Configurar o Microsoft Defender para Endpoint em políticas macOS no Jamf Pro
Aplica-se a:
- Defender para Endpoint no Mac
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
Esta página irá orientá-lo ao longo dos passos que tem de seguir para configurar políticas macOS no Jamf Pro.
Terá de seguir os seguintes passos:
- Obter o pacote de inclusão do Microsoft Defender para Endpoint
- Create um perfil de configuração no Jamf Pro com o pacote de inclusão
- Configurar definições de Microsoft Defender para Endpoint
- Configurar definições de notificação de Microsoft Defender para Endpoint
- Configurar o Microsoft AutoUpdate (MAU)
- Conceder acesso total ao disco ao Microsoft Defender para Endpoint
- Aprovar extensões do Sistema para Microsoft Defender para Endpoint
- Configurar a Extensão de Rede
- Configurar Serviços em Segundo Plano
- Conceder Permissões bluetooth
- Agendar análises com Microsoft Defender para Endpoint no macOS
- Implementar Microsoft Defender para Endpoint no macOS
Passo 1: Obter o pacote de inclusão do Microsoft Defender para Endpoint
No Microsoft Defender XDR, navegue para Definições > Pontos Finais > Integração.
Selecione macOS como o sistema operativo e Mobile Gestão de Dispositivos/Microsoft Intune como o método de implementação.
Selecione Transferir pacote de inclusão (WindowsDefenderATPOnboardingPackage.zip).
Extrair
WindowsDefenderATPOnboardingPackage.zip
.Copie o ficheiro para a sua localização preferida. Por exemplo,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist
.
Passo 2: Create um perfil de configuração no Jamf Pro com o pacote de inclusão
Localize o ficheiro
WindowsDefenderATPOnboarding.plist
da secção anterior.Inicie sessão no Jamf Pro, navegue paraPerfis de Configuração de Computadores> e selecione Novo.
Introduza os seguintes detalhes no separador Geral :
- Nome: inclusão de MDE para macOS
- Descrição: MDE integração EDR para macOS
- Categoria: Nenhuma
- Método de Distribuição: Instalar Automaticamente
- Nível: Nível do Computador
Navegue para a página Application & Custom Settings (Definições Personalizadas ) e selecione Upload Add ( Carregar>Adicionar).
Selecione Carregar Ficheiro (ficheiro PLIST) e, em seguida, em Domínio de Preferência, introduza: .
com.microsoft.wdav.atp
Selecione Abrir e selecione o ficheiro de inclusão.
Selecione Carregar.
Selecione o separador Âmbito .
Selecione os computadores de destino.
Seleccione Guardar.
Selecione Concluído.
Passo 3: Configurar definições de Microsoft Defender para Endpoint
Pode utilizar a GUI do JAMF Pro para editar definições individuais da configuração do Microsoft Defender para Endpoint ou utilizar o método legado ao criar um Plist de configuração num editor de texto e carregá-lo para o JAMF Pro.
Tenha em atenção que tem de utilizar exatamente com.microsoft.wdav
como Domínio de Preferência, Microsoft Defender para Endpoint utiliza apenas este nome e com.microsoft.wdav.ext
para carregar as definições geridas!
(A com.microsoft.wdav.ext
versão pode ser utilizada em casos raros quando prefere utilizar o método GUI, mas também precisa de configurar uma definição que ainda não foi adicionada ao esquema.)
Método GUI
Transfira schema.json ficheiro do repositório do GitHub do Defender e guarde-o num ficheiro local:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
Create um novo Perfil de Configuração em Computadores -> Perfis de Configuração, introduza os seguintes detalhes no separador Geral:
- Nome: definições de configuração MDAV MDATP
- Descrição:<em branco>
- Categoria: Nenhuma (predefinição)
- Nível: Nível do Computador (predefinição)
- Método de Distribuição: Instalar Automaticamente (predefinição)
Desloque-se para baixo até ao separador Aplicação & Definições Personalizadas , selecione Aplicações Externas, clique em Adicionar e utilize Esquema Personalizado como Origem para utilizar para o domínio de preferência.
Introduza
com.microsoft.wdav
como Domínio de Preferência, selecione Adicionar Esquema e Carregar o ficheiro de schema.json transferido no Passo 1. Clique em Guardar.Pode ver todas as definições de configuração de Microsoft Defender para Endpoint suportadas abaixo, em Propriedades de Domínio de Preferência. Clique em Adicionar/Remover propriedades para selecionar as definições que pretende que sejam geridas e clique em Ok para guardar as alterações. (As definições não selecionadas não serão incluídas na configuração gerida, um utilizador final poderá configurar essas definições nos respetivos computadores.)
