De Microsoft Defender voor Eindpunt voor macOS-beleid instellen in Jamf Pro

  • Artikel

Van toepassing op:

Deze pagina begeleidt u bij de stappen die u moet uitvoeren om macOS-beleid in Jamf Pro in te stellen.

Voer de volgende stappen uit:

  1. Het onboardingpakket voor Microsoft Defender voor Eindpunt ophalen
  2. Een configuratieprofiel maken in Jamf Pro met behulp van het onboarding-pakket
  3. Microsoft Defender voor Eindpunt-instellingen configureren
  4. Instellingen voor Microsoft Defender voor Eindpunt-meldingen configureren
  5. Microsoft AutoUpdate (MAU) configureren
  6. Volledige schijftoegang verlenen aan Microsoft Defender voor Eindpunt
  7. Systeemextensies goedkeuren voor Microsoft Defender voor Eindpunt
  8. Netwerkextensie configureren
  9. Achtergrondservices configureren
  10. Bluetooth-machtigingen verlenen
  11. Scans plannen met Microsoft Defender voor Eindpunt in macOS
  12. Microsoft Defender voor Eindpunt implementeren in macOS

Stap 1: het Microsoft Defender voor Eindpunt onboardingpakket ophalen

  1. Ga in Microsoft Defender XDR naar Instellingen > Eindpunten > Onboarding.

  2. Selecteer macOS als het besturingssysteem en Mobile Apparaatbeheer/Microsoft Intune als de implementatiemethode.

    De pagina Instellingen.

  3. Selecteer Onboarding-pakket downloaden (WindowsDefenderATPOnboardingPackage.zip).

  4. Pak uit WindowsDefenderATPOnboardingPackage.zip.

  5. Kopieer het bestand naar de gewenste locatie. Bijvoorbeeld C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Stap 2: een configuratieprofiel maken in Jamf Pro met behulp van het onboardingpakket

  1. Zoek het bestand WindowsDefenderATPOnboarding.plist uit de vorige sectie.

    Het Windows Defender ATP-onboardingbestand.

  2. Meld u aan bij Jamf Pro, navigeer naarComputerconfiguratieprofielen> en selecteer Nieuw.

    De pagina waarop u een nieuw Jamf Pro-dashboard maakt.

  3. Voer de volgende gegevens in op het tabblad Algemeen :

    • Naam: MDE onboarding voor macOS
    • Beschrijving: MDE EDR-onboarding voor macOS
    • Categorie: Geen
    • Distributiemethode: automatisch installeren
    • Niveau: Computerniveau

  4. Ga naar de pagina Toepassing & Aangepaste instellingen en selecteer Toevoegen uploaden>.

    De configuratie-app en aangepaste instellingen.

  5. Selecteer Bestand uploaden (PLIST-bestand) en voer in Voorkeursdomein het volgende in: com.microsoft.wdav.atp.

    Het jamfpro plist-uploadbestand.

    Het bestand met de eigenschap Lijstbestand uploaden.

  6. Selecteer Openen en selecteer het onboardingbestand.

    Het onboarding-bestand.

  7. Selecteer Uploaden.

    Het plist-bestand dat wordt geüpload.

  8. Selecteer het tabblad Bereik .

    Het tabblad Bereik.

  9. Selecteer de doelcomputers.

    De doelcomputers.

    De doelen.

  10. Klik op Opslaan.

    De implementatie van doelcomputers.

    De selectie van doelcomputers.

  11. Selecteer Gereed.

    De computers van een doelgroep.

    De lijst met configuratieprofielen.

Stap 3: Microsoft Defender voor Eindpunt-instellingen configureren

U kunt de JAMF Pro-GUI gebruiken om afzonderlijke instellingen van de Microsoft Defender voor Eindpunt configuratie te bewerken of de verouderde methode gebruiken door een configuratie-Plist te maken in een teksteditor en deze te uploaden naar JAMF Pro.

