Configurar o Microsoft Defender para Endpoint em políticas macOS no Jamf Pro
Aplica-se a:
- Defender para Endpoint no Mac
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Utilize este artigo para configurar políticas para o Defender para Endpoint no Mac com o Jamf Pro.
Passo 1: Obter o pacote de integração do Microsoft Defender para Endpoint
No Microsoft Defender XDR, navegue para Definições > Pontos Finais > Inclusão.
Selecione macOS como o sistema operativo e Gestão de Dispositivos Móveis/Microsoft Intune como método de implementação.
Selecione Transferir pacote de inclusão (WindowsDefenderATPOnboardingPackage.zip).
Extrair
WindowsDefenderATPOnboardingPackage.zip
.Copie o ficheiro para a sua localização preferida. Por exemplo,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist
.
Passo 2: criar um perfil de configuração no Jamf Pro com o pacote de inclusão
Localize o ficheiro
WindowsDefenderATPOnboarding.plist
da secção anterior.Inicie sessão no Jamf Pro, navegue paraPerfis de Configuração de Computadores> e selecione Novo.
Introduza os seguintes detalhes no separador Geral :
-
Nome:
MDE onboarding for macOS
-
Descrição:
MDE EDR onboarding for macOS
-
Categoria:
None
-
Método de Distribuição:
Install Automatically
-
Nível:
Computer Level
-
Nome:
Navegue para a aplicação & página Definições Personalizadas , selecione Carregar e, em seguida, selecione Adicionar.
Selecione Carregar Ficheiro (ficheiro PLIST) e, em seguida, em Domínio de Preferência, escreva
com.microsoft.wdav.atp
.Selecione Abrir e selecione o ficheiro de inclusão.
Selecione Carregar.
Selecione o separador Âmbito .
Selecione os computadores de destino.
Selecione Salvar.
Selecione Concluído.
Passo 3: Configurar as definições do Microsoft Defender para Endpoint
Neste passo, vamos ver Preferências para que possa configurar políticas antimalware e EDR com o portal XDR do Microsoft Defender (https://security.microsoft.com) ou o JamF.
Importante
As políticas de Gestão de Definições de Segurança do Microsoft Defender para Endpoint têm precedência sobre as políticas de conjunto de JamF (e outras MDM de terceiros).
3a. Definir políticas com o portal do Microsoft Defender
Siga as orientações em Configurar o Microsoft Defender para Endpoint no Intune antes de definir as políticas de segurança com o Microsoft Defender.
No portal do Microsoft Defender, aceda a Gestão> de configuraçãoPolíticas de segurança de ponto final Políticas>>macCriar nova política.
Em Selecionar Plataforma, selecione macOS.
Em Selecionar Modelo, selecione um modelo e selecione Criar Política.
Especifique um nome e uma descrição para a política e, em seguida, selecione Seguinte.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Para obter mais informações sobre a gestão das definições de segurança, consulte os seguintes artigos:
Gerir o Microsoft Defender para Endpoint em dispositivos com o Microsoft Intune
Gerir definições de segurança para Windows, macOS e Linux nativamente no Defender para Endpoint
3b. Definir políticas com o JamF
Pode utilizar a GUI do JAMF Pro para editar definições individuais da configuração do Microsoft Defender para Endpoint ou utilizar o método legado ao criar uma Plist de configuração num editor de texto e carregá-la para o JAMF Pro.
Tenha em atenção que tem de utilizar exatamente com.microsoft.wdav
como o Domínio de Preferência; O Microsoft Defender para Endpoint utiliza apenas este nome e com.microsoft.wdav.ext
para carregar as definições geridas.
(A com.microsoft.wdav.ext
versão pode ser utilizada em casos raros quando prefere utilizar o método GUI, mas também precisa de configurar uma definição que ainda não foi adicionada ao esquema.)
Método GUI
Transfira schema.json ficheiro do repositório do GitHub do Defender e guarde-o num ficheiro local:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
Crie um novo perfil de configuração. Em Computadores, aceda a Perfis de Configuração e, em seguida, especifique os seguintes detalhes no separador Geral :
-
Nome:
MDATP MDAV configuration settings
-
Descrição:
<blank\>
-
Categoria:
None (default)
-
Nível:
Computer Level (default)
-
Método de Distribuição:
Install Automatically (default)
-
Nome:
Desloque-se para baixo até ao separador Aplicação & Definições Personalizadas , selecione Aplicações Externas, selecione Adicionar e, em seguida, utilize Esquema Personalizado como a origem do domínio de preferência.
