在 Jamf Pro 中设置 macOS 策略Microsoft Defender for Endpoint
适用于:
- Mac 上的 Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
本文介绍如何使用 Jamf Pro 为 Mac 上的 Defender for Endpoint 设置策略。
步骤 1:获取Microsoft Defender for Endpoint载入包
在Microsoft Defender XDR中,导航到“设置>终结点>载入”。
选择“macOS”作为操作系统,选择“移动设备管理/Microsoft Intune”作为部署方法。
选择 “ (WindowsDefenderATPOnboardingPackage.zip) 下载载入包 ”。
提取
WindowsDefenderATPOnboardingPackage.zip。将文件复制到首选位置。 例如,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist。
步骤 2:使用载入包在 Jamf Pro 中Create配置文件
找到上一部分中的文件
WindowsDefenderATPOnboarding.plist。
登录到 Jamf Pro,导航到 “计算机>配置文件”,然后选择“ 新建”。
在“ 常规 ”选项卡中输入以下详细信息:
- 名称:
MDE onboarding for macOS - 说明:
MDE EDR onboarding for macOS - 类别:
None - 分发方法:
Install Automatically - 级别:
Computer Level
- 名称:
导航到 “应用程序 & 自定义设置” 页,选择“ 上传”,然后选择“ 添加”。
选择“ 上传文件 (PLIST 文件) 然后在 ”首选项域“中键入
com.microsoft.wdav.atp。
选择“ 打开 ”,然后选择加入文件。
选择“上传”。
选择“ 范围 ”选项卡。
选择目标计算机。
选择“保存”。
选择“完成”。
步骤 3:配置Microsoft Defender for Endpoint设置
在此步骤中,我们将遍历首选项,以便你可以使用 Microsoft Defender XDR 门户 (https://security.microsoft.com) 或 JamF 配置反恶意软件和 EDR 策略。
重要
Microsoft Defender for Endpoint安全设置管理策略优先于 JamF 设置 (和其他第三方 MDM) 策略。
3a. 使用 Microsoft Defender 门户设置策略
使用 Microsoft Defender 设置安全策略之前,请按照在 Intune 中配置Microsoft Defender for Endpoint中的指南进行操作。
在Microsoft Defender门户中,转到配置管理>终结点安全策略>Mac 策略>Create新策略。
在 “选择平台”下,选择“ macOS”。
在“选择模板”下,选择一个模板,然后选择“Create策略”。
指定策略的名称和说明,然后选择“ 下一步”。
在“ 分配 ”选项卡上,将配置文件分配给 macOS 设备和/或用户所在的组,或者将 配置文件分配给所有用户 和 所有设备。
有关管理安全设置的详细信息,请参阅以下文章:
3b. 使用 JamF 设置策略
可以使用 JAMF Pro GUI 编辑Microsoft Defender for Endpoint配置的单个设置,或者通过在文本编辑器中创建配置 Plist 并将其上传到 JAMF Pro,使用旧方法。
请注意,必须使用 exact com.microsoft.wdav 作为首选项域;Microsoft Defender for Endpoint仅使用此名称并com.microsoft.wdav.ext加载其托管设置。
com.microsoft.wdav.ext (如果希望使用 GUI 方法,但还需要配置尚未添加到架构的设置,则版本可能在极少数情况下使用。)
GUI 方法
从 Defender 的 GitHub 存储库 下载schema.json文件,并将其保存到本地文件:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.jsonCreate新的配置文件。 在 “计算机”下,转到 “配置文件”,然后在“ 常规 ”选项卡上指定以下详细信息:
- 名称:
MDATP MDAV configuration settings - 说明:
<blank\> - 类别:
None (default) - 级别:
Computer Level (default) - 分发方法:
Install Automatically (default)
- 名称:
向下滚动到“ 应用程序 & 自定义设置” 选项卡,选择“ 外部应用程序”,选择“ 添加”,然后使用 “自定义架构 ”作为首选项域的源。
