在 Jamf Pro 中設定 macOS 原則的 適用於端點的 Microsoft Defender
適用於:
使用本文來設定使用 Jamf Pro 在 Mac 上適用於端點的 Defender 的原則。
步驟 1:取得 適用於端點的 Microsoft Defender 上線套件
重要事項
您必須獲指派適當的角色,才能檢視、管理和上線裝置。 如需詳細資訊,請參閱使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權。
在 Microsoft Defender 入口網站中,流覽至 [設定>端點>上線]。
選取 [macOS] 作為操作系統,並選取 [行動 裝置管理/ Microsoft Intune 作為部署方法。
選 取 [下載上線套 件 (WindowsDefenderATPOnboardingPackage.zip) ]。
擷取
WindowsDefenderATPOnboardingPackage.zip
將檔案複製到您慣用的位置。 例如,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist
。
步驟 2:使用上線套件在 Jamf Pro 中建立組態配置檔
找出上一節中的檔案
WindowsDefenderATPOnboarding.plist
。登入 Jamf Pro,流覽至 [計算機>組態配置檔],然後選取 [ 新增]。
在 [ 一般] 索引標籤上,指定下列詳細數據:
-
名稱:
MDE onboarding for macOS
-
描述:
MDE EDR onboarding for macOS
-
類別:
None
-
散發方法:
Install Automatically
-
層級:
Computer Level
-
名稱:
流覽至 [應用程式 & 自定義設定 ] 頁面,選取 [ 上傳],然後選取 [ 新增]。
選 取 [上傳檔案 (PLIST 檔案) 然後在 [ 喜好設定網域] 中輸入
com.microsoft.wdav.atp
。選 取 [開 啟],然後選取上線檔案。
選取 [上傳]。
選取 [ 範圍] 索引標籤 。
選取目標計算機。
選取 [儲存]。
選取 [完成]。
步驟 3:設定 適用於端點的 Microsoft Defender 設定
在此步驟中,我們會移至 [喜好設定],讓您可以使用 Microsoft Defender 全面偵測回應 入口網站 () https://security.microsoft.com 或 Jamf 來設定反惡意代碼和 EDR 原則。
重要事項
適用於端點的 Microsoft Defender 安全性設定管理原則優先於 Jamf 集合 (和其他第三方 MDM) 原則。
3a. 使用 Microsoft Defender 入口網站設定原則
在使用 Microsoft Defender 設定安全策略之前,請遵循在 Intune 中設定 適用於端點的 Microsoft Defender 中的指引。
在 Microsoft Defender 入口網站中,移至 [設定管理>端點安全策略>] [Mac 原則>] [建立新原則]。
在 [ 選取平臺] 底下,選取 [macOS]。
在 [ 選取範本] 下,選擇範本,然後選取 [ 建立原則]。
指定原則的名稱和描述,然後選取 [ 下一步]。
在 [ 指派] 索引標籤 上,將配置檔指派給 macOS 裝置和/或使用者所在的群組,或 [ 所有使用者 ] 和 [ 所有裝置]。
如需管理安全性設定的詳細資訊,請參閱下列文章:
3b. 使用 Jamf 設定原則
您可以使用 Jamf Pro GUI 來編輯 適用於端點的 Microsoft Defender 組態的個別設定,或在文本編輯器中建立設定 Plist,並將它上傳至 Jamf Pro,以使用舊版方法。
您必須使用完全 com.microsoft.wdav
相同的 喜好設定網域。 適用於端點的 Microsoft Defender 只使用此名稱,並com.microsoft.wdav.ext
載入其Managed設定。 (當 com.microsoft.wdav.ext
您想要使用 GUI 方法,但也需要設定尚未新增至架構的設定時,此版本在極少數情況下可以使用。)
GUI 方法
schema.json
從 Defender 的 GitHub 存放庫下載檔案,並將其儲存至本機檔案:curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
建立新的組態配置檔。 在 [ 計算機] 底下,移至 [ 組態配置檔],然後在 [ 一般 ] 索引標籤上指定下列詳細數據:
-
名稱:
MDATP MDAV configuration settings
-
描述:
<blank\>
-
類別:
None (default)
-
層級:
Computer Level (default)
-
散發方法:
Install Automatically (default)
-
名稱:
向下卷動至 [ 應用程式 & 自定義設定] 索引標籤,選取 [ 外部應用程式],選取 [ 新增],然後使用 [自定義架構 ] 作為喜好設定網域的來源。
