Share via


Configurare la Microsoft Defender per endpoint nei criteri macOS in Jamf Pro

Si applica a:

Usare questo articolo per configurare i criteri per Defender per endpoint in Mac usando Jamf Pro.

Passaggio 1: Ottenere il pacchetto di onboarding Microsoft Defender per endpoint

  1. In Microsoft Defender XDR passare a Impostazioni > Endpoint > onboarding.

  2. Selezionare macOS come sistema operativo e Mobile Gestione dispositivi/Microsoft Intune come metodo di distribuzione.

    Pagina Impostazioni.

  3. Selezionare Scarica pacchetto di onboarding (WindowsDefenderATPOnboardingPackage.zip).

  4. Estrarre WindowsDefenderATPOnboardingPackage.zip.

  5. Copiare il file nel percorso preferito. Ad esempio, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Passaggio 2: Create un profilo di configurazione in Jamf Pro usando il pacchetto di onboarding

  1. Individuare il file WindowsDefenderATPOnboarding.plist dalla sezione precedente.

    Il file di onboarding Windows Defender ATP.

  2. Accedere a Jamf Pro, passare aProfili di configurazionecomputer> e selezionare Nuovo.

    Pagina in cui si crea un nuovo dashboard di Jamf Pro.

  3. Immettere i dettagli seguenti nella scheda Generale :

    • Nome: MDE onboarding for macOS
    • Descrizione: MDE EDR onboarding for macOS
    • Categoria: None
    • Metodo di distribuzione: Install Automatically
    • Livello: Computer Level
  4. Passare alla pagina Applicazione & impostazioni personalizzate , selezionare Carica e quindi selezionare Aggiungi.

    App di configurazione e impostazioni personalizzate.

  5. Selezionare Carica file (file PLIST) e quindi in Dominio preferenza digitare com.microsoft.wdav.atp.

    File di caricamento jamfpro plist.

    File elenco delle proprietà del file di caricamento.

  6. Selezionare Apri e selezionare il file di onboarding.

    File di onboarding.

  7. Scegliere Carica.

    File plist di caricamento.

  8. Selezionare la scheda Ambito .

    Scheda Ambito.

  9. Selezionare i computer di destinazione.

    Computer di destinazione.

    Destinazioni.

  10. Selezionare Salva.

    Distribuzione dei computer di destinazione.

    Selezione dei computer di destinazione.

  11. Scegliere Fine.

    Computer di un gruppo di destinazione.

    Elenco dei profili di configurazione.

Passaggio 3: Configurare le impostazioni di Microsoft Defender per endpoint

In questo passaggio si passa a Preferenze per configurare i criteri antimalware ed EDR usando Microsoft Defender XDR portale (https://security.microsoft.com) o JamF.

Importante

Microsoft Defender per endpoint i criteri di gestione delle impostazioni di sicurezza hanno la precedenza sui criteri di jamf set (e altri MDM di terze parti).

3a. Impostare i criteri usando Microsoft Defender portale

  1. Seguire le indicazioni riportate in Configurare Microsoft Defender per endpoint in Intune prima di impostare i criteri di sicurezza usando Microsoft Defender.

  2. Nel portale di Microsoft Defender passare a Criteri disicurezza> degli endpoint di gestione> configurazionecriteri> Mac Create nuovi criteri.

  3. In Seleziona piattaforma selezionare macOS.

  4. In Seleziona modello scegliere un modello e selezionare Create Criteri.

  5. Specificare un nome e una descrizione per il criterio e quindi selezionare Avanti.

  6. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

Per altre informazioni sulla gestione delle impostazioni di sicurezza, vedere gli articoli seguenti:

3b. Impostare i criteri usando JamF

È possibile usare l'interfaccia grafica di JAMF Pro per modificare le singole impostazioni della configurazione Microsoft Defender per endpoint oppure usare il metodo legacy creando un Plist di configurazione in un editor di testo e caricandolo in JAMF Pro.

Si noti che è necessario usare esatto com.microsoft.wdav come dominio preferenza; Microsoft Defender per endpoint usa solo questo nome e com.microsoft.wdav.ext per caricarne le impostazioni gestite.

