Partilhar via

Implementar Microsoft Defender para Endpoint no macOS com Microsoft Intune

  • Artigo

Aplica-se a:

Este artigo descreve como implementar Microsoft Defender para Endpoint no macOS através de Microsoft Intune.

Pré-requisitos e requisitos de sistema

Antes de começar, consulte o Microsoft Defender para Endpoint principal na página do macOS para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.

Descrição geral

A tabela seguinte resume os passos para implementar e gerir Microsoft Defender para Endpoint em Macs através de Microsoft Intune. Consulte a tabela seguinte para obter passos mais detalhados:

Passo Nome do ficheiro de exemplo Identificador do pacote
Aprovar a extensão do sistema sysext.mobileconfig N/D
Política de extensão de rede netfilter.mobileconfig N/D
Acesso Total ao Disco fulldisk.mobileconfig com.microsoft.wdav.epsext
Microsoft Defender para Endpoint definições de configuração

Se estiver a planear executar um antivírus que não seja da Microsoft no Mac, defina passiveMode como true.		 MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Serviços em segundo plano background_services.mobileconfig N/D
Configurar notificações de Microsoft Defender para Endpoint notif.mobileconfig com.microsoft.wdav.tray
Definições de acessibilidade accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Configurar o Microsoft AutoUpdate (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Controlo de Dispositivos DeviceControl.mobileconfig N/D
Prevenção de Perda de Dados DataLossPrevention.mobileconfig N/D
Transferir o pacote de inclusão WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Implementar o Microsoft Defender para Endpoint na aplicação macOS Wdav.pkg N/D

Criar perfis de configuração do sistema

O próximo passo consiste em criar perfis de configuração do sistema que Microsoft Defender para Endpoint necessidades. No centro de administração do Microsoft Intune, abraperfis de Configuração de Dispositivos>.

Passo 1: Aprovar extensões do sistema

  1. No Intune centro de administração, aceda a Dispositivos e, em Gerir Dispositivos, selecione Configuração.

  2. Em Perfis de configuração, selecione Criar Perfil.

  3. No separador Políticas , selecione Criar>Nova Política.

  4. Em Plataforma, selecione macOS.

  5. Em Tipo de perfil, selecione Catálogo de definições.

  6. Selecione Criar.

  7. No separador Informações básicas , atribua um nome ao perfil e introduza uma Descrição. Em seguida, selecione Seguinte.

  8. No separador Definições de configuração, selecione + Adicionar definições.

  9. Em Nome do modelo, selecione Extensões.

  10. No seletor Definições, expanda a categoria Configuração do Sistema e, em seguida, selecione Extensões> do SistemaExtensões de Sistema Permitidas:

    Captura de ecrã a mostrar o Seletor de Definições

  11. Feche o seletor definições e, em seguida, selecione + Editar instância.

  12. Configure as seguintes entradas na secção Extensões de sistema permitidas e, em seguida, selecione Seguinte.

    Extensões de Sistema Permitidas Identificador de Equipa
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Captura de ecrã a mostrar as extensões de sistema permitidas

  13. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos ou utilizadores macOS.

  14. Reveja o perfil de configuração. Selecione Criar.

Passo 2: filtro de rede

Como parte das capacidades de Deteção e Resposta de Pontos Finais, Microsoft Defender para Endpoint no macOS inspeciona o tráfego do socket e reporta estas informações ao portal do Microsoft 365 Defender. A seguinte política permite que a extensão de rede execute esta funcionalidade.

Transfira netfilter.mobileconfig a partir do repositório do GitHub.

Importante

Só é suportado um .mobileconfig (plist) para o Filtro de Rede. Adicionar vários Filtros de Rede leva a problemas de conectividade de rede no Mac. Este problema não é específico do Defender para Endpoint no macOS.

Para configurar o filtro de rede:

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, NetFilter-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, NetFilter-prod-macOS-Default-MDE.

  8. Selecione um Canal de implementação e selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração e, em seguida, selecione Seguinte.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  11. Reveja o perfil de configuração. Selecione Criar.

Passo 3: Acesso Total ao Disco

Nota

A partir do macOS Catalina (10.15) ou mais recente, para fornecer privacidade aos utilizadores finais, criou a FDA (Acesso Total ao Disco). Ativar o TCC (Transparência, Consentimento & Controlo) através de uma solução de Gestão de Dispositivos Móvel, como Intune, eliminará o risco de o Defender para Ponto Final perder a Autorização de Acesso Total ao Disco para funcionar corretamente.

