Configurer la Microsoft Defender pour point de terminaison sur les stratégies macOS dans Jamf Pro

  • Article

S’applique à :

Cette page vous guide tout au long des étapes à suivre pour configurer des stratégies macOS dans Jamf Pro.

Vous devez effectuer les étapes suivantes :

  1. Obtenir le package d’intégration Microsoft Defender pour point de terminaison
  2. Create un profil de configuration dans Jamf Pro à l’aide du package d’intégration
  3. Configurer les paramètres Microsoft Defender pour point de terminaison
  4. Configurer les paramètres de notification Microsoft Defender pour point de terminaison
  5. Configurer Microsoft AutoUpdate (MAU)
  6. Accorder un accès disque complet à Microsoft Defender pour point de terminaison
  7. Approuver les extensions système pour Microsoft Defender pour point de terminaison
  8. Configurer l’extension réseau
  9. Configurer les services en arrière-plan
  10. Accorder des autorisations Bluetooth
  11. Planifier des analyses avec Microsoft Defender pour point de terminaison sur macOS
  12. Déployer Microsoft Defender pour point de terminaison sur macOS

Étape 1 : Obtenir le package d’intégration Microsoft Defender pour point de terminaison

  1. Dans Microsoft Defender XDR, accédez à Paramètres Intégration > des points > de terminaison.

  2. Sélectionnez macOS comme système d’exploitation et Mobile Gestion des appareils/Microsoft Intune comme méthode de déploiement.

    Page Paramètres.

  3. Sélectionnez Télécharger le package d’intégration (WindowsDefenderATPOnboardingPackage.zip).

  4. Extrayez WindowsDefenderATPOnboardingPackage.zip.

  5. Copiez le fichier à l’emplacement de votre choix. Par exemple : C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Étape 2 : Create un profil de configuration dans Jamf Pro à l’aide du package d’intégration

  1. Recherchez le fichier WindowsDefenderATPOnboarding.plist de la section précédente.

    Le Windows Defender fichier d’intégration ATP.

  2. Connectez-vous à Jamf Pro, accédez àProfils de configurationordinateurs>, puis sélectionnez Nouveau.

    Page sur laquelle vous créez un tableau de bord Jamf Pro.

  3. Entrez les informations suivantes sous l’onglet Général :

    • Nom : intégration MDE pour macOS
    • Description : intégration MDE EDR pour macOS
    • Catégorie : Aucun
    • Méthode de distribution : Installer automatiquement
    • Niveau : Niveau ordinateur

  4. Accédez à la page Paramètres personnalisés de l’application & , puis sélectionnez Charger>ajouter.

    L’application de configuration et les paramètres personnalisés.

  5. Sélectionnez Charger un fichier (fichier PLIST), puis dans Domaine de préférence , entrez : com.microsoft.wdav.atp.

    Fichier de chargement plist jamfpro.

    Propriété upload file List file.

  6. Sélectionnez Ouvrir et sélectionnez le fichier d’intégration.

    Fichier d’intégration.

  7. Sélectionnez Télécharger.

    Fichier plist chargé.

  8. Sélectionnez l’onglet Étendue .

    Onglet Étendue.

  9. Sélectionnez les ordinateurs cibles.

    Ordinateurs cibles.

    Cibles.

  10. Sélectionnez Enregistrer.

    Déploiement des ordinateurs cibles.

    Sélection des ordinateurs cibles.

  11. Sélectionnez Terminé.

    Ordinateurs d’un groupe cible.

    Liste des profils de configuration.

Étape 3 : Configurer les paramètres Microsoft Defender pour point de terminaison

Vous pouvez utiliser l’interface graphique graphique JAMF Pro pour modifier les paramètres individuels de la configuration Microsoft Defender pour point de terminaison, ou utiliser la méthode héritée en créant une liste Plist de configuration dans un éditeur de texte et en la chargeant sur JAMF Pro.

Notez que vous devez utiliser exactement com.microsoft.wdav comme domaine de préférence, Microsoft Defender pour point de terminaison utilise uniquement ce nom et com.microsoft.wdav.ext pour charger ses paramètres managés !

