設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
適用於:
重要事項
本文包含如何在企業組織中設定 macOS 上 適用於端點的 Microsoft Defender 喜好設定的指示。 若要使用命令行介面在macOS上設定 適用於端點的 Microsoft Defender,請參閱資源。
摘要
在企業組織中,macOS 上的 適用於端點的 Microsoft Defender 可以透過使用數個管理工具之一所部署的組態配置檔來管理。 由安全性作業小組管理的喜好設定優先於在本機裝置上設定的喜好設定。 變更透過組態配置檔設定的喜好設定需要提升的許可權,而且沒有系統管理許可權的使用者無法使用這些許可權。
本文說明組態配置檔的結構、包含您可以用來開始使用的建議配置檔,並提供如何部署配置檔的指示。
組態配置文件結構
組態配置檔是 一個 .plist 檔案,由索引鍵 (所識別的專案所組成,該索引鍵) 代表喜好設定) 的名稱,後面接著值,這取決於喜好設定的本質。 值可以是簡單的 (,例如數值) 或複雜值,例如巢狀的喜好設定清單。
注意
組態配置檔的配置取決於您使用的管理主控台。 下列各節包含 JAMF 和 Intune 組態配置檔的範例。
組態配置檔的最上層包含 適用於端點的 Microsoft Defender 子區域的產品範圍喜好設定和專案,下一節會詳細說明。
防病毒軟體引擎喜好設定
組態配置檔的 antivirusEngine 區段可用來管理 適用於端點的 Microsoft Defender 防病毒軟體元件的喜好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | antivirusEngine |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
防病毒軟體引擎的強制層級
指定防病毒軟體引擎的強制喜好設定。 設定強制層級有三個值:
- 即時 (
real_time) :啟用存取檔案時 (掃描檔案的即時保護) 。 - 隨選 (
on_demand) :僅視需要掃描檔案。 在這裡範例中:- 即時保護已關閉。
- 被動 (
passive) :以被動模式執行防病毒軟體引擎。 在這裡範例中:- 即時保護已關閉。
- 隨選掃描已開啟。
- 自動威脅補救已關閉。
- 安全性情報更新已開啟。
- 狀態功能表圖示已隱藏。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enforcementLevel |
| 資料類型 | 字串 |
| 可能值 | real_time (默认) on_demand 被動 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.10.72 版或更新版本。 |
設定檔案哈希計算功能
啟用或停用檔案哈希計算功能。 啟用此功能時,適用於端點的 Defender 會計算所掃描檔案的哈希,以針對指標規則進行更好的比對。 在 macOS 上,只有腳本和 Mach-O (32 和 64 位) 檔案會考慮此哈希計算 (來自引擎 1.1.20000.2 版或更新版本的) 。 請注意,啟用這項功能可能會影響裝置效能。 如需詳細資訊,請參閱:Create 檔案指標。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enableFileHashComputation |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 適用於端點的 Defender 101.86.81 版或更新版本中提供。 |
更新定義之後執行掃描
指定在裝置上下載新的安全情報更新之後,是否要啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanAfterDefinitionUpdate |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
僅掃描封存 (視需要的防病毒軟體掃描)
指定是否要在隨選防病毒軟體掃描期間掃描封存。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanArchives |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
隨選掃描的平行處理原則程度
指定隨選掃描的平行處理原則程度。 這會對應至用來執行掃描並影響 CPU 使用量的線程數目,以及隨選掃描的持續時間。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | maximumOnDemandScanThreads |
| 資料類型 | 整數 |
| 可能值 | 2 (預設) 。 允許的值是介於 1 到 64 之間的整數。 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.41.10 版或更新版本。 |
排除合併原則
指定排除範圍的合併原則。 這可以是系統管理員定義和用戶定義的排除 () merge 的組合,或只有系統管理員定義的排除 (admin_only) 。 此設定可用來限制本機用戶定義自己的排除範圍。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | exclusionsMergePolicy |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於 適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
掃描排除專案
指定從掃描中排除的實體。 排除專案可以透過完整路徑、擴展名或檔名來指定。 (排除專案指定為項目數位,系統管理員可以視需要指定任意數量的元素。)
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 排除 |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
排除類型
指定從類型掃描中排除的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | $type |
| 資料類型 | 字串 |
| 可能值 | excludedPath excludedFileExtension excludedFileName |
排除內容的路徑
指定從完整檔案路徑掃描中排除的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 路徑 |
