Partager via


Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS

S’applique à :

Importante

Cet article contient des instructions pour définir les préférences de Microsoft Defender pour point de terminaison sur macOS dans les organisations d’entreprise. Pour configurer Microsoft Defender pour point de terminaison sur macOS à l’aide de l’interface de ligne de commande, consultez Ressources.

Résumé

Dans les organisations d’entreprise, Microsoft Defender pour point de terminaison sur macOS peut être géré via un profil de configuration déployé à l’aide de l’un des outils de gestion. Les préférences gérées par votre équipe des opérations de sécurité sont prioritaires sur les préférences définies localement sur l’appareil. La modification des préférences définies par le biais du profil de configuration nécessite des privilèges réaffectés et n’est pas disponible pour les utilisateurs sans autorisations administratives.

Cet article décrit la structure du profil de configuration, inclut un profil recommandé que vous pouvez utiliser pour commencer et fournit des instructions sur le déploiement du profil.

Structure du profil de configuration

Le profil de configuration est un fichier .plist qui se compose d’entrées identifiées par une clé (qui indique le nom de la préférence), suivie d’une valeur, qui dépend de la nature de la préférence. Les valeurs peuvent être simples (par exemple, une valeur numérique) ou complexes, comme une liste imbriquée de préférences.

Attention

La disposition du profil de configuration dépend de la console de gestion que vous utilisez. Les sections suivantes contiennent des exemples de profils de configuration pour JAMF et Intune.

Le niveau supérieur du profil de configuration inclut les préférences et les entrées à l’échelle du produit pour les sous-zones de Microsoft Defender pour point de terminaison, qui sont expliquées plus en détail dans les sections suivantes.

Préférences du moteur antivirus

La section antivirusEngine du profil de configuration est utilisée pour gérer les préférences du composant antivirus de Microsoft Defender pour point de terminaison.

Section Valeur
Domaine com.microsoft.wdav
Clé antivirusEngine
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Niveau d’application pour le moteur antivirus

Spécifie la préférence d’application du moteur antivirus. Il existe trois valeurs pour définir le niveau d’application :

  • En temps réel (real_time) : la protection en temps réel (analyser les fichiers au fur et à mesure qu’ils sont accessibles) est activée.
  • À la demande (on_demand) : les fichiers sont analysés uniquement à la demande. Dans ce cas :
    • La protection en temps réel est désactivée.
  • Passif (passive) : exécute le moteur antivirus en mode passif. Dans ce cas :
    • La protection en temps réel est désactivée.
    • L’analyse à la demande est activée.
    • La correction automatique des menaces est désactivée.
    • Les mises à jour du renseignement de sécurité sont activées.
    • L’icône du menu État est masquée.
Section Valeur
Domaine com.microsoft.wdav
Clé enforcementLevel
Type de données Chaîne
Valeurs possibles real_time (par défaut)

on_demand

Passif

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.10.72 ou ultérieure.

Activer/désactiver la surveillance du comportement

Détermine si la fonctionnalité de surveillance et de blocage du comportement est activée sur l’appareil ou non.

Remarque

Cette fonctionnalité s’applique uniquement lorsque Real-Time fonctionnalité Protection est activée.

Section Valeur
Domaine com.microsoft.wdav
Clé behaviorMonitoring
Type de données Chaîne
Valeurs possibles désactivé

enabled (valeur par défaut)

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.24042.0002 ou ultérieure.

Configurer la fonctionnalité de calcul de hachage de fichier

Active ou désactive la fonctionnalité de calcul de hachage de fichier. Lorsque cette fonctionnalité est activée, Defender pour point de terminaison calcule les hachages des fichiers qu’il analyse pour permettre une meilleure correspondance avec les règles d’indicateur. Sur macOS, seuls les fichiers de script et Mach-O (32 et 64 bits) sont pris en compte pour ce calcul de hachage (à partir du moteur version 1.1.20000.2 ou ultérieure). Notez que l’activation de cette fonctionnalité peut avoir un impact sur les performances de l’appareil. Pour plus d’informations, reportez-vous à : Créer des indicateurs pour les fichiers.