键入
com.microsoft.wdav“首选项域”,选择“ 添加架构” ,schema.json然后上传步骤 1 中下载的文件。 选择“保存”。
可以在“首选项域属性”下查看所有受支持的Microsoft Defender for Endpoint配置设置。 选择“ 添加/删除属性 ”以选择要管理的设置,然后选择“ 确定” 保存更改。 (未选中的设置未包含在托管配置中,最终用户可以在其计算机上配置这些设置。)
将设置的值更改为所需值。 可以选择“ 详细信息 ”以获取特定设置的文档。 (可以选择 “Plist 预览 ”来检查配置 plist 的外观。选择 “窗体编辑器” 以返回到可视化编辑器。)
选择“ 范围 ”选项卡。
选择 “Contoso 的计算机组”。
选择 “添加”,然后选择“ 保存”。
选择“完成”。 你将看到新的 配置文件。
Microsoft Defender for Endpoint随时间推移添加新设置。 这些新设置将添加到架构,并将新版本发布到 GitHub。 若要获取更新,请下载更新的架构并编辑现有配置文件。 在“ 应用程序 & 自定义设置” 选项卡上,选择 “编辑架构”。
旧方法
使用以下Microsoft Defender for Endpoint配置设置:
enableRealTimeProtectionpassiveMode注意
默认情况下未启用,如果计划运行适用于 macOS 的第三方防病毒,请将其设置为
true。exclusionsexcludedPathexcludedFileExtensionexcludedFileNameexclusionsMergePolicyallowedThreats注意
EICAR 位于示例中,如果要完成概念证明,请删除它,尤其是在测试 EICAR 时。
disallowedThreatActionspotentially_unwanted_applicationarchive_bombcloudServiceautomaticSampleSubmissiontagshideStatusMenuIcon
有关信息,请参阅 JAMF 完整配置文件的属性列表。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>将文件另存为
MDATP_MDAV_configuration_settings.plist。在 Jamf Pro 仪表板中,打开“计算机”及其“配置文件”。 选择“ 新建 ”并切换到“ 常规 ”选项卡。
在“ 常规 ”选项卡上输入以下详细信息:
- 名称:
MDATP MDAV configuration settings - 说明:
<blank> - 类别:
None (default) - 分发方法:
Install Automatically (default) - 级别:
Computer Level (default)
- 名称:
在 “应用程序 & 自定义设置”中,选择“ 配置”。
) 选择“上传文件” (PLIST 文件。
在 “首选项域”中,键入
com.microsoft.wdav,然后选择“ 上传 PLIST 文件”。
选择“ 选择文件”。
选择 “MDATP_MDAV_configuration_settings.plist”,然后选择“ 打开”。
选择“上传”。
注意
如果碰巧上传Intune文件,将收到以下错误:
选择“保存”。
文件已上传。
选择“ 范围 ”选项卡。
选择 “Contoso 的计算机组”。
选择 “添加”,然后选择“ 保存”。
选择“完成”。 你将看到新的 配置文件。
步骤 4:配置通知设置
这些步骤适用于 macOS 11 (Big Sur) 或更高版本。
在 Jamf Pro 仪表板中,依次选择“计算机”、“配置文件”。
选择“新建”,然后在“选项”的“常规”选项卡中输入以下详细信息:
名称:
MDATP MDAV Notification settings说明:
macOS 11 (Big Sur) or later类别:
None *(default)*分发方法:
Install Automatically *(default)*级别:
Computer Level *(default)*
选项卡 “通知”,选择“ 添加”,然后输入以下值:
捆绑 ID:
com.microsoft.wdav.tray严重警报:选择 “禁用”
通知:选择 “启用”
横幅警报类型:选择 “包括 ”和 “临时 (默认)
锁屏界面上的通知:选择“隐藏”
通知中心中的通知:选择“显示”
锁屏提醒应用图标:选择“显示”
选项卡 “通知”,再选择“ 添加 一次”,向下滚动到 “新建通知设置”
捆绑 ID:
com.microsoft.autoupdate.fba将其余设置配置为前面提到的相同值
请注意,现在你有两个具有通知配置的表,一个用于 捆绑包 ID:com.microsoft.wdav.tray,另一个用于 捆绑包 ID:com.microsoft.autoupdate.fba。 虽然可以根据要求配置警报设置,但捆绑包 ID 必须与前面所述完全相同,并且“包含”开关对于通知必须为“打开”。
