Ange inställningar för Microsoft Defender för Slutpunkt i macOS
Gäller för:
- Microsoft Defender för Endpoint för macOS
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
Viktigt
Den här artikeln innehåller instruktioner för hur du anger inställningar för Microsoft Defender för Slutpunkt på macOS i företagsorganisationer. Information om hur du konfigurerar Microsoft Defender för slutpunkt i macOS med kommandoradsgränssnittet finns i Resurser.
Sammanfattning
I företagsorganisationer kan Microsoft Defender för slutpunkt i macOS hanteras via en konfigurationsprofil som distribueras med ett av flera hanteringsverktyg. De inställningar som hanteras av ditt säkerhetsteam har företräde framför inställningar som anges lokalt på enheten. Om du vill ändra inställningar som ställts in via konfigurationsprofilen krävs eskalerade behörigheter och är inte tillgängligt för användare utan administrativ behörighet.
I den här artikeln beskrivs konfigurationsprofilens struktur, en rekommenderad profil som du kan använda för att komma igång och instruktioner om hur du distribuerar profilen.
Konfigurationsprofilstruktur
Konfigurationsprofilen är en PLIST-fil som består av poster som identifieras med en nyckel (som betecknar namnet på inställningen), följt av ett värde, vilket beror på vilken typ av inställning det är. Värdena kan antingen vara enkla (till exempel ett numeriskt värde) eller komplexa, till exempel en kapslad lista med inställningar.
Varning
Konfigurationsprofilens layout beror på vilken hanteringskonsol du använder. Följande avsnitt innehåller exempel på konfigurationsprofiler för JAMF och Intune.
Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underavsnitt av Microsoft Defender för slutpunkt, som förklaras mer ingående i nästa avsnitt.
Inställningar för antivirusmotor
Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i Microsoft Defender för slutpunkt.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | antivirusEngine |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Tillämpningsnivå för antivirusmotor
Anger tvingande inställning för antivirusmotorn. Det finns tre värden för inställning av tillämpningsnivå:
- Realtidsskydd
real_time(): Realtidsskydd (genomsöka filer när de används) är aktiverat. - På begäran (
on_demand): Filerna genomsöks bara på begäran. I det här:- Realtidsskydd är inaktiverat.
- Passiv (
passive): Kör antivirusmotorn i passiv form. I det här:- Realtidsskydd är inaktiverat.
- Skanning på begäran är aktiverat.
- Automatisk åtgärd för hot är inaktiverat.
- Säkerhetsintelligensuppdateringar aktiveras.
- Statusmenyikonen är dold.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | enforcementLevel |
| Datatyp | Sträng |
| Möjliga värden | real_time (standard) on_demand passiv |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.10.72 eller senare. |
Köra en genomsökning efter att definitioner har uppdaterats
Anger om en processsökning ska startas efter att nya säkerhetsintelligensuppdateringar har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirussökning av processen som körs på enheten.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanAfterDefinitionUpdate |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare. |
Skanna arkiv (endast söka igenom antivirus på begäran)
Anger om du vill söka igenom arkiven vid antivirussökningar på begäran.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanArchives |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare. |
Grad av parallellitet för skanningar på begäran
Anger graden av parallellitet för genomsökningar på begäran. Det här motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen, samt varaktigheten för genomsökningen på begäran.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | maximumOnDemandScanThreads |
| Datatyp | Heltal |
| Möjliga värden | 2 (standard). Tillåtna värden är heltal mellan 1 och 64. |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare. |
Princip för undantagskoppling
Ange kopplingsprincipen för undantag. Det här kan vara en kombination av administratörsdefinierade och användardefinierade undantag ( merge ) eller endast administratörsdefinierade undantag ( admin_only ). Den här inställningen kan användas för att begränsa lokala användare från att definiera sina egna undantag.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | exclusionsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | koppla (standard) admin_only |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare. |
Undantag för skanning
Ange enheter som inte ska genomsökas. Undantag kan anges med fullständiga sökvägar, filnamnstillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs, i valfri ordning.)
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | undantag |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Typ av undantag
Ange innehåll som ska undantas från att genomsökas efter typ.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | $type |
| Datatyp | Sträng |
| Möjliga värden | excludedPath excludedFileExtension excludedFileName |
Sökväg till utelämnat innehåll
Ange innehåll som inte ska genomsökas efter fullständig sökväg.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | sökväg |
| Datatyp | Sträng |
| Möjliga värden | giltiga sökvägar |
| Kommentarer | Gäller endast om $type är undantagenPath |
Undantagstyper som stöds
I följande tabell visas de undantagstyper som stöds av Defender för slutpunkt på Mac.
| Exkludering | Definition | Exempel |
|---|---|---|
| Filnamnstillägg | Alla filer med tillägget, var som helst på enheten | .test |
| Fil | En specifik fil som identifieras med den fullständiga sökvägen | /var/log/test.log |
| Mapp | Alla filer under den angivna mappen (rekursivt) | /var/log/ |
| Process | En specifik process (anges antingen med den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den | /bin/cat |
Viktigt
Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name> .