(La com.microsoft.wdav.ext version peut être utilisée dans de rares cas lorsque vous préférez utiliser la méthode GUI, mais que vous devez également configurer un paramètre qui n’a pas encore été ajouté au schéma.)

Méthode GUI

  1. Téléchargez schema.json fichier à partir du dépôt GitHub de Defender et enregistrez-le dans un fichier local :

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Create un nouveau profil de configuration sous Ordinateurs -> Profils de configuration, entrez les informations suivantes sous l’onglet Général :

    Un nouveau profil.

    • Nom : Paramètres de configuration MDAV MDATP
    • Description :<blank>
    • Catégorie : Aucun (valeur par défaut)
    • Niveau : niveau ordinateur (par défaut)
    • Méthode de distribution : Installer automatiquement (par défaut)

  3. Faites défiler vers le bas jusqu’à l’onglet Application & Paramètres personnalisés , sélectionnez Applications externes, cliquez sur Ajouter et utilisez schéma personnalisé comme source à utiliser pour le domaine de préférence.

    Ajoutez un schéma personnalisé.

  4. Entrez com.microsoft.wdav comme Domaine de préférence, sélectionnez Ajouter un schéma et Charger le fichier schema.json téléchargé à l’étape 1. Cliquez sur Save (Enregistrer).

    Charger le schéma.

  5. Vous pouvez voir tous les paramètres de configuration Microsoft Defender pour point de terminaison pris en charge ci-dessous, sous Propriétés du domaine de préférence. Cliquez sur Ajouter/Supprimer des propriétés pour sélectionner les paramètres que vous souhaitez gérer, puis cliquez sur OK pour enregistrer vos modifications. (Les paramètres non sélectionnés ne seront pas inclus dans la configuration managée, un utilisateur final pourra configurer ces paramètres sur ses ordinateurs.)

    Paramètres managés choisis.

  6. Remplacez les valeurs des paramètres par les valeurs souhaitées. Vous pouvez cliquer sur Plus d’informations pour obtenir la documentation d’un paramètre particulier. (Vous pouvez cliquer sur Plist preview pour inspecter à quoi ressemblera la configuration plist. Cliquez sur Éditeur de formulaire pour revenir à l’éditeur visuel.)

    Page sur laquelle vous modifiez les valeurs des paramètres.

  7. Sélectionnez l’onglet Étendue .

    Étendue du profil de configuration.

  8. Sélectionnez Groupe de machines de Contoso.

  9. Sélectionnez Ajouter, puis Enregistrer.

    Page sur laquelle vous pouvez ajouter les paramètres de configuration.

    Page sur laquelle vous pouvez enregistrer les paramètres de configuration.

  10. Sélectionnez Terminé. Le nouveau profil de configuration s’affiche.

    Page sur laquelle vous renseignez les paramètres de configuration.

Microsoft Defender pour point de terminaison ajoute de nouveaux paramètres au fil du temps. Ces nouveaux paramètres seront ajoutés au schéma et une nouvelle version sera publiée sur GitHub. Il vous suffit de télécharger un schéma mis à jour, de modifier le profil de configuration existant et de modifier le schéma sous l’onglet Paramètres personnalisés de l’application & .

Méthode héritée

  1. Utilisez les paramètres de configuration Microsoft Defender pour point de terminaison suivants :

    • enableRealTimeProtection
    • passiveMode

    Remarque

    Non activé par défaut, si vous envisagez d’exécuter un av tiers pour macOS, définissez-le truesur .

    • Exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats

    Remarque

    EICAR est sur l’exemple, si vous passez par une preuve de concept, supprimez-le surtout si vous testez EICAR.

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • étiquettes
    • hideStatusMenuIcon

    Pour plus d’informations, consultez Liste de propriétés pour le profil de configuration complet JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Enregistrez le fichier sous MDATP_MDAV_configuration_settings.plist.

  3. Dans le tableau de bord Jamf Pro, ouvrez Ordinateurs et leurs profils de configuration. Cliquez sur Nouveau et basculez vers l’onglet Général .