Houd er rekening mee dat u exact com.microsoft.wdav moet gebruiken als het voorkeursdomein, Microsoft Defender voor Eindpunt alleen deze naam gebruikt en com.microsoft.wdav.ext om de beheerde instellingen te laden!

(De com.microsoft.wdav.ext versie kan in zeldzame gevallen worden gebruikt wanneer u liever de GUI-methode gebruikt, maar ook een instelling moet configureren die nog niet aan het schema is toegevoegd.)

GUI-methode

  1. Download schema.json bestand uit de GitHub-opslagplaats van Defender en sla het op in een lokaal bestand:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Maak een nieuw configuratieprofiel onder Computers -> Configuratieprofielen en voer de volgende details in op het tabblad Algemeen :

    Een nieuw profiel.

    • Naam: MDATP MDAV-configuratie-instellingen
    • Beschrijving:<leeg>
    • Categorie: Geen (standaard)
    • Niveau: Computerniveau (standaard)
    • Distributiemethode: Automatisch installeren (standaard)

  3. Schuif omlaag naar het tabblad Toepassing & Aangepaste instellingen , selecteer Externe toepassingen, klik op Toevoegen en gebruik Aangepast schema als bron om te gebruiken voor het voorkeursdomein.

    Aangepast schema toevoegen.

  4. Voer in com.microsoft.wdav als voorkeursdomein, selecteer Schema toevoegen en upload het schema.json bestand dat u in stap 1 hebt gedownload. Klik op Opslaan.

    Schema uploaden.

  5. Hieronder vindt u alle ondersteunde configuratie-instellingen voor Microsoft Defender voor Eindpunt, onder Eigenschappen van voorkeursdomein. Klik op Eigenschappen toevoegen/verwijderen om de instellingen te selecteren die u wilt beheren en klik op OK om uw wijzigingen op te slaan. (Instellingen die niet zijn geselecteerd, worden niet opgenomen in de beheerde configuratie. Een eindgebruiker kan deze instellingen op de computer configureren.)

    De gekozen beheerde instellingen.

  6. Wijzig de waarden van de instellingen in de gewenste waarden. U kunt op Meer informatie klikken om documentatie voor een bepaalde instelling op te halen. (U kunt op Plist preview klikken om te controleren hoe de configuratie-plist eruitziet. Klik op Formuliereditor om terug te keren naar de visuele editor.)

    De pagina waarop u de instellingenwaarden wijzigt.

  7. Selecteer het tabblad Bereik .

    Het bereik van het configuratieprofiel.

  8. Selecteer De machinegroep van Contoso.

  9. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De pagina waarop u de configuratie-instellingen kunt toevoegen.

    De pagina waarop u de configuratie-instellingen kunt opslaan.

  10. Selecteer Gereed. U ziet het nieuwe configuratieprofiel.

    De pagina waarop u de configuratie-instellingen voltooit.

Microsoft Defender voor Eindpunt voegt in de loop van de tijd nieuwe instellingen toe. Deze nieuwe instellingen worden toegevoegd aan het schema en er wordt een nieuwe versie gepubliceerd naar GitHub. Het enige wat u hoeft te doen om updates te hebben, is een bijgewerkt schema downloaden, een bestaand configuratieprofiel bewerken en Schema bewerken op het tabblad Toepassing & Aangepaste instellingen .

Verouderde methode

  1. Gebruik de volgende Microsoft Defender voor Eindpunt configuratie-instellingen:

    • enableRealTimeProtection
    • passiveMode

    Opmerking

    Niet standaard ingeschakeld. Als u van plan bent om een AV van derden voor macOS uit te voeren, stelt u deze in op true.

    • Uitsluitingen
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats

    Opmerking

    EICAR is opgenomen in de steekproef, als u een proof-of-concept doorloopt, verwijder deze dan vooral als u EICAR test.

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • Tags
    • hideStatusMenuIcon

    Zie Eigenschappenlijst voor het volledige JAMF-configuratieprofiel voor meer informatie.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Sla het bestand op als MDATP_MDAV_configuration_settings.plist.