| 資料類型 | 字串 |
| 可能值 | 有效路徑 |
| Comments | 只有在已排除 $type 時才適用 Path |
支援的排除類型
下表顯示 Mac 上適用於端點的 Defender 所支援的排除類型。
| 排除 | 定義 | 範例 |
|---|---|---|
| 副檔名 | 所有具有擴充功能的檔案,位於裝置上的任何位置 | .test |
| 檔案 | 完整路徑所識別的特定檔案 | /var/log/test.log |
| 資料夾 | 指定資料夾下的所有檔案 (遞歸) | /var/log/ |
| 程序 | 特定進程 (由完整路徑或檔名指定) 以及其開啟的所有檔案 | /bin/cat |
重要事項
上述路徑必須是硬式連結,而不是符號連結,才能成功排除。 您可以執行 來檢查路徑是否為符號連結 file <path-name>。
檔案、資料夾和行程排除項目支援下列通配符:
| 萬用字元 | 描述 | 範例 | 相符 | 不相符 |
|---|---|---|---|---|
| * | 比對任意數目的任何字元,包括無 (請注意,在路徑內使用此通配符時,只會取代一個資料夾) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | 比對任何單一字元 | file?.log |
file1.log |
file123.log |
檔案/目錄 () 路徑類型
指出 路徑 屬性是否參考檔案或目錄。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | isDirectory |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
| Comments | 只有在已排除 $type 時才適用 Path |
從掃描中排除擴展名
指定從擴展名掃描中排除的內容。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 擴展 |
| 資料類型 | 字串 |
| 可能值 | 有效的擴展名 |
| Comments | 只有在 排除$type 時才適用 FileExtension |
從掃描中排除的進程
指定從掃描中排除所有檔案活動的程式。 進程可以透過其名稱 (指定, cat 例如,) 或完整路徑 (例如 /bin/cat ,) 。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | name |
| 資料類型 | 字串 |
| 可能值 | 任何字串 |
| Comments | 只有在已排除$typeFileName 時才適用 |
允許的威脅
依名稱指定 Mac 上適用於端點的 Defender 未封鎖的威脅。 這些威脅將可執行。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | allowedThreats |
| 資料類型 | 字串陣列 |
不允許的威脅動作
限制偵測到威脅時,裝置的本機使用者可以採取的動作。 此清單中包含的動作不會顯示在使用者介面中。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | disallowedThreatActions |
| 資料類型 | 字串陣列 |
| 可能值 | 允許 (限制使用者允許威脅) 還原 (會限制使用者從隔離) 還原威脅 |
| Comments | 適用於 適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
威脅類型設定
指定 macOS 上 適用於端點的 Microsoft Defender 如何處理特定威脅類型。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | threatTypeSettings |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
威脅類型
指定威脅類型。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 機碼 |
| 資料類型 | 字串 |
| 可能值 | potentially_unwanted_application archive_bomb |
要採取的動作
指定在偵測到上一節中所指定類型的威脅時,要採取的動作。 從下列選項中選擇:
- 稽核:您的裝置不會受到這類威脅的保護,但會記錄威脅的相關專案。
- 封鎖:您的裝置會受到保護,免於遭受這類威脅,而且會在使用者介面和安全性控制台中通知您。
- 關閉:您的裝置不會受到這類威脅的保護,而且不會記錄任何專案。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 數值 |
| 資料類型 | 字串 |
| 可能值 | 稽核 (預設) 塊 關閉 |
威脅類型設定合併原則
指定威脅類型設定的合併原則。 這可以是系統管理員定義和使用者定義設定的組合, () merge 或只有系統管理員定義的設定 (admin_only) 。 此設定可用來限制本機用戶針對不同的威脅類型定義自己的設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | threatTypeSettingsMergePolicy |
| 資料類型 | 字串 |
| 可能值 | 合併 (預設) admin_only |
| Comments | 適用於 適用於端點的 Microsoft Defender 100.83.73 版或更新版本。 |
防病毒軟體掃描歷程記錄保留 (天數)
指定在裝置上的掃描歷程記錄中保留結果的天數。 舊的掃描結果會從歷程記錄中移除。 從磁盤中移除的舊隔離檔案。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanResultsRetentionDays |
| 資料類型 | 字串 |
| 可能值 | 90 (預設) 。 允許的值是從1天到180天。 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.07.23 版或更新版本。 |
防病毒軟體掃描記錄中的項目數目上限
指定要保留在掃描記錄中的項目數目上限。 專案包括過去執行的所有隨選掃描,以及所有防病毒軟體偵測。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | scanHistoryMaximumItems |
| 資料類型 | 字串 |
