Microsoft Defender for Endpoint (以降MDE) に、Microsoft Intune (以降Intune) 登録済みのmacOSをオンボードする方法を検証しました。
検証記録目的兼ねて画面を添えて共有します。
(step by stepのポリシー作成方法は記載割愛し、設定値と設定後の画面にフォーカスして記載します。)
後日別の記事でiOS, Android, Windowsのオンボード方法もまとめたいです。
比較すると面白く、iOS, AndroidはIntuneからDefenderアプリを展開し、ユーザーがアプリにサインインするとオンボードが完了します。Windowsはオンボード専用の構成プロファイル(エンドポイントセキュリティプロファイル)があり、これを展開するとサイレントでオンボードが完了します。
対してmacOSは複数の構成プロファイルとアプリの展開が必要で、比較的展開方法が複雑だと感じました。
設定一覧
参考: Deploy Microsoft Defender for Endpoint on macOS with Microsoft Intune
今回macOSをMDEにオンボードするにあたり、展開が必要な設定は以下です。
(参考にした公開情報上にはEndpoint DLP用の設定 (Device Control, Data Loss Prevention) がリストされていますが、今回Purviewは検証範囲外とし構成しません。)
| # | Step | 利用するIntune機能 | 設定ファイル名 |
|---|---|---|---|
| 1 | システム拡張子設定 | 構成プロファイル (拡張機能) | N/A |
| 2 | NW拡張機能設定 | 構成プロファイル (カスタム) | netfilter.mobileconfig |
| 3 | フル ディスク アクセス設定 | 構成プロファイル (カスタム) | fulldisk.mobileconfig |
| 4 | バックグラウンド サービス設定 | 構成プロファイル (カスタム) | background_services.mobileconfig |
| 5 | 通知設定 | 構成プロファイル (カスタム) | notif.mobileconfig |
| 6 | アクセシビリティ設定 | 構成プロファイル (カスタム) | accessibility.mobileconfig |
| 7 | Microsoft AutoUpdate (MAU) 設定 | 構成プロファイル (設定カタログ) | N/A |
| 8 | Defender ウイルス対策設定 | エンドポイントセキュリティプロファイル (ウイルス対策) | N/A |
| 9 | オンボーディング パッケージ展開 | 構成プロファイル (カスタム) | WindowsDefenderATPOnboarding.xml |
| 10 | MDEアプリ展開 | アプリ(Microsoft Defender for Endpoint アプリ) | N/A |
1. システム拡張子設定
参考:Step 1: Approve system extensions
公開情報に記載の通り、「拡張機能」構成プロファイルを作成します。
構成設定欄にて、「システムの拡張機能 (System extensions)」下の「許可するシステム拡張機能 (Allowed system extensions)」セクションに、公開情報の記載の通り値を入力します。(設定が必要なのはここだけ!)
| # | バンドル識別子 | チーム識別子 |
|---|---|---|
| 1 | com.microsoft.wdav.epsext | UBF8T346G9 |
| 2 | com.microsoft.wdav.netext | UBF8T346G9 |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
2. NW拡張機能設定
- 参考:Step 2: Network filter
- 設定ファイルダウンロード:GitHub repository | netfilter.mobileconfig
本項も公開情報を参考に設定すると間違いありません。
MDE用のカスタムの構成プロファイルでは基本的に、GitHubからダウンロードしたmobileconfigサンプルファイルを展開します。
本NW拡張機能設定は、公開情報にも記載の通りMDEがEDR機能の一部として実施するソケット トラフィック検査を可能にするための設定なので、組織固有値など編集が必要なものは存在せずサンプルファイルをそのまま配置して使うことができます。
↓「構成プロファイル ファイル(Configuration profile file)」はGitHubからダウンロードしたmobileconfigファイルを指定
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE NW Filter | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | netfilter.mobileconfig | GitHubからダウンロードしたものを配置する |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
3. フル ディスク アクセス設定
- 参考:Step 3: Full Disk Access
- 設定ファイルダウンロード:GitHub repository | fulldisk.mobileconfig
本項も公開情報を参考に設定します。
MDEが正常に動作するにはフル ディスク アクセス(FDA)が必要であり、構成プロファイルとして展開しておくことによりユーザー操作でオフにされ動作が疎外されてしまうことを防止できます。
FDA強制設定は、macOS Catalina (10.15)以降で可能になりました。
これ以前からMDEオンボード用設定をIntune上で構成しているテナントでも、FDA強制設定を追加構成することが推奨されています。(公開情報より。)
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE Full Disk Access | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | fulldisk.mobileconfig | GitHubからダウンロードしたものを配置する |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
4. バックグラウンド サービス設定
本項も公開情報を参考に設定します。
MDEのデーモンプロセスはバックグラウンドで動作する必要があるため、本構成プロファイルでバックグラウンド サービスのアクセス許可を付与します。
macOS 13 (Ventura)以降プライバシーが強化されたため、既定では明示的な同意なしにアプリケーションをバックグラウンドで実行することはできなくなりました。
