macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する

適用対象:

重要

この記事では、エンタープライズ組織の macOS で Microsoft Defender for Endpoint の基本設定を設定する方法について説明します。 コマンド ライン インターフェイスを使用して macOS で Microsoft Defender for Endpoint を構成するには、「 リソース」を参照してください。

概要

エンタープライズ組織では、macOS 上の Microsoft Defender for Endpoint は、いくつかの管理ツールのいずれかを使用して展開される構成プロファイルを使用して管理できます。 セキュリティ運用チームによって管理される基本設定は、デバイス上でローカルに設定された基本設定よりも優先されます。 構成プロファイルを使用して設定された基本設定を変更するには、エスカレートされた特権が必要であり、管理アクセス許可のないユーザーには使用できません。

この記事では、構成プロファイルの構造について説明し、開始に使用できる推奨プロファイルと、プロファイルを展開する方法について説明します。

構成プロファイルの構造

構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .plist ファイルの後に、設定の性質に応じて値が続きます。 値は、単純 (数値など) か、入れ子になった基本設定の一覧などの複雑な値のいずれかです。

注意

構成プロファイルのレイアウトは、使用している管理コンソールによって異なります。 次のセクションでは、JAMF と Intune の構成プロファイルの例を示します。

構成プロファイルの最上位には、Microsoft Defender for Endpoint のサブエリアに関する製品全体の基本設定とエントリが含まれています。これについては、次のセクションで詳しく説明します。

ウイルス対策エンジンの基本設定

構成プロファイルの antivirusEngine セクションは、Microsoft Defender for Endpoint のウイルス対策コンポーネントの基本設定を管理するために使用されます。

Section
ドメイン com.microsoft.wdav
キー antivirusEngine
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。

ウイルス対策エンジンの適用レベル

ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。

  • リアルタイム (real_time): リアルタイム保護 (アクセス時にファイルをスキャンする) が有効になっています。
  • オンデマンド (on_demand): ファイルはオンデマンドでのみスキャンされます。 この例では、次の操作を行います。
    • リアルタイム保護がオフになっています。
  • パッシブ (passive): ウイルス対策エンジンをパッシブ モードで実行します。 この例では、次の操作を行います。
    • リアルタイム保護がオフになっています。
    • オンデマンド スキャンが有効になっています。
    • 脅威の自動修復がオフになっています。
    • セキュリティ インテリジェンスの更新プログラムが有効になっています。
    • [状態] メニュー アイコンは非表示です。
Section
ドメイン com.microsoft.wdav
キー enforcementLevel
データ型 String
指定可能な値 real_time (既定値)

on_demand

パッシブ

コメント Microsoft Defender for Endpoint バージョン 101.10.72 以降で使用できます。

動作監視の有効化/無効化

デバイスで動作の監視とブロック機能が有効かどうかを判断します。

注:

この機能は、Real-Time 保護機能が有効になっている場合にのみ適用されます。

Section
ドメイン com.microsoft.wdav
キー behaviorMonitoring
データ型 String
指定可能な値 無効

enabled (既定値)

コメント Microsoft Defender for Endpoint バージョン 101.24042.0002 以降で使用できます。

ファイル ハッシュ計算機能を構成する

ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Defender for Endpoint はスキャンするファイルのハッシュを計算して、インジケーター ルールとの照合を改善します。 macOS では、(エンジン バージョン 1.1.20000.2 以降の) このハッシュ計算では、スクリプトと Mach-O (32 ビットと 64 ビット) ファイルのみが考慮されます。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があることに注意してください。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。

Section
ドメイン com.microsoft.wdav
キー enableFileHashComputation
データ型 ブール型
指定可能な値 false (既定)

true

コメント Defender for Endpoint バージョン 101.86.81 以降で使用できます。

定義の更新後にスキャンを実行する

新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。

Section
ドメイン com.microsoft.wdav
キー scanAfterDefinitionUpdate
データ型 ブール型
指定可能な値 true (既定値)

false

コメント Microsoft Defender for Endpoint バージョン 101.41.10 以降で使用できます。

スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)

オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。

Section
ドメイン com.microsoft.wdav
キー scanArchives
データ型 ブール型
指定可能な値 true (既定値)

false

コメント Microsoft Defender for Endpoint バージョン 101.41.10 以降で使用できます。

オンデマンド スキャンの並列処理の程度

オンデマンド スキャンの並列処理の程度を指定します。 これは、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。

