Развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune
Область применения:
- Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
В этой статье описывается развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune.
Предварительные требования и требования к системе
Прежде чем приступить к работе, ознакомьтесь с описанием необходимых компонентов и системных требований для текущей версии программного обеспечения на странице main Microsoft Defender для конечной точки на macOS.
Обзор
В следующей таблице приведены шаги по развертыванию Microsoft Defender для конечной точки и управлению ими на компьютерах Mac с помощью Microsoft Intune. Дополнительные инструкции см. в следующей таблице:
Шаг | Имя примера файла | Идентификатор пакета |
---|---|---|
Утверждение расширения системы | sysext.mobileconfig |
Н/Д |
Политика расширения сети | netfilter.mobileconfig |
Н/Д |
Полный доступ к диску | fulldisk.mobileconfig |
com.microsoft.wdav.epsext |
параметры конфигурации Microsoft Defender для конечной точки Если вы планируете запустить антивирусную программу сторонних разработчиков на Mac, задайте для true значение passiveMode . |
MDE_MDAV_and_exclusion_settings_Preferences.xml |
com.microsoft.wdav |
Фоновые службы | background_services.mobileconfig |
Н/Д |
Настройка уведомлений Microsoft Defender для конечной точки | notif.mobileconfig |
com.microsoft.wdav.tray |
Параметры специальных возможностей | accessibility.mobileconfig |
com.microsoft.dlp.daemon |
Bluetooth | bluetooth.mobileconfig |
com.microsoft.dlp.agent |
Настройка автоматического обновления (Майкрософт) | com.microsoft.autoupdate2.mobileconfig |
com.microsoft.autoupdate2 |
Управление устройствами | DeviceControl.mobileconfig |
Н/Д |
Защита от потери данных | DataLossPrevention.mobileconfig |
Н/Д |
Скачивание пакета подключения | WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml |
com.microsoft.wdav.atp |
Развертывание Microsoft Defender для конечной точки в приложении macOS | Wdav.pkg |
Недоступно |
Создание профилей конфигурации системы
Далее необходимо создать профили конфигурации системы, которые Microsoft Defender для конечной точки. В Центре администрирования Microsoft Intune откройтепрофили конфигурацииустройств>.
Шаг 1. Утверждение расширений системы
В центре администрирования Intune перейдите в раздел Устройства и в разделе Управление устройствами выберите Конфигурация.
В разделе Профили конфигурации выберите Создать профиль.
На вкладке Политики выберите Создать>политику.
В разделе Платформа выберите macOS.
В разделе Тип профиля выберите Каталог параметров.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль и введите описание. Затем нажмите кнопку Далее.
На вкладке Параметры конфигурации выберите + Добавить параметры.
В разделе Имя шаблона выберите Расширения.
В окне выбора параметров разверните категорию Конфигурация системы , а затем выберите Системные расширения разрешены>:
Закройте средство выбора параметров и выберите + Изменить экземпляр.
Настройте следующие записи в разделе Разрешенные системные расширения , а затем нажмите кнопку Далее.
Разрешенные системные расширения Идентификатор группы com.microsoft.wdav.epsext
UBF8T346G9
com.microsoft.wdav.netext
UBF8T346G9
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS или пользователи.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 2. Фильтр сети
В рамках возможностей обнаружения конечных точек и реагирования Microsoft Defender для конечной точки в macOS проверяет трафик сокета и передает эти сведения на портал Microsoft 365 Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.
Скачайте netfilter.mobileconfig из репозитория GitHub.
Важно!
Поддерживается только один .mobileconfig
(plist) для сетевого фильтра. Добавление нескольких сетевых фильтров приводит к проблемам с сетевым подключением на Mac. Эта проблема не связана с Defender для конечной точки в macOS.
Чтобы настроить сетевой фильтр, выполните следующие действия:
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
NetFilter-prod-macOS-Default-MDE
. Затем выберите Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
NetFilter-prod-macOS-Default-MDE
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации и нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 3. Полный доступ к диску
Примечание.
Начиная с macOS Catalina (10.15) или более поздней версии, чтобы обеспечить конфиденциальность для конечных пользователей, она создала FDA (полный доступ к диску). Включение TCC (управление прозрачностью, согласием &) с помощью решения для мобильных Управление устройствами, такого как Intune, устраняет риск того, что Defender для конечной точки потеря авторизации полного доступа к диску будет работать должным образом.
Этот профиль конфигурации предоставляет полный доступ к диску Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.
Скачайте fulldisk.mobileconfig из репозитория GitHub.
Чтобы настроить полный доступ к диску, выполните следующие действия.
В центре администрирования Intune в разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский, а затем — Создать.
На вкладке Основные сведенияназовите профиль. Например,
FullDiskAccess-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
FullDiskAccess-prod-macOS-Default-MDE
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Примечание.
Полный доступ к диску, предоставленный с помощью профиля конфигурации Apple MDM, не отражается в разделе Параметры > системы Конфиденциальность & Безопасность > полный доступ к диску.
Шаг 4. Фоновые службы
Предостережение
MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме. Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Microsoft Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.