La com.microsoft.wdav.ext versione può essere usata in rari casi quando si preferisce usare il metodo GUI, ma è anche necessario configurare un'impostazione che non è ancora stata aggiunta allo schema.

Metodo GUI

  1. Scaricare schema.json file dal repository GitHub di Defender e salvarlo in un file locale:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
    
  2. Create un nuovo profilo di configurazione. In Computer passare a Profili di configurazione e quindi specificare i dettagli seguenti nella scheda Generale :

    Nuovo profilo.

    • Nome: MDATP MDAV configuration settings
    • Descrizione: <blank\>
    • Categoria: None (default)
    • Livello: Computer Level (default)
    • Metodo di distribuzione: Install Automatically (default)
  3. Scorrere verso il basso fino alla scheda Applicazione & Impostazioni personalizzate , selezionare Applicazioni esterne, selezionare Aggiungi e quindi usare Schema personalizzato come origine per il dominio delle preferenze.

    Aggiungere uno schema personalizzato.

  4. Digitare com.microsoft.wdav per Dominio preferenza, selezionare Aggiungi schema e quindi caricare il schema.json file scaricato nel passaggio 1. Selezionare Salva.

    Caricare lo schema.

  5. È possibile visualizzare tutte le impostazioni di configurazione Microsoft Defender per endpoint supportate in Proprietà dominio preferenza. Selezionare Aggiungi/Rimuovi proprietà per selezionare le impostazioni da gestire e quindi selezionare OK per salvare le modifiche. Le impostazioni non selezionate non sono incluse nella configurazione gestita e un utente finale può configurare tali impostazioni nei computer.

    Impostazioni gestite scelte.

  6. Modificare i valori delle impostazioni in valori desiderati. È possibile selezionare Altre informazioni per ottenere la documentazione per una determinata impostazione. È possibile selezionare Anteprima Plist per controllare l'aspetto del plist di configurazione. Selezionare Editor modulo per tornare all'editor visivo.

    Pagina in cui modificare i valori delle impostazioni.

  7. Selezionare la scheda Ambito .

    Ambito del profilo di configurazione.

  8. Selezionare Gruppo di computer di Contoso.

  9. Selezionare Aggiungi e quindi Salva.

    Pagina in cui è possibile aggiungere le impostazioni di configurazione.

    Pagina in cui è possibile salvare le impostazioni di configurazione.

  10. Scegliere Fine. Verrà visualizzato il nuovo profilo di configurazione.

    Pagina in cui si completano le impostazioni di configurazione.

Microsoft Defender per endpoint aggiunge nuove impostazioni nel tempo. Queste nuove impostazioni vengono aggiunte allo schema e una nuova versione viene pubblicata in GitHub. Per ottenere gli aggiornamenti, scaricare uno schema aggiornato e modificare il profilo di configurazione esistente. Nella scheda Application & Custom Settings (Impostazioni personalizzate ) selezionare Edit schema (Modifica schema).

Metodo legacy

  1. Usare le impostazioni di configurazione di Microsoft Defender per endpoint seguenti:

    • enableRealTimeProtection

    • passiveMode

      Nota

      Non attivato per impostazione predefinita, se si prevede di eseguire un antivirus di terze parti per macOS, impostarlo truesu .

    • exclusions

    • excludedPath

    • excludedFileExtension

    • excludedFileName

    • exclusionsMergePolicy

    • allowedThreats

      Nota

      EICAR è presente nell'esempio, se si sta verificando un modello di verifica, rimuoverlo soprattutto se si sta testando EICAR.

