Nasazení Microsoft Defender for Endpoint v systému macOS pomocí Microsoft Intune

  • Článek

Platí pro:

Tento článek popisuje, jak nasadit Microsoft Defender for Endpoint v systému macOS prostřednictvím Microsoft Intune.

Požadavky a požadavky na systém

Než začnete, podívejte se na hlavní Microsoft Defender for Endpoint na stránce macOS, kde najdete popis požadavků a požadavků na systém pro aktuální verzi softwaru.

Přehled

Následující tabulka shrnuje postup nasazení a správy Microsoft Defender for Endpoint na počítačích Mac prostřednictvím Microsoft Intune. Podrobnější kroky najdete v následující tabulce:

Krok Název ukázkového souboru Identifikátor sady
Schválení rozšíření systému sysext.mobileconfig Není k dispozici.
Zásady rozšíření sítě netfilter.mobileconfig Není k dispozici.
Úplný přístup k disku fulldisk.mobileconfig com.microsoft.wdav.epsext
Microsoft Defender for Endpoint nastavení konfigurace

Pokud plánujete na Macu spustit antivirovou ochranu od jiného uživatele než Microsoft, nastavte passiveMode na true.		 MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Služby na pozadí background_services.mobileconfig Není k dispozici.
Konfigurace oznámení Microsoft Defender for Endpoint notif.mobileconfig com.microsoft.wdav.tray
Nastavení přístupnosti accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Konfigurace Microsoft AutoUpdate (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Řízení zařízení DeviceControl.mobileconfig Není k dispozici.
Ochrana před únikem informací DataLossPrevention.mobileconfig Není k dispozici.
Stažení balíčku pro onboarding WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Nasazení Microsoft Defender for Endpoint v aplikaci pro macOS Wdav.pkg Není k dispozici.

Vytvoření profilů konfigurace systému

Dalším krokem je vytvoření profilů konfigurace systému, které Microsoft Defender for Endpoint potřeba. V Centru pro správu Microsoft Intune otevřeteProfily konfiguracezařízení>.

Krok 1: Schválení systémových rozšíření

  1. V Centru pro správu Intune přejděte na Zařízení a v části Spravovat zařízení vyberte Konfigurace.

  2. V části Konfigurační profily vyberte Vytvořit profil.

  3. Na kartě Zásady vyberte Vytvořit>novou zásadu.

  4. V části Platforma vyberte macOS.

  5. V části Typ profilu vyberte Katalog nastavení.

  6. Vyberte Vytvořit.

  7. Na kartě Základy zadejte název profilu a zadejte Popis. Pak vyberte Další.

  8. Na kartě Nastavení konfigurace vyberte+ Přidat nastavení.

  9. V části Název šablony vyberte Rozšíření.

  10. Ve výběru Nastavení rozbalte kategorii Konfigurace systému a pak vyberte System ExtensionsAllowed System Extensions (Povolená systémová rozšíření):>

    Snímek obrazovky znázorňující výběr nastavení

  11. Zavřete výběr Nastavení a pak vyberte + Upravit instanci.

  12. V části Allowed system extensions (Povolená rozšíření systému) nakonfigurujte následující položky a pak vyberte Next (Další).

    Povolená systémová rozšíření Identifikátor týmu
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Snímek obrazovky s povolenými rozšířeními systému

  13. Na kartě Přiřazení přiřaďte profil ke skupině, ve které se nacházejí zařízení nebo uživatelé s macOS.

  14. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 2: Filtr sítě

V rámci možností detekce a odezvy koncových bodů Microsoft Defender for Endpoint v systému macOS kontroluje provoz soketů a hlásí tyto informace portálu Microsoft 365 Defender. Následující zásady umožňují, aby tuto funkci provádělo síťové rozšíření.

Stáhněte si netfilter.mobileconfig z úložiště GitHub.

Důležité

Podporuje se pouze jeden .mobileconfig (plist) pro síťový filtr. Přidání více síťových filtrů vede k problémům s připojením k síti na Macu. Tento problém není specifický pro Defender for Endpoint v macOS.