Este perfil de configuração concede Acesso Total ao Disco para Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através de Intune, recomendamos que atualize a implementação com este perfil de configuração.

Transfira fulldisk.mobileconfig a partir do repositório do GitHub.

Para configurar o Acesso Total ao Disco:

  1. No centro de administração do Intune, em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado e, em seguida, selecione Criar.

  5. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, FullDiskAccess-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  6. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, FullDiskAccess-prod-macOS-Default-MDE.

  7. Selecione um Canal de implementação e, em seguida, selecione Seguinte.

  8. Selecione um ficheiro de perfil de Configuração.

  9. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  10. Reveja o perfil de configuração. Selecione Criar.

Nota

O Acesso Total ao Disco concedido através do Perfil de Configuração de MDM da Apple não é refletido nas Definições > do Sistema Privacidade & Acesso Total ao Disco de Segurança>.

Passo 4: Serviços em segundo plano

Atenção

O macOS 13 (Ventura) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem ser executadas em segundo plano sem consentimento explícito. Microsoft Defender para Endpoint tem de executar o processo daemon em segundo plano. Este perfil de configuração concede permissões de Serviço em Segundo Plano para Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através de Microsoft Intune, recomendamos que atualize a implementação com este perfil de configuração.

Transfira background_services.mobileconfig a partir do repositório do GitHub.

Para configurar serviços em segundo plano:

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, BackgroundServices-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, backgroundServices-prod-macOS-Default-MDE.

  8. Selecione um Canal de implementação e selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  11. Reveja o perfil de configuração. Selecione Criar.

Passo 5: Notificações

Este perfil é utilizado para permitir que Microsoft Defender para Endpoint no macOS e no Microsoft AutoUpdate apresentem notificações na IU.

Transfira notif.mobileconfig a partir do repositório do GitHub.

Para desativar as notificações para os utilizadores finais, pode alterar Mostrar NotificationCenter de true para false em notif.mobileconfig.

Captura de ecrã a mostrar notif.mobileconfig com ShowNotificationCenter definido como Verdadeiro.

Para configurar notificações:

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, Notify-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, Notif.mobileconfig.

  8. Selecione um Canal de implementação e, em seguida, selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  11. Reveja o perfil de configuração. Selecione Criar.

Passo 6: Definições de acessibilidade

Este perfil é utilizado para permitir que Microsoft Defender para Endpoint no macOS acedam às definições de acessibilidade no Apple macOS High Sierra (10.13.6) e mais recentes.

Transfira accessibility.mobileconfig a partir do repositório do GitHub.

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, Accessibility-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, Accessibility.mobileconfig.

  8. Selecione um Canal de implementação e selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  11. Reveja o perfil de configuração. Selecione Criar.

Passo 7: permissões Bluetooth

Atenção

O macOS 14 (Sonoma) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem aceder a Bluetooth sem consentimento explícito. Microsoft Defender para Endpoint utiliza-o se configurar políticas Bluetooth para Controlo de Dispositivos.

Transfira bluetooth.mobileconfig a partir do repositório do GitHub e utilize o mesmo fluxo de trabalho que no Passo 6: Definições de acessibilidade para ativar o acesso Bluetooth.

Nota

O Bluetooth concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Bluetooth.

Passo 8: Atualização Automática da Microsoft

Este perfil é utilizado para atualizar o Microsoft Defender para Endpoint no macOS através do Microsoft AutoUpdate (MAU). Se estiver a implementar Microsoft Defender para Endpoint no macOS, tem as opções para obter uma versão atualizada da aplicação (Atualização da Plataforma) que se encontra nos diferentes canais mencionados aqui:

  • Beta (Insiders-Fast)
  • Canal atual (Pré-visualização, Insiders-Slow)
  • Canal atual (Produção)

Para obter mais informações, veja Implementar atualizações para Microsoft Defender para Endpoint no macOS.

Transfira com.microsoft.autoupdate2.mobileconfig a partir do repositório do GitHub.

Nota

O exemplo com.microsoft.autoupdate2.mobileconfig do repositório do GitHub está definido como Canal Atual (Produção).

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, Autoupdate-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, com.microsoft.autoupdate2.mobileconfig.

  8. Selecione um Canal de implementação e selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

  11. Reveja o perfil de configuração. Selecione Criar.

Passo 9: Microsoft Defender para Endpoint definições de configuração

Neste passo, vamos ver Preferências que lhe permitem configurar políticas antimalware e EDR com Microsoft Intune (https://intune.microsoft.com).

