Implementação com um sistema de Gestão de Dispositivos Móvel (MDM) diferente para Microsoft Defender para Endpoint no macOS
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Pré-requisitos e requisitos de sistema
Antes de começar, consulte o Microsoft Defender para Endpoint principal na página do macOS para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.
Abordagem
Atenção
Atualmente, a Microsoft suporta oficialmente apenas Intune e JAMF para a implementação e gestão de Microsoft Defender para Endpoint no macOS. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações fornecidas abaixo.
Se a sua organização utilizar uma solução de Gestão de Dispositivos Móvel (MDM) que não é oficialmente suportada, isso não significa que não possa implementar ou executar Microsoft Defender para Endpoint no macOS.
Microsoft Defender para Endpoint no macOS não dependem de funcionalidades específicas do fornecedor. Pode ser utilizada com qualquer solução de MDM que suporte as seguintes funcionalidades:
- Implemente um .pkg macOS em dispositivos geridos.
- Implementar perfis de configuração do sistema macOS em dispositivos geridos.
- Execute uma ferramenta/script arbitrário configurado pelo administrador em dispositivos geridos.
A maioria das soluções de MDM modernas incluem estas funcionalidades, no entanto, podem chamá-las de forma diferente.
No entanto, pode implementar o Defender para Endpoint sem o último requisito da lista anterior:
- Não poderá recolher o estado de forma centralizada.
- Se decidir desinstalar o Defender para Endpoint, terá de iniciar sessão no dispositivo cliente localmente como administrador.
Implementação
A maioria das soluções MDM utiliza o mesmo modelo para gerir dispositivos macOS, com terminologia semelhante. Utilize a implementação baseada em JAMF como um modelo.
Pacote
Configure a implementação de um pacote de aplicação necessário, com o pacote de instalação (wdav.pkg) transferido do portal Microsoft Defender.
Aviso
Reembalar o pacote de instalação do Defender para Endpoint não é um cenário suportado. Fazê-lo pode afetar negativamente a integridade do produto e levar a resultados adversos, incluindo, mas não se limitando a acionar alertas de adulteração e atualizações que não se aplicam.
Para implementar o pacote na sua empresa, utilize as instruções associadas à sua solução mdm.
Definições de licença
Configurar um perfil de configuração do sistema.
A sua solução mdm pode chamar-lhe algo como "Perfil de Definições Personalizadas", uma vez que Microsoft Defender para Endpoint no macOS não faz parte do macOS.
Utilize a lista de propriedades, jamf/WindowsDefenderATPOnboarding.plist, que pode ser extraída de um pacote de inclusão transferido do portal Microsoft Defender. O seu sistema pode suportar uma lista de propriedades arbitrária no formato XML. Pode carregar o ficheiro jamf/WindowsDefenderATPOnboarding.plist tal como está nesse caso. Em alternativa, pode exigir que converta primeiro a lista de propriedades num formato diferente.
Normalmente, o seu perfil personalizado tem um ID, nome ou atributo de domínio. Tem de utilizar exatamente "com.microsoft.wdav.atp" para este valor. A MDM utiliza-o para implementar o ficheiro de definições em /Library/Managed Preferences/com.microsoft.wdav.atp.plist num dispositivo cliente e o Defender para Endpoint utiliza este ficheiro para carregar as informações de integração.
Perfis de configuração do sistema
O macOS requer que um utilizador aprove manual e explicitamente determinadas funções que uma aplicação utiliza, por exemplo, extensões de sistema, em execução em segundo plano, envio de notificações, acesso total ao disco, etc. Microsoft Defender para Endpoint depende destas funções e não pode funcionar corretamente até que todos estes consentimentos sejam recebidos de um utilizador.
Para conceder consentimento automaticamente em nome de um utilizador, um administrador envia políticas de sistema através do sistema MDM. Isto é o que recomendamos vivamente fazer, em vez de depender das aprovações manuais dos utilizadores finais.
Fornecemos todas as políticas que Microsoft Defender para Endpoint requer como ficheiros mobileconfig disponíveis em https://github.com/microsoft/mdatp-xplat. Mobileconfig é um formato de importação/exportação da Apple que o Apple Configurator ou outros produtos como o iMazing Profile Revisor suportam.