Section
ドメイン com.microsoft.wdav
キー maximumOnDemandScanThreads
データ型 整数
指定可能な値 2 (既定値)。 使用できる値は、1 ~ 64 の整数です。
コメント Microsoft Defender for Endpoint バージョン 101.41.10 以降で使用できます。

除外マージ ポリシー

除外のマージ ポリシーを指定します。 管理者定義の除外とユーザー定義の除外 (merge) の組み合わせ、または管理者定義の除外 (admin_only) のみを指定できます。 この設定を使用すると、ローカル ユーザーが独自の除外を定義できないように制限できます。

Section
ドメイン com.microsoft.wdav
キー exclusionsMergePolicy
データ型 String
指定可能な値 merge (既定値)

admin_only

コメント Microsoft Defender for Endpoint バージョン 100.83.73 以降で使用できます。

除外をスキャンする

スキャン対象から除外されるエンティティを指定します。 除外は、完全なパス、拡張子、またはファイル名で指定できます。 (除外は項目の配列として指定され、管理者は必要な数の要素を任意の順序で指定できます)。

Section
ドメイン com.microsoft.wdav
キー 除外
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。
除外の種類

スキャン対象から除外されるコンテンツを種類別に指定します。

Section
ドメイン com.microsoft.wdav
キー $type
データ型 String
指定可能な値 excludedPath

excludedFileExtension

excludedFileName

除外されたコンテンツへのパス

完全なファイル パスでスキャンから除外されるコンテンツを指定します。

Section
ドメイン com.microsoft.wdav
キー path
データ型 String
指定可能な値 有効なパス
コメント $typeexcludedPath の場合にのみ適用されます

サポートされている除外の種類

次の表は、Defender for Endpoint on Mac でサポートされる除外の種類を示しています。

除外 定義
ファイル拡張子 拡張子を持つすべてのファイル(デバイス上の任意の場所) .test
File 完全パスで識別される特定のファイル /var/log/test.log

/var/log/*.log

/var/log/install.?.log

フォルダー 指定したフォルダーの下にあるすべてのファイル (再帰的に) /var/log/

/var/*/

プロセス 特定のプロセス (完全なパスまたはファイル名で指定) と、そのプロセスによって開かれたすべてのファイル /bin/cat

cat

c?t

重要

正常に除外するには、上記のパスはシンボリック リンクではなくハード リンクである必要があります。 パスがシンボリック リンクであるかどうかを確認するには、 を実行 file <path-name>します。

ファイル、フォルダー、およびプロセスの除外では、次のワイルドカードがサポートされています。

ワイルドカード 説明 一致します 一致しない
* none を含む任意の数の文字と一致します (パス内でこのワイルドカードを使用すると、1 つのフォルダーのみが置き換されることに注意してください) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? 任意の 1 文字に一致します file?.log file1.log

file2.log

file123.log

パスの種類 (ファイル/ディレクトリ)

path プロパティがファイルまたはディレクトリを参照しているかどうかを示します。

Section
ドメイン com.microsoft.wdav
キー isDirectory
データ型 ブール型
指定可能な値 false (既定)

true

コメント $typeexcludedPath の場合にのみ適用されます

スキャンから除外されたファイル拡張子

ファイル拡張子によってスキャンから除外されるコンテンツを指定します。

Section
ドメイン com.microsoft.wdav
キー 拡張子
データ型 String
指定可能な値 有効なファイル拡張子
コメント $typeexcludedFileExtension の場合にのみ適用されます

スキャンから除外されたプロセス

すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 (例: cat) または完全パス (例: /bin/cat) で指定できます。

Section
ドメイン com.microsoft.wdav
キー name
データ型 String
指定可能な値 任意の文字列
コメント $typeexcludedFileName の場合にのみ適用されます

許可される脅威

Defender for Endpoint on Mac でブロックされていない脅威を名前で指定します。 これらの脅威の実行が許可されます。

Section
ドメイン com.microsoft.wdav
キー allowedThreats
データ型 文字列の配列

許可されていない脅威アクション

脅威が検出されたときにデバイスのローカル ユーザーが実行できるアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。

Section
ドメイン com.microsoft.wdav
キー disallowedThreatActions
データ型 文字列の配列
指定可能な値 allow (ユーザーが脅威を許可できないように制限します)

restore (ユーザーが検疫から脅威を復元できないように制限します)