Escreva
com.microsoft.wdav
para o Domínio de Preferência, selecione Adicionar Esquema e, em seguida, carregue oschema.json
ficheiro transferido no Passo 1. Selecione Salvar.Pode ver todas as definições de configuração suportadas do Microsoft Defender para Endpoint em Propriedades de Domínio de Preferência. Selecione Adicionar/Remover propriedades para selecionar as definições que pretende que sejam geridas e, em seguida, selecione OK para guardar as alterações. (As definições não selecionadas não são incluídas na configuração gerida, um utilizador final pode configurar essas definições nos respetivos computadores.)
Altere os valores das definições para os valores pretendidos. Pode selecionar Mais informações para obter documentação para uma determinada definição. (Pode selecionar Pré-visualização do Plist para inspecionar o aspeto do plist de configuração. Selecione Editor de formulários para regressar ao editor de elementos visuais.)
Selecione o separador Âmbito .
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Verá o novo Perfil de configuração.
O Microsoft Defender para Endpoint adiciona novas definições ao longo do tempo. Estas novas definições são adicionadas ao esquema e é publicada uma nova versão no GitHub. Para obter atualizações, transfira um esquema atualizado e edite o perfil de configuração existente. No separador Application & Custom Settings (Definições Personalizadas ), selecione Edit schema (Editar esquema).
Método legado
Utilize as seguintes definições de configuração do Microsoft Defender para Endpoint:
enableRealTimeProtection
passiveMode
Observação
Não ativado por predefinição, se estiver a planear executar um antivírus de terceiros para macOS, defina-o como
true
.exclusions
excludedPath
excludedFileExtension
excludedFileName
exclusionsMergePolicy
allowedThreats
Observação
O EICAR está no exemplo, se estiver a passar por uma prova de conceito, remova-o especialmente se estiver a testar o EICAR.
disallowedThreatActions
potentially_unwanted_application
archive_bomb
cloudService
automaticSampleSubmission
tags
hideStatusMenuIcon
Para obter informações, veja Lista de propriedades do perfil de configuração completo JAMF.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
Guarde o ficheiro como
MDATP_MDAV_configuration_settings.plist
.No dashboard do Jamf Pro, abra Computadores e os respetivos Perfis de Configuração. Selecione Novo e mude para o separador Geral .
Introduza os seguintes detalhes no separador Geral :
-
Nome:
MDATP MDAV configuration settings
-
Descrição:
<blank>
-
Categoria:
None (default)
-
Método de Distribuição:
Install Automatically (default)
-
Nível:
Computer Level (default)
-
Nome:
Em Aplicação & Definições Personalizadas, selecione Configurar.
Selecione Carregar Ficheiro (ficheiro PLIST).
Em Domínio de Preferências, escreva
com.microsoft.wdav
e, em seguida, selecione Carregar Ficheiro PLIST.Selecione Escolher Ficheiro.
Selecione o MDATP_MDAV_configuration_settings.plist e, em seguida, selecione Abrir.
Selecione Carregar.
Selecione Salvar.
O ficheiro é carregado.
Selecione o separador Âmbito .
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Verá o novo Perfil de configuração.
Passo 4: configurar as definições de notificações
Estes passos são aplicáveis no macOS 11 (Big Sur) ou posterior.
No dashboard do Jamf Pro, selecione Computadores e, em seguida, Perfis de Configuração.
Selecione Novo e introduza os seguintes detalhes no separador Geral para Opções:
Nome:
MDATP MDAV Notification settings
Descrição:
macOS 11 (Big Sur) or later
Categoria:
None *(default)*
Método de Distribuição:
Install Automatically *(default)*
Nível:
Computer Level *(default)*
Notificações de Separador, selecione Adicionar e introduza os seguintes valores:
ID do Pacote:
com.microsoft.wdav.tray
Alertas Críticos: selecione Desativar
Notificações: selecione Ativar
Tipo de alerta de faixa: selecione Incluir e Temporário(predefinição)
Notificações no ecrã de bloqueio: selecione Ocultar
Notificações no Centro de Notificações: selecione Ecrã
Ícone da aplicação distintivo: Selecionar Ecrã
Notificações de Separador, selecione Adicionar mais uma vez, desloque-se para baixo até Novas Definições de Notificações
ID do Pacote:
com.microsoft.autoupdate.fba
Configurar o resto das definições para os mesmos valores mencionados anteriormente
Tenha em atenção que agora tem duas tabelas com configurações de notificação, uma para o ID do Pacote: com.microsoft.wdav.tray e outra para o ID do Pacote: com.microsoft.autoupdate.fba. Embora possa configurar as definições de alerta de acordo com os seus requisitos, os IDs do Pacote têm de ser exatamente iguais aos descritos anteriormente e o comutador Incluir tem de estar Ativado para Notificações.
