Compartir vía

Configuración de la Microsoft Defender para punto de conexión en directivas de macOS en Jamf Pro

  • Artículo

Se aplica a:

Use este artículo para configurar directivas para Defender para punto de conexión en Mac mediante Jamf Pro.

Paso 1: Obtener el paquete de incorporación de Microsoft Defender para punto de conexión

Importante

Debe tener asignado un rol adecuado para ver, administrar e incorporar dispositivos. Para obtener más información, consulte Administración del acceso a Microsoft Defender XDR con Microsoft Entra roles globales.

  1. En el portal de Microsoft Defender, vaya a Configuración>Puntos de conexión>Incorporación.

  2. Seleccione macOS como sistema operativo y Mobile Administración de dispositivos/Microsoft Intune como método de implementación.

    Página Configuración.

  3. Seleccione Descargar paquete de incorporación (WindowsDefenderATPOnboardingPackage.zip).

  4. Extraiga WindowsDefenderATPOnboardingPackage.zip.

  5. Copie el archivo en la ubicación que prefiera. Por ejemplo, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Paso 2: Creación de un perfil de configuración en Jamf Pro mediante el paquete de incorporación

  1. Busque el archivo WindowsDefenderATPOnboarding.plist de la sección anterior.

    El archivo de incorporación de ATP de Windows Defender.

  2. Inicie sesión en Jamf Pro, vaya aPerfiles de configuración de equipos> y seleccione Nuevo.

    Página en la que se crea un nuevo panel de Jamf Pro.

  3. En la pestaña General , especifique los detalles siguientes:

    • Nombre: MDE onboarding for macOS
    • Descripción: MDE EDR onboarding for macOS
    • Categoría: None
    • Método de distribución: Install Automatically
    • Nivel: Computer Level

  4. Vaya a la página Application & Custom Settings (Configuración personalizada de la aplicación), seleccione Upload (Cargar) y, a continuación, seleccione Add (Agregar).

    La aplicación de configuración y la configuración personalizada.

  5. Seleccione Cargar archivo (archivo PLIST) y, a continuación, en Dominio de preferencia, escriba com.microsoft.wdav.atp.

    El archivo de carga jamfpro plist.

    La propiedad list del archivo de carga.

  6. Seleccione Abrir y seleccione el archivo de incorporación.

    El archivo de incorporación.

  7. Seleccione Cargar.

    El archivo plist de carga.

  8. Seleccione la pestaña Ámbito .

    Pestaña Ámbito.

  9. Seleccione los equipos de destino.

    Los equipos de destino.

    Los destinos.

  10. Haga clic en Guardar.

    Implementación de equipos de destino.

    Selección de equipos de destino.

  11. Seleccione Listo.

    Los equipos de un grupo de destino.

    Lista de perfiles de configuración.

Paso 3: Configuración de Microsoft Defender para punto de conexión

En este paso, vamos a preferencias para que pueda configurar directivas antimalware y EDR mediante Microsoft Defender XDR portal (https://security.microsoft.com) o Jamf.

Importante

Microsoft Defender para punto de conexión directivas de administración de configuración de seguridad tienen prioridad sobre las directivas de conjunto de Jamf (y otras MDM de terceros).

3a. Establecimiento de directivas mediante Microsoft Defender portal

  1. Siga las instrucciones de Configuración de Microsoft Defender para punto de conexión en Intune antes de establecer las directivas de seguridad mediante Microsoft Defender.

  2. En el portal de Microsoft Defender, vaya a Directivas de seguridad de punto deconexión>de administración> de configuraciónDirectivas> de MacCrear nueva directiva.

  3. En Seleccionar plataforma, seleccione macOS.

  4. En Seleccionar plantilla, elija una plantilla y seleccione Crear directiva.

  5. Especifique un nombre y una descripción para la directiva y, a continuación, seleccione Siguiente.

  6. En la pestaña Asignaciones , asigne el perfil a un grupo donde se encuentran los dispositivos macOS o los usuarios, o todos los usuarios y todos los dispositivos.

Para obtener más información sobre cómo administrar la configuración de seguridad, consulte los artículos siguientes:

3b. Establecimiento de directivas mediante Jamf

Puede usar Jamf Pro GUI para editar valores individuales de la configuración de Microsoft Defender para punto de conexión, o bien usar el método heredado mediante la creación de una lista Plist de configuración en un editor de texto y su carga en Jamf Pro.