コメント Microsoft Defender for Endpoint バージョン 100.83.73 以降で使用できます。

脅威の種類の設定

macOS 上の Microsoft Defender for Endpoint によって特定の脅威の種類がどのように処理されるかを指定します。

Section
ドメイン com.microsoft.wdav
キー threatTypeSettings
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。
脅威の種類

脅威の種類を指定します。

Section
ドメイン com.microsoft.wdav
キー キー
データ型 String
指定可能な値 potentially_unwanted_application

archive_bomb

実行する操作

前のセクションで指定した型の脅威が検出されたときに実行するアクションを指定します。 次のオプションから選択します。

  • 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。
  • ブロック: デバイスはこの種類の脅威から保護されており、ユーザー インターフェイスとセキュリティ コンソールで通知されます。
  • オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。
Section
ドメイン com.microsoft.wdav
キー
データ型 String
指定可能な値 audit (既定値)

ブロック

オフ

脅威の種類の設定のマージ ポリシー

脅威の種類の設定にマージ ポリシーを指定します。 管理者定義の設定とユーザー定義の設定 (merge) の組み合わせ、または管理者定義の設定 (admin_only) のみを使用できます。 この設定を使用すると、ローカル ユーザーがさまざまな脅威の種類に対して独自の設定を定義できないように制限できます。

Section
ドメイン com.microsoft.wdav
キー threatTypeSettingsMergePolicy
データ型 String
指定可能な値 merge (既定値)

admin_only

コメント Microsoft Defender for Endpoint バージョン 100.83.73 以降で使用できます。

ウイルス対策スキャン履歴の保持期間 (日数)

デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイル。ディスクからも削除されます。

Section
ドメイン com.microsoft.wdav
キー scanResultsRetentionDays
データ型 String
指定可能な値 90 (既定値)。 使用できる値は、1 日から 180 日です。
コメント Microsoft Defender for Endpoint バージョン 101.07.23 以降で使用できます。

ウイルス対策スキャン履歴のアイテムの最大数

スキャン履歴に保持するエントリの最大数を指定します。 エントリには、過去に実行されたすべてのオンデマンド スキャンと、すべてのウイルス対策検出が含まれます。

Section
ドメイン com.microsoft.wdav
キー scanHistoryMaximumItems
データ型 String
指定可能な値 10000 (既定値)。 使用できる値は、5,000 項目から 1,5000 項目までです。
コメント Microsoft Defender for Endpoint バージョン 101.07.23 以降で使用できます。

クラウド配信の保護の基本設定

macOS 上の Microsoft Defender for Endpoint のクラウド駆動型保護機能を構成します。

Section
ドメイン com.microsoft.wdav
キー cloudService
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。

クラウド配信保護を有効または無効にする

クラウドで提供される保護をデバイスで有効にするかどうかを指定します。 サービスのセキュリティを強化するために、この機能をオンにしておくことをお勧めします。

Section
ドメイン com.microsoft.wdav
キー enabled
データ型 ブール型
可能な値 true (既定値)

false

診断収集のレベル

診断データは、Microsoft Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。 この設定は、Microsoft Defender for Endpoint から Microsoft に送信される診断のレベルを決定します。

Section
ドメイン com.microsoft.wdav
キー diagnosticLevel
データ型 String
指定可能な値 省略可能 (既定値)

必須出席者

クラウド ブロック レベルを構成する

この設定は、疑わしいファイルのブロックとスキャンにおいて Defender for Endpoint がどれだけ攻撃的であるかを決定します。 この設定がオンの場合、ブロックしてスキャンする疑わしいファイルを特定するときに、Defender for Endpoint はより積極的になります。それ以外の場合、攻撃性が低くなり、より頻度の低いブロックとスキャンが行われます。 クラウド ブロック レベルの設定には、次の 5 つの値があります。

  • 標準 (normal): 既定のブロック レベル。
  • 中程度 (moderate): 高信頼度の検出に対してのみ評決を提供します。
  • 高 (high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします (有害でないファイルをブロックする可能性が高くなります)。
  • High Plus (high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します (クライアント デバイスのパフォーマンスに影響する可能性があります)。
  • ゼロ トレランス (zero_tolerance): 不明なプログラムをすべてブロックします。
Section
ドメイン com.microsoft.wdav
キー cloudBlockLevel
データ型 String
指定可能な値 normal (既定値)

