Установка параметров Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
Важно!
В этой статье содержатся инструкции по настройке параметров Microsoft Defender для конечной точки в macOS в корпоративных организациях. Сведения о настройке Microsoft Defender для конечной точки в macOS с помощью интерфейса командной строки см. в разделе Ресурсы.
Сводка
В корпоративных организациях Microsoft Defender для конечной точки в macOS можно управлять с помощью профиля конфигурации, который развертывается с помощью одного из нескольких средств управления. Параметры, управляемые командой по операциям безопасности, имеют приоритет над параметрами, заданными локально на устройстве. Изменение настроек, заданных с помощью профиля конфигурации, требует повышения привилегий и недоступно для пользователей без административных разрешений.
В этой статье описывается структура профиля конфигурации, содержится рекомендуемый профиль, который можно использовать для начала работы, а также приводятся инструкции по развертыванию профиля.
Структура профиля конфигурации
Профиль конфигурации — это PLIST-файл , состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми (например, числовым значением) или сложными, например вложенным списком параметров.
Предостережение
Макет профиля конфигурации зависит от используемой консоли управления. В следующих разделах приведены примеры профилей конфигурации для JAMF и Intune.
Верхний уровень профиля конфигурации включает в себя настройки и записи для дочерних элементов Microsoft Defender для конечной точки, которые более подробно описаны в следующих разделах.
Параметры антивирусного ядра
Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента Microsoft Defender для конечной точки.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | antivirusEngine |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Уровень принудительного применения для антивирусного ядра
Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:
- В режиме реального времени (
real_time): включена защита в режиме реального времени (сканирование файлов при доступе к ним). - По запросу (
on_demand): файлы сканируются только по запросу. В этом случае:- Защита в режиме реального времени отключена.
- Пассивный (
passive): запускает антивирусную программу в пассивном режиме. В этом случае:- Защита в режиме реального времени отключена.
- Сканирование по запросу включено.
- Автоматическое исправление угроз отключено.
- Обновления аналитики безопасности включены.
- Значок меню "Состояние" скрыт.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | enforcementLevel |
| Тип данных | String |
| Возможные значения | real_time (по умолчанию) on_demand Пассивный |
| Comments | Доступно в Microsoft Defender для конечной точки версии 101.10.72 или более поздней. |
Включение и отключение мониторинга поведения
Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.
Примечание.
Эта функция применима, только если включена функция защиты Real-Time.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | behaviorMonitoring |
| Тип данных | String |
| Возможные значения | отключено включено (по умолчанию) |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.24042.0002 или более поздней. |
Настройка функции вычисления хэша файлов
Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши файлов, которые он сканирует, чтобы обеспечить лучшее сопоставление с правилами индикаторов. В macOS для этого хэш-вычисления учитываются только файлы скрипта и Mach-O (32 и 64-разрядные) (начиная с версии 1.1.20000.2 или более поздней). Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | enableFileHashComputation |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Комментарии | Доступно в Defender для конечной точки версии 101.86.81 или более поздней. |
Запуск проверки после обновления определений
Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | scanAfterDefinitionUpdate |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней. |
Сканирование архивов (только антивирусная проверка по запросу)
Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | scanArchives |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней. |
Степень параллелизма при сканировании по запросу
Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, и влияет на загрузку ЦП, а также на длительность проверки по запросу.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | maximumOnDemandScanThreads |
| Тип данных | Integer |
| Возможные значения | 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64. |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней. |
Политика слияния исключений
Укажите политику слияния для исключений. Это может быть сочетание исключений, определяемых администратором и пользователем (merge), или только исключений, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | exclusionsMergePolicy |
| Тип данных | String |
| Возможные значения | merge (по умолчанию) admin_only |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней. |
исключения сканирования;
Укажите сущности, исключенные из сканирования. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | Исключения |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип исключения
Укажите содержимое, исключенное из проверки по типу.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | $type |
| Тип данных | String |
| Возможные значения | excludedPath excludedFileExtension excludedFileName |
Путь к исключенным содержимому
Укажите содержимое, исключенное из проверки по полному пути к файлу.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | path |
| Тип данных | String |
| Возможные значения | допустимые пути |
| Комментарии | Применимо только в том случае , если $typeисключеныPath |
Поддерживаемые типы исключений
В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки на Mac.
| Исключения | Определение | Примеры |
|---|---|---|
| Расширение файла | Все файлы с расширением в любом месте устройства | .test |
| File | Конкретный файл, определенный по полному пути | /var/log/test.log |
| Folder | Все файлы в указанной папке (рекурсивно) | /var/log/ |
| Процесс | Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. | /bin/cat |
Важно!
