Wdrażanie przy użyciu innego systemu Zarządzanie urządzeniami mobilnego (MDM) dla Ochrona punktu końcowego w usłudze Microsoft Defender na macOS

Dotyczy:

Chcesz poznać usługę Defender for Endpoint? Utwórz konto bezpłatnej wersji próbnej.

Wymagania wstępne i wymagania systemowe

Przed rozpoczęciem zapoznaj się z głównym Ochrona punktu końcowego w usłudze Microsoft Defender na stronie macOS, aby zapoznać się z opisem wymagań wstępnych i wymagań systemowych dotyczących bieżącej wersji oprogramowania.

Podejście

Przestroga

Obecnie firma Microsoft oficjalnie obsługuje tylko Intune i JAMF na potrzeby wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender i zarządzania nimi na macOS. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do informacji podanych poniżej.

Jeśli Twoja organizacja korzysta z rozwiązania mobile Zarządzanie urządzeniami (MDM), które nie jest oficjalnie obsługiwane, nie oznacza to, że nie możesz wdrożyć ani uruchomić Ochrona punktu końcowego w usłudze Microsoft Defender na macOS.

Ochrona punktu końcowego w usłudze Microsoft Defender na macOS nie zależy od żadnych funkcji specyficznych dla dostawcy. Może być używany z dowolnym rozwiązaniem MDM, które obsługuje następujące funkcje:

  • Wdrażanie macOS .pkg na zarządzanych urządzeniach.
  • Wdrażanie profilów konfiguracji systemu macOS na urządzeniach zarządzanych.
  • Uruchamianie dowolnego narzędzia/skryptu skonfigurowanego przez administratora na urządzeniach zarządzanych.

Większość nowoczesnych rozwiązań MDM obejmuje te funkcje, jednak mogą one wywoływać je inaczej.

Można jednak wdrożyć usługę Defender for Endpoint bez ostatniego wymagania z poprzedniej listy:

  • Nie będzie można zbierać stanu w scentralizowany sposób.
  • Jeśli zdecydujesz się odinstalować usługę Defender for Endpoint, musisz zalogować się lokalnie na urządzeniu klienckim jako administrator.

Wdrożenie

Większość rozwiązań MDM używa tego samego modelu do zarządzania urządzeniami macOS z podobną terminologią. Użyj wdrożenia opartego na narzędziu JAMF jako szablonu.

Pakiet

Skonfiguruj wdrożenie wymaganego pakietu aplikacji z pakietem instalacyjnym (wdav.pkg) pobranym z portalu Microsoft 365 Defender.

Aby wdrożyć pakiet w przedsiębiorstwie, skorzystaj z instrukcji skojarzonych z rozwiązaniem MDM.

Ustawienia licencji

Skonfiguruj profil konfiguracji systemu.

Rozwiązanie MDM może nazywać je "profilem niestandardowym Ustawienia", ponieważ Ochrona punktu końcowego w usłudze Microsoft Defender na macOS nie jest częścią macOS.

Użyj listy właściwości jamf/WindowsDefenderATPOnboarding.plist, którą można wyodrębnić z pakietu dołączania pobranego z portalu Microsoft 365 Defender. System może obsługiwać dowolną listę właściwości w formacie XML. Plik jamf/WindowsDefenderATPOnboarding.plist można przekazać w takim przypadku. Alternatywnie może wymagać najpierw przekonwertowania listy właściwości na inny format.

Zazwyczaj profil niestandardowy ma identyfikator, nazwę lub atrybut domeny. Dla tej wartości należy użyć dokładnie "com.microsoft.wdav.atp". Rozwiązanie MDM używa go do wdrożenia pliku ustawień w pliku /Library/Managed Preferences/com.microsoft.wdav.atp.plist na urządzeniu klienckim, a usługa Defender for Endpoint używa tego pliku do ładowania informacji o dołączaniu.

Zasady rozszerzenia jądra

Skonfiguruj zasady rozszerzenia KEXT lub jądra. Użyj identyfikatora zespołu UBF8T346G9 , aby zezwolić na rozszerzenia jądra udostępniane przez firmę Microsoft.

Przestroga

Jeśli środowisko składa się z urządzeń z systemem Apple Silicon (M1), te maszyny nie powinny otrzymywać profilów konfiguracji z zasadami KEXT. Firma Apple nie obsługuje rozwiązania KEXT na tych maszynach. Wdrożenie takiego profilu nie powiedzie się na maszynach M1.

Zasady rozszerzenia systemu

Skonfiguruj zasady rozszerzenia systemu. Użyj identyfikatora zespołu UBF8T346G9 i zatwierdź następujące identyfikatory pakietów:

  • com.microsoft.wdav.epsext
  • com.microsoft.wdav.netext

Zasady dostępu do pełnego dysku

Udziel pełnego dostępu do dysku następującym składnikom:

  • Ochrona punktu końcowego w usłudze Microsoft Defender

    • Identyfikator: com.microsoft.wdav
    • Typ identyfikatora: identyfikator pakietu
    • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  • rozszerzenie zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender

    • Identyfikator: com.microsoft.wdav.epsext
    • Typ identyfikatora: identyfikator pakietu
    • Wymaganie dotyczące kodu: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

Zasady rozszerzenia sieci

W ramach funkcji wykrywania punktów końcowych i reagowania Ochrona punktu końcowego w usłudze Microsoft Defender na macOS sprawdza ruch gniazd i zgłasza te informacje do portalu Microsoft 365 Defender. Poniższe zasady umożliwiają rozszerzeniu sieci wykonywanie tej funkcji.

  • Typ filtru: wtyczka
  • Identyfikator pakietu wtyczki: com.microsoft.wdav
  • Identyfikator pakietu dostawcy danych filtru: com.microsoft.wdav.netext
  • Wymaganie wyznaczone przez dostawcę danych filtrowania: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  • Gniazda filtru: true

Sprawdzanie stanu instalacji

Uruchom Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu klienckim, aby sprawdzić stan dołączania.