    Page affichant un nouveau profil.

  4. Entrez les informations suivantes sous l’onglet Général :

    • Nom : Paramètres de configuration MDAV MDATP
    • Description :<blank>
    • Catégorie : Aucun (valeur par défaut)
    • Méthode de distribution : Installer automatiquement (par défaut)
    • Niveau : niveau ordinateur (par défaut)

  5. Dans Paramètres personnalisés & de l’application, sélectionnez Configurer.

    Paramètres de configuration MDAV MDATP.

    L’application et les paramètres personnalisés.

  6. Sélectionnez Charger le fichier (fichier PLIST).

    Fichier plist des paramètres de configuration.

  7. Dans Préférences Domaine, entrez com.microsoft.wdav, puis sélectionnez Charger un fichier PLIST.

    Domaine des préférences des paramètres de configuration.

  8. Sélectionnez Choisir un fichier.

    Invite à choisir le fichier plist.

  9. Sélectionnez le MDATP_MDAV_configuration_settings.plist, puis sélectionnez Ouvrir.

    Paramètres de configuration mdatpmdav.

  10. Sélectionnez Télécharger.

    Chargement du paramètre de configuration.

    Invite à charger l’image liée aux paramètres de configuration.

    Remarque

    Si vous chargez le fichier Intune, vous obtenez l’erreur suivante :

    Invite à charger le fichier Intune lié aux paramètres de configuration.

  11. Sélectionnez Enregistrer.

    Option permettant d’enregistrer l’image liée aux paramètres de configuration.

  12. Le fichier est chargé.

    Fichier chargé lié aux paramètres de configuration.

    Page des paramètres de configuration.

  13. Sélectionnez l’onglet Étendue .

    Étendue des paramètres de configuration.

  14. Sélectionnez Groupe de machines de Contoso.

  15. Sélectionnez Ajouter, puis Enregistrer.

    Les paramètres de configuration ajouteav.

    Notification des paramètres de configuration.

  16. Sélectionnez Terminé. Le nouveau profil de configuration s’affiche.

    Image de l’image de profil de configuration des paramètres de configuration.Paramètres du profil de configuration.

Étape 4 : Configurer les paramètres de notifications

Ces étapes s’appliquent à macOS 11 (Big Sur) ou version ultérieure.

  1. Dans le tableau de bord Jamf Pro, sélectionnez Ordinateurs, puis Profils de configuration.

  2. Cliquez sur Nouveau, puis entrez les informations suivantes sous l’onglet Général pour Options :

    • Nom : Paramètres de notification MDAV MDATP
    • Description : macOS 11 (Big Sur) ou version ultérieure
    • Catégorie : Aucun (valeur par défaut)
    • Méthode de distribution : Installer automatiquement (par défaut)
    • Niveau : niveau ordinateur (par défaut)

    Nouvelle page de profil de configuration macOS.

    • Tab Notifications, cliquez sur Ajouter, puis entrez les valeurs suivantes :

      • ID de l’offre groupée : com.microsoft.wdav.tray
      • Alertes critiques : cliquez sur Désactiver
      • Notifications : cliquez sur Activer
      • Type d’alerte de bannière : sélectionnez Inclure et Temporaire(par défaut)
      • Notifications sur l’écran de verrouillage : cliquez sur Masquer
      • Notifications dans le Centre de notifications : cliquez sur Afficher
      • Icône de l’application badge : cliquez sur Afficher

      La barre d’état des notifications mdatpmdav des paramètres de configuration.

    • Onglet Notifications, cliquez sur Ajouter une fois de plus, faites défiler jusqu’à Nouveaux paramètres de notifications

      • ID de l’offre groupée : com.microsoft.autoupdate.fba
      • Configurer le reste des paramètres sur les mêmes valeurs que ci-dessus

      Les paramètres de configuration mdatpmdav notifications mau.