Selecione o separador Âmbito e, em seguida, selecione Adicionar.
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Deverá ver o novo Perfil de configuração.
Passo 5: Configurar o Microsoft AutoUpdate (MAU)
Utilize as seguintes definições de configuração do Microsoft Defender para Endpoint:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
Guarde-o como
MDATP_MDAV_MAU_settings.plist
.No dashboard do Jamf Pro, selecione Geral.
Introduza os seguintes detalhes no separador Geral :
-
Nome:
MDATP MDAV MAU settings
-
Descrição:
Microsoft AutoUpdate settings for MDATP for macOS
-
Categoria:
None (default)
-
Método de Distribuição:
Install Automatically (default)
-
Nível:
Computer Level (default)
-
Nome:
Em Aplicação & Definições Personalizadas , selecione Configurar.
Selecione Carregar Ficheiro (ficheiro PLIST).
Em Domínio de Preferência, escreva
com.microsoft.autoupdate2
e, em seguida, selecione Carregar Ficheiro PLIST.Selecione Escolher Ficheiro.
Selecione MDATP_MDAV_MAU_settings.plist.
Selecione Salvar.
Selecione o separador Âmbito .
Selecione Adicionar.
Selecione Concluído.
Passo 6: Conceder acesso total ao disco ao Microsoft Defender para Endpoint
No dashboard do Jamf Pro, selecione Perfis de Configuração.
Selecione + Novo.
Introduza os seguintes detalhes no separador Geral :
-
Nome:
MDATP MDAV - grant Full Disk Access to EDR and AV
-
Descrição:
On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
-
Categoria:
None
-
Método de distribuição:
Install Automatically
-
Nível:
Computer level
-
Nome:
Em Configurar Preferências de Privacidade Controlo de Política , selecione Configurar.
Em Controlo de Política de Preferências de Privacidade, introduza os seguintes detalhes:
-
Identificador:
com.microsoft.wdav
-
Tipo de Identificador:
Bundle ID
-
Requisito de Código:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
Identificador:
Selecione + Adicionar.
- Em Aplicação ou serviço, selecione SystemPolicyAllFiles.
- Em Acesso, selecione Permitir.
Selecione Guardar (não o da parte inferior direita).
Selecione o
+
sinal junto a Acesso à Aplicação para adicionar uma nova entrada.Introduza os seguintes detalhes:
-
Identificador:
com.microsoft.wdav.epsext
-
Tipo de Identificador:
Bundle ID
-
Requisito de Código:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
-
Identificador:
Selecione + Adicionar.
- Em Aplicação ou serviço, selecione SystemPolicyAllFiles.
- Em Acesso, selecione Permitir.
Selecione Guardar (não o da parte inferior direita).
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos de Computadores e, em Nome do Grupo, selecione MachineGroup da Contoso.
Selecione Adicionar.
Selecione Salvar.
Selecione Concluído.
Em alternativa, pode transferir fulldisk.mobileconfig e carregá-lo para perfis de configuração JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Observação
O Acesso Total ao Disco concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Acesso Total ao Disco.
Passo 7: Aprovar extensões de sistema para o Microsoft Defender para Endpoint
Nos Perfis de Configuração, selecione + Novo.
Introduza os seguintes detalhes no separador Geral :
-
Nome:
MDATP MDAV System Extensions
-
Descrição:
MDATP system extensions
-
Categoria:
None
-
Método de Distribuição:
Install Automatically
-
Nível:
Computer Level
-
Nome:
Em Extensões do Sistema , selecione Configurar.
Em Extensões do Sistema, introduza os seguintes detalhes:
-
Nome a Apresentar:
Microsoft Corp. System Extensions
-
Tipos de Extensão do Sistema:
Allowed System Extensions
-
Identificador de Equipa:
UBF8T346G9
-
Extensões de Sistema Permitidas:
com.microsoft.wdav.epsext
com.microsoft.wdav.netext
-
Nome a Apresentar:
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos> de Computadores em Nome> do Grupo, selecione Grupo de Máquinas da Contoso.
Selecione + Adicionar.
Selecione Salvar.
Selecione Concluído.
