Ange inställningar för Microsoft Defender för Slutpunkt i macOS

Gäller för:

Viktigt

Den här artikeln innehåller instruktioner för hur du anger inställningar för Microsoft Defender för Slutpunkt på macOS i företagsorganisationer. Information om hur du konfigurerar Microsoft Defender för slutpunkt i macOS med kommandoradsgränssnittet finns i Resurser.

Sammanfattning

I företagsorganisationer kan Microsoft Defender för slutpunkt i macOS hanteras via en konfigurationsprofil som distribueras med ett av flera hanteringsverktyg. De inställningar som hanteras av ditt säkerhetsteam har företräde framför inställningar som anges lokalt på enheten. Om du vill ändra inställningar som ställts in via konfigurationsprofilen krävs eskalerade behörigheter och är inte tillgängligt för användare utan administrativ behörighet.

I den här artikeln beskrivs konfigurationsprofilens struktur, en rekommenderad profil som du kan använda för att komma igång och instruktioner om hur du distribuerar profilen.

Konfigurationsprofilstruktur

Konfigurationsprofilen är en PLIST-fil som består av poster som identifieras med en nyckel (som betecknar namnet på inställningen), följt av ett värde, vilket beror på vilken typ av inställning det är. Värdena kan antingen vara enkla (till exempel ett numeriskt värde) eller komplexa, till exempel en kapslad lista med inställningar.

Varning

Konfigurationsprofilens layout beror på vilken hanteringskonsol du använder. Följande avsnitt innehåller exempel på konfigurationsprofiler för JAMF och Intune.

Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underavsnitt av Microsoft Defender för slutpunkt, som förklaras mer ingående i nästa avsnitt.

Inställningar för antivirusmotor

Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i Microsoft Defender för slutpunkt.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel antivirusEngine
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.

Tillämpningsnivå för antivirusmotor

Anger tvingande inställning för antivirusmotorn. Det finns tre värden för inställning av tillämpningsnivå:

  • Realtidsskydd real_time (): Realtidsskydd (genomsöka filer när de används) är aktiverat.
  • På begäran ( on_demand ): Filerna genomsöks bara på begäran. I det här:
    • Realtidsskydd är inaktiverat.
  • Passiv ( passive ): Kör antivirusmotorn i passiv form. I det här:
    • Realtidsskydd är inaktiverat.
    • Skanning på begäran är aktiverat.
    • Automatisk åtgärd för hot är inaktiverat.
    • Säkerhetsintelligensuppdateringar aktiveras.
    • Statusmenyikonen är dold.


Avsnitt Värde
Domän com.microsoft.wdav
Nyckel enforcementLevel
Datatyp Sträng
Möjliga värden real_time (standard)

on_demand

passiv

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.10.72 eller senare.

Köra en genomsökning efter att definitioner har uppdaterats

Anger om en processsökning ska startas efter att nya säkerhetsintelligensuppdateringar har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirussökning av processen som körs på enheten.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanAfterDefinitionUpdate
Datatyp Boolesk
Möjliga värden true (standard)

false

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare.

Skanna arkiv (endast söka igenom antivirus på begäran)

Anger om du vill söka igenom arkiven vid antivirussökningar på begäran.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanArchives
Datatyp Boolesk
Möjliga värden true (standard)

false

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare.

Grad av parallellitet för skanningar på begäran

Anger graden av parallellitet för genomsökningar på begäran. Det här motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen, samt varaktigheten för genomsökningen på begäran.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel maximumOnDemandScanThreads
Datatyp Heltal
Möjliga värden 2 (standard). Tillåtna värden är heltal mellan 1 och 64.
Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.41.10 eller senare.

Princip för undantagskoppling

Ange kopplingsprincipen för undantag. Det här kan vara en kombination av administratörsdefinierade och användardefinierade undantag ( merge ) eller endast administratörsdefinierade undantag ( admin_only ). Den här inställningen kan användas för att begränsa lokala användare från att definiera sina egna undantag.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel exclusionsMergePolicy
Datatyp Sträng
Möjliga värden koppla (standard)

admin_only

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare.

Undantag för skanning

Ange enheter som inte ska genomsökas. Undantag kan anges med fullständiga sökvägar, filnamnstillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs, i valfri ordning.)



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel undantag
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.
Typ av undantag

Ange innehåll som ska undantas från att genomsökas efter typ.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel $type
Datatyp Sträng
Möjliga värden excludedPath

excludedFileExtension

excludedFileName

Sökväg till utelämnat innehåll

Ange innehåll som inte ska genomsökas efter fullständig sökväg.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel sökväg
Datatyp Sträng
Möjliga värden giltiga sökvägar
Kommentarer Gäller endast om $type är undantagenPath

Undantagstyper som stöds

I följande tabell visas de undantagstyper som stöds av Defender för slutpunkt på Mac.



Exkludering Definition Exempel
Filnamnstillägg Alla filer med tillägget, var som helst på enheten .test
Fil En specifik fil som identifieras med den fullständiga sökvägen /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mapp Alla filer under den angivna mappen (rekursivt) /var/log/

/var/*/

Process En specifik process (anges antingen med den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den /bin/cat

cat

c?t

Viktigt

Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name> .