  3. Open computers en hun configuratieprofielen in het Jamf Pro-dashboard. Klik op Nieuw en ga naar het tabblad Algemeen .

    De pagina waarop een nieuw profiel wordt weergegeven.

  4. Voer de volgende gegevens in op het tabblad Algemeen :

    • Naam: MDATP MDAV-configuratie-instellingen
    • Beschrijving:<leeg>
    • Categorie: Geen (standaard)
    • Distributiemethode: Automatisch installeren (standaard)
    • Niveau: Computerniveau (standaard)

  5. Selecteer in Toepassings- & Aangepaste instellingende optie Configureren.

    De MDATP MDAV-configuratie-instellingen.

    De toepassing en aangepaste instellingen.

  6. Selecteer Bestand uploaden (PLIST-bestand).

    Het plist-bestand met configuratie-instellingen.

  7. Voer in Voorkeurendomein in com.microsoft.wdaven selecteer vervolgens PLIST-bestand uploaden.

    Het voorkeurendomein voor configuratie-instellingen.

  8. Selecteer Bestand kiezen.

    De prompt om het plist-bestand te kiezen.

  9. Selecteer de MDATP_MDAV_configuration_settings.plist en selecteer vervolgens Openen.

    De configuratie-instellingen voor mdatpmdav.

  10. Selecteer Uploaden.

    De configuratie-instelling uploaden.

    De vraag om de installatiekopieën te uploaden die betrekking hebben op de configuratie-instellingen.

    Opmerking

    Als u het Intune-bestand uploadt, krijgt u de volgende fout:

    De vraag om het Intune-bestand te uploaden met betrekking tot de configuratie-instellingen.

  11. Klik op Opslaan.

    De optie voor het opslaan van de installatiekopieën met betrekking tot de configuratie-instellingen.

  12. Het bestand wordt geüpload.

    Het geüploade bestand met betrekking tot de configuratie-instellingen.

    De pagina configuratie-instellingen.

  13. Selecteer het tabblad Bereik .

    Het bereik voor de configuratie-instellingen.

  14. Selecteer De machinegroep van Contoso.

  15. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De configuratie-instellingen addsav.

    De melding van configuratie-instellingen.

  16. Selecteer Gereed. U ziet het nieuwe configuratieprofiel.

    Afbeelding van configuratie-instellingen configuratieprofielafbeelding.De instellingen van het configuratieprofiel.

Stap 4: instellingen voor meldingen configureren

Deze stappen zijn van toepassing op macOS 11 (Big Sur) of hoger.

  1. Selecteer in het Jamf Pro-dashboard de optie Computers en vervolgens Configuratieprofielen.

  2. Klik op Nieuw en voer de volgende details in op het tabblad Algemeen voor Opties:

    • Naam: MDATP MDAV-meldingsinstellingen
    • Beschrijving: macOS 11 (Big Sur) of hoger
    • Categorie: Geen (standaard)
    • Distributiemethode: Automatisch installeren (standaard)
    • Niveau: Computerniveau (standaard)

    De nieuwe macOS-configuratieprofielpagina.

    • Tab Meldingen, klik op Toevoegen en voer de volgende waarden in:

      • Bundel-id: com.microsoft.wdav.tray
      • Kritieke waarschuwingen: klik op Uitschakelen
      • Meldingen: klik op Inschakelen
      • Waarschuwingstype banner: Selecteer Opnemen en Tijdelijk(standaard)
      • Meldingen op het vergrendelingsscherm: klik op Verbergen
      • Meldingen in het meldingencentrum: klik op Weergeven
      • Pictogram van badge-app: klik op Beeldscherm

      De configuratie-instellingen mdatpmdav-meldingenvak.

    • Tabblad Meldingen, klik nogmaals op Toevoegen , schuif omlaag naar Instellingen voor nieuwe meldingen

      • Bundel-id: com.microsoft.autoupdate.fba
      • Configureer de rest van de instellingen op dezelfde waarden als hierboven

      De configuratie-instellingen mdatpmdav-meldingen mau.

