Implementación con un sistema de mobile Administración de dispositivos (MDM) diferente para Microsoft Defender para punto de conexión en macOS

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Requisitos previos y requisitos del sistema

Antes de empezar, consulte la página principal Microsoft Defender para punto de conexión en macOS para obtener una descripción de los requisitos previos y los requisitos del sistema para la versión actual del software.

Enfoque

Precaución

Actualmente, Microsoft admite oficialmente solo Intune y JAMF para la implementación y administración de Microsoft Defender para punto de conexión en macOS. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se proporciona a continuación.

Si su organización usa una solución mobile Administración de dispositivos (MDM) que no se admite oficialmente, esto no significa que no pueda implementar ni ejecutar Microsoft Defender para punto de conexión en macOS.

Microsoft Defender para punto de conexión en macOS no depende de ninguna característica específica del proveedor. Se puede usar con cualquier solución MDM que admita las siguientes características:

  • Implemente un .pkg de macOS en dispositivos administrados.
  • Implemente perfiles de configuración del sistema macOS en dispositivos administrados.
  • Ejecute una herramienta o script arbitrario configurados por el administrador en dispositivos administrados.

La mayoría de las soluciones MDM modernas incluyen estas características, pero pueden llamarlas de forma diferente.

Sin embargo, puede implementar Defender para punto de conexión sin el último requisito de la lista anterior:

  • No podrá recopilar el estado de forma centralizada.
  • Si decide desinstalar Defender para punto de conexión, deberá iniciar sesión en el dispositivo cliente localmente como administrador.

Implementación

La mayoría de las soluciones MDM usan el mismo modelo para administrar dispositivos macOS, con terminología similar. Use la implementación basada en JAMF como plantilla.

Paquete

Configure la implementación de un paquete de aplicación necesario, con el paquete de instalación (wdav.pkg) descargado de Microsoft Defender portal.

Advertencia

Volver a empaquetar el paquete de instalación de Defender para punto de conexión no es un escenario compatible. Esto puede afectar negativamente a la integridad del producto y dar lugar a resultados adversos, incluidos, entre otros, el desencadenamiento de alertas de manipulación y la no aplicación de actualizaciones.

Para implementar el paquete en la empresa, use las instrucciones asociadas a la solución MDM.

Configuración de licencia

Configurar un perfil de configuración del sistema.

La solución MDM puede llamarla como "Perfil de configuración personalizada", ya que Microsoft Defender para punto de conexión en macOS no forma parte de macOS.

Use la lista de propiedades jamf/WindowsDefenderATPOnboarding.plist, que se puede extraer de un paquete de incorporación descargado de Microsoft Defender portal. El sistema puede admitir una lista de propiedades arbitraria en formato XML. Puede cargar el archivo jamf/WindowsDefenderATPOnboarding.plist tal y como está en ese caso. Como alternativa, puede que primero necesite convertir la lista de propiedades a otro formato.

Normalmente, el perfil personalizado tiene un identificador, un nombre o un atributo de dominio. Debe usar exactamente "com.microsoft.wdav.atp" para este valor. MDM lo usa para implementar el archivo de configuración en /Library/Managed Preferences/com.microsoft.wdav.atp.plist en un dispositivo cliente, y Defender para punto de conexión usa este archivo para cargar la información de incorporación.

Perfiles de configuración del sistema

macOS requiere que un usuario apruebe manualmente y explícitamente ciertas funciones que una aplicación usa, por ejemplo, extensiones del sistema, ejecución en segundo plano, envío de notificaciones, acceso completo al disco, etc. Microsoft Defender para punto de conexión se basa en estas funciones y no puede funcionar correctamente hasta que se reciban todos estos consentimientos de un usuario.

Para conceder el consentimiento automáticamente en nombre de un usuario, un administrador inserta directivas del sistema a través de su sistema MDM. Esto es lo que se recomienda encarecidamente hacer, en lugar de depender de las aprobaciones manuales de los usuarios finales.

Proporcionamos todas las directivas que Microsoft Defender para punto de conexión requiere como archivos mobileconfig disponibles en https://github.com/microsoft/mdatp-xplat. Mobileconfig es un formato de importación o exportación de Apple que Apple Configurator u otros productos como iMazing Profile Editor admiten.

La mayoría de los proveedores de MDM admiten la importación de un archivo mobileconfig y la creación de un nuevo perfil de configuración personalizado.

Para configurar perfiles:

  1. Descubra cómo se realiza una importación de mobileconfig con el proveedor de MDM.
  2. Para todos los perfiles de https://github.com/microsoft/mdatp-xplat, descargue un archivo mobileconfig e impórelo.
  3. Asigne el ámbito adecuado para cada perfil de configuración creado.

Tenga en cuenta que Apple crea regularmente nuevos tipos de cargas con nuevas versiones del sistema operativo. Tendrá que visitar la página mencionada anteriormente y publicar nuevos perfiles una vez que estén disponibles. Publicamos notificaciones en nuestra página Novedades una vez que realizamos cambios así.

Comprobación del estado de la instalación

Ejecute Microsoft Defender para punto de conexión en un dispositivo cliente para comprobar el estado de incorporación.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.