別のモバイルデバイス管理 (MDM) システム (Microsoft Defender for Mac 用) での展開Deployment with a different Mobile Device Management (MDM) system for Microsoft Defender for Endpoint for Mac

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象Applies to:

前提条件とシステム要件Prerequisites and system requirements

作業を開始する前に、現在のソフトウェアバージョンの前提条件とシステム要件の説明については、「 Mac 用のエンドポイント用 Microsoft Defender のメインページ」ページ を参照してください。Before you get started, see the main Microsoft Defender for Endpoint for Mac page for a description of prerequisites and system requirements for the current software version.

やりApproach

注意事項

現時点では、Microsoft oficially は、エンドポイント for Mac の Microsoft Defender の展開と管理のために、Intune と JAMF のみをサポートしています。Currently, Microsoft oficially supports only Intune and JAMF for the deployment and management of Microsoft Defender for Endpoint for Mac. Microsoft は、以下に記載されている情報について、明示または黙示を表明するものではありません。Microsoft makes no warranties, express or implied, with respect to the information provided below.

組織で、正式にサポートされていないモバイルデバイス管理 (MDM) ソリューションを使用している場合は、Mac 用のエンドポイントに対して Microsoft Defender を展開または実行できないというわけではありません。If your organization uses a Mobile Device Management (MDM) solution that is not officially supported, this does not mean you are unable to deploy or run Microsoft Defender for Endpoint for Mac.

Mac 用の Microsoft Defender は、ベンダー固有の機能に依存していません。Microsoft Defender for Endpoint for Mac does not depend on any vendor-specific features. この機能は、次の機能をサポートする任意の MDM ソリューションと共に使用できます。It can be used with any MDM solution that supports the following features:

  • 管理対象のデバイスに macOS を展開します。Deploy a macOS .pkg to managed devices.
  • MacOS システム構成プロファイルを管理対象デバイスに展開します。Deploy macOS system configuration profiles to managed devices.
  • 管理対象デバイスで、管理者によって構成された任意のツール/スクリプトを実行します。Run an arbitrary admin-configured tool/script on managed devices.

最新の MDM ソリューションには、これらの機能が含まれていますが、別の方法で呼び出すこともできます。Most modern MDM solutions include these features, however, they may call them differently.

前の一覧の最後の要件がない場合は、Defender を展開できます。ただし、次のようになります。You can deploy Defender without the last requirement from the preceding list, however:

  • 一元的な方法で状態を収集することはできません。You will not be able to collect status in a centralized way
  • Defender をアンインストールする場合は、管理者としてクライアントデバイスにローカルでログオンする必要があります。If you decide to uninstall Defender, you will need to log on to the client device locally as an administrator

展開Deployment

ほとんどの MDM ソリューションは、同じような用語を持つ macOS デバイスの管理に同じモデルを使用しています。Most MDM solutions use the same model for managing macOS devices, with similar terminology. テンプレートとして JAMF ベースの展開 を使用します。Use JAMF-based deployment as a template.

PackagePackage

Microsoft Defender セキュリティセンターからダウンロードしたインストールパッケージ (wdav) を使用して、必要なアプリケーションパッケージの展開を構成します。Configure deployment of a required application package, with the installation package (wdav.pkg) downloaded from Microsoft Defender Security Center.

パッケージを企業に展開するには、MDM ソリューションに関連付けられた指示に従ってください。In order to deploy the package to your enterprise, use the instructions associated with your MDM solution.

ライセンス設定License settings

システム構成プロファイルを設定します。Set up a system configuration profile. MDM ソリューションは、"Custom Settings Profile" のような方法で呼び出すことができます。これは、Mac 用のエンドポイントの Microsoft Defender が macOS の一部ではないためです。Your MDM solution may call it something like "Custom Settings Profile", as Microsoft Defender for Endpoint for Mac is not part of macOS.

Jamf/WindowsDefenderATPOnboarding プロパティリストを使用します。これは、 Microsoft Defender セキュリティセンターからダウンロードしたオンボードパッケージから抽出できます。Use the property list, jamf/WindowsDefenderATPOnboarding.plist, which can be extracted from an onboarding package downloaded from Microsoft Defender Security Center. システムで XML 形式の任意のプロパティリストがサポートされている可能性があります。Your system may support an arbitrary property list in XML format. Jamf/WindowsDefenderATPOnboarding ファイルは、その場合に限りアップロードできます。You can upload the jamf/WindowsDefenderATPOnboarding.plist file as-is in that case. または、最初にプロパティリストを別の形式に変換する必要がある場合もあります。Alternatively, it may require you to convert the property list to a different format first.