Section Valeur
Domaine com.microsoft.wdav
Clé enableFileHashComputation
Type de données Valeur booléenne
Valeurs possibles false (par défaut)

true

Commentaires Disponible dans Defender pour point de terminaison version 101.86.81 ou ultérieure.

Exécuter une analyse après la mise à jour des définitions

Spécifie s’il faut démarrer une analyse de processus après le téléchargement de nouvelles mises à jour du renseignement de sécurité sur l’appareil. L’activation de ce paramètre déclenche une analyse antivirus sur les processus en cours d’exécution de l’appareil.

Section Valeur
Domaine com.microsoft.wdav
Clé scanAfterDefinitionUpdate
Type de données Valeur booléenne
Valeurs possibles true (valeur par défaut)

false

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure.

Archives d’analyse (analyses antivirus à la demande uniquement)

Spécifie s’il faut analyser les archives pendant les analyses antivirus à la demande.

Section Valeur
Domaine com.microsoft.wdav
Clé scanArchives
Type de données Valeur booléenne
Valeurs possibles true (valeur par défaut)

false

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure.

Degré de parallélisme pour les analyses à la demande

Spécifie le degré de parallélisme pour les analyses à la demande. Cela correspond au nombre de threads utilisés pour effectuer l’analyse et a un impact sur l’utilisation du processeur, ainsi que sur la durée de l’analyse à la demande.

Section Valeur
Domaine com.microsoft.wdav
Clé maximumOnDemandScanThreads
Type de données Entier
Valeurs possibles 2 (valeur par défaut). Les valeurs autorisées sont des entiers compris entre 1 et 64.
Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure.

Stratégie de fusion d’exclusion

Spécifiez la stratégie de fusion pour les exclusions. Il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge), ou uniquement d’exclusions définies par l’administrateur (admin_only). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions.

Section Valeur
Domaine com.microsoft.wdav
Clé exclusionsMergePolicy
Type de données Chaîne
Valeurs possibles merge (par défaut)

admin_only

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure.

Exclusions d’analyse

Spécifiez les entités exclues de l’analyse. Les exclusions peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)

Section Valeur
Domaine com.microsoft.wdav
Clé Exclusions
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.
Type d’exclusion

Spécifiez le contenu exclu de l’analyse par type.

Section Valeur
Domaine com.microsoft.wdav
Clé $type
Type de données Chaîne
Valeurs possibles excludedPath

excludedFileExtension

excludedFileName

Chemin d’accès au contenu exclu

Spécifiez le contenu exclu de l’analyse par chemin d’accès de fichier complet.

Section Valeur
Domaine com.microsoft.wdav
Clé chemin
Type de données Chaîne
Valeurs possibles chemins d’accès valides
Commentaires Applicable uniquement si $type est excluPath

Types d’exclusion pris en charge

Le tableau suivant présente les types d’exclusion pris en charge par Defender pour point de terminaison sur Mac.

Exclusion Définition Exemples
Extension de fichier Tous les fichiers avec l’extension, n’importe où sur l’appareil .test
Fichier Fichier spécifique identifié par le chemin d’accès complet /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Folder Tous les fichiers sous le dossier spécifié (de manière récursive) /var/log/

/var/*/

Processus Un processus spécifique (spécifié par le chemin d’accès complet ou le nom de fichier) et tous les fichiers ouverts par celui-ci /bin/cat

cat

c?t

Importante

Les chemins ci-dessus doivent être des liens physiques, et non des liens symboliques, afin d’être correctement exclus. Vous pouvez vérifier si un chemin d’accès est un lien symbolique en exécutant file <path-name>.

Les exclusions de fichiers, de dossiers et de processus prennent en charge les caractères génériques suivants :

Caractère générique Description Exemple Correspondances Ne correspond pas
* Correspond à n’importe quel nombre de caractères, y compris aucun (notez que lorsque ce caractère générique est utilisé à l’intérieur d’un chemin d’accès, il ne remplace qu’un seul dossier) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Correspond à n’importe quel caractère unique file?.log file1.log

file2.log

file123.log

Type de chemin d’accès (fichier/répertoire)

Indique si la propriété path fait référence à un fichier ou à un répertoire.

