Establecer preferencias para Microsoft Defender para endpoint en macOS

Se aplica a:

Importante

Este artículo contiene instrucciones sobre cómo establecer las preferencias de Microsoft Defender para Endpoint en macOS en organizaciones empresariales. Para configurar Microsoft Defender para endpoint en macOS mediante la interfaz de línea de comandos, vea Resources.

Resumen

En organizaciones empresariales, Microsoft Defender para Endpoint en macOS se puede administrar a través de un perfil de configuración que se implementa mediante una de varias herramientas de administración. Las preferencias administradas por el equipo de operaciones de seguridad tienen prioridad sobre las preferencias que se establecen localmente en el dispositivo. Cambiar las preferencias que se establecen a través del perfil de configuración requiere privilegios escalados y no está disponible para usuarios sin permisos administrativos.

En este artículo se describe la estructura del perfil de configuración, se incluye un perfil recomendado que puede usar para empezar y se proporcionan instrucciones sobre cómo implementar el perfil.

Estructura de perfiles de configuración

El perfil de configuración es un archivo .plist que consta de entradas identificadas por una clave (que indica el nombre de la preferencia), seguido de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser simples (como un valor numérico) o complejos, como una lista anidada de preferencias.

Precaución

El diseño del perfil de configuración depende de la consola de administración que se use. Las secciones siguientes contienen ejemplos de perfiles de configuración para JAMF e Intune.

El nivel superior del perfil de configuración incluye las preferencias de todo el producto y las entradas para las subáreas de Microsoft Defender para endpoint, que se explican con más detalle en las secciones siguientes.

Preferencias del motor antivirus

La sección antivirusEngine del perfil de configuración se usa para administrar las preferencias del componente antivirus de Microsoft Defender para endpoint.



Sección Valor
Dominio com.microsoft.wdav
Clave antivirusEngine
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.

Nivel de aplicación para el motor antivirus

Especifica la preferencia de cumplimiento del motor antivirus. Existen tres valores para establecer el nivel de cumplimiento:

  • En tiempo real (real_time): la protección en tiempo real (archivos de examen a medida que se accede a ellos) está habilitada.
  • A petición (on_demand): los archivos se examinan solo a petición. En esto:
    • La protección en tiempo real está desactivada.
  • Pasivo (passive): ejecuta el motor antivirus en modo pasivo. En esto:
    • La protección en tiempo real está desactivada.
    • El examen a petición está activado.
    • La corrección automática de amenazas está desactivada.
    • Las actualizaciones de inteligencia de seguridad están activadas.
    • El icono del menú Estado está oculto.


Sección Valor
Dominio com.microsoft.wdav
Clave enforcementLevel
Tipo de datos Cadena
Posibles valores real_time (valor predeterminado)

on_demand

pasivo

Comments Disponible en Microsoft Defender para endpoint versión 101.10.72 o posterior.

Ejecutar un examen después de actualizar las definiciones

Especifica si se debe iniciar un examen de proceso después de que se descarguen nuevas actualizaciones de inteligencia de seguridad en el dispositivo. Al habilitar esta configuración, se desencadenará un examen antivirus en los procesos en ejecución del dispositivo.



Sección Valor
Dominio com.microsoft.wdav
Clave scanAfterDefinitionUpdate
Tipo de datos Booleano
Posibles valores true (valor predeterminado)

false

Comments Disponible en Microsoft Defender para endpoint versión 101.41.10 o posterior.

Examinar archivos (solo exámenes antivirus a petición)

Especifica si se deben examinar los archivos durante los exámenes antivirus a petición.



Sección Valor
Dominio com.microsoft.wdav
Clave scanArchives
Tipo de datos Booleano
Posibles valores true (valor predeterminado)

false

Comments Disponible en Microsoft Defender para endpoint versión 101.41.10 o posterior.

Grado de paralelismo para exámenes a petición

Especifica el grado de paralelismo de los exámenes a petición. Esto corresponde al número de subprocesos usados para realizar el examen y afecta al uso de la CPU, así como a la duración del examen a petición.



Sección Valor
Dominio com.microsoft.wdav
Clave maximumOnDemandScanThreads
Tipo de datos Entero
Posibles valores 2 (valor predeterminado). Los valores permitidos son enteros entre 1 y 64.
Comments Disponible en Microsoft Defender para endpoint versión 101.41.10 o posterior.

Directiva de combinación de exclusión

Especifique la directiva de combinación para exclusiones. Puede ser una combinación de exclusiones definidas por el administrador y definidas por el usuario (merge) o solo exclusiones definidas por el administrador (admin_only). Esta configuración se puede usar para restringir que los usuarios locales definan sus propias exclusiones.