    • disallowedThreatActions

    • potentially_unwanted_application

    • archive_bomb

    • cloudService

    • automaticSampleSubmission

    • tags

    • hideStatusMenuIcon

    Per informazioni, vedere Elenco delle proprietà per il profilo di configurazione completo JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
        <dict>
            <key>enableRealTimeProtection</key>
            <true/>
            <key>passiveMode</key>
            <false/>
            <key>exclusions</key>
            <array>
                <dict>
                    <key>$type</key>
                    <string>excludedPath</string>
                    <key>isDirectory</key>
                    <false/>
                    <key>path</key>
                    <string>/var/log/system.log</string>
                </dict>
                <dict>
                    <key>$type</key>
                    <string>excludedPath</string>
                    <key>isDirectory</key>
                    <true/>
                    <key>path</key>
                    <string>/home</string>
                </dict>
                <dict>
                    <key>$type</key>
                    <string>excludedFileExtension</string>
                    <key>extension</key>
                    <string>pdf</string>
                </dict>
                <dict>
                    <key>$type</key>
                    <string>excludedFileName</string>
                    <key>name</key>
                    <string>cat</string>
                </dict>
            </array>
            <key>exclusionsMergePolicy</key>
            <string>merge</string>
            <key>allowedThreats</key>
            <array>
                <string>EICAR-Test-File (not a virus)</string>
            </array>
            <key>disallowedThreatActions</key>
            <array>
                <string>allow</string>
                <string>restore</string>
            </array>
            <key>threatTypeSettings</key>
            <array>
                <dict>
                    <key>key</key>
                    <string>potentially_unwanted_application</string>
                    <key>value</key>
                    <string>block</string>
                </dict>
                <dict>
                    <key>key</key>
                    <string>archive_bomb</string>
                    <key>value</key>
                    <string>audit</string>
                </dict>
            </array>
            <key>threatTypeSettingsMergePolicy</key>
            <string>merge</string>
        </dict>
        <key>cloudService</key>
        <dict>
            <key>enabled</key>
            <true/>
            <key>diagnosticLevel</key>
            <string>optional</string>
            <key>automaticSampleSubmission</key>
            <true/>
        </dict>
        <key>edr</key>
        <dict>
            <key>tags</key>
            <array>
                <dict>
                    <key>key</key>
                    <string>GROUP</string>
                    <key>value</key>
                    <string>ExampleTag</string>
                </dict>
            </array>
        </dict>
        <key>userInterface</key>
        <dict>
            <key>hideStatusMenuIcon</key>
            <false/>
        </dict>
    </dict>
    </plist>
    
  2. Salvare il file come MDATP_MDAV_configuration_settings.plist.

  3. Nel dashboard di Jamf Pro aprire Computer e i relativi profili di configurazione. Selezionare Nuovo e passare alla scheda Generale .

    Pagina che visualizza un nuovo profilo.

  4. Immettere i dettagli seguenti nella scheda Generale :

    • Nome: MDATP MDAV configuration settings
    • Descrizione: <blank>
    • Categoria: None (default)
    • Metodo di distribuzione: Install Automatically (default)
    • Livello: Computer Level (default)
  5. In Application & Custom Settings (Impostazioni personalizzate) selezionare Configura.

    Impostazioni di configurazione MDATP MDAV.

    Applicazione e impostazioni personalizzate.

  6. Selezionare Carica file (file PLIST).

    File plist delle impostazioni di configurazione.

  7. In Dominio preferenze digitare com.microsoft.wdave quindi selezionare Carica file PLIST.

    Dominio delle preferenze delle impostazioni di configurazione.

  8. Selezionare Scegli file.

    Richiesta di scelta del file plist.

  9. Selezionare il file MDATP_MDAV_configuration_settings.plist e quindi selezionare Apri.

    Impostazioni di configurazione mdatpmdav.

  10. Scegliere Carica.

    Caricamento dell'impostazione di configurazione.

    Richiesta di caricamento dell'immagine correlata alle impostazioni di configurazione.

    Nota

    Se si carica il file Intune, verrà visualizzato l'errore seguente:

    Richiesta di caricare il file di intune correlato alle impostazioni di configurazione.

  11. Selezionare Salva.

    Opzione per salvare l'immagine correlata alle impostazioni di configurazione.

  12. Il file viene caricato.

    File caricato correlato alle impostazioni di configurazione.

    Pagina delle impostazioni di configurazione.

  13. Selezionare la scheda Ambito .

    Ambito per le impostazioni di configurazione.

  14. Selezionare Gruppo di computer di Contoso.

  15. Selezionare Aggiungi e quindi Salva.

    Le impostazioni di configurazione aggiungonoav.

    Notifica delle impostazioni di configurazione.

  16. Scegliere Fine. Viene visualizzato il nuovo profilo di configurazione.

    Immagine dell'immagine del profilo di configurazione delle impostazioni di configurazione.