      U hebt nu twee 'tabellen' met meldingsconfiguraties, één voor bundel-id: com.microsoft.wdav.tray en een andere voor bundel-id: com.microsoft.autoupdate.fba. Hoewel u waarschuwingsinstellingen kunt configureren op basis van uw vereisten, moeten bundel-id's exact hetzelfde zijn als eerder is beschreven en moet de schakeloptie Opnemenaan zijn voor meldingen.

  3. Selecteer het tabblad Bereik en selecteer vervolgens Toevoegen.

    De pagina waarop u waarden voor de configuratie-instellingen kunt toevoegen.

  4. Selecteer De machinegroep van Contoso.

  5. Selecteer Toevoegen en selecteer vervolgens Opslaan.

    De pagina waarop u waarden kunt opslaan voor de configuratie-instellingen contoso-machinegroep.

    De pagina waarop de voltooiingsmelding van de configuratie-instellingen wordt weergegeven.

  6. Selecteer Gereed. U ziet het nieuwe configuratieprofiel.

    De voltooide configuratie-instellingen.

Stap 5: Microsoft AutoUpdate (MAU) configureren

  1. Gebruik de volgende Microsoft Defender voor Eindpunt configuratie-instellingen:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. Sla het op als MDATP_MDAV_MAU_settings.plist.

  3. Selecteer algemeen in het Jamf Pro-dashboard.

    De configuratie-instellingen.

  4. Voer de volgende gegevens in op het tabblad Algemeen :

    • Naam: MDATP MDAV MAU-instellingen
    • Beschrijving: Microsoft AutoUpdate-instellingen voor MDATP voor macOS
    • Categorie: Geen (standaard)
    • Distributiemethode: Automatisch installeren (standaard)
    • Niveau: Computerniveau(standaard)

  5. Selecteer in Toepassings- & Aangepaste instellingende optie Configureren.

    De toepassing voor configuratie-instellingen en aangepaste instellingen.

  6. Selecteer Bestand uploaden (PLIST-bestand).

  7. Voer in Voorkeursdomein in: com.microsoft.autoupdate2en selecteer vervolgens PLIST-bestand uploaden.

    Het voorkeursdomein van de configuratie-instelling.

  8. Selecteer Bestand kiezen.

    De vraag om het bestand te kiezen met betrekking tot de configuratie-instelling.

  9. Selecteer MDATP_MDAV_MAU_settings.plist.

    De mdatpmdavmau-instellingen.

  10. Selecteer Uploaden. Het uploaden van het bestand met betrekking tot de configuratie-instelling.

    De pagina met de uploadoptie voor het bestand met betrekking tot de configuratie-instelling.

  11. Klik op Opslaan.

    De pagina met de optie opslaan voor het bestand met betrekking tot de configuratie-instelling.

  12. Selecteer het tabblad Bereik .

    Het tabblad Bereik voor de configuratie-instellingen.

  13. Kies Toevoegen.

    De optie voor het toevoegen van implementatiedoelen.

    De pagina waarop u meer waarden toevoegt aan de configuratie-instellingen.

    De pagina waarop u meer waarden kunt toevoegen aan de configuratie-instellingen.

  14. Selecteer Gereed.

    De voltooiingsmelding met betrekking tot de configuratie-instellingen.

Stap 6: volledige schijftoegang verlenen aan Microsoft Defender voor Eindpunt

  1. Selecteer configuratieprofielen in het Jamf Pro-dashboard.

    Het profiel waarvoor instellingen moeten worden geconfigureerd.

  2. Selecteer + Nieuw.

  3. Voer de volgende gegevens in op het tabblad Algemeen :

    • Naam: MDATP MDAV - volledige schijftoegang verlenen aan EDR en AV
    • Beschrijving: Op macOS 11 (Big Sur) of hoger, het nieuwe besturingselement voor het beleid voor privacyvoorkeuren
    • Categorie: Geen
    • Distributiemethode: Automatisch installeren
    • Niveau: Computerniveau

    De configuratie-instelling in het algemeen.

