Microsoft Defender ATP 注: MDATP_tcc_Catalina_or_newer がある場合は、次のようにします。Note: If there was one, MDATP_tcc_Catalina_or_newer.plist tcc (.com)com.microsoft.wdav.tcc
Microsoft Defender ATP のカーネル拡張機能を承認するApprove Kernel Extension for Microsoft Defender ATP 注: MDATP_KExt がある場合は、次のようにします。Note: If there was one, MDATP_KExt.plist 該当せずN/A

インストールとオンボードパッケージをダウンロードするDownload installation and onboarding packages

Microsoft Defender セキュリティセンターからインストールとオンボードパッケージをダウンロードします。Download the installation and onboarding packages from Microsoft Defender Security Center:

  1. Microsoft Defender セキュリティセンターで [設定] に移動し、[デバイス管理 > オンボード > します。In Microsoft Defender Security Center, go to Settings > Device management > Onboarding.

  2. オペレーティングシステムをmacOSに、展開方法を [モバイルデバイス管理]/[Microsoft Intune] に設定します。Set the operating system to macOS and the deployment method to Mobile Device Management / Microsoft Intune. オンボード設定のスクリーンショット

    注意

    Jamf は [モバイルデバイス管理] の下にあります。Jamf falls under Mobile Device Management.

  3. [インストールパッケージのダウンロード] を選びます。Select Download installation package. ローカルディレクトリに_wdav_として保存します。Save it as wdav.pkg to a local directory.

  4. [オンボードパッケージのダウンロード] を選びます。Select Download onboarding package. 同じディレクトリに_WindowsDefenderATPOnboardingPackage.zip_として保存します。Save it as WindowsDefenderATPOnboardingPackage.zip to the same directory.

  5. コマンドプロンプトで、2つのファイルがあることを確認します。From the command prompt, verify that you have the two files. 次のように .zip ファイルの内容を抽出します。Extract the contents of the .zip files like so:

    ls -l
    total 721160
    -rw-r--r--  1 test  staff      11821 Mar 15 09:23 WindowsDefenderATPOnboardingPackage.zip
    -rw-r--r--  1 test  staff  354531845 Mar 13 08:57 wdav.pkg
    unzip WindowsDefenderATPOnboardingPackage.zip
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
    inflating: intune/kext.xml
     inflating: intune/WindowsDefenderATPOnboarding.xml
     inflating: jamf/WindowsDefenderATPOnboarding.plist
    

JAMF ポリシーを作成するCreate JAMF policies

構成プロファイルとポリシーを作成する必要があります。これは、クライアントデバイスへの Microsoft Defender ATP の展開を開始するためのポリシーです。You need to create a configuration profile and a policy to start deploying Microsoft Defender ATP for Mac to client devices.

構成プロファイルConfiguration Profile

構成プロファイルには、次のようなカスタム設定ペイロードが含まれています。The configuration profile contains a custom settings payload that includes the following:

  • Microsoft Defender ATP for Mac のオンボード情報Microsoft Defender ATP for Mac onboarding information
  • Microsoft Kernel ドライバーを実行できるようにするための、承認されたカーネル拡張ペイロードApproved Kernel Extensions payload to enable running the Microsoft kernel driver

オンボード情報を設定するには、 jamf/WindowsDefenderATPOnboardingという名前のプロパティリストファイルをカスタム設定として追加します。To set the onboarding information, add a property list file that is named jamf/WindowsDefenderATPOnboarding.plist as a custom setting. この操作を行うには、[コンピューターの構成プロファイルの新規作成] を選択し、[ > Configuration Profiles > New****アプリケーション & カスタム設定構成] を選択し > Configureます。To do this, select Computers > Configuration Profiles > New, and then select Application & Custom Settings > Configure. そこから、プロパティリストをアップロードできます。From there, you can upload the property list.

重要

プリファレンスドメインを指定するには、Preference ドメインを設定する必要があります。You have to set the Preference Domain to com.microsoft.wdav.atp. カスタムペイロード、バージョン10.18 以降の Jamf Pro ユーザーインターフェイスにはいくつかの変更があります。There are some changes to the Custom Payloads and also to the Jamf Pro user interface in version 10.18 and later versions. 変更の詳細については、「 Jamf Pro に固有の構成プロファイルのペイロード設定」を参照してください。For more information about the changes, see Configuration Profile Payload Settings Specific to Jamf Pro.

