Поделиться через


Развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune

Область применения:

В этой статье описывается развертывание Microsoft Defender для конечной точки в macOS с помощью Microsoft Intune.

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием необходимых компонентов и системных требований для текущей версии программного обеспечения на странице main Microsoft Defender для конечной точки на macOS.

Обзор

В следующей таблице приведены шаги по развертыванию Microsoft Defender для конечной точки и управлению ими на компьютерах Mac с помощью Microsoft Intune. Дополнительные инструкции см. в следующей таблице:

Шаг Имя примера файла Идентификатор пакета
Утверждение расширения системы sysext.mobileconfig Н/Д
Политика расширения сети netfilter.mobileconfig Н/Д
Полный доступ к диску fulldisk.mobileconfig com.microsoft.wdav.epsext
параметры конфигурации Microsoft Defender для конечной точки

Если вы планируете запустить антивирусную программу сторонних разработчиков на Mac, задайте для trueзначение passiveMode .
MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Фоновые службы background_services.mobileconfig Н/Д
Настройка уведомлений Microsoft Defender для конечной точки notif.mobileconfig com.microsoft.wdav.tray
Параметры специальных возможностей accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Настройка автоматического обновления (Майкрософт) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Управление устройствами DeviceControl.mobileconfig Н/Д
Защита от потери данных DataLossPrevention.mobileconfig Н/Д
Скачивание пакета подключения WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Развертывание Microsoft Defender для конечной точки в приложении macOS Wdav.pkg Недоступно

Создание профилей конфигурации системы

Далее необходимо создать профили конфигурации системы, которые Microsoft Defender для конечной точки. В Центре администрирования Microsoft Intune откройтепрофили конфигурацииустройств>.

Шаг 1. Утверждение расширений системы

  1. В центре администрирования Intune перейдите в раздел Устройства и в разделе Управление устройствами выберите Конфигурация.

  2. В разделе Профили конфигурации выберите Создать профиль.

  3. На вкладке Политики выберите Создать>политику.

  4. В разделе Платформа выберите macOS.

  5. В разделе Тип профиля выберите Каталог параметров.

  6. Нажмите Создать.

  7. На вкладке Основные сведенияназовите профиль и введите описание. Затем нажмите кнопку Далее.

  8. На вкладке Параметры конфигурации выберите + Добавить параметры.

  9. В разделе Имя шаблона выберите Расширения.

  10. В окне выбора параметров разверните категорию Конфигурация системы , а затем выберите Системные расширения разрешены>:

    Снимок экрана: средство выбора параметров

  11. Закройте средство выбора параметров и выберите + Изменить экземпляр.

  12. Настройте следующие записи в разделе Разрешенные системные расширения , а затем нажмите кнопку Далее.

    Разрешенные системные расширения Идентификатор группы
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Снимок экрана: разрешенные системные расширения

  13. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS или пользователи.

  14. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 2. Фильтр сети

В рамках возможностей обнаружения конечных точек и реагирования Microsoft Defender для конечной точки в macOS проверяет трафик сокета и передает эти сведения на портал Microsoft 365 Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.

Скачайте netfilter.mobileconfig из репозитория GitHub.

Важно!

Поддерживается только один .mobileconfig (plist) для сетевого фильтра. Добавление нескольких сетевых фильтров приводит к проблемам с сетевым подключением на Mac. Эта проблема не связана с Defender для конечной точки в macOS.

Чтобы настроить сетевой фильтр, выполните следующие действия:

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

  6. На вкладке Основные сведенияназовите профиль. Например, NetFilter-prod-macOS-Default-MDE. Затем выберите Далее.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, NetFilter-prod-macOS-Default-MDE.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации и нажмите кнопку Далее.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  11. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 3. Полный доступ к диску

Примечание.

Начиная с macOS Catalina (10.15) или более поздней версии, чтобы обеспечить конфиденциальность для конечных пользователей, она создала FDA (полный доступ к диску). Включение TCC (управление прозрачностью, согласием &) с помощью решения для мобильных Управление устройствами, такого как Intune, устраняет риск того, что Defender для конечной точки потеря авторизации полного доступа к диску будет работать должным образом.

Этот профиль конфигурации предоставляет полный доступ к диску Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте fulldisk.mobileconfig из репозитория GitHub.

