在macOS上使用 適用於端點的 Microsoft Defender 排程掃描
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
將內建掃描排程至 macOS 上的 適用於端點的 Microsoft Defender
雖然您可以使用 適用於端點的 Microsoft Defender 隨時啟動威脅掃描,但您的企業可能會受益於排程或定時掃描。 例如,您可以將掃描排程在每個工作日或星期的開頭執行。
可設定的排程掃描有三種類型:每小時、每日和每周掃描。 每小時和每日排程的掃描一律會以快速掃描的方式執行,每周掃描可以設定為快速或完整掃描。 您可以同時進行這三種類型的排程掃描。 請參閱下列範例。
必要條件:
- 平臺更新版本: 101.23122.0005 或更新版本
在macOS上使用 適用於端點的 Microsoft Defender排程掃描
您可以為macOS建立排程掃描,其內建於macOS上 適用於端點的 Microsoft Defender。
如需這裡所使用 之 .plist 檔案格式的詳細資訊,請參閱 Apple 開發人員官方網站的 關於資訊屬性清單檔案 。
下列範例顯示 macOS 上排程掃描的每日和/或每周設定。
提示
排程是以裝置的當地時區為基礎。
| 參數 | 此參數可接受的值為: |
|---|---|
| scheduledScan | 已啟用或停用 |
| scanType | 快速或完整 |
| ignoreExclusions | true 或 false |
| lowPriorityScheduledScan | true 或 false |
| dayOfWeek | 範圍介於 0 到 8 之間。 - 0:每天 - 1:星期日 - 2:星期一 - 3:星期二 - 4:星期三 - 5:星期四 - 6:星期五 - 7:星期六 - 8:永不 |
| timeOfDay | 指定執行排程掃描的當日時間,做為 午夜之後的分鐘數。 時間是指電腦上的當地時間。 如果您未指定此參數的值,排程掃描會在午夜后兩小時的默認時間執行。 |
| 區間 | 0 (永遠不會) ,每隔 1 (小時) 到 24 (小時,每天 1 次掃描) |
| randomizeScanStartTime | 僅適用於每日快速掃描或每周快速/完整掃描。 將掃描的開始時間隨機化最多指定的時數。 例如,如果掃描排程為下午 2 點,且 randomizeScanStartTime 設為 2,則掃描會在下午 2 點到下午 4 點之間隨機開始。 |
排定的掃描會在您於 plist 中定義的日期、時間和頻率執行。
範例 1:使用 plist 排程每日快速掃描和每周完整掃描
在下列範例中,每日快速掃描組態設定為在午夜 (下午 2:45 ) 885 分鐘執行。
每周設定設定為在星期三午夜 (下午 2:40 ) 880 分鐘執行完整掃描。
而且它會設定為忽略排除專案,並執行低優先順序掃描。
下列程式代碼顯示您需要根據上述需求來排程掃描所需的架構。
- 開啟文字編輯器,並使用此範例作為您自己排程掃描檔案的指南。
針對 Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- 將檔案儲存為 com.microsoft.wdav.mobileconfig。
針對 JamF 和其他第三方 MDM:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
將檔案儲存為 com.microsoft.wdav.plist。
檢查已透過「設定喜好設定」設定排程掃描
mdatp health --details scheduled_scan在結果中,您應該可以看到 [managed]。
範例 2:使用 plist 排程每小時快速掃描、每日快速掃描和每周完整掃描
在下列範例中,每小時的快速掃描會每隔 6 小時執行一次,每日快速掃描組態會設定為在午夜 (下午 2:45 ) 885 分鐘執行,而每周完整掃描會在午夜 (下午 2:40) 之後的 880 分鐘執行。
針對 Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- 將檔案儲存為 com.microsoft.wdav.mobileconfig。
針對 JamF 和其他第三方 MDM:
- 開啟文字編輯器並使用此範例。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
將檔案儲存為 com.microsoft.wdav.plist。
檢查已透過「設定喜好設定」設定排程掃描
mdatp health --details scheduled_scan在結果中,您應該可以看到 [managed]。
選項3:透過 CLI 工具設定排程掃描
若要啟用排程掃描功能:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更新版本 | sudo mdatp config scheduled-scan settings feature --value enabled |
若要排程每小時的快速掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更新版本 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
若要排程每日快速掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更新版本 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
若要排程每周掃描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更新版本 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
如需其他設定選項:
若要在排程掃描之前檢查定義更新:
sudo mdatp config scheduled-scan settings check-for-definitions --value true若要使用低優先順序線程進行排程掃描:
sudo mdatp config scheduled-scan settings low-priority --value true
檢查排定的掃描是否已執行
使用下列命令:
mdatp scan list
\<snip\>
重要事項
當裝置處於睡眠狀態時,排程掃描不會在排程的時間執行。 相反地,當裝置從睡眠模式繼續時,會執行排程掃描。 如果裝置已關閉,掃描會在下一個排定的掃描時間執行。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應