Microsoft Defender for Ednpont(以下MDE)のネットワーク保護とWeb保護がmacOSとLinuxでパブリックプレビューになったので試してみました。
前提条件
この機能を利用するためには以下の要件を満たしている必要があります。
- macOS11(BigSur)以上であること
- MDEバージョン 101.78.13以上であること
- 必要ライセンスが適用されていることMicrosoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
InsiderPreviewチャンネルに変更する
MDM等を利用して、更新プログラムチャンネルを変更する場合
Jamf等のMDMを利用している場合には、Microsoft Auto Update(以下MAU)の構成を以下のように変更して配布してください。 下記はサンプルなので、必要な設定をこちらのdocsを参照し、設定してください。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Preview</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist> GUIのMAUで更新プログラムチャンネルを変更する場合 GUIのMAUを利用する場合には、以下の手順でプレビューチャンネルを指定します。
MDEのNetwork Protection設定を有効にする
- Jamf等のMDMを利用している場合には、以下のplistファイルを対象端末へ配布します。 MDE構成を別なところで定義している場合には、すでに定義済みの構成を変更するかテスト用のスコープを設定するのがいいと思います。
まとめ
MDEエージェントのみでmacOSやLinuxでもWebコンテンツフィルターや、Web脅威保護ができるようになったことはとてもよいですね。 今回こちらのアップデートがされたことで、タイムライン上のURL表示がmacOSでも可能になっていました。(今まではグローバルIPのみが表示されていた) そのため、以下のようなKQLで特定したいサイトにアクセスをしているデバイスを見つけ出すというのもmacOS等に範囲を広げて確認することができます。
MDEのアップデートで、今後macOSのデータをMDA(旧MCAS)連携等が今後できるようになってくれるとさらに幅が広がりそうですね。