構成プロファイルのスクリーンショット

承認されたカーネル拡張機能Approved Kernel Extension

カーネル拡張機能を承認するには:To approve the kernel extension:

  1. [コンピューター] > 構成プロファイルで、[許可されたカーネル拡張機能 > オプション] を選択します。In Computers > Configuration Profiles select Options > Approved Kernel Extensions.

  2. チーム Id にはubf8t346g9.officeを使用します。Use UBF8T346G9 for Team Id.

    承認されたカーネル拡張機能のスクリーンショット

プライバシー設定ポリシーの制御Privacy Preferences Policy Control

注意事項

macOS 10.15 (Catalina) には、新しいセキュリティ機能とプライバシー強化が含まれています。macOS 10.15 (Catalina) contains new security and privacy enhancements. このバージョン以降、既定では、アプリケーションは、明示的な同意なしに、ディスク上の特定の場所 (ドキュメント、ダウンロード、デスクトップなど) にはアクセスできません。Beginning with this version, by default, applications are not able to access certain locations on disk (such as Documents, Downloads, Desktop, etc.) without explicit consent. この同意がない場合、Microsoft Defender ATP は、お使いのデバイスを完全に保護することはできません。In the absence of this consent, Microsoft Defender ATP is not able to fully protect your device.

以前に Microsoft Defender ATP から JAMF を構成した場合は、次の構成を適用することをお勧めします。If you previously configured Microsoft Defender ATP through JAMF, we recommend applying the following configuration.

次の JAMF ポリシーを追加して、Microsoft Defender ATP へのフルディスクアクセスを許可します。Add the following JAMF policy to grant Full Disk Access to Microsoft Defender ATP.

  1. プライバシー設定ポリシーコントロール > オプションを選びます。Select Options > Privacy Preferences Policy Control.

  2. 任意の識別子と識別子の種類 = バンドルを使用します。Use any identifier and identifier type = Bundle.

  3. コードの要件をに設定 identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9 します。Set Code Requirement to identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9.

  4. App または service を SystemPolicyAllFiles に設定して、アクセス許可を付与します。Set app or service to SystemPolicyAllFiles and access to Allow.

    プライバシー設定ポリシーの制御

構成プロファイルのスコープConfiguration Profile's Scope

構成プロファイルを受け取るデバイスを指定するように、適切なスコープを構成します。Configure the appropriate scope to specify the devices that will receive the configuration profile.

[コンピューター > の構成プロファイル] を開き、[スコープ > のターゲット] を選択します。Open Computers > Configuration Profiles, and select Scope > Targets. 目的のデバイスを選びます。From there, select the devices you want to target.

構成プロファイルスコープのスクリーンショット

構成プロファイルを保存します。Save the Configuration Profile.

[ログ] タブを使用して、登録されている各デバイスの展開状態を監視します。Use the Logs tab to monitor deployment status for each enrolled device.

通知の設定Notification settings

MacOS 10.15 (Catalina) 以降では、ユーザーが UI に通知を表示することを手動で許可する必要があります。Starting in macOS 10.15 (Catalina) a user must manually allow to display notifications in UI. Defender と自動更新の通知を自動的に有効にするには、次のように mobileconfig を別の構成プロファイルにインポートして、Defender を使用してすべてのデバイスに割り当てることができます。To auto-enable notifications from Defender and Auto Update, you can import the .mobileconfig below into a separate configuration profile and assign it to all devices with Defender:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0"><dict><key>PayloadContent</key><array><dict><key>NotificationSettings</key><array><dict><key>AlertType</key><integer>2</integer><key>BadgesEnabled</key><true/><key>BundleIdentifier</key><string>com.microsoft.autoupdate2</string><key>CriticalAlertEnabled</key><false/><key>GroupingType</key><integer>0</integer><key>NotificationsEnabled</key><true/><key>ShowInLockScreen</key><false/><key>ShowInNotificationCenter</key><true/><key>SoundsEnabled</key><true/></dict><dict><key>AlertType</key><integer>2</integer><key>BadgesEnabled</key><true/><key>BundleIdentifier</key><string>com.microsoft.wdav.tray</string><key>CriticalAlertEnabled</key><false/><key>GroupingType</key><integer>0</integer><key>NotificationsEnabled</key><true/><key>ShowInLockScreen</key><false/><key>ShowInNotificationCenter</key><true/><key>SoundsEnabled</key><true/></dict></array><key>PayloadDescription</key><string/><key>PayloadDisplayName</key><string>notifications</string><key>PayloadEnabled</key><true/><key>PayloadIdentifier</key><string>BB977315-E4CB-4915-90C7-8334C75A7C64</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadType</key><string>com.apple.notificationsettings</string><key>PayloadUUID</key><string>BB977315-E4CB-4915-90C7-8334C75A7C64</string><key>PayloadVersion</key><integer>1</integer></dict></array><key>PayloadDescription</key><string/><key>PayloadDisplayName</key><string>mdatp - allow notifications</string><key>PayloadEnabled</key><true/><key>PayloadIdentifier</key><string>85F6805B-0106-4D23-9101-7F1DFD5EA6D6</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadRemovalDisallowed</key><false/><key>PayloadScope</key><string>System</string><key>PayloadType</key><string>Configuration</string><key>PayloadUUID</key><string>85F6805B-0106-4D23-9101-7F1DFD5EA6D6</string><key>PayloadVersion</key><integer>1</integer></dict></plist>