Sección Valor
Dominio com.microsoft.wdav
Clave exclusionsMergePolicy
Tipo de datos Cadena
Posibles valores merge (valor predeterminado)

admin_only

Comments Disponible en Microsoft Defender para endpoint versión 100.83.73 o posterior.

Exclusiones de análisis

Especifique las entidades que no se han analizado. Las exclusiones se pueden especificar por rutas de acceso completas, extensiones o nombres de archivo. (Las exclusiones se especifican como una matriz de elementos, el administrador puede especificar tantos elementos como sea necesario, en cualquier orden).



Sección Valor
Dominio com.microsoft.wdav
Clave exclusiones
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.
Tipo de exclusión

Especifique el contenido excluido de ser examinado por tipo.



Sección Valor
Dominio com.microsoft.wdav
Clave $type
Tipo de datos Cadena
Posibles valores excludedPath

excludedFileExtension

excludedFileName

Ruta de acceso al contenido excluido

Especifique el contenido excluido de ser examinado por la ruta de acceso de archivo completa.



Sección Valor
Dominio com.microsoft.wdav
Clave path
Tipo de datos Cadena
Posibles valores rutas de acceso válidas
Comments Aplicable solo si $type se excluyePath

Tipos de exclusión admitidos

En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para Endpoint en Mac.



Exclusión Definición Ejemplos
Extensión de archivo Todos los archivos con la extensión, en cualquier lugar del dispositivo .test
Archivo Un archivo específico identificado por la ruta de acceso completa /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Folder Todos los archivos de la carpeta especificada (recursivamente) /var/log/

/var/*/

Proceso Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él /bin/cat

cat

c?t

Importante

Las rutas anteriores deben ser vínculos duros, no vínculos simbólicos, para poder excluirse correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico ejecutando file <path-name>.

Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:



Carácter comodín Descripción Ejemplo Coincidencias No coincide
* Coincide con cualquier número de caracteres, incluido ninguno (tenga en cuenta que cuando se usa este comodín dentro de una ruta de acceso, solo sustituirá una carpeta) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Coincide con cualquier carácter file?.log file1.log

file2.log

file123.log

Tipo de ruta de acceso (archivo/directorio)

Indica si la propiedad path hace referencia a un archivo o directorio.



Sección Valor
Dominio com.microsoft.wdav
Clave isDirectory
Tipo de datos Booleano
Posibles valores false (predeterminado)

true

Comments Aplicable solo si $type se excluyePath

Extensión de archivo excluida del examen

Especifique el contenido excluido de la extensión de archivo.



Sección Valor
Dominio com.microsoft.wdav
Clave extensión
Tipo de datos Cadena
Posibles valores extensiones de archivo válidas
Comments Aplicable solo si $type se excluyeFileExtension

Proceso excluido del examen

Especifique un proceso para el que se excluya toda la actividad de archivo del examen. El proceso se puede especificar por su nombre (por ejemplo, cat) o la ruta de acceso completa (por ejemplo, /bin/cat).



Sección Valor
Dominio com.microsoft.wdav
Clave name
Tipo de datos Cadena
Posibles valores cualquier cadena
Comments Aplicable solo si $type se excluyeFileName

Amenazas permitidas

Especifica las amenazas por nombre que no estén bloqueadas por Defender para Endpoint en Mac. Estas amenazas podrán ejecutarse.



Sección Valor
Dominio com.microsoft.wdav
Clave allowedThreats
Tipo de datos Matriz de cadenas

Acciones de amenazas no permitidas

Restringe las acciones que el usuario local de un dispositivo puede realizar cuando se detectan amenazas. Las acciones incluidas en esta lista no se muestran en la interfaz de usuario.



Sección Valor
Dominio com.microsoft.wdav
Clave disallowedThreatActions
Tipo de datos Matriz de cadenas
Posibles valores permitir (restringe a los usuarios permitir amenazas)

restore (restringe a los usuarios la restauración de amenazas desde la cuarentena)

Comments Disponible en Microsoft Defender para endpoint versión 100.83.73 o posterior.

Configuración del tipo de amenaza

Especifica cómo se controlan determinados tipos de amenazas por Microsoft Defender para Endpoint en macOS.



Sección Valor
Dominio com.microsoft.wdav
Clave threatTypeSettings
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.
Tipo de amenaza

Especifique tipos de amenazas.



Sección Valor
Dominio com.microsoft.wdav
Clave clave
Tipo de datos Cadena
Posibles valores potentially_unwanted_application

archive_bomb

Acción que puede realizar

Especifique qué acción realizar cuando se detecte una amenaza del tipo especificado en la sección anterior. Seleccione una de las opciones siguientes:

  • Auditoría: el dispositivo no está protegido contra este tipo de amenaza, pero se registra una entrada sobre la amenaza.
  • Bloquear: el dispositivo está protegido contra este tipo de amenaza y se te notificará en la interfaz de usuario y en la consola de seguridad.
  • Desactivado: el dispositivo no está protegido contra este tipo de amenaza y no se registra nada.