9a. Definir políticas com o portal do Microsoft Defender

Defina políticas com o Portal do Microsoft Defender ao implementar as seguintes instruções ou ao utilizar Microsoft Intune:

  1. Aceda a Configurar Microsoft Defender para Endpoint no Intune antes de definir as políticas de segurança com a Gestão de Definições de Segurança Microsoft Defender para Endpoint.

  2. No portal Microsoft Defender, aceda a Gestão> de configuraçãoPolíticas de segurança de ponto final Políticas>>macCriar nova política.

  3. Em Selecionar Plataforma, selecione macOS.

  4. Em Selecionar Modelo, selecione um modelo e selecione Criar Política.

  5. Especifique um nome e uma descrição para a política e, em seguida, selecione Seguinte.

  6. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

Para obter mais informações sobre a gestão das definições de segurança, consulte:

Definir políticas com Microsoft Intune

Pode gerir as definições de segurança do Microsoft Defender para Endpoint no macOS em Definir Preferências no Microsoft Intune.

Para obter mais informações, consulte Definir preferências para Microsoft Defender para Endpoint no Mac.

Passo 10: Proteção de rede para Microsoft Defender para Endpoint no macOS

No portal Microsoft Defender:

  1. Aceda a Gestão> de configuraçãoPolíticas de segurança de ponto final Políticas>>de MacCriar nova política.

  2. Em Selecionar Plataforma, selecione macOS.

  3. Em Selecionar Modelo, selecione Microsoft Defender Antivírus e selecione Criar Política.

    Captura de ecrã que mostra a página na qual cria uma política.

  4. No separador Informações básicas , introduza o Nome e a Descrição da política. Selecione Seguinte.

    Captura de ecrã a mostrar o separador Noções Básicas.

  5. No separador Definições de Configuração , em Proteção de Rede, selecione um Nível de imposição. Selecione Seguinte.

    Captura de ecrã a mostrar a página Criar uma nova política.

  6. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

    Captura de ecrã que mostra a página na qual configura as definições da opção Atribuições.

  7. Reveja a política em Rever+Criar e selecione Guardar.

Sugestão

Também pode configurar a proteção de rede ao anexar as informações da Proteção de rede para ajudar a impedir ligações macOS a sites incorretos no .mobileconfig passo 8.

Passo 11: Controlo de Dispositivos para Microsoft Defender para Endpoint no macOS

Para definir o Controlo de Dispositivos para Microsoft Defender para Endpoint no macOS, siga os passos em:

Passo 12: Prevenção de Perda de Dados (DLP) para Ponto Final

Para definir a Prevenção de Perda de Dados (DLP) do Purview para o ponto final no macOS, siga os passos em Integrar e remover dispositivos macOS em Soluções de conformidade com Microsoft Intune.

Passo 13: Verificar o estado do PList (.mobileconfig)

Depois de concluir a configuração do perfil, poderá rever o estado das políticas.

Ver Estado

Assim que as alterações Intune forem propagadas para os dispositivos inscritos, pode vê-las listadas em Monitorizar>Estado do dispositivo:

Captura de ecrã que mostra a vista do estado do dispositivo.

Configuração do dispositivo cliente

Uma instalação de Portal da Empresa padrão é suficiente para um dispositivo mac.

  1. Confirme a gestão de dispositivos.

    Captura de ecrã a mostrar a página Confirmar gestão de dispositivos.

    Selecione Abrir Preferências do Sistema, localize Perfil de Gestão na lista e selecione Aprovar.... O Perfil de Gestão seria apresentado como Verificado:

    Captura de ecrã a mostrar a página Perfil de gestão.

  2. Selecione Continuar e conclua a inscrição.

    Agora, pode inscrever mais dispositivos. Também pode inscrevê-los mais tarde, depois de concluir a configuração do sistema de aprovisionamento e os pacotes de aplicações.

  3. No Intune, abra Gerir>Dispositivos>Todos os dispositivos. Aqui, pode ver o seu dispositivo entre os listados:

    Captura de ecrã a mostrar a página Todos os Dispositivos.

Verificar o estado do dispositivo cliente

  1. Depois de os perfis de configuração serem implementados nos seus dispositivos, abraPerfis de Preferências> do Sistemano seu dispositivo Mac.

    Captura de ecrã a mostrar a página Preferências do sistema.

    Captura de ecrã a mostrar a página Perfis de Preferências do Sistema.

  2. Verifique se os seguintes perfis de configuração estão presentes e instalados. O Perfil de Gestão deve ser o perfil de sistema Intune. Wdav-config e wdav-kext são perfis de configuração do sistema que foram adicionados no Intune:

    Captura de ecrã a mostrar a página Perfis.