Section Valeur
Domaine com.microsoft.wdav
Clé isDirectory
Type de données Valeur booléenne
Valeurs possibles false (par défaut)

true

Commentaires Applicable uniquement si $type est excluPath

Extension de fichier exclue de l’analyse

Spécifiez le contenu exclu de l’analyse par extension de fichier.

Section Valeur
Domaine com.microsoft.wdav
Clé Extension
Type de données Chaîne
Valeurs possibles extensions de fichier valides
Commentaires Applicable uniquement si $type est excluFileExtension

Processus exclu de l’analyse

Spécifiez un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat) ou par son chemin d’accès complet (par exemple, /bin/cat).

Section Valeur
Domaine com.microsoft.wdav
Clé nom
Type de données Chaîne
Valeurs possibles n’importe quelle chaîne
Commentaires Applicable uniquement si $type est excluFileName

Menaces autorisées

Spécifiez les menaces par leur nom qui ne sont pas bloquées par Defender pour point de terminaison sur Mac. Ces menaces seront autorisées à s’exécuter.

Section Valeur
Domaine com.microsoft.wdav
Clé allowedThreats
Type de données Tableau de chaînes

Actions de menace non autorisées

Limite les actions que l’utilisateur local d’un appareil peut effectuer lorsque des menaces sont détectées. Les actions incluses dans cette liste ne sont pas affichées dans l’interface utilisateur.

Section Valeur
Domaine com.microsoft.wdav
Clé disallowedThreatActions
Type de données Tableau de chaînes
Valeurs possibles autoriser (empêche les utilisateurs d’autoriser les menaces)

restore (empêche les utilisateurs de restaurer les menaces à partir de la quarantaine)

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure.

Paramètres des types de menaces

Spécifiez la façon dont certains types de menaces sont gérés par Microsoft Defender pour point de terminaison sur macOS.

Section Valeur
Domaine com.microsoft.wdav
Clé threatTypeSettings
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.
Type de menace

Spécifiez les types de menaces.

Section Valeur
Domaine com.microsoft.wdav
Clé clé
Type de données Chaîne
Valeurs possibles potentially_unwanted_application

archive_bomb

Mesures à prendre

Spécifiez l’action à entreprendre lorsqu’une menace du type spécifié dans la section précédente est détectée. Choisissez l'une des options suivantes :

  • Audit : votre appareil n’est pas protégé contre ce type de menace, mais une entrée concernant la menace est journalisée.
  • Bloquer : votre appareil est protégé contre ce type de menace et vous êtes averti dans l’interface utilisateur et la console de sécurité.
  • Désactivé : votre appareil n’est pas protégé contre ce type de menace et rien n’est journalisé.
Section Valeur
Domaine com.microsoft.wdav
Clé valeur
Type de données Chaîne
Valeurs possibles audit (par défaut)

Bloc

inactif

Stratégie de fusion des paramètres de type de menace

Spécifiez la stratégie de fusion pour les paramètres de type de menace. Il peut s’agir d’une combinaison de paramètres définis par l’administrateur et définis par l’utilisateur (merge) ou uniquement de paramètres définis par l’administrateur (admin_only). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres paramètres pour différents types de menaces.

Section Valeur
Domaine com.microsoft.wdav
Clé threatTypeSettingsMergePolicy
Type de données Chaîne
Valeurs possibles merge (par défaut)

admin_only

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure.

Rétention de l’historique d’analyse antivirus (en jours)

Spécifiez le nombre de jours pendant lesquels les résultats sont conservés dans l’historique d’analyse sur l’appareil. Les anciens résultats de l’analyse sont supprimés de l’historique. Anciens fichiers mis en quarantaine qui sont également supprimés du disque.

Section Valeur
Domaine com.microsoft.wdav
Clé scanResultsRetentionDays
Type de données Chaîne
Valeurs possibles 90 (valeur par défaut). Les valeurs autorisées sont comprises entre 1 jour et 180 jours.
Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.07.23 ou ultérieure.

