本文說明如何透過 Microsoft Intune 在 macOS 上部署 適用於端點的 Microsoft Defender。
前置條件與系統需求在開始之前,請先查看 macOS 版 適用於端點的 Microsoft Defender 主頁,了解 macOS 版 適用於端點的 Microsoft Defender 的概覽,包括其功能與功能。 同時也包含更多資源連結以提供更多資訊。 關於目前軟體版本的前置條件與系統需求說明,請參見 MacOS 上的 適用於端點的 Microsoft Defender 前置條件。
重要事項
如果你想並行運行多個安全解決方案,請參閱 效能、設定與支援的考量。
你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突,請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。
概觀下表總結了透過 Microsoft Intune 在 macOS 上部署和管理 適用於端點的 Microsoft Defender 的步驟。 更詳細的步驟請參考下表:
步驟 範例檔案名稱 束識別碼 批准系統延伸 sysext.mobileconfig 不適用 網路延伸政策 netfilter.mobileconfig 不適用 完整磁碟存取 fulldisk.mobileconfig com.microsoft.wd.epsext 適用於端點的 Microsoft Defender 設定設定如果你打算在 macOS 上執行非 Microsoft 的防毒軟體,請設定 passiveMode 為 true。
MDE_MD_and_exclusion_settings_Preferences.xml com.microsoft.wd 背景服務 background_services.mobileconfig 不適用 配置 適用於端點的 Microsoft Defender 通知 notif.mobileconfig com.microsoft.wd.tray 無障礙設定 accessibility.mobileconfig com.microsoft.dlp.daemon 藍牙 bluetooth.mobileconfig com.microsoft.dlp.agent 設定Microsoft自動更新 (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2 裝置控制 DeviceControl.mobileconfig 不適用 資料外洩防護 DataLossPrevention.mobileconfig 不適用 下載入職套件 WindowsDefenderATPOnboarding__MDATP_wd.atp.xml com.microsoft.wd.atp 在 macOS 應用程式上部署 適用於端點的 Microsoft Defender Wd.pkg 不適用 建立系統配置檔下一步是建立適用於端點的 Microsoft Defender 所需的系統配置檔。 開啟 Microsoft Intune 管理中心
步驟 1:核准系統擴充在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 設定 標籤中,政策標籤中選擇 + 建立>+ 新政策。
在平台選項中,選擇 macOS。
在 設定檔類型中,選擇 設定目錄。
選取 [建立]。
在基礎標籤中, 為 個人檔案 命名 並輸入 描述。 然後選擇 「下一步」。
在 設定設定 標籤中,選擇 + 新增設定。
在 設定選擇器中,展開 系統設定 類別,然後選擇 系統擴充功能 並勾選 允許的系統擴充功能。
關閉設定選擇器,然後選擇 + 編輯實例。
在 「允許的系統擴充功能 」區段設定以下項目,然後選擇 儲存, 再選擇 「下一步」。
允許的系統擴充 球隊識別碼 com.microsoft.wd.epsext UBF8T346G9 com.microsoft.wd.netext UBF8T346G9
在 範圍 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟 2:網路過濾器作為端點偵測與回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查 socket 流量並將這些資訊回報至 Microsoft 365 Defender 入口網站。 以下政策允許網路擴充執行此功能。
從 GitHub 倉庫下載 netfilter.mobileconfig。
重要事項
網路過濾只支援一個 .mobileconfig (plist) 。 在 macOS 上新增多個網路過濾器會導致網路連線問題。 這個問題並非 macOS 版 Defender for Endpoint 特有的問題。
要設定你的網路過濾器:
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在基礎標籤中,命名設定檔, (例如:MacOS 網路過濾) ,輸入描述,然後選擇下一步。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 netfilter.mobileconfig設定檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟 3:完整磁碟存取注意事項
在macOS Catalina (10.15) 或更新版本中,為了保障終端使用者的隱私,FDA建立了 ( 全磁碟存取) 。 透過行動裝置管理解決方案(如 Intune)啟用 TCC (透明度、同意 & 控制) ,可消除 Defender for Endpoint 失去完整磁碟存取授權(Full Disk Access Authorization)而無法正常運作的風險。