Debe usar exactamente com.microsoft.wdav como dominio de preferencias. Microsoft Defender para punto de conexión solo usa este nombre y com.microsoft.wdav.ext para cargar su configuración administrada. (La com.microsoft.wdav.ext versión se puede usar en raras ocasiones cuando prefiere usar el método de GUI, pero también debe configurar una configuración que aún no se ha agregado al esquema).

Método de GUI

  1. Descargue el schema.json archivo del repositorio de GitHub de Defender y guárdelo en un archivo local:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Cree un nuevo perfil de configuración. En Equipos, vaya a Perfiles de configuración y, a continuación, en la pestaña General , especifique los detalles siguientes:

    Un nuevo perfil.

    • Nombre: MDATP MDAV configuration settings
    • Descripción: <blank\>
    • Categoría: None (default)
    • Nivel: Computer Level (default)
    • Método de distribución: Install Automatically (default)

  3. Desplácese hacia abajo hasta la pestaña Application & Custom Settings (Configuración personalizada de la aplicación), seleccione External Applications (Aplicaciones externas), seleccione Add (Agregar) y use Custom Schema (Esquema personalizado ) como origen del dominio de preferencia.

    Agregar esquema personalizado.

  4. Escriba com.microsoft.wdav para dominio de preferencias, seleccione Agregar esquema y, a continuación, cargue el archivo descargado en el schema.json paso 1. Haga clic en Guardar.

    Cargar esquema.

  5. Puede ver todos los valores de configuración de Microsoft Defender para punto de conexión admitidos en Propiedades del dominio de preferencias. Seleccione Agregar o quitar propiedades para seleccionar la configuración que desea administrar y, a continuación, seleccione Aceptar para guardar los cambios. (La configuración que queda sin seleccionar no se incluye en la configuración administrada, un usuario final puede configurar esas opciones en sus máquinas).

    La configuración administrada elegida.

  6. Cambie los valores de la configuración a los valores deseados. Puede seleccionar Más información para obtener documentación sobre una configuración determinada. (Puede seleccionar Plist preview (Vista previa de Plist) para inspeccionar cuál es la lista plist de configuración. Seleccione Editor de formularios para volver al editor visual).

    Página en la que se cambian los valores de configuración.

  7. Seleccione la pestaña Ámbito .

    Ámbito del perfil de configuración.

  8. Seleccione Grupo de máquinas de Contoso. Seleccione Agregar y, a continuación, seleccione Guardar.

    Página en la que puede agregar los valores de Configuración.

    Página en la que puede guardar la configuración.

  9. Seleccione Listo. Verá el nuevo perfil de configuración.

    Página en la que se completan las opciones de configuración.

Microsoft Defender para punto de conexión agrega una nueva configuración con el tiempo. Esta nueva configuración se agrega al esquema y se publica una nueva versión en GitHub. Para obtener actualizaciones, descargue un esquema actualizado y edite el perfil de configuración existente. En la pestaña Configuración personalizada & aplicación , seleccione Editar esquema.

Método heredado

  1. Use los siguientes valores de configuración de Microsoft Defender para punto de conexión:

    • enableRealTimeProtection
    • passiveMode (Esta configuración no está activada de forma predeterminada. Si planea ejecutar software antivirus que no es de Microsoft en Mac, establézcalo trueen .)
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (EICAR está en el ejemplo. Si va a pasar por una prueba de concepto, quítelo especialmente si está probando EICAR).
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Para obtener más información, vea Lista de propiedades para el perfil de configuración completa de Jamf.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. Guarde el archivo como MDATP_MDAV_configuration_settings.plist.

  3. En el panel de Jamf Pro, abra Equipos y sus perfiles de configuración. Seleccione Nuevo y cambie a la pestaña General .

    Página que muestra un nuevo perfil.

  4. En la pestaña General , especifique los detalles siguientes:

    • Nombre: MDATP MDAV configuration settings
    • Descripción: <blank>
    • Categoría: None (default)
    • Método de distribución: Install Automatically (default)
    • Nivel: Computer Level (default)

  5. En Application & Custom Settings (Configuración personalizada de application &), seleccione Configurar.

    Los valores de configuración de MDAV de MDATP.

    La aplicación y la configuración personalizada.

  6. Seleccione Cargar archivo (archivo PLIST).

    El archivo plist de configuración.

