Déploiement manuel pour Microsoft Defender pour point de terminaison sur macOS

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous à un essai gratuit.

Cette rubrique explique comment déployer manuellement Microsoft Defender pour point de terminaison sur macOS. Un déploiement réussi nécessite la réalisation de toutes les étapes suivantes :

Conditions préalables et configuration système requise

Avant de commencer, consultez la Microsoft Defender pour point de terminaison principale sur la page macOS pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

Télécharger les packages d’installation et d’intégration

Téléchargez les packages d’installation et d’intégration à partir de Microsoft 365 Defender portail :

  1. Dans Microsoft 365 Defender portail, accédez à Paramètres Points > de terminaison > Gestion des > appareils Intégration.

  2. Dans la section 1 de la page, définissez système d’exploitation sur macOS et Méthode de déploiement sur Script local.

  3. Dans la section 2 de la page, sélectionnez Télécharger le package d’installation. Enregistrez-le sous le nom wdav.pkg dans un répertoire local.

  4. Dans la section 2 de la page, sélectionnez Télécharger le package d’intégration. Enregistrez-le en tant que WindowsDefenderATPOnboardingPackage.zip dans le même répertoire.

    Options de téléchargement des packages d’installation et d’intégration

  5. À partir d’une invite de commandes, vérifiez que vous disposez des deux fichiers.

Installation de l’application (macOS 10.15)

Pour effectuer ce processus, vous devez disposer de privilèges d’administrateur sur l’appareil.

  1. Accédez au fichier wdav.pkg téléchargé dans le Finder et ouvrez-le.

    L’installation de l’application

  2. Sélectionnez Continuer, acceptez les termes du contrat de licence, puis entrez le mot de passe lorsque vous y êtes invité.

    Installation de l’application

    Importante

    Vous serez invité à autoriser l’installation d’un pilote de Microsoft (soit « L’extension système est bloquée », soit « L’installation est en attente » ou les deux). Le pilote doit être autorisé à être installé.

    Installation de l’application

  3. Sélectionnez Ouvrir les préférences de sécurité ou Ouvrir les préférences > système Confidentialité de la sécurité&. Sélectionnez Autoriser :

    Fenêtre Sécurité et confidentialité

    L’installation se poursuit.

    Attention

    Si vous ne sélectionnez pas Autoriser, l’installation se poursuit au bout de 5 minutes. Microsoft Defender pour point de terminaison seront chargés, mais certaines fonctionnalités, telles que la protection en temps réel, seront désactivées. Pour plus d’informations sur la résolution de ce problème, consultez Résoudre les problèmes d’extension du noyau .

Remarque

macOS peut demander à redémarrer l’appareil lors de la première installation de Microsoft Defender pour point de terminaison. La protection en temps réel n’est pas disponible tant que l’appareil n’est pas redémarré.

Installation de l’application (macOS 11 et versions ultérieures)

Pour effectuer ce processus, vous devez disposer de privilèges d’administrateur sur l’appareil.

  1. Accédez au fichier wdav.pkg téléchargé dans le Finder et ouvrez-le.

    Processus d’installation de l’application

  2. Sélectionnez Continuer, acceptez les termes du contrat de licence, puis entrez le mot de passe lorsque vous y êtes invité.

  3. À la fin du processus d’installation, vous serez invité à approuver les extensions système utilisées par le produit. Sélectionnez Ouvrir les préférences de sécurité.

    Approbation de l’extension système

  4. Dans la fenêtre Confidentialité de la sécurité&, sélectionnez Autoriser.

    Préférences de sécurité de l’extension système1

  5. Répétez les étapes 3 & 4 pour toutes les extensions système distribuées avec Microsoft Defender pour point de terminaison sur Mac.

  6. Dans le cadre des fonctionnalités de détection et de réponse des points de terminaison, Microsoft Defender pour point de terminaison sur Mac inspecte le trafic de socket et signale ces informations au portail Microsoft 365 Defender. Lorsque vous êtes invité à accorder Microsoft Defender pour point de terminaison autorisations pour filtrer le trafic réseau, sélectionnez Autoriser.

    Préférences de sécurité de l’extension système2

  7. Ouvrez Préférences> systèmeConfidentialité de la sécurité & et accédez à l’onglet Confidentialité. Accordez l’autorisation d’accès au disque complet pour Microsoft Defender et l’extension de sécurité de point de terminaison Microsoft Defenders.

