Distribuzione con un sistema MDM (Mobile Gestione dispositivi) diverso per Microsoft Defender per endpoint in macOS
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Prerequisiti e requisiti di sistema
Prima di iniziare, vedere la pagina principale Microsoft Defender per endpoint in macOS per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.
Approccio
Attenzione
Attualmente, Microsoft supporta ufficialmente solo Intune e JAMF per la distribuzione e la gestione di Microsoft Defender per endpoint in macOS. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni fornite di seguito.
Se l'organizzazione usa una soluzione MDM (Mobile Gestione dispositivi) che non è ufficialmente supportata, ciò non significa che non è possibile distribuire o eseguire Microsoft Defender per endpoint in macOS.
Microsoft Defender per endpoint in macOS non dipende da alcuna funzionalità specifica del fornitore. Può essere usato con qualsiasi soluzione MDM che supporta le funzionalità seguenti:
- Distribuire un .pkg macOS nei dispositivi gestiti.
- Distribuire i profili di configurazione del sistema macOS nei dispositivi gestiti.
- Eseguire uno script/strumento configurato dall'amministratore arbitrario nei dispositivi gestiti.
La maggior parte delle soluzioni MDM moderne include queste funzionalità, tuttavia possono chiamarle in modo diverso.
È tuttavia possibile distribuire Defender per endpoint senza l'ultimo requisito dall'elenco precedente:
- Non sarà possibile raccogliere lo stato in modo centralizzato.
- Se si decide di disinstallare Defender per endpoint, sarà necessario accedere al dispositivo client in locale come amministratore.
Distribuzione
La maggior parte delle soluzioni MDM usa lo stesso modello per la gestione dei dispositivi macOS, con una terminologia simile. Usare la distribuzione basata su JAMF come modello.
Pacchetto
Configurare la distribuzione di un pacchetto dell'applicazione richiesto, con il pacchetto di installazione (wdav.pkg) scaricato dal portale di Microsoft Defender.
Avviso
Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.
Per distribuire il pacchetto nell'organizzazione, usare le istruzioni associate alla soluzione MDM.
Impostazioni di licenza
Configurare un profilo di configurazione del sistema.
La soluzione MDM può chiamarla come "Profilo impostazioni personalizzate", perché Microsoft Defender per endpoint in macOS non fa parte di macOS.
Usa l'elenco delle proprietà jamf/WindowsDefenderATPOnboarding.plist, che può essere estratto da un pacchetto di onboarding scaricato da Microsoft Defender portale. Il sistema potrebbe supportare un elenco di proprietà arbitrario in formato XML. È possibile caricare il file jamf/WindowsDefenderATPOnboarding.plist così come è in questo caso. In alternativa, potrebbe essere necessario convertire prima l'elenco delle proprietà in un formato diverso.
In genere, il profilo personalizzato ha un ID, un nome o un attributo di dominio. È necessario usare esattamente "com.microsoft.wdav.atp" per questo valore. MDM lo usa per distribuire il file di impostazioni in /Library/Managed Preferences/com.microsoft.wdav.atp.plist in un dispositivo client e Defender per endpoint usa questo file per caricare le informazioni di onboarding.
Profili di configurazione del sistema
macOS richiede che un utente approvi manualmente ed esplicitamente determinate funzioni usate da un'applicazione, ad esempio estensioni di sistema, in esecuzione in background, invio di notifiche, accesso completo al disco e così via. Microsoft Defender per endpoint si basa su queste funzioni e non può funzionare correttamente fino a quando tutti questi consensi non vengono ricevuti da un utente.
Per concedere automaticamente il consenso per conto di un utente, un amministratore esegue il push dei criteri di sistema tramite il sistema MDM. Questo è ciò che è consigliabile fare, invece di affidarsi alle approvazioni manuali da parte degli utenti finali.
Vengono forniti tutti i criteri che Microsoft Defender per endpoint richiedono come file mobileconfig disponibili all'indirizzo https://github.com/microsoft/mdatp-xplat. Mobileconfig è un formato di importazione/esportazione di Apple che Apple Configurator o altri prodotti come iMazing Profile Editor supportano.
La maggior parte dei fornitori MDM supporta l'importazione di un file mobileconfig, creando un nuovo profilo di configurazione personalizzato.
Per configurare i profili:
- Scopri come viene eseguita un'importazione mobileconfig con il fornitore MDM.
- Per tutti i profili da https://github.com/microsoft/mdatp-xplat, scaricare un file mobileconfig e importarlo.
- Assegnare l'ambito appropriato per ogni profilo di configurazione creato.
Si noti che Apple crea regolarmente nuovi tipi di payload con nuove versioni del sistema operativo. Dovrai visitare la pagina sopra indicata e pubblicare nuovi profili una volta resi disponibili. Le notifiche vengono inviate alla pagina Novità dopo aver apportato modifiche del genere.
Controllare lo stato dell'installazione
Eseguire Microsoft Defender per endpoint in un dispositivo client per controllare lo stato di onboarding.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per