macOS'ta Uç Nokta için Microsoft Defender için farklı bir Mobil Cihaz Yönetimi (MDM) sistemiyle dağıtım

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Önkoşullar ve sistem gereksinimleri

Başlamadan önce, geçerli yazılım sürümü için önkoşulların ve sistem gereksinimlerinin açıklaması için macOS'ta ana Uç Nokta için Microsoft Defender sayfasına bakın.

Yaklaşım

Dikkat

Şu anda Microsoft, macOS üzerinde Uç Nokta için Microsoft Defender dağıtımı ve yönetimi için yalnızca Intune ve JAMF'yi resmi olarak desteklemektedir. Microsoft, aşağıda verilen bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Kuruluşunuz resmi olarak desteklenmeyen bir Mobil Cihaz Yönetimi (MDM) çözümü kullanıyorsa bu, macOS üzerinde Uç Nokta için Microsoft Defender dağıtamadığınız veya çalıştıramadığınız anlamına gelmez.

macOS'ta Uç Nokta için Microsoft Defender satıcıya özgü özelliklere bağlı değildir. Aşağıdaki özellikleri destekleyen herhangi bir MDM çözümüyle kullanılabilir:

  • Yönetilen cihazlara macOS .pkg dağıtın.
  • Yönetilen cihazlara macOS sistem yapılandırma profillerini dağıtın.
  • Yönetilen cihazlarda rastgele yönetici tarafından yapılandırılmış bir araç/betik çalıştırın.

Modern MDM çözümlerinin çoğu bu özellikleri içerir, ancak bunları farklı şekilde adlandırabilirler.

Ancak, uç nokta için Defender'ı önceki listeden son gereksinim olmadan dağıtabilirsiniz:

  • Durumu merkezi bir şekilde toplayamazsınız.
  • Uç Nokta için Defender'ı kaldırmaya karar verirseniz istemci cihazında yönetici olarak yerel olarak oturum açmanız gerekir.

Dağıtım

Çoğu MDM çözümü, benzer terminolojiye sahip macOS cihazlarını yönetmek için aynı modeli kullanır. ŞABLON olarak JAMF tabanlı dağıtımı kullanın.

Paket

Yükleme paketi (wdav.pkg) Microsoft Defender portalından indirilmiş olarak gerekli bir uygulama paketinin dağıtımını yapılandırın.

Uyarı

Uç Nokta için Defender yükleme paketini yeniden paketlemek desteklenen bir senaryo değildir. Bunun yapılması ürünün bütünlüğünü olumsuz etkileyebilir ve kurcalama uyarılarının ve güncelleştirmelerin uygulanamaması da dahil ancak bunlarla sınırlı olmamak üzere olumsuz sonuçlara yol açabilir.

Paketi kuruluşunuza dağıtmak için MDM çözümünüzle ilişkili yönergeleri kullanın.

Lisans ayarları

Bir sistem yapılandırma profili ayarlayın.

macOS'ta Uç Nokta için Microsoft Defender macOS'un bir parçası olmadığından MDM çözümünüz buna "Özel Ayarlar Profili" gibi bir ad verebilir.

Microsoft Defender portalından indirilen bir ekleme paketinden ayıklanabilen jamf/WindowsDefenderATPOnboarding.plist özellik listesini kullanın. Sisteminiz XML biçiminde rastgele bir özellik listesini destekleyemeyebilir. Bu durumda jamf/WindowsDefenderATPOnboarding.plist dosyasını olduğu gibi karşıya yükleyebilirsiniz. Alternatif olarak, önce özellik listesini farklı bir biçime dönüştürmeniz gerekebilir.

Genellikle özel profilinizin kimliği, adı veya etki alanı özniteliği vardır. Bu değer için tam olarak "com.microsoft.wdav.atp" kullanmanız gerekir. MDM, ayarlar dosyasını bir istemci cihazında /Library/Managed Preferences/com.microsoft.wdav.atp.plist dosyasına dağıtmak için kullanır ve Uç Nokta için Defender da ekleme bilgilerini yüklemek için bu dosyayı kullanır.

Sistem yapılandırma profilleri

macOS, kullanıcının bir uygulamanın kullandığı sistem uzantıları, arka planda çalışan, bildirim gönderen, tam disk erişimi vb. belirli işlevleri el ile ve açıkça onaylamasını gerektirir. Uç Nokta için Microsoft Defender bu işlevlere dayanır ve kullanıcıdan tüm bu onaylar alınana kadar düzgün çalışamaz.

Yönetici, kullanıcı adına otomatik olarak onay vermek için sistem ilkelerini kendi MDM sistemi üzerinden iletir. Son kullanıcıların el ile onaylarına güvenmek yerine bunu kesinlikle öneririz.

Uç Nokta için Microsoft Defender gereken tüm ilkeleri adresinde https://github.com/microsoft/mdatp-xplatbulunan mobileconfig dosyaları olarak sağlarız. Mobileconfig, Apple Configurator'ın veya iMazing Profile gibi diğer ürünlerin desteklediği bir Apple içeri/dışarı aktarma biçimidir Düzenleyici.

MDM satıcılarının çoğu, yeni bir özel yapılandırma profili oluşturan bir mobileconfig dosyasını içeri aktarmayı destekler.

