Implementar Microsoft Defender para Endpoint no macOS com Microsoft Intune
Aplica-se a:
- Microsoft Defender para Endpoint no macOS
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para empresas
Este artigo descreve como implementar Microsoft Defender para Endpoint no macOS através de Microsoft Intune.
Pré-requisitos e requisitos de sistema
Antes de começar, consulte o Microsoft Defender para Endpoint principal na página do macOS para obter uma descrição dos pré-requisitos e requisitos de sistema para a versão atual do software.
Descrição geral
A tabela seguinte resume os passos que teria de seguir para implementar e gerir Microsoft Defender para Endpoint em Macs, através de Microsoft Intune. Consulte a tabela seguinte para obter passos mais detalhados.
| Passo | Nome do ficheiro de exemplo | Identificador do pacote |
|---|---|---|
| Aprovar a extensão do sistema | sysext.mobileconfig |
N/D |
| Política de extensão de rede | netfilter.mobileconfig |
N/D |
| Acesso Total ao Disco | fulldisk.mobileconfig |
com.microsoft.wdav.epsext |
| Microsoft Defender para Endpoint definições de configuração Se estiver a planear executar um antivírus que não seja da Microsoft no Mac, defina passiveMode como true. |
MDE_MDAV_and_exclusion_settings_Preferences.xml |
com.microsoft.wdav |
| Serviços em segundo plano | background_services.mobileconfig |
N/D |
| Configurar notificações de Microsoft Defender para Endpoint | notif.mobileconfig |
com.microsoft.wdav.tray |
| Definições de acessibilidade | accessibility.mobileconfig |
com.microsoft.dlp.daemon |
| Bluetooth | bluetooth.mobileconfig |
com.microsoft.dlp.agent |
| Configurar o Microsoft AutoUpdate (MAU) | com.microsoft.autoupdate2.mobileconfig |
com.microsoft.autoupdate2 |
| Controlo de Dispositivos | DeviceControl.mobileconfig |
N/D |
| Prevenção de Perda de Dados | DataLossPrevention.mobileconfig |
N/D |
| Transferir o pacote de inclusão | WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml |
com.microsoft.wdav.atp |
| Implementar o Microsoft Defender para Endpoint na aplicação macOS | Wdav.pkg |
N/D |
Create perfis de configuração do sistema
O próximo passo consiste em criar perfis de configuração do sistema que Microsoft Defender para Endpoint necessidades. No centro de administração do Microsoft Intune, abraperfis de Configuração de Dispositivos>.
Passo 1: Aprovar extensões do sistema
No Intune centro de administração, aceda a Dispositivos e, em Gerir Dispositivos, selecione Configuração.
Em Perfis de configuração, selecione Create Perfil.
Este perfil é necessário para Big Sur (11) ou posterior. É ignorado em versões mais antigas do macOS, uma vez que utilizam a extensão de kernel.
No separador Políticas, selecione Create>Novo Política.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Extensões e, em seguida, selecione Create.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
SysExt-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.Selecione Seguinte.
No separador Definições de configuração , expanda Extensões do Sistema e adicione as seguintes entradas na secção Extensões de sistema permitidas :
Identificador do pacote Identificador de equipa com.microsoft.wdav.epsextUBF8T346G9com.microsoft.wdav.netextUBF8T346G9
Em seguida, selecione Seguinte.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou selecione as opções Adicionar todos os utilizadores e Adicionar todos os dispositivos . Em seguida, selecione Seguinte.
Reveja o perfil de configuração. Selecione Criar.
Passo 2: filtro de rede
Como parte das capacidades de Deteção e Resposta de Pontos Finais, Microsoft Defender para Endpoint no macOS inspeciona o tráfego do socket e reporta estas informações ao portal do Microsoft 365 Defender. A seguinte política permite que a extensão de rede execute esta funcionalidade.
Transfira netfilter.mobileconfig a partir do repositório do GitHub.
Para configurar o filtro de rede:
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado.
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
NetFilter-prod-macOS-Default-MDE. Em seguida, selecione Seguinte.No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
NetFilter-prod-macOS-Default-MDE.Selecione um Canal de implementação e, em seguida, selecione Seguinte.
Selecione Seguinte.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Passo 3: Acesso Total ao Disco
Nota
A partir do macOS Catalina (10.15) ou mais recente, para fornecer privacidade aos utilizadores finais, criou a FDA (Acesso Total ao Disco). Ativar o TCC (Transparência, Consentimento & Controlo) através de uma solução de Gestão de Dispositivos Móvel, como Intune, eliminará o risco de o Defender para Ponto Final perder a Autorização de Acesso Total ao Disco para funcionar corretamente.