      Notez que vous avez maintenant deux « tables » avec des configurations de notification, une pour l’ID de bundle : com.microsoft.wdav.tray, et une autre pour l’ID de bundle : com.microsoft.autoupdate.fba. Bien que vous puissiez configurer les paramètres d’alerte en fonction de vos besoins, les ID d’offre groupée doivent être exactement les mêmes que ceux décrits précédemment, et le commutateur Include doit être Activé pour les notifications.

  3. Sélectionnez l’onglet Étendue , puis sélectionnez Ajouter.

    Page sur laquelle vous pouvez ajouter des valeurs pour les paramètres de configuration.

  4. Sélectionnez Groupe de machines de Contoso.

  5. Sélectionnez Ajouter, puis Enregistrer.

    Page sur laquelle vous pouvez enregistrer des valeurs pour le groupe de machines contoso des paramètres de configuration.

    Page qui affiche la notification d’achèvement des paramètres de configuration.

  6. Sélectionnez Terminé. Le nouveau profil de configuration s’affiche.

    Paramètres de configuration terminés.

Étape 5 : Configurer Microsoft AutoUpdate (MAU)

  1. Utilisez les paramètres de configuration Microsoft Defender pour point de terminaison suivants :

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. Enregistrez-le sous MDATP_MDAV_MAU_settings.plist.

  3. Dans le tableau de bord Jamf Pro, sélectionnez Général.

    Paramètres de configuration.

  4. Entrez les informations suivantes sous l’onglet Général :

    • Nom : MDATP MDAV MAU settings
    • Description : Paramètres de mise à jour automatique Microsoft pour MDATP pour macOS
    • Catégorie : Aucun (valeur par défaut)
    • Méthode de distribution : Installer automatiquement (par défaut)
    • Niveau : Niveau de l’ordinateur (par défaut)

  5. Dans Paramètres personnalisés & de l’application , sélectionnez Configurer.

    L’application de paramètre de configuration et les paramètres personnalisés.

  6. Sélectionnez Charger le fichier (fichier PLIST).

  7. Dans Domaine de préférence , entrez : com.microsoft.autoupdate2, puis sélectionnez Charger un fichier PLIST.

    Domaine de préférence du paramètre de configuration.

  8. Sélectionnez Choisir un fichier.

    Invite à choisir le fichier concernant le paramètre de configuration.

  9. Sélectionnez MDATP_MDAV_MAU_settings.plist.

    Paramètres mdatpmdavmau.

  10. Sélectionnez Télécharger. Chargement du fichier concernant le paramètre de configuration.

    Page affichant l’option de chargement du fichier concernant le paramètre de configuration.

  11. Sélectionnez Enregistrer.

    Page affichant l’option d’enregistrement du fichier concernant le paramètre de configuration.

  12. Sélectionnez l’onglet Étendue .

    Onglet Étendue pour les paramètres de configuration.

  13. Sélectionnez Ajouter.

    Option permettant d’ajouter des cibles de déploiement.

    Page sur laquelle vous ajoutez d’autres valeurs aux paramètres de configuration.

    Page sur laquelle vous pouvez ajouter d’autres valeurs aux paramètres de configuration.

  14. Sélectionnez Terminé.

    Notification d’achèvement concernant les paramètres de configuration.

Étape 6 : Accorder un accès disque complet à Microsoft Defender pour point de terminaison

  1. Dans le tableau de bord Jamf Pro, sélectionnez Profils de configuration.

    Profil pour lequel les paramètres doivent être configurés.

  2. Sélectionnez + Nouveau.

  3. Entrez les informations suivantes sous l’onglet Général :

    • Nom : MDATP MDAV - Accorder un accès disque complet à EDR et AV
    • Description : Sur macOS 11 (Big Sur) ou version ultérieure, le nouveau contrôle de stratégie de confidentialité
    • Catégorie : Aucun
    • Méthode de distribution : Installer automatiquement
    • Niveau : niveau ordinateur

    Paramètre de configuration en général.

  4. Dans Configurer les préférences de confidentialité Contrôle de stratégie , sélectionnez Configurer.

    Contrôle de la stratégie de confidentialité de la configuration.

