Distribuzione manuale per Microsoft Defender per Endpoint in macOS

Si applica a:

Vuoi provare Defender per Endpoint? Iscriversi per una versione di valutazione gratuita.

Questo argomento descrive come distribuire Manualmente Microsoft Defender for Endpoint in macOS. Una distribuzione corretta richiede il completamento di tutti i passaggi seguenti:

Prerequisiti e requisiti di sistema

Prima di iniziare, vedi la pagina principale di Microsoft Defender per Endpoint su macOS per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Scaricare i pacchetti di installazione e onboarding

Scaricare i pacchetti di installazione e onboarding da Microsoft 365 Defender portale:

  1. In Microsoft 365 Defender portale, passare a Impostazioni > Endpoint > gestione dei dispositivi > Onboarding.

  2. Nella sezione 1 della pagina imposta il sistema operativo su macOS e il metodo di distribuzione su Script locale.

  3. Nella sezione 2 della pagina seleziona Scarica pacchetto di installazione. Salvarlo come wdav.pkg in una directory locale.

  4. Nella sezione 2 della pagina seleziona Scarica pacchetto di onboarding. Salvarlo come WindowsDefenderATPOnboardingPackage.zip nella stessa directory.

    Microsoft 365 Defender screenshot del portale.

  5. Da un prompt dei comandi, verificare di disporre dei due file.

Installazione dell'applicazione (macOS 10.15 e versioni precedenti)

Per completare questo processo, devi disporre dei privilegi di amministratore nel dispositivo.

  1. Passa al file wdav.pkg scaricato nel Finder e aprilo.

    Screenshot1 per l'installazione dell'app.

  2. Selezionare Continua, accettare le condizioni di licenza e immettere la password quando richiesto.

    Screenshot2 per l'installazione dell'app.

    Importante

    Verrà richiesto di consentire l'installazione di un driver di Microsoft ("Estensione di sistema bloccata" o "L'installazione è in attesa" o entrambe. Il driver deve essere autorizzato a essere installato.

    Screenshot3 per l'installazione dell'app.

  3. Seleziona Apri preferenze di sicurezza o Apri preferenze di sistema > Sicurezza & Privacy. Selezionare Consenti:

    Screenshot della finestra Sicurezza e privacy.

    L'installazione procede.

    Attenzione

    Se non si seleziona Consenti, l'installazione procederà dopo 5 minuti. Microsoft Defender for Endpoint verrà caricato, ma alcune funzionalità, ad esempio la protezione in tempo reale, verranno disabilitate. Per informazioni su come risolvere questo problema, vedi Risolvere i problemi relativi alle estensioni del kernel.

Nota

macOS potrebbe richiedere di riavviare il dispositivo alla prima installazione di Microsoft Defender per Endpoint. La protezione in tempo reale non sarà disponibile fino al riavvio del dispositivo.

Installazione dell'applicazione (macOS 11 e versioni successive)

Per completare questo processo, devi disporre dei privilegi di amministratore nel dispositivo.

  1. Passa al file wdav.pkg scaricato nel Finder e aprilo.

    Screenshot4 per l'installazione dell'app.

  2. Selezionare Continua, accettare le condizioni di licenza e immettere la password quando richiesto.

  3. Al termine del processo di installazione, verrà promosso per approvare le estensioni di sistema utilizzate dal prodotto. Selezionare Apri preferenze di sicurezza.

    Approvazione dell'estensione di sistema.

  4. Nella finestra Sicurezza & Privacy selezionare Consenti.

    Preferenze di sicurezza dell'estensione di sistema1.

  5. Ripeti i passaggi 3 & 4 per tutte le estensioni di sistema distribuite con Microsoft Defender per Endpoint su Mac.

  6. Come parte delle funzionalità di rilevamento e risposta degli endpoint, Microsoft Defender per Endpoint su Mac esamina il traffico socket e segnala queste informazioni al portale Microsoft 365 Defender. Quando viene richiesto di concedere a Microsoft Defender le autorizzazioni per Endpoint per filtrare il traffico di rete, selezionare Consenti.

    Preferenze di sicurezza dell'estensione di sistema2.

  7. Aprire Preferenze di sistema Sicurezza & Privacy e passare alla scheda Privacy. Concedere l'autorizzazione Accesso completo al disco a Microsoft Defender > ATP e Microsoft Defender ATP Endpoint Security Extension.

    Accesso completo al disco.

Configurazione client

  1. Copia wdav.pkg e MicrosoftDefenderATPOnboardingMacOs.py nel dispositivo in cui distribuisci Microsoft Defender per Endpoint in macOS.