中程 度

high_plus

zero_tolerance

コメント Defender for Endpoint バージョン 101.56.62 以降で使用できます。

サンプルの自動送信を有効または無効にする

疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを決定します。 サンプルの送信を制御するには、次の 3 つのレベルがあります。

  • なし: 疑わしいサンプルは Microsoft に送信されません。
  • 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは、この設定の既定値です。
  • すべて: すべての疑わしいサンプルが Microsoft に送信されます。
説明
キー automaticSampleSubmissionConsent
データ型 String
指定可能な値 none

safe (既定値)

すべて

セキュリティ インテリジェンスの自動更新を有効または無効にする

セキュリティ インテリジェンスの更新プログラムが自動的にインストールされるかどうかを判断します。

Section
キー automaticDefinitionUpdateEnabled
データ型 ブール型
指定可能な値 true (既定値)

false

ユーザー インターフェイスの基本設定

macOS 上の Microsoft Defender for Endpoint のユーザー インターフェイスの基本設定を管理します。

Section
ドメイン com.microsoft.wdav
キー userInterface
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。

ステータス メニュー アイコンの表示/非表示

画面の右上隅にある状態メニュー アイコンを表示または非表示にするかどうかを指定します。

Section
ドメイン com.microsoft.wdav
キー hideStatusMenuIcon
データ型 ブール型
指定可能な値 false (既定)

true

フィードバックを送信するためのオプションを表示/非表示にする

に移動して、ユーザーが Microsoft にフィードバックを送信できるかどうかを指定します Help>Send Feedback

Section
ドメイン com.microsoft.wdav
キー userInitiatedFeedback
データ型 String
指定可能な値 enabled (既定値)

無効

コメント Microsoft Defender for Endpoint バージョン 101.19.61 以降で使用できます。

コンシューマー バージョンの Microsoft Defender へのサインインを制御する

ユーザーがコンシューマー バージョンの Microsoft Defender にサインインできるかどうかを指定します。

Section
ドメイン com.microsoft.wdav
キー consumerExperience
データ型 String
指定可能な値 enabled (既定値)

無効

コメント Microsoft Defender for Endpoint バージョン 101.60.18 以降で使用できます。

エンドポイントの検出と応答の基本設定

macOS 上の Microsoft Defender for Endpoint のエンドポイント検出と応答 (EDR) コンポーネントの基本設定を管理します。

Section
ドメイン com.microsoft.wdav
キー Edr
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。

デバイス タグ

タグ名とその値を指定します。

  • GROUP タグは、指定した値でデバイスにマークを付けます。 タグは、デバイス ページのポータルに反映され、デバイスのフィルター処理とグループ化に使用できます。
Section
ドメイン com.microsoft.wdav
キー tags
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。
タグの種類

タグの種類を指定します

Section
ドメイン com.microsoft.wdav
キー キー
データ型 String
指定可能な値 GROUP
タグの値

タグの値を指定します

Section
ドメイン com.microsoft.wdav
キー
データ型 String
指定可能な値 任意の文字列

重要

  • タグの種類ごとに設定できる値は 1 つだけです。
  • タグの種類は一意であり、同じ構成プロファイルで繰り返さないでください。

グループ識別子

EDR グループ識別子

Section
ドメイン com.microsoft.wdav
キー groupIds
データ型 String
コメント グループ識別子

改ざん防止

macOS 上の Microsoft Defender for Endpoint の改ざん防止コンポーネントの基本設定を管理します。

Section
ドメイン com.microsoft.wdav
キー tamperProtection
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。

実施レベル

改ざん防止が有効で、厳密モードの場合

Section
ドメイン com.microsoft.wdav
キー enforcementLevel
データ型 String
コメント 'disabled'、'audit'、または 'block' のいずれか

使用可能な値:

  • 無効 - 改ざん防止がオフになっており、攻撃の防止やクラウドへの報告は行われません
  • audit - 改ざんの試行がクラウドにのみ報告されますが、ブロックされません
  • ブロック - 改ざん防止は、クラウドへの攻撃をブロックして報告する

除外

改ざんを考慮せずに Microsoft Defender の資産を変更できるプロセスを定義します。 path、teamId、または signingId、またはその組み合わせを指定する必要があります。 さらに、許可されるプロセスをより正確に指定するために、Args を指定できます。