  5. Dans Contrôle de stratégie de préférences de confidentialité, entrez les informations suivantes :

    • Identificateur: com.microsoft.wdav
    • Type d’identificateur : ID d’offre groupée
    • Configuration requise du code : identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Détails du contrôle de la stratégie de préférence de confidentialité du paramètre de configuration.

  6. Sélectionnez + Ajouter.

    Le paramètre de configuration ajouter la stratégie système tous les fichiers option.

    • Sous Application ou service : définir sur SystemPolicyAllFiles

    • Sous « access » : définissez sur Autoriser

  7. Sélectionnez Enregistrer (et non celle située en bas à droite).

    Opération d’enregistrement pour le paramètre de configuration.

  8. Cliquez sur le + signe en regard de App Access pour ajouter une nouvelle entrée.

    Opération d’enregistrement relative au paramètre de configuration.

  9. Entrez les détails suivants :

    • Identificateur: com.microsoft.wdav.epsext
    • Type d’identificateur : ID d’offre groupée
    • Configuration requise du code : identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Sélectionnez + Ajouter.

    Entrée du paramètre de configuration tcc epsext.

    • Sous Application ou service : définir sur SystemPolicyAllFiles

    • Sous « access » : définissez sur Autoriser

  11. Sélectionnez Enregistrer (et non celle située en bas à droite).

    L’autre instance du paramètre de configuration tcc epsext.

  12. Sélectionnez l’onglet Étendue .

    Page illustrant l’étendue du paramètre de configuration.

  13. Sélectionnez + Ajouter.

    Page illustrant le paramètre de configuration.

  14. Sélectionnez Groupes d’ordinateurs> sous Nom> du groupe, sélectionnez MachineGroup de Contoso.

    Paramètre de configuration groupe d’ordinateurs contoso.

  15. Sélectionnez Ajouter.

  16. Sélectionnez Enregistrer.

  17. Sélectionnez Terminé.

    Paramètre de configuration contoso machine-group.

    Illustration du paramètre de configuration.

Vous pouvez également télécharger fulldisk.mobileconfig et le charger dans les profils de configuration JAMF, comme décrit dans Déploiement de profils de configuration personnalisés à l’aide de Jamf Pro|Méthode 2 : Charger un profil de configuration sur Jamf Pro.

Remarque

L’accès au disque complet accordé via le profil de configuration MDM Apple n’est pas reflété dans Paramètres système => Confidentialité & Sécurité => Accès au disque complet.

Étape 7 : Approuver les extensions système pour Microsoft Defender pour point de terminaison

  1. Dans profils de configuration, sélectionnez + Nouveau.

    Description du billet généré automatiquement sur les réseaux sociaux.

  2. Entrez les informations suivantes sous l’onglet Général :

    • Nom : Extensions système MDAV MDATP
    • Description : Extensions système MDATP
    • Catégorie : Aucun
    • Méthode de distribution : Installer automatiquement
    • Niveau : Niveau ordinateur

    Les paramètres de configuration sysext new profile.

  3. Dans Extensions système , sélectionnez Configurer.

    Volet avec l’option Configurer pour les extensions système.

  4. Dans Extensions système, entrez les informations suivantes :

    • Nom d’affichage : Microsoft Corp. System Extensions
    • Types d’extensions système : Extensions système autorisées
    • Identificateur de l’équipe : UBF8T346G9
    • Extensions système autorisées :
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Volet Extensions système MDAV MDATP.

  5. Sélectionnez l’onglet Étendue .

    Volet de sélection Ordinateurs cibles.

  6. Sélectionnez + Ajouter.

  7. Sélectionnez Groupes d’ordinateurs> sous Nom> du groupe, sélectionnez Groupe d’ordinateurs de Contoso.

  8. Sélectionnez + Ajouter.

    Volet Nouveau profil de configuration macOS.

  9. Sélectionnez Enregistrer.

    Affichage des options relatives aux extensions système MDAV MDATP.

  10. Sélectionnez Terminé.

    Paramètres de configuration sysext - final.