Altere os valores das definições para os valores pretendidos. Pode clicar em Mais informações para obter documentação para uma determinada definição. (Pode clicar em Pré-visualização do Plist para inspecionar o aspeto do plist de configuração. Clique em Editor de formulários para regressar ao editor de elementos visuais.)
Selecione o separador Âmbito .
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Verá o novo Perfil de configuração.
Microsoft Defender para Endpoint adiciona novas definições ao longo do tempo. Estas novas definições serão adicionadas ao esquema e será publicada uma nova versão no GitHub. Tudo o que precisa de fazer para ter atualizações é transferir um esquema atualizado, editar o perfil de configuração existente e Editar esquema no separador Definições Personalizadas da Aplicação & .
Método legado
Utilize as seguintes definições de configuração Microsoft Defender para Endpoint:
- enableRealTimeProtection
- passiveMode
Nota
Não ativado por predefinição, se estiver a planear executar um AV de terceiros para macOS, defina-o como
true
.- exclusões
- excludedPath
- excludedFileExtension
- excludedFileName
- exclusionsMergePolicy
- allowedThreats
Nota
O EICAR está no exemplo, se estiver a passar por uma prova de conceito, remova-o especialmente se estiver a testar o EICAR.
- disallowedThreatActions
- potentially_unwanted_application
- archive_bomb
- cloudService
- automaticSampleSubmission
- etiquetas
- hideStatusMenuIcon
Para obter informações, veja Lista de propriedades do perfil de configuração completo JAMF.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
Guarde o ficheiro como
MDATP_MDAV_configuration_settings.plist
.No dashboard do Jamf Pro, abra Computadores e os respetivos Perfis de Configuração. Clique em Novo e mude para o separador Geral .
Introduza os seguintes detalhes no separador Geral :
- Nome: definições de configuração MDAV MDATP
- Descrição:<em branco>
- Categoria: Nenhuma (predefinição)
- Método de Distribuição: Instalar Automaticamente (predefinição)
- Nível: Nível do Computador (predefinição)
Em Aplicação & Definições Personalizadas, selecione Configurar.
Selecione Carregar Ficheiro (ficheiro PLIST).
Em Domínio de Preferências, introduza
com.microsoft.wdav
e, em seguida, selecione Carregar Ficheiro PLIST.Selecione Escolher Ficheiro.
Selecione o MDATP_MDAV_configuration_settings.plist e, em seguida, selecione Abrir.
Selecione Carregar.
Seleccione Guardar.
O ficheiro é carregado.
Selecione o separador Âmbito .
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Verá o novo Perfil de configuração.
Passo 4: configurar as definições de notificações
Estes passos são aplicáveis no macOS 11 (Big Sur) ou posterior.
No dashboard do Jamf Pro, selecione Computadores e, em seguida, Perfis de Configuração.
Clique em Novo e introduza os seguintes detalhes no separador Geral para Opções:
- Nome: Definições de Notificação MDATP MDAV
- Descrição: macOS 11 (Big Sur) ou posterior
- Categoria: Nenhuma (predefinição)
- Método de Distribuição: Instalar Automaticamente (predefinição)
- Nível: Nível do Computador (predefinição)
Notificações de Separador, clique em Adicionar e introduza os seguintes valores:
- ID do Pacote:
com.microsoft.wdav.tray
- Alertas Críticos: Clique em Desativar
- Notificações: clique em Ativar
- Tipo de alerta de faixa: selecione Incluir e Temporário(predefinição)
- Notificações no ecrã de bloqueio: Clique em Ocultar
- Notificações no Centro de Notificações: clique em Apresentar
- Ícone da aplicação distintivo: clique em Apresentar
- ID do Pacote:
Notificações de Separador, clique em Adicionar mais uma vez, desloque-se para baixo até Novas Definições de Notificações
- ID do Pacote:
com.microsoft.autoupdate.fba
- Configurar o resto das definições para os mesmos valores acima
Tenha em atenção que agora tem duas "tabelas" com configurações de notificação, uma para o ID do Pacote: com.microsoft.wdav.tray e outra para o ID do Pacote: com.microsoft.autoupdate.fba. Embora possa configurar as definições de alerta de acordo com os seus requisitos, os IDs do Pacote têm de ser exatamente iguais aos descritos anteriormente e o comutador Incluir tem de estar Ativado para Notificações.