| 可能值 | 10000 (預設) 。 允許的值從 5000 個專案到 15000 個專案。 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.07.23 版或更新版本。 |
雲端式保護喜好設定
在macOS上設定 適用於端點的 Microsoft Defender的雲端驅動保護功能。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | cloudService |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
啟用/停用雲端式保護
指定是否要啟用裝置的雲端式保護。 若要改善服務的安全性,建議您保持開啟此功能。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 啟用 |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
診斷收集層級
診斷數據可用來確保 適用於端點的 Microsoft Defender 安全且最新、偵測、診斷和修正問題,以及改善產品。 此設定會決定 適用於端點的 Microsoft Defender 傳送給 Microsoft 的診斷層級。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | diagnosticLevel |
| 資料類型 | 字串 |
| 可能值 | 選擇性 (預設) 必要 |
設定雲端區塊層級
此設定會決定適用於端點的 Defender 封鎖和掃描可疑檔案的積極程度。 如果此設定已開啟,適用於端點的 Defender 在識別要封鎖和掃描的可疑檔案時會更積極;否則,它會較不積極,因此會以較少的頻率封鎖和掃描。 設定雲端區塊層級有五個值:
- 一般 (
normal) :預設封鎖層級。 - 中等 (
moderate) :僅針對高信賴度偵測傳遞決策。 - 高 (
high) :在優化效能的同時積極封鎖未知的檔案 (封鎖非有害檔案) 的機率更大。 - 高加 ()
high_plus:積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能) 。 - 零容錯 (
zero_tolerance) :封鎖所有未知的程式。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | cloudBlockLevel |
| 資料類型 | 字串 |
| 可能值 | 一般 (預設) 溫和 高 high_plus zero_tolerance |
| Comments | 適用於端點的 Defender 101.56.62 版或更新版本中提供。 |
啟用/停用自動提交範例
判斷是否將可能包含威脅的可疑 () 傳送給 Microsoft。 如果提交的檔案可能包含個人資訊,系統會提示您。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | automaticSampleSubmission |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
啟用/停用自動安全情報更新
判斷是否自動安裝安全性情報更新:
| 區段 | 值 |
|---|---|
| 機碼 | automaticDefinitionUpdateEnabled |
| 資料類型 | 布林值 |
| 可能值 | true (預設) 假 |
用戶介面喜好設定
管理 macOS 上 適用於端點的 Microsoft Defender 使用者介面的喜好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | userInterface |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
顯示/隱藏狀態功能表圖示
指定是否要顯示或隱藏畫面右上角的狀態功能表圖示。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | hideStatusMenuIcon |
| 資料類型 | 布林值 |
| 可能值 | false (預設) 真 |
顯示/隱藏傳送意見反應的選項
指定使用者是否可以前往 ,將意見反應提交給 Help>Send FeedbackMicrosoft。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | userInitiatedFeedback |
| 資料類型 | 字串 |
| 可能值 | 已啟用 (預設) 禁用 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.19.61 版或更新版本。 |
控制 Microsoft Defender 取用者版本的登入
指定使用者是否可以登入取用者版本的 Microsoft Defender。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | consumerExperience |
| 資料類型 | 字串 |
| 可能值 | 已啟用 (預設) 禁用 |
| Comments | 適用於 適用於端點的 Microsoft Defender 101.60.18 版或更新版本。 |
端點偵測和回應喜好設定
在macOS上管理端點偵測和回應 (EDR) 元件的 適用於端點的 Microsoft Defender 喜好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | edr |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
裝置標籤
指定標記名稱及其值。
- GROUP 標記會以指定的值標記裝置。 標籤會反映在入口網站的 [裝置] 頁面下,並可用於篩選和分組裝置。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 標記 |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
標記的類型
指定標記的類型
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 機碼 |
| 資料類型 | 字串 |
| 可能值 | GROUP |
標記的值
指定標記的值
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 數值 |