此配置檔賦予 適用於端點的 Microsoft Defender 全磁碟存取權。 如果您之前透過 Intune 配置 適用於端點的 Microsoft Defender,建議您更新此配置檔。
從 GitHub 倉庫下載 fulldisk.mobileconfig。
要設定完整磁碟存取:
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在基礎標籤中,命名設定檔, (例如:MacOS Full disk access) ,輸入描述,然後選擇下一步。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 fulldisk.mobileconfig設定檔 ,然後選擇 下一步。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
注意事項
透過 Apple MDM 設定檔授予的完整磁碟存取權限,並未反映在 系統設定 > 隱私 & 安全 > 、完整磁碟存取中。
步驟四:背景調查服務注意
macOS 13 (Ventura) 包含新的隱私增強功能。 從這個版本開始,預設情況下,應用程式不能在沒有明確同意的情況下在背景執行。 適用於端點的 Microsoft Defender 必須在背景執行其守護程序。 此設定設定檔授予 適用於端點的 Microsoft Defender 背景服務權限。 如果您之前透過 Microsoft Intune 設定 適用於端點的 Microsoft Defender,建議您更新部署並使用此設定檔。
從 GitHub 倉庫下載 background_services.mobileconfig。
要設定背景服務:
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在 「基礎 」標籤 中,命名 設定檔, (例如:MacOS 背景服務) ,輸入 描述,然後選擇 「下一步」。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 background_services.mobileconfig設定檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟五:通知此設定檔用於 macOS 上的適用於端點的 Microsoft Defender,並Microsoft AutoUpdate 顯示 UI 通知。
從 GitHub 倉庫下載 notif.mobileconfig。
要關閉終端用戶的通知,可以在 notif.mobileconfig 裡把「顯示通知中心」改成false「顯示通知中心true」。
要設定通知:
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在 基礎 標籤 中,命名 設定檔, (例如:MacOS 通知同意) ,輸入 描述,然後選擇 下一步。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 notif.mobileconfig設定檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟六:無障礙設定此設定檔用於讓 macOS 上的 適用於端點的 Microsoft Defender 存取蘋果 macOS High Sierra (10.13.6) 及更新版本的無障礙設定。
從 GitHub 倉庫下載 accessibility.mobileconfig。
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在基礎標籤中,命名設定檔, (例如:MacOS 無障礙設定) ,輸入描述,然後選擇下一步。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 accessibility.mobileconfig設定檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟七:藍牙權限注意
macOS 14 (Sonoma) 包含新的隱私增強功能。 從這個版本開始,預設情況下,應用程式無法在未經明確同意的情況下存取藍牙。 如果你設定藍牙控制的裝置控制政策,適用於端點的 Microsoft Defender 會使用它。
從 GitHub 倉庫下載 bluetooth.mobileconfig,並使用步驟 6:無障礙設定中的相同工作流程來啟用藍牙存取。
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在基礎標籤中,命名設定檔, (例如:MacOS 藍牙同意) ,輸入描述,然後選擇下一步。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 藍牙.mobileconfig設定檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
注意事項
透過 Apple MDM 設定檔授予的藍牙不會反映在系統設定中 = 隱私 &> 安全性 => 藍牙。
步驟八:Microsoft 自動更新此設定檔用於透過 Microsoft AutoUpdate (MAU) 更新 macOS 上的適用於端點的 Microsoft Defender。 如果你是在 macOS 上部署 適用於端點的 Microsoft Defender,你可以選擇在以下不同管道中 (平台更新) 取得應用程式的更新版本:
Beta (Insiders-Fast) 當前頻道 (預覽,Insiders-慢) 目前頻道 (製作)欲了解更多資訊,請參閱 macOS 上 適用於端點的 Microsoft Defender 部署更新。
從 GitHub 倉庫下載 com.microsoft.autoupdate2.mobileconfig。
注意事項
GitHub 倉庫中的範例 com.microsoft.autoupdate2.mobileconfig 設定為 Current Channel (Production) 。
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在 「基礎 」標籤 中, 先命名個人檔案, (例如) macOS Microsoft Auto-Update ,輸入 描述,然後選擇 「下一步」。
在 設定 標籤中,輸入 自訂設定檔 名稱。
選擇部署 通道。
選擇先前下載的 com.microsoft.autoupdate2.mobileconfig配置檔 ,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟 9:適用於端點的 Microsoft Defender 設定在此步驟中,您將根據您的偏好或組織需求,根據您的偏好或組織需求,設定反惡意軟體與 EDR 政策,Microsoft Defender (步驟 9a.) 或 Microsoft Intune 入口 (第 9b.) 。
注意事項
只需完成以下 步驟 之一 (9a、或9b )
9a。 使用 Microsoft Defender 入口網站設定政策請依照以下步驟使用 Microsoft Defender 入口網站設定政策:
在使用 Intune 設定安全政策前,先在 Intune 中完成「配置 適用於端點的 Microsoft Defender 安全設定管理」的安全政策。
在 Microsoft Defender 入口網站,請前往配置管理>端點安全政策>Mac 政策>建立新政策。
在 選擇平台中,選擇 macOS。
在選擇範本中,選擇Microsoft Defender防毒軟體範本 (,或若依以下 9 重複操作,則選擇端點偵測與回應。) 接著選擇建立政策。
例如,請指定名稱 (:Microsoft Defender防毒政策 (或 EDR 政策) ) 與政策描述,然後選擇「下一步」。
在 「設定設定 」標籤中,選擇適合你組織的設定,然後選擇 「下一步」。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
在 評論 標籤中,選擇 儲存。
重複2的動作。 到8。 上述目的是建立端 點偵測與回應 (EDR) 政策。
9b。 Set policies using Microsoft Intune透過實施以下指示,使用 Microsoft Defender Portal 設定政策:
要建立此設定檔,複製Intune推薦設定檔 (推薦) 或Intune完整設定檔 (的程式碼,用於進階情境) ,並將檔案儲存為 com.microsoft.wd.xml。
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在 「基礎 」標籤 中, 先命名個人檔案, (例如) macOS wd preferences ,輸入 描述,然後選擇 「下一步」。
在 設定 標籤中,輸入 自訂設定檔名稱com.microsoft.wd
選擇部署 通道。
選擇先前建立的 com.microsoft.wd.xml 設定檔,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
注意
您必須輸入正確的自訂設定檔名稱;否則,這些偏好設定將不會被 適用於端點的 Microsoft Defender。
欲了解更多資訊,請參閱 Mac 上 適用於端點的 Microsoft Defender 設定偏好設定。
欲了解更多管理安全設定的資訊,請參閱:
管理使用 Microsoft Intune 的裝置上的 適用於端點的 Microsoft Defender 在Defender for Endpoint中原生管理Windows、macOS和Linux的安全設定 步驟 10:macOS 上的適用於端點的 Microsoft Defender網路保護 (可選)網路防護設定包含在步驟 9 中建立的 Microsoft Defender 防毒範本中。
欲了解更多關於 MacOS 上 適用於端點的 Microsoft Defender 網路保護的資訊,請參閱 MacOS 網路保護
步驟 11:macOS 上的裝置控制適用於端點的 Microsoft Defender (選)裝置控制設定包含在步驟 3 中建立的 MacOS 全磁碟存取範本中。
欲了解更多關於 macOS 上 適用於端點的 Microsoft Defender 裝置控制的資訊,請參閱 MacOS 裝置控制
重要事項
你應該依照步驟 1 到 11) 設定的順序建立並部署設定檔 (才能成功完成系統配置。
步驟 12:發布 Microsoft Defender 應用程式重要事項
macOS 的 Microsoft Defender 應用程式將 適用於端點的 Microsoft Defender 與 Microsoft Purview 端點資料遺失防護功能拆分,如果你也計劃在第 18 步) (將 MacOS 裝置導入 Purview,請務必在此階段開啟裝置監控功能。 要在 Microsoft Purview 入口網站啟用 Purview 裝置監控,請點選>設定裝置。
此步驟可部署 適用於端點的 Microsoft Defender 至 Microsoft Intune 的機器。
在 Microsoft Intune 管理中心,打開應用程式。
展開 平台,選擇 macOS, 然後選擇 +Create
在應用程式類型中,選擇 適用於端點的 Microsoft Defender >macOS,然後選擇選擇。
在 應用程式資訊中,保留預設值並選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
在 「Review+Create 」標籤中,選擇 「建立」。
欲了解更多資訊,請參閱使用 Microsoft Intune 將 適用於端點的 Microsoft Defender 加入 macOS 裝置。
步驟 13:下載 適用於端點的 Microsoft Defender 入門套件從 Microsoft Defender 入口網站下載入職套件:
在 Microsoft Defender 入口網站中,選擇「設定>端點>管理裝置管理>」「啟動」。
在「 選擇作業系統以啟動新手流程」 下拉選單中,選擇 macOS。
在部署方法下拉選單中,選擇行動裝置管理 / Microsoft Intune。
選取 [下載上線套件]。 把它存成 GatewayWindowsDefenderATPOnboardingPackage.zip 存到同一個目錄。
擷取 .zip 檔案內容:
unzip GatewayWindowsDefenderATPOnboardingPackage.zip Archive: GatewayWindowsDefenderATPOnboardingPackage.zip warning: GatewayWindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators inflating: intune/kext.xml inflating: intune/WindowsDefenderATPOnboarding.xml inflating: jamf/WindowsDefenderATPOnboarding.plist 步驟 14:部署 適用於端點的 Microsoft Defender 入門套件 for MacOS此設定檔包含 適用於端點的 Microsoft Defender 的授權資訊。
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中,選擇 建立>新政策。
在平台選項中,選擇 macOS。
在 [設定檔類型] 下,選取 [範本]。
在 範本名稱下,選擇 自訂。
選取 [建立]。
在基礎標籤中,命名設定檔, (例如:MDE macOS) 的入門,輸入描述,然後選擇下一步。
在 設定 標籤中,輸入 自訂設定檔名稱。
選擇部署 通道。
選擇先前建立的 WindowsDefenderATPOnboarding.xml 設定檔,然後選擇 「下一步」。
在 範圍標籤 標籤中, (選擇範圍標籤) 選擇,然後選擇 下一步。
在「 指派 」標籤中,將設定檔指派到包含 macOS 裝置和/或使用者的群組,然後選擇 「下一步」。
檢視設定,然後選擇 建立。
步驟 15:檢查裝置與設定狀態 步驟15a。 查看狀態在 Microsoft Intune 管理中心,有多種方式可以查看這些資訊,包括監控與按裝置報告、使用者、設定政策等。 以下為範例:
在 Intune 管理中心,進入裝置,在管理裝置下選擇設定。
在 政策 標籤中選擇一個政策,然後在 裝置與使用者簽到狀態 中選擇 檢視報告。
步驟15b。 用戶端裝置設定請依照 公司入口網站應用程式註冊您的 macOS 裝置的步驟
確認裝置管理。
選擇 開放系統偏好設定,在列表中找到 管理設定檔 ,然後選擇 批准...。您的管理資料會顯示 為已驗證:
選擇 繼續 並完成報名。
你現在可以註冊更多裝置。 你也可以在完成系統配置和應用程式套件後再註冊。
在 Intune 中,選擇「所有裝置>」。 你可以在這裡看到你的裝置:
步驟15c。 驗證用戶端裝置狀態
設定檔部署到您的裝置後,請在您的 MacOS 裝置上開啟系統設定>的一般>裝置管理。
確認所有設定檔都已安裝:
accessibility.mobileconfig background_services.mobileconfig bluetooth.mobileconfig com.microsoft.autoupdate2.mobileconfig fulldisk.mobileconfig 管理設定檔 (這是Intune系統設定檔) WindowsDefenderATPOnboarding.xml (這是 Defender for Endpoint 在 macOS 上的導入套件) netfilter.mobileconfig notif.mobileconfig你也應該會看到右上角的 Microsoft Defender 圖示。
步驟 16:驗證防惡意軟體偵測
請參閱以下文章以測試反惡意軟體偵測評測:防 毒偵測測試以驗證裝置的入門與回報服務
步驟 17:驗證 EDR 偵測請參閱以下文章以測試 EDR 偵測審查: 用於驗證裝置上線與回報服務的 EDR 偵測測試
步驟 18:強烈建議Microsoft Purview 資料外洩防護 (MacOS 端點的 DLP) ()請參閱 端點資料遺失預防的開始。
疑難排解問題:找不到授權。
原因:入職尚未完成。
解決方法:確保你已完成上述第13和14步驟。
日誌安裝問題請參閱 「日誌安裝問題 」,了解如何在錯誤發生時找到安裝程式自動產生的日誌。
有關故障排除程序的資訊,請參見:
在 macOS 上排解系統擴充功能問題,適用於端點的 Microsoft Defender 在 macOS 上適用於端點的 Microsoft Defender 安裝問題故障排除 在 macOS 上排解 適用於端點的 Microsoft Defender 授權問題 在 macOS 上排解 適用於端點的 Microsoft Defender 雲端連線問題 在 macOS 上適用於端點的 Microsoft Defender 效能問題故障排除 卸載請參閱卸載部分,了解如何從用戶端裝置移除 macOS 上的 適用於端點的 Microsoft Defender。