Поделиться через

Настройка Microsoft Defender для конечной точки в политиках macOS в Jamf Pro

  • Статья

Область применения:

Используйте эту статью, чтобы настроить политики для Defender для конечной точки на Mac с помощью Jamf Pro.

Шаг 1. Получение пакета подключения Microsoft Defender для конечной точки

  1. В Microsoft Defender XDR перейдите в раздел Подключение конечных >> точек параметров.

  2. Выберите macOS в качестве операционной системы и мобильные Управление устройствами / Microsoft Intune в качестве метода развертывания.

    Страница

  3. Выберите Скачать пакет подключения (WindowsDefenderATPOnboardingPackage.zip).

  4. Извлеките .WindowsDefenderATPOnboardingPackage.zip

  5. Скопируйте файл в предпочитаемое расположение. Например, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Шаг 2. Create профиль конфигурации в Jamf Pro с помощью пакета подключения

  1. Найдите файл WindowsDefenderATPOnboarding.plist из предыдущего раздела.

    Файл подключения Защитник Windows ATP.

  2. Войдите в Jamf Pro, перейдитевраздел Профили конфигурации компьютеров> и выберите Создать.

    Страница, на которой создается новая панель мониторинга Jamf Pro.

  3. Введите следующие сведения на вкладке Общие :

    • Имя: MDE onboarding for macOS
    • Описание: MDE EDR onboarding for macOS
    • Категория: None
    • Метод распространения: Install Automatically
    • Уровень: Computer Level

  4. Перейдите на страницу Application & Custom Settings (Пользовательские параметры приложения ), нажмите кнопку Отправить, а затем нажмите кнопку Добавить.

    Приложение конфигурации и пользовательские параметры.

  5. Выберите Отправить файл (PLIST-файл), а затем в поле Домен предпочтения введите com.microsoft.wdav.atp.

    Файл отправки plist jamfpro.

    Файл списка свойств файла отправки.

  6. Нажмите кнопку Открыть и выберите файл подключения.

    Файл подключения.

  7. Выберите Добавить.

    Файл plist для отправки.

  8. Перейдите на вкладку Область .

    Вкладка Область.

  9. Выберите целевые компьютеры.

    Целевые компьютеры.

    Целевые объекты.

  10. Выберите Сохранить.

    Развертывание целевых компьютеров.

    Выбор целевых компьютеров.

  11. Нажмите кнопку Готово.

    Компьютеры целевой группы.

    Список профилей конфигурации.

Шаг 3. Настройка параметров Microsoft Defender для конечной точки

На этом шаге мы рассмотрим параметры, чтобы настроить политики защиты от вредоносных программ и EDR с помощью портала Microsoft Defender XDR (https://security.microsoft.com) или JamF.

Важно!

Microsoft Defender для конечной точки политики управления параметрами безопасности имеют приоритет над политиками, установленными JamF (и другими сторонними политиками MDM).

3a. Настройка политик с помощью портала Microsoft Defender

  1. Следуйте инструкциям в разделе Настройка Microsoft Defender для конечной точки в Intune, прежде чем задавать политики безопасности с помощью Microsoft Defender.

  2. На портале Microsoft Defender перейдите к разделу Политики безопасности >Mac> для управления конфигурацией управления конечными точками>Create новая политика.

  3. В разделе Выбор платформы выберите macOS.

  4. В разделе Выбор шаблона выберите шаблон и выберите Create Политика.

  5. Укажите имя и описание политики, а затем нажмите кнопку Далее.

  6. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

Дополнительные сведения об управлении параметрами безопасности см. в следующих статьях:

3b. Настройка политик с помощью JamF

Вы можете использовать графический интерфейс JAMF Pro для изменения отдельных параметров конфигурации Microsoft Defender для конечной точки или использовать устаревший метод, создав Plist конфигурации в текстовом редакторе и передав его в JAMF Pro.