  4. Selecteer in Beleidsbeheer voor privacyvoorkeuren configurerende optie Configureren.

    Het besturingselement voor het configuratieprivacybeleid.

  5. Voer in Beleidsbeheer voor privacyvoorkeuren de volgende details in:

    • Id: com.microsoft.wdav
    • Id-type: Bundel-id
    • Codevereiste: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Details van het beheer van het privacyvoorkeurbeleid voor de configuratie-instelling.

  6. Selecteer + Toevoegen.

    Met de configuratie-instelling kunt u de optie Systeembeleid alle bestanden toevoegen.

    • Onder App of service: Instellen op SystemPolicyAllFiles

    • Onder 'toegang': stel in op Toestaan

  7. Selecteer Opslaan (niet de optie rechtsonder).

    De bewerking opslaan voor de configuratie-instelling.

  8. Klik op het + teken naast App-toegang om een nieuw item toe te voegen.

    De opslagbewerking met betrekking tot de configuratie-instelling.

  9. Voer de volgende gegevens in:

    • Id: com.microsoft.wdav.epsext
    • Id-type: Bundel-id
    • Codevereiste: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Selecteer + Toevoegen.

    De configuratie-instelling tcc epsext-vermelding.

    • Onder App of service: Instellen op SystemPolicyAllFiles

    • Onder 'toegang': stel in op Toestaan

  11. Selecteer Opslaan (niet de optie rechtsonder).

    Het andere exemplaar van configuratie-instelling tcc epsext.

  12. Selecteer het tabblad Bereik .

    De pagina met het bereik voor de configuratie-instelling.

  13. Selecteer + Toevoegen.

    De pagina met de configuratie-instelling.

  14. Selecteer Computergroepen> onder Groepsnaam> , selecteer MachineGroep van Contoso.

    De configuratie-instelling contoso-machinegroep.

  15. Kies Toevoegen.

  16. Klik op Opslaan.

  17. Selecteer Gereed.

    De configuratie-instelling contoso machine-group.

    De afbeelding van de configuratie-instelling.

U kunt ook fulldisk.mobileconfig downloaden en uploaden naar JAMF-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Opmerking

Volledige schijftoegang verleend via Apple MDM-configuratieprofiel wordt niet weergegeven in Systeeminstellingen => Privacy & Beveiliging => Volledige schijftoegang.

Stap 7: Systeemextensies goedkeuren voor Microsoft Defender voor Eindpunt

  1. Selecteer + Nieuw in de configuratieprofielen.

    De beschrijving van de automatisch gegenereerde social media post.

  2. Voer de volgende gegevens in op het tabblad Algemeen :

    • Naam: MDATP MDAV-systeemextensies
    • Beschrijving: MDATP-systeemextensies
    • Categorie: Geen
    • Distributiemethode: automatisch installeren
    • Niveau: Computerniveau

    De configuratie-instellingen sysext nieuw profiel.

  3. Selecteer in Systeemextensiesde optie Configureren.

    Het deelvenster met de optie Configureren voor de systeemextensies.

  4. Voer in Systeemextensies de volgende gegevens in:

    • Weergavenaam: Microsoft Corp. Systeemextensies
    • Typen systeemuitbreidingen: toegestane systeemextensies
    • Team-id: UBF8T346G9
    • Toegestane systeemextensies:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Het deelvenster MDATP MDAV-systeemextensies.

  5. Selecteer het tabblad Bereik .

    Het selectievenster Doelcomputers.

  6. Selecteer + Toevoegen.

  7. Selecteer Computergroepen> onder Groepsnaam> selecteer De computergroep van Contoso.

  8. Selecteer + Toevoegen.

    Het deelvenster Nieuw macOS-configuratieprofiel.

  9. Klik op Opslaan.

    De weergave van opties met betrekking tot MDATP MDAV-systeemextensies.

  10. Selecteer Gereed.

    De configuratie-instellingen sysext - final.

