Wdrażanie za pomocą innego systemu Zarządzanie urządzeniami mobilnego (MDM) dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zapoznaj się z głównym Ochrona punktu końcowego w usłudze Microsoft Defender na stronie systemu macOS, aby zapoznać się z opisem wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Podejście

Uwaga

Obecnie firma Microsoft oficjalnie obsługuje tylko Intune i JAMF na potrzeby wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender i zarządzania nimi w systemie macOS. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do informacji podanych poniżej.

Jeśli Twoja organizacja korzysta z rozwiązania mobile Zarządzanie urządzeniami (MDM), które nie jest oficjalnie obsługiwane, nie oznacza to, że nie możesz wdrażać ani uruchamiać Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS nie zależy od żadnych funkcji specyficznych dla dostawcy. Może być używany z dowolnym rozwiązaniem MDM, które obsługuje następujące funkcje:

  • Wdrażanie .pkg systemu macOS na urządzeniach zarządzanych.
  • Wdrażanie profilów konfiguracji systemu macOS na urządzeniach zarządzanych.
  • Uruchamianie dowolnego narzędzia/skryptu skonfigurowanego przez administratora na urządzeniach zarządzanych.

Większość nowoczesnych rozwiązań MDM obejmuje te funkcje, jednak mogą one wywoływać je inaczej.

Można jednak wdrożyć usługę Defender for Endpoint bez ostatniego wymagania z poprzedniej listy:

  • Nie będzie można zbierać stanu w scentralizowany sposób.
  • Jeśli zdecydujesz się odinstalować usługę Defender for Endpoint, musisz zalogować się lokalnie na urządzeniu klienckim jako administrator.

Wdrożenie

Większość rozwiązań MDM używa tego samego modelu do zarządzania urządzeniami z systemem macOS z podobną terminologią. Użyj wdrożenia opartego na narzędziu JAMF jako szablonu.

Pakiet

Skonfiguruj wdrożenie wymaganego pakietu aplikacji z pakietem instalacyjnym (wdav.pkg) pobranym z portalu Microsoft Defender.

Ostrzeżenie

Ponowne pakowanie pakietu instalacyjnego usługi Defender for Endpoint nie jest obsługiwanym scenariuszem. Może to negatywnie wpłynąć na integralność produktu i prowadzić do niekorzystnych wyników, w tym między innymi do wyzwalania niestosowania alertów i aktualizacji powodujących naruszenie.

Aby wdrożyć pakiet w przedsiębiorstwie, skorzystaj z instrukcji skojarzonych z rozwiązaniem MDM.

Ustawienia licencji

Skonfiguruj profil konfiguracji systemu.

Rozwiązanie MDM może nazwać je "profilem ustawień niestandardowych", ponieważ Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS nie jest częścią systemu macOS.

Użyj listy właściwości jamf/WindowsDefenderATPOnboarding.plist, którą można wyodrębnić z pakietu dołączania pobranego z portalu Microsoft Defender. System może obsługiwać dowolną listę właściwości w formacie XML. Plik jamf/WindowsDefenderATPOnboarding.plist można przekazać w takim przypadku. Alternatywnie może wymagać najpierw przekonwertowania listy właściwości na inny format.

Zazwyczaj profil niestandardowy ma identyfikator, nazwę lub atrybut domeny. Dla tej wartości należy użyć dokładnie "com.microsoft.wdav.atp". Rozwiązanie MDM używa go do wdrożenia pliku ustawień w pliku /Library/Managed Preferences/com.microsoft.wdav.atp.plist na urządzeniu klienckim, a usługa Defender for Endpoint używa tego pliku do ładowania informacji o dołączaniu.

Profile konfiguracji systemu

System macOS wymaga, aby użytkownik ręcznie i jawnie zatwierdzał niektóre funkcje używane przez aplikację, na przykład rozszerzenia systemowe, uruchomione w tle, wysyłanie powiadomień, pełny dostęp do dysku itp. Ochrona punktu końcowego w usłudze Microsoft Defender korzysta z tych funkcji i nie może prawidłowo działać, dopóki nie zostaną odebrane wszystkie te zgody od użytkownika.

Aby udzielić zgody automatycznie w imieniu użytkownika, administrator wypycha zasady systemowe za pośrednictwem systemu MDM. Jest to zdecydowanie zalecane, zamiast polegać na ręcznych zatwierdzeniach od użytkowników końcowych.

Podajemy wszystkie zasady, które Ochrona punktu końcowego w usłudze Microsoft Defender wymagane jako pliki mobileconfig dostępne pod adresem https://github.com/microsoft/mdatp-xplat. Mobileconfig to format importu/eksportu firmy Apple, który jest obsługiwany przez program Apple Configurator lub inne produkty, takie jak iMazing Profile Redaktor.

Większość dostawców oprogramowania MDM obsługuje importowanie pliku mobileconfig, który tworzy nowy niestandardowy profil konfiguracji.