Обратите внимание, что в качестве домена предпочтения необходимо использовать именноcom.microsoft.wdav. Microsoft Defender для конечной точки использует только это имя и com.microsoft.wdav.ext для загрузки управляемых параметров.

(Версия com.microsoft.wdav.ext может использоваться в редких случаях, когда вы предпочитаете использовать метод графического пользовательского интерфейса, но также необходимо настроить параметр, который еще не был добавлен в схему.)

Метод графического пользовательского интерфейса

  1. Скачайте schema.json файл из репозитория GitHub Defender и сохраните его в локальном файле:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Create новый профиль конфигурации. В разделе Компьютеры перейдите в раздел Профили конфигурации и укажите следующие сведения на вкладке Общие :

    Новый профиль.

    • Имя: MDATP MDAV configuration settings
    • Описание: <blank\>
    • Категория: None (default)
    • Уровень: Computer Level (default)
    • Метод распространения: Install Automatically (default)

  3. Прокрутите вниз до вкладки Application & Пользовательские параметры , выберите Внешние приложения, выберите Добавить, а затем используйте настраиваемую схему в качестве источника для предпочтительного домена.

    Добавление пользовательской схемы.

  4. Введите com.microsoft.wdav домен предпочтения, выберите Добавить схему и отправьте файл, скачанный schema.json на шаге 1. Выберите Сохранить.

    Передача схемы.

  5. Все поддерживаемые параметры конфигурации Microsoft Defender для конечной точки отображаются в разделе Свойства предпочтительного домена. Выберите Добавить или удалить свойства , чтобы выбрать параметры, которыми вы хотите управлять, а затем нажмите кнопку ОК , чтобы сохранить изменения. (Не выбранные параметры не включаются в управляемую конфигурацию. Пользователь может настроить эти параметры на своих компьютерах.)

    Выбранные управляемые параметры.

  6. Измените значения параметров на нужные значения. Вы можете выбрать Дополнительные сведения, чтобы получить документацию по определенному параметру. (Вы можете выбрать предварительный просмотр Plist , чтобы проверить, как будет выглядеть plist конфигурации. Выберите Редактор форм , чтобы вернуться в визуальный редактор.)

    Страница, на которой изменяются значения параметров.

  7. Перейдите на вкладку Область .

    Профиль конфигурации область.

  8. Выберите Группа компьютеров Contoso.

  9. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Страница, на которой можно добавить параметры конфигурации.

    Страница, на которой можно сохранить параметры конфигурации.

  10. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Страница, на которой выполняется заполнение параметров конфигурации.

Microsoft Defender для конечной точки со временем добавляет новые параметры. Эти новые параметры добавляются в схему, а новая версия публикуется на сайте GitHub. Чтобы получить обновления, скачайте обновленную схему и измените существующий профиль конфигурации. На вкладке Application & Custom Settings (Пользовательские параметры приложения ) выберите Изменить схему.

Устаревший метод

  1. Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:

    • enableRealTimeProtection

    • passiveMode

      Примечание.

      Не включено по умолчанию. Если вы планируете запустить стороннюю антивирусную программу для macOS, задайте для нее значение true.

    • exclusions

    • excludedPath

    • excludedFileExtension

    • excludedFileName

    • exclusionsMergePolicy

    • allowedThreats

      Примечание.

      EICAR находится на примере, если вы проходите проверку концепции, удалите его, особенно если вы тестируете EICAR.

    • disallowedThreatActions

    • potentially_unwanted_application

    • archive_bomb

    • cloudService

    • automaticSampleSubmission

    • tags

    • hideStatusMenuIcon

    Дополнительные сведения см. в разделе Список свойств для полного профиля конфигурации JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Сохраните файл как MDATP_MDAV_configuration_settings.plist.

  3. На панели мониторинга Jamf Pro откройте компьютеры и их профили конфигурации. Выберите Создать и перейдите на вкладку Общие .