Passo 8: Configurar a Extensão de Rede
Como parte das capacidades de Deteção e Resposta de Pontos Finais, o Microsoft Defender para Endpoint no macOS inspeciona o tráfego do socket e reporta estas informações ao portal do Microsoft Defender. A seguinte política permite que a extensão de rede execute esta funcionalidade.
Estes passos são aplicáveis no macOS 11 (Big Sur) ou posterior.
No dashboard do Jamf Pro, selecione Computadores e, em seguida, Perfis de Configuração.
Selecione Novo e introduza os seguintes detalhes para Opções:
Separador Geral:
-
Nome:
Microsoft Defender Network Extension
-
Descrição:
macOS 11 (Big Sur) or later
-
Categoria:
None *(default)*
-
Método de Distribuição:
Install Automatically *(default)*
-
Nível:
Computer Level *(default)*
-
Nome:
Filtro de Conteúdo do Separador:
-
Nome do Filtro:
Microsoft Defender Content Filter
-
Identificador:
com.microsoft.wdav
- Deixe o Endereço do Serviço, Organização, Nome de Utilizador, Palavra-passe, Certificado em branco (Incluirnão está selecionado)
-
Ordem de Filtro:
Inspector
-
Filtro de Socket:
com.microsoft.wdav.netext
-
Requisito Designado do Filtro de Socket:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Deixe os campos filtro de rede em branco (Incluirnão está selecionado)
Tenha em atenção que os valores exatos Identificador, Filtro de Socket e Requisito Designado do Filtro de Socket , conforme especificado acima.
-
Nome do Filtro:
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos> de Computadores em Nome> do Grupo, selecione Grupo de Máquinas da Contoso.
Selecione + Adicionar.
Selecione Salvar.
Selecione Concluído.
Em alternativa, pode transferir netfilter.mobileconfig e carregá-lo para Perfis de Configuração do JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Passo 9: Configurar os Serviços em Segundo Plano
Cuidado
O macOS 13 (Ventura) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem ser executadas em segundo plano sem consentimento explícito. O Microsoft Defender para Endpoint tem de executar o respetivo processo de daemon em segundo plano.
Este perfil de configuração concede permissões de Serviço em Segundo Plano ao Microsoft Defender para Endpoint. Se tiver configurado anteriormente o Microsoft Defender para Endpoint através do JAMF, recomendamos que atualize a implementação com este perfil de configuração.
Transfira background_services.mobileconfig a partir do nosso repositório do GitHub.
Carregue o mobileconfig transferido para perfis de configuração JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Passo 10: Conceder Permissões Bluetooth
Cuidado
O macOS 14 (Sonoma) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem aceder a Bluetooth sem consentimento explícito. O Microsoft Defender para Endpoint utiliza-o se configurar políticas Bluetooth para Controlo de Dispositivos.
Transfira bluetooth.mobileconfig a partir do repositório do GitHub.
Aviso
A versão atual do JAMF Pro ainda não suporta este tipo de payload. Se carregar esta configuração móvel tal como está, o JAMF Pro removerá o payload não suportado e não será aplicado aos computadores cliente. Primeiro tem de assinar mobileconfig transferido, depois desse JAMF Pro irá considerá-lo "selado" e não irá adulterar o mesmo. Veja as instruções abaixo:
Tem de ter, pelo menos, um certificado de assinatura instalado no KeyChain, até mesmo um certificado autoassinado funciona. Pode inspecionar o que tem com:
> /usr/bin/security find-identity -p codesigning -v 1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert" 2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)" 3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)" 4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)" 4 valid identities found
Escolha qualquer um deles e forneça o texto citado como o parâmetro -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
Agora, pode carregar o bluetooth-signed.mobileconfig gerado para o JAMF Pro, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Observação
O Bluetooth concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Bluetooth.
Passo 11: Agendar análises com o Microsoft Defender para Endpoint no macOS
Siga as instruções em Agendar análises com o Microsoft Defender para Endpoint no macOS.
Passo 12: Implementar o Microsoft Defender para Endpoint no macOS
Observação
Nos passos seguintes, o nome do .pkg
ficheiro e os valores de Nome a Apresentar são exemplos. Nestes exemplos, 200329
representa a data em que o pacote e a política foram criados (no yymmdd
formato) e v100.86.92
representa a versão da aplicação Microsoft Defender que está a ser implementada.
Estes valores devem ser atualizados de acordo com a convenção de nomenclatura que utiliza no seu ambiente para Pacotes e Políticas.
Navegue para onde guardou
wdav.pkg
.Mude o nome para
wdav_MDM_Contoso_200329.pkg
.Abra o dashboard do Jamf Pro.