輸入
com.microsoft.wdav
喜好設定網域,選取 [ 新增架構 ],然後上傳schema.json
在步驟 1 下載的檔案。 選取 [儲存]。您可以在 [喜好設定網域屬性] 下看到所有支援的 適用於端點的 Microsoft Defender 組態設定。 選 取 [新增/移除屬性 ] 以選取您要管理的設定,然後選取 [ 確定 ] 以儲存變更。 (未選取的設定未包含在受控組態中,使用者就可以在其計算機上設定這些設定。)
將設定的值變更為所需的值。 您可以選擇 [更多資訊 ] 以取得特定設定的檔案。 (您可以選取 Plist 預覽 版來檢查設定 plist。選 取 [表單編輯 器] 以返回視覺效果編輯器。)
選取 [ 範圍] 索引標籤 。
選 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]。
選取 [完成]。 您會看到新的 組態設定檔。
適用於端點的 Microsoft Defender 會隨著時間新增設定。 這些新設定會新增至架構,而新版本會發佈至 GitHub。 若要取得更新,請下載更新的架構並編輯現有的組態配置檔。 在 [ 應用程式 & 自定義設定] 索引標籤 上,選取 [ 編輯架構]。
舊版方法
使用下列 適用於端點的 Microsoft Defender 組態設定:
enableRealTimeProtection
-
passiveMode
(預設不會開啟此設定。如果您打算在 Mac 上執行非Microsoft防病毒軟體,請將它設定為true
.) exclusions
excludedPath
excludedFileExtension
excludedFileName
exclusionsMergePolicy
-
allowedThreats
(範例上有 EICAR。如果您正在進行概念證明,請特別在測試 EICAR 時移除它。) disallowedThreatActions
potentially_unwanted_application
archive_bomb
cloudService
automaticSampleSubmission
tags
hideStatusMenuIcon
如需詳細資訊,請參閱 Jamf 完整組態配置檔的屬性清單。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
將檔案儲存為
MDATP_MDAV_configuration_settings.plist
。在 Jamf Pro 儀錶板中,開啟 [計算機] 及其 [ 組態配置檔]。 選取 [新增 ],然後切換至 [ 一般] 索引 卷標。
在 [ 一般] 索引標籤上,指定下列詳細數據:
-
名稱:
MDATP MDAV configuration settings
-
描述:
<blank>
-
類別:
None (default)
-
散發方法:
Install Automatically (default)
-
層級:
Computer Level (default)
-
名稱:
在 [應用程式 & 自定義設定] 中,選取 [ 設定]。
選 取 [上傳檔案 (PLIST 檔案) 。
在 [ 喜好設定網域] 中輸入
com.microsoft.wdav
,然後選取 [上傳 PLIST 檔案]。選 取 [選擇檔案]。
選 取 MDATP_MDAV_configuration_settings.plist,然後選取 [ 開啟]。
選取 [上傳]。
選取 [儲存]。
檔案已上傳。
選取 [ 範圍] 索引標籤 。
選 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]。
選取 [完成]。 您會看到新的 組態設定檔。
步驟 4:設定通知設定
注意事項
這些步驟適用於macOS 11 (Big Sur) 或更新版本。 雖然 Jamf 支援 macOS 10.15 版或更新版本的通知,但 Mac 上適用於端點的 Defender 需要 macOS 11 或更新版本。
在 Jamf Pro 儀錶板中,依序選取 [ 計算機] 和 [ 組態配置檔]。
選取 [新增],然後在 [ 一般 ] 索引標籤上,針對 [ 選項] 指定下列詳細數據:
在 [ 通知] 索引標籤 上,選取 [ 新增],然後指定下列值:
-
套件組合識別碼:
com.microsoft.wdav.tray
- 重大警示:選取 [停用]
- 通知:選取 [啟用]
- 橫幅警示類型:選取 [ 包含 ] 和 [ 暫 存 (預設)
- 鎖定畫面上的通知:選取 [隱藏]
- 通知中心內的通知:選取 [顯示]
- 徽章應用程式圖示:選取 顯示
-
套件組合識別碼:
在 [ 通知] 索引標籤 上,選取 [再 新增 一次],然後向下捲動至 [ 新增通知設定]。
-
套件組合識別碼:
com.microsoft.autoupdate.fba
-
套件組合識別碼:
將其餘設定設定為先前提到的相同值
請注意,現在您有兩個具有通知組態的數據表,一個用於套件組合 標識符:com.microsoft.wdav.tray,另一個用於套件 組合標識符:com.microsoft.autoupdate.fba。 雖然您可以根據需求設定警示設定,但套件組合標識碼必須與之前所述完全相同,而 [通知] 的 [包含] 參數必須是 [開啟]。