    Страница с новым профилем.

  4. Введите следующие сведения на вкладке Общие :

    • Имя: MDATP MDAV configuration settings
    • Описание: <blank>
    • Категория: None (default)
    • Метод распространения: Install Automatically (default)
    • Уровень: Computer Level (default)

  5. В разделе Application & Custom Settings (Пользовательские параметры приложения) выберите Настроить.

    Параметры конфигурации MDATP MDAV.

    Приложение и пользовательские параметры.

  6. Выберите Отправить файл (PLIST-файл).

    Файл plist параметров конфигурации.

  7. В разделе Параметры Домен введите com.microsoft.wdav, а затем выберите Отправить PLIST-файл.

    Домен настроек параметров конфигурации.

  8. Выберите Выбрать файл.

    Запрос на выбор Plist-файла.

  9. Выберите MDATP_MDAV_configuration_settings.plist и нажмите кнопку Открыть.

    Параметры конфигурации mdatpmdav.

  10. Выберите Добавить.

    Отправка параметра конфигурации.

    Запрос на отправку образа, связанного с параметрами конфигурации.

    Примечание.

    Если вы отправите файл Intune, вы получите следующую ошибку:

    Запрос на отправку файла intune, связанного с параметрами конфигурации.

  11. Выберите Сохранить.

    Параметр для сохранения образа, связанного с параметрами конфигурации.

  12. Файл будет отправлен.

    Отправленный файл, связанный с параметрами конфигурации.

    Страница параметров конфигурации.

  13. Перейдите на вкладку Область .

    Область для параметров конфигурации.

  14. Выберите Группа компьютеров Contoso.

  15. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Параметры конфигурации addsav.

    Уведомление о параметрах конфигурации.

  16. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Изображение профиля конфигурации параметров конфигурации.

Шаг 4. Настройка параметров уведомлений

Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.

  1. На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.

  2. Выберите Создать и введите следующие сведения на вкладке Общие для параметра Параметры:

    • Имя: MDATP MDAV Notification settings

    • Описание: macOS 11 (Big Sur) or later

    • Категория: None *(default)*

    • Метод распространения: Install Automatically *(default)*

    • Уровень: Computer Level *(default)*

      Страница нового профиля конфигурации macOS.

    • Уведомления на вкладке, нажмите кнопку Добавить и введите следующие значения:

      • Идентификатор пакета: com.microsoft.wdav.tray

      • Критические оповещения: выберите Отключить

      • Уведомления: выберите Включить.

      • Тип оповещения баннера: выберите Включить и Временное(по умолчанию)

      • Уведомления на экране блокировки: выберите Скрыть

      • Уведомления в Центре уведомлений: выберите Показать

      • Значок приложения эмблемы: выберите Показать

        Область уведомлений mdatpmdav для параметров конфигурации.

    • Уведомления на вкладке, выберите Добавить еще раз, прокрутите вниз до пункта Новые параметры уведомлений.

      • Идентификатор пакета: com.microsoft.autoupdate.fba

      • Настройте для остальных параметров те же значения, которые упоминались ранее

        Параметры конфигурации mdatpmdav notifications mau.

        Обратите внимание, что теперь у вас есть две таблицы с конфигурациями уведомлений: одна для идентификатора пакета: com.microsoft.wdav.tray, а другая — для идентификатора пакета: com.microsoft.autoupdate.fba. Хотя вы можете настроить параметры оповещений в соответствии с вашими требованиями, идентификаторы пакетов должны быть точно таким же, как описано выше, а параметр Включить должен быть включен для уведомлений.

  3. Перейдите на вкладку Область и нажмите кнопку Добавить.

    Страница, на которой можно добавить значения для параметров конфигурации.

  4. Выберите Группа компьютеров Contoso.

  5. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Страница, на которой можно сохранить значения для группы компьютеров contoso параметров конфигурации.