Для успешного исключения указанные выше пути должны быть жесткими, а не символическими ссылками. Чтобы проверить, является ли путь символьной ссылкой, выполните команду file <path-name>.
Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:
| Подстановочный знак | Описание | Пример | Совпадения | Не соответствует |
|---|---|---|---|---|
| * | Соответствует любому количеству символов, включая ни один (обратите внимание, что если этот подстановочный знак используется внутри пути, он будет заменять только одну папку). | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Соответствует любому отдельному символу | file?.log |
file1.log |
file123.log |
Тип пути (файл или каталог)
Укажите, относится ли свойство path к файлу или каталогу.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | isDirectory |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
| Комментарии | Применимо только в том случае , если $typeисключеныPath |
Расширение файла, исключенное из сканирования
Укажите содержимое, исключенное из проверки расширением файла.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | Расширение |
| Тип данных | String |
| Возможные значения | допустимые расширения файлов |
| Комментарии | Применимо, только если $typeисключеноFileExtension |
Процесс, исключенный из сканирования
Укажите процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | name |
| Тип данных | String |
| Возможные значения | любая строка |
| Комментарии | Применимо только в том случае, если $typeисключеноFileName |
разрешенные угрозы;
Укажите угрозы по имени, которые не заблокированы Defender для конечной точки на Mac. Эти угрозы будут разрешены.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | allowedThreats |
| Тип данных | Массив строк |
Disallowed threat actions (Запрещенные действия в отношении угроз);
Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | disallowedThreatActions |
| Тип данных | Массив строк |
| Возможные значения | разрешить (запрещает пользователям разрешать угрозы) restore (запрещает пользователям восстанавливать угрозы из карантина) |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней. |
параметры типа угрозы.
Укажите, как определенные типы угроз обрабатываются Microsoft Defender для конечной точки в macOS.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | threatTypeSettings |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Тип угрозы
Укажите типы угроз.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | ключа |
| Тип данных | String |
| Возможные значения | potentially_unwanted_application archive_bomb |
Действие
Укажите, какие действия следует предпринять при обнаружении угрозы типа, указанного в предыдущем разделе. Выберите из следующих вариантов.
- Аудит: устройство не защищено от этой угрозы, но запись об угрозе регистрируется.
- Блокировать: устройство защищено от угроз этого типа, и вы получите уведомление в пользовательском интерфейсе и консоли безопасности.
- Выкл. Устройство не защищено от угрозы этого типа, и ничего не регистрируется.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | значение |
| Тип данных | String |
| Возможные значения | audit (по умолчанию) Блок выключено |
Политика слияния параметров типа угроз
Укажите политику слияния для параметров типа угрозы. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | threatTypeSettingsMergePolicy |
| Тип данных | String |
| Возможные значения | merge (по умолчанию) admin_only |
| Comments | Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней. |
Хранение журнала антивирусной проверки (в днях)
Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | scanResultsRetentionDays |
| Тип данных | String |
| Возможные значения | 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней. |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.07.23 или более поздней. |
Максимальное число элементов в журнале антивирусной проверки
Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | scanHistoryMaximumItems |
| Тип данных | String |
| Возможные значения | 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов. |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.07.23 или более поздней. |
Параметры защиты, предоставляемые облаком
Настройте функции облачной защиты Microsoft Defender для конечной точки в macOS.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | cloudService |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Включение и отключение облачной защиты
Укажите, следует ли включить облачную защиту устройства. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | включено |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
уровень сбора данных диагностики
Диагностические данные используются для обеспечения безопасности и актуальности Microsoft Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностики, отправляемой Microsoft Defender для конечной точки в Корпорацию Майкрософт.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | diagnosticLevel |
| Тип данных | String |
| Возможные значения | необязательный (по умолчанию) обязательно |
Настройка уровня облачного блока
Этот параметр определяет, насколько агрессивным будет Defender для конечной точки блокировать и сканировать подозрительные файлы. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. В противном случае он будет менее агрессивным и, следовательно, блокировать и сканировать с меньшей частотой. Существует пять значений для настройки уровня блока облака:
- Обычный (
normal): уровень блокировки по умолчанию. - Умеренный (
moderate): выставляет вердикт только для обнаружения высокой достоверности. - Высокий (
high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов). - Высокий плюс (
high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства). - Нулевое отклонение (
zero_tolerance): блокирует все неизвестные программы.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | cloudBlockLevel |
| Тип данных | String |
| Возможные значения | обычный (по умолчанию) Умеренной Высокой high_plus zero_tolerance |
| Comments | Доступно в Defender для конечной точки версии 101.56.62 или более поздней. |
Включение и отключение автоматической отправки примеров
Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
| Описание | Значение |
|---|---|
| Ключ | automaticSampleSubmissionConsent |
| Тип данных | String |
| Возможные значения | none safe (по умолчанию) все |
Включение и отключение автоматических обновлений аналитики безопасности
Определяет, устанавливаются ли обновления аналитики безопасности автоматически.