選取 [ 範圍] 索引 標籤,然後選取 [ 新增]。
選 取 Contoso 的電腦群組。 選取 [新增],然後選取 [ 儲存]。
選取 [完成]。 您應該會看到新的 組態配置檔。
步驟 5:設定 Microsoft AutoUpdate (MAU)
使用下列 適用於端點的 Microsoft Defender 組態設定:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
將它儲存為
MDATP_MDAV_MAU_settings.plist
。在 Jamf Pro 儀錶板中,選取 [ 一般]。
在 [ 一般] 索引標籤上,指定下列詳細數據:
-
名稱:
MDATP MDAV MAU settings
-
描述:
Microsoft AutoUpdate settings for MDATP for macOS
-
類別:
None (default)
-
散發方法:
Install Automatically (default)
-
層級:
Computer Level (default)
-
名稱:
在 [應用程式 & 自定義設定] 中 ,選取 [ 設定]。
選 取 [上傳檔案 (PLIST 檔案) 。
在 [ 喜好設定網域 ] 中輸入
com.microsoft.autoupdate2
,然後選取 [ 上傳 PLIST 檔案]。選 取 [選擇檔案]。
選 取 [MDATP_MDAV_MAU_settings.plist]。
選取 [儲存]。
選取 [ 範圍] 索引標籤 。
選取 新增。
選取 [完成]。
步驟 6:授與完整磁碟存取權給 適用於端點的 Microsoft Defender
在 Jamf Pro 儀錶板中,選取 [ 組態配置檔]。
選 取 [+ 新增]。
在 [ 一般] 索引標籤上,指定下列詳細數據:
-
名稱:
MDATP MDAV - grant Full Disk Access to EDR and AV
-
描述:
On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
-
類別:
None
-
散發方法:
Install Automatically
-
層級:
Computer level
-
名稱:
在 [設定隱私權喜好設定原則控制] 中,選取 [ 設定]。
在 [ 隱私權喜好設定原則控制] 中,輸入下列詳細數據:
-
識別碼:
com.microsoft.wdav
-
識別元類型:
Bundle ID
-
程式代碼需求:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
識別碼:
選取 [+ 新增]。
- 在 [應用程式或服務] 底下,選 取 [SystemPolicyAllFiles]。
- 在 [ 存取] 底下,選取 [ 允許]。
選取 [儲存 (不是右下方) 。
選取
+
[應用程式存取] 旁的符號以新增專案。輸入下列詳細資料:
-
識別碼:
com.microsoft.wdav.epsext
-
識別元類型:
Bundle ID
-
程式代碼需求:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
識別碼:
選取 [+ 新增]。
- 在 [應用程式或服務] 底下,選 取 [SystemPolicyAllFiles]。
- 在 [ 存取] 底下,選取 [ 允許]。
- 選取 [儲存 (不是右下方) 。
- 選取 [ 範圍] 索引標籤 。
- 選取 [+ 新增]。
- 選取 [計算機 群組],然後在 [組名] 底下,選取 [Contoso 的 MachineGroup]。
或者,您可以下載 fulldisk.mobileconfig 並將它上傳至 Jamf 組態配置檔,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro。
注意事項
透過 Apple MDM 組態設定檔授與的完整磁碟存取權不會反映在系統設定 => 隱私權 & 安全性 => 完整磁碟存取中。
步驟 7:核准 適用於端點的 Microsoft Defender 的系統擴充功能
在 [ 組態配置檔] 中,選取 [ + 新增]。
在 [ 一般] 索引標籤上,指定下列詳細數據:
-
名稱:
MDATP MDAV System Extensions
-
描述:
MDATP system extensions
-
類別:
None
-
散發方法:
Install Automatically
-
層級:
Computer Level
-
名稱:
在 [系統延伸模組] 中 ,選 取 [設定]。
在 [系統延伸模組] 中,輸入下列詳細資料:
-
顯示名稱:
Microsoft Corp. System Extensions
-
系統延伸模組類型:
Allowed System Extensions
-
小組識別碼:
UBF8T346G9
-
允許的系統延伸模組:
com.microsoft.wdav.epsext