Скачайте background_services.mobileconfig из репозитория GitHub.
Чтобы настроить фоновые службы, выполните следующие действия.
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
BackgroundServices-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
backgroundServices-prod-macOS-Default-MDE
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 5. Уведомления
Этот профиль используется для Microsoft Defender для конечной точки в macOS и автоматического обновления Майкрософт для отображения уведомлений в пользовательском интерфейсе.
Скачайте notif.mobileconfig из репозитория GitHub.
Чтобы отключить уведомления для конечных пользователей, можно изменить параметр Show NotificationCenter с true
на false
в notif.mobileconfig.
Чтобы настроить уведомления, выполните следующие действия.
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
Notify-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
Notif.mobileconfig
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 6. Параметры специальных возможностей
Этот профиль используется для предоставления Microsoft Defender для конечной точки в macOS доступа к параметрам специальных возможностей в Apple macOS High Sierra (10.13.6) и более поздней версии.
Скачайте accessibility.mobileconfig из репозитория GitHub.
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
Accessibility-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
Accessibility.mobileconfig
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 7. Разрешения Bluetooth
Предостережение
macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.
Скачайте bluetooth.mobileconfig из репозитория GitHub и используйте тот же рабочий процесс, что и в разделе Шаг 6. Параметры специальных возможностей , чтобы включить доступ по Bluetooth.
Примечание.
Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.
Шаг 8. Автоматическое обновления (Майкрософт)
Этот профиль используется для обновления Microsoft Defender для конечной точки в macOS с помощью автоматического обновления Майкрософт (MAU). Если вы развертываете Microsoft Defender для конечной точки в macOS, вы можете получить обновленную версию приложения (обновление платформы), которые находятся в разных каналах, упомянутых здесь:
- Бета-версия (insiders-Fast)
- Текущий канал (предварительная версия, insiders-Slow)
- Текущий канал (рабочая среда)
Дополнительные сведения см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в macOS.
Скачайте com.microsoft.autoupdate2.mobileconfig из репозитория GitHub.
Примечание.
com.microsoft.autoupdate2.mobileconfig
Пример из репозитория GitHub имеет значение Current Channel (Production).
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
Autoupdate-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
com.microsoft.autoupdate2.mobileconfig
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Шаг 9. Microsoft Defender для конечной точки параметров конфигурации
На этом шаге мы рассмотрим параметры, позволяющие настроить политики защиты от вредоносных программ и EDR с помощью Microsoft Intune (https://intune.microsoft.com).
9a. Настройка политик с помощью портала Microsoft Defender
Настройте политики с помощью портала Microsoft Defender, выполнив следующие инструкции или используя Microsoft Intune:
Перейдите к разделу Настройка Microsoft Defender для конечной точки в Intune, прежде чем задавать политики безопасности с помощью управления параметрами Microsoft Defender для конечной точки безопасности.
На портале Microsoft Defender перейдите к разделу Управление конфигурацией>Политики> безопасностиконечныхточек Политики > MacСоздать новую политику.
В разделе Выбор платформы выберите macOS.
В разделе Выбор шаблона выберите шаблон и выберите Создать политику.
Укажите имя и описание политики, а затем нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Дополнительные сведения об управлении параметрами безопасности см. в разделе:
- Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune
- Управление параметрами безопасности для Windows, macOS и Linux в собственном коде в Defender для конечной точки
Настройка политик с помощью Microsoft Intune
Вы можете управлять параметрами безопасности для Microsoft Defender для конечной точки в macOS в разделе Параметры в Microsoft Intune.
Дополнительные сведения см. в разделе Настройка параметров для Microsoft Defender для конечной точки на Mac.
Шаг 10. Защита сети для Microsoft Defender для конечной точки в macOS
На портале Microsoft Defender:
Перейдите к разделу Управление конфигурацией>Политики> безопасности конечных точекПолитики> MacСоздать политику.
В разделе Выбор платформы выберите macOS.
В разделе Выбор шаблона выберите Microsoft Defender Антивирусная программа и создать политику.
На вкладке Основные сведения введите имя и описание политики. Нажмите кнопку Далее.
На вкладке Параметры конфигурации в разделе Защита сети выберите уровень принудительного применения. Нажмите кнопку Далее.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите политику в разделе Проверка и создание и нажмите кнопку Сохранить.
Совет
Вы также можете настроить защиту сети, добавив к шагу 8 сведения из раздела Защита сети, чтобы предотвратить подключения macOS к неверным сайтам.mobileconfig
.
Шаг 11. Управление устройствами для Microsoft Defender для конечной точки в macOS
Чтобы настроить управление устройствами для Microsoft Defender для конечной точки в macOS, выполните следующие действия:
- Управление устройствами для macOS
- Развертывание управления устройствами и управление ими с помощью Intune
Шаг 12. Защита от потери данных (DLP) для конечной точки
Чтобы настроить защиту от потери данных (DLP) Purview для конечной точки в macOS, выполните действия, описанные в разделе Подключение и отключение устройств macOS в решениях соответствия требованиям с помощью Microsoft Intune.
