Implementação com um sistema de Gestão de Dispositivos Móvel (MDM) diferente para Microsoft Defender para Endpoint no macOS
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Pré-requisitos e requisitos de sistema
Antes de começar, consulte o Microsoft Defender para Endpoint principal na página do macOS para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.
Abordagem
Atenção
Atualmente, a Microsoft suporta oficialmente apenas Intune e JAMF para a implementação e gestão de Microsoft Defender para Endpoint no macOS. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações fornecidas abaixo.
Se a sua organização utilizar uma solução de Gestão de Dispositivos Móvel (MDM) que não é oficialmente suportada, isso não significa que não possa implementar ou executar Microsoft Defender para Endpoint no macOS.
Microsoft Defender para Endpoint no macOS não dependem de funcionalidades específicas do fornecedor. Pode ser utilizada com qualquer solução de MDM que suporte as seguintes funcionalidades:
- Implemente um .pkg macOS em dispositivos geridos.
- Implementar perfis de configuração do sistema macOS em dispositivos geridos.
- Execute uma ferramenta/script arbitrário configurado pelo administrador em dispositivos geridos.
A maioria das soluções de MDM modernas incluem estas funcionalidades, no entanto, podem chamá-las de forma diferente.
No entanto, pode implementar o Defender para Endpoint sem o último requisito da lista anterior:
- Não poderá recolher o estado de forma centralizada.
- Se decidir desinstalar o Defender para Endpoint, terá de iniciar sessão no dispositivo cliente localmente como administrador.
Implementação
A maioria das soluções MDM utiliza o mesmo modelo para gerir dispositivos macOS, com terminologia semelhante. Utilize a implementação baseada em JAMF como um modelo.
Pacote
Configure a implementação de um pacote de aplicação necessário, com o pacote de instalação (wdav.pkg) transferido do portal Microsoft Defender.
Aviso
Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.
Para implementar o pacote na sua empresa, utilize as instruções associadas à sua solução mdm.
Definições de licença
Configurar um perfil de configuração do sistema.
A sua solução mdm pode chamar-lhe algo como "Perfil de Definições Personalizadas", uma vez que Microsoft Defender para Endpoint no macOS não faz parte do macOS.
Utilize a lista de propriedades, jamf/WindowsDefenderATPOnboarding.plist, que pode ser extraída de um pacote de inclusão transferido do portal Microsoft Defender. O seu sistema pode suportar uma lista de propriedades arbitrária no formato XML. Pode carregar o ficheiro jamf/WindowsDefenderATPOnboarding.plist tal como está nesse caso. Em alternativa, pode exigir que converta primeiro a lista de propriedades num formato diferente.
Normalmente, o seu perfil personalizado tem um ID, nome ou atributo de domínio. Tem de utilizar exatamente "com.microsoft.wdav.atp" para este valor. A MDM utiliza-o para implementar o ficheiro de definições em /Library/Managed Preferences/com.microsoft.wdav.atp.plist num dispositivo cliente e o Defender para Endpoint utiliza este ficheiro para carregar as informações de integração.
Perfis de configuração do sistema
O macOS requer que um utilizador aprove manual e explicitamente determinadas funções que uma aplicação utiliza, por exemplo, extensões de sistema, em execução em segundo plano, envio de notificações, acesso total ao disco, etc. Microsoft Defender para Endpoint depende destas funções e não pode funcionar corretamente até que todos estes consentimentos sejam recebidos de um utilizador.
Para conceder consentimento automaticamente em nome de um utilizador, um administrador envia políticas de sistema através do sistema MDM. Isto é o que recomendamos vivamente fazer, em vez de depender das aprovações manuais dos utilizadores finais.
Fornecemos todas as políticas que Microsoft Defender para Endpoint requer como ficheiros mobileconfig disponíveis em https://github.com/microsoft/mdatp-xplat. Mobileconfig é um formato de importação/exportação da Apple que o Apple Configurator ou outros produtos como o iMazing Profile Revisor suportam.
A maioria dos fornecedores de MDM suporta a importação de um ficheiro de configuração móvel, criando um novo perfil de configuração personalizado.
Para configurar perfis:
- Saiba como é feita uma importação de mobileconfig com o seu fornecedor de MDM.
- Para todos os perfis do https://github.com/microsoft/mdatp-xplat, transfira um ficheiro mobileconfig e importe-o.
- Atribua o âmbito adequado para cada perfil de configuração criado.
Tenha em atenção que a Apple cria regularmente novos tipos de payloads com novas versões do SO. Terá de visitar a página mencionada acima e publicar novos perfis assim que estes ficarem disponíveis. Publicamos notificações na nossa página Novidades assim que fizermos alterações semelhantes.
Verificar o estado da instalação
Execute Microsoft Defender para Endpoint num dispositivo cliente para verificar o estado de inclusão.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de