Este perfil de configuração concede Acesso Total ao Disco para Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através de Intune, recomendamos que atualize a implementação com este perfil de configuração.
Transfira fulldisk.mobileconfig a partir do repositório do GitHub.
Para configurar o Acesso Total ao Disco:
No centro de administração do Intune, em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado. Em seguida, selecione Create
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
Background_Services-prod-macOS-Default-MDE.Selecione Seguinte.
No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
background_services.mobileconfig.Selecione um Canal de implementação e, em seguida, selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Nota
O Acesso Total ao Disco concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Acesso Total ao Disco.
Passo 4: Serviços em segundo plano
Atenção
O macOS 13 (Ventura) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem ser executadas em segundo plano sem consentimento explícito. Microsoft Defender para Endpoint tem de executar o processo daemon em segundo plano. Este perfil de configuração concede permissões de Serviço em Segundo Plano para Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através de Microsoft Intune, recomendamos que atualize a implementação com este perfil de configuração.
Transfira background_services.mobileconfig a partir do repositório do GitHub.
Para configurar serviços em segundo plano:
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado e, em seguida, selecione Create.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
BackgroundServices-prod-macOS-Default-MDE.Selecione Seguinte.
No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
background_services.mobileconfig.Selecione um Canal de implementação.
Selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Passo 5: Notificações
Este perfil é utilizado para permitir que Microsoft Defender para Endpoint no macOS e no Microsoft AutoUpdate apresentem notificações na IU.
Transfira notif.mobileconfig a partir do repositório do GitHub.
Para desativar as notificações para os utilizadores finais, pode alterar Mostrar NotificationCenter de true para false em notif.mobileconfig.
Para configurar notificações:
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado.
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
BackgroundServices-prod-macOS-Default-MDE.Selecione Seguinte.
No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
Notif.mobileconfig.Selecione um Canal de implementação e, em seguida, selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Passo 6: Definições de acessibilidade
Este perfil é utilizado para permitir que Microsoft Defender para Endpoint no macOS acedam às definições de acessibilidade no Apple macOS High Sierra (10.13.6) e mais recentes.
Transfira accessibility.mobileconfig a partir do repositório do GitHub.
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado.
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
Accessibility-prod-macOS-Default-MDE.Selecione Seguinte.
No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
Accessibility.mobileconfig.Selecione um Canal de implementação.
Selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Passo 7: permissões Bluetooth
Atenção
O macOS 14 (Sonoma) contém novos melhoramentos de privacidade. A partir desta versão, por predefinição, as aplicações não podem aceder a Bluetooth sem consentimento explícito. Microsoft Defender para Endpoint utiliza-o se configurar políticas Bluetooth para Controlo de Dispositivos.
Transfira bluetooth.mobileconfig a partir do repositório do GitHub e utilize o mesmo fluxo de trabalho das definições de Acessibilidade acima para ativar o acesso Bluetooth.
Nota
O Bluetooth concedido através do Perfil de Configuração de MDM da Apple não se reflete nas Definições do Sistema => Privacidade & Segurança => Bluetooth.
Passo 8: Atualização Automática da Microsoft
Este perfil é utilizado para atualizar o Microsoft Defender para Endpoint no macOS através do Microsoft AutoUpdate (MAU). Se estiver a implementar Microsoft Defender para Endpoint no macOS, tem as opções para obter uma versão atualizada da aplicação (Atualização da Plataforma) que se encontra nos diferentes canais mencionados aqui:
- Beta (Insiders-Fast)
- Canal atual (Pré-visualização, Insiders-Slow)
- Canal atual (Produção)
Para obter mais informações, veja Implementar atualizações para Microsoft Defender para Endpoint no macOS.
Transfira AutoUpdate2.mobileconfig a partir do repositório do GitHub.
Nota
O exemplo autoUpdate2.mobileconfig do repositório do GitHub está definido como Canal Atual (Produção).
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado.
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo, e, em seguida,
MDATP onboarding for MacOSselecione Seguinte.No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
com.microsoft.autoupdate2.mobileconfig.Selecione um Canal de implementação.
Selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Passo 9: Microsoft Defender para Endpoint definições de configuração
Neste passo, vamos ver as "Preferências", que lhe permitem configurar políticas antimalware e EDR com Microsoft Defender portal e Microsoft Intune.
Definir políticas com o portal do Microsoft Defender
Aceda a Configurar Microsoft Defender para Endpoint no Intune antes de definir as políticas de segurança com Microsoft Defender.