Konfigurace síťového filtru:

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

  6. Na kartě Základy zadejte název profilu. Například: NetFilter-prod-macOS-Default-MDE. Poté vyberte Další.

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: NetFilter-prod-macOS-Default-MDE.

  8. Zvolte kanál nasazení a vyberte Další.

  9. Vyberte soubor konfiguračního profilu a pak vyberte Další.

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 3: Úplný přístup k disku

Poznámka

Počínaje macOS Catalina (10.15) nebo novějším, aby se zajistilo soukromí pro koncové uživatele, vytvořilo FDA (Full Disk Access). PovoleníM TCC (transparentnost, vyjádření souhlasu & řízení) prostřednictvím řešení pro mobilní Správa zařízení, jako je Intune, se eliminuje riziko, že Defender for Endpoint ztratí plnou autorizaci přístupu k disku, aby fungoval správně.

Tento konfigurační profil uděluje úplný přístup k disku Microsoft Defender for Endpoint. Pokud jste dříve nakonfigurovali Microsoft Defender for Endpoint prostřednictvím Intune, doporučujeme aktualizovat nasazení pomocí tohoto konfiguračního profilu.

Stáhněte si soubor fulldisk.mobileconfig z úložiště GitHub.

Konfigurace úplného přístupu k disku:

  1. V Centru pro správu Intune vyberte v části Konfigurační profilymožnost Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní a pak vyberte Vytvořit.

  5. Na kartě Základy zadejte název profilu. Například: FullDiskAccess-prod-macOS-Default-MDE. Pak vyberte Další.

  6. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: FullDiskAccess-prod-macOS-Default-MDE.

  7. Zvolte kanál nasazení a pak vyberte Další.

  8. Vyberte soubor konfiguračního profilu.

  9. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  10. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Poznámka

Úplný přístup k disku udělený prostřednictvím konfiguračního profilu Apple MDM se neprojeví v nastavení > systému ochrana osobních údajů & zabezpečení > úplný přístup k disku.

Krok 4: Služby na pozadí

Upozornění

macOS 13 (Ventura) obsahuje nová vylepšení ochrany osobních údajů. Počínaje touto verzí se aplikace ve výchozím nastavení nedají spustit na pozadí bez výslovného souhlasu. Microsoft Defender for Endpoint musí proces démona spustit na pozadí. Tento konfigurační profil uděluje službě na pozadí oprávnění k Microsoft Defender for Endpoint. Pokud jste dříve nakonfigurovali Microsoft Defender for Endpoint prostřednictvím Microsoft Intune, doporučujeme aktualizovat nasazení pomocí tohoto konfiguračního profilu.

Stáhněte si background_services.mobileconfig z úložiště GitHub.

Konfigurace služeb na pozadí:

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

  6. Na kartě Základy zadejte název profilu. Například: BackgroundServices-prod-macOS-Default-MDE. Pak vyberte Další.

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: backgroundServices-prod-macOS-Default-MDE.

  8. Zvolte kanál nasazení a vyberte Další.

  9. Vyberte soubor konfiguračního profilu.

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 5: Oznámení

Tento profil umožňuje Microsoft Defender for Endpoint v systémech macOS a Microsoft AutoUpdate zobrazovat oznámení v uživatelském rozhraní.

Stáhněte si notif.mobileconfig z úložiště GitHub.

Pokud chcete vypnout oznámení pro koncové uživatele, můžete v souboru notif.mobileconfig změnit možnost Show NotificationCenter z true na false .

Snímek obrazovky znázorňující soubor notif.mobileconfig s funkcí ShowNotificationCenter nastavenou na hodnotu True

Konfigurace oznámení:

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

  6. Na kartě Základy zadejte název profilu. Například: Notify-prod-macOS-Default-MDE. Pak vyberte Další.

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: Notif.mobileconfig.

  8. Zvolte kanál nasazení a pak vyberte Další.

  9. Vyberte soubor konfiguračního profilu.

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 6: Nastavení přístupnosti

Tento profil slouží k povolení přístupu Microsoft Defender for Endpoint v systému macOS k nastavení přístupnosti v systému Apple macOS High Sierra (10.13.6) a novějších.