- ID do Pacote:
Selecione o separador Âmbito e, em seguida, selecione Adicionar.
Selecione Grupo de Máquinas da Contoso.
Selecione Adicionar e, em seguida, selecione Guardar.
Selecione Concluído. Verá o novo Perfil de configuração.
Passo 5: Configurar o Microsoft AutoUpdate (MAU)
Utilize as seguintes definições de configuração Microsoft Defender para Endpoint:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
Guarde-o como
MDATP_MDAV_MAU_settings.plist
.No dashboard do Jamf Pro, selecione Geral.
Introduza os seguintes detalhes no separador Geral :
- Nome: definições MDATP MDAV MAU
- Descrição: Definições do Microsoft AutoUpdate para MDATP para macOS
- Categoria: Nenhuma (predefinição)
- Método de Distribuição: Instalar Automaticamente (predefinição)
- Nível: Nível do Computador (predefinição)
Em Aplicação & Definições Personalizadas , selecione Configurar.
Selecione Carregar Ficheiro (ficheiro PLIST).
Em Domínio de Preferência , introduza:
com.microsoft.autoupdate2
e, em seguida, selecione Carregar Ficheiro PLIST.Selecione Escolher Ficheiro.
Selecione MDATP_MDAV_MAU_settings.plist.
Seleccione Guardar.
Selecione o separador Âmbito .
Selecione Adicionar.
Selecione Concluído.
Passo 6: conceder acesso total ao disco ao Microsoft Defender para Endpoint
No dashboard do Jamf Pro, selecione Perfis de Configuração.
Selecione + Novo.
Introduza os seguintes detalhes no separador Geral :
- Nome: MDAV MDATP – conceder Acesso Total ao Disco ao EDR e av
- Descrição: no macOS 11 (Big Sur) ou posterior, o novo Controlo de Política de Preferências de Privacidade
- Categoria: Nenhuma
- Método de distribuição: Instalar Automaticamente
- Nível: nível do computador
Em Configurar Preferências de Privacidade Controlo de Política , selecione Configurar.
Em Controlo de Política de Preferências de Privacidade, introduza os seguintes detalhes:
- Identificador:
com.microsoft.wdav
- Tipo de Identificador: ID do Pacote
- Requisito de Código:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Identificador:
Selecione + Adicionar.
Em Aplicação ou serviço: Definido como SystemPolicyAllFiles
Em "acesso": defina como Permitir
Selecione Guardar (não o da parte inferior direita).
Clique no
+
sinal junto a Acesso à Aplicação para adicionar uma nova entrada.Introduza os seguintes detalhes:
- Identificador:
com.microsoft.wdav.epsext
- Tipo de Identificador: ID do Pacote
- Requisito de Código:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Identificador:
Selecione + Adicionar.
Em Aplicação ou serviço: Definido como SystemPolicyAllFiles
Em "acesso": defina como Permitir
Selecione Guardar (não o da parte inferior direita).
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos> de Computadores em Nome> do Grupo, selecione MachineGroup da Contoso.
Selecione Adicionar.
Seleccione Guardar.
Selecione Concluído.
Em alternativa, pode transferir fulldisk.mobileconfig e carregá-lo para perfis de configuração JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Nota
O Acesso Total ao Disco concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Acesso Total ao Disco.
Passo 7: Aprovar extensões de sistema para Microsoft Defender para Endpoint
Nos Perfis de Configuração, selecione + Novo.
Introduza os seguintes detalhes no separador Geral :
- Nome: MDATP MDAV System Extensions (Extensões do Sistema MDAV MDATP)
- Descrição: extensões do sistema MDATP
- Categoria: Nenhuma
- Método de Distribuição: Instalar Automaticamente
- Nível: Nível do Computador
Em Extensões do Sistema , selecione Configurar.
Em Extensões do Sistema, introduza os seguintes detalhes:
- Nome a Apresentar: Microsoft Corp. Extensões do Sistema
- Tipos de Extensão do Sistema: Extensões de Sistema Permitidas
- Identificador de Equipa: UBF8T346G9
- Extensões de Sistema Permitidas:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos> de Computadores em Nome> do Grupo, selecione Grupo de Máquinas da Contoso.
Selecione + Adicionar.
Seleccione Guardar.
Selecione Concluído.
Passo 8: Configurar a Extensão de Rede
Como parte das capacidades de Deteção e Resposta de Pontos Finais, Microsoft Defender para Endpoint no macOS inspeciona o tráfego do socket e reporta estas informações ao portal do Microsoft Defender. A seguinte política permite que a extensão de rede execute esta funcionalidade.
