Implantação com um sistema MDM (mobile Gerenciamento de Dispositivos) diferente para Microsoft Defender para Ponto de Extremidade no macOS

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Pré-requisitos e requisitos do sistema

Antes de começar, consulte o main Microsoft Defender para Ponto de Extremidade na página macOS para obter uma descrição dos pré-requisitos e dos requisitos do sistema para a versão de software atual.

Abordagem

Cuidado

Atualmente, a Microsoft dá suporte oficialmente apenas a Intune e JAMF para a implantação e o gerenciamento de Microsoft Defender para Ponto de Extremidade no macOS. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas abaixo.

Se sua organização usa uma solução MDM (Mobile Gerenciamento de Dispositivos) que não tem suporte oficial, isso não significa que você não pode implantar ou executar Microsoft Defender para Ponto de Extremidade no macOS.

Microsoft Defender para Ponto de Extremidade no macOS não depende de nenhum recurso específico do fornecedor. Ele pode ser usado com qualquer solução MDM que dê suporte aos seguintes recursos:

• Implantar um .pkg do macOS em dispositivos gerenciados.
• Implantar perfis de configuração do sistema macOS em dispositivos gerenciados.
• Execute uma ferramenta/script configurado por administrador arbitrário em dispositivos gerenciados.

A maioria das soluções MDM modernas incluem esses recursos, no entanto, eles podem chamá-los de forma diferente.

No entanto, você pode implantar o Defender para Ponto de Extremidade sem o último requisito da lista anterior:

• Você não poderá coletar status de forma centralizada.
• Se você decidir desinstalar o Defender para Ponto de Extremidade, precisará fazer logon no dispositivo cliente localmente como administrador.

Implantação

A maioria das soluções de MDM usa o mesmo modelo para gerenciar dispositivos macOS, com terminologia semelhante. Use a implantação baseada em JAMF como modelo.

Pacote

Configure a implantação de um pacote de aplicativo necessário, com o pacote de instalação (wdav.pkg) baixado de Microsoft Defender portal.

Aviso

Reempacotar o pacote de instalação do Defender para Ponto de Extremidade não é um cenário com suporte. Isso pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a disparar alertas de adulteração e atualizações que não se aplicam.

Para implantar o pacote em sua empresa, use as instruções associadas à sua solução MDM.

Configurações de licença

Configure um perfil de configuração do sistema.

Sua solução MDM pode chamá-la de "Perfil de Configurações Personalizadas", já que Microsoft Defender para Ponto de Extremidade no macOS não faz parte do macOS.

Use a lista de propriedades, jamf/WindowsDefenderATPOnboarding.plist, que pode ser extraída de um pacote de integração baixado de Microsoft Defender portal. Seu sistema pode dar suporte a uma lista de propriedades arbitrárias no formato XML. Você pode carregar o arquivo jamf/WindowsDefenderATPOnboarding.plist como está nesse caso. Como alternativa, pode exigir que você converta a lista de propriedades em um formato diferente primeiro.

Normalmente, seu perfil personalizado tem um atributo ID, nome ou domínio. Você deve usar exatamente "com.microsoft.wdav.atp" para esse valor. O MDM o usa para implantar o arquivo de configurações em /Library/Managed Preferences/com.microsoft.wdav.atp.plist em um dispositivo cliente, e o Defender para Ponto de Extremidade usa esse arquivo para carregar as informações de integração.

Perfis de configuração do sistema

O macOS exige que um usuário aprove manual e explicitamente determinadas funções que um aplicativo usa, por exemplo, extensões de sistema, em segundo plano, envio de notificações, acesso completo ao disco etc. Microsoft Defender para Ponto de Extremidade depende dessas funções e não pode funcionar corretamente até que todos esses consentimentos sejam recebidos de um usuário.

Para conceder o consentimento automaticamente em nome de um usuário, um administrador empurra as políticas do sistema por meio do sistema MDM. Isso é o que recomendamos fazer fortemente, em vez de confiar em aprovações manuais de usuários finais.

Fornecemos todas as políticas que Microsoft Defender para Ponto de Extremidade requer como arquivos de configuração móvel disponíveis em https://github.com/microsoft/mdatp-xplat. A configuração móvel é um formato de importação/exportação da Apple que o Apple Configurator ou outros produtos, como o iMazing Profile Editor suporte.