  7. En Dominio de preferencias, escriba com.microsoft.wdavy, a continuación, seleccione Cargar archivo PLIST.

    Dominio de preferencias de configuración.

  8. Seleccione Elegir archivo.

    Símbolo del sistema para elegir el archivo plist.

  9. Seleccione el archivo MDATP_MDAV_configuration_settings.plist y, a continuación, seleccione Abrir.

    Los valores de configuración de mdatpmdav.

  10. Seleccione Cargar.

    Carga de la configuración.

    Símbolo del sistema para cargar la imagen relacionada con los valores de configuración.

    Nota:

    Si carga el archivo Intune, obtendrá el siguiente error:

    Símbolo del sistema para cargar el archivo de Intune relacionado con los valores de configuración.

  11. Haga clic en Guardar.

    Opción para guardar la imagen relacionada con los valores de configuración.

  12. Se carga el archivo.

    El archivo cargado relacionado con los valores de configuración.

    Página de configuración.

  13. Seleccione la pestaña Ámbito .

    Ámbito de los valores de configuración.

  14. Seleccione Grupo de máquinas de Contoso. Seleccione Agregar y, a continuación, seleccione Guardar.

    La configuración agregaav.

    Notificación de los valores de configuración.

  15. Seleccione Listo. Verá el nuevo perfil de configuración.

Imagen de la imagen del perfil de configuración de configuración.

Paso 4: Configuración de las notificaciones

Nota:

Estos pasos son aplicables en macOS 11 (Big Sur) o posterior. Aunque Jamf admite notificaciones en macOS versión 10.15 o posterior, Defender para punto de conexión en Mac requiere macOS 11 o posterior.

  1. En el panel de Jamf Pro, seleccione Equipos y, a continuación, Perfiles de configuración.

  2. Seleccione Nuevo y, a continuación, en la pestaña General , en Opciones, especifique los detalles siguientes:

    • Nombre: MDATP MDAV Notification settings

    • Descripción: macOS 11 (Big Sur) or later

    • Categoría: None *(default)*

    • Método de distribución: Install Automatically *(default)*

    • Nivel: Computer Level *(default)*

      Página del nuevo perfil de configuración de macOS.

  3. En la pestaña Notificaciones , seleccione Agregar y especifique los siguientes valores:

    • Id. de lote: com.microsoft.wdav.tray
    • Alertas críticas: seleccione Deshabilitar
    • Notificaciones: seleccione Habilitar
    • Tipo de alerta de banner: seleccione Incluir y Temporal(valor predeterminado)
    • Notificaciones en la pantalla de bloqueo: seleccione Ocultar
    • Notificaciones en el Centro de notificaciones: Seleccione Mostrar
    • Icono de aplicación de distintivo: seleccione Mostrar

    La bandeja de notificaciones mdatpmdav de configuración.

  4. En la pestaña Notificaciones , seleccione Agregar una vez más y desplácese hacia abajo hasta Nueva configuración de notificaciones.

    • Id. de lote: com.microsoft.autoupdate.fba

  5. Configure el resto de los valores en los mismos valores mencionados anteriormente.

    La configuración mdatpmdav notifications mau.

    Tenga en cuenta que ahora tiene dos tablas con configuraciones de notificación, una para id. de lote: com.microsoft.wdav.tray y otra para Id. de lote: com.microsoft.autoupdate.fba. Aunque puede configurar las opciones de alerta según sus requisitos, los identificadores de agrupación deben ser exactamente los mismos que se han descrito antes y el modificador Incluir debe estar activado para las notificaciones.

  6. Seleccione la pestaña Ámbito y, a continuación, seleccione Agregar.

    Página en la que puede agregar valores para los valores de configuración.

  7. Seleccione Grupo de máquinas de Contoso. Seleccione Agregar y, a continuación, seleccione Guardar.

    Página en la que puede guardar valores para el grupo de máquinas contoso de configuración.

    Página que muestra la notificación de finalización de los valores de configuración.

  8. Seleccione Listo. Debería ver el nuevo perfil de configuración.

    Los valores de configuración completados.

Paso 5: Configurar Microsoft AutoUpdate (MAU)

  1. Use los siguientes valores de configuración de Microsoft Defender para punto de conexión:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Guárdelo como MDATP_MDAV_MAU_settings.plist.

  3. En el panel de Jamf Pro, seleccione General.

    Los valores de configuración.