| Раздел | Значение |
|---|---|
| Ключ | automaticDefinitionUpdateEnabled |
| Тип данных | Логический |
| Возможные значения | true (по умолчанию) false |
Параметры пользовательского интерфейса
Управление настройками пользовательского интерфейса Microsoft Defender для конечной точки в macOS.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | userInterface |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Значок меню "Показать/ скрыть состояние"
Укажите, следует ли отображать или скрывать значок меню состояния в правом верхнем углу экрана.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | hideStatusMenuIcon |
| Тип данных | Логический |
| Возможные значения | false (по умолчанию) true |
Параметр "Показать/ скрыть" для отправки отзывов
Укажите, могут ли пользователи отправлять отзывы в Корпорацию Майкрософт, перейдя по адресу Help>Send Feedback.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | userInitiatedFeedback |
| Тип данных | String |
| Возможные значения | включено (по умолчанию) отключено |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.19.61 или более поздней. |
Контроль входа в потребительскую версию Microsoft Defender
Укажите, могут ли пользователи входить в потребительскую версию Microsoft Defender.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | consumerExperience |
| Тип данных | String |
| Возможные значения | включено (по умолчанию) отключено |
| Комментарии | Доступно в Microsoft Defender для конечной точки версии 101.60.18 или более поздней. |
Параметры обнаружения конечных точек и ответа
Управление настройками компонента обнаружения и реагирования на конечные точки (EDR) Microsoft Defender для конечной точки в macOS.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | Edr |
| Тип данных | Словарь (вложенный параметр) |
| Comments | Описание содержимого словаря см. в следующих разделах. |
теги устройств;
Укажите имя тега и его значение.
- Тег GROUP помечает устройство указанным значением. Тег отображается на портале на странице устройства и может использоваться для фильтрации и группировки устройств.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | tags |
| Тип данных | Словарь (вложенный параметр) |
| Comments | Описание содержимого словаря см. в следующих разделах. |
Тип тега
Указывает тип тега.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | ключа |
| Тип данных | String |
| Возможные значения | GROUP |
Значение тега
Задает значение тега.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | значение |
| Тип данных | String |
| Возможные значения | любая строка |
Важно!
- Можно задать только одно значение для каждого типа тега.
- Типы тегов уникальны и не должны повторяться в одном профиле конфигурации.
Идентификатор группы
Идентификаторы групп EDR
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | groupIds |
| Тип данных | String |
| Комментарии | Идентификатор группы |
Защита от незаконного изменения
Управление настройками компонента Защиты от незаконного изменения Microsoft Defender для конечной точки в macOS.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | tamperProtection |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Enforcement level (Уровень принудительного применения).