| 資料類型 | 字串 |
| 可能值 | 任何字串 |
重要事項
- 每個標籤只能設定一個值。
- 標記的類型是唯一的,而且不應該在相同的組態配置檔中重複。
群組標識碼
EDR 群組標識碼
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | groupIds |
| 資料類型 | 字串 |
| Comments | 群組標識碼 |
竄改保護
管理 macOS 上 適用於端點的 Microsoft Defender 的竄改保護元件喜好設定。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | tamperProtection |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
強制層級
如果已啟用竄改保護,且其處於嚴格模式
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | enforcementLevel |
| 資料類型 | 字串 |
| Comments | 其中一個「已停用」、「稽核」或「封鎖」 |
可能的值:
- disabled - 已關閉竄改保護,無法防止攻擊或向雲端報告
- 稽核 - 竄改保護只會報告對雲端的竄改嘗試,但不會封鎖它們
- 封鎖 - 竄改保護會封鎖並報告對雲端的攻擊
排除項目
定義允許改變 Microsoft Defender 資產的程式,而不考慮竄改。 必須提供path、teamId或 signingId 或其組合。 此外,還可以提供 Arg,以更精確地指定允許的程式。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 排除 |
| 資料類型 | 巢狀喜好設定 (字典) |
| Comments | 如需字典內容的描述,請參閱下列各節。 |
路徑
進程可執行檔的確切路徑。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | 路徑 |
| 資料類型 | 字串 |
| Comments | 如果是殼層文稿,則會是解釋器二進位檔的確切路徑,例如 。 /bin/zsh 不允許通配符。 |
小組標識碼
Apple 廠商的「小組標識碼」。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | teamId |
| 資料類型 | 字串 |
| Comments | 例如, UBF8T346G9 針對 Microsoft |
簽署標識碼
Apple 套件的「簽署標識碼」。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | signingId |
| 資料類型 | 字串 |
| Comments | 例如, com.apple.ruby 針對 Ruby 解釋器 |
處理自變數
與其他參數搭配使用以識別進程。
| 區段 | 值 |
|---|---|
| 網域 | com.microsoft.wdav |
| 機碼 | signingId |
| 資料類型 | 字串陣列 |
| Comments | 如果指定,進程自變數必須完全符合這些自變數,區分大小寫 |
建議的組態配置檔
若要開始使用,我們建議您的企業使用 適用於端點的 Microsoft Defender 提供的所有保護功能來進行下列設定。
下列組態配置檔 (或者,如果是 JAMF,可以上傳至自定義設定組態設定檔的屬性清單) :
- 啟用即時保護 (RTP)
- 指定如何處理下列威脅類型:
- 可能不想要的應用程式 (PUA) 遭到封鎖
- 系統會稽核具有高壓縮速率) 的封存封存 (檔案,以 適用於端點的 Microsoft Defender 記錄
- 啟用自動安全性情報更新
- 啟動雲端提供的保護
- 啟用自動提交範例
JAMF 建議組態配置檔的屬性清單
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune 建議的配置檔
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
完整組態配置檔範例
下列範本包含本檔所述之所有設定的專案,而且可用於更進階的案例,其中您想要更充分掌控 macOS 上的 適用於端點的 Microsoft Defender。
JAMF 完整組態配置檔的屬性清單
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune 完整配置檔
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
屬性清單驗證
屬性清單必須是有效的 .plist 檔案。 您可以執行下列動作來檢查:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
如果檔案的格式正確,上述命令會 OK 輸出並傳回 的 0結束代碼。 否則,會顯示描述問題的錯誤,且命令會傳回的 1結束代碼。
組態配置檔部署
為企業建置組態配置檔之後,您可以透過企業所使用的管理主控台進行部署。 下列各節提供如何使用 JAMF 和 Intune 部署此設定檔的指示。
JAMF 部署
從 JAMF 控制台開啟 [計算機>組態配置檔],流覽至您想要使用的組態配置檔,然後選取 [ 自定義設定]。 Create 做為喜好設定網域的專案com.microsoft.wdav,並上傳稍早產生的 .plist。
注意
您必須輸入正確的喜好設定網域 (com.microsoft.wdav) ;否則,適用於端點的 Microsoft Defender 將無法辨識喜好設定。
Intune部署
開 啟 [裝置>組態配置檔]。 選取 建立設定檔。
選擇設定檔的名稱。 將 Platform=macOS 變更為 [配置檔類型=範本 ],然後在 [範本名稱] 區段中選擇 [ 自定義 ]。 選 取 [設定]。
將稍早產生的 .plist 儲存為
com.microsoft.wdav.xml。輸入
com.microsoft.wdav作為 自定義組態配置檔名稱。開啟組態配置檔並上傳
com.microsoft.wdav.xml檔案。 (此檔案是在步驟 3.) 中建立的選取 [確定]。
選 取 [管理>指派]。 在 [ 包含] 索 引標籤中,選 取 [指派給所有使用者 & 所有裝置]。
注意
您必須輸入正確的自定義組態配置檔名稱;否則,適用於端點的 Microsoft Defender 將無法辨識這些喜好設定。
資源
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應