Sección Valor
Dominio com.microsoft.wdav
Clave valor
Tipo de datos Cadena
Posibles valores auditoría (valor predeterminado)

bloque

off

Directiva de combinación de configuración de tipo de amenaza

Especifique la directiva de combinación para la configuración del tipo de amenaza. Puede ser una combinación de opciones definidas por el administrador y definidas por el usuario (merge) o solo opciones definidas por el administrador (admin_only). Esta configuración se puede usar para restringir que los usuarios locales definan su propia configuración para diferentes tipos de amenazas.



Sección Valor
Dominio com.microsoft.wdav
Clave threatTypeSettingsMergePolicy
Tipo de datos Cadena
Posibles valores merge (valor predeterminado)

admin_only

Comments Disponible en Microsoft Defender para endpoint versión 100.83.73 o posterior.

Retención del historial de examen antivirus (en días)

Especifica el número de días que los resultados se conservan en el historial de examen del dispositivo. Los resultados del examen antiguos se quitan del historial. Archivos antiguos en cuarentena que también se quitan del disco.



Sección Valor
Dominio com.microsoft.wdav
Clave scanResultsRetentionDays
Tipo de datos Cadena
Posibles valores 90 (valor predeterminado). Los valores permitidos van de 1 día a 180 días.
Comments Disponible en Microsoft Defender para endpoint versión 101.07.23 o posterior.

Número máximo de elementos en el historial de examen antivirus

Especifique el número máximo de entradas que se deben conservar en el historial de examen. Las entradas incluyen todos los exámenes a petición realizados en el pasado y todas las detecciones de antivirus.



Sección Valor
Dominio com.microsoft.wdav
Clave scanHistoryMaximumItems
Tipo de datos Cadena
Posibles valores 10000 (valor predeterminado). Los valores permitidos van de 5000 elementos a 15000 elementos.
Comments Disponible en Microsoft Defender para endpoint versión 101.07.23 o posterior.

Preferencias de protección entregadas en la nube

Configure las características de protección controlada por la nube de Microsoft Defender para Endpoint en macOS.



Sección Valor
Dominio com.microsoft.wdav
Clave cloudService
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.

Habilitar o deshabilitar la protección entregada en la nube

Especifica si se va a habilitar la protección entregada en la nube del dispositivo o no. Para mejorar la seguridad de los servicios, se recomienda mantener activada esta característica.



Sección Valor
Dominio com.microsoft.wdav
Clave habilitado
Tipo de datos Booleano
Posibles valores true (valor predeterminado)

false

Nivel de recopilación de diagnóstico

Los datos de diagnóstico se usan para mantener Microsoft Defender for Endpoint seguro y actualizado, detectar, diagnosticar y corregir problemas y también realizar mejoras en el producto. Esta configuración determina el nivel de diagnóstico enviado por Microsoft Defender para Endpoint a Microsoft.



Sección Valor
Dominio com.microsoft.wdav
Clave diagnosticLevel
Tipo de datos Cadena
Posibles valores opcional (predeterminado)

necesario

Habilitar o deshabilitar envíos de ejemplo automáticos

Determina si se envían muestras sospechosas (que probablemente contengan amenazas) a Microsoft. Se le preguntará si es probable que el archivo enviado contenga información personal.



Sección Valor
Dominio com.microsoft.wdav
Clave automaticSampleSubmission
Tipo de datos Booleano
Posibles valores true (valor predeterminado)

false

Habilitar o deshabilitar actualizaciones automáticas de inteligencia de seguridad

Determina si las actualizaciones de inteligencia de seguridad se instalan automáticamente:



Sección Valor
Clave automaticDefinitionUpdateEnabled
Tipo de datos Booleano
Posibles valores true (valor predeterminado)

false

Preferencias de la interfaz de usuario

Administrar las preferencias de la interfaz de usuario de Microsoft Defender para Endpoint en macOS.



Sección Valor
Dominio com.microsoft.wdav
Clave userInterface
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.

Mostrar u ocultar icono de menú de estado

Especifique si desea mostrar u ocultar el icono del menú de estado en la esquina superior derecha de la pantalla.



Sección Valor
Dominio com.microsoft.wdav
Clave hideStatusMenuIcon
Tipo de datos Booleano
Posibles valores false (predeterminado)

true

Mostrar u ocultar opción para enviar comentarios

Especifica si los usuarios pueden enviar comentarios a Microsoft yendo a Help > Send Feedback.



Sección Valor
Dominio com.microsoft.wdav
Clave userInitiatedFeedback
Tipo de datos Cadena
Posibles valores habilitado (predeterminado)

deshabilitado

Comments Disponible en Microsoft Defender para endpoint versión 101.19.61 o posterior.