Aceda a Gestão de configuração>Políticas de segurança de ponto final políticas>>macCreate nova política.
Em Selecionar Plataforma, selecione macOS.
Em Selecionar Modelo, escolha um modelo e selecione Create Política.
Introduza o Nome e a Descrição da política.
Selecione Seguinte.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Para obter mais informações sobre a gestão das definições de segurança, consulte:
- Gerir Microsoft Defender para Endpoint em dispositivos com Microsoft Intune
- Gerir definições de segurança para Windows, macOS e Linux nativamente no Defender para Endpoint
Definir políticas com Microsoft Intune
Pode gerir as definições de segurança do Microsoft Defender para Endpoint no macOS em Definir Preferências no Microsoft Intune.
Para obter mais informações, consulte Definir preferências para Microsoft Defender para Endpoint no Mac.
Passo 10: Proteção de rede para Microsoft Defender para Endpoint no macOS
Aceda a Gestão de configuração>Políticas de segurança de ponto final políticas>>macCreate nova política.
Em Selecionar Plataforma, selecione macOS.
Em Selecionar Modelo, selecione Microsoft Defender Antivírus e selecione Create Política.
No separador Informações básicas , introduza o Nome e a Descrição da política. Selecione Seguinte.
No separador Definições de Configuração , em Proteção de Rede, selecione um Nível de imposição. Selecione Seguinte.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja a política em Rever+Create e selecione Guardar.
Sugestão
Também pode configurar a proteção de rede ao anexar as informações da Proteção de rede para ajudar a impedir ligações macOS a sites incorretos para o .mobileconig a partir do passo 8.
Passo 11: Controlo de Dispositivos para Microsoft Defender para Endpoint no macOS
Para definir o Controlo de Dispositivos para Microsoft Defender para Endpoint no macOS, siga os passos em:
Passo 12: Prevenção de Perda de Dados (DLP) para Ponto Final
Para definir a Prevenção de Perda de Dados (DLP) do Purview para o ponto final no macOS, siga os passos em Integrar e remover dispositivos macOS em Soluções de conformidade com Microsoft Intune.
Passo 13: Verificar o estado de PList(.mobileconfig)
Depois de concluir a configuração do perfil, poderá rever o estado das políticas.
Ver Estado
Assim que as alterações Intune forem propagadas para os dispositivos inscritos, pode vê-las listadas em Monitorizar>Estado do dispositivo:
Configuração do dispositivo cliente
Uma instalação de Portal da Empresa padrão é suficiente para um dispositivo mac.
Confirme a gestão de dispositivos.
Selecione Abrir Preferências do Sistema, localize Perfil de Gestão na lista e selecione Aprovar.... O Perfil de Gestão seria apresentado como Verificado:
Selecione Continuar e conclua a inscrição.
Agora, pode inscrever mais dispositivos. Também pode inscrevê-los mais tarde, depois de concluir a configuração do sistema de aprovisionamento e os pacotes de aplicações.
No Intune, abra Gerir>Dispositivos>Todos os dispositivos. Aqui, pode ver o seu dispositivo entre os listados:
Verificar o estado do dispositivo cliente
Depois de os perfis de configuração serem implementados nos seus dispositivos, abraPerfis de Preferências> do Sistemano seu dispositivo Mac.
Verifique se os seguintes perfis de configuração estão presentes e instalados. O Perfil de Gestão deve ser o perfil de sistema Intune. Wdav-config e wdav-kext são perfis de configuração do sistema que foram adicionados no Intune:
Também deverá ver o ícone Microsoft Defender para Endpoint no canto superior direito.
Passo 14: Publicar aplicação
Este passo permite implementar Microsoft Defender para Endpoint em computadores inscritos.
No centro de administração do Microsoft Intune, abra Aplicações.
Selecione Por plataforma>macOS>Adicionar.
Em Tipo de aplicação, selecione macOS. Selecione Selecionar.
Nas Informações da aplicação, mantenha os valores predefinidos e selecione Seguinte.
No separador Tarefas , selecione Seguinte.
Reveja e Create. Pode visitar Aplicações>Por macOS de plataforma> para vê-lo na lista de todas as aplicações.
Para obter mais informações, veja Adicionar Microsoft Defender para Endpoint a dispositivos macOS com Microsoft Intune.
Importante
Deve criar e implementar os perfis de configuração na ordem acima (passo 1-13) para uma configuração de sistema bem-sucedida.