Selecione o seu computador, selecione o ícone de engrenagem na parte superior e, em seguida, selecione Gestão de Computadores.
Em Pacotes, selecione + Novo.
No separador Geral, introduza os seguintes detalhes em Novo Pacote:
- Nome a Apresentar: deixe-o em branco por enquanto. Porque é reposto quando escolhe o seu pkg.
-
Categoria:
None (default)
-
Nome do ficheiro:
Choose File
Abra o ficheiro e aponte-o para
wdav.pkg
ouwdav_MDM_Contoso_200329.pkg
.Selecione Abrir. Defina o Nome a Apresentar como Proteção Avançada Contra Ameaças do Microsoft Defender e Antivírus do Microsoft Defender.
- O Ficheiro de Manifesto não é necessário. O Microsoft Defender para Endpoint funciona sem o Ficheiro de Manifesto.
- Separador Opções: mantenha os valores predefinidos.
- Separador Limitações: mantenha os valores predefinidos.
Selecione Salvar. O pacote é carregado para o Jamf Pro.
O pacote pode demorar alguns minutos a estar disponível para implementação.
Navegue para a página Políticas .
Selecione + Novo para criar uma nova política.
Em Geral, para o Nome a apresentar, utilize
MDATP Onboarding Contoso 200329 v100.86.92 or later
.Selecione Entrada Periódica.
Selecione Salvar.
Selecione ConfigurarPacotes>.
Selecione o botão Adicionar junto a Proteção Avançada Contra Ameaças do Microsoft Defender e Antivírus do Microsoft Defender.
Selecione Salvar.
Crie um grupo inteligente para computadores com perfis do Microsoft Defender.
Para uma melhor experiência de utilizador, os perfis de configuração dos computadores inscritos têm de ser instalados antes do pacote do Microsoft Defender. Na maioria dos casos, o JAMF Pro emite imediatamente perfis de configuração e essas políticas são executadas após algum tempo (ou seja, durante a entrada). No entanto, em alguns casos, a implementação de perfis de configuração pode ser implementada com um atraso significativo (ou seja, se o computador de um utilizador estiver bloqueado).
O JAMF Pro fornece uma forma de garantir a ordem correta. Pode criar um grupo inteligente para computadores que já receberam o perfil de configuração do Microsoft Defender e instalar o pacote do Microsoft Defender apenas nesses computadores (e assim que receberem este perfil).
Siga estas etapas:
Crie um grupo inteligente. Numa nova janela do browser, abra Grupos de Computadores Inteligentes.
Selecione Novo e dê um nome ao seu grupo.
No separador Critérios , selecione Adicionar e, em seguida, selecione Mostrar Critérios Avançados.
Selecione Nome do Perfil como critério e utilize o nome de um perfil de configuração criado anteriormente como o valor:
Selecione Salvar.
Volte à janela onde configura uma política de pacote.
Selecione o separador Âmbito .
Selecione os computadores de destino.
Em Âmbito, selecione Adicionar.
Mude para o separador Grupos de Computadores . Localize o grupo inteligente que criou e, em seguida, selecione Adicionar.
Se quiser que os utilizadores instalem o Defender para Endpoint voluntariamente (ou a pedido), selecione Self-Service.
Selecione Concluído.
Âmbito do perfil de configuração
O JAMF requer que defina um conjunto de máquinas para um perfil de configuração. Tem de se certificar de que todas as máquinas que recebem o pacote do Defender também recebem todos os perfis de configuração listados acima.
Aviso
O JAMF suporta Grupos de Computadores Inteligentes que permitem a implementação, como perfis de configuração ou políticas para todos os computadores que correspondam a determinados critérios avaliados dinamicamente. É um conceito poderoso que é amplamente utilizado para a distribuição de perfis de configuração.
No entanto, tenha em atenção que estes critérios não devem incluir a presença do Defender num computador. Embora a utilização deste critério possa parecer lógica, cria problemas difíceis de diagnosticar.
O Defender baseia-se em todos estes perfis no momento da instalação. Criar perfis de configuração consoante a presença do Defender atrasa efetivamente a implementação de perfis de configuração e resulta num produto inicialmente em mau estado de funcionamento e/ou pedidos de aprovação manual de determinadas permissões de aplicação, que de outra forma são aprovados automaticamente pelos perfis.
Implementar uma política com o pacote do Microsoft Defender após implementar perfis de configuração garante a melhor experiência do utilizador final, uma vez que todas as configurações necessárias serão aplicadas antes da instalação do pacote.
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de