在 macOS 上手动部署Microsoft Defender for Endpoint

项目
04/30/2024

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

本文介绍如何在 macOS 上手动部署Microsoft Defender for Endpoint。成功的部署需要完成以下所有步骤：

下载安装和载入包
应用程序安装 (macOS 11 及更新版本)
载入包
授予完整磁盘访问权限
确保后台执行

先决条件和系统要求

在开始之前，请参阅 macOS 上的main Microsoft Defender for Endpoint页，了解当前软件版本的先决条件和系统要求的说明。

下载安装和载入包

从 Microsoft Defender 门户下载安装和载入包。

警告

不支持重新打包 Defender for Endpoint 安装包。这样做可能会对产品的完整性产生负面影响，并导致不良结果，包括但不限于触发篡改警报和无法应用的更新。

在Microsoft Defender门户中，转到“设置>终结点”“>设备管理>载入”。
在页面的第 1 部分，将操作系统设置为 macOS ，将部署方法设置为 本地脚本。
在页面的第 2 部分，选择 “下载安装包”。将其另存为本地目录wdav.pkg。
在页面的第 2 部分，选择 “下载载入包”。将其作为 WindowsDefenderATPOnboardingPackage.zip 保存到同一目录。
在命令提示符下，验证是否具有这两个文件。
- 键入 cd Downloads ，然后按 Enter。
- 键入 ls 并按 Enter。
将wdav.pkg和 MicrosoftDefenderATPOnboardingMacOs.sh 复制到要在 macOS 上部署Microsoft Defender for Endpoint的设备。

应用程序安装 (macOS 11 及更新版本)

若要完成此过程，必须在设备上具有管理员权限。

请按照以下步骤之一操作：
- 导航到 Finder 中下载的wdav.pkg并将其打开。
或
- 可以从终端下载wdav.pkg
```
sudo installer -store -pkg /Users/admin/Downloads/wdav.pkg -target /
```
选择继续。
通读 软件许可协议 ，然后选择“ 继续 ”以同意条款。
通读最终用户 许可协议 (EULA) 并选择 “同意”。
从“目标选择”中，选择要安装Microsoft Defender软件的磁盘，例如 Macintosh HD，然后选择“继续”。

注意

安装所需的磁盘空间量约为 777 MB。
若要更改安装目标，请选择“ 更改安装位置...”。
单击“安装”。
出现提示时输入密码。
单击“ 安装软件”。
安装过程结束时，对于 macOS Big Sur (11.0) 或最新版本，系统会提示你批准产品使用的系统扩展。选择“ 打开安全首选项”。
若要启用系统扩展，请选择“ 详细信息”。
在“安全 & 隐私”窗口中，选中“Microsoft Defender”旁边的复选框，然后选择“确定”。
对 Mac 上随 Microsoft Defender for Endpoint 分发的所有系统扩展重复步骤 11 和 12。
作为终结点检测和响应功能的一部分，Mac 上的 Microsoft Defender for Endpoint 会检查套接字流量，并将此信息报告给 Microsoft Defender 门户。当系统提示授予Microsoft Defender for Endpoint筛选网络流量的权限时，请选择“允许”。

若要排查系统扩展问题，请参阅排查系统扩展问题。

允许完整磁盘访问

macOS Catalina (10.15) 及更新版本要求向Microsoft Defender for Endpoint授予完全磁盘访问权限，以便能够保护和监视。

注意

对Microsoft Defender for Endpoint授予完全磁盘访问权限是 Apple 针对包含个人数据的文件和文件夹的所有第三方软件的新要求。

授予完全磁盘访问权限：

打开 系统首选项>安全性 & 隐私>隐私>完全磁盘访问。单击锁图标以 (对话框底部) 进行更改。
向 Microsoft Defender 和 Microsoft Defenders Endpoint Security Extension 授予“完全磁盘访问权限”。
选择“ 常规>重启 ”，使新的系统扩展生效。
在块模式下启用 可能不需要的应用程序 (PUA) 。

若要启用 PUA，请参阅配置 PUA 保护。
启用 网络保护。

若要启用 网络保护，请参阅手动部署。
启用 设备控制。

若要启用 设备控制，请参阅 macOS 的设备控制。
在块模式下启用 篡改防护 。

若要启用 篡改防护，请参阅使用篡改防护保护 MacOS 安全设置。
如果你有 Microsoft Purview - 终结点数据丢失防护许可证，可以查看 Microsoft Purview 入门 - 终结点数据丢失防护。

后台执行

从 macOS 13 开始，用户必须显式允许应用程序在后台运行。 macOS 将弹出提示，告知用户Microsoft Defender可以在后台运行。

显示后台项目通知的屏幕截图

可以随时在系统设置 = 登录项 =>> 允许在后台查看允许在后台运行的应用程序：

显示背景项的屏幕截图

请确保启用所有Microsoft Defender和 Microsoft Corporation 项。如果它们被禁用，则 macOS 在计算机重启后不会启动Microsoft Defender。

蓝牙权限

从 macOS 14 开始，用户必须显式允许应用程序访问蓝牙。 macOS 将弹出一条提示，告知用户Microsoft Defender可以访问蓝牙 (仅在对设备控制) 使用基于蓝牙的策略时适用。单击“允许”以授予访问蓝牙Microsoft Defender。

显示蓝牙访问请求的屏幕截图

可以在系统设置 = 隐私>设置 => 蓝牙中确认授予权限。

显示“查看蓝牙访问”的屏幕截图

载入包

在 macOS 客户端上安装MDE后，现在必须载入包，该包将注册到Microsoft Defender for Endpoint租户并为其许可。

验证 macOS 上的MDE是否已载入。

将wdav.pkg和 MicrosoftDefenderATPOnboardingMacOs.sh 复制到已在 macOS 上部署Microsoft Defender for Endpoint的设备。

客户端设备与 org_id不关联。 org_id 属性为空。
```
mdatp health --field org_id
```

运行 Bash 脚本以安装载入包：

sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh

验证设备现在是否与组织关联，并报告有效的组织 ID：
```
mdatp health --field org_id
```
安装后，你将在右上角的 macOS 状态栏中看到Microsoft Defender图标。

可以排查 macOS 上Microsoft Defender for Endpoint的许可证问题。
运行连接测试。
```
mdatp connectivity test
```

可以排查 macOS 上Microsoft Defender for Endpoint的云连接问题。

验证反恶意软件检测

请参阅以下文章以测试反恶意软件检测评审：防病毒检测测试以验证设备载入和报告服务

验证 EDR 检测

请参阅以下文章以测试 EDR 检测评审： EDR 检测测试以验证设备载入和报告服务。

日志记录安装问题

有关如何查找安装程序创建的自动生成的日志的详细信息，请参阅日志记录安装问题。

有关故障排除过程的信息，请参阅：

卸载

有关如何从客户端设备中删除 macOS 上的Microsoft Defender for Endpoint的详细信息，请参阅卸载。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。
如果有任何想要共享的反馈，请在设备上打开 Microsoft Defender Endpoint，然后导航到“帮助>发送反馈”来提交该反馈。