Implantação baseada no Intune para o Microsoft Defender para Ponto de Extremidade no macOS

Aplica-se a:

Este tópico descreve como implantar o Microsoft Defender para Ponto de Extremidade no macOS por meio do Intune. Uma implantação bem-sucedida requer a conclusão de todas as etapas a seguir:

  1. Baixar o pacote de integração
  2. Configuração de dispositivo cliente
  3. Aprovar extensões do sistema
  4. Criar perfis de configuração do sistema
  5. Publicar aplicativo

Pré-requisitos e requisitos do sistema

Antes de começar, consulte a página principal do Microsoft Defender para Ponto de Extremidade no macOS para obter uma descrição dos pré-requisitos e requisitos do sistema para a versão de software atual.

Visão Geral

A tabela a seguir resume as etapas necessárias para implantar e gerenciar o Microsoft Defender para Ponto de Extremidade em Macs, por meio do Intune. Etapas mais detalhadas estão disponíveis abaixo.



Etapa Exemplo de nomes de arquivo BundleIdentifier
Baixar o pacote de integração WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Aprovar Extensão do Sistema para o Microsoft Defender para Ponto de Extremidade MDATP_SysExt.xml N/D
Aprovar Extensão de Kernel para o Microsoft Defender para Ponto de Extremidade MDATP_KExt.xml N/D
Conceder acesso em disco completo ao Microsoft Defender para Ponto de Extremidade MDATP_tcc_Catalina_or_newer.xml com.microsoft.wdav.tcc
Política de Extensão de Rede MDATP_NetExt.xml N/D
Configurar o Microsoft AutoUpdate (MAU) MDATP_Microsoft_AutoUpdate.xml com.microsoft.autoupdate2
Configurações do Microsoft Defender para Ponto de Extremidade

Observação: Se você estiver planejando executar um AV de terceiros para macOS, de acordo passiveMode com true .

MDATP_WDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Configurar notificações do Microsoft Defender para Endpoint e MS AutoUpdate (MAU) MDATP_MDAV_Tray_and_AutoUpdate2.mobileconfig com.microsoft.autoupdate2 ou com.microsoft.wdav.tray

Baixar o pacote de integração

Baixe os pacotes de integração Microsoft 365 Defender portal:

  1. No Microsoft 365 Defender portal, acesse Configurações > Endpoints Gerenciamento > de > dispositivos Integrando.

  2. De definir o sistema operacional como macOS e o método de implantação como Gerenciamento de Dispositivo Móvel/Microsoft Intune.

    Captura de tela de configurações de integração.

  3. Selecione Baixar pacote de integração. Salve-o comoWindowsDefenderATPOnboardingPackage.zip no mesmo diretório.

  4. Extraia o conteúdo do arquivo .zip:

    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
      inflating: intune/kext.xml
      inflating: intune/WindowsDefenderATPOnboarding.xml
      inflating: jamf/WindowsDefenderATPOnboarding.plist
    

Criar perfis de configuração do sistema

A próxima etapa é criar perfis de configuração do sistema que o Microsoft Defender for Endpoint precisa. No centro de Microsoft Endpoint Manager de administração,abra perfis de > Configuração de Dispositivos.

Blob de integração

Este perfil contém informações de licença para o Microsoft Defender para Ponto de Extremidade, sem ele informará que não está licenciado.

  1. Selecione Criar Perfil em Perfis de Configuração.

  2. Selecione Plataforma = macOS, Modelos de tipo de = perfil. Nome do modelo = Personalizado. Clique em Criar.

    Criação do Perfil de Configuração Personalizado.

  3. Escolha um nome para o perfil, por exemplo, "Defender for Cloud ou Endpoint onboarding for macOS". Clique em Avançar.

    Perfil de Configuração Personalizado - nome.

  4. Escolha um nome para o nome do perfil de configuração, por exemplo, "Defender para integração do ponto de extremidade para macOS".

  5. Selecione o intune/WindowsDefenderATPOnboarding.xml que você extraiu do pacote de integração acima como arquivo de perfil de configuração.

    Importe uma configuração de um arquivo para o Perfil de Configuração Personalizado.

  6. Clique em Avançar.

  7. Atribuir dispositivos na guia Atribuição. Clique em Próximo.

    Perfil de Configuração Personalizado - atribuição.

  8. Revisar e criar.

  9. Abra perfis > de configuração de dispositivos, você pode ver seu perfil criado lá.

    Perfil de Configuração Personalizado - feito.

Aprovar extensões do sistema

Esse perfil é necessário para macOS 10.15 (Catalina) ou mais novo. Ele será ignorado em macOS mais antigo.

  1. Selecione Criar Perfil em Perfis de Configuração.

  2. Selecione Plataforma = macOS, Modelos de tipo de = perfil. Nome do modelo = Extensões. Clique em Criar.

  3. Na guia Noções Básicas, dê um nome a esse novo perfil.

  4. Na guia Configuração de configurações, expanda Extensões do Sistema adicione as seguintes entradas na seção Extensões de sistema permitidos:

    Identificador de pacote Identificador de equipe
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Configurações de extensão do sistema.

  5. Na guia Atribuições, atribua esse perfil a Todos os Usuários & Todos os dispositivos.

  6. Revise e crie esse perfil de configuração.

Extensões de Kernel

Esse perfil é necessário para macOS 10.15 (Catalina) ou mais antigo. Ele será ignorado no macOS mais novo.

Cuidado

Os dispositivos Apple Silicon (M1) não suportam KEXT. A instalação de um perfil de configuração que consiste em políticas KEXT falhará nesses dispositivos.