Passaggio 4: Configurare le impostazioni delle notifiche

Questi passaggi sono applicabili in macOS 11 (Big Sur) o versioni successive.

  1. Nel dashboard di Jamf Pro selezionare Computer, quindi Profili di configurazione.

  2. Selezionare Nuovo e immettere i dettagli seguenti nella scheda Generale per Opzioni:

    • Nome: MDATP MDAV Notification settings

    • Descrizione: macOS 11 (Big Sur) or later

    • Categoria: None *(default)*

    • Metodo di distribuzione: Install Automatically *(default)*

    • Livello: Computer Level *(default)*

      Pagina del nuovo profilo di configurazione macOS.

    • Tab Notifications (Notifiche scheda), selezionare Add (Aggiungi) e immettere i valori seguenti:

      • ID bundle: com.microsoft.wdav.tray

      • Avvisi critici: selezionare Disabilita

      • Notifiche: selezionare Abilita

      • Tipo di avviso banner: selezionare Includi e temporaneo(impostazione predefinita)

      • Notifiche nella schermata di blocco: selezionare Nascondi

      • Notifiche nel Centro notifiche: selezionare Visualizza

      • Icona dell'app badge: selezionare Visualizza

        La barra delle notifiche mdatpmdav delle impostazioni di configurazione.

    • Tab Notifiche, selezionare Aggiungi un'altra volta, scorrere verso il basso fino a Nuove impostazioni notifiche

      • ID bundle: com.microsoft.autoupdate.fba

      • Configurare il resto delle impostazioni in base agli stessi valori indicati in precedenza

        Le impostazioni di configurazione mdatpmdav notifications mau.

        Si noti che ora sono disponibili due tabelle con configurazioni di notifica, una per l'ID bundle: com.microsoft.wdav.tray e un'altra per ID bundle: com.microsoft.autoupdate.fba. Anche se è possibile configurare le impostazioni di avviso in base ai requisiti, gli ID bundle devono essere esattamente gli stessi descritti in precedenza e l'opzione Includi deve essere attivata per le notifiche.

  3. Selezionare la scheda Ambito e quindi selezionare Aggiungi.

    Pagina in cui è possibile aggiungere valori per le impostazioni di configurazione.

  4. Selezionare Gruppo di computer di Contoso.

  5. Selezionare Aggiungi e quindi Salva.

    Pagina in cui è possibile salvare i valori per le impostazioni di configurazione contoso machine group.

    Pagina che visualizza la notifica di completamento delle impostazioni di configurazione.

  6. Scegliere Fine. Verrà visualizzato il nuovo profilo di configurazione.

    Impostazioni di configurazione completate.

Passaggio 5: Configurare Microsoft AutoUpdate (MAU)

  1. Usare le impostazioni di configurazione di Microsoft Defender per endpoint seguenti:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
     <key>ChannelName</key>
     <string>Current</string>
     <key>HowToCheck</key>
     <string>AutomaticDownload</string>
     <key>EnableCheckForUpdatesButton</key>
     <true/>
     <key>DisableInsiderCheckbox</key>
     <false/>
     <key>SendAllTelemetryEnabled</key>
     <true/>
    </dict>
    </plist>
    
  2. Salvarlo come MDATP_MDAV_MAU_settings.plist.

  3. Nel dashboard di Jamf Pro selezionare Generale.

    Impostazioni di configurazione.

  4. Immettere i dettagli seguenti nella scheda Generale :

    • Nome: MDATP MDAV MAU settings
    • Descrizione: Microsoft AutoUpdate settings for MDATP for macOS
    • Categoria: None (default)
    • Metodo di distribuzione: Install Automatically (default)
    • Livello: Computer Level (default)
  5. In Application & Custom Settings (Impostazioni personalizzate ) selezionare Configura.

    Applicazione delle impostazioni di configurazione e impostazioni personalizzate.

  6. Selezionare Carica file (file PLIST).

  7. In Tipo dicom.microsoft.autoupdate2dominio preferenza selezionare Carica file PLIST.

    Dominio delle preferenze dell'impostazione di configurazione.

  8. Selezionare Scegli file.

    Richiesta di scegliere il file relativo all'impostazione di configurazione.