Чтобы настроить полный доступ к диску, выполните следующие действия.

  1. В центре администрирования Intune в разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский, а затем — Создать.

  5. На вкладке Основные сведенияназовите профиль. Например, FullDiskAccess-prod-macOS-Default-MDE. Нажмите кнопку Далее.

  6. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, FullDiskAccess-prod-macOS-Default-MDE.

  7. Выберите канал развертывания и нажмите кнопку Далее.

  8. Выберите файл профиля конфигурации.

  9. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  10. Просмотрите профиль конфигурации. Нажмите Создать.

Примечание.

Полный доступ к диску, предоставленный с помощью профиля конфигурации Apple MDM, не отражается в разделе Параметры > системы Конфиденциальность & Безопасность > полный доступ к диску.

Шаг 4. Фоновые службы

Предостережение

MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме. Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через Microsoft Intune, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте background_services.mobileconfig из репозитория GitHub.

Чтобы настроить фоновые службы, выполните следующие действия.

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

  6. На вкладке Основные сведенияназовите профиль. Например, BackgroundServices-prod-macOS-Default-MDE. Нажмите кнопку Далее.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, backgroundServices-prod-macOS-Default-MDE.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  11. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 5. Уведомления

Этот профиль используется для Microsoft Defender для конечной точки в macOS и автоматического обновления Майкрософт для отображения уведомлений в пользовательском интерфейсе.

Скачайте notif.mobileconfig из репозитория GitHub.

Чтобы отключить уведомления для конечных пользователей, можно изменить параметр Show NotificationCenter с true на falseв notif.mobileconfig.

Снимок экрана: notif.mobileconfig с параметром ShowNotificationCenter с значением True.

Чтобы настроить уведомления, выполните следующие действия.

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

  6. На вкладке Основные сведенияназовите профиль. Например, Notify-prod-macOS-Default-MDE. Нажмите кнопку Далее.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, Notif.mobileconfig.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  11. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 6. Параметры специальных возможностей

Этот профиль используется для предоставления Microsoft Defender для конечной точки в macOS доступа к параметрам специальных возможностей в Apple macOS High Sierra (10.13.6) и более поздней версии.

Скачайте accessibility.mobileconfig из репозитория GitHub.

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

  6. На вкладке Основные сведенияназовите профиль. Например, Accessibility-prod-macOS-Default-MDE. Нажмите кнопку Далее.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, Accessibility.mobileconfig.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  11. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 7. Разрешения Bluetooth

Предостережение

macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.

Скачайте bluetooth.mobileconfig из репозитория GitHub и используйте тот же рабочий процесс, что и в разделе Шаг 6. Параметры специальных возможностей , чтобы включить доступ по Bluetooth.

Примечание.

Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.

Шаг 8. Автоматическое обновления (Майкрософт)

Этот профиль используется для обновления Microsoft Defender для конечной точки в macOS с помощью автоматического обновления Майкрософт (MAU). Если вы развертываете Microsoft Defender для конечной точки в macOS, вы можете получить обновленную версию приложения (обновление платформы), которые находятся в разных каналах, упомянутых здесь:

  • Бета-версия (insiders-Fast)
  • Текущий канал (предварительная версия, insiders-Slow)
  • Текущий канал (рабочая среда)

Дополнительные сведения см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в macOS.

Скачайте com.microsoft.autoupdate2.mobileconfig из репозитория GitHub.

Примечание.

com.microsoft.autoupdate2.mobileconfig Пример из репозитория GitHub имеет значение Current Channel (Production).

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

  6. На вкладке Основные сведенияназовите профиль. Например, Autoupdate-prod-macOS-Default-MDE. Нажмите кнопку Далее.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, com.microsoft.autoupdate2.mobileconfig.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

  11. Просмотрите профиль конфигурации. Нажмите Создать.

Шаг 9. Microsoft Defender для конечной точки параметров конфигурации

На этом шаге мы рассмотрим параметры, позволяющие настроить политики защиты от вредоносных программ и EDR с помощью Microsoft Intune (https://intune.microsoft.com).

9a. Настройка политик с помощью портала Microsoft Defender

Настройте политики с помощью портала Microsoft Defender, выполнив следующие инструкции или используя Microsoft Intune:

  1. Перейдите к разделу Настройка Microsoft Defender для конечной точки в Intune, прежде чем задавать политики безопасности с помощью управления параметрами Microsoft Defender для конечной точки безопасности.