Controlar el inicio de sesión en la versión de consumidor de Microsoft Defender

Especifica si los usuarios pueden iniciar sesión en la versión de consumidor de Microsoft Defender.



Sección Valor
Dominio com.microsoft.wdav
Clave consumerExperience
Tipo de datos Cadena
Posibles valores habilitado (predeterminado)

deshabilitado

Comments Disponible en Microsoft Defender para endpoint versión 101.60.18 o posterior.

Preferencias de detección y respuesta de extremos

Administrar las preferencias del componente detección y respuesta de puntos de conexión (EDR) de Microsoft Defender para endpoint en macOS.



Sección Valor
Dominio com.microsoft.wdav
Clave edr
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.

Etiquetas de dispositivo

Especifique un nombre de etiqueta y su valor.

  • La etiqueta GROUP, etiqueta el dispositivo con el valor especificado. La etiqueta se refleja en el portal en la página del dispositivo y se puede usar para filtrar y agrupar dispositivos.


Sección Valor
Dominio com.microsoft.wdav
Clave tags
Tipo de datos Diccionario (preferencia anidada)
Comments Vea las secciones siguientes para obtener una descripción del contenido del diccionario.
Tipo de etiqueta

Especifica el tipo de etiqueta



Sección Valor
Dominio com.microsoft.wdav
Clave clave
Tipo de datos Cadena
Posibles valores GROUP
Valor de etiqueta

Especifica el valor de la etiqueta



Sección Valor
Dominio com.microsoft.wdav
Clave valor
Tipo de datos Cadena
Posibles valores cualquier cadena

Importante

  • Solo se puede establecer un valor por tipo de etiqueta.
  • El tipo de etiquetas es único y no debe repetirse en el mismo perfil de configuración.

Para empezar, se recomienda la siguiente configuración para que la empresa aproveche todas las características de protección que proporciona Microsoft Defender para endpoint.

El siguiente perfil de configuración (o, en el caso de JAMF, una lista de propiedades que podría cargarse en el perfil de configuración de configuración personalizada) será:

  • Habilitar la protección en tiempo real (RTP)
  • Especifique cómo se controlan los siguientes tipos de amenazas:
    • Las aplicaciones potencialmente no deseadas (PUA) están bloqueadas
    • Las bombas de archivo (archivo con una tasa de compresión alta) se auditan en Microsoft Defender para los registros de punto de conexión
  • Habilitar actualizaciones automáticas de inteligencia de seguridad
  • Habilitar la protección proporcionada en la nube
  • Habilitar el envío automático de muestra
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Ejemplo de perfil de configuración completa

Las plantillas siguientes contienen entradas para todas las configuraciones descritas en este documento y se pueden usar para escenarios más avanzados en los que desea tener más control sobre Microsoft Defender para Endpoint en macOS.

Lista de propiedades para el perfil de configuración completa de JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Perfil completo de Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Validación de lista de propiedades

La lista de propiedades debe ser un archivo .plist válido. Esto se puede comprobar ejecutando:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Si el archivo está bien formado, el comando anterior OK genera y devuelve un código de salida de 0. De lo contrario, se muestra un error que describe el problema y el comando devuelve un código de salida de 1.

Implementación de perfiles de configuración

Una vez que haya creado el perfil de configuración para su empresa, puede implementarlo a través de la consola de administración que usa su empresa. En las secciones siguientes se proporcionan instrucciones sobre cómo implementar este perfil con JAMF e Intune.

Implementación de JAMF

En la consola JAMF, abra Perfiles > de configuración de equipos, vaya al perfil de configuración que desea usar y, a continuación, seleccione Configuración. Cree una entrada con como com.microsoft.wdav dominio de preferencia y cargue el .plist generado anteriormente.

Precaución

Debe especificar el dominio de preferencia correcto (com.microsoft.wdav); de lo contrario, Microsoft Defender no reconocerá las preferencias para endpoint.

Implementación de Intune

  1. Abre Administrar configuración > de dispositivo. Seleccione Administrar > perfiles Crear > perfil.

  2. Elija un nombre para el perfil. Cambie Platform=macOS a Profile type=Custom. Seleccione Configurar.

  3. Guarde el .plist generado anteriormente como com.microsoft.wdav.xml.

  4. Escriba com.microsoft.wdav como el nombre del perfil de configuración personalizado.

  5. Abra el perfil de configuración y cargue el com.microsoft.wdav.xml archivo. (Este archivo se creó en el paso 3).

  6. Seleccione Aceptar.

  7. Seleccione Administrar > asignaciones. En la pestaña Incluir , seleccione Asignar a todos los usuarios & todos los dispositivos.

Precaución

Debe escribir el nombre del perfil de configuración personalizado correcto; de lo contrario, Microsoft Defender no reconocerá estas preferencias para endpoint.

Recursos