A maioria dos fornecedores de MDM suporta a importação de um ficheiro mobileconfig que cria um novo perfil de configuração personalizado.
Para configurar perfis:
- Saiba como é feita uma importação de mobileconfig com o seu fornecedor de MDM.
- Para todos os perfis do https://github.com/microsoft/mdatp-xplat, transfira um ficheiro mobileconfig e importe-o.
- Atribua o âmbito adequado para cada perfil de configuração criado.
Tenha em atenção que a Apple cria regularmente novos tipos de payloads com novas versões de um SO. Terá de visitar a página mencionada acima e publicar novos perfis assim que estes ficarem disponíveis. Publicamos notificações na nossa página Novidades assim que fizermos alterações semelhantes.
Definições de configuração do Defender para Endpoint
Para implementar Microsoft Defender para Endpoint configuração, precisa de um perfil de configuração.
Os passos seguintes mostram como aplicar e verificar a aplicação de um perfil de configuração.
1. A MDM implementa o perfil de configuração em computadores inscritos Pode ver perfis em Perfis de Definições > do Sistema. Procure o nome que utilizou para Microsoft Defender para Endpoint perfil de definições de configuração. Se não o vir, consulte a documentação da MDM para obter sugestões de resolução de problemas.
2. O perfil de configuração aparece no ficheiro correto
Microsoft Defender para Endpoint leituras /Library/Managed Preferences/com.microsoft.wdav.plist
e /Library/Managed Preferences/com.microsoft.wdav.ext.plist
ficheiros.
Utiliza apenas esses dois ficheiros para definições geridas.
Se não conseguir ver esses ficheiros, mas tiver verificado que os perfis foram entregues (consulte a secção anterior), significa que os seus perfis estão configurados incorretamente. Fez deste perfil de configuração "Nível de Utilizador" em vez de "Nível do Computador" ou utilizou um Domínio de Preferência diferente em vez dos que Microsoft Defender para Endpoint espera ("com.microsoft.wdav" e "com.microsoft.wdav.ext").
Veja a documentação da MDM para saber como configurar perfis de configuração de aplicações.
3. O perfil de configuração contém a estrutura esperada
Este passo pode ser complicado de verificar. Microsoft Defender para Endpoint espera com.microsoft.wdav.plist com uma estrutura estrita. Se colocar as definições num local inesperado ou as escrever incorretamente ou utilizar um tipo inválido, as definições são ignoradas silenciosamente.
- Pode verificar
mdatp health
e confirmar que as definições que configurou são comunicadas como[managed]
. - Pode inspecionar o conteúdo de e certificar-se de
/Library/Managed Preferences/com.microsoft.wdav.plist
que corresponde às definições esperadas:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
Pode utilizar a estrutura documentada do perfil de Configuração como orientação.
Este artigo explica que "antivírusEngine", "edr", "tamperProtection" são definições no nível superior do ficheiro de configuração. E, por exemplo, "scanHistoryMaximumItems" estão no segundo nível e são do tipo inteiro.
Deverá ver estas informações na saída do comando anterior. Se descobriu que "antivírusEngine" está aninhado noutra definição, significa que o perfil está configurado incorretamente. Se conseguir ver "antivírus" em vez de "antivírusEngine", o nome está mal escrito e toda a subárvore de definições é ignorada. Se "scanHistoryMaximumItems" => "10000"
, é utilizado o tipo errado e a definição será ignorada.
Verificar se todos os perfis estão implementados
Pode transferir e executar analyze_profiles.py. Este script irá recolher e analisar todos os perfis implementados num computador e avisá-lo sobre os que não foram utilizados. Tenha em atenção que pode falhar alguns erros e não tem conhecimento de algumas decisões de design que os administradores de sistema estão a tomar deliberadamente. Utilize este script para obter orientações, mas investigue sempre se vir algo marcado como um erro. Por exemplo, o guia de inclusão indica-lhe para implementar um perfil de configuração para inclusão de blobs. No entanto, algumas organizações decidem executar o script de inclusão manual. analyze_profile.py avisa-o sobre o perfil perdido. Pode optar por integrar através do perfil de configuração ou ignorar completamente o aviso.
Verificar o estado da instalação
Execute Microsoft Defender para Endpoint num dispositivo cliente para verificar o estado de inclusão.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.