Шаг 13. Проверка состояния PList (.mobileconfig)
После завершения настройки профиля вы сможете просмотреть состояние политик.
Просмотр состояния
После того как изменения Intune будут распространены на зарегистрированные устройства, вы увидите их в разделе Мониторинг>состояния устройства:
Настройка клиентского устройства
Для устройства Mac достаточно стандартной установки Корпоративный портал.
Подтвердите управление устройствами.
Выберите Открыть системные параметры, найдите Профиль управления в списке и выберите Утвердить.... Ваш профиль управления будет отображаться как Проверенный:
Нажмите кнопку Продолжить и завершите регистрацию.
Теперь вы можете зарегистрировать больше устройств. Вы также можете зарегистрировать их позже, после завершения настройки системы подготовки и пакетов приложений.
В Intune откройте Управление устройствами>>все устройства. Здесь вы можете увидеть ваше устройство среди перечисленных:
Проверка состояния клиентского устройства
После развертывания профилей конфигурации на устройствах откройтепрофилисистемных параметров> на устройстве Mac.
Убедитесь, что следующие профили конфигурации присутствуют и установлены. Профиль управления должен быть Intune системным профилем. Wdav-config и wdav-kext — это профили конфигурации системы, которые были добавлены в Intune:
Вы также увидите значок Microsoft Defender для конечной точки в правом верхнем углу.
Шаг 14. Публикация приложения
Этот шаг позволяет развернуть Microsoft Defender для конечной точки на зарегистрированных компьютерах.
В Центре администрирования Microsoft Intune откройте Приложения.
Выберите По платформе>macOS>Добавить.
В разделе Тип приложения выберите macOS. Выберите Выбрать.
В разделе Сведения о приложении оставьте значения по умолчанию и нажмите кнопку Далее.
На вкладке Назначения нажмите Далее.
Просмотр и создание. Вы можете перейти на страницу Приложения>по платформе>macOS , чтобы просмотреть его в списке всех приложений.
Дополнительные сведения см. в статье Добавление Microsoft Defender для конечной точки на устройства macOS с помощью Microsoft Intune.
Важно!
Для успешной настройки системы необходимо создать и развернуть профили конфигурации в указанном порядке (шаги 1–13).
Шаг 15. Скачивание пакета подключения
Чтобы скачать пакеты подключения с портала Microsoft 365 Defender, выполните следующие действия:
На портале Microsoft 365 Defender перейдите в разделПараметры>системы>Конечные> точкиПодключение управления устройствами>.
Задайте для операционной системы значение macOS, а метод развертывания — Mobile Управление устройствами или Microsoft Intune.
Выберите Скачать пакет подключения. Сохраните его как WindowsDefenderATPOnboardingPackage.zip в том же каталоге.
Извлеките содержимое файла .zip:
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip warning: WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators inflating: intune/kext.xml inflating: intune/WindowsDefenderATPOnboarding.xml inflating: jamf/WindowsDefenderATPOnboarding.plist
Шаг 16. Развертывание пакета подключения
Этот профиль содержит сведения о лицензии для Microsoft Defender для конечной точки.
Чтобы развернуть пакет подключения, выполните следующие действия:
В разделе Профили конфигурации выберите Создать профиль.
В разделе Платформа выберите macOS.
В поле Тип профиля выберите Шаблоны.
В разделе Имя шаблона выберите Пользовательский.
Нажмите Создать.
На вкладке Основные сведенияназовите профиль. Например,
Onboarding-prod-macOS-Default-MDE
. Нажмите кнопку Далее.На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например,
WindowsDefenderATPOnboarding
.Выберите канал развертывания и нажмите кнопку Далее.
Выберите файл профиля конфигурации.
На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.
Просмотрите профиль конфигурации. Нажмите Создать.
Откройтепрофили конфигурацииустройств>, чтобы просмотреть созданный профиль.
Шаг 17. Проверка обнаружения вредоносных программ
Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения вредоносных программ: Антивирусная проверка для проверки подключений устройств и служб отчетов
Шаг 18. Проверка обнаружения EDR
Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения EDR: Проверка обнаружения EDR для проверки подключения устройств и служб отчетов
Устранение неполадок
Проблема: лицензия не найдена.
Решение. Выполните действия, описанные в этой статье, чтобы создать профиль устройства с помощью WindowsDefenderATPOnboarding.xml.
Ведение журнала проблем с установкой
Сведения о том, как найти автоматически созданный журнал, созданный установщиком, при возникновении ошибки см. в разделе Проблемы с установкой журналов в журнале.
Сведения о процедурах устранения неполадок см. в следующих разделах:
- Устранение неполадок с расширением системы в Microsoft Defender для конечной точки в macOS
- Устранение неполадок с установкой Microsoft Defender для конечной точки в macOS
- Устранение проблем с лицензиями для Microsoft Defender для конечной точки в macOS
- Устранение проблем с подключением к облаку для Microsoft Defender для конечной точки в macOS
- Устранение проблем с производительностью Microsoft Defender для конечной точки в macOS
Удаление
Дополнительные сведения об удалении Microsoft Defender для конечной точки в macOS с клиентских устройств см. в разделе Удаление.