选择“ 作用域 ”选项卡,然后选择“ 添加”。
选择 “Contoso 的计算机组”。
选择“ 添加”,然后选择“ 保存”。
选择“完成”。 应会看到新的 配置文件。
步骤 5:配置 Microsoft AutoUpdate (MAU)
使用以下Microsoft Defender for Endpoint配置设置:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>将其另存为
MDATP_MDAV_MAU_settings.plist。在 Jamf Pro 仪表板中,选择“常规”。
在“ 常规 ”选项卡上输入以下详细信息:
- 名称:
MDATP MDAV MAU settings - 说明:
Microsoft AutoUpdate settings for MDATP for macOS - 类别:
None (default) - 分发方法:
Install Automatically (default) - 级别:
Computer Level (default)
- 名称:
在 “应用程序 & 自定义设置”中 ,选择“ 配置”。
) 选择“上传文件” (PLIST 文件。
在 “首选项域 ”中,选择
com.microsoft.autoupdate2“ 上传 PLIST 文件”。
选择“ 选择文件”。
选择 “MDATP_MDAV_MAU_settings.plist”。
选择“上传”。
选择“保存”。
选择“ 范围 ”选项卡。
选择“添加”。
选择“完成”。
步骤 6:授予对Microsoft Defender for Endpoint的完全磁盘访问权限
在 Jamf Pro 仪表板,选择“配置文件”。
选择“ + 新建”。
在“ 常规 ”选项卡上输入以下详细信息:
- 名称:
MDATP MDAV - grant Full Disk Access to EDR and AV - 说明:
On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control - 类别:
None - 分发方法:
Install Automatically - 级别:
Computer level
- 名称:
在 “配置隐私首选项策略控制 ”中,选择“ 配置”。
在 “隐私首选项策略控制”中,输入以下详细信息:
- 标识符:
com.microsoft.wdav - 标识符类型:
Bundle ID - 代码要求:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- 标识符:
选择“+ 添加”。
- 在 “应用或服务”下,选择“ SystemPolicyAllFiles”。
- 在 “访问权限”下,选择“ 允许”。
选择“ 保存 ” (而不是右下角) 。
+选择“应用访问”旁边的符号以添加新条目。
输入以下详细信息:
- 标识符:
com.microsoft.wdav.epsext - 标识符类型:
Bundle ID - 代码要求:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- 标识符:
选择“+ 添加”。
- 在 “应用或服务”下,选择“ SystemPolicyAllFiles”。
- 在 “访问权限”下,选择“ 允许”。
选择“ 保存 ” (而不是右下角) 。
选择“ 范围 ”选项卡。
选择“+ 添加”。
选择“计算机组”,然后在“组名称”下,选择“Contoso 的 MachineGroup”。
选择“添加”。
选择“保存”。
选择“完成”。
或者,可以下载 fulldisk.mobileconfig 并将其上传到 JAMF 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
注意
通过 Apple MDM 配置配置文件授予的完全磁盘访问权限不会反映在系统设置 => 隐私 & 安全性 => 完全磁盘访问中。
步骤 7:批准Microsoft Defender for Endpoint的系统扩展
在 “配置文件”中,选择“ + 新建”。
在“ 常规 ”选项卡上输入以下详细信息:
- 名称:
MDATP MDAV System Extensions - 说明:
MDATP system extensions - 类别:
None - 分发方法:
Install Automatically - 级别:
Computer Level
- 名称:
在 “系统扩展 ”中,选择“ 配置”。
在 “系统扩展”中,输入以下详细信息:
- 显示名称:
Microsoft Corp. System Extensions - 系统扩展类型:
Allowed System Extensions - 团队标识符:
UBF8T346G9 - 允许的系统扩展:
com.microsoft.wdav.epsextcom.microsoft.wdav.netext