Estes passos são aplicáveis no macOS 11 (Big Sur) ou posterior.
No dashboard do Jamf Pro, selecione Computadores e, em seguida, Perfis de Configuração.
Clique em Novo e introduza os seguintes detalhes para Opções:
Separador Geral:
- Nome: Microsoft Defender Extensão de Rede
- Descrição: macOS 11 (Big Sur) ou posterior
- Categoria: Nenhuma (predefinição)
- Método de Distribuição: Instalar Automaticamente (predefinição)
- Nível: Nível do Computador (predefinição)
Filtro de Conteúdo do Separador:
- Nome do Filtro: Microsoft Defender Filtro de Conteúdo
- Identificador:
com.microsoft.wdav
- Deixe o Endereço do Serviço, Organização, Nome de Utilizador, Palavra-passe, Certificado em branco (Incluirnão está selecionado)
- Ordem de Filtro: Inspetor
- Filtro de Socket:
com.microsoft.wdav.netext
- Requisito Designado do Filtro de Socket:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Deixe os campos filtro de rede em branco (Incluirnão está selecionado)
Tenha em atenção que os valores exatos Identificador, Filtro de Socket e Requisito Designado do Filtro de Socket , conforme especificado acima.
Selecione o separador Âmbito .
Selecione + Adicionar.
Selecione Grupos> de Computadores em Nome> do Grupo, selecione Grupo de Máquinas da Contoso.
Selecione + Adicionar.
Seleccione Guardar.
Selecione Concluído.
Em alternativa, pode transferir netfilter.mobileconfig e carregá-lo para Perfis de Configuração do JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Passo 9: Configurar os Serviços em Segundo Plano
Atenção
O macOS 13 (Ventura) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem ser executadas em segundo plano sem consentimento explícito. Microsoft Defender para Endpoint tem de executar o processo daemon em segundo plano.
Este perfil de configuração concede permissões de Serviço em Segundo Plano para Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através do JAMF, recomendamos que atualize a implementação com este perfil de configuração.
Transfira background_services.mobileconfig a partir do nosso repositório do GitHub.
Carregue o mobileconfig transferido para perfis de configuração JAMF, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Passo 10: Conceder Permissões Bluetooth
Atenção
O macOS 14 (Sonoma) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem aceder a Bluetooth sem consentimento explícito. Microsoft Defender para Endpoint utiliza-o se configurar políticas Bluetooth para Controlo de Dispositivos.
Transfira bluetooth.mobileconfig a partir do repositório do GitHub.
Aviso
A versão atual do JAMF Pro ainda não suporta este tipo de payload. Se carregar esta configuração móvel tal como está, o JAMF Pro removerá o payload não suportado e não será aplicado aos computadores cliente. Primeiro tem de assinar mobileconfig transferido, depois desse JAMF Pro irá considerá-lo "selado" e não irá adulterar o mesmo. Veja as instruções abaixo:
- Tem de ter, pelo menos, um certificado de assinatura instalado no KeyChain, até mesmo um certificado autoassinado funcionará. Pode inspecionar o que tem com:
> /usr/bin/security find-identity -p codesigning -v
1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
4 valid identities found
- Escolha qualquer um deles e forneça o texto citado como o parâmetro -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
- Agora, pode carregar o bluetooth-signed.mobileconfig gerado para o JAMF Pro, conforme descrito em Implementar Perfis de Configuração Personalizados com o Jamf Pro|Método 2: Carregar um Perfil de Configuração para o Jamf Pro.
Nota
O Bluetooth concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Bluetooth.
Passo 11: Agendar análises com Microsoft Defender para Endpoint no macOS
Siga as instruções em Agendar análises com Microsoft Defender para Endpoint no macOS.
Passo 12: Implementar Microsoft Defender para Endpoint no macOS
Nota
Nos passos seguintes, o nome do .pkg
ficheiro e os valores de Nome a Apresentar são exemplos. Nestes exemplos, 200329
representa a data em que o pacote e a política foram criados (em yymmdd
formato) e v100.86.92
representa a versão do Microsoft Defender aplicação que está a ser implementada.
Estes valores devem ser atualizados de acordo com a convenção de nomenclatura que utiliza no seu ambiente para Pacotes e Políticas.
Navegue para onde guardou
wdav.pkg
.Mude o nome para
wdav_MDM_Contoso_200329.pkg
.Abra o dashboard do Jamf Pro.