    Accès complet au disque

Configuration du client

  1. Copiez wdav.pkg et MicrosoftDefenderATPOnboardingMacOs.sh sur l’appareil sur lequel vous déployez Microsoft Defender pour point de terminaison sur macOS.

    L’appareil client n’est pas associé à org_id. Notez que l’attribut org_id est vide.

    mdatp health --field org_id
    
  2. Exécutez le script Bash pour installer le fichier de configuration :

    Sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh
    
  3. Vérifiez que l’appareil est maintenant associé à votre organisation et qu’il signale un ID d’organisation valide :

    mdatp health --field org_id
    

    Après l’installation, l’icône Microsoft Defender s’affiche dans la barre d’état macOS en haut à droite.

    Icône Microsoft Defender dans la barre d’état

Comment autoriser l’accès au disque complet

Attention

macOS 10.15 (Catalina) contient de nouvelles améliorations en matière de sécurité et de confidentialité. À compter de cette version, par défaut, les applications ne peuvent pas accéder à certains emplacements sur disque (tels que documents, téléchargements, bureau, etc.) sans consentement explicite. En l’absence de ce consentement, Microsoft Defender pour point de terminaison n’est pas en mesure de protéger entièrement votre appareil.

  1. Pouraccorder le consentement, ouvrez Préférences> systèmeConfidentialité confidentialité &>> accès complet au disque. Cliquez sur l’icône de verrou pour apporter des modifications (en bas de la boîte de dialogue). Sélectionnez Microsoft Defender pour point de terminaison.

  2. Exécutez un test de détection av pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Vérifiez que la protection en temps réel est activée (indiqué par un résultat de 1 lors de l’exécution de la commande suivante) :

      mdatp health --field real_time_protection_enabled
      
    2. Ouvrez une fenêtre terminale. Copiez et exécutez la commande suivante :

      curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      
    3. Le fichier doit avoir été mis en quarantaine par Defender pour point de terminaison sur Mac. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list
      
  3. Exécutez un test de détection EDR pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Dans votre navigateur, tel que Microsoft Edge pour Mac ou Safari.

    2. Téléchargez le DIY.zip MacOS MDATP à partir de https://aka.ms/mdatpmacosdiy et extrayez.

      Vous serez peut-être invité à :

      Voulez-vous autoriser les téléchargements sur « mdatpclientanalyzer.blob.core.windows.net » ?
      Vous pouvez modifier les sites web qui peuvent télécharger des fichiers dans Préférences des sites web.

  4. Cliquez sur Autoriser.

  5. Ouvrez Téléchargements.

  6. Vous devez voir MDATP MacOS DIY.

    Pointe

    Si vous double-cliquez, le message suivant s’affiche :

    Impossible d’ouvrir « MDATP MacOS DIY », car le développeur ne peut pas être vérificateur.
    macOS ne peut pas vérifier que cette application est exempte de programmes malveillants.
    [Déplacer vers la Corbeille][Annuler]

  7. Cliquez sur Annuler.

  8. Cliquez avec le bouton droit sur MDATP MacOS DIY, puis cliquez sur Ouvrir.

    Le système doit afficher le message suivant :

    macOS ne peut pas vérifier le développeur de MDATP MacOS DIY. Êtes-vous sûr de vouloir l’ouvrir ?
    En ouvrant cette application, vous remplacerez la sécurité du système qui peut exposer votre ordinateur et vos informations personnelles à des programmes malveillants susceptibles de nuire à votre Mac ou de compromettre votre confidentialité.

  9. Cliquez sur Ouvrir.

    Le système doit afficher le message suivant :

    Microsoft Defender pour point de terminaison - Fichier de test macOS EDR DIY
    L’alerte correspondante sera disponible dans le portail MDATP.

  10. Cliquez sur Ouvrir.

    Dans quelques minutes, une alerte nommée « alerte de test macOS EDR » doit être déclenchée.

  11. Accédez au portail Microsoft 365 Defender (https://security.microsoft.com/).

  12. Accédez à la file d’attente des alertes.

    Une alerte de test EDR macOS qui indique la gravité, la catégorie, la source de détection et un menu réduit d’actions

    Examinez les détails de l’alerte et la chronologie de l’appareil, puis effectuez les étapes d’investigation régulières.

Problèmes d’installation de journalisation

Pour plus d’informations sur la recherche du journal généré automatiquement par le programme d’installation en cas d’erreur, consultez Problèmes d’installation de journalisation.

Désinstallation

Pour plus d’informations sur la suppression d’Microsoft Defender pour point de terminaison sur macOS des appareils clients, consultez Désinstallation.