Implementación con un sistema de mobile Administración de dispositivos (MDM) diferente para Microsoft Defender para punto de conexión en macOS

  • Artículo

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte la página principal Microsoft Defender para punto de conexión en macOS para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión actual del software.

Enfoque

Precaución

Actualmente, Microsoft admite oficialmente solo Intune y JAMF para la implementación y administración de Microsoft Defender para punto de conexión en macOS. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se proporciona a continuación.

Si su organización usa una solución mobile Administración de dispositivos (MDM) que no se admite oficialmente, esto no significa que no pueda implementar ni ejecutar Microsoft Defender para punto de conexión en macOS.

Microsoft Defender para punto de conexión en macOS no depende de ninguna característica específica del proveedor. Se puede usar con cualquier solución MDM que admita las siguientes características:

  • Implemente un .pkg de macOS en dispositivos administrados.
  • Implemente perfiles de configuración del sistema macOS en dispositivos administrados.
  • Ejecute una herramienta o script arbitrario configurados por el administrador en dispositivos administrados.

La mayoría de las soluciones MDM modernas incluyen estas características, pero pueden llamarlas de forma diferente.

Sin embargo, puede implementar Defender para punto de conexión sin el último requisito de la lista anterior:

  • No podrá recopilar el estado de forma centralizada.
  • Si decide desinstalar Defender para punto de conexión, deberá iniciar sesión en el dispositivo cliente localmente como administrador.

Implementación

La mayoría de las soluciones MDM usan el mismo modelo para administrar dispositivos macOS, con terminología similar. Use la implementación basada en JAMF como plantilla.

Paquete

Configure la implementación de un paquete de aplicación necesario, con el paquete de instalación (wdav.pkg) descargado de Microsoft Defender portal.

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

Para implementar el paquete en la empresa, use las instrucciones asociadas a la solución MDM.

Configuración de licencia

Configurar un perfil de configuración del sistema.

La solución MDM puede llamarla como "Perfil de configuración personalizada", ya que Microsoft Defender para punto de conexión en macOS no forma parte de macOS.

Use la lista de propiedades jamf/WindowsDefenderATPOnboarding.plist, que se puede extraer de un paquete de incorporación descargado de Microsoft Defender portal. El sistema puede admitir una lista de propiedades arbitraria en formato XML. Puede cargar el archivo jamf/WindowsDefenderATPOnboarding.plist tal y como está en ese caso. Como alternativa, puede que primero necesite convertir la lista de propiedades a otro formato.

Normalmente, el perfil personalizado tiene un identificador, un nombre o un atributo de dominio. Debe usar exactamente "com.microsoft.wdav.atp" para este valor. MDM lo usa para implementar el archivo de configuración en /Library/Managed Preferences/com.microsoft.wdav.atp.plist en un dispositivo cliente, y Defender para punto de conexión usa este archivo para cargar la información de incorporación.

Perfiles de configuración del sistema

macOS requiere que un usuario apruebe manualmente y explícitamente ciertas funciones que una aplicación usa, por ejemplo, extensiones del sistema, ejecución en segundo plano, envío de notificaciones, acceso completo al disco, etc. Microsoft Defender para punto de conexión se basa en estas funciones y no puede funcionar correctamente hasta que se reciban todos estos consentimientos de un usuario.

Para conceder el consentimiento automáticamente en nombre de un usuario, un administrador inserta directivas del sistema a través de su sistema MDM. Esto es lo que se recomienda encarecidamente hacer, en lugar de depender de las aprobaciones manuales de los usuarios finales.

Proporcionamos todas las directivas que Microsoft Defender para punto de conexión requiere como archivos mobileconfig disponibles en https://github.com/microsoft/mdatp-xplat. Mobileconfig es un formato de importación o exportación de Apple que Apple Configurator u otros productos como iMazing Profile Editor admiten.

La mayoría de los proveedores de MDM admiten la importación de un archivo mobileconfig que crea un nuevo perfil de configuración personalizado.