PackagePackage

  1. [設定] でパッケージを作成し、[コンピューターの管理 > パッケージ] > ます。Create a package in Settings > Computer Management > Packages.

    コンピューター管理パッケージのスクリーンショット

  2. パッケージを配布ポイントにアップロードします。Upload the package to the Distribution Point.

  3. [ファイル名] フィールドに、パッケージの名前を入力します。In the filename field, enter the name of the package. たとえば、 _wdav_などです。For example, wdav.pkg.

ポリシーPolicy

ポリシーには、Microsoft Defender 用の1つのパッケージが含まれている必要があります。Your policy should contain a single package for Microsoft Defender.

Microsoft Defender パッケージのスクリーンショット

このポリシーを適用するコンピューターを指定するように、適切なスコープを構成します。Configure the appropriate scope to specify the computers that will receive this policy.

構成プロファイルを保存した後で、[ログ] タブを使用して、登録されている各デバイスの展開状態を監視できます。After you save the Configuration Profile, you can use the Logs tab to monitor the deployment status for each enrolled device.

クライアントデバイスのセットアップClient device setup

MacOS コンピュータでは、標準の JAMF 登録以外に特別なプロビジョニングは必要ありません。You'll need no special provisioning for a macOS computer, beyond the standard JAMF Enrollment.

注意

コンピューターが登録されると、コンピューターのインベントリ ([すべてのコンピューター]) に表示されます。After a computer is enrolled, it will show up in the Computers inventory (All Computers).

  • [全般] タブの [デバイスプロファイル] を開き、[ User 承認 MDM ] が [はい] に設定されていることを確認します。Open Device Profiles, from the General tab, and make sure that User Approved MDM is set to Yes. 現在 [いいえ] に設定されている場合は、ユーザーはシステム環境設定 > プロファイルを開き、MDM プロファイルで [承認] を選択する必要があります。If it's currently set to No, the user needs to open System Preferences > Profiles and select Approve on the MDM Profile.

    MDM 承認のボタンのスクリーンショット
    MDM のスクリーンショット

    しばらくすると、デバイスのユーザー承認 MDM の状態は [はい] に変わります。After a moment, the device's User Approved MDM status will change to Yes.

    MDM の状態のスクリーンショット

    これで、追加のデバイスを登録できるようになりました。You may now enroll additional devices. また、システム構成とアプリケーションパッケージのプロビジョニングが完了した後で、後で登録することもできます。You may also enroll them later, after you have finished provisioning system configuration and application packages.

展開Deployment

登録クライアントデバイスでは、JAMF Server を定期的にポーリングし、検出され次第、新しい構成プロファイルとポリシーをインストールします。Enrolled client devices periodically poll the JAMF Server, and install new configuration profiles and policies as soon as they are detected.

サーバーの状態Status on the server

[ログ] タブで展開の状態を監視できます。You can monitor deployment status in the Logs tab:

  • [保留中] は、展開がスケジュールされているが、まだ完了していないことを意味します。Pending means that the deployment is scheduled but has not yet happened
  • [完了] は、展開が成功し、スケジュールが終了したことを意味します。Completed means that the deployment succeeded and is no longer scheduled

サーバーの状態を示すスクリーンショット

クライアントデバイスの状態Status on client device

構成プロファイルを展開すると、[システム環境設定プロファイル] でデバイスのプロファイルが表示され > > ます。After the Configuration Profile is deployed, you'll see the profile for the device in System Preferences > Profiles >.