Если включена защита от незаконного изменения и если она находится в строгом режиме
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | enforcementLevel |
| Тип данных | String |
| Комментарии | Одно из значений "disabled", "audit" или "block" |
Возможные значения:
- отключено — защита от незаконного изменения отключена, предотвращение атак или предоставление отчетов в облако
- audit — защита от незаконного изменения сообщает о попытках изменения только в облаке, но не блокирует их
- block — защита от незаконного изменения блокирует и сообщает об атаках в облако
Исключения
Определяет процессы, которым разрешено изменять ресурс Microsoft Defender, не рассматривая возможность незаконного изменения. Необходимо указать либо путь, либо teamId, либо идентификатор подписи, либо их сочетание. Для более точного указания разрешенного процесса можно указать аргументы args.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | Исключения |
| Тип данных | Словарь (вложенный параметр) |
| Комментарии | Описание содержимого словаря см. в следующих разделах. |
Path
Точный путь к исполняемому файлу процесса.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | path |
| Тип данных | String |
| Комментарии | В случае скрипта оболочки это будет точный путь к двоичному коду интерпретатора, например /bin/zsh. Подстановочные знаки не допускаются. |
Идентификатор команды
Apple Team Id поставщика.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | teamId |
| Тип данных | String |
| Комментарии | Например, UBF8T346G9 для Майкрософт |
Идентификатор подписывания
Apple's Signing Id( Идентификатор подписи) пакета.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | signingId |
| Тип данных | String |
| Комментарии | Например, com.apple.ruby для интерпретатора Ruby |
Аргументы обработки
Используется в сочетании с другими параметрами для идентификации процесса.
| Раздел | Значение |
|---|---|
| Домен | com.microsoft.wdav |
| Ключ | signingId |
| Тип данных | Массив строк |
| Комментарии | Если этот аргумент задан, аргумент process должен точно соответствовать этим аргументам с учетом регистра. |
Рекомендуемый профиль конфигурации
Чтобы приступить к работе, мы рекомендуем использовать для вашего предприятия следующую конфигурацию, чтобы воспользоваться всеми функциями защиты, предоставляемыми Microsoft Defender для конечной точки.
Следующий профиль конфигурации (или, в случае JAMF, список свойств, который можно отправить в профиль конфигурации пользовательских параметров) будет:
- Включение защиты в режиме реального времени (RTP)
- Укажите способ обработки следующих типов угроз:
- Потенциально нежелательные приложения блокируются
- Архивные бомбы (файл с высокой скоростью сжатия) проверяются в журналах Microsoft Defender для конечной точки
- Включение автоматических обновлений аналитики безопасности
- Включение облачной защиты
- Включение автоматической отправки образцов
Список свойств для рекомендуемого профиля конфигурации JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Рекомендуемый профиль Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Пример полного профиля конфигурации
Следующие шаблоны содержат записи для всех параметров, описанных в этом документе, и могут использоваться для более сложных сценариев, в которых требуется больший контроль над Microsoft Defender для конечной точки в macOS.
Список свойств для полного профиля конфигурации JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Полный профиль Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Проверка списка свойств
Список свойств должен быть допустимым PLIST-файлом . Это можно проверить, выполнив:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Если файл имеет правильный формат, приведенная выше команда выводит OK и возвращает код выхода .0 В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .
Развертывание профиля конфигурации
После создания профиля конфигурации для предприятия его можно развернуть с помощью консоли управления, используемой предприятием. В следующих разделах содержатся инструкции по развертыванию этого профиля с помощью JAMF и Intune.
Развертывание JAMF
В консоли JAMF откройтеПрофили конфигурациикомпьютеров>, перейдите к профилю конфигурации, который вы хотите использовать, а затем выберите Настраиваемые параметры. Создайте запись с com.microsoft.wdav в качестве предпочтительного домена и отправьте созданный ранее PLIST-файл .
Предостережение
Необходимо ввести правильный домен предпочтения (com.microsoft.wdav); в противном случае параметры не будут распознаны Microsoft Defender для конечной точки.
Развертывание Intune
Откройтепрофили конфигурацииустройств>. Нажмите Создать профиль.
Выберите имя профиля. Измените Platform=macOS на Тип профиля=Шаблоны и выберите Настраиваемый в разделе имя шаблона. Нажмите Настроить.
Сохраните созданный ранее PLIST как
com.microsoft.wdav.xml.Введите
com.microsoft.wdavв качестве имени пользовательского профиля конфигурации.Откройте профиль конфигурации и отправьте
com.microsoft.wdav.xmlфайл. (Этот файл был создан на шаге 3.)Нажмите кнопку ОК.
Выберите Управление>назначениями. На вкладке Включить выберите Назначить всем пользователям & все устройства.
Предостережение
Необходимо ввести правильное имя пользовательского профиля конфигурации; В противном случае эти параметры не будут распознаны Microsoft Defender для конечной точки.
Ресурсы
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.