このため、これ以前からMDEオンボード用設定をIntune上で構成しているテナントでは、13以降をサポートするため本構成プロファイルを追加構成する必要があります。(公開情報より。)
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE Background Service | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | background_services.mobileconfig | GitHubからダウンロードしたものを配置する |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
5. 通知設定
- 参考:Step 5: Notifications
- 設定ファイルダウンロード:GitHub repository | notif.mobileconfig
本項も公開情報を参考に設定します。
これはMDEおよびMicrosoft AutoUpdateが UI に通知を表示できるようにするための設定で、GitHubのnotif.mobileconfigをそのまま使うと、通知がすべて有効な状態になります。
本検証環境ではMDEが出す通知はすべて表示したい(特に抑制する必要は無い)ので、このまま使います。
公開情報によると、通知をオフにしたい場合はダウンロードしたnotif.mobileconfigを編集し、「Show NotificationCenter」部を「true」から「false」に更新するとオフ実装できます。
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE Notifications | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | notif.mobileconfig | GitHubからダウンロードしたものを配置する。通知をオフにしたい場合はダウンロードしたnotif.mobileconfigを編集し、「Show NotificationCenter」部を「true」から「false」に更新する。 |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
6. アクセシビリティ設定
本項も公開情報を参考に設定します。
これはMDEがのアクセシビリティ設定にアクセスできるようにするための設定です。 (macOS High Sierra (10.13.6) 以降。)
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE Accessibility | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | accessibility.mobileconfig | GitHubからダウンロードしたものを配置する |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
7. Microsoft AutoUpdate (MAU) 設定
参考:Step 7: Microsoft AutoUpdate
MDEの自動更新設定です。
公開情報のようにGitHubからmobileconfigファイルをダウンロードしてほかのカスタムプロファイルのように配置展開してもいいですが、設定カタログを見ているとこちらからもMAUを構成できたため、今回は設定カタログを利用しました。
設定カタログだときれいなUIがあるため、プロファイル作成後の設定見直しや更新が管理者フレンドリーです!
今回私の環境では、MDE専用のMAU設定ではなくMicrosoft製プロダクトの更新設定としてひとつのプロファイルを作成することにしました。(M365Apps用設定などを今後追加予定です。)
以下は当検証環境で使用している設定です。
| # | カテゴリ | 大項目 | 中項目 | 値 (例) |
|---|---|---|---|---|
| 1 | Microsoft AutoUpdate (MAU) | Enable AutoUpdate | ― | True |
| 2 | Microsoft AutoUpdate (MAU) | Enable check for updates | ― | True |
| 3 | Microsoft AutoUpdate (MAU) | Enable extended logging | ― | True |
| 4 | Microsoft AutoUpdate (MAU) | Register app on launch | ― | True |
| 5 | Microsoft AutoUpdate (MAU) | Microsoft Defender | Microsoft Defender Application ID | WDAV00 |
| 6 | Microsoft AutoUpdate (MAU) | Microsoft Defender | Update channel override | Current channel |
| 7 | Microsoft AutoUpdate (MAU) | Company Portal | Company Portal Application ID | IMCP01 |
| 8 | Microsoft AutoUpdate (MAU) | Company Portal | Update channel override | Current channel |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
8. Defender ウイルス対策設定
参考:
- Step 8: Microsoft Defender for Endpoint configuration settings
- Settings for Microsoft Defender for Endpoint for Mac in Microsoft Intune
Microsoft Defender Antivirus設定です。
公開情報のようにMDE security settings management機能を使ったりplistファイルを使ったりしてもいいですが、今回はエンドポイントセキュリティプロファイルを利用しました。
MDE security settings managementはMDEにオンボードされたIntune未登録のWindows/macOS/Linuxに対し設定を展開する機能 (MDEセンサーを使う) で、現在はIntune管理ポータル/Defender管理ポータルどちらからも構成可能です。
当検証環境でも一部端末で利用していますが、今回対象となるmacはIntune登録済みのため、素直にエンドポイントセキュリティプロファイルを使ってIntune側から構成しました。(管理ポータル上の設定箇所が違うだけで構成プロファイルと同じと思ってください。)
また、私はmac管理初心者のため、plistを使いこなせず。
その点エンドポイントセキュリティプロファイルはきれいなUIがあるため、プロファイル作成後の設定見直しや更新が管理者フレンドリーです!