A maioria dos fornecedores de MDM dá suporte à importação de um arquivo de configuração móvel que cria um novo perfil de configuração personalizado.

Para configurar perfis:

1. Descubra como uma importação de configuração móvel é feita com seu fornecedor MDM.
2. Para todos os perfis de https://github.com/microsoft/mdatp-xplat, baixe um arquivo de configuração móvel e importe-o.
3. Atribua o escopo adequado para cada perfil de configuração criado.

Observe que a Apple cria regularmente novos tipos de cargas com novas versões de um sistema operacional. Você precisará visitar a página mencionada acima e publicar novos perfis depois que eles estiverem disponíveis. Postamos notificações em nossa página Novidades depois de fazer alterações assim.

Configurações de configuração do Defender para Ponto de Extremidade

Para implantar Microsoft Defender para Ponto de Extremidade configuração, você precisa de um perfil de configuração.

As etapas a seguir mostram como aplicar e verificar a aplicação de um perfil de configuração.

1. O MDM implanta o perfil de configuração em computadores registrados Você pode exibir perfis em Perfis de Configurações > do Sistema. Procure o nome usado para Microsoft Defender para Ponto de Extremidade perfil de configuração. Se você não vir, consulte a documentação do MDM para obter dicas de solução de problemas.

2. O perfil de configuração aparece no arquivo correto

Microsoft Defender para Ponto de Extremidade leituras /Library/Managed Preferences/com.microsoft.wdav.plist e /Library/Managed Preferences/com.microsoft.wdav.ext.plist arquivos. Ele usa apenas esses dois arquivos para configurações gerenciadas.

Se você não puder ver esses arquivos, mas verificou que os perfis foram entregues (consulte a seção anterior), isso significa que seus perfis estão configurados incorretamente. Você fez esse perfil de configuração "Nível de Usuário" em vez de "Nível de Computador", ou usou um Domínio de Preferência diferente em vez daqueles que Microsoft Defender para Ponto de Extremidade espera ("com.microsoft.wdav" e "com.microsoft.wdav.ext").

Consulte a documentação do MDM para saber como configurar perfis de configuração do aplicativo.

3. O perfil de configuração contém a estrutura esperada

Essa etapa pode ser complicada de verificar. Microsoft Defender para Ponto de Extremidade espera com.microsoft.wdav.plist com uma estrutura estrita. Se você colocar configurações em um lugar inesperado ou espelá-las incorretamente ou usar um tipo inválido, as configurações serão ignoradas silenciosamente.

1. Você pode marcar mdatp health e confirmar se as configurações configuradas são relatadas como [managed].
2. Você pode inspecionar o conteúdo e /Library/Managed Preferences/com.microsoft.wdav.plist verificar se ele corresponde às configurações esperadas:

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Você pode usar a estrutura de perfil de configuração documentada como diretriz.

Este artigo explica que "antivírusEngine", "edr", "tamperProtection" são configurações no nível superior do arquivo de configuração. E, por exemplo, "scanHistoryMaximumItems" estão no segundo nível e são do tipo inteiro.

Você deve ver essas informações na saída do comando anterior. Se você descobriu que "antivírusEngine" está aninhado em alguma outra configuração - o perfil será configurado incorretamente. Se você puder ver "antivírusengine" em vez de "antivírusEngine", o nome será escrito incorretamente e toda a subconsulta de configurações será ignorada. Se "scanHistoryMaximumItems" => "10000", o tipo errado for usado e a configuração for ignorada.

Verifique se todos os perfis estão implantados

Você pode baixar e executar analyze_profiles.py. Esse script coletará e analisará todos os perfis implantados em um computador e avisará sobre os perdidos. Observe que ele pode perder alguns erros e não está ciente de algumas decisões de design que os administradores do sistema estão tomando deliberadamente. Use este script para obter diretrizes, mas sempre investigue se você vê algo marcado como um erro. Por exemplo, o guia de integração informa que você implantará um perfil de configuração para integrar o blob. No entanto, algumas organizações decidem executar o script de integração manual. analyze_profile.py avisa sobre o perfil perdido. Você pode decidir integrar por meio do perfil de configuração ou ignorar completamente o aviso.

Verificar status de instalação

Execute Microsoft Defender para Ponto de Extremidade em um dispositivo cliente para marcar o status de integração.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.