  4. En la pestaña General , especifique los detalles siguientes:

    • Nombre: MDATP MDAV MAU settings
    • Descripción: Microsoft AutoUpdate settings for MDATP for macOS
    • Categoría: None (default)
    • Método de distribución: Install Automatically (default)
    • Nivel: Computer Level (default)

  5. En Application & Custom Settings (Configuración personalizada) seleccione Configurar.

    La aplicación de configuración y la configuración personalizada.

  6. Seleccione Cargar archivo (archivo PLIST).

  7. En Preference Domain type (Dominio de preferencia), escriba com.microsoft.autoupdate2y, a continuación, seleccione Upload PLIST File (Cargar archivo PLIST).

    Dominio de preferencia de configuración.

  8. Seleccione Elegir archivo.

    Símbolo del sistema para elegir el archivo con respecto a la configuración.

  9. Seleccione MDATP_MDAV_MAU_settings.plist.

    Configuración de mdatpmdavmau.

  10. Seleccione Cargar. Carga del archivo con respecto a la configuración.

    Página que muestra la opción de carga del archivo con respecto a la configuración.

  11. Haga clic en Guardar.

    Página en la que se muestra la opción guardar del archivo con respecto a la configuración.

  12. Seleccione la pestaña Ámbito .

    Pestaña Ámbito de los valores de configuración.

  13. Seleccione Agregar.

    Opción para agregar destinos de implementación.

    Página en la que se agregan más valores a los valores de configuración.

    Página en la que puede agregar más valores a los valores de configuración.

  14. Seleccione Listo.

    La notificación de finalización con respecto a los valores de configuración.

Paso 6: Conceder acceso completo al disco a Microsoft Defender para punto de conexión

  1. En el panel de Jamf Pro, seleccione Perfiles de configuración.

    Perfil para el que se va a configurar la configuración.

  2. Seleccione + Nuevo.

  3. En la pestaña General , especifique los detalles siguientes:

    • Nombre: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Descripción: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Categoría: None
    • Método de distribución: Install Automatically
    • Nivel: Computer level

    La configuración en general.

  4. En Configurar el control de directivas de preferencias de privacidad , seleccione Configurar.

    Control de directiva de privacidad de configuración.

  5. En Control de directivas de preferencias de privacidad, escriba los detalles siguientes:

    • Identificador: com.microsoft.wdav
    • Tipo de identificador: Bundle ID
    • Requisito de código: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Detalles del control de directiva de preferencias de privacidad de configuración.

  6. Seleccione + Agregar.

    La configuración agrega la opción de directiva del sistema todos los archivos.

    • En Aplicación o servicio, seleccione SystemPolicyAllFiles.
    • En Acceso, seleccione Permitir.

  7. Seleccione Guardar (no la que se encuentra en la parte inferior derecha).

    Operación de guardado para la configuración.

  8. Seleccione el + signo situado junto a App Access para agregar una nueva entrada.

    Operación de guardado relacionada con la configuración.

  9. Escriba los detalles siguientes:

    • Identificador: com.microsoft.wdav.epsext
    • Tipo de identificador: Bundle ID
    • Requisito de código: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Seleccione + Agregar.

    La entrada tcc epsext de configuración.

  • En Aplicación o servicio, seleccione SystemPolicyAllFiles.
  • En Acceso, seleccione Permitir.
  1. Seleccione Guardar (no la que se encuentra en la parte inferior derecha).

La otra instancia de configuración de tcc epsext.

  1. Seleccione la pestaña Ámbito .

Página que representa el ámbito de la configuración.

  1. Seleccione + Agregar.

Página que muestra la configuración.

  1. Seleccione Equipo Grupos y, en Nombre de grupo, seleccione MachineGroup de Contoso.

Configuración del grupo de máquinas contoso.

  1. Seleccione Agregar. Después, seleccione Guardar.

  2. Seleccione Listo.

    Configuración de contoso machine-group.

    Ilustración de la configuración.

Como alternativa, puede descargar fulldisk.mobileconfig y cargarlo en perfiles de configuración de Jamf como se describe en Implementación de perfiles de configuración personalizados mediante Jamf Pro|Método 2: Cargar un perfil de configuración en Jamf Pro.

Nota:

El acceso total al disco concedido a través del perfil de configuración mdm de Apple no se refleja en Configuración del sistema => Privacidad & Seguridad => Acceso total al disco.