具体的な設定については、2つめの参考リンク先の公開情報に各項目の説明が記載されています。これをご参考に各組織のニーズにあった設定を入れればOKです。
以下は当検証環境で使用している設定です。
| # | カテゴリ | 大項目 | 中項目 | 値 (例) |
|---|---|---|---|---|
| 1 | Microsoft Defender | Cloud delivered protection preferences | Enable / disable cloud delivered protection | Enabled |
| 2 | Microsoft Defender | Cloud delivered protection preferences | Enable / disable automatic sample submissions | Enabled |
| 3 | Microsoft Defender | Cloud delivered protection preferences | Diagnostic collection level | Enabled |
| 4 | Microsoft Defender | Cloud delivered protection preferences | Automatic security intelligence updates | Enabled |
| 5 | Microsoft Defender | Antivirus engine | Degree of parallelism for on-demand scans | 2 |
| 6 | Microsoft Defender | Antivirus engine | Enable file hash computation | False |
| 7 | Microsoft Defender | Antivirus engine | Run a scan after definitions are updated | Enabled |
| 8 | Microsoft Defender | Antivirus engine | Scanning inside archive files | True |
| 9 | Microsoft Defender | Network protection | Enforcement level | block |
| 10 | Microsoft Defender | Tamper protection | Enforcement level | audit |
| 11 | Microsoft Defende | User interface preferences | User initiated feedback | enabled |
| 12 | Microsoft Defende | User interface preferences | Potentially Unwanted Application | block |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
9. オンボーディング パッケージ展開
参考:Step 14: Download the onboarding package
MDEのオンボーディングパッケージを展開するための設定を構成プロファイルで作成します。
このオンボーディング構成プロファイルが端末に適用されないと、その他の設定の適用やDefenderアプリのインストールに成功しても「ライセンスは見つかりませんでした」エラーが出て端末がオンボードされず、MDE機能も利用できない事態が発生するので要注意です!
今回私は1回やらかしてから気づきました。
(参考:Troubleshoot license issues for Microsoft Defender for Endpoint on macOS)
これまでは設定ファイルをGitHubからダウンロードして配置していましたが、オンボーディングパッケージは環境固有のため各テナントのDefender管理ポータル (security.microsoft.com) からダウンロードし配置する必要があります。
公開情報のように、Defender管理ポータルの [Settings] > [Endpoints] > [Onboarding] からダウンロードします。
ZIPファイルを解凍すると「intune」と「jamf」の2つのフォルダが出てきます。
今回はIntuneから展開するので、「intune」フォルダ下の「WindowsDefenderATPOnboarding.xml」ファイルを使います。
次にIntune管理ポータルでカスタム構成プロファイルを作成します。
| # | 項目 | 設定例 | 備考 |
|---|---|---|---|
| 1 | カスタム構成プロファイル名 (Custom configuration profile name) | MDE Onboarding | プロファイル展開後にユーザーの手元のデバイス上で見える設定名。管理ポータル上のプロファイル名と同じにしておくとトラブルシュートしやすいためおすすめ。 |
| 2 | 展開チャネル (Deployment channel) | デバイス チャネル | 既定値でOK |
| 3 | 構成プロファイル ファイル(Configuration profile file) | WindowsDefenderATPOnboarding.xml | Defender管理ポータルからダウンロードしたオンボーディングパッケージを配置する |
プロファイルの割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
(ユーザーグループ割り当てでも、展開チャネルは「デバイス チャネル」のままでOK)
10. MDEアプリ展開
参考:Step 13: Publish application
ついにDefenderアプリを展開するための設定です。
アプリ自体はIntune上にpre-configured状態で用意されており、管理者がパッケージングする必要はなくこのまま使えます。
設定もいじる必要はありませんが、管理ポータル上で表示するアプリの管理名のルールがあればそれに沿って設定すればOKです。
今回の検証では、MDEの製品性質上、組織のセキュリティ設定として絶対に端末をオンボードしたい (ユーザー任意ではなく必須) ので、割り当てをRequiredにしています。
なお割り当て先は、ユーザーグループ・デバイスグループどちらでも可です。
状態確認
10もの設定がやっと終わりました。展開結果は管理ポータル上で確認ができます。
Intune管理ポータル上で、各設定の適用に成功、アプリインストールも成功していることが分かります。
Defender管理ポータル上でも、デバイスが正常にオンボードされていることが分かります。
←なお、デバイスについているタグもIntuneから展開可能です。
システムタグのつけ方はぜひ過去記事をご参照ください!:Microsoft Defender for EndpointデバイスのシステムタグをIntuneから設定してみた
macOSオンボード検証は以上です!
Have a happy Intune life!