Section
ドメイン com.microsoft.wdav
キー 除外
データ型 ディクショナリ (入れ子になった基本設定)
コメント ディクショナリの内容の説明については、次のセクションを参照してください。
Path

プロセス実行可能ファイルの正確なパス。

Section
ドメイン com.microsoft.wdav
キー path
データ型 String
コメント シェル スクリプトの場合、インタープリター バイナリへの正確なパスになります (例: /bin/zsh)。 ワイルドカードは使用できません。
チーム ID

ベンダーの Apple の "チーム ID"。

Section
ドメイン com.microsoft.wdav
キー teamId
データ型 String
コメント たとえば、 UBF8T346G9 Microsoft の場合
署名 ID

パッケージの Apple の "署名 ID"。

Section
ドメイン com.microsoft.wdav
キー signingId
データ型 String
コメント たとえば、 com.apple.ruby Ruby インタープリターの場合
引数を処理する

プロセスを識別するために、他のパラメーターと組み合わせて使用されます。

Section
ドメイン com.microsoft.wdav
キー signingId
データ型 文字列の配列
コメント 指定した場合、プロセス引数は、大文字と小文字を区別して、これらの引数と正確に一致する必要があります

開始するには、Microsoft Defender for Endpoint が提供するすべての保護機能を利用するために、企業に対して次の構成をお勧めします。

次の構成プロファイル (または JAMF の場合は、カスタム設定構成プロファイルにアップロードできるプロパティ リスト) は次のようになります。

  • リアルタイム保護を有効にする (RTP)
  • 次の脅威の種類の処理方法を指定します。
    • 望ましくない可能性のあるアプリケーション (PUA) がブロックされる
    • アーカイブ 爆弾 (圧縮率の高いファイル) は、Microsoft Defender for Endpoint ログに対して監査されます
  • セキュリティ インテリジェンスの自動更新を有効にする
  • クラウドによる保護の有効化
  • サンプルの自動送信を有効にする
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

完全な構成プロファイルの例

次のテンプレートには、このドキュメントで説明されているすべての設定のエントリが含まれており、macOS 上の Microsoft Defender for Endpoint をより詳細に制御する高度なシナリオで使用できます。

JAMF 完全構成プロファイルのプロパティ リスト

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune の完全なプロファイル

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

プロパティ リストの検証

プロパティ リストは、有効な .plist ファイルである必要があります。 これは、次のコマンドを実行して確認できます。

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

ファイルが整形式の場合、上記のコマンドは を出力 OK し、 の 0終了コードを返します。 それ以外の場合は、問題を説明するエラーが表示され、コマンドは の 1終了コードを返します。

構成プロファイルの展開

エンタープライズの構成プロファイルを構築したら、エンタープライズで使用している管理コンソールを使用して展開できます。 以降のセクションでは、JAMF と Intune を使用してこのプロファイルを展開する方法について説明します。

JAMF デプロイ

JAMF コンソールで [ コンピューター>の構成プロファイル] を開き、使用する構成プロファイルに移動し、[ カスタム設定] を選択します。 のエントリ com.microsoft.wdav を基本設定ドメインとして作成し、先ほど生成した .plist を アップロードします。

注意

正しい基本設定ドメイン (com.microsoft.wdav)を入力する必要があります。それ以外の場合、Microsoft Defender for Endpoint によって基本設定は認識されません。

Intune の展開

  1. [デバイス>構成プロファイル] を開きます。 [プロファイルの作成] を選択します。

  2. プロファイルの名前を選択します。 [Platform=macOS] を [プロファイルの種類] =[テンプレート] に変更し、[テンプレート名] セクションで [カスタム] を選択します。 [構成] を選択します。

  3. 前に生成した .plist を として com.microsoft.wdav.xml保存します。

  4. カスタム構成プロファイル名として「」と入力com.microsoft.wdavします。

  5. 構成プロファイルを開き、ファイルをアップロードします com.microsoft.wdav.xml 。 (このファイルは手順 3 で作成されました)。

  6. [OK] を選択します。

  7. [割り当ての管理>] を選択します。 [ 含める ] タブで、[ すべてのユーザーに割り当てる] & [すべてのデバイス] を選択します。

注意

適切なカスタム構成プロファイル名を入力する必要があります。それ以外の場合、これらの設定は Microsoft Defender for Endpoint によって認識されません。

リソース

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。