Nombre maximal d’éléments dans l’historique d’analyse antivirus

Spécifiez le nombre maximal d’entrées à conserver dans l’historique d’analyse. Les entrées incluent toutes les analyses à la demande effectuées dans le passé et toutes les détections antivirus.

Section Valeur
Domaine com.microsoft.wdav
Clé scanHistoryMaximumItems
Type de données Chaîne
Valeurs possibles 10000 (valeur par défaut). Les valeurs autorisées sont comprises entre 5 000 éléments et 1 5 000 éléments.
Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.07.23 ou ultérieure.

Préférences de protection fournies par le cloud

Configurez les fonctionnalités de protection cloud de Microsoft Defender pour point de terminaison sur macOS.

Section Valeur
Domaine com.microsoft.wdav
Clé cloudService
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Activer/désactiver la protection fournie par le cloud

Spécifiez s’il faut activer la protection fournie par le cloud sur l’appareil ou non. Pour améliorer la sécurité de vos services, nous vous recommandons de garder cette fonctionnalité activée.

Section Valeur
Domaine com.microsoft.wdav
Clé activé
Type de données Valeur booléenne
Valeurs possibles true (valeur par défaut)

false

Niveau de collecte de diagnostics

Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Microsoft Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit. Ce paramètre détermine le niveau des diagnostics envoyés par Microsoft Defender pour point de terminaison à Microsoft.

Section Valeur
Domaine com.microsoft.wdav
Clé diagnosticLevel
Type de données Chaîne
Valeurs possibles facultatif (par défaut)

obligatoire

Configurer le niveau de bloc cloud

Ce paramètre détermine l’agressivité de Defender pour point de terminaison dans le blocage et l’analyse des fichiers suspects. Si ce paramètre est activé, Defender pour point de terminaison sera plus agressif lors de l’identification des fichiers suspects à bloquer et analyser ; sinon, il sera moins agressif et donc bloquer et analyser avec moins de fréquence. Il existe cinq valeurs pour définir le niveau de bloc cloud :

  • Normal (normal) : niveau de blocage par défaut.
  • Modéré (moderate) : fournit un verdict uniquement pour les détections à haut niveau de confiance.
  • Élevé (high) : bloque de manière agressive les fichiers inconnus tout en optimisant les performances (plus de chances de bloquer les fichiers non dangereux).
  • Plus élevé (high_plus) : bloque de manière agressive les fichiers inconnus et applique des mesures de protection supplémentaires (susceptibles d’avoir un impact sur les performances des appareils clients).
  • Tolérance zéro (zero_tolerance) : bloque tous les programmes inconnus.
Section Valeur
Domaine com.microsoft.wdav
Clé cloudBlockLevel
Type de données Chaîne
Valeurs possibles normal (par défaut)

Modérée

Haute

high_plus

zero_tolerance

Commentaires Disponible dans Defender pour point de terminaison version 101.56.62 ou ultérieure.

Activer/désactiver les envois automatiques d’exemples

Détermine si des échantillons suspects (susceptibles de contenir des menaces) sont envoyés à Microsoft. Il existe trois niveaux pour contrôler l’envoi d’exemples :

  • Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
  • Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations d’identification personnelle (PII) sont envoyés automatiquement. Il s’agit de la valeur par défaut de ce paramètre.
  • Tout : tous les échantillons suspects sont envoyés à Microsoft.
Description Valeur
Clé automaticSampleSubmissionConsent
Type de données Chaîne
Valeurs possibles none

safe (valeur par défaut)

tout

Activer/désactiver les mises à jour automatiques du renseignement de sécurité

Détermine si les mises à jour du renseignement de sécurité sont installées automatiquement :

Section Valeur
Clé automaticDefinitionUpdateEnabled
Type de données Valeur booléenne
Valeurs possibles true (valeur par défaut)

false

Préférences de l’interface utilisateur

Gérez les préférences pour l’interface utilisateur de Microsoft Defender pour point de terminaison sur macOS.

Section Valeur
Domaine com.microsoft.wdav
Clé userInterface
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Icône afficher/masquer le menu d’état

Indiquez s’il faut afficher ou masquer l’icône du menu d’état dans le coin supérieur droit de l’écran.