Paso 7: Aprobar extensiones del sistema para Microsoft Defender para punto de conexión

  1. En Perfiles de configuración, seleccione + Nuevo.

    Descripción de la publicación de redes sociales generada automáticamente.

  2. En la pestaña General , especifique los detalles siguientes:

    • Nombre: MDATP MDAV System Extensions
    • Descripción: MDATP system extensions
    • Categoría: None
    • Método de distribución: Install Automatically
    • Nivel: Computer Level

    La configuración sysext nuevo perfil.

  3. En Extensiones del sistema , seleccione Configurar.

    Panel con la opción Configurar para las extensiones del sistema.

  4. En Extensiones del sistema, escriba los detalles siguientes:

    • Nombre para mostrar: Microsoft Corp. System Extensions
    • Tipos de extensión del sistema: Allowed System Extensions
    • Identificador de equipo: UBF8T346G9
    • Extensiones de sistema permitidas:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Panel Extensiones del sistema MDAV de MDATP.

  5. Seleccione la pestaña Ámbito .

    Panel selección equipos de destino.

  6. Seleccione + Agregar.

  7. Seleccione Equipo Grupos> en Nombre> de grupo, seleccione Grupo de máquinas de Contoso.

  8. Seleccione + Agregar.

    Panel Nuevo perfil de configuración de macOS.

  9. Haga clic en Guardar.

    Visualización de opciones relacionadas con las extensiones de sistema MDAV de MDATP.

  10. Seleccione Listo.

    La configuración sysext - final.

Paso 8: Configurar la extensión de red

Como parte de las funcionalidades de detección y respuesta de puntos de conexión, Microsoft Defender para punto de conexión en macOS inspecciona el tráfico de socket e informa de esta información al portal de Microsoft Defender.

Nota:

Estos pasos son aplicables en macOS 11 (Big Sur) o posterior. Aunque Jamf admite notificaciones en macOS versión 10.15 o posterior, Defender para punto de conexión en Mac requiere macOS 11 o posterior.

  1. En el panel de Jamf Pro, seleccione Equipos y, a continuación, Perfiles de configuración.

  2. Seleccione Nuevo y escriba los siguientes detalles en Opciones:

  3. En la pestaña General , especifique los valores siguientes:

    • Nombre: Microsoft Defender Network Extension
    • Descripción: macOS 11 (Big Sur) or later
    • Categoría: None *(default)*
    • Método de distribución: Install Automatically *(default)*
    • Nivel: Computer Level *(default)*

  4. En la pestaña Filtro de contenido , especifique los valores siguientes:

    • Nombre del filtro: Microsoft Defender Content Filter
    • Identificador: com.microsoft.wdav
    • Deje en blanco la dirección del servicio, la organización, el nombre de usuario, la contraseña, el certificado (no está seleccionada la opción Incluir)
    • Orden de filtro: Inspector
    • Filtro de socket: com.microsoft.wdav.netext
    • Requisito designado de filtro de socket: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • Deje los campos Filtro de red en blanco (No está seleccionada la opción Incluir)

    Tenga en cuenta que los valores exactos identificador, filtro de socket y requisito designado de filtro de socket , tal como se especificó anteriormente.

    Configuración de mdatpmdav.

  5. Seleccione la pestaña Ámbito .

    Pestaña sco de configuración.

  6. Seleccione + Agregar. Seleccione Equipo Grupos y, a continuación, en Nombre del grupo, seleccione Grupo de máquinas de Contoso. A continuación, seleccione + Agregar.

    Adim de la configuración.

  7. Haga clic en Guardar.

    Panel Filtro de contenido.

  8. Seleccione Listo.

    El texto netext de configuración: final.

Como alternativa, puede descargar netfilter.mobileconfig y cargarlo en perfiles de configuración de Jamf como se describe en Implementación de perfiles de configuración personalizados mediante Jamf Pro|

Paso 9: Configurar servicios en segundo plano

Precaución

macOS 13 (Ventura) contiene nuevas mejoras de privacidad. A partir de esta versión, de forma predeterminada, las aplicaciones no se pueden ejecutar en segundo plano sin el consentimiento explícito. Microsoft Defender para punto de conexión debe ejecutar su proceso de demonio en segundo plano.

Este perfil de configuración concede permisos al servicio en segundo plano para Microsoft Defender para punto de conexión. Si anteriormente configuró Microsoft Defender para punto de conexión a través de Jamf, se recomienda actualizar la implementación con este perfil de configuración.