    Il dispositivo client non è associato a org_id. L'attributo org_id è vuoto.

    mdatp health --field org_id
    
  2. Eseguire lo script Python per installare il file di configurazione:

    /usr/bin/python MicrosoftDefenderATPOnboardingMacOs.py
    
  3. Verifica che il dispositivo sia ora associato all'organizzazione e segnala un ID organizzazione valido:

    mdatp health --field org_id
    

    Dopo l'installazione, vedrai l'icona di Microsoft Defender nella barra di stato di macOS nell'angolo in alto a destra.

    Icona di Microsoft Defender nella schermata della barra di stato.

Come consentire l'accesso completo al disco

Attenzione

macOS 10.15 (Catalina) contiene nuovi miglioramenti alla sicurezza e alla privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non sono in grado di accedere ad alcune posizioni sul disco (ad esempio Documenti, Download, Desktop e così via) senza il consenso esplicito. In assenza di questo consenso, Microsoft Defender for Endpoint non è in grado di proteggere completamente il dispositivo.

  1. Per concedere il consenso, aprire Preferenze di sistema > Sicurezza & Privacy > Privacy Accesso > completo al disco. Fare clic sull'icona di blocco per apportare modifiche (nella parte inferiore della finestra di dialogo). Seleziona Microsoft Defender per Endpoint.

  2. Eseguire un test di rilevamento av per verificare che il dispositivo sia correttamente onboarded e segnalare al servizio. Eseguire la procedura seguente nel dispositivo appena onboarded:

    1. Verificare che la protezione in tempo reale sia abilitata (a seguito del risultato 1 dell'esecuzione del comando seguente):

      mdatp health --field real_time_protection_enabled
      
    2. Aprire una finestra terminale. Copiare ed eseguire il comando seguente:

      curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
      
    3. Il file dovrebbe essere stato messo in quarantena da Defender per Endpoint su Mac. Utilizzare il comando seguente per elencare tutte le minacce rilevate:

      mdatp threat list
      
  3. Eseguire un EDR test di rilevamento per verificare che il dispositivo sia correttamente onboarded e segnalare al servizio. Eseguire la procedura seguente nel dispositivo appena onboarded:

    1. Nel browser, ad esempio Microsoft Edge per Mac o Safari.

    2. Scarica MDATP MacOS DIY.zip https://aka.ms/mdatpmacosdiy ed estrai.

      Potrebbe essere richiesto:

      Vuoi consentire i download su "mdatpclientanalyzer.blob.core.windows.net"?
      Puoi modificare i siti Web che possono scaricare i file in Preferenze siti Web.

  4. Fare clic su Consenti.

  5. Apri Download.

  6. Dovrebbe essere visualizzato MDATP MacOS FAI DA TE.

    Suggerimento

    Se si fa doppio clic, verrà visualizzato il messaggio seguente:

    "MDATP MacOS DIY" non può essere aperto perché lo sviluppatore non può essere verificatore.
    macOS non è in grado di verificare che questa app sia libera da malware.
    [ Sposta nel ] Cestino [ Annulla ]

  7. Fare clic su Annulla.

  8. Fare clic con il pulsante destro del mouse su MDATP MacOS DIY e quindi scegliere Apri.

    Il sistema dovrebbe visualizzare il messaggio seguente:

    macOS non può verificare lo sviluppatore di MDATP MacOS FAI-da-to. Si è certi di volerlo aprire?
    Aprendo questa app, sovrascrivi la sicurezza del sistema che può esporre il computer e le informazioni personali a malware che potrebbero danneggiare il Mac o compromettere la privacy.

  9. Fare clic su Apri.

    Il sistema dovrebbe visualizzare il messaggio seguente:

    Microsoft Defender for Endpoint - file di test fai da EDR macOS
    L'avviso corrispondente sarà disponibile nel portale MDATP.

  10. Fare clic su Apri.

    In pochi minuti dovrebbe essere generato un avviso denominato "macOS EDR Test Alert".

  11. Passare a Microsoft 365 Defender portale ( https://security.microsoft.com/) .

  12. Passare alla coda degli avvisi.

    Esempio di un avviso di EDR macOS che mostra gravità, categoria, origine di rilevamento e un menu di azioni compresso.

    Guarda i dettagli dell'avviso e la sequenza temporale del dispositivo ed esegui i passaggi di indagine regolari.

Registrazione dei problemi di installazione

Per ulteriori informazioni su come trovare il registro generato automaticamente creato dal programma di installazione quando si verifica un errore, vedere Registrazione dei problemi di installazione.

Disinstallazione

Vedi Disinstallazione per informazioni dettagliate su come rimuovere Microsoft Defender per Endpoint su macOS dai dispositivi client.