Stáhněte si accessibility.mobileconfig z úložiště GitHub.

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

  6. Na kartě Základy zadejte název profilu. Například: Accessibility-prod-macOS-Default-MDE. Pak vyberte Další.

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: Accessibility.mobileconfig.

  8. Zvolte kanál nasazení a vyberte Další.

  9. Vyberte soubor konfiguračního profilu.

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 7: Oprávnění Bluetooth

Upozornění

macOS 14 (Sonoma) obsahuje nová vylepšení ochrany osobních údajů. Počínaje touto verzí nemají aplikace ve výchozím nastavení přístup k Bluetooth bez výslovného souhlasu. Microsoft Defender for Endpoint ho používá, pokud nakonfigurujete zásady Bluetooth pro Řízení zařízení.

Stáhněte si bluetooth.mobileconfig z úložiště GitHub a použijte stejný pracovní postup jako v kroku 6: Nastavení přístupnosti pro povolení přístupu přes Bluetooth.

Poznámka

Bluetooth udělený prostřednictvím konfiguračního profilu Apple MDM se neprojeví v Nastavení systému => Ochrana osobních údajů & Zabezpečení => Bluetooth.

Krok 8: Microsoft AutoUpdate

Tento profil slouží k aktualizaci Microsoft Defender for Endpoint v systému macOS přes Microsoft AutoUpdate (MAU). Pokud nasazujete Microsoft Defender for Endpoint v systému macOS, máte možnosti získat aktualizovanou verzi aplikace (Aktualizace platformy), které jsou v různých kanálech uvedených tady:

  • Beta verze (účastníci programu Insider Fast)
  • Aktuální kanál (Preview, Účastníci programu Insider-Slow)
  • Aktuální kanál (produkční)

Další informace najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v macOS.

Stáhněte si com.microsoft.autoupdate2.mobileconfig z úložiště GitHub.

Poznámka

Ukázka com.microsoft.autoupdate2.mobileconfig z úložiště GitHub je nastavená na Aktuální kanál (produkční).

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

  6. Na kartě Základy zadejte název profilu. Například: Autoupdate-prod-macOS-Default-MDE. Pak vyberte Další.

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: com.microsoft.autoupdate2.mobileconfig.

  8. Zvolte kanál nasazení a vyberte Další.

  9. Vyberte soubor konfiguračního profilu.

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

Krok 9: Microsoft Defender for Endpoint nastavení konfigurace

V tomto kroku si projdeme předvolby, které vám umožní konfigurovat antimalwarové zásady a zásady EDR pomocí Microsoft Intune (https://intune.microsoft.com).

9a. Nastavení zásad pomocí portálu Microsoft Defender

Nastavte zásady pomocí portálu Microsoft Defender pomocí následujících pokynů nebo pomocí Microsoft Intune:

  1. Než nastavíte zásady zabezpečení pomocí Microsoft Defender for Endpoint Správy nastavení zabezpečení, projděte si téma Konfigurace Microsoft Defender for Endpoint v Intune.

  2. Na portálu Microsoft Defender přejděte na Správa> konfiguraceZásady zabezpečení koncových bodů Pro>Mac Zásady>vytvoření nových zásad.

  3. V části Vybrat platformu vyberte macOS.

  4. V části Vybrat šablonu zvolte šablonu a vyberte Vytvořit zásadu.

  5. Zadejte název a popis zásady a pak vyberte Další.

  6. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

Další informace o správě nastavení zabezpečení najdete tady:

Nastavení zásad pomocí Microsoft Intune

Nastavení zabezpečení pro Microsoft Defender for Endpoint v systému macOS můžete spravovat v části Nastavení předvoleb v Microsoft Intune.

Další informace najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint na Macu.