Stap 8: Netwerkextensie configureren

Als onderdeel van de mogelijkheden voor eindpuntdetectie en -respons inspecteert Microsoft Defender voor Eindpunt in macOS socketverkeer en rapporteert deze informatie aan de Microsoft Defender portal. Met het volgende beleid kan de netwerkextensie deze functionaliteit uitvoeren.

Deze stappen zijn van toepassing op macOS 11 (Big Sur) of hoger.

  1. Selecteer in het Jamf Pro-dashboard de optie Computers en vervolgens Configuratieprofielen.

  2. Klik op Nieuw en voer de volgende details in voor Opties:

    • Tabblad Algemeen:

      • Naam: Microsoft Defender Netwerkextensie
      • Beschrijving: macOS 11 (Big Sur) of hoger
      • Categorie: Geen (standaard)
      • Distributiemethode: Automatisch installeren (standaard)
      • Niveau: Computerniveau (standaard)

    • Tabinhoudsfilter:

      • Filternaam: Microsoft Defender inhoudsfilter
      • Id: com.microsoft.wdav
      • Laat serviceadres, organisatie, gebruikersnaam, wachtwoord, certificaat leeg (Opnemen is niet geselecteerd)
      • Filtervolgorde: Inspector
      • Socketfilter: com.microsoft.wdav.netext
      • Vereiste voor socketfilter: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Laat velden voor netwerkfilter leeg (Opnemen is niet geselecteerd)

      Houd er rekening mee dat id, socketfilter en socketfilter de exacte waarden van vereiste hebben zoals hierboven is opgegeven.

      De configuratie-instelling mdatpmdav.

  3. Selecteer het tabblad Bereik .

    Het tabblad Configuratie-instellingen sco.

  4. Selecteer + Toevoegen.

  5. Selecteer Computergroepen> onder Groepsnaam> selecteer De computergroep van Contoso.

  6. Selecteer + Toevoegen.

    De configuratie-instellingen adim.

  7. Klik op Opslaan.

    Het deelvenster Inhoudsfilter.

  8. Selecteer Gereed.

    De configuratie-instellingen netext - definitief.

U kunt ook netfilter.mobileconfig downloaden en uploaden naar JAMF-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met Jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Stap 9: Achtergrondservices configureren

Voorzichtigheid

macOS 13 (Ventura) bevat nieuwe privacyverbeteringen. Vanaf deze versie kunnen toepassingen standaard niet op de achtergrond worden uitgevoerd zonder expliciete toestemming. Microsoft Defender voor Eindpunt moet het daemonproces op de achtergrond uitvoeren.

Dit configuratieprofiel verleent Background Service-machtigingen aan Microsoft Defender voor Eindpunt. Als u eerder Microsoft Defender voor Eindpunt hebt geconfigureerd via JAMF, raden we u aan de implementatie bij te werken met dit configuratieprofiel.

Download background_services.mobileconfig uit onze GitHub-opslagplaats.

Gedownloade mobileconfig uploaden naar JAMF-configuratieprofielen, zoals beschreven in Aangepaste configuratieprofielen implementeren met jamf Pro|Methode 2: Upload een configuratieprofiel naar Jamf Pro.

Stap 10: Bluetooth-machtigingen verlenen

Voorzichtigheid

macOS 14 (Sonoma) bevat nieuwe privacyverbeteringen. Vanaf deze versie hebben toepassingen standaard geen toegang tot Bluetooth zonder expliciete toestemming. Microsoft Defender voor Eindpunt gebruikt dit als u Bluetooth-beleid configureert voor Apparaatbeheer.

Download bluetooth.mobileconfig uit de GitHub-opslagplaats.