Undantag för filer, mappar och processer stöder följande jokertecken:



Jokertecken Beskrivning Exempel Matchningar Matchar inte
* Matchar valbara antal tecken inklusive inga (observera att när det här jokertecknet används inuti en sökväg kommer det bara att ersätta en mapp) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Matchar ett enstaka tecken file?.log file1.log

file2.log

file123.log

Sökvägstyp (fil/katalog)

Ange om sökvägsegenskapen refererar till en fil eller katalog.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel isDirectory
Datatyp Boolesk
Möjliga värden false (standard)

true

Kommentarer Gäller endast om $type är undantagenPath

Filnamnstillägget är undantaget från genomsökningen

Ange innehåll som ska undantas från att genomsökas efter filtillägg.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel tillägg
Datatyp Sträng
Möjliga värden giltiga filnamnstillägg
Kommentarer Gäller endast om $type är undantagenFileExtension

Process som uteslutits från genomsökningen

Ange en process där all filaktivitet är undantagen från genomsökning. Processen kan antingen anges med sitt namn (till exempel cat ) eller med en fullständig sökväg (t.ex. /bin/cat ).



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel Namn
Datatyp Sträng
Möjliga värden valfri sträng
Kommentarer Gäller endast om $type är undantagenFilnamn

Tillåtna hot

Ange hot med namn som inte blockeras av Defender för Slutpunkt på Mac. Dessa hot kommer att tillåtas att köras.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel allowedThreats
Datatyp Matris med strängar

Otillåtna hotåtgärder

Begränsar de åtgärder som den lokala användaren på en enhet kan vidta när hot upptäcks. De åtgärder som ingår i den här listan visas inte i användargränssnittet.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel disallowedThreatActions
Datatyp Matris med strängar
Möjliga värden tillåt (begränsar användare från att tillåta hot)

återställning (hindrar användare från att återställa hot från karantän)

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare.

Inställningar för hottyp

Ange hur vissa hottyper hanteras av Microsoft Defender för Slutpunkt i macOS.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel threatTypeSettings
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.
Hottyp

Ange hottyper.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel tangent
Datatyp Sträng
Möjliga värden potentially_unwanted_application

archive_bomb

Åtgärd att vidta

Ange vilken åtgärd som ska vidtas när ett hot av den typ som anges i föregående avsnitt identifieras. Välj bland följande alternativ:

  • Granskning: din enhet är inte skyddad mot den här typen av hot, men en post om hot loggas.
  • Blockering: din enhet är skyddad mot den här typen av hot och du meddelas i användargränssnittet och säkerhetskonsolen.
  • Av: din enhet är inte skyddad mot den här typen av hot och inget loggas.


Avsnitt Värde
Domän com.microsoft.wdav
Nyckel värde
Datatyp Sträng
Möjliga värden granskning (standard)

blockera

av

Policy för sammanfogning av hottyper

Ange kopplingsprincipen för inställningar av hottyper. Det kan vara en kombination av administratörsdefinierade och användardefinierade inställningar ( merge ) eller bara administratörsdefinierade inställningar ( admin_only ). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel threatTypeSettingsMergePolicy
Datatyp Sträng
Möjliga värden koppla (standard)

admin_only

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 100.83.73 eller senare.

Historik för antivirussökningshistorik kvar (i dagar)

Ange antalet dagar som resultaten ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också har tagits bort från disken.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanResultsRetentionDays
Datatyp Sträng
Möjliga värden 90 (standard). Tillåtna värden är 1 dag till 180 dagar.
Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.07.23 eller senare.

Maximalt antal objekt i historiken för antivirussökning

Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Posterna innehåller alla genomsökningar på begäran som utförts tidigare och alla antivirusprogramn.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel scanHistoryMaximumItems
Datatyp Sträng
Möjliga värden 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt.
Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.07.23 eller senare.

Inställningar för moln levererat skydd

Konfigurera de molnbaserade skyddsfunktionerna i Microsoft Defender för Slutpunkt i macOS.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel cloudService
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.

Aktivera/inaktivera moln levererat skydd

Ange om du vill aktivera moln levererat skydd på enheten eller inte. Vi rekommenderar att du behåller den här funktionen aktiverad för att förbättra säkerheten för dina tjänster.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel aktiverat
Datatyp Boolesk
Möjliga värden true (standard)

false

Diagnostiksamlingsnivå

Diagnostikdata används för att hålla Microsoft Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem samt göra produktförbättringar. Den här inställningen bestämmer nivån för diagnostik som skickas av Microsoft Defender för Slutpunkt till Microsoft.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel diagnosticLevel
Datatyp Sträng
Möjliga värden valfritt (standard)

obligatoriskt

Aktivera/inaktivera automatiska exempelinskick

Avgör om misstänkta exempel (som troligen innehåller hot) skickas till Microsoft. Du uppmanas att ange om den inskickade filen troligen innehåller personlig information.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel automaticSampleSubmission
Datatyp Boolesk
Möjliga värden true (standard)

false

Aktivera/inaktivera automatiska säkerhetsintelligensuppdateringar

Avgör om säkerhetsintelligensuppdateringar installeras automatiskt:



Avsnitt Värde
Nyckel automaticDefinitionUpdateEnabled
Datatyp Boolesk
Möjliga värden true (standard)

false

Inställningar för användargränssnitt

Hantera inställningar för användargränssnittet i Microsoft Defender för Slutpunkt i macOS.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel userInterface
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.