クライアントの状態を示すスクリーンショット

ポリシーが適用されると、右上隅の macOS のステータスバーに Microsoft Defender ATP アイコンが表示されます。Once the policy is applied, you'll see the Microsoft Defender ATP icon in the macOS status bar in the top-right corner.

ステータスバーのスクリーンショットの Microsoft Defender アイコン

JAMF ログファイルに従って、デバイスでポリシーのインストールを監視できます。You can monitor policy installation on a device by following the JAMF log file:

    tail -f /var/log/jamf.log
    Thu Feb 21 11:11:41 mavel-mojave jamf[7960]: No patch policies were found.
    Thu Feb 21 11:16:41 mavel-mojave jamf[8051]: Checking for policies triggered by "recurring check-in" for user "testuser"...
    Thu Feb 21 11:16:43 mavel-mojave jamf[8051]: Executing Policy WDAV
    Thu Feb 21 11:17:02 mavel-mojave jamf[8051]: Installing Microsoft Defender...
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: Successfully installed Microsoft Defender.
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: Checking for patches...
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: No patch policies were found.

オンボードの状態を確認することもできます。You can also check the onboarding status:

mdatp --health
...
licensed                                : true
orgId                                   : "4751b7d4-ea75-4e8f-a1f5-6d640c65bc45"
...
  • ライセンス: デバイスに ATP のライセンスがあることを確認します。licensed: This confirms that the device has an ATP license.

  • orgid: MICROSOFT Defender ATP 組織 id組織によって異なります。orgid: Your Microsoft Defender ATP org id; it will be the same for your organization.

オンボードの状態を確認するCheck onboarding status

スクリプトを作成することで、デバイスが正しく onboarded されていることを確認できます。You can check that devices have been correctly onboarded by creating a script. たとえば、次のスクリプトでは、オンボード状態の登録済みデバイスを確認します。For example, the following script checks enrolled devices for onboarding status:

mdatp --health healthy

このコマンドを実行すると、製品が onboarded され、予期したとおりに機能している場合は、"1" が印刷されます。The above command prints "1" if the product is onboarded and functioning as expected.

製品が正常でない場合は、終了コード (チェックマークが付いているもの echo $? ) に問題があることが示されます。If the product is not healthy, the exit code (which can be checked through echo $?) indicates the problem:

  • デバイスがまだ onboarded ていない場合は00 if the device is not yet onboarded
  • 3: デーモンが実行されていない場合など、デーモンへの接続が確立できない場合3 if the connection to the daemon cannot be established—for example, if the daemon is not running

インストールの問題をログに記録するLogging installation issues

エラーが発生したときにインストーラーによって作成される自動生成されたログを見つける方法について詳しくは、「インストールの問題をログに記録する」をご覧ください。See Logging installation issues for more information on how to find the automatically generated log that is created by the installer when an error occurs.

アンインストールUninstallation

この方法は、「アンインストール」で説明しているスクリプトに基づいています。This method is based on the script described in Uninstalling.

スクリプトScript

[設定] でスクリプトを作成し、[コンピューターの管理 > スクリプト] > ます。Create a script in Settings > Computer Management > Scripts.

このスクリプトは、/アプリケーションディレクトリから Microsoft Defender ATP を削除します。This script removes Microsoft Defender ATP from the /Applications directory:

   #!/bin/bash

   echo "Is WDAV installed?"
   ls -ld '/Applications/Microsoft Defender ATP.app' 2>/dev/null

   echo "Uninstalling WDAV..."
   rm -rf '/Applications/Microsoft Defender ATP.app'

   echo "Is WDAV still installed?"
   ls -ld '/Applications/Microsoft Defender ATP.app' 2>/dev/null

   echo "Done!"

Microsoft Defender のアンインストールのスクリーンショット

ポリシーPolicy

ポリシーには、1つのスクリプトを含める必要があります。Your policy should contain a single script:

Microsoft Defender アンインストールスクリプトのスクリーンショット

[スコープ] タブで適切なスコープを構成して、このポリシーを受け取るデバイスを指定します。Configure the appropriate scope in the Scope tab to specify the devices that will receive this policy.