Aby skonfigurować profile:

  1. Dowiedz się, jak odbywa się importowanie mobileconfig z dostawcą rozwiązania MDM.
  2. Dla wszystkich profilów z https://github.com/microsoft/mdatp-xplatprogramu pobierz plik mobileconfig i zaimportuj go.
  3. Przypisz odpowiedni zakres dla każdego utworzonego profilu konfiguracji.

Należy pamiętać, że firma Apple regularnie tworzy nowe typy ładunków z nowymi wersjami systemu operacyjnego. Po udostępnieniu tej strony musisz odwiedzić wspomnianą powyżej stronę i opublikować nowe profile. Gdy wprowadzimy podobne zmiany, opublikujemy powiadomienia na naszej stronie Co nowego .

Ustawienia konfiguracji usługi Defender for Endpoint

Do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender konfiguracji potrzebny jest profil konfiguracji.

Poniższe kroki pokazują, jak zastosować i zweryfikować zastosowanie profilu konfiguracji.

1. Usługa MDM wdraża profil konfiguracji na zarejestrowanych maszynach Można wyświetlać profile w profilach ustawień > systemu. Poszukaj nazwy użytej do Ochrona punktu końcowego w usłudze Microsoft Defender profilu ustawień konfiguracji. Jeśli go nie widzisz, zapoznaj się z dokumentacją rozwiązania MDM, aby uzyskać wskazówki dotyczące rozwiązywania problemów.

2. Profil konfiguracji jest wyświetlany w prawidłowym pliku

Ochrona punktu końcowego w usłudze Microsoft Defender odczyty /Library/Managed Preferences/com.microsoft.wdav.plist i /Library/Managed Preferences/com.microsoft.wdav.ext.plist pliki. Używa tylko tych dwóch plików dla ustawień zarządzanych.

Jeśli nie widzisz tych plików, ale zweryfikowano, że profile zostały dostarczone (zobacz poprzednią sekcję), oznacza to, że profile są nieprawidłowo skonfigurowane. Ten profil konfiguracji został ustawiony jako "Poziom użytkownika" zamiast "Poziom komputera" lub użyto innej domeny preferencji zamiast tych, których Ochrona punktu końcowego w usłudze Microsoft Defender oczekuje ("com.microsoft.wdav" i "com.microsoft.wdav.ext").

Zapoznaj się z dokumentacją rozwiązania MDM, aby dowiedzieć się, jak skonfigurować profile konfiguracji aplikacji.

3. Profil konfiguracji zawiera oczekiwaną strukturę

Ten krok może być trudny do zweryfikowania. Ochrona punktu końcowego w usłudze Microsoft Defender oczekuje, że plik com.microsoft.wdav.plist ma ścisłą strukturę. W przypadku umieszczenia ustawień w nieoczekiwanym miejscu lub ich błędnego wpisania lub użycia nieprawidłowego typu ustawienia są ignorowane w trybie dyskretnym.

  1. Możesz sprawdzić mdatp health i potwierdzić, że skonfigurowane ustawienia są zgłaszane jako [managed].
  2. Możesz sprawdzić zawartość elementu /Library/Managed Preferences/com.microsoft.wdav.plist i upewnić się, że jest ona zgodna z oczekiwanymi ustawieniami:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Można użyć udokumentowanej struktury profilu konfiguracji jako wytycznych.

W tym artykule wyjaśniono, że ustawienia "antivirusEngine", "edr", "tamperProtection" są ustawieniami na najwyższym poziomie pliku konfiguracji. Na przykład "scanHistoryMaximumItems" są na drugim poziomie i mają typ liczby całkowitej.

Te informacje powinny być widoczne w danych wyjściowych poprzedniego polecenia. Jeśli okaże się, że "antivirusEngine" jest zagnieżdżony w innym ustawieniu — profil jest błędnie skonfigurowany. Jeśli widzisz komunikat "antivirusengine" zamiast "antivirusEngine", nazwa jest błędnie napisana, a całe poddrzewo ustawień jest ignorowane. Jeśli "scanHistoryMaximumItems" => "10000"użyto nieprawidłowego typu i ustawienie zostanie zignorowane.

Sprawdź, czy wszystkie profile są wdrożone

Możesz pobrać i uruchomić analyze_profiles.py. Ten skrypt będzie zbierać i analizować wszystkie profile wdrożone na maszynie i ostrzegać o pominiętych profilach. Należy pamiętać, że może on pominąć niektóre błędy i nie jest świadomy niektórych decyzji projektowych, które administratorzy systemu podejmują celowo. Użyj tego skryptu, aby uzyskać wskazówki, ale zawsze sprawdzaj, czy coś jest oznaczone jako błąd. Na przykład przewodnik dołączania informuje o wdrożeniu profilu konfiguracji na potrzeby dołączania obiektu blob. Jednak niektóre organizacje zamiast tego decydują się na uruchomienie skryptu ręcznego dołączania. analyze_profile.py ostrzega o nieodebranym profilu. Możesz zdecydować się na dołączenie za pośrednictwem profilu konfiguracji lub całkowicie pominąć ostrzeżenie.

Sprawdzanie stanu instalacji

Uruchom Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu klienckim, aby sprawdzić stan dołączania.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.