    Страница, на которую отображается уведомление о завершении параметров конфигурации.

  6. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Завершенные параметры конфигурации.

Шаг 5. Настройка автоматического обновления Майкрософт (MAU)

  1. Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Сохраните его как MDATP_MDAV_MAU_settings.plist.

  3. На панели мониторинга Jamf Pro выберите Общие.

    Параметры конфигурации.

  4. Введите следующие сведения на вкладке Общие :

    • Имя: MDATP MDAV MAU settings
    • Описание: Microsoft AutoUpdate settings for MDATP for macOS
    • Категория: None (default)
    • Метод распространения: Install Automatically (default)
    • Уровень: Computer Level (default)

  5. В разделе Application & Custom Settings (Пользовательские параметры приложения ) выберите Настроить.

    Приложение параметров конфигурации и пользовательские параметры.

  6. Выберите Отправить файл (PLIST-файл).

  7. В поле Тип доменаcom.microsoft.autoupdate2предпочтения выберите Отправить PLIST-файл.

    Домен предпочтения параметра конфигурации.

  8. Выберите Выбрать файл.

    Запрос на выбор файла относительно параметра конфигурации.

  9. Выберите MDATP_MDAV_MAU_settings.plist.

    Параметры mdatpmdavmau.

  10. Выберите Добавить. Отправка файла в отношении параметра конфигурации.

    Страница с параметром отправки для файла с параметром конфигурации.

  11. Выберите Сохранить.

    Страница с параметром сохранения для файла с параметром конфигурации.

  12. Перейдите на вкладку Область .

    Вкладка Область для параметров конфигурации.

  13. Нажмите Добавить.

    Параметр для добавления целевых объектов развертывания.

    Страница, на которой добавляются дополнительные значения в параметры конфигурации.

    Страница, на которой можно добавить дополнительные значения в параметры конфигурации.

  14. Нажмите кнопку Готово.

    Уведомление о завершении, касающееся параметров конфигурации.

Шаг 6. Предоставление полного доступа к диску Microsoft Defender для конечной точки

  1. На панели мониторинга Jamf Pro выберите Профили конфигурации.

    Профиль, для которого необходимо настроить параметры.

  2. Выберите + Создать.

  3. Введите следующие сведения на вкладке Общие :

    • Имя: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Описание: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Категория: None
    • Метод распространения: Install Automatically
    • Уровень: Computer level

    Общий параметр конфигурации.

  4. В разделе Настройка управления политикой параметров конфиденциальности выберите Настроить.

    Элемент управления политикой конфиденциальности конфигурации.

  5. В разделе Управление политикой параметров конфиденциальности введите следующие сведения:

    • Идентификатор: com.microsoft.wdav
    • Тип идентификатора: Bundle ID
    • Требование к коду: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Сведения о политике настройки конфиденциальности параметра конфигурации.

  6. Выберите + Добавить.

    Параметр конфигурации добавляет параметр

    • В разделе Приложение или служба выберите SystemPolicyAllFiles.
    • В разделе доступ выберите Разрешить.

  7. Выберите Сохранить (не тот, который находится в правом нижнем углу).

    Операция сохранения для параметра конфигурации.

  8. + Щелкните знак рядом с элементом Доступ к приложениям, чтобы добавить новую запись.

    Операция сохранения, связанная с параметром конфигурации.

  9. Введите следующие сведения:

    • Идентификатор: com.microsoft.wdav.epsext
    • Тип идентификатора: Bundle ID
    • Требование к коду: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Выберите + Добавить.

    Запись параметра конфигурации tcc epsext.

    • В разделе Приложение или служба выберите SystemPolicyAllFiles.
    • В разделе доступ выберите Разрешить.

  11. Выберите Сохранить (не тот, который находится в правом нижнем углу).

    Другой экземпляр параметра конфигурации tcc epsext.

  12. Перейдите на вкладку Область .

    Страница с область для параметра конфигурации.