Undantag för filer, mappar och processer stöder följande jokertecken:
| Jokertecken | Beskrivning | Exempel | Matchningar | Matchar inte |
|---|---|---|---|---|
| * | Matchar valbara antal tecken inklusive inga (observera att när det här jokertecknet används inuti en sökväg kommer det bara att ersätta en mapp) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Matchar ett enstaka tecken | file?.log |
file1.log |
file123.log |
Sökvägstyp (fil/katalog)
Ange om sökvägsegenskapen refererar till en fil eller katalog.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | isDirectory |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) true |
| Kommentarer | Gäller endast om $type är undantagenPath |
Filnamnstillägget är undantaget från genomsökningen
Ange innehåll som ska undantas från att genomsökas efter filtillägg.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | tillägg |
| Datatyp | Sträng |
| Möjliga värden | giltiga filnamnstillägg |
| Kommentarer | Gäller endast om $type är undantagenFileExtension |
Process som uteslutits från genomsökningen
Ange en process där all filaktivitet är undantagen från genomsökning. Processen kan antingen anges med sitt namn (till exempel cat ) eller med en fullständig sökväg (t.ex. /bin/cat ).
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Namn |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
| Kommentarer | Gäller endast om $type är undantagenFilnamn |
Tillåtna hot
Ange hot med namn som inte blockeras av Defender för Slutpunkt på Mac. Dessa hot kommer att tillåtas att köras.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | allowedThreats |
| Datatyp | Matris med strängar |
Otillåtna hotåtgärder
Begränsar de åtgärder som den lokala användaren på en enhet kan vidta när hot upptäcks. De åtgärder som ingår i den här listan visas inte i användargränssnittet.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | disallowedThreatActions |
| Datatyp | Matris med strängar |
| Möjliga värden | tillåt (begränsar användare från att tillåta hot) återställning (hindrar användare från att återställa hot från karantän) |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare. |
Inställningar för hottyp
Ange hur vissa hottyper hanteras av Microsoft Defender för Slutpunkt i macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | threatTypeSettings |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Hottyp
Ange hottyper.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | tangent |
| Datatyp | Sträng |
| Möjliga värden | potentially_unwanted_application archive_bomb |
Åtgärd att vidta
Ange vilken åtgärd som ska vidtas när ett hot av den typ som anges i föregående avsnitt identifieras. Välj bland följande alternativ:
- Granskning: din enhet är inte skyddad mot den här typen av hot, men en post om hot loggas.
- Blockering: din enhet är skyddad mot den här typen av hot och du meddelas i användargränssnittet och säkerhetskonsolen.
- Av: din enhet är inte skyddad mot den här typen av hot och inget loggas.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | värde |
| Datatyp | Sträng |
| Möjliga värden | granskning (standard) blockera av |
Policy för sammanfogning av hottyper
Ange kopplingsprincipen för inställningar av hottyper. Det kan vara en kombination av administratörsdefinierade och användardefinierade inställningar ( merge ) eller bara administratörsdefinierade inställningar ( admin_only ). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | threatTypeSettingsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | koppla (standard) admin_only |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare. |
Historik för antivirussökningshistorik kvar (i dagar)
Ange antalet dagar som resultaten ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också har tagits bort från disken.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanResultsRetentionDays |
| Datatyp | Sträng |
| Möjliga värden | 90 (standard). Tillåtna värden är 1 dag till 180 dagar. |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.07.23 eller senare. |
Maximalt antal objekt i historiken för antivirussökning
Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Posterna innehåller alla genomsökningar på begäran som utförts tidigare och alla antivirusprogramn.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanHistoryMaximumItems |
| Datatyp | Sträng |
| Möjliga värden | 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt. |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.07.23 eller senare. |
Inställningar för moln levererat skydd
Konfigurera de molnbaserade skyddsfunktionerna i Microsoft Defender för Slutpunkt i macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | cloudService |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Aktivera/inaktivera moln levererat skydd
Ange om du vill aktivera moln levererat skydd på enheten eller inte. Vi rekommenderar att du behåller den här funktionen aktiverad för att förbättra säkerheten för dina tjänster.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | aktiverat |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
Diagnostiksamlingsnivå
Diagnostikdata används för att hålla Microsoft Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem samt göra produktförbättringar. Den här inställningen bestämmer nivån för diagnostik som skickas av Microsoft Defender för Slutpunkt till Microsoft.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | diagnosticLevel |
| Datatyp | Sträng |
| Möjliga värden | valfritt (standard) obligatoriskt |
Aktivera/inaktivera automatiska exempelinskick
Avgör om misstänkta exempel (som troligen innehåller hot) skickas till Microsoft. Du uppmanas att ange om den inskickade filen troligen innehåller personlig information.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | automaticSampleSubmission |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
Aktivera/inaktivera automatiska säkerhetsintelligensuppdateringar
Avgör om säkerhetsintelligensuppdateringar installeras automatiskt:
| Avsnitt | Värde |
|---|---|
| Nyckel | automaticDefinitionUpdateEnabled |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) false |
Inställningar för användargränssnitt
Hantera inställningar för användargränssnittet i Microsoft Defender för Slutpunkt i macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | userInterface |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Visa/dölj statusmenyikon
Ange om du vill visa eller dölja statusmenyikonen i det övre högra hörnet av skärmen.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | hideStatusMenuIcon |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) true |
Visa/dölj alternativ för att skicka feedback
Ange om användare kan skicka feedback till Microsoft genom att gå till Help > Send Feedback .