  9. Selezionare MDATP_MDAV_MAU_settings.plist.

    Impostazioni mdatpmdavmau.

  10. Scegliere Carica. Caricamento del file relativo all'impostazione di configurazione.

    Pagina che visualizza l'opzione di caricamento per il file relativa all'impostazione di configurazione.

  11. Selezionare Salva.

    Pagina che visualizza l'opzione di salvataggio per il file relativa all'impostazione di configurazione.

  12. Selezionare la scheda Ambito .

    Scheda Ambito per le impostazioni di configurazione.

  13. Selezionare Aggiungi.

    Opzione per aggiungere destinazioni di distribuzione.

    Pagina in cui si aggiungono altri valori alle impostazioni di configurazione.

    Pagina in cui è possibile aggiungere altri valori alle impostazioni di configurazione.

  14. Scegliere Fine.

    Notifica di completamento relativa alle impostazioni di configurazione.

Passaggio 6: Concedere l'accesso completo al disco a Microsoft Defender per endpoint

  1. Nel dashboard di Jamf Pro selezionare Profili di configurazione.

    Profilo per cui devono essere configurate le impostazioni.

  2. Selezionare + Nuovo.

  3. Immettere i dettagli seguenti nella scheda Generale :

    • Nome: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Descrizione: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Categoria: None
    • Metodo di distribuzione: Install Automatically
    • Livello: Computer level

    Impostazione di configurazione in generale.

  4. In Configura controllo criteri preferenze privacy selezionare Configura.

    Controllo dell'informativa sulla privacy della configurazione.

  5. In Privacy Preferences Policy Control (Controllo criteri preferenze privacy) immettere i dettagli seguenti:

    • Identificatore: com.microsoft.wdav
    • Tipo di identificatore: Bundle ID
    • Requisito di codice: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Dettagli del controllo dei criteri di preferenza per la privacy dell'impostazione di configurazione.

  6. Selezionare + Aggiungi.

    L'impostazione di configurazione aggiunge l'opzione tutti i file dei criteri di sistema.

    • In App o servizio selezionare SystemPolicyAllFiles.
    • In Accesso selezionare Consenti.
  7. Selezionare Salva (non quello in basso a destra).

    Operazione di salvataggio per l'impostazione di configurazione.

  8. Selezionare il + segno accanto a Accesso app per aggiungere una nuova voce.

    Operazione di salvataggio relativa all'impostazione di configurazione.

  9. Immettere i dettagli seguenti:

    • Identificatore: com.microsoft.wdav.epsext
    • Tipo di identificatore: Bundle ID
    • Requisito di codice: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
  10. Selezionare + Aggiungi.

    Impostazione di configurazione della voce tcc epsext.

    • In App o servizio selezionare SystemPolicyAllFiles.
    • In Accesso selezionare Consenti.
  11. Selezionare Salva (non quello in basso a destra).

    L'altra istanza dell'impostazione di configurazione tcc epsext.

  12. Selezionare la scheda Ambito .

    Pagina che illustra l'ambito per l'impostazione di configurazione.

  13. Selezionare + Aggiungi.

    Pagina che illustra l'impostazione di configurazione.

  14. Selezionare Computer Gruppi e in Nome gruppo selezionare MachineGroup di Contoso.

    Impostazione di configurazione del gruppo di computer contoso.

  15. Selezionare Aggiungi.

  16. Selezionare Salva.

  17. Scegliere Fine.

    Impostazione di configurazione contoso machine-group.

    Illustrazione dell'impostazione di configurazione.

In alternativa, è possibile scaricare fulldisk.mobileconfig e caricarlo in Profili di configurazione JAMF come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Nota

L'accesso completo al disco concesso tramite il profilo di configurazione MDM di Apple non si riflette in Impostazioni di sistema => Privacy & Sicurezza => Accesso completo al disco.

Passaggio 7: Approvare le estensioni di sistema per Microsoft Defender per endpoint

  1. In Profili di configurazione selezionare + Nuovo.

    Descrizione del post sui social media generato automaticamente.

  2. Immettere i dettagli seguenti nella scheda Generale :

    • Nome: MDATP MDAV System Extensions
    • Descrizione: MDATP system extensions
    • Categoria: None
    • Metodo di distribuzione: Install Automatically
    • Livello: Computer Level

    Le impostazioni di configurazione sysext nuovo profilo.