com.microsoft.wdav.netext
-
顯示名稱:
選取 [ 範圍] 索引標籤 。
選取 [+ 新增]。
選取 [組名>] 底下的 [>計算機 群組],選取 [Contoso 的計算機群組]。
選取 [+ 新增]。
選取 [儲存]。
選取 [完成]。
步驟 8:設定網路擴充功能
作為端點偵測和回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查套接字流量,並將此資訊報告至 Microsoft Defender 入口網站。
注意事項
這些步驟適用於macOS 11 (Big Sur) 或更新版本。 雖然 Jamf 支援 macOS 10.15 版或更新版本的通知,但 Mac 上適用於端點的 Defender 需要 macOS 11 或更新版本。
在 Jamf Pro 儀錶板中,依序選取 [ 計算機] 和 [ 組態配置檔]。
選取 [新增],然後針對 [ 選項] 輸入下列詳細資料:
在 [ 一般] 索引標籤上,指定下列值:
-
名稱:
Microsoft Defender Network Extension
-
描述:
macOS 11 (Big Sur) or later
-
類別:
None *(default)*
-
散發方法:
Install Automatically *(default)*
-
層級:
Computer Level *(default)*
-
名稱:
在 [ 內容篩選] 索引 標籤上,指定下列值:
-
篩選名稱:
Microsoft Defender Content Filter
-
識別碼:
com.microsoft.wdav
- 未選取 [服務位址]、[組織]、[使用者名稱]、[密碼]、[憑證空白 ([包含])
-
篩選順序:
Inspector
-
套接字篩選:
com.microsoft.wdav.netext
-
套接字篩選指定的需求:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- 將 [網络篩選] 字段保留空白 (未選取 [包含])
請注意, 標識碼、 套接字篩選 器和 套接字篩選指定的需求 確切值,如先前所指定。
-
篩選名稱:
選取 [ 範圍] 索引標籤 。
選取 [+ 新增]。 選取 [計算機 群組],然後在 [組名] 底下,選取 [Contoso 的計算機群組]。 然後選取 [+ 新增]。
選取 [儲存]。
選取 [完成]。
或者,您可以下載 netfilter.mobileconfig 並將它上傳至 Jamf 組態配置檔,如使用 Jamf Pro 部署自定義組態配置檔|
步驟 9:設定背景服務
注意
macOS 13 (Ventura) 包含新的隱私權增強功能。 從這個版本開始,根據預設,應用程式在未經明確同意的情況下,無法在背景中執行。 適用於端點的 Microsoft Defender 必須在背景中執行其精靈進程。
此組態配置檔會將背景服務許可權授與 適用於端點的 Microsoft Defender。 如果您先前已透過 Jamf 設定 適用於端點的 Microsoft Defender,建議您使用此組態配置檔來更新部署。
從我們的 GitHub 存放庫下載 background_services.mobileconfig。
將下載的mobileconfig上傳至 Jamf 組態配置檔,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro。
步驟 10:授與藍牙許可權
注意
macOS 14 (Sonoma) 包含新的隱私權增強功能。 從此版本開始,應用程式預設無法在未經明確同意的情況下存取藍牙。 如果您為裝置控制設定藍牙原則,適用於端點的 Microsoft Defender 會使用它。
從 GitHub 存放庫下載 bluetooth.mobileconfig。
警告
目前版本的 Jamf Pro 尚不支援這種承載。 如果您依原樣上傳此mobileconfig,Jamf Pro 將會移除不支持的承載,且無法套用至客戶端電腦。 您必須先簽署下載的mobileconfig,之後 Jamf Pro 會將其視為「密封」,且不會竄改它。 請參閱下列指示:
您必須至少將一個簽署憑證安裝到您的 KeyChain 中,即使是自我簽署憑證也可運作。 您可以使用下列項目來檢查您擁有的內容:
> /usr/bin/security find-identity -p codesigning -v 1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert" 2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)" 3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)" 4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)" 4 valid identities found
選擇其中任何一個,並提供引號文字作為 -N
參數:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