Para configurar perfiles:

  1. Descubra cómo se realiza una importación de mobileconfig con el proveedor de MDM.
  2. Para todos los perfiles de https://github.com/microsoft/mdatp-xplat, descargue un archivo mobileconfig e impórelo.
  3. Asigne el ámbito adecuado para cada perfil de configuración creado.

Tenga en cuenta que Apple crea periódicamente nuevos tipos de cargas con nuevas versiones de un sistema operativo. Tendrá que visitar la página mencionada anteriormente y publicar nuevos perfiles una vez que estén disponibles. Publicamos notificaciones en nuestra página Novedades una vez que realizamos cambios así.

Configuración de Defender para punto de conexión

Para implementar Microsoft Defender para punto de conexión configuración, necesita un perfil de configuración.

En los pasos siguientes se muestra cómo aplicar y comprobar la aplicación de un perfil de configuración.

1. MDM implementa el perfil de configuración en las máquinas inscritas Puede ver perfiles en Perfiles de configuración del > sistema. Busque el nombre que usó para Microsoft Defender para punto de conexión perfil de configuración. Si no lo ve, consulte la documentación de MDM para obtener sugerencias de solución de problemas.

2. El perfil de configuración se muestra en el archivo correcto.

Microsoft Defender para punto de conexión lecturas /Library/Managed Preferences/com.microsoft.wdav.plist y /Library/Managed Preferences/com.microsoft.wdav.ext.plist archivos. Solo usa esos dos archivos para la configuración administrada.

Si no puede ver esos archivos, pero ha comprobado que los perfiles se entregaron (consulte la sección anterior), significa que los perfiles están mal configurados. Ha creado este perfil de configuración "Nivel de usuario" en lugar de "Nivel de equipo", o ha usado un dominio de preferencia diferente en lugar de los que Microsoft Defender para punto de conexión espera ("com.microsoft.wdav" y "com.microsoft.wdav.ext").

Consulte la documentación de MDM para ver cómo configurar perfiles de configuración de aplicaciones.

3. El perfil de configuración contiene la estructura esperada.

Este paso puede ser complicado de comprobar. Microsoft Defender para punto de conexión espera com.microsoft.wdav.plist con una estructura estricta. Si coloca la configuración en un lugar inesperado, las escribe mal o usa un tipo no válido, la configuración se omite silenciosamente.

  1. Puede comprobar mdatp health y confirmar que la configuración configurada se notifica como [managed].
  2. Puede inspeccionar el contenido de y asegurarse de /Library/Managed Preferences/com.microsoft.wdav.plist que coincide con la configuración esperada:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Puede usar la estructura de perfil de configuración documentada como guía.

En este artículo se explica que "antivirusEngine", "edr", "tamperProtection" son opciones de configuración en el nivel superior del archivo de configuración. Y, por ejemplo, "scanHistoryMaximumItems" se encuentran en el segundo nivel y son de tipo entero.

Debería ver esta información en la salida del comando anterior. Si se enteró de que "antivirusEngine" está anidado en otra configuración, el perfil está mal configurado. Si puede ver "antivirusengine" en lugar de "antivirusEngine", el nombre está mal escrito y se omite todo el subárbol de configuración. Si "scanHistoryMaximumItems" => "10000"es , se usa el tipo incorrecto y se omitirá la configuración.

Comprobación de que todos los perfiles están implementados

Puede descargar y ejecutar analyze_profiles.py. Este script recopilará y analizará todos los perfiles implementados en una máquina y le advertirá sobre los que se han perdido. Tenga en cuenta que puede perderse algunos errores y no es consciente de algunas decisiones de diseño que los administradores del sistema están tomando deliberadamente. Use este script para obtener instrucciones, pero investigue siempre si ve algo marcado como error. Por ejemplo, la guía de incorporación le indica que implemente un perfil de configuración para la incorporación de blobs. Sin embargo, algunas organizaciones deciden ejecutar el script de incorporación manual en su lugar. analyze_profile.py le advierte sobre el perfil perdido. Puede decidir incorporarse a través del perfil de configuración o ignorar la advertencia por completo.

Comprobación del estado de la instalación

Ejecute Microsoft Defender para punto de conexión en un dispositivo cliente para comprobar el estado de incorporación.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.