- 显示名称:
选择“ 范围 ”选项卡。
选择“+ 添加”。
在“组名称>”下选择“计算机组>”,选择“Contoso 的计算机组”。
选择“+ 添加”。
选择“保存”。
选择“完成”。
步骤 8:配置网络扩展
作为终结点检测和响应功能的一部分,macOS 上的Microsoft Defender for Endpoint会检查套接字流量,并将此信息报告给Microsoft Defender门户。 以下策略允许网络扩展执行此功能。
这些步骤适用于 macOS 11 (Big Sur) 或更高版本。
在 Jamf Pro 仪表板中,依次选择“计算机”、“配置文件”。
选择“ 新建”,并为 “选项”输入以下详细信息:
选项卡 常规:
- 名称:
Microsoft Defender Network Extension - 说明:
macOS 11 (Big Sur) or later - 类别:
None *(default)* - 分发方法:
Install Automatically *(default)* - 级别:
Computer Level *(default)*
- 名称:
选项卡 内容筛选器:
- 筛选器名称:
Microsoft Defender Content Filter - 标识符:
com.microsoft.wdav - 将 “服务地址”、“ 组织”、“ 用户名”、“ 密码”、“ 证书 ”留空 (“ 包括 ” 未 选中)
- 筛选顺序:
Inspector - 套接字筛选器:
com.microsoft.wdav.netext - 套接字筛选器指定要求:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9 - 将“网络筛选器”字段留空 (未选择“包括”)
请注意, 标识符、 套接字筛选器 和 套接字筛选器指定要求 与上面指定的值完全相同。
- 筛选器名称:
选择“ 范围 ”选项卡。
选择“+ 添加”。
在“组名称>”下选择“计算机组>”,选择“Contoso 的计算机组”。
选择“+ 添加”。
选择“保存”。
选择“完成”。
或者,可以下载 netfilter.mobileconfig 并将其上传到 JAMF 配置文件,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
步骤 9:配置后台服务
警告
macOS 13 (Ventura) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法在后台运行。 Microsoft Defender for Endpoint必须在后台运行其守护程序进程。
此配置文件向Microsoft Defender for Endpoint授予后台服务权限。 如果以前通过 JAMF 配置Microsoft Defender for Endpoint,建议使用此配置文件更新部署。
从 GitHub 存储库下载 background_services.mobileconfig。
如使用 Jamf Pro 部署自定义配置文件中所述,将下载的 mobileconfig 上传到 JAMF 配置文件|方法 2:将配置文件上传到 Jamf Pro。
步骤 10:授予蓝牙权限
警告
macOS 14 (Sonoma) 包含新的隐私增强功能。 从此版本开始,默认情况下,未经明确同意,应用程序无法访问蓝牙。 如果为设备控制配置蓝牙策略,Microsoft Defender for Endpoint会使用它。
从 GitHub 存储库下载 bluetooth.mobileconfig。
警告
当前版本的 JAMF Pro 尚不支持此类有效负载。 如果按原样上传此 mobileconfig,JAMF Pro 将删除不受支持的有效负载,并且无法应用于客户端计算机。 你需要首先对下载的 mobileconfig 进行签名,之后 JAMF Pro 会将其视为“密封”,并且不会篡改它。 请参阅以下说明:
需要至少将一个签名证书安装到 KeyChain 中,即使自签名证书也有效。 可以使用以下方法检查你拥有的内容:
> /usr/bin/security find-identity -p codesigning -v 1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert" 2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)" 3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)" 4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)" 4 valid identities found选择其中任何一个,并提供带引号的文本作为 -N 参数:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig现在,你可以将生成的蓝牙签名.mobileconfig 上传到 JAMF Pro,如 使用 Jamf Pro 部署自定义配置文件中所述|方法 2:将配置文件上传到 Jamf Pro。