Étape 8 : Configurer l’extension réseau

Dans le cadre des fonctionnalités de détection et de réponse de point de terminaison, Microsoft Defender pour point de terminaison sur macOS inspecte le trafic de socket et signale ces informations au portail Microsoft Defender. La stratégie suivante permet à l’extension réseau d’effectuer cette fonctionnalité.

Ces étapes s’appliquent à macOS 11 (Big Sur) ou version ultérieure.

  1. Dans le tableau de bord Jamf Pro, sélectionnez Ordinateurs, puis Profils de configuration.

  2. Cliquez sur Nouveau, puis entrez les informations suivantes pour Options :

    • Onglet Général :

      • Nom : extension réseau Microsoft Defender
      • Description : macOS 11 (Big Sur) ou version ultérieure
      • Catégorie : Aucun (valeur par défaut)
      • Méthode de distribution : Installer automatiquement (par défaut)
      • Niveau : niveau ordinateur (par défaut)

    • Filtre de contenu d’onglet :

      • Nom du filtre : filtre de contenu Microsoft Defender
      • Identificateur : com.microsoft.wdav
      • Laissez l’adresse de service, l’organisation, le nom d’utilisateur, le mot de passe et le certificat vides (Incluren’est pas sélectionné)
      • Ordre de filtre : Inspector
      • Filtre de socket : com.microsoft.wdav.netext
      • Spécification désignée du filtre de socket : identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Laissez les champs Filtre réseau vides (Incluren’est pas sélectionné)

      Notez que les valeurs exactes identificateur, filtre de socket et filtre de socket désigné exigence , comme spécifié ci-dessus.

      Paramètre de configuration mdatpmdav.

  3. Sélectionnez l’onglet Étendue .

    Onglet sco des paramètres de configuration.

  4. Sélectionnez + Ajouter.

  5. Sélectionnez Groupes d’ordinateurs> sous Nom> du groupe, sélectionnez Groupe d’ordinateurs de Contoso.

  6. Sélectionnez + Ajouter.

    Paramètres de configuration adim.

  7. Sélectionnez Enregistrer.

    Volet Filtre de contenu.

  8. Sélectionnez Terminé.

    Paramètres de configuration netext - final.

Vous pouvez également télécharger netfilter.mobileconfig et le charger dans les profils de configuration JAMF, comme décrit dans Déploiement de profils de configuration personnalisés à l’aide de Jamf Pro|Méthode 2 : Charger un profil de configuration sur Jamf Pro.

Étape 9 : Configurer les services en arrière-plan

Attention

macOS 13 (Ventura) contient de nouvelles améliorations en matière de confidentialité. À compter de cette version, par défaut, les applications ne peuvent pas s’exécuter en arrière-plan sans consentement explicite. Microsoft Defender pour point de terminaison devez exécuter son processus démon en arrière-plan.

Ce profil de configuration accorde des autorisations de service en arrière-plan pour Microsoft Defender pour point de terminaison. Si vous avez précédemment configuré Microsoft Defender pour point de terminaison via JAMF, nous vous recommandons de mettre à jour le déploiement avec ce profil de configuration.

Téléchargez background_services.mobileconfig à partir de notre dépôt GitHub.

Chargez mobileconfig téléchargé dans les profils de configuration JAMF, comme décrit dans Déploiement de profils de configuration personnalisés à l’aide de Jamf Pro |Méthode 2 : Charger un profil de configuration sur Jamf Pro.

Étape 10 : Accorder des autorisations Bluetooth

Attention

macOS 14 (Sonoma) contient de nouvelles améliorations en matière de confidentialité. À compter de cette version, par défaut, les applications ne peuvent pas accéder au Bluetooth sans consentement explicite. Microsoft Defender pour point de terminaison l’utilise si vous configurez des stratégies Bluetooth pour Device Control.

Téléchargez bluetooth.mobileconfig à partir du référentiel GitHub.