Section Valeur
Domaine com.microsoft.wdav
Clé hideStatusMenuIcon
Type de données Valeur booléenne
Valeurs possibles false (par défaut)

true

Option Afficher/masquer pour envoyer des commentaires

Spécifiez si les utilisateurs peuvent envoyer des commentaires à Microsoft en accédant à Help>Send Feedback.

Section Valeur
Domaine com.microsoft.wdav
Clé userInitiatedFeedback
Type de données Chaîne
Valeurs possibles enabled (valeur par défaut)

désactivé

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.19.61 ou ultérieure.

Contrôler la connexion à la version grand public de Microsoft Defender

Spécifiez si les utilisateurs peuvent se connecter à la version grand public de Microsoft Defender.

Section Valeur
Domaine com.microsoft.wdav
Clé consumerExperience
Type de données Chaîne
Valeurs possibles enabled (valeur par défaut)

désactivé

Commentaires Disponible dans Microsoft Defender pour point de terminaison version 101.60.18 ou ultérieure.

Détection des points de terminaison et préférences de réponse

Gérez les préférences du composant de détection et réponse de point de terminaison (EDR) de Microsoft Defender pour point de terminaison sur macOS.

Section Valeur
Domaine com.microsoft.wdav
Clé edr
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Balises d’appareil

Spécifiez un nom de balise et sa valeur.

  • La balise GROUP marque l’appareil avec la valeur spécifiée. La balise est reflétée dans le portail sous la page de l’appareil et peut être utilisée pour le filtrage et le regroupement d’appareils.
Section Valeur
Domaine com.microsoft.wdav
Clé étiquettes
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.
Type de balise

Spécifie le type de balise

Section Valeur
Domaine com.microsoft.wdav
Clé clé
Type de données Chaîne
Valeurs possibles GROUP
Valeur de la balise

Spécifie la valeur de balise

Section Valeur
Domaine com.microsoft.wdav
Clé valeur
Type de données Chaîne
Valeurs possibles n’importe quelle chaîne

Importante

  • Une seule valeur par type de balise peut être définie.
  • Les types de balises sont uniques et ne doivent pas être répétés dans le même profil de configuration.

Identificateur de groupe

Identificateurs de groupe EDR

Section Valeur
Domaine com.microsoft.wdav
Clé groupIds
Type de données Chaîne
Commentaires Identificateur de groupe

Protection contre les falsifications

Gérez les préférences du composant Protection contre les falsifications de Microsoft Defender pour point de terminaison sur macOS.

Section Valeur
Domaine com.microsoft.wdav
Clé tamperProtection
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.

Niveau de mise en œuvre

Si la protection contre les falsifications est activée et si elle est en mode strict

Section Valeur
Domaine com.microsoft.wdav
Clé enforcementLevel
Type de données Chaîne
Commentaires L’un des éléments « disabled », « audit » ou « block »

Valeurs possibles :

  • désactivé : la protection contre les falsifications est désactivée, aucune prévention des attaques ou la création de rapports au cloud
  • audit - La protection contre les falsifications signale uniquement les tentatives de falsification dans le cloud, mais ne les bloque pas
  • bloquer - Protection contre les falsifications bloque et signale les attaques dans le cloud

Exclusions

Définit les processus autorisés à modifier la ressource de Microsoft Defender, sans envisager de falsification. Path, teamId ou signingId, ou leur combinaison doit être fournie. Des arguments peuvent être fournis en outre, pour spécifier le processus autorisé plus précisément.

Section Valeur
Domaine com.microsoft.wdav
Clé Exclusions
Type de données Dictionnaire (préférence imbriquée)
Commentaires Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire.
Chemin d’accès

Chemin exact de l’exécutable du processus.

Section Valeur
Domaine com.microsoft.wdav
Clé chemin
Type de données Chaîne
Commentaires Dans le cas d’un script shell, il s’agit du chemin d’accès exact au binaire de l’interpréteur /bin/zshde commandes, par exemple . Aucun caractère générique autorisé.
ID d’équipe

« Id d’équipe » d’Apple du fournisseur.