  13. Выберите + Добавить.

    Страница с параметром конфигурации.

  14. Выберите Компьютер Группы и в разделе Имя группы выберите Contoso MachineGroup.

    Параметр конфигурации группы компьютеров contoso.

  15. Нажмите Добавить.

  16. Выберите Сохранить.

  17. Нажмите кнопку Готово.

    Параметр конфигурации contoso machine-group.

    Иллюстрация параметра конфигурации.

Кроме того, можно скачать fulldisk.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Примечание.

Полный доступ к диску, предоставленный через профиль конфигурации Apple MDM, не отражается в разделе Параметры системы => Конфиденциальность & Безопасность => Полный доступ к диску.

Шаг 7. Утверждение расширений системы для Microsoft Defender для конечной точки

  1. В разделе Профили конфигурации выберите + Создать.

    Описание автоматически созданного сообщения в социальных сетях.

  2. Введите следующие сведения на вкладке Общие :

    • Имя: MDATP MDAV System Extensions
    • Описание: MDATP system extensions
    • Категория: None
    • Метод распространения: Install Automatically
    • Уровень: Computer Level

    Параметры конфигурации sysext новый профиль.

  3. В разделе Расширения системы выберите Настроить.

    Область с параметром Настроить для системных расширений.

  4. В поле Системные расширения введите следующие сведения:

    • Отображаемое имя: Microsoft Corp. System Extensions
    • Типы системных расширений: Allowed System Extensions
    • Идентификатор команды: UBF8T346G9
    • Разрешенные системные расширения:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Область системных расширений MDATP MDAV.

  5. Перейдите на вкладку Область .

    Область выбора целевых компьютеров.

  6. Выберите + Добавить.

  7. Выберите Компьютер Группы> в разделе Имя> группы выберите Группа компьютеров Contoso.

  8. Выберите + Добавить.

    Панель Новый профиль конфигурации macOS.

  9. Выберите Сохранить.

    Отображение параметров, касающихся системных расширений MDATP MDAV.

  10. Нажмите кнопку Готово.

    Параметры конфигурации sysext — окончательные.

Шаг 8. Настройка расширения сети

В рамках возможностей обнаружения и реагирования на конечные точки Microsoft Defender для конечной точки в macOS проверяет трафик сокетов и передает эти сведения на портал Microsoft Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.

Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.

  1. На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.

  2. Выберите Создать и введите следующие сведения в поле Параметры:

    • Вкладка "Общие":

      • Имя: Microsoft Defender Network Extension
      • Описание: macOS 11 (Big Sur) or later
      • Категория: None *(default)*
      • Метод распространения: Install Automatically *(default)*
      • Уровень: Computer Level *(default)*

    • Фильтр содержимого вкладки:

      • Имя фильтра: Microsoft Defender Content Filter
      • Идентификатор: com.microsoft.wdav
      • Оставьте пустым адрес службы, организацию, имя пользователя, пароль, сертификат (включитьне выбрано)
      • Порядок фильтрации: Inspector
      • Фильтр сокетов: com.microsoft.wdav.netext
      • Указанное требование фильтра сокетов: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Оставьте поля фильтра сети пустыми (включитьне выбрано)

      Обратите внимание, что идентификатор, фильтр сокетов и назначенный фильтр сокетов точные значения, как указано выше.

      Параметр конфигурации mdatpmdav.

  3. Перейдите на вкладку Область .

    Вкладка

  4. Выберите + Добавить.

  5. Выберите Компьютер Группы> в разделе Имя> группы выберите Группа компьютеров Contoso.

  6. Выберите + Добавить.

    Параметры конфигурации adim.

  7. Выберите Сохранить.

    Область

  8. Нажмите кнопку Готово.

    Параметры конфигурации нетекст — окончательный.

Кроме того, можно скачать netfilter.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Шаг 9. Настройка фоновых служб

Предостережение

MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме.

Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через JAMF, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте background_services.mobileconfig из репозитория GitHub.

Отправьте скачанный mobileconfig в профили конфигурации JAMF, как описано в разделе Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Шаг 10. Предоставление разрешений Bluetooth

Предостережение

macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.

Скачайте bluetooth.mobileconfig из репозитория GitHub.

Предупреждение

Текущая версия JAMF Pro пока не поддерживает такого рода полезные данные. Если отправить эту mobileconfig как есть, JAMF Pro удалит неподдерживаемые полезные данные и не будет применяться к клиентским компьютерам. Сначала нужно подписать скачанный mobileconfig, после чего JAMF Pro будет считать его "запечатанным" и не будет несанкционированным. См. инструкции ниже.

  • В цепочке ключей должен быть установлен по крайней мере один сертификат подписи, даже самозаверяющий сертификат работает. Вы можете проверить, что у вас есть с помощью:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

  • Выберите любой из них и укажите текст в кавычках в качестве параметра -N:

    /usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

  • Теперь вы можете отправить созданный файл bluetooth-signed.mobileconfig в JAMF Pro, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

    Примечание.

    Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.

Шаг 11. Планирование проверок с помощью Microsoft Defender для конечной точки в macOS

Следуйте инструкциям в статье Планирование проверок с помощью Microsoft Defender для конечной точки в macOS.

Шаг 12. Развертывание Microsoft Defender для конечной точки в macOS

Примечание.

Ниже приведены примеры имени .pkg файла и значений отображаемого имени . В этих примерах представляет дату создания 200329 пакета и политики (в yymmdd формате), а v100.86.92 также версию развертываемого приложения Microsoft Defender. Эти значения должны быть обновлены в соответствии с соглашением об именовании, используемым в среде для пакетов и политик.

  1. Перейдите к месту, где вы сохранили wdav.pkg.

    Пакет wdav проводника.

  2. Переименуйте его в wdav_MDM_Contoso_200329.pkg.

    Пакет wdavmdm проводника1.

  3. Откройте панель мониторинга Jamf Pro.

    Параметры конфигурации для jamfpro.

  4. Выберите компьютер и щелкните значок шестеренки вверху, а затем выберите Управление компьютером.

    Параметры конфигурации — управление компьютером.

  5. В разделе Пакеты выберите + Создать.

    Описание птицы для автоматически созданного пакета.

  6. На вкладке Общие введите следующие сведения в поле Новый пакет:

    • Отображаемое имя: оставьте поле пустым. Так как он сбрасывается при выборе pkg.
    • Категория: None (default)
    • Имя файла: Choose File

    Вкладка Общие для параметров конфигурации.

    Откройте файл и наведите ему указатель на wdav.pkg или wdav_MDM_Contoso_200329.pkg.

    Экран компьютера с описанием автоматически созданного пакета.

  7. Выберите Открыть. Задайте для параметра Отображаемое имязначение Microsoft Defender Advanced Threat Protection и Microsoft Defender Антивирусная программа.

    • Файл манифеста не требуется. Microsoft Defender для конечной точки работает без файла манифеста.
    • Вкладка Параметры: оставьте значения по умолчанию.
    • Вкладка "Ограничения": оставьте значения по умолчанию.

    Вкладка ограничения для параметров конфигурации.

  8. Выберите Сохранить. Пакет отправляется в Jamf Pro.

    Процесс отправки пакета параметров конфигурации для пакета, связанного с параметрами конфигурации.

    На то, чтобы пакет был доступен для развертывания, может потребоваться несколько минут.

    Экземпляр отправки пакета для параметров конфигурации.

  9. Перейдите на страницу Политики .

    Политики параметров конфигурации.

  10. Выберите + Создать , чтобы создать новую политику.

    Новая политика параметров конфигурации.

  11. В общем случае в поле Отображаемое имя используйте MDATP Onboarding Contoso 200329 v100.86.92 or later.