Descargue background_services.mobileconfig desde nuestro repositorio de GitHub.

Cargue mobileconfig descargado en los perfiles de configuración de Jamf como se describe en Implementación de perfiles de configuración personalizados mediante Jamf Pro|Método 2: Cargar un perfil de configuración en Jamf Pro.

Paso 10: Concesión de permisos de Bluetooth

Precaución

macOS 14 (Sonoma) contiene nuevas mejoras de privacidad. A partir de esta versión, de forma predeterminada, las aplicaciones no pueden acceder a Bluetooth sin el consentimiento explícito. Microsoft Defender para punto de conexión lo usa si configura directivas de Bluetooth para el control de dispositivos.

Descargue bluetooth.mobileconfig desde el repositorio de GitHub.

Advertencia

La versión actual de Jamf Pro aún no admite este tipo de carga. Si carga esta configuración móvil tal cual, Jamf Pro quitará la carga no admitida y no se aplicará a las máquinas cliente. Primero debe firmar mobileconfig descargado, después de eso Jamf Pro lo considerará "sellado" y no lo alterará. Consulte las instrucciones siguientes:

  • Debe tener al menos un certificado de firma instalado en keyChain, incluso un certificado autofirmado funciona. Puede inspeccionar lo que tiene con:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

Elija cualquiera de ellos y proporcione el texto entre comillas como -N parámetro:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Ahora puede cargar el archivo bluetooth-signed.mobileconfig generado en Jamf Pro como se describe en Implementación de perfiles de configuración personalizados mediante Jamf Pro|Método 2: Cargar un perfil de configuración en Jamf Pro.

Nota:

Bluetooth concedido a través del perfil de configuración mdm de Apple no se refleja en Configuración del sistema => Privacidad & Seguridad => Bluetooth.

Paso 11: Programar exámenes con Microsoft Defender para punto de conexión en macOS

Siga las instrucciones de Programación de exámenes con Microsoft Defender para punto de conexión en macOS.

Paso 12: Implementación de Microsoft Defender para punto de conexión en macOS

Nota:

En los pasos siguientes, el nombre del .pkg archivo y los valores de Nombre para mostrar son ejemplos. En estos ejemplos, 200329 representa la fecha en que se crearon el paquete y la directiva (en yymmdd formato) y v100.86.92 representa la versión de la aplicación Microsoft Defender que se está implementando. Estos valores se deben actualizar para que se ajusten a la convención de nomenclatura que se usa en el entorno para paquetes y directivas.

  1. Vaya a donde guardó wdav.pkg.

    El paquete wdav del explorador de archivos.

  2. Cámbiele el nombre a wdav_MDM_Contoso_200329.pkg.

    El paquete wdavmdm del explorador de archivos1.

  3. Abra el panel de Jamf Pro.

    Los valores de configuración de Jamf Pro.

  4. Seleccione el equipo, seleccione el icono de engranaje en la parte superior y, a continuación, seleccione Administración de equipos.

    Los valores de configuración: administración de equipos.

  5. En Paquetes, seleccione + Nuevo.

    La descripción del pájaro de un paquete generado automáticamente.

  6. En la pestaña General, en Nuevo paquete, especifique los detalles siguientes:

    • Nombre para mostrar: déjelo en blanco por ahora. Porque se restablece al elegir el archivo pkg.
    • Categoría: None (default)
    • Nombre de archivo: Choose File

    Pestaña General para la configuración.

  7. Abra el archivo y apunte a wdav.pkg o wdav_MDM_Contoso_200329.pkg.

    Pantalla del equipo que muestra la descripción de un paquete generado automáticamente.

  8. Seleccione Abrir. Establezca el nombre para mostrar en Microsoft Defender Advanced Threat Protection y Microsoft Defender Antivirus.

    • El archivo de manifiesto no es necesario. Microsoft Defender para punto de conexión funciona sin archivo de manifiesto.
    • Pestaña Opciones: mantenga los valores predeterminados.
    • Pestaña Limitaciones: mantenga los valores predeterminados.

    Pestaña de limitación de los valores de configuración.

  9. Haga clic en Guardar. El paquete se carga en Jamf Pro.

    Proceso de carga del paquete de configuración para el paquete relacionado con los valores de configuración.

    El paquete puede tardar unos minutos en estar disponible para la implementación.