Krok 10: Ochrana sítě pro Microsoft Defender for Endpoint v systému macOS

Na portálu Microsoft Defender:

  1. Přejděte na Správa> konfiguraceZásady> zabezpečení koncového boduZásady> pro MacVytvořit nové zásady.

  2. V části Vybrat platformu vyberte macOS.

  3. V části Vybrat šablonu vyberte Microsoft Defender Antivirus a vyberte Vytvořit zásadu.

    Snímek obrazovky se stránkou, na které vytvoříte zásadu

  4. Na kartě Základy zadejte Název a Popis zásady. Vyberte Další.

    Snímek obrazovky s kartou Základy

  5. Na kartě Nastavení konfigurace v části Ochrana sítě vyberte úroveň vynucení. Vyberte Další.

    Snímek obrazovky se stránkou Vytvořit novou zásadu

  6. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

    Snímek obrazovky se stránkou, na které konfigurujete nastavení pro možnost Přiřazení

  7. Zkontrolujte zásady v části Zkontrolovat a vytvořit a vyberte Uložit.

Tip

Ochranu sítě můžete nakonfigurovat také tak, že připojíte informace z části Ochrana sítě, abyste zabránili připojení macOS ke špatným lokalitám.mobileconfig v kroku 8.

Krok 11: Ovládání zařízení pro Microsoft Defender for Endpoint v systému macOS

Pokud chcete nastavit Ovládací prvek zařízení pro Microsoft Defender for Endpoint v systému macOS, postupujte podle pokynů v tématu:

Krok 12: Ochrana před únikem informací (DLP) pro koncový bod

Pokud chcete nastavit ochranu před únikem informací (DLP) služby Purview pro koncový bod v systému macOS, postupujte podle kroků v tématu Onboard and offboarding zařízení s macOS do řešení pro dodržování předpisů pomocí Microsoft Intune.

Krok 13: Kontrola stavu PList (.mobileconfig)

Po dokončení konfigurace profilu budete moct zkontrolovat stav zásad.

Zobrazit stav

Jakmile se změny Intune rozšíří do zaregistrovaných zařízení, uvidíte je v části Monitorování>stavu zařízení:

Snímek obrazovky se zobrazením stavu zařízení

Nastavení klientského zařízení

Pro zařízení mac stačí standardní Portál společnosti instalace.

  1. Potvrďte správu zařízení.

    Snímek obrazovky se stránkou Potvrdit správu zařízení

    Vyberte Otevřít předvolby systému, v seznamu vyhledejte profil správy a vyberte Schválit.... Váš profil správy se zobrazí jako Ověřený:

    Snímek obrazovky se stránkou Profilu správy

  2. Vyberte Pokračovat a dokončete registraci.

    Teď můžete zaregistrovat více zařízení. Můžete je také zaregistrovat později po dokončení konfigurace zřizovacího systému a balíčků aplikací.

  3. V Intune otevřete Spravovat>zařízení>Všechna zařízení. Tady uvidíte své zařízení mezi uvedenými:

    Snímek obrazovky se stránkou Všechna zařízení

Ověření stavu klientského zařízení

  1. Po nasazení konfiguračních profilů do vašich zařízeníotevřete profilypředvoleb> systému na zařízení Mac.

    Snímek obrazovky se stránkou Předvolby systému

    Snímek obrazovky se stránkou Profilů předvoleb systému

  2. Ověřte, že jsou k dispozici a nainstalovány následující konfigurační profily. Profil správy by měl být profil Intune systému. Wdav-config a wdav-kext jsou systémové konfigurační profily, které byly přidány v Intune:

    Snímek obrazovky se stránkou Profily

  3. V pravém horním rohu by se také měla zobrazit ikona Microsoft Defender for Endpoint.

    Snímek obrazovky s ikonou Microsoft Defender for Endpoint na stavovém řádku

Krok 14: Publikování aplikace

Tento krok umožňuje nasazení Microsoft Defender for Endpoint na zaregistrované počítače.