  2. На портале Microsoft Defender перейдите к разделу Управление конфигурацией>Политики> безопасностиконечныхточек Политики > MacСоздать новую политику.

  3. В разделе Выбор платформы выберите macOS.

  4. В разделе Выбор шаблона выберите шаблон и выберите Создать политику.

  5. Укажите имя и описание политики, а затем нажмите кнопку Далее.

  6. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

Дополнительные сведения об управлении параметрами безопасности см. в разделе:

Настройка политик с помощью Microsoft Intune

Вы можете управлять параметрами безопасности для Microsoft Defender для конечной точки в macOS в разделе Параметры в Microsoft Intune.

Дополнительные сведения см. в разделе Настройка параметров для Microsoft Defender для конечной точки на Mac.

Шаг 10. Защита сети для Microsoft Defender для конечной точки в macOS

На портале Microsoft Defender:

  1. Перейдите к разделу Управление конфигурацией>Политики> безопасности конечных точекПолитики> MacСоздать политику.

  2. В разделе Выбор платформы выберите macOS.

  3. В разделе Выбор шаблона выберите Microsoft Defender Антивирусная программа и создать политику.

    Снимок экрана: страница, на которой создается политика.

  4. На вкладке Основные сведения введите имя и описание политики. Нажмите кнопку Далее.

    Снимок экрана: вкладка

  5. На вкладке Параметры конфигурации в разделе Защита сети выберите уровень принудительного применения. Нажмите кнопку Далее.

    Снимок экрана: страница

  6. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

    Снимок экрана: страница, на которой настраивается параметр Назначения.

  7. Просмотрите политику в разделе Проверка и создание и нажмите кнопку Сохранить.

Совет

Вы также можете настроить защиту сети, добавив к шагу 8 сведения из раздела Защита сети, чтобы предотвратить подключения macOS к неверным сайтам.mobileconfig.

Шаг 11. Управление устройствами для Microsoft Defender для конечной точки в macOS

Чтобы настроить управление устройствами для Microsoft Defender для конечной точки в macOS, выполните следующие действия:

Шаг 12. Защита от потери данных (DLP) для конечной точки

Чтобы настроить защиту от потери данных (DLP) Purview для конечной точки в macOS, выполните действия, описанные в разделе Подключение и отключение устройств macOS в решениях соответствия требованиям с помощью Microsoft Intune.

Шаг 13. Проверка состояния PList (.mobileconfig)

После завершения настройки профиля вы сможете просмотреть состояние политик.

Просмотр состояния

После того как изменения Intune будут распространены на зарегистрированные устройства, вы увидите их в разделе Мониторинг>состояния устройства:

Снимок экрана: представление состояния устройства.

Настройка клиентского устройства

Для устройства Mac достаточно стандартной установки Корпоративный портал.

  1. Подтвердите управление устройствами.

    Снимок экрана: страница

    Выберите Открыть системные параметры, найдите Профиль управления в списке и выберите Утвердить.... Ваш профиль управления будет отображаться как Проверенный:

    Снимок экрана: страница профиля управления.

  2. Нажмите кнопку Продолжить и завершите регистрацию.

    Теперь вы можете зарегистрировать больше устройств. Вы также можете зарегистрировать их позже, после завершения настройки системы подготовки и пакетов приложений.

  3. В Intune откройте Управление устройствами>>все устройства. Здесь вы можете увидеть ваше устройство среди перечисленных:

    Снимок экрана: страница

Проверка состояния клиентского устройства

  1. После развертывания профилей конфигурации на устройствах откройтепрофилисистемных параметров> на устройстве Mac.

    Снимок экрана: страница

    Снимок экрана: страница

  2. Убедитесь, что следующие профили конфигурации присутствуют и установлены. Профиль управления должен быть Intune системным профилем. Wdav-config и wdav-kext — это профили конфигурации системы, которые были добавлены в Intune:

    Снимок экрана: страница

  3. Вы также увидите значок Microsoft Defender для конечной точки в правом верхнем углу.

    Снимок экрана: значок Microsoft Defender для конечной точки в строке состояния.

Шаг 14. Публикация приложения

Этот шаг позволяет развернуть Microsoft Defender для конечной точки на зарегистрированных компьютерах.