    Параметры конфигурации — подключение MDATP.

  12. Выберите Повторяющаяся регистрация.

    Повторяющееся проверка для параметров конфигурации.

  13. Выберите Сохранить.

  14. Выберите Настроить пакеты>.

    Параметр для настройки пакетов.

  15. Нажмите кнопку Добавить рядом с Microsoft Defender Advanced Threat Protection and Microsoft Defender Антивирусная программа.

    Параметр для добавления дополнительных параметров в MDATP MDA.

  16. Выберите Сохранить.

    Параметр сохранения для параметров конфигурации.

  17. Create интеллектуальную группу для компьютеров с Microsoft Defender профилями.

    Для улучшения взаимодействия с пользователем необходимо установить профили конфигурации зарегистрированных компьютеров перед пакетом Microsoft Defender. В большинстве случаев JAMF Pro немедленно отправляет профили конфигурации, и эти политики выполняются через некоторое время (то есть во время проверка). Однако в некоторых случаях развертывание профилей конфигурации может быть развернуто со значительной задержкой (то есть, если компьютер пользователя заблокирован).

    JAMF Pro предоставляет способ обеспечения правильного порядка. Вы можете создать интеллектуальную группу для компьютеров, которые уже получили профиль конфигурации Microsoft Defender, и установить пакет Microsoft Defender только на этих компьютерах (и как только они получат этот профиль).

    Выполните следующие действия:

    1. Create умную группу. В новом окне браузера откройте интеллектуальные компьютеры Группы.

    2. Выберите Создать и присвойте группе имя.

    3. На вкладке Критерии выберите Добавить, а затем — Показать дополнительные условия.

    4. Выберите Имя профиля в качестве критерия и используйте имя ранее созданного профиля конфигурации в качестве значения:

      Создание интеллектуальной группы.

    5. Выберите Сохранить.

    6. Назад в окно, в котором настраиваемая политика пакета.

  18. Перейдите на вкладку Область .

    Вкладка Область, связанная с параметрами конфигурации.

  19. Выберите целевые компьютеры.

    Параметр для добавления групп компьютеров.

    В разделе Область выберите Добавить.

    Параметры конфигурации — ad1.

    Перейдите на вкладку Компьютер Группы. Найдите созданную смарт-группу и нажмите кнопку Добавить.

    Параметры конфигурации — ad2.

    Если вы хотите, чтобы пользователи устанавливали Defender для конечной точки добровольно (или по запросу), выберите Самообслуживание.

    Вкладка Самообслуживание для параметров конфигурации.

  20. Нажмите кнопку Готово.

    Состояние подключения Contoso с возможностью его завершения.

    Страница политик.

область профиля конфигурации

ДЛЯ JAMF требуется определить набор компьютеров для профиля конфигурации. Необходимо убедиться, что все компьютеры, получающие пакет Defender, также получают все профили конфигурации, перечисленные выше.

Предупреждение

JAMF поддерживает Группы смарт-компьютеров, которые позволяют развертывать, например профили конфигурации или политики, на всех компьютерах, соответствующих определенным критериям, вычисляемых динамически. Это мощная концепция, которая широко используется для распределения профилей конфигурации.

Однако имейте в виду, что эти критерии не должны включать наличие Defender на компьютере. Хотя использование этого критерия может показаться логичным, это создает проблемы, которые трудно диагностировать.

Defender использует все эти профили на момент установки. Создание профилей конфигурации в зависимости от присутствия Defender фактически задерживает развертывание профилей конфигурации и приводит к первоначальному неработоспособному продукту и (или) запросам на ручное утверждение определенных разрешений приложений, которые в противном случае автоматически утверждены профилями.

Развертывание политики с пакетом Microsoft Defender после развертывания профилей конфигурации обеспечивает оптимальную работу конечного пользователя, так как перед установкой пакета будут применены все необходимые конфигурации.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.