Avertissement

La version actuelle de JAMF Pro ne prend pas encore en charge ce type de charge utile. Si vous chargez ce mobileconfig tel qu’il est, JAMF Pro supprime la charge utile non prise en charge et ne s’applique pas aux ordinateurs clients. Vous devez d’abord signer mobileconfig téléchargé, après que JAMF Pro le considère comme « scellé » et ne le falsifie pas. Consultez les instructions ci-dessous :

  • Vous devez avoir au moins un certificat de signature installé dans votre trousseau, même un certificat auto-signé fonctionne. Vous pouvez inspecter ce que vous avez avec :
> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found
  • Choisissez l’un d’entre eux et fournissez le texte entre guillemets en tant que paramètre -N :
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Remarque

Bluetooth accordé via le profil de configuration MDM Apple n’est pas répercuté dans Paramètres système => Confidentialité & Sécurité => Bluetooth.

Étape 11 : Planifier des analyses avec Microsoft Defender pour point de terminaison sur macOS

Suivez les instructions de Planifier des analyses avec Microsoft Defender pour point de terminaison sur macOS.

Étape 12 : Déployer Microsoft Defender pour point de terminaison sur macOS

Remarque

Dans les étapes suivantes, le nom du fichier et les .pkg valeurs Nom d’affichage sont des exemples. Dans ces exemples, 200329 représente la date à laquelle le package et la stratégie ont été créés (au yymmdd format), et v100.86.92 représente la version de l’application Microsoft Defender en cours de déploiement. Ces valeurs doivent être mises à jour pour se conformer à la convention d’affectation de noms que vous utilisez dans votre environnement pour les packages et les stratégies.

  1. Accédez à l’emplacement où vous avez enregistré wdav.pkg.

    Package wdav de l’explorateur de fichiers.

  2. Renommez-le en wdav_MDM_Contoso_200329.pkg.

    Package wdavmdm de l’explorateur de fichiers1.

  3. Ouvrez le tableau de bord Jamf Pro.

    Paramètres de configuration de jamfpro.

  4. Sélectionnez votre ordinateur, cliquez sur l’icône d’engrenage en haut, puis sélectionnez Gestion de l’ordinateur.

    Paramètres de configuration : gestion de l’ordinateur.

  5. Dans Packages, sélectionnez + Nouveau. Description de l’oiseau pour un package généré automatiquement.

  6. Sous l’onglet Général, entrez les informations suivantes dans Nouveau package :

    • Nom d’affichage : laissez-le vide pour l’instant. Car il sera réinitialisé lorsque vous choisissez votre pkg.
    • Catégorie : Aucun (valeur par défaut)
    • Nom de fichier : choisissez Fichier

    Onglet Général pour les paramètres de configuration.

    Ouvrez le fichier et pointez-le vers wdav.pkg ou wdav_MDM_Contoso_200329.pkg.

    Écran de l’ordinateur affichant la description d’un package généré automatiquement.

  7. Sélectionnez Ouvrir. Définissez le nom d’affichagesur Microsoft Defender Protection avancée contre les menaces et antivirus Microsoft Defender.

    Le fichier manifeste n’est pas obligatoire. Microsoft Defender pour point de terminaison fonctionne sans fichier manifeste.

    Onglet Options : conservez les valeurs par défaut.

    Onglet Limitations : conservez les valeurs par défaut.

    Onglet Limitation pour les paramètres de configuration.

  8. Sélectionnez Enregistrer. Le package est chargé dans Jamf Pro.

    Processus de chargement du pack des paramètres de configuration pour le package lié aux paramètres de configuration.

    Le déploiement du package peut prendre quelques minutes.

    Une instance de chargement du package pour les paramètres de configuration.

  9. Accédez à la page Stratégies .

    Stratégies de paramètres de configuration.

  10. Sélectionnez + Nouveau pour créer une stratégie.

    Nouvelle stratégie des paramètres de configuration.

  11. Dans Général, entrez le nom d’affichage MDATP Onboarding Contoso 200329 v100.86.92 ou version ultérieure.

    Paramètres de configuration - Intégration de MDATP.

  12. Sélectionnez Archivage périodique.

    Case activée périodique pour les paramètres de configuration.

  13. Sélectionnez Enregistrer.

  14. Sélectionnez Packages > Configurer.

    Option permettant de configurer des packages.