  3. In Estensioni di sistema selezionare Configura.

    Riquadro con l'opzione Configura per le estensioni di sistema.

  4. In Estensioni di sistema immettere i dettagli seguenti:

    • Nome visualizzato: Microsoft Corp. System Extensions
    • Tipi di estensione di sistema: Allowed System Extensions
    • Identificatore del team: UBF8T346G9
    • Estensioni di sistema consentite:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Riquadro delle estensioni di sistema MDAV MDATP.

  5. Selezionare la scheda Ambito .

    Riquadro di selezione Computer di destinazione.

  6. Selezionare + Aggiungi.

  7. Selezionare Computer Gruppi> in Nome> gruppo selezionare Gruppo di computer di Contoso.

  8. Selezionare + Aggiungi.

    Riquadro Nuovo profilo di configurazione macOS.

  9. Selezionare Salva.

    Visualizzazione delle opzioni relative alle estensioni di sistema MDAV MDATP.

  10. Scegliere Fine.

    Impostazioni di configurazione sysext - final.

Passaggio 8: Configurare l'estensione di rete

Come parte delle funzionalità di rilevamento e risposta degli endpoint, Microsoft Defender per endpoint in macOS controlla il traffico socket e segnala queste informazioni al portale di Microsoft Defender. I criteri seguenti consentono all'estensione di rete di eseguire questa funzionalità.

Questi passaggi sono applicabili in macOS 11 (Big Sur) o versioni successive.

  1. Nel dashboard di Jamf Pro selezionare Computer, quindi Profili di configurazione.

  2. Selezionare Nuovo e immettere i dettagli seguenti per Opzioni:

    • Scheda Generale:

      • Nome: Microsoft Defender Network Extension
      • Descrizione: macOS 11 (Big Sur) or later
      • Categoria: None *(default)*
      • Metodo di distribuzione: Install Automatically *(default)*
      • Livello: Computer Level *(default)*
    • Filtro contenuto scheda:

      • Nome filtro: Microsoft Defender Content Filter
      • Identificatore: com.microsoft.wdav
      • Lasciare vuoto l'indirizzo del servizio, l'organizzazione, il nome utente, la password, il certificato (l'opzioneIncludi non è selezionata)
      • Ordine filtro: Inspector
      • Filtro socket: com.microsoft.wdav.netext
      • Requisito designato del filtro socket: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Lasciare vuoti i campi filtro di rete (Includinon è selezionato)

      Si noti che i valori esatti identificatore, filtro socket e requisito designato del filtro socket , come specificato in precedenza.

      Impostazione di configurazione mdatpmdav.

  3. Selezionare la scheda Ambito .

    Scheda sco delle impostazioni di configurazione.

  4. Selezionare + Aggiungi.

  5. Selezionare Computer Gruppi> in Nome> gruppo selezionare Gruppo di computer di Contoso.

  6. Selezionare + Aggiungi.

    Impostazioni di configurazione adim.

  7. Selezionare Salva.

    Riquadro Filtro contenuto.

  8. Scegliere Fine.

    Impostazioni di configurazione netext - final.

In alternativa, è possibile scaricare netfilter.mobileconfig e caricarlo nei profili di configurazione JAMF come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Passaggio 9: Configurare i servizi in background

Attenzione

macOS 13 (Ventura) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono essere eseguite in background senza il consenso esplicito. Microsoft Defender per endpoint deve eseguire il processo del daemon in background.

Questo profilo di configurazione concede le autorizzazioni del servizio in background a Microsoft Defender per endpoint. Se in precedenza è stato configurato Microsoft Defender per endpoint tramite JAMF, è consigliabile aggiornare la distribuzione con questo profilo di configurazione.

Scaricare background_services.mobileconfig dal repository GitHub.

Caricare mobileconfig scaricato in profili di configurazione JAMF come descritto in Distribuzione di profili di configurazione personalizzati con Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Passaggio 10: Concedere autorizzazioni Bluetooth

Attenzione

macOS 14 (Sonoma) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono accedere a Bluetooth senza il consenso esplicito. Microsoft Defender per endpoint lo usa se si configurano i criteri Bluetooth per Controllo dispositivo.