通常、カスタムプロファイルには、ID、name、または domain 属性があります。Typically, your custom profile has an ID, name, or domain attribute. この値を指定するには、厳密に ".com dav" atp "を使用する必要があります。You must use exactly "com.microsoft.wdav.atp" for this value. MDM は、これを使用して、設定ファイルをクライアントデバイス上の/Dns/管理された 設定/com に展開します。 Defender は、このファイルを使って、オンボード情報を読み込みます。MDM uses it to deploy the settings file to /Library/Managed Preferences/com.microsoft.wdav.atp.plist on a client device, and Defender uses this file for loading the onboarding information.

カーネル拡張ポリシーKernel extension policy

KEXT またはカーネル拡張ポリシーを設定します。Set up a KEXT or kernel extension policy. Microsoft によって提供されるカーネル拡張機能を許可するには、チーム識別子 ubf8t346g9.office を使用します。Use team identifier UBF8T346G9 to allow kernel extensions provided by Microsoft.

システム拡張ポリシーSystem extension policy

システム拡張ポリシーを設定します。Set up a system extension policy. チーム識別子 ubf8t346g9.office を使用し、次のバンドル識別子を承認します。Use team identifier UBF8T346G9 and approve the following bundle identifiers:

  • epsext (.com)com.microsoft.wdav.epsext
  • 「.com、wdav」 netextcom.microsoft.wdav.netext

フルディスクアクセスポリシーFull disk access policy

次のコンポーネントにディスクへのフルアクセスを許可します。Grant Full Disk Access to the following components:

  • Microsoft Defender for EndpointMicrosoft Defender for Endpoint

    • 識別子Identifier: com.microsoft.wdav
    • 識別子の種類: バンドル IDIdentifier Type: Bundle ID
    • コード要件: 識別子 ".com. wdav" and anchor apple generic and certificate 1 [1.2.840.113635.100.6.2.6]/\ * exists \ */証明書のリーフ [1.2.840.113635.100.6.1.13]/\ * exists \ */証明書のリーフ [件名]OU 名 = UBF8T346G9.OFFICECode Requirement: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  • エンドポイントエンドポイントのセキュリティ拡張機能用の Microsoft DefenderMicrosoft Defender for Endpoint Endpoint Security Extension

    • 識別子Identifier: com.microsoft.wdav.epsext
    • 識別子の種類: バンドル IDIdentifier Type: Bundle ID
    • コード要件: 識別子 "epsext"、および apple generic and certificate 1 [1.2.840.113635.100.6.2.6]/* exists /証明書リーフ [field. 1.2.840.113635.100.6.1.13] /* exists */証明書のリーフ [件名] を選びます。OU 名 = UBF8T346G9.OFFICECode Requirement: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = UBF8T346G9

ネットワーク拡張ポリシーNetwork extension policy

エンドポイントの検出と応答の機能の一部として、Mac 用 Microsoft Defender は、ソケットトラフィックを検査し、この情報を Microsoft Defender セキュリティセンターポータルに報告します。As part of the Endpoint Detection and Response capabilities, Microsoft Defender for Endpoint for Mac inspects socket traffic and reports this information to the Microsoft Defender Security Center portal. 次のポリシーでは、ネットワーク拡張機能でこの機能を実行できます。The following policy allows the network extension to perform this functionality.

  • フィルターの種類: プラグインFilter type: Plugin
  • プラグインバンドル識別子:Plugin bundle identifier: com.microsoft.wdav
  • フィルターデータプロバイダーバンドル識別子:Filter data provider bundle identifier: com.microsoft.wdav.netext
  • フィルターデータプロバイダーの指定要件: 識別子 "1.2.840.113635.100.6.2.6"、"1.2.840.113635.100.6.1.13"、"certificate リーフ"、"certificate リーフ"、"certificate リーフ"、"certificate リーフ "、"exists */証明書のリーフ [件名]。OU 名 = UBF8T346G9.OFFICEFilter data provider designated requirement: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = UBF8T346G9
  • フィルターソケット:Filter sockets: true

インストールの状態を確認するCheck installation status

クライアントデバイスの エンドポイントに対して Microsoft Defender を 実行して、オンボードの状態を確認します。Run Microsoft Defender for Endpoint on a client device to check the onboarding status.