Visa/dölj statusmenyikon

Ange om du vill visa eller dölja statusmenyikonen i det övre högra hörnet av skärmen.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel hideStatusMenuIcon
Datatyp Boolesk
Möjliga värden false (standard)

true

Visa/dölj alternativ för att skicka feedback

Ange om användare kan skicka feedback till Microsoft genom att gå till Help > Send Feedback .



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel userInitiatedFeedback
Datatyp Sträng
Möjliga värden aktiverad (standard)

inaktiverad

Kommentarer Tillgängligt i Microsoft Defender för slutpunkt version 101.19.61 eller senare.

Inställningar för identifiering av slutpunkter och svar

Hantera inställningarna för den identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) av Microsoft Defender för slutpunkten i macOS.



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel edr
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.

Enhetstaggar

Ange ett taggnamn och dess värde.

  • GROUP-taggen taggar enheten med det angivna värdet. Taggen återspeglas i portalen under enhetssidan och kan användas för filtrering och gruppering av enheter.


Avsnitt Värde
Domän com.microsoft.wdav
Nyckel taggar
Datatyp Ordlista (kapslad inställning)
Kommentarer I följande avsnitt finns en beskrivning av innehållet i ordlistan.
Typ av tagg

Anger typ av tagg



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel tangent
Datatyp Sträng
Möjliga värden GROUP
Värdet på taggen

Anger värdet för taggen



Avsnitt Värde
Domän com.microsoft.wdav
Nyckel värde
Datatyp Sträng
Möjliga värden valfri sträng

Viktigt

  • Du kan bara ange ett värde per taggtyp.
  • Typ av taggar är unika och bör inte upprepas i samma konfigurationsprofil.

För att komma igång rekommenderar vi följande konfiguration för ditt företag för att dra nytta av alla skyddsfunktioner som Microsoft Defender för Endpoint tillhandahåller.

Följande konfigurationsprofil (eller, vid JAMF, en egenskapslista som kan laddas upp till profilen för anpassade inställningar) kommer att:

  • Aktivera realtidsskydd (RTP)
  • Ange hur följande hottyper ska hanteras:
    • Potentiellt oönskade program (PUA) blockeras
    • Arkiveringsskyddet (en fil med hög komprimeringshastighet) granskas i Microsoft Defender för Slutpunktsloggar
  • Aktivera automatiska säkerhetsintelligensuppdateringar
  • Aktivera molnbaserat skydd
  • Aktivera automatisk exempelinskickning
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Exempel på fullständig konfigurationsprofil

Följande mallar innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över Microsoft Defender för slutpunkt i macOS.

Egenskapslista för HELA JAMF-konfigurationsprofilen

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune full profile

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Egenskapslistverifiering

Egenskapslistan måste vara en giltig .plist-fil. Det här kan kontrolleras genom att köra:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Om filen är rätt utformad returnerar kommandot ovan en utgångskod OK för 0 . Annars visas ett fel som beskriver problemet och kommandot returnerar en utgångskod för 1 .

Konfigurationsprofildistribution

När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via hanteringskonsolen som företaget använder. I följande avsnitt finns instruktioner om hur du distribuerar den här profilen med HJÄLP av JAMF och Intune.

JAMF-distribution

Från JAMF-konsolen öppnar du Datorkonfigurationsprofiler, navigerar till den konfigurationsprofil du vill > använda och väljer sedan Custom Inställningar. Skapa en post med com.microsoft.wdav som inställningsdomän och ladda upp den .plist som produceras tidigare.

Varning

Du måste ange rätt inställningsdomän ( ). Annars kan inte inställningarna identifieras av com.microsoft.wdav Microsoft Defender för Slutpunkt.

Intune-distribution

  1. Öppna Hantera > enhetskonfiguration. Välj Hantera > profiler > skapa profil.

  2. Välj ett namn för profilen. Ändra Platform=macOS till Profiltyp=Anpassad. Välj Konfigurera.

  3. Spara den .plist som produceras tidigare som com.microsoft.wdav.xml .

  4. Ange com.microsoft.wdav namnet på den anpassade konfigurationsprofilen.

  5. Öppna konfigurationsprofilen och ladda upp com.microsoft.wdav.xml filen. (Den här filen skapades i steg 3.)

  6. Välj OK.

  7. Välj > Hantera uppgifter. På fliken Inkludera väljer du Tilldela till alla användare & alla enheter.

Varning

Du måste ange rätt namn på den anpassade konfigurationsprofilen. Annars identifieras inte de här inställningarna av Microsoft Defender för Endpoint.

Resurser