Microsoft Defender セキュリティセンター オンボーディング〜MacOS デバイス Intune 編〜

Microsoft Defender セキュリティセンター オンボーディング〜MacOS デバイス Intune 編〜

今回は MacOS デバイスを Intune で Microsoft Defender セキュリティセンターにオンボーディングする方法を紹介します。

MacOS デバイスでもローカルデバイスで個別に登録する方法はありますが、全体の管理には向かないので Intune で自動管理する方法を紹介します。

前提条件

  • OS: 10.15 (Catalina)、10.14 (Mojave)、10.13 (High Sierra)
  • ディスク領域: 1GB 以上
  • MacOS デバイスが Intune 登録されていること
  • ライセンス
    • Microsoft 365 E5 (M365 E5)
    • Microsoft 365 E5 Security
    • Microsoft 365 A5 (M365 A5)

Intune に MacOS デバイスを登録する方法は次の記事を参考にしてください。

オンボーディング手順

MacOS デバイスを Intune でオンボーディングするには次の3つの作業が必要です。

  • システム拡張機能の承認
  • デバイス構成プロファイルの作成
  • Microsoft Defender アプリの構成

次の記事で公開されている内容を使う場合、後の登録工程をだいぶ省略できるようですが、今回は手順ごとに内容を追って行きます。

https://techcommunity.microsoft.com/t5/microsoft-endpoint-manager-blog/microsoft-endpoint-manager-simplifies-deployment-of-microsoft/ba-p/1322995

オンボーディング構成ファイルのダウンロード

Microsoft Defender セキュリティセンターにて、左メニューの [Settings]>[Onboarding] をクリックします。[Select operating system to start onboarding process][macOS] を選択します。

[Deployment method][Mobile Device Management / Microsoft Intune] を選択します。[Download onboarding package] をクリックし、オンボーディング構成パッケージ(WindowsDefenderATPOnboardingPackage.zip)をダウンロードします。

システム拡張構成の承認

Microsoft Endpoint Manager admin center にて、[デバイス]>[構成プロファイル] をクリックします。[プロファイルの作成] をクリックします。

[プロファイルの作成] ブレードにて、次のように選択して [作成] をクリックします。

  • [プラットフォーム][macOS]
  • [プロファイル][拡張機能]

[基本] タブにて、構成プロファイルに任意の名前をつけて [次へ] をクリックします。

[詳細構成] タブにて、[システムの拡張機能] 配下の [許可するシステム拡張機能] に次の項目を新規追加して [次へ] をクリックします。

バンドル識別子チーム識別子
com.microsoft.wdav.epsextUBF8T346G9
com.microsoft.wdav.netextUBF8T346G9

[割り当て] タブにて、[割り当て先] でプロファイルを割り当てる対象(すべてのユーザーや特定のグループなど)を指定します。

[確認および作成] タブにて、構成内容を確認して [作成] をクリックします。

カスタムデバイス構成プロファイルの作成

ここから Microsoft Defender の設定に必要な個別のプロファイルを設定していきます。[デバイス]>[構成プロファイル] をクリックします。[プロファイルの作成] をクリックします。

[プロファイルの作成] ブレードにて、次のように選択して [作成] をクリックします。

  • [プラットフォーム][macOS]
  • [プロファイル][カスタム]

[基本] タブにて、構成プロファイルに任意の名前をつけて [次へ] をクリックします。

[詳細構成] タブにて、ダウンロードしたオンボーディング構成パッケージを解凍した [Intune] 配下にある kext.xml ファイルをアップロードします。

[構成プロファイル名] にプロファイルの名前をつけ、[構成プロファイル ファイル]kext.xml ファイルを指定して [次へ] をクリックします。

[割り当て] タブにて、割り当て対象のスコープを選択して [次へ] をクリックします。

あとは構成内容を確認して [作成] をクリックします。

同様に構成プロファイルをあと4つ作成します。

オンボーディング

先ほどと同様にカスタム構成プロファイルを作成し、アップロードするファイルに WindowsDefenderATPOnboarding.xml を指定します。

フォルダフルスキャン

次の URL から構成情報を取得して tcc.xml として保存します。そのファイルをアップロードしてプロファイルを作成します。

フォルダフルスキャン

ネットフィルタリング

次の URL から構成情報を取得して netfilter.xml として保存します。そのファイルをアップロードしてプロファイルを作成します。

ネットフィルタリング

通知

次の URL から構成情報を取得して notification.xml として保存します。そのファイルをアップロードしてプロファイルを作成します。

通知

Microsoft Defender アプリの構成

Microsoft Defender ATP アプリを自動的にインストールできるようにアプリの構成を作成します。

[アプリ]>[macOS] をクリックし、上部の [追加] をクリックします。

[アプリケーションの種類の選択] ブレードにて、[Microsoft Defender ATP]>[macOS] を選択して [作成] をクリックします。

[アプリ情報] タブにて、[次へ] をクリックします。

[割り当て] タブにて、アプリを割り当てるユーザーを選択して [追加] をクリックします。

オンボーディング確認

アプリとプロファイルの割り当てが成功していれば、デバイスに対して自動的に Microsoft Defender アプリがインストールされます。上部のメニューバーにもアイコンが表示されます。

Microsoft Defender セキュリティセンターでもデバイスが登録されたことを確認できます。