Selecione o seu computador, clique no ícone de engrenagem na parte superior e, em seguida, selecione Gestão de Computadores.
No separador Geral, introduza os seguintes detalhes em Novo Pacote:
- Nome a Apresentar: deixe-o em branco por enquanto. Porque será reposto quando escolher o seu pkg.
- Categoria: Nenhuma (predefinição)
- Nome do ficheiro: selecione Ficheiro
Abra o ficheiro e aponte-o para
wdav.pkg
ouwdav_MDM_Contoso_200329.pkg
.Selecione Abrir. Defina o Nome a Apresentar para Microsoft Defender Advanced Threat Protection e antivírus Microsoft Defender.
O Ficheiro de Manifesto não é necessário. Microsoft Defender para Endpoint funciona sem o Ficheiro de Manifesto.
Separador Opções: mantenha os valores predefinidos.
Separador Limitações: mantenha os valores predefinidos.
Seleccione Guardar. O pacote é carregado para o Jamf Pro.
O pacote pode demorar alguns minutos a estar disponível para implementação.
Navegue para a página Políticas .
Selecione + Novo para criar uma nova política.
Em Geral, introduza o Nome a apresentar MDATP Inclusão da Contoso 200329 v100.86.92 ou posterior.
Selecione Entrada Periódica.
Seleccione Guardar.
Selecione Configurar Pacotes>.
Selecione o botão Adicionar junto a Microsoft Defender Proteção Avançada Contra Ameaças e Antivírus Microsoft Defender.
Seleccione Guardar.
Create um grupo inteligente para computadores com perfis Microsoft Defender.
Para uma melhor experiência de utilizador, os perfis de configuração dos computadores inscritos têm de ser instalados antes do pacote de Microsoft Defender. Na maioria dos casos, o JAMF Prof emite imediatamente perfis de configuração, que políticas são executadas após algum tempo (ou seja, durante a entrada).
No entanto, em alguns casos, a implementação de perfis de configuração pode ser implementada com um atraso significativo (ou seja, se o computador de um utilizador estiver bloqueado).
O JAMF Pro fornece uma forma de garantir a ordem correta. Pode criar um grupo inteligente para máquinas que já receberam o perfil de configuração do Microsoft Defender e instalar o pacote do Microsoft Defender apenas nesses computadores (e assim que receberem este perfil!)
Para tal, crie primeiro um grupo inteligente. Na nova janela do browser, abra Grupos de Computadores Inteligentes no menu esquerdo, clique em Novo. Atribua algum nome, mude para o separador Critérios , clique em Adicionar e Mostrar Critérios Avançados.
Selecione Nome do Perfil como critério e utilize o nome de um perfil de configuração criado anteriormente como Valor:
Clique em Guardar. Regresse à janela onde configura uma política de pacote.
Selecione o separador Âmbito .
Selecione os computadores de destino.
Em Âmbito, selecione Adicionar.
Mude para o separador Grupos de Computadores . Localize o grupo inteligente que criou e Adicione-o .
Selecione Gestão Personalizada, se quiser que os utilizadores instalem Microsoft Defender voluntariamente, a pedido.
Selecione Concluído.
Âmbito do perfil de configuração
O JAMF requer que defina um conjunto de máquinas para um perfil de configuração. Tem de se certificar de que todas as máquinas que recebem o pacote do Defender também recebem todos os perfis de configuração listados acima.
Aviso
O JAMF suporta Grupos de Computadores Inteligentes que permitem a implementação, como perfis de configuração ou políticas para todos os computadores que correspondam a determinados critérios avaliados dinamicamente. É um conceito poderoso que é amplamente utilizado para a distribuição de perfis de configuração.
No entanto, tenha em atenção que estes critérios não devem incluir a presença do Defender num computador. Embora a utilização deste critério possa parecer lógica, cria problemas difíceis de diagnosticar.
O Defender baseia-se em todos estes perfis no momento da instalação. Criar perfis de configuração consoante a presença do Defender atrasa efetivamente a implementação de perfis de configuração e resulta num produto inicialmente em mau estado de funcionamento e/ou pedidos de aprovação manual de determinadas permissões de aplicação, que de outra forma são aprovados automaticamente pelos perfis.
Implementar uma política com o pacote do Microsoft Defender depois de implementar perfis de configuração garante a melhor experiência do utilizador final, uma vez que todas as configurações necessárias serão aplicadas antes da instalação do pacote.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários