Partager via


Déploiement avec un autre système Mobile Gestion des appareils (MDM) pour Microsoft Defender pour point de terminaison sur macOS

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Conditions préalables et configuration système requise

Avant de commencer, consultez la page main Microsoft Defender pour point de terminaison sur macOS pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

Approche

Attention

Actuellement, Microsoft prend officiellement en charge uniquement Intune et JAMF pour le déploiement et la gestion des Microsoft Defender pour point de terminaison sur macOS. Microsoft n’offre aucune garantie, expresse ou implicite, concernant les informations fournies ci-dessous.

Si votre organization utilise une solution mobile Gestion des appareils (MDM) qui n’est pas officiellement prise en charge, cela ne signifie pas que vous ne pouvez pas déployer ou exécuter Microsoft Defender pour point de terminaison sur macOS.

Microsoft Defender pour point de terminaison sur macOS ne dépend d’aucune fonctionnalité propre au fournisseur. Il peut être utilisé avec n’importe quelle solution GPM qui prend en charge les fonctionnalités suivantes :

  • Déployez un .pkg macOS sur des appareils gérés.
  • Déployer des profils de configuration système macOS sur des appareils gérés.
  • Exécutez un outil/script arbitraire configuré par l’administrateur sur des appareils gérés.

La plupart des solutions MDM modernes incluent ces fonctionnalités, mais elles peuvent les appeler différemment.

Toutefois, vous pouvez déployer Defender pour point de terminaison sans la dernière exigence de la liste précédente :

  • Vous ne pourrez pas collecter status de manière centralisée.
  • Si vous décidez de désinstaller Defender pour point de terminaison, vous devez vous connecter localement à l’appareil client en tant qu’administrateur.

Déploiement

La plupart des solutions MDM utilisent le même modèle pour la gestion des appareils macOS, avec une terminologie similaire. Utilisez le déploiement basé sur JAMF comme modèle.

Paquet

Configurez le déploiement d’un package d’application requis, avec le package d’installation (wdav.pkg) téléchargé à partir de Microsoft Defender portail.

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

Pour déployer le package dans votre entreprise, suivez les instructions associées à votre solution MDM.

Paramètres de licence

Configurez un profil de configuration système.

Votre solution MDM peut l’appeler « Profil de paramètres personnalisés », car Microsoft Defender pour point de terminaison sur macOS ne fait pas partie de macOS.

Utilisez la liste de propriétés jamf/WindowsDefenderATPOnboarding.plist, qui peut être extraite d’un package d’intégration téléchargé à partir de Microsoft Defender portail. Votre système peut prendre en charge une liste de propriétés arbitraires au format XML. Vous pouvez charger le fichier jamf/WindowsDefenderATPOnboarding.plist tel qu’il est dans ce cas. Vous pouvez également devoir d’abord convertir la liste de propriétés dans un autre format.

En règle générale, votre profil personnalisé a un ID, un nom ou un attribut de domaine. Vous devez utiliser exactement « com.microsoft.wdav.atp » pour cette valeur. MDM l’utilise pour déployer le fichier de paramètres sur /Library/Managed Preferences/com.microsoft.wdav.atp.plist sur un appareil client, et Defender pour point de terminaison utilise ce fichier pour charger les informations d’intégration.

Profils de configuration système

macOS exige qu’un utilisateur approuve manuellement et explicitement certaines fonctions qu’une application utilise, par exemple les extensions système, s’exécutant en arrière-plan, en envoyant des notifications, en accédant au disque complet, etc. Microsoft Defender pour point de terminaison s’appuie sur ces fonctions et ne peut pas fonctionner correctement tant que tous ces consentements n’ont pas été reçus d’un utilisateur.

Pour accorder automatiquement le consentement au nom d’un utilisateur, un administrateur envoie (push) les stratégies système via son système GPM. C’est ce que nous recommandons vivement de faire, au lieu de s’appuyer sur des approbations manuelles des utilisateurs finaux.

Nous fournissons toutes les stratégies que Microsoft Defender pour point de terminaison nécessite en tant que fichiers mobileconfig disponibles sur https://github.com/microsoft/mdatp-xplat. Mobileconfig est un format d’importation/exportation Apple pris en charge par Apple Configurator ou d’autres produits tels que iMazing Profile Rédacteur.

La plupart des fournisseurs GPM prennent en charge l’importation d’un fichier mobileconfig qui crée un profil de configuration personnalisé.

Pour configurer des profils :

  1. Découvrez comment une importation mobileconfig est effectuée avec votre fournisseur MDM.
  2. Pour tous les profils à partir de https://github.com/microsoft/mdatp-xplat, téléchargez un fichier mobileconfig et importez-le.
  3. Attribuez l’étendue appropriée pour chaque profil de configuration créé.

Notez qu’Apple crée régulièrement de nouveaux types de charges utiles avec de nouvelles versions d’un système d’exploitation. Vous devez visiter la page mentionnée ci-dessus et publier de nouveaux profils une fois qu’ils sont disponibles. Nous publions des notifications sur notre page Nouveautés une fois que nous avons apporté des modifications de ce type.

Paramètres de configuration de Defender pour point de terminaison

Pour déployer Microsoft Defender pour point de terminaison configuration, vous avez besoin d’un profil de configuration.

Les étapes suivantes montrent comment appliquer et vérifier l’application d’un profil de configuration.

1. GPM déploie le profil de configuration sur les machines inscrites . Vous pouvez afficher les profils dans Paramètres > système Profils. Recherchez le nom que vous avez utilisé pour Microsoft Defender pour point de terminaison profil des paramètres de configuration. Si vous ne le voyez pas, reportez-vous à votre documentation MDM pour obtenir des conseils de dépannage.

2. Le profil de configuration s’affiche dans le fichier correct

Microsoft Defender pour point de terminaison lit et /Library/Managed Preferences/com.microsoft.wdav.ext.plist fichiers/Library/Managed Preferences/com.microsoft.wdav.plist. Il utilise uniquement ces deux fichiers pour les paramètres managés.

Si vous ne pouvez pas voir ces fichiers, mais que vous avez vérifié que les profils ont été remis (voir la section précédente), cela signifie que vos profils sont mal configurés. Soit vous avez créé ce profil de configuration « Niveau utilisateur » au lieu de « Niveau ordinateur », soit vous avez utilisé un domaine de préférence différent au lieu de ceux que Microsoft Defender pour point de terminaison attend (« com.microsoft.wdav » et « com.microsoft.wdav.ext »).

Reportez-vous à votre documentation GPM pour savoir comment configurer des profils de configuration d’application.

3. Le profil de configuration contient la structure attendue

Cette étape peut être difficile à vérifier. Microsoft Defender pour point de terminaison attend com.microsoft.wdav.plist avec une structure stricte. Si vous placez des paramètres à un emplacement inattendu, si vous les avez mal orthographiés, ou si vous utilisez un type non valide, les paramètres sont ignorés en mode silencieux.

  1. Vous pouvez case activée mdatp health et vérifier que les paramètres que vous avez configurés sont signalés comme [managed].
  2. Vous pouvez inspecter le contenu de /Library/Managed Preferences/com.microsoft.wdav.plist et vous assurer qu’il correspond aux paramètres attendus :
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Vous pouvez utiliser la structure de profil de configuration documentée comme guide.

Cet article explique que « antivirusEngine », « edr », « tamperProtection » sont des paramètres au niveau supérieur du fichier de configuration. Et, par exemple, « scanHistoryMaximumItems » sont au deuxième niveau et sont de type entier.

Vous devez voir ces informations dans la sortie de la commande précédente. Si vous avez découvert que « antivirusEngine » est imbriqué sous un autre paramètre, le profil est mal configuré. Si vous pouvez voir « antivirusengine » au lieu de « antivirusEngine », le nom est mal orthographié et toute la sous-arborescence des paramètres est ignorée. Si "scanHistoryMaximumItems" => "10000"la valeur est , le type incorrect est utilisé et le paramètre est ignoré.

Vérifier que tous les profils sont déployés

Vous pouvez télécharger et exécuter analyze_profiles.py. Ce script collecte et analyse tous les profils déployés sur une machine et vous avertit des erreurs manquées. Notez qu’il peut manquer certaines erreurs et qu’il n’est pas conscient de certaines décisions de conception prises délibérément par les administrateurs système. Utilisez ce script pour obtenir des conseils, mais vérifiez toujours si un élément est marqué comme une erreur. Par exemple, le guide d’intégration vous indique de déployer un profil de configuration pour l’intégration d’un objet blob. Pourtant, certaines organisations décident d’exécuter le script d’intégration manuelle à la place. analyze_profile.py vous avertit du profil manqué. Vous pouvez décider d’intégrer via le profil de configuration ou ignorer complètement l’avertissement.

Vérifier les status d’installation

Exécutez Microsoft Defender pour point de terminaison sur un appareil client pour case activée le status d’intégration.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.