注意
通过 Apple MDM 配置配置文件授予的蓝牙不会反映在系统设置 => 隐私 & 安全性 => 蓝牙中。
步骤 11:在 macOS 上使用 Microsoft Defender for Endpoint 计划扫描
按照在 macOS 上使用 Microsoft Defender for Endpoint 计划扫描中的说明进行操作。
步骤 12:在 macOS 上部署Microsoft Defender for Endpoint
注意
在后续步骤中 .pkg ,文件名和 “显示名称” 值是示例。 在这些示例中, 200329 表示 (yymmdd) 格式创建包和策略的日期,并v100.86.92表示正在部署的 Microsoft Defender 应用程序的版本。
应更新这些值,以符合在包和策略环境中使用的命名约定。
导航到保存
wdav.pkg的位置。
将其重命名为
wdav_MDM_Contoso_200329.pkg。
打开 Jamf Pro 仪表板。
选择计算机并选择顶部的齿轮图标,然后选择“ 计算机管理”。
在 “包”中,选择“ + 新建”。
在 “常规”选项卡中, 在新包中输入以下详细信息:
- 显示名称:暂时将其留空。 因为它在你选择 pkg 时重置。
- 类别:
None (default) - 文件名:
Choose File
打开文件并将其指向
wdav.pkg或wdav_MDM_Contoso_200329.pkg。
选择 “打开”。 将“显示名称”设置为“Microsoft Defender高级威胁防护”和“Microsoft Defender防病毒”。
- 不需要清单文件。 Microsoft Defender for Endpoint在没有清单文件的情况下工作。
- “选项”选项卡:保留默认值。
- “限制”选项卡:保留默认值。
选择“保存”。 包将上传到 Jamf Pro。
包可能需要几分钟时间才能进行部署。
导航到 “策略” 页。
选择“ + 新建” 以创建新策略。
在 “常规”中,对于 “显示名称”,请使用
MDATP Onboarding Contoso 200329 v100.86.92 or later。
选择“ 定期签入”。
选择“保存”。
选择 “包>配置”。
选择“Microsoft Defender高级威胁防护和Microsoft Defender防病毒”旁边的“添加”按钮。
选择“保存”。
为具有Microsoft Defender配置文件的计算机Create智能组。
为了获得更好的用户体验,必须在Microsoft Defender包之前安装已注册计算机的配置文件。 在大多数情况下,JAMF Pro 会立即推送配置文件,这些策略在一段时间后执行, (即在检查) 期间执行。 但是,在某些情况下,在部署配置文件部署时可能会延迟很大, (也就是说,如果用户的计算机被锁定) 。
JAMF Pro 提供了一种确保正确顺序的方法。 可以为已接收Microsoft Defender配置文件的计算机创建一个智能组,并将Microsoft Defender包仅安装到 (计算机,并在它们收到此配置文件后立即) 。
请按照下列步骤操作:
Create智能组。 在新的浏览器窗口中,打开智能计算机组。
选择“ 新建”,并为组命名。
在“ 条件 ”选项卡上,选择“ 添加”,然后选择“ 显示高级条件”。
选择“ 配置文件名称” 作为条件,并使用以前创建的配置文件的名称作为值:
选择“保存”。
返回到配置包策略的窗口。
选择“ 范围 ”选项卡。
选择目标计算机。
在“ 作用域”下,选择“ 添加”。
切换到“计算机组”选项卡。找到创建的智能组,然后选择“添加”。
如果希望用户自愿 (或按需安装 Defender for Endpoint) ,请选择“ 自助服务”。
选择“完成”。
配置文件范围
JAMF 要求为配置文件定义一组计算机。 你需要确保接收 Defender 包的所有计算机也都接收上面列出的 所有 配置文件。
警告
JAMF 支持允许部署的智能计算机组,例如,配置文件或策略部署到与动态评估的特定条件匹配的所有计算机。 它是一个功能强大的概念,它广泛用于配置文件分发。
但是,请记住,这些条件不应包括计算机上存在 Defender。 虽然使用此条件可能听起来合乎逻辑,但它会产生难以诊断的问题。
Defender 在安装时依赖于所有这些配置文件。 根据 Defender 的存在创建配置文件实际上会延迟配置文件的部署,并导致最初不正常的产品和/或提示手动批准某些应用程序权限,否则这些权限由配置文件自动批准。
在部署配置文件后使用 Microsoft Defender 包部署策略可确保最终用户的最佳体验,因为所有必需的配置都将在包安装之前应用。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