Waarschuwing

De huidige versie van JAMF Pro biedt nog geen ondersteuning voor dit soort nettolading. Als u deze mobileconfig as-is uploadt, verwijdert JAMF Pro niet-ondersteunde nettolading en wordt deze niet toegepast op clientcomputers. U moet eerst de gedownloade mobileconfig ondertekenen, waarna JAMF Pro het als 'verzegeld' beschouwt en er niet mee zal knoeien. Zie de onderstaande instructies:

  • U moet ten minste één handtekeningcertificaat in uw sleutelhanger hebben geïnstalleerd, zelfs een zelfondertekend certificaat werkt. U kunt controleren wat u hebt met:
> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found
  • Kies een van deze opties en geef de aan geciteerde tekst op als de parameter -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Opmerking

Bluetooth verleend via Apple MDM-configuratieprofiel wordt niet weergegeven in Systeeminstellingen => Privacy & Beveiliging => Bluetooth.

Stap 11: scans plannen met Microsoft Defender voor Eindpunt in macOS

Volg de instructies in Scans plannen met Microsoft Defender voor Eindpunt in macOS.

Stap 12: Microsoft Defender voor Eindpunt implementeren in macOS

Opmerking

In de volgende stappen zijn de naam van het .pkg bestand en de weergavenaamwaarden voorbeelden. In deze voorbeelden 200329 vertegenwoordigt de datum waarop het pakket en beleid zijn gemaakt (in yymmdd indeling) en v100.86.92 de versie van de Microsoft Defender toepassing die wordt geïmplementeerd. Deze waarden moeten worden bijgewerkt om te voldoen aan de naamgevingsconventie die u in uw omgeving gebruikt voor pakketten en beleid.

  1. Navigeer naar de locatie waar u hebt opgeslagen wdav.pkg.

    Het verkenner wdav-pakket.

  2. Wijzig de naam in wdav_MDM_Contoso_200329.pkg.

    Het verkenner1 wdavmdm-pakket.

  3. Open het Jamf Pro-dashboard.

    De configuratie-instellingen voor jamfpro.

  4. Selecteer uw computer, klik op het tandwielpictogram bovenaan en selecteer vervolgens Computerbeheer.

    De configuratie-instellingen : computerbeheer.

  5. Selecteer in Pakketten de optie + Nieuw. De vogelbeschrijving voor een automatisch gegenereerd pakket.

  6. Voer op het tabblad Algemeen de volgende gegevens in bij Nieuw pakket:

    • Weergavenaam: laat deze voorlopig leeg. Omdat deze opnieuw wordt ingesteld wanneer u uw pkg kiest.
    • Categorie: Geen (standaard)
    • Bestandsnaam: Bestand kiezen

    Het tabblad Algemeen voor configuratie-instellingen.

    Open het bestand en wijs het naar wdav.pkg of wdav_MDM_Contoso_200329.pkg.

    Het computerscherm met de beschrijving van een automatisch gegenereerd pakket.

  7. Selecteer Openen. Stel de weergavenaam in op Microsoft Defender Advanced Threat Protection en Microsoft Defender Antivirus.

    Manifestbestand is niet vereist. Microsoft Defender voor Eindpunt werkt zonder manifestbestand.

    Tabblad Opties: Standaardwaarden behouden.

    Tabblad Beperkingen: standaardwaarden behouden.

    Het tabblad Beperking voor de configuratie-instellingen.

  8. Klik op Opslaan. Het pakket wordt geüpload naar Jamf Pro.

    Het uploadproces van het configuratie-instellingenpakket voor het pakket met betrekking tot de configuratie-instellingen.

    Het kan enkele minuten duren voordat het pakket beschikbaar is voor implementatie.

    Een exemplaar van het uploaden van het pakket voor configuratie-instellingen.

  9. Ga naar de pagina Beleid .

    Het beleid voor configuratie-instellingen.

  10. Selecteer + Nieuw om een nieuw beleid te maken.

    Het nieuwe beleid voor configuratie-instellingen.

  11. Voer in Algemeen de weergavenaam MDATP Onboarding Contoso in 200329 v100.86.92 of hoger.

    De configuratie-instellingen - MDATP onboarden.

  12. Selecteer Terugkerend inchecken.

    De terugkerende check-in voor de configuratie-instellingen.

  13. Klik op Opslaan.

  14. Selecteer Pakketten > configureren.

    De optie voor het configureren van pakketten.