Profilleri ayarlamak için:

  1. MDM satıcınızla mobileconfig içeri aktarma işleminin nasıl yapıldığını öğrenin.
  2. 'den https://github.com/microsoft/mdatp-xplattüm profiller için bir mobileconfig dosyası indirin ve içeri aktarın.
  3. Oluşturulan her yapılandırma profili için uygun kapsam atayın.

Apple'ın düzenli olarak işletim sisteminin yeni sürümleriyle yeni yük türleri oluşturduğunu unutmayın. Yukarıda bahsedilen sayfayı ziyaret etmeniz ve kullanıma sunulduktan sonra yeni profiller yayımlamanız gerekir. Bu tür değişiklikler yaptıktan sonra Yenilikler sayfamıza bildirimler göndeririz.

Uç Nokta için Defender yapılandırma ayarları

Uç Nokta için Microsoft Defender yapılandırmayı dağıtmak için bir yapılandırma profiline ihtiyacınız vardır.

Aşağıdaki adımlarda yapılandırma profilinin nasıl uygulanacağı ve uygulandığının nasıl doğrulanacağı gösterilir.

1. MDM, kayıtlı makinelere yapılandırma profili dağıtır Profilleri Sistem Ayarları > Profilleri'nde görüntüleyebilirsiniz. Uç Nokta için Microsoft Defender yapılandırma ayarları profili için kullandığınız adı arayın. Bunu görmüyorsanız sorun giderme ipuçları için MDM belgelerinize bakın.

2. Yapılandırma profili doğru dosyada gösterilir

okuma ve /Library/Managed Preferences/com.microsoft.wdav.plist/Library/Managed Preferences/com.microsoft.wdav.ext.plist dosyaları Uç Nokta için Microsoft Defender. Yönetilen ayarlar için yalnızca bu iki dosyayı kullanır.

Bu dosyaları göremiyorsanız ancak profillerin teslim edildiğini doğruladıysanız (önceki bölüme bakın), profillerinizin yanlış yapılandırıldığı anlamına gelir. Bu yapılandırma profilini "Bilgisayar Düzeyi" yerine "Kullanıcı Düzeyi" yaptınız veya Uç Nokta için Microsoft Defender beklenenler yerine farklı bir Tercih Etki Alanı kullandınız ("com.microsoft.wdav" ve "com.microsoft.wdav.ext").

Uygulama yapılandırma profillerini ayarlama hakkında bilgi için MDM belgelerinize bakın.

3. Yapılandırma profili beklenen yapıyı içerir

Bu adımı doğrulamak zor olabilir. Uç Nokta için Microsoft Defender com.microsoft.wdav.plist dosyasının katı bir yapıya sahip olmasını bekler. Ayarları beklenmeyen bir yere koyarsanız veya yanlış yazarsanız ya da geçersiz bir tür kullanırsanız, ayarlar sessizce yoksayılır.

  1. Yapılandırdığınız ayarların olarak [managed]bildirildiğini denetleyebilir mdatp health ve onaylayabilirsiniz.
  2. içeriğini /Library/Managed Preferences/com.microsoft.wdav.plist inceleyebilir ve beklenen ayarlarla eşleştiğinden emin olabilirsiniz:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Belgelenmiş Yapılandırma profili yapısını bir kılavuz olarak kullanabilirsiniz.

Bu makalede yapılandırma dosyasının en üst düzeyinde "antivirusEngine", "edr", "tamperProtection" ayarları açıklanmaktadır. Örneğin, "scanHistoryMaximumItems" ikinci düzeydedir ve tamsayı türündedir.

Bu bilgileri önceki komutun çıkışında görmeniz gerekir. "antivirusEngine" öğesinin başka bir ayarın altında iç içe olduğunu fark ettiyseniz profil yanlış yapılandırılmıştır. "antivirusEngine" yerine "antivirusengine" ifadesini görebiliyorsanız, ad yanlış yazılır ve ayarların tüm alt ağacı yoksayılır. ise "scanHistoryMaximumItems" => "10000", yanlış tür kullanılır ve ayar yoksayılır.

Tüm profillerin dağıtıldığını denetleyin

analyze_profiles.py indirip çalıştırabilirsiniz. Bu betik, bir makineye dağıtılan tüm profilleri toplar ve analiz eder ve kaçırılan profiller hakkında sizi uyarır. Bazı hataları kaçırabileceğini ve sistem yöneticilerinin kasıtlı olarak aldığı bazı tasarım kararlarının farkında olmadığını unutmayın. Rehberlik için bu betiği kullanın, ancak hata olarak işaretlenmiş bir şey görüp görmediğinizi her zaman araştırın. Örneğin, ekleme kılavuzu, ekleme blobu için bir yapılandırma profili dağıtmanızı söyler. Ancak bazı kuruluşlar bunun yerine el ile ekleme betiğini çalıştırmaya karar verir. analyze_profile.py eksik profil hakkında sizi uyarır. Yapılandırma profili aracılığıyla eklemeye karar verebilir veya uyarıyı tamamen göz ardı edebilirsiniz.

Yükleme durumunu denetleme

Ekleme durumunu denetlemek için bir istemci cihazında Uç Nokta için Microsoft Defender çalıştırın.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.