Scaricare bluetooth.mobileconfig dal repository GitHub.

Avviso

La versione corrente di JAMF Pro non supporta ancora questo tipo di payload. Se si carica questo mobileconfig così come è, JAMF Pro rimuoverà il payload non supportato e non verrà applicato ai computer client. Devi prima firmare mobileconfig scaricato, dopo che JAMF Pro lo considererà "sealed" e non lo manometterà. Vedere le istruzioni seguenti:

  • È necessario avere almeno un certificato di firma installato in KeyChain, anche un certificato autofirmato funziona. È possibile controllare gli elementi disponibili con:

    > /usr/bin/security find-identity -p codesigning -v
    
      1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
      2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
      3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
      4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
         4 valid identities found
    
  • Scegliere uno di essi e specificare il testo tra virgolette come parametro -N:

    /usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
    
  • Ora è possibile caricare il file bluetooth-signed.mobileconfig generato in JAMF Pro come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

    Nota

    Il Bluetooth concesso tramite il profilo di configurazione MDM apple non si riflette in Impostazioni di sistema => Privacy & Sicurezza => Bluetooth.

Passaggio 11: Pianificare le analisi con Microsoft Defender per endpoint in macOS

Seguire le istruzioni in Pianificare le analisi con Microsoft Defender per endpoint in macOS.

Passaggio 12: Distribuire Microsoft Defender per endpoint in macOS

Nota

Nei passaggi seguenti, il nome del .pkg file e i valori del nome visualizzato sono esempi. In questi esempi rappresenta 200329 la data in cui sono stati creati il pacchetto e i criteri (in yymmdd formato) e v100.86.92 rappresenta la versione dell'applicazione Microsoft Defender che viene distribuita. Questi valori devono essere aggiornati in modo da essere conformi alla convenzione di denominazione usata nell'ambiente per pacchetti e criteri.

  1. Passare al percorso in cui è stato salvato wdav.pkg.

    Pacchetto wdav di Esplora file.

  2. Rinominarlo in wdav_MDM_Contoso_200329.pkg.

    Pacchetto wdavmdm di Esplora file1.

  3. Aprire il dashboard di Jamf Pro.

    Impostazioni di configurazione per jamfpro.

  4. Selezionare il computer e selezionare l'icona a ingranaggio nella parte superiore e quindi selezionare Gestione computer.

    Impostazioni di configurazione: gestione del computer.

  5. In Pacchetti selezionare + Nuovo.

    Descrizione dell'uccello per un pacchetto generato automaticamente.

  6. Nella scheda Generale immettere i dettagli seguenti in Nuovo pacchetto:

    • Nome visualizzato: lasciare vuoto per il momento. Perché viene reimpostato quando si sceglie il pkg.
    • Categoria: None (default)
    • Nome file: Choose File

    Scheda Generale per le impostazioni di configurazione.

    Aprire il file e puntare a wdav.pkg o wdav_MDM_Contoso_200329.pkg.

    Schermata del computer che visualizza la descrizione di un pacchetto generato automaticamente.

  7. Seleziona Apri. Impostare Nome visualizzato su Microsoft Defender Advanced Threat Protection e Microsoft Defender Antivirus.

    • Il file manifesto non è obbligatorio. Microsoft Defender per endpoint funziona senza file manifesto.
    • Scheda Opzioni: mantenere i valori predefiniti.
    • Scheda Limitazioni: mantenere i valori predefiniti.

    Scheda limitazione per le impostazioni di configurazione.

  8. Selezionare Salva. Il pacchetto viene caricato in Jamf Pro.

    Processo di caricamento dei pacchetti di impostazioni di configurazione per il pacchetto correlato alle impostazioni di configurazione.

    La disponibilità del pacchetto per la distribuzione può richiedere alcuni minuti.

    Istanza di caricamento del pacchetto per le impostazioni di configurazione.

  9. Passare alla pagina Criteri .

    Criteri delle impostazioni di configurazione.

  10. Selezionare + Nuovo per creare un nuovo criterio.

    Nuovi criteri delle impostazioni di configurazione.

  11. In Generale, per Nome visualizzato usare MDATP Onboarding Contoso 200329 v100.86.92 or later.

    Impostazioni di configurazione : onboarding MDATP.