Passo 15: Transferir o pacote de inclusão
Para transferir os pacotes de inclusão a partir do portal do Microsoft 365 Defender:
No portal do Microsoft 365 Defender, aceda a DefiniçõesPontos Finais>Gestão de dispositivos>Integração>.
Defina o sistema operativo como macOS e o método de implementação como Mobile Gestão de Dispositivos/Microsoft Intune.
Selecione Transferir pacote de inclusão. Guarde-o como WindowsDefenderATPOnboardingPackage.zip no mesmo diretório.
Extraia o conteúdo do ficheiro .zip:
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip
warning: WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
inflating: intune/kext.xml
inflating: intune/WindowsDefenderATPOnboarding.xml
inflating: jamf/WindowsDefenderATPOnboarding.plist
Passo 16: Implementar o pacote de inclusão
Este perfil contém informações de licença para Microsoft Defender para Endpoint.
Para implementar o pacote de inclusão:
Em Perfis de configuração, selecione Create Perfil.
Em Plataforma, selecione macOS.
Em Tipo de perfil, selecione Modelos.
Em Nome do modelo, selecione Personalizado.
Selecione Criar.
No separador Informações básicas , atribua um nome ao perfil. Por exemplo,
Autoupdate-prod-macOS-Default-MDE. Selecione Seguinte.
No separador Definições de configuração , introduza um Nome de perfil de configuração personalizada . Por exemplo,
Autoupdate.mobileconfig.Selecione um Canal de implementação.
Selecione Seguinte.
Selecione um ficheiro de perfil de Configuração.
No separador Atribuições , atribua o perfil a um grupo onde estão localizados os dispositivos macOS e/ou utilizadores ou Todos os Utilizadores e Todos os dispositivos.
Reveja o perfil de configuração. Selecione Criar.
Abraperfis de Configuração de Dispositivos> para ver o perfil criado.
Passo 17: Verificar a deteção de antimalware
Veja o seguinte artigo para testar uma revisão da deteção de antimalware: Teste de deteção de antivírus para verificar os serviços de integração e relatórios do dispositivo
Passo 18: Verificar a deteção do EDR
Veja o seguinte artigo para testar uma revisão da deteção EDR: teste de deteção EDR para verificar a inclusão de dispositivos e os serviços de relatórios
Resolução de Problemas
Problema: não foi encontrada nenhuma licença.
Solução: siga os passos neste artigo para criar um perfil de dispositivo com WindowsDefenderATPOnboarding.xml.
Problemas de instalação do registo
Veja Problemas de instalação do registo para obter informações sobre como localizar o registo gerado automaticamente criado pelo instalador, quando ocorre um erro.
Para obter informações sobre procedimentos de resolução de problemas, consulte:
- Resolver problemas da extensão do sistema no Microsoft Defender para Endpoint no macOS
- Resolver problemas de instalação do Microsoft Defender para Endpoint no macOS
- Resolver problemas de licença do Microsoft Defender para Endpoint no macOS
- Resolver problemas de conectividade da cloud para Microsoft Defender para Endpoint no macOS
- Resolver problemas de desempenho do Microsoft Defender para Endpoint no macOS
Desinstalação
Veja Desinstalar para obter detalhes sobre como remover Microsoft Defender para Endpoint no macOS de dispositivos cliente.
Conteúdo recomendado
Adicionar Microsoft Defender para Endpoint a dispositivos macOS com Microsoft Intune
Saiba mais sobre como adicionar Microsoft Defender para Endpoint a dispositivos macOS com Microsoft Intune.
Exemplos de políticas de controlo de dispositivos para Intune
Saiba como utilizar políticas de controlo de dispositivos com exemplos que podem ser utilizados com Intune.
Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS
Descreve como implementar Microsoft Defender para Endpoint em funcionalidades do iOS.
Implementar Microsoft Defender para Endpoint no iOS com Microsoft Intune
Descreve como implementar Microsoft Defender para Endpoint no iOS com uma aplicação.
Configurar Microsoft Defender para Endpoint no Microsoft Intune
Descreve a ligação ao Defender para Endpoint, a inclusão de dispositivos, a atribuição de conformidade para níveis de risco e políticas de acesso condicional.
Resolver problemas e encontrar respostas sobre FAQs relacionadas com Microsoft Defender para Endpoint no iOS
Resolução de problemas e FAQ – Microsoft Defender para Endpoint no iOS.
Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
Descreve como configurar Microsoft Defender para Endpoint no Android.
Gerir o Defender para Endpoint em dispositivos Android no Intune – Azure
Configure Microsoft Defender para Endpoint proteção Web em dispositivos Android geridos por Microsoft Intune.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários