JAMF ベースの Microsoft Defender ATP for Mac の展開

適用対象

このトピックでは、JAMF 経由で Microsoft Defender ATP for Mac を展開する方法について説明します。 展開を成功させるには、次のすべての手順を完了する必要があります。

前提条件とシステム要件

開始する前に、「 Microsoft DEFENDER ATP For Mac のメインページ」ページで、現在のソフトウェアバージョンの前提条件とシステム要件の説明を参照してください。

さらに、JAMF の展開については、JAMF の管理タスク、JAMF テナント、パッケージの展開方法について理解しておく必要があります。 これには、適切に構成された配布ポイントが含まれます。 JAMF には、同じタスクを実行するためのさまざまな方法があります。 次の手順では、一般的なプロセスの例を示します。 組織では、別のワークフローを使用している可能性があります。

インストールとオンボードパッケージをダウンロードする

Microsoft Defender セキュリティセンターからインストールとオンボードパッケージをダウンロードします。

  1. Microsoft Defender セキュリティセンターで、[設定 > コンピューターの管理 > オンボード] に移動します。
  2. ページのセクション1で、オペレーティングシステムをLinux、macOS、iOS、または Androidに設定します。
  3. 展開方法を [モバイルデバイス管理]/[Microsoft Intune] に設定します。

    注意

    JamF は [モバイルデバイス管理] の下にあります。

  4. ページのセクション2で、[インストールパッケージのダウンロード] を選びます。 ローカルディレクトリに_wdav_として保存します。

  5. ページのセクション2で、[オンボードパッケージのダウンロード] を選びます。 同じディレクトリに_WindowsDefenderATPOnboardingPackage_として保存します。

    Microsoft Defender セキュリティセンターのスクリーンショット

  6. コマンドプロンプトで、2つのファイルがあることを確認します。 次のように .zip ファイルの内容を抽出します。

    $ ls -l
    total 721160
    -rw-r--r--  1 test  staff      11821 Mar 15 09:23 WindowsDefenderATPOnboardingPackage.zip
    -rw-r--r--  1 test  staff  354531845 Mar 13 08:57 wdav.pkg
    $ unzip WindowsDefenderATPOnboardingPackage.zip
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
    inflating: intune/kext.xml
     inflating: intune/WindowsDefenderATPOnboarding.xml
     inflating: jamf/WindowsDefenderATPOnboarding.plist
    

JAMF ポリシーを作成する

構成プロファイルとポリシーを作成する必要があります。これは、クライアントデバイスへの Microsoft Defender ATP の展開を開始するためのポリシーです。

構成プロファイル

構成プロファイルには、次の情報を含むカスタム設定ペイロードが含まれています。

  • Microsoft Defender ATP for Mac のオンボード情報
  • Microsoft Kernel ドライバーの実行を有効にするための、承認されたカーネル拡張ペイロード

オンボード情報を設定するには、 _jamf/WindowsDefenderATPOnboarding_という名前のプロパティリストファイルをカスタム設定として追加します。 この操作を行うには、[コンピューター>の構成プロファイル] に移動し、[新規] を選択して、[カスタム設定>の構成] を選択します。 そこから、プロパティリストをアップロードできます。

重要

プレファレンスドメインを ".com dav" として設定する必要があります。

構成プロファイルのスクリーンショット

承認されたカーネル拡張機能

カーネル拡張機能を承認するには:

  1. [コンピューター] > 構成プロファイルで、[許可されたカーネル拡張機能 > オプション] を選択します。
  2. チーム Id にはubf8t346g9.officeを使用します。

    承認されたカーネル拡張機能のスクリーンショット

プライバシー設定ポリシーの制御

注意事項

macOS 10.15 (Catalina) には、新しいセキュリティ機能とプライバシー強化が含まれています。 このバージョン以降、既定では、アプリケーションは、明示的な同意なしに、ディスク上の特定の場所 (ドキュメント、ダウンロード、デスクトップなど) にはアクセスできません。 この同意がない場合、Microsoft Defender ATP は、お使いのデバイスを完全に保護することはできません。

以前に Microsoft Defender ATP から JAMF を構成した場合は、次の構成を適用することをお勧めします。

次の JAMF ポリシーを追加して、Microsoft Defender ATP へのフルディスクアクセスを許可します。

  1. プライバシー設定ポリシーコントロール > オプションを選びます。
  2. 任意の識別子と識別子の種類 = バンドルを使用します。
  3. コードの要件をidentifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9に設定します。
  4. App または service を SystemPolicyAllFiles に設定して、アクセス許可を付与します。

    プライバシー設定ポリシーの制御

構成プロファイルのスコープ

構成プロファイルを受け取るデバイスを指定するように、適切なスコープを構成します。

[コンピューター > の構成プロファイル] を開き、[スコープ > のターゲット] を選択します。 目的のデバイスを選びます。

構成プロファイルスコープのスクリーンショット

構成プロファイルを保存します。

[ログ] タブを使用して、登録されている各デバイスの展開状態を監視します。

通知の設定

MacOS 10.15 (Catalina) 以降では、ユーザーが UI に通知を表示することを手動で許可する必要があります。 Defender と自動更新の通知を自動的に有効にするには、次のように mobileconfig を別の構成プロファイルにインポートして、Defender を使用してすべてのコンピューターに割り当てることができます。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0"><dict><key>PayloadContent</key><array><dict><key>NotificationSettings</key><array><dict><key>AlertType</key><integer>2</integer><key>BadgesEnabled</key><true/><key>BundleIdentifier</key><string>com.microsoft.autoupdate2</string><key>CriticalAlertEnabled</key><false/><key>GroupingType</key><integer>0</integer><key>NotificationsEnabled</key><true/><key>ShowInLockScreen</key><false/><key>ShowInNotificationCenter</key><true/><key>SoundsEnabled</key><true/></dict><dict><key>AlertType</key><integer>2</integer><key>BadgesEnabled</key><true/><key>BundleIdentifier</key><string>com.microsoft.wdavtray</string><key>CriticalAlertEnabled</key><false/><key>GroupingType</key><integer>0</integer><key>NotificationsEnabled</key><true/><key>ShowInLockScreen</key><false/><key>ShowInNotificationCenter</key><true/><key>SoundsEnabled</key><true/></dict></array><key>PayloadDescription</key><string/><key>PayloadDisplayName</key><string>notifications</string><key>PayloadEnabled</key><true/><key>PayloadIdentifier</key><string>BB977315-E4CB-4915-90C7-8334C75A7C64</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadType</key><string>com.apple.notificationsettings</string><key>PayloadUUID</key><string>BB977315-E4CB-4915-90C7-8334C75A7C64</string><key>PayloadVersion</key><integer>1</integer></dict></array><key>PayloadDescription</key><string/><key>PayloadDisplayName</key><string>mdatp - allow notifications</string><key>PayloadEnabled</key><true/><key>PayloadIdentifier</key><string>85F6805B-0106-4D23-9101-7F1DFD5EA6D6</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadRemovalDisallowed</key><false/><key>PayloadScope</key><string>System</string><key>PayloadType</key><string>Configuration</string><key>PayloadUUID</key><string>85F6805B-0106-4D23-9101-7F1DFD5EA6D6</string><key>PayloadVersion</key><integer>1</integer></dict></plist>

Package

  1. [設定] でパッケージを作成し、[コンピューターの管理 > パッケージ] > ます。

    コンピューター管理パッケージのスクリーンショット

  2. パッケージを配布ポイントにアップロードします。

  3. [ファイル名] フィールドに、パッケージの名前を入力します。 たとえば、 _wdav_などです。

ポリシー

ポリシーには、Microsoft Defender 用の1つのパッケージが含まれている必要があります。

Microsoft Defender パッケージのスクリーンショット

このポリシーを適用するコンピューターを指定するように、適切なスコープを構成します。

構成プロファイルを保存した後で、[ログ] タブを使用して、登録されている各デバイスの展開状態を監視できます。

クライアントデバイスのセットアップ

MacOS コンピュータでは、標準の JAMF 登録以外に特別なプロビジョニングは必要ありません。

注意

コンピューターが登録されると、コンピューターのインベントリ ([すべてのコンピューター]) に表示されます。

  • [全般] タブの [デバイスプロファイル] を開き、[ User 承認 MDM ] が [はい] に設定されていることを確認します。 現在 [いいえ] に設定されている場合は、ユーザーはシステム環境設定 > プロファイルを開き、MDM プロファイルで [承認] を選択する必要があります。

    MDM 承認のボタンのスクリーンショット
    MDM のスクリーンショット

    しばらくすると、デバイスのユーザー承認 MDM の状態は [はい] に変わります。

    MDM の状態のスクリーンショット

    これで、追加のデバイスを登録できるようになりました。 また、システム構成とアプリケーションパッケージのプロビジョニングが完了した後で、後で登録することもできます。

展開

登録クライアントデバイスでは、JAMF Server を定期的にポーリングし、検出され次第、新しい構成プロファイルとポリシーをインストールします。

サーバーの状態

[ログ] タブで展開の状態を監視できます。

  • [保留中] は、展開がスケジュールされているが、まだ完了していないことを意味します。
  • [完了] は、展開が成功し、スケジュールが終了したことを意味します。

サーバーの状態を示すスクリーンショット

クライアントデバイスの状態

構成プロファイルを展開すると、[システム環境設定 > プロファイル] でデバイスのプロファイルが表示され >ます。

クライアントの状態を示すスクリーンショット

ポリシーが適用されると、右上隅の macOS のステータスバーに Microsoft Defender ATP アイコンが表示されます。

ステータスバーのスクリーンショットの Microsoft Defender アイコン

JAMF ログファイルに従って、デバイスでポリシーのインストールを監視できます。

    $ tail -f /var/log/jamf.log
    Thu Feb 21 11:11:41 mavel-mojave jamf[7960]: No patch policies were found.
    Thu Feb 21 11:16:41 mavel-mojave jamf[8051]: Checking for policies triggered by "recurring check-in" for user "testuser"...
    Thu Feb 21 11:16:43 mavel-mojave jamf[8051]: Executing Policy WDAV
    Thu Feb 21 11:17:02 mavel-mojave jamf[8051]: Installing Microsoft Defender...
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: Successfully installed Microsoft Defender.
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: Checking for patches...
    Thu Feb 21 11:17:23 mavel-mojave jamf[8051]: No patch policies were found.

オンボードの状態を確認することもできます。

$ mdatp --health
...
licensed                                : true
orgId                                   : "4751b7d4-ea75-4e8f-a1f5-6d640c65bc45"
...
  • ライセンス: デバイスに ATP のライセンスがあることを確認します。

  • orgid: MICROSOFT Defender ATP 組織 id組織によって異なります。

オンボードの状態を確認する

スクリプトを作成することで、デバイスが正しく onboarded されていることを確認できます。 たとえば、次のスクリプトでは、オンボード状態の登録済みデバイスを確認します。

$ mdatp --health healthy

このコマンドを実行すると、製品が onboarded され、予期したとおりに機能している場合は、"1" が印刷されます。

製品が正常でない場合は、終了コード (チェックマークが付いてecho $?いるもの) に問題があることが示されます。

  • デバイスがまだ onboarded ていない場合は0
  • 3: デーモンが実行されていない場合など、デーモンへの接続が確立できない場合

インストールの問題をログに記録する

エラーが発生したときにインストーラーによって作成される自動生成されたログを見つける方法について詳しくは、「インストールの問題をログに記録する」をご覧ください。

アンインストール

この方法は、「アンインストール」で説明しているスクリプトに基づいています。

スクリプト

[設定] でスクリプトを作成し、[コンピューターの管理 > スクリプト] > ます。

このスクリプトは、/アプリケーションディレクトリから Microsoft Defender ATP を削除します。

   #!/bin/bash

   echo "Is WDAV installed?"
   ls -ld '/Applications/Microsoft Defender ATP.app' 2>/dev/null

   echo "Uninstalling WDAV..."
   rm -rf '/Applications/Microsoft Defender ATP.app'

   echo "Is WDAV still installed?"
   ls -ld '/Applications/Microsoft Defender ATP.app' 2>/dev/null

   echo "Done!"

Microsoft Defender のアンインストールのスクリーンショット

ポリシー

ポリシーには、1つのスクリプトを含める必要があります。

Microsoft Defender アンインストールスクリプトのスクリーンショット

[スコープ] タブで適切なスコープを構成して、このポリシーを受け取るコンピューターを指定します。