  15. Sélectionnez le bouton Ajouter en regard de Microsoft Defender Protection avancée contre les menaces et antivirus Microsoft Defender.

    Option permettant d’ajouter des paramètres supplémentaires à MDATP MDA.

  16. Sélectionnez Enregistrer.

    Option d’enregistrement pour les paramètres de configuration.

  17. Create un groupe intelligent pour les machines avec des profils Microsoft Defender.

    Pour une meilleure expérience utilisateur, les profils de configuration des ordinateurs inscrits doivent être installés avant le package de Microsoft Defender. Dans la plupart des cas, JAMF Prof envoie (push) immédiatement les profils de configuration, qui sont exécutés après un certain temps (c’est-à-dire pendant case activée-in).

    Toutefois, dans certains cas, le déploiement des profils de configuration peut être déployé avec un délai important (par exemple, si l’ordinateur d’un utilisateur est verrouillé).

    JAMF Pro permet de s’assurer que l’ordre est correct. Vous pouvez créer un groupe intelligent pour les machines qui ont déjà reçu le profil de configuration de Microsoft Defender et installer le package de Microsoft Defender uniquement sur ces machines (et dès qu’elles reçoivent ce profil !)

    Pour ce faire, créez d’abord un groupe intelligent. Dans la nouvelle fenêtre de navigateur, ouvrez Groupes d’ordinateurs intelligents dans le menu de gauche, cliquez sur Nouveau. Attribuez un nom, basculez vers l’onglet Critères , cliquez sur Ajouter et afficher les critères avancés.

    Sélectionnez Nom du profil comme critère, puis utilisez le nom d’un profil de configuration créé précédemment comme Valeur :

    Création d’un groupe intelligent.

    Cliquez sur Save (Enregistrer). Revenez à la fenêtre dans laquelle vous configurez une stratégie de package.

  18. Sélectionnez l’onglet Étendue .

    Onglet Étendue lié aux paramètres de configuration.

  19. Sélectionnez les ordinateurs cibles.

    Option permettant d’ajouter des groupes d’ordinateurs.

    Sous Étendue, sélectionnez Ajouter.

    Paramètres de configuration - ad1.

    Basculez vers l’onglet Groupes d’ordinateurs . Recherchez le groupe intelligent que vous avez créé, puis ajoutez-le .

    Paramètres de configuration - ad2.

    Sélectionnez Libre-service si vous souhaitez que les utilisateurs installent Microsoft Defender volontairement, à la demande.

    Onglet Libre-service pour les paramètres de configuration.

  20. Sélectionnez Terminé.

    L’status d’intégration contoso avec une option permettant de le terminer.

    Page des stratégies.

Étendue du profil de configuration

JAMF vous oblige à définir un ensemble de machines pour un profil de configuration. Vous devez vous assurer que tous les ordinateurs recevant le package de Defender reçoivent également tous les profils de configuration répertoriés ci-dessus.

Avertissement

JAMF prend en charge les groupes d’ordinateurs intelligents qui permettent le déploiement, tels que les profils de configuration ou les stratégies sur toutes les machines correspondant à certains critères évalués dynamiquement. Il s’agit d’un concept puissant qui est largement utilisé pour la distribution des profils de configuration.

Toutefois, gardez à l’esprit que ces critères ne doivent pas inclure la présence de Defender sur un ordinateur. Bien que l’utilisation de ce critère puisse sembler logique, elle crée des problèmes difficiles à diagnostiquer.

Defender s’appuie sur tous ces profils au moment de son installation. La création de profils de configuration en fonction de la présence de Defender retarde efficacement le déploiement des profils de configuration et entraîne un produit initialement défectueux et/ou demande l’approbation manuelle de certaines autorisations d’application, qui sont autrement approuvées automatiquement par les profils.

Le déploiement d’une stratégie avec le package de Microsoft Defender après avoir déployé des profils de configuration garantit la meilleure expérience de l’utilisateur final, car toutes les configurations requises seront appliquées avant l’installation du package.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.