    Instancia de la carga del paquete para las opciones de configuración.

  10. Vaya a la página Directivas .

Directivas de configuración.

  1. Seleccione + Nuevo para crear una nueva directiva.

    Nueva directiva de configuración.

  2. En General, para el nombre para mostrar, use MDATP Onboarding Contoso 200329 v100.86.92 or later.

    Las opciones de configuración: incorporación de MDATP.

  3. Seleccione Registro periódico.

    La comprobación periódica de los valores de configuración.

  4. Haga clic en Guardar. A continuación, seleccione Paquetes y, a continuación, seleccioneConfigurar.

    Opción para configurar paquetes.

  5. Seleccione el botón Agregar situado junto a Microsoft Defender Advanced Threat Protection y Microsoft Defender Antivirus.

    Opción para agregar más opciones de configuración a MDATP MDA.

  6. Haga clic en Guardar.

    Opción de guardar para los valores de configuración.

Cree un grupo inteligente para máquinas con perfiles de Microsoft Defender.

Para mejorar la experiencia del usuario, los perfiles de configuración de las máquinas inscritas deben instalarse antes del paquete de Microsoft Defender. En la mayoría de los casos, JamF Pro inserta perfiles de configuración inmediatamente y esas directivas se ejecutan después de algún tiempo (es decir, durante la protección). Sin embargo, en algunos casos, la implementación de perfiles de configuración se puede implementar con un retraso significativo (es decir, si la máquina de un usuario está bloqueada).

Jamf Pro proporciona una manera de garantizar el orden correcto. Puede crear un grupo inteligente para las máquinas que ya recibieron el perfil de configuración de Microsoft Defender e instalar el paquete de Microsoft Defender solo en esas máquinas (y en cuanto reciban este perfil).

Siga estos pasos:

  1. Cree un grupo inteligente. En una nueva ventana del explorador, abra equipos inteligentes Grupos.

  2. Seleccione Nuevo y asigne un nombre al grupo.

  3. En la pestaña Criterios , seleccione Agregar y, a continuación, seleccione Mostrar criterios avanzados.

  4. Seleccione Nombre de perfil como criterio y use el nombre de un perfil de configuración creado anteriormente como valor:

    Crear un grupo inteligente.

  5. Haga clic en Guardar.

  6. Volver a la ventana donde se configura una directiva de paquete.

  7. Seleccione la pestaña Ámbito .

    Pestaña Ámbito relacionada con los valores de configuración.

  8. Seleccione los equipos de destino.

    Opción para agregar grupos de equipos.

  9. En Ámbito, seleccione Agregar.

    Las opciones de configuración: ad1.

  10. Cambie a la pestaña Equipo Grupos. Busque el grupo inteligente que creó y seleccione Agregar.

Opciones de configuración: ad2.

  1. Si quiere que los usuarios instalen Defender para punto de conexión voluntariamente (o a petición), seleccione Autoservicio.

La pestaña Autoservicio de configuración.

  1. Seleccione Listo.

Estado de incorporación de Contoso con una opción para completarlo.

Página Directivas.

Ámbito del perfil de configuración

Jamf requiere que defina un conjunto de máquinas para un perfil de configuración. Debe asegurarse de que todas las máquinas que reciben el paquete de Defender también reciben todos los perfiles de configuración enumerados anteriormente.

Advertencia

Jamf admite Grupos de equipos inteligentes que permiten la implementación, como perfiles de configuración o directivas en todas las máquinas que coinciden con determinados criterios evaluados dinámicamente. Es un concepto eficaz que se usa ampliamente para la distribución de perfiles de configuración.

Sin embargo, tenga en cuenta que estos criterios no deben incluir la presencia de Defender en una máquina. Aunque el uso de este criterio puede parecer lógico, crea problemas difíciles de diagnosticar.

Defender se basa en todos estos perfiles en el momento de su instalación.

La creación de perfiles de configuración en función de la presencia de Defender retrasa eficazmente la implementación de perfiles de configuración y da lugar a un producto inicialmente incorrecto o a solicitudes de aprobación manual de determinados permisos de aplicación, que, de lo contrario, son aprobados automáticamente por los perfiles. La implementación de una directiva con el paquete de Microsoft Defender después de implementar perfiles de configuración garantiza la mejor experiencia del usuario final, ya que todas las configuraciones necesarias se aplicarán antes de que se instale el paquete.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.