  1. В Центре администрирования Microsoft Intune откройте Приложения.

    Снимок экрана: страница обзора приложения.

  2. Выберите По платформе>macOS>Добавить.

  3. В разделе Тип приложения выберите macOS. Выберите Выбрать.

    Снимок экрана: конкретный тип приложения.

  4. В разделе Сведения о приложении оставьте значения по умолчанию и нажмите кнопку Далее.

    Снимок экрана: страница свойств приложения.

  5. На вкладке Назначения нажмите Далее.

    Снимок экрана: страница сведений о назначениях Intune.

  6. Просмотр и создание. Вы можете перейти на страницу Приложения>по платформе>macOS , чтобы просмотреть его в списке всех приложений.

    Снимок экрана: страница списков приложений.

Дополнительные сведения см. в статье Добавление Microsoft Defender для конечной точки на устройства macOS с помощью Microsoft Intune.

Важно!

Для успешной настройки системы необходимо создать и развернуть профили конфигурации в указанном порядке (шаги 1–13).

Шаг 15. Скачивание пакета подключения

Чтобы скачать пакеты подключения с портала Microsoft 365 Defender, выполните следующие действия:

  1. На портале Microsoft 365 Defender перейдите в разделПараметры>системы>Конечные> точкиПодключение управления устройствами>.

  2. Задайте для операционной системы значение macOS, а метод развертывания — Mobile Управление устройствами или Microsoft Intune.

    Снимок экрана: страница параметров подключения.

  3. Выберите Скачать пакет подключения. Сохраните его как WindowsDefenderATPOnboardingPackage.zip в том же каталоге.

  4. Извлеките содержимое файла .zip:

    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
     inflating: intune/kext.xml
     inflating: intune/WindowsDefenderATPOnboarding.xml
     inflating: jamf/WindowsDefenderATPOnboarding.plist
    

    Снимок экрана: пример описания.

Шаг 16. Развертывание пакета подключения

Этот профиль содержит сведения о лицензии для Microsoft Defender для конечной точки.

Чтобы развернуть пакет подключения, выполните следующие действия:

  1. В разделе Профили конфигурации выберите Создать профиль.

  2. В разделе Платформа выберите macOS.

  3. В поле Тип профиля выберите Шаблоны.

  4. В разделе Имя шаблона выберите Пользовательский.

  5. Нажмите Создать.

    Снимок экрана: пакет развертывания подключения.

  6. На вкладке Основные сведенияназовите профиль. Например, Onboarding-prod-macOS-Default-MDE. Нажмите кнопку Далее.

    Снимок экрана: настраиваемая страница.

  7. На вкладке Параметры конфигурации введите имя пользовательского профиля конфигурации . Например, WindowsDefenderATPOnboarding.

  8. Выберите канал развертывания и нажмите кнопку Далее.

  9. Выберите файл профиля конфигурации.

    Снимок экрана: параметры конфигурации.

  10. На вкладке Назначения назначьте профиль группе, в которой находятся устройства macOS и (или) пользователи, или Все пользователи и все устройства.

    Снимок экрана: вкладка

  11. Просмотрите профиль конфигурации. Нажмите Создать.

  12. Откройтепрофили конфигурацииустройств>, чтобы просмотреть созданный профиль.

Шаг 17. Проверка обнаружения вредоносных программ

Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения вредоносных программ: Антивирусная проверка для проверки подключений устройств и служб отчетов

Шаг 18. Проверка обнаружения EDR

Ознакомьтесь со следующей статьей, чтобы проверить проверку обнаружения EDR: Проверка обнаружения EDR для проверки подключения устройств и служб отчетов

Устранение неполадок

Проблема: лицензия не найдена.

Решение. Выполните действия, описанные в этой статье, чтобы создать профиль устройства с помощью WindowsDefenderATPOnboarding.xml.

Ведение журнала проблем с установкой

Сведения о том, как найти автоматически созданный журнал, созданный установщиком, при возникновении ошибки см. в разделе Проблемы с установкой журналов в журнале.

Сведения о процедурах устранения неполадок см. в следующих разделах:

Удаление

Дополнительные сведения об удалении Microsoft Defender для конечной точки в macOS с клиентских устройств см. в разделе Удаление.