  1. V Centru pro správu Microsoft Intune otevřete Aplikace.

    Snímek obrazovky se stránkou přehledu aplikace

  2. Vyberte Podle platformy>macOS>Přidat.

  3. V části Typ aplikace vyberte macOS. Vyberte Vybrat.

    Snímek obrazovky znázorňující konkrétní typ aplikace

  4. Na stránce Informace o aplikaci ponechte výchozí hodnoty a vyberte Další.

    Snímek obrazovky se stránkou vlastností aplikace

  5. Na kartě Zadání vyberte Další.

    Snímek obrazovky znázorňující stránku s informacemi o přiřazeních Intune

  6. Zkontrolujte a vytvořte. V seznamu všech aplikací si ji můžete prohlédnout v části Aplikace>podle platformy>macOS .

    Snímek obrazovky se stránkou seznamů aplikací

Další informace najdete v tématu Přidání Microsoft Defender for Endpoint do zařízení s macOS pomocí Microsoft Intune.

Důležité

Pro úspěšnou konfiguraci systému byste měli vytvořit a nasadit konfigurační profily v zadaném pořadí (kroky 1 až 13).

Krok 15: Stažení balíčku pro onboarding

Stažení onboardingových balíčků z portálu Microsoft 365 Defender:

  1. Na portálu Microsoft 365 Defender přejděte naNastavení>systému>Koncové body>Onboardingsprávy> zařízení.

  2. Nastavte operační systém na macOS a metodu nasazení na Mobilní Správa zařízení / Microsoft Intune.

    Snímek obrazovky se stránkou nastavení onboardingu

  3. Vyberte Stáhnout onboardingový balíček. Uložte ho jako WindowsDefenderATPOnboardingPackage.zip do stejného adresáře.

  4. Extrahujte obsah souboru .zip:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
 inflating: intune/kext.xml
 inflating: intune/WindowsDefenderATPOnboarding.xml
 inflating: jamf/WindowsDefenderATPOnboarding.plist

    Snímek obrazovky s ukázkovým popisem

Krok 16: Nasazení balíčku pro připojování

Tento profil obsahuje informace o licencích pro Microsoft Defender for Endpoint.

Nasazení onboardingového balíčku:

  1. V části Konfigurační profily vyberte Vytvořit profil.

  2. V části Platforma vyberte macOS.

  3. V části Typ profilu vyberte Šablony.

  4. V části Název šablony vyberte Vlastní.

  5. Vyberte Vytvořit.

    Snímek obrazovky znázorňující balíček nasazení připojování

  6. Na kartě Základy zadejte název profilu. Například: Onboarding-prod-macOS-Default-MDE. Vyberte Další.

    Snímek obrazovky s vlastní stránkou

  7. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu . Například: WindowsDefenderATPOnboarding.

  8. Zvolte kanál nasazení a vyberte Další.

  9. Vyberte soubor konfiguračního profilu.

    Snímek obrazovky s nastavením konfigurace

  10. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

    Snímek obrazovky s kartou Zadání

  11. Zkontrolujte konfigurační profil. Vyberte Vytvořit.

  12. OtevřeteKonfigurační profilyzařízení> a zobrazte vytvořený profil.

Krok 17: Ověření detekce antimalwaru

Projděte si následující článek, ve který otestujete kontrolu detekce antimalwarového softwaru: Antivirová detekce test pro ověření onboardingu zařízení a služby generování sestav.

Krok 18: Ověření detekce EDR

Projděte si následující článek, ve který otestujete kontrolu detekce EDR: Test detekce EDR pro ověření onboardingu zařízení a služby Reporting Services

Řešení problémů

Problém: Nenašla se žádná licence.

Řešení: Podle pokynů v tomto článku vytvořte profil zařízení pomocí WindowsDefenderATPOnboarding.xml.

Problémy s instalací protokolování

Informace o tom, jak najít automaticky vygenerovaný protokol vytvořený instalačním programem, když dojde k chybě, najdete v tématu Problémy s instalací protokolování .

Informace o postupech řešení potíží najdete tady:

Odinstalace

Podrobnosti o tom, jak odebrat Microsoft Defender for Endpoint v systému macOS z klientských zařízení, najdete v tématu Odinstalace.