  15. Selecteer de knop Toevoegen naast Microsoft Defender Advanced Threat Protection en Microsoft Defender Antivirus.

    De optie om meer instellingen toe te voegen aan MDATP MDA.

  16. Klik op Opslaan.

    De optie opslaan voor de configuratie-instellingen.

  17. Maak een slimme groep voor machines met Microsoft Defender profielen.

    Voor een betere gebruikerservaring moeten configuratieprofielen voor ingeschreven machines worden geïnstalleerd voordat het pakket van Microsoft Defender. In de meeste gevallen pusht JAMF Prof onmiddellijk configuratieprofielen, welke beleidsregels na enige tijd (bijvoorbeeld tijdens het inchecken) worden uitgevoerd.

    In sommige gevallen kan de implementatie van configuratieprofielen echter met een aanzienlijke vertraging worden geïmplementeerd (bijvoorbeeld als de computer van een gebruiker is vergrendeld).

    JAMF Pro biedt een manier om de juiste volgorde te garanderen. U kunt een slimme groep maken voor machines die het configuratieprofiel van Microsoft Defender al hebben ontvangen en het pakket van Microsoft Defender alleen op die computers installeren (en zodra ze dit profiel hebben ontvangen!)

    Maak hiervoor eerst een slimme groep. Open in het nieuwe browservenster Smart Computers-groepen in het linkermenu op Nieuw. Wijs een naam toe, ga naar het tabblad Criteria en klik op Geavanceerde criteriatoevoegen en weergeven.

    Selecteer Profielnaam als criterium en gebruik de naam van een eerder gemaakt configuratieprofiel als Waarde:

    Een slimme groep maken.

    Klik op Opslaan. Ga terug naar het venster waarin u een pakketbeleid configureert.

  18. Selecteer het tabblad Bereik .

    Het tabblad Bereik met betrekking tot de configuratie-instellingen.

  19. Selecteer de doelcomputers.

    De optie voor het toevoegen van computergroepen.

    Selecteer onder Bereikde optie Toevoegen.

    De configuratie-instellingen - ad1.

    Ga naar het tabblad Computergroepen . Zoek de slimme groep die u hebt gemaakt en voeg deze toe .

    De configuratie-instellingen - ad2.

    Selecteer Selfservice als u wilt dat gebruikers Microsoft Defender vrijwillig installeren, op aanvraag.

    Het tabblad Selfservice voor configuratie-instellingen.

  20. Selecteer Gereed.

    De onboardingstatus van Contoso met een optie om deze te voltooien.

    De pagina met beleidsregels.

Bereik van configuratieprofiel

Voor JAMF moet u een set computers definiëren voor een configuratieprofiel. U moet ervoor zorgen dat alle computers die het pakket van Defender ontvangen, ook alle configuratieprofielen ontvangen die hierboven worden vermeld.

Waarschuwing

JAMF ondersteunt Smart Computer Groups die implementatie toestaan, zoals configuratieprofielen of beleidsregels op alle computers die voldoen aan bepaalde criteria die dynamisch worden geëvalueerd. Het is een krachtig concept dat veel wordt gebruikt voor de distributie van configuratieprofielen.

Houd er echter rekening mee dat deze criteria de aanwezigheid van Defender op een computer niet mogen omvatten. Hoewel het gebruik van dit criterium logisch klinkt, creëert het problemen die moeilijk te diagnosticeren zijn.

Defender vertrouwt op al deze profielen op het moment van de installatie. Het maken van configuratieprofielen afhankelijk van de aanwezigheid van Defender vertraagt de implementatie van configuratieprofielen en resulteert in een initieel beschadigd product en/of prompts voor handmatige goedkeuring van bepaalde toepassingsmachtigingen, die anders automatisch worden goedgekeurd door profielen.

Het implementeren van een beleid met het pakket van Microsoft Defender na het implementeren van configuratieprofielen zorgt voor de beste ervaring van de eindgebruiker, omdat alle vereiste configuraties worden toegepast voordat het pakket wordt geïnstalleerd.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.