  3. Também deverá ver o ícone Microsoft Defender para Endpoint no canto superior direito.

    Captura de ecrã que mostra o ícone de Microsoft Defender para Endpoint na barra de estado.

Passo 14: Publicar aplicação

Este passo permite implementar Microsoft Defender para Endpoint em computadores inscritos.

  1. No centro de administração do Microsoft Intune, abra Aplicações.

    Captura de ecrã que mostra a página de descrição geral da aplicação.

  2. Selecione Por plataforma>macOS>Adicionar.

  3. Em Tipo de aplicação, selecione macOS. Selecione Selecionar.

    Captura de ecrã que mostra o tipo de aplicação específico.

  4. Nas Informações da aplicação, mantenha os valores predefinidos e selecione Seguinte.

    Captura de ecrã que mostra a página de propriedades da aplicação.

  5. No separador Tarefas , selecione Seguinte.

    Captura de ecrã a mostrar a página de informações Intune atribuições.

  6. Reveja e Crie. Pode visitar Aplicações>Por macOS de plataforma> para vê-lo na lista de todas as aplicações.

    Captura de ecrã que mostra a página de listas de aplicações.

Para obter mais informações, veja Adicionar Microsoft Defender para Endpoint a dispositivos macOS com Microsoft Intune.

Importante

Deve criar e implementar os perfis de configuração pela ordem especificada (passos 1 a 13) para uma configuração de sistema bem-sucedida.

Passo 15: Transferir o pacote de inclusão

Para transferir os pacotes de inclusão a partir do portal do Microsoft 365 Defender:

  1. No portal do Microsoft 365 Defender, aceda aDefiniçõesdo Sistema>Pontos Finais>Gestão de dispositivos>Integração>.

  2. Defina o sistema operativo como macOS e o método de implementação como Mobile Gestão de Dispositivos/Microsoft Intune.

    Captura de ecrã a mostrar a página Definições de inclusão.

  3. Selecione Transferir pacote de inclusão. Guarde-o como WindowsDefenderATPOnboardingPackage.zip no mesmo diretório.

  4. Extraia o conteúdo do ficheiro .zip:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
 inflating: intune/kext.xml
 inflating: intune/WindowsDefenderATPOnboarding.xml
 inflating: jamf/WindowsDefenderATPOnboarding.plist

    Captura de ecrã que mostra a descrição do exemplo.

Passo 16: Implementar o pacote de inclusão

Este perfil contém informações de licença para Microsoft Defender para Endpoint.

Para implementar o pacote de inclusão:

  1. Em Perfis de configuração, selecione Criar Perfil.

  2. Em Plataforma, selecione macOS.

  3. Em Tipo de perfil, selecione Modelos.

  4. Em Nome do modelo, selecione Personalizado.

  5. Selecione Criar.

    Captura de ecrã a mostrar o pacote de inclusão de implementação.

  6. No separador Informações básicas , atribua um nome ao perfil. Por exemplo, Onboarding-prod-macOS-Default-MDE. Selecione Seguinte.

    Captura de ecrã que mostra a página Personalizada.

  7. No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo, WindowsDefenderATPOnboarding.

  8. Selecione um Canal de implementação e selecione Seguinte.

  9. Selecione um ficheiro de perfil de Configuração.

    Captura de ecrã a mostrar as definições de configuração.

  10. No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.

    Captura de ecrã a mostrar o separador Atribuições.

  11. Reveja o perfil de configuração. Selecione Criar.

  12. Abraperfis de Configuração de Dispositivos> para ver o perfil criado.

Passo 17: Verificar a deteção de antimalware

Veja o seguinte artigo para testar uma revisão da deteção de antimalware: Teste de deteção de antivírus para verificar os serviços de integração e relatórios do dispositivo

Passo 18: Verificar a deteção do EDR

Veja o seguinte artigo para testar uma revisão da deteção EDR: teste de deteção EDR para verificar a inclusão de dispositivos e os serviços de relatórios

Resolução de Problemas

Problema: não foi encontrada nenhuma licença.

Solução: siga os passos neste artigo para criar um perfil de dispositivo com WindowsDefenderATPOnboarding.xml.

Problemas de instalação do registo

Veja Problemas de instalação do registo para obter informações sobre como localizar o registo gerado automaticamente criado pelo instalador, quando ocorre um erro.

Para obter informações sobre procedimentos de resolução de problemas, consulte:

Desinstalação

Veja Desinstalar para obter detalhes sobre como remover Microsoft Defender para Endpoint no macOS de dispositivos cliente.