  12. Selezionare Archiviazione ricorrente.

    Archiviazione ricorrente per le impostazioni di configurazione.

  13. Selezionare Salva.

  14. Selezionare Pacchetti>configura.

    Opzione per configurare i pacchetti.

  15. Selezionare il pulsante Aggiungi accanto a Microsoft Defender Advanced Threat Protection e Microsoft Defender Antivirus.

    L'opzione per aggiungere altre impostazioni a MDATP MDA.

  16. Selezionare Salva.

    Opzione di salvataggio per le impostazioni di configurazione.

  17. Create un gruppo intelligente per i computer con profili Microsoft Defender.

    Per un'esperienza utente migliore, è necessario installare i profili di configurazione per i computer registrati prima del pacchetto di Microsoft Defender. Nella maggior parte dei casi JAMF Pro esegue immediatamente il push dei profili di configurazione e tali criteri vengono eseguiti dopo un certo periodo di tempo, ovvero durante l'archiviazione. In alcuni casi, tuttavia, la distribuzione dei profili di configurazione può essere distribuita con un ritardo significativo, ovvero se il computer di un utente è bloccato.

    JAMF Pro offre un modo per garantire l'ordine corretto. È possibile creare un gruppo intelligente per i computer che hanno già ricevuto il profilo di configurazione di Microsoft Defender e installare il pacchetto di Microsoft Defender solo in tali computer e non appena riceve questo profilo.

    attenersi alla seguente procedura:

    1. Create un gruppo intelligente. In una nuova finestra del browser aprire Smart Computers Gruppi.

    2. Selezionare Nuovo e assegnare un nome al gruppo.

    3. Nella scheda Criteri selezionare Aggiungi e quindi Mostra criteri avanzati.

    4. Selezionare Nome profilo come criterio e usare il nome di un profilo di configurazione creato in precedenza come valore:

      Creazione di un gruppo intelligente.

    5. Selezionare Salva.

    6. Indietro alla finestra in cui si configurano i criteri del pacchetto.

  18. Selezionare la scheda Ambito .

    Scheda Ambito relativa alle impostazioni di configurazione.

  19. Selezionare i computer di destinazione.

    Opzione per aggiungere gruppi di computer.

    In Ambito selezionare Aggiungi.

    Impostazioni di configurazione: ad1.

    Passare alla scheda Computer Gruppi. Individuare il gruppo intelligente creato e quindi selezionare Aggiungi.

    Impostazioni di configurazione : ad2.

    Se si vuole che gli utenti installino Defender per endpoint volontariamente (o su richiesta), selezionare Self-Service.

    Scheda Self-Service per le impostazioni di configurazione.

  20. Scegliere Fine.

    Stato di onboarding di Contoso con un'opzione per completarlo.

    Pagina dei criteri.

Ambito del profilo di configurazione

JAMF richiede di definire un set di computer per un profilo di configurazione. È necessario assicurarsi che tutti i computer che ricevono il pacchetto di Defender ricevano anche tutti i profili di configurazione elencati in precedenza.

Avviso

JAMF supporta smart computer Gruppi che consentono la distribuzione, ad esempio profili di configurazione o criteri in tutti i computer che corrispondono a determinati criteri valutati in modo dinamico. Si tratta di un concetto potente ampiamente usato per la distribuzione dei profili di configurazione.

Tenere tuttavia presente che questi criteri non devono includere la presenza di Defender in un computer. Sebbene l'uso di questo criterio possa sembrare logico, crea problemi difficili da diagnosticare.

Defender si basa su tutti questi profili al momento della sua installazione. La creazione di profili di configurazione a seconda della presenza di Defender ritarda in modo efficace la distribuzione dei profili di configurazione e genera un prodotto inizialmente non integro e/o richiede l'approvazione manuale di determinate autorizzazioni dell'applicazione, altrimenti approvate automaticamente dai profili.

La distribuzione di un criterio con il pacchetto di Microsoft Defender dopo la distribuzione dei profili di configurazione garantisce l'esperienza migliore dell'utente finale, perché tutte le configurazioni necessarie verranno applicate prima dell'installazione del pacchetto.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.