Section Valeur
Domaine com.microsoft.wdav
Clé teamId
Type de données Chaîne
Commentaires Par exemple, UBF8T346G9 pour Microsoft
ID de signature

« Id de signature » d’Apple du package.

Section Valeur
Domaine com.microsoft.wdav
Clé signingId
Type de données Chaîne
Commentaires Par exemple, pour l’interpréteur com.apple.ruby Ruby
Traiter les arguments

Utilisé en combinaison avec d’autres paramètres pour identifier le processus.

Section Valeur
Domaine com.microsoft.wdav
Clé signingId
Type de données Tableau de chaînes
Commentaires S’il est spécifié, l’argument de processus doit correspondre exactement à ces arguments, en respectant la casse

Pour commencer, nous vous recommandons la configuration suivante pour votre entreprise afin de tirer parti de toutes les fonctionnalités de protection fournies par Microsoft Defender pour point de terminaison.

Le profil de configuration suivant (ou, dans le cas de JAMF, une liste de propriétés qui peut être chargée dans le profil de configuration des paramètres personnalisés) :

  • Activer la protection en temps réel (RTP)
  • Spécifiez la façon dont les types de menaces suivants sont gérés :
    • Les applications potentiellement indésirables (PUA) sont bloquées
    • Les bombes d’archivage (fichier avec un taux de compression élevé) sont auditées dans les journaux Microsoft Defender pour point de terminaison
  • Activer les mises à jour automatiques du renseignement de sécurité
  • Protection fournie par le cloud
  • Activer l’envoi automatique d’exemples
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Exemple de profil de configuration complet

Les modèles suivants contiennent des entrées pour tous les paramètres décrits dans ce document et peuvent être utilisés pour des scénarios plus avancés où vous souhaitez davantage de contrôle sur Microsoft Defender pour point de terminaison sur macOS.

Liste de propriétés pour le profil de configuration complet JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Profil complet Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Validation de la liste de propriétés

La liste de propriétés doit être un fichier .plist valide. Cela peut être vérifié en exécutant :

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Si le fichier est correctement formé, la commande ci-dessus génère OK et retourne un code de sortie de 0. Sinon, une erreur décrivant le problème s’affiche et la commande retourne un code de sortie de 1.

Déploiement du profil de configuration

Une fois que vous avez créé le profil de configuration pour votre entreprise, vous pouvez le déployer via la console de gestion que votre entreprise utilise. Les sections suivantes fournissent des instructions sur la façon de déployer ce profil à l’aide de JAMF et d’Intune.

Déploiement JAMF

À partir de la console JAMF, ouvrezProfils de configurationordinateurs>, accédez au profil de configuration que vous souhaitez utiliser, puis sélectionnez Paramètres personnalisés. Créez une entrée avec com.microsoft.wdav comme domaine de préférence et chargez le fichier .plist produit précédemment.

Attention

Vous devez entrer le domaine de préférence correct (com.microsoft.wdav) ; sinon, les préférences ne seront pas reconnues par Microsoft Defender pour point de terminaison.

Déploiement Intune

  1. OuvrezProfils de configurationdes appareils>. Sélectionnez Créer le profil.

  2. Choisissez un nom pour le profil. Remplacez Platform=macOS parType de profil=Modèles et choisissez Personnalisé dans la section nom du modèle. Sélectionnez Configurer.

  3. Enregistrez le fichier .plist produit précédemment en tant que com.microsoft.wdav.xml.

  4. Entrez com.microsoft.wdav comme nom de profil de configuration personnalisé.

  5. Ouvrez le profil de configuration et chargez le com.microsoft.wdav.xml fichier. (Ce fichier a été créé à l’étape 3.)

  6. Sélectionnez OK.

  7. Sélectionnez Gérer les>affectations. Sous l’onglet Inclure , sélectionnez Affecter à tous les utilisateurs & Tous les appareils.

Attention

Vous devez entrer le nom de profil de configuration personnalisé correct. dans le cas contraire, ces préférences ne seront pas reconnues par Microsoft Defender pour point de terminaison.

Ressources

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.