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | userInitiatedFeedback |
| Datatyp | Sträng |
| Möjliga värden | aktiverad (standard) inaktiverad |
| Kommentarer | Tillgängligt i Microsoft Defender för slutpunkt version 101.19.61 eller senare. |
Inställningar för identifiering av slutpunkter och svar
Hantera inställningarna för den identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) av Microsoft Defender för slutpunkten i macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | edr |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Enhetstaggar
Ange ett taggnamn och dess värde.
- GROUP-taggen taggar enheten med det angivna värdet. Taggen återspeglas i portalen under enhetssidan och kan användas för filtrering och gruppering av enheter.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | taggar |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av innehållet i ordlistan. |
Typ av tagg
Anger typ av tagg
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | tangent |
| Datatyp | Sträng |
| Möjliga värden | GROUP |
Värdet på taggen
Anger värdet för taggen
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | värde |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
Viktigt
- Du kan bara ange ett värde per taggtyp.
- Typ av taggar är unika och bör inte upprepas i samma konfigurationsprofil.
Rekommenderad konfigurationsprofil
För att komma igång rekommenderar vi följande konfiguration för ditt företag för att dra nytta av alla skyddsfunktioner som Microsoft Defender för Endpoint tillhandahåller.
Följande konfigurationsprofil (eller, vid JAMF, en egenskapslista som kan laddas upp till profilen för anpassade inställningar) kommer att:
- Aktivera realtidsskydd (RTP)
- Ange hur följande hottyper ska hanteras:
- Potentiellt oönskade program (PUA) blockeras
- Arkiveringsskyddet (en fil med hög komprimeringshastighet) granskas i Microsoft Defender för Slutpunktsloggar
- Aktivera automatiska säkerhetsintelligensuppdateringar
- Aktivera molnbaserat skydd
- Aktivera automatisk exempelinskickning
Egenskapslista för DEN rekommenderade konfigurationsprofilen FÖR JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</plist>
Rekommenderad intune-profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</array>
</dict>
</plist>
Exempel på fullständig konfigurationsprofil
Följande mallar innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över Microsoft Defender för slutpunkt i macOS.
Egenskapslista för HELA JAMF-konfigurationsprofilen
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune full profile
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Egenskapslistverifiering
Egenskapslistan måste vara en giltig .plist-fil. Det här kan kontrolleras genom att köra:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Om filen är rätt utformad returnerar kommandot ovan en utgångskod OK för 0 . Annars visas ett fel som beskriver problemet och kommandot returnerar en utgångskod för 1 .
Konfigurationsprofildistribution
När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via hanteringskonsolen som företaget använder. I följande avsnitt finns instruktioner om hur du distribuerar den här profilen med HJÄLP av JAMF och Intune.
JAMF-distribution
Från JAMF-konsolen öppnar du Datorkonfigurationsprofiler, navigerar till den konfigurationsprofil du vill > använda och väljer sedan Custom Inställningar. Skapa en post med com.microsoft.wdav som inställningsdomän och ladda upp den .plist som produceras tidigare.
Varning
Du måste ange rätt inställningsdomän ( ). Annars kan inte inställningarna identifieras av com.microsoft.wdav Microsoft Defender för Slutpunkt.
Intune-distribution
Öppna Hantera > enhetskonfiguration. Välj Hantera > profiler > skapa profil.
Välj ett namn för profilen. Ändra Platform=macOS till Profiltyp=Anpassad. Välj Konfigurera.
Spara den .plist som produceras tidigare som
com.microsoft.wdav.xml.Ange
com.microsoft.wdavnamnet på den anpassade konfigurationsprofilen.Öppna konfigurationsprofilen och ladda upp
com.microsoft.wdav.xmlfilen. (Den här filen skapades i steg 3.)Välj OK.
Välj > Hantera uppgifter. På fliken Inkludera väljer du Tilldela till alla användare & alla enheter.
Varning
Du måste ange rätt namn på den anpassade konfigurationsprofilen. Annars identifieras inte de här inställningarna av Microsoft Defender för Endpoint.