現在您可以將產生的藍牙簽署.mobileconfig 上傳至 Jamf Pro,如 使用 Jamf Pro 部署自定義組態配置檔|方法 2:將組態配置檔上傳至 Jamf Pro。
注意事項
透過 Apple MDM 組態設定檔授與的藍牙不會反映在系統設定 => 隱私權 & 安全性 => 藍牙中。
步驟 11:在 macOS 上使用 適用於端點的 Microsoft Defender 排程掃描
請遵循在macOS上使用 適用於端點的 Microsoft Defender 排程掃描中的指示。
步驟 12:在 macOS 上部署 適用於端點的 Microsoft Defender
注意事項
在後續步驟中,檔名和顯示名稱.pkg
值都是範例。 在這些範例中, 200329
代表 (格式) yymmdd
建立套件和原則的日期,並v100.86.92
代表要部署的 Microsoft Defender 應用程式版本。
這些值應該更新,以符合您在環境中用於套件和原則的命名慣例。
流覽至您儲存
wdav.pkg
的位置。重新命名為
wdav_MDM_Contoso_200329.pkg
。開啟 Jamf Pro 儀錶板。
選取您的計算機,然後選取頂端的齒輪圖示,然後選取 [ 計算機管理]。
在 [套件] 中,選取 [+ 新增]。
在 [ 一般] 索引標籤的 [ 新增套件] 中,指定下列詳細數據:
- 顯示名稱:目前將它保留空白。 因為當您選擇 pkg 時,它會重設。
-
類別:
None (default)
-
檔案名稱:
Choose File
開啟檔案,並將其
wdav.pkg
指向 或wdav_MDM_Contoso_200329.pkg
。選取 [開啟]。 將 [顯示名稱] 設定為 [Microsoft Defender 進階威脅防護] 和 [Microsoft Defender 防病毒軟體]。
- 不需要指令清單檔。 適用於端點的 Microsoft Defender 不使用指令清單檔即可運作。
- 選項索引標籤:保留預設值。
- 限制索引標籤:保留預設值。
選取 [儲存]。 套件會上傳至 Jamf Pro。
可能需要幾分鐘的時間,封裝才會可供部署。
流覽至 [ 原則] 頁面。
選 取 [+ 新增 ] 以建立新原則。
在 [一般] 中,針對 [顯示名稱],請使用
MDATP Onboarding Contoso 200329 v100.86.92 or later
。選取 [週期性簽入]。
選取 [儲存]。 然後選取 [ 套件],然後選取 [設定]。
選取 [進階威脅防護] Microsoft Defender 旁邊的 [新增] 按鈕,Microsoft Defender 防病毒軟體]。
選取 [儲存]。
為具有 Microsoft Defender 配置檔的電腦建立智慧群組。
若要獲得更好的用戶體驗,必須先安裝已註冊計算機的組態配置檔,才能 Microsoft Defender 套件。 在大部分情況下,JamF Pro 會立即推送組態配置檔,而這些原則會在簽入期間 (一段時間后執行) 。 不過,在某些情況下,如果使用者的計算機已鎖定) ,則組態配置檔部署可能會有顯著的延遲 (。
Jamf Pro 提供確保正確順序的方法。 您可以為已收到 Microsoft Defender 組態配置檔的機器建立智慧群組,並只將 Microsoft Defender 的套件安裝到這些電腦 (,且只要它們收到此配置檔) 。
依照下列步驟執行:
建立智慧群組。 在新的瀏覽器視窗中,開啟 [智慧型計算機] 群組。
選取 [新增],併為您的群組命名。
在 [ 準則] 索引 標籤上,選取 [ 新增],然後選取 [ 顯示進階準則]。
選 取 [設定檔名稱 ] 作為準則,並使用先前建立的組態設定檔名稱作為值:
選取 [儲存]。
返回 至您設定套件原則的視窗。
選取 [ 範圍] 索引標籤 。
選取目標計算機。
在 [ 範圍] 底下,選取 [ 新增]。
切換至 [計算機 群組] 索引標籤。尋找您建立的智慧群組,然後選取 [新增]。
- 如果您想要讓用戶主動安裝適用於端點的 Defender (或視需要) ,請選取 [自助]。
- 選取 [完成]。
組態配置檔範圍
Jamf 會要求您為組態配置檔定義一組機器。 您必須確定所有接收 Defender 套件的機器,也會接收上面所列 的所有 組態配置檔。
警告
Jamf 支援允許部署的智慧型手機 群組,例如組態配置檔或原則,以動態方式評估符合特定準則的所有機器。 這是廣泛用於組態配置檔散發的強大概念。
不過,請記住,這些準則不應該包含計算機上有 Defender。 雖然使用此準則聽起來可能邏輯,但它會產生難以診斷的問題。
Defender 在安裝時依賴所有這些配置檔。
根據 Defender 的存在進行組態配置檔會有效地延遲部署組態配置檔,並導致一開始狀況不良的產品和/或提示手動核准特定應用程式許可權,否則會由配置檔自動核准。部署組態配置檔之後,使用 Microsoft Defender 套件部署原則可確保使用者的最佳體驗,因為所有必要的設定都會在套件安裝之前套用。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。