  1. Selecione Criar Perfil em Perfis de Configuração.

  2. Selecione Plataforma = macOS, Modelos de tipo de = perfil. Nome do modelo = Extensões. Clique em Criar.

  3. Na guia Noções Básicas, dê um nome a esse novo perfil.

  4. Na guia Configuração, expanda Extensões de Kernel.

  5. De definir o identificador de equipe como UBF8T346G9 e clique em Próximo.

    Configurações de extensão de kernel.

  6. Na guia Atribuições, atribua esse perfil a Todos os Usuários & Todos os dispositivos.

  7. Revise e crie esse perfil de configuração.

Acesso total ao disco

Cuidado

O macOS 10.15 (Catalina) contém novos aprimoramentos de segurança e privacidade. A partir dessa versão, por padrão, os aplicativos não são capazes de acessar determinados locais no disco (como Documentos, Downloads, Área de Trabalho, etc.) sem consentimento explícito. Na ausência desse consentimento, o Microsoft Defender para Ponto de Extremidade não é capaz de proteger totalmente seu dispositivo.

Esse perfil de configuração concede acesso total em disco ao Microsoft Defender para Ponto de Extremidade. Se você configurou anteriormente o Microsoft Defender para Ponto de Extremidade por meio do Intune, recomendamos atualizar a implantação com esse perfil de configuração.

Baixe fulldisk.mobileconfig em nosso repositório GitHub .

Siga as instruções para o blob onboarding acima, usando "Defender for Endpoint Full Disk Access" como nome de perfil e baixado fulldisk.mobileconfig como nome de perfil de configuração.

Filtro de Rede

Como parte dos recursos de Detecção e Resposta do Ponto de Extremidade, o Microsoft Defender para Ponto de Extremidade no macOS inspeciona o tráfego de soquete e relata essas informações ao portal Microsoft 365 Defender. A política a seguir permite que a extensão de rede execute essa funcionalidade.

Baixe netfilter.mobileconfig em nosso repositório GitHub.

Siga as instruções para o blob onboarding acima, usando "Defender for Endpoint Network Filter" como nome de perfil e baixado netfilter.mobileconfig como nome de perfil de configuração.

Notificações

Esse perfil é usado para permitir que o Microsoft Defender para o Ponto de Extremidade no macOS e o Microsoft Auto Update eximem notificações na interface do usuário no macOS 10.15 (Catalina) ou mais recente.

Baixe notif.mobileconfig em nosso repositório GitHub.

Siga as instruções para o blob onboarding acima, usando "Defender for Endpoint Notifications" como nome de perfil e baixado notif.mobileconfig como nome de perfil de configuração.

Exibir Status

Depois que as alterações do Intune são propagadas para os dispositivos inscritos, você pode vê-las listadas em Monitor > Device status:

Exibição do Status do Dispositivo no Monitor.

Publicar aplicativo

Esta etapa permite a implantação do Microsoft Defender para Ponto de Extremidade em máquinas inscritas.

  1. No centro Microsoft Endpoint Manager de administração,abra Aplicativos.

    Pronto para criar aplicativo.

  2. Selecione Por plataforma > macOS > Adicionar.

  3. Escolha Tipo de aplicativo = macOS, clique em Selecionar.

    Especifique o tipo de aplicativo.

  4. Mantenha valores padrão, clique em Próximo.

    Propriedades do aplicativo.

  5. Adicionar atribuições, clique em Próximo.

    Captura de tela de informações de atribuições do Intune.

  6. Revisar e criar.

  7. Você pode visitar Aplicativos > Por > plataforma macOS para vê-lo na lista de todos os aplicativos.

    Lista de aplicativos.

Para obter mais informações, consulte Add Microsoft Defender for Endpoint to macOS devices using Microsoft Intune.)

Cuidado

Você precisa criar todos os perfis de configuração necessários e insinuá-los em todos os dispositivos, conforme explicado acima.

Configuração de dispositivo cliente

Você não precisa de nenhum provisionamento especial para um dispositivo Mac além de uma instalação Portal da Empresa padrão.

  1. Confirme o gerenciamento de dispositivos.

    Confirme a captura de tela de gerenciamento de dispositivos.

    Selecione Abrir Preferências do Sistema, localize o Perfil de Gerenciamento na lista e selecione Aprovar.... Seu Perfil de Gerenciamento seria exibido como Verificado:

    Captura de tela de perfil de gerenciamento.

  2. Selecione Continuar e conclua o registro.

    Agora você pode registrar mais dispositivos. Você também pode inscrevi-los mais tarde, depois de terminar de provisionar a configuração do sistema e os pacotes de aplicativos.

  3. No Intune, abra Gerenciar > Dispositivos > Todos os dispositivos. Aqui você pode ver seu dispositivo entre os listados:

    Adicionar captura de tela dispositivos.

Verificar o estado do dispositivo cliente

  1. Depois que os perfis de configuração são implantados em seus dispositivos, abra Perfis de Preferências do Sistema > em seu dispositivo Mac.

    Captura de tela preferências do sistema.

    Captura de tela Perfis de Preferências do Sistema.

  2. Verifique se os perfis de configuração a seguir estão presentes e instalados. O Perfil de Gerenciamento deve ser o perfil do sistema do Intune. O Wdav-config e o wdav-kext são perfis de configuração do sistema que foram adicionados ao Intune:

    Captura de tela de perfis.

  3. Você também deve ver o ícone do Microsoft Defender para Ponto de Extremidade no canto superior direito:

    Ícone do Microsoft Defender para Ponto de Extremidade na captura de tela da barra de status.

Solução de problemas

Problema: nenhuma licença encontrada.

Solução: siga as etapas acima para criar um perfil de dispositivo usando WindowsDefenderATPOnboarding.xml.

Problemas de instalação de log

Para obter mais informações sobre como encontrar o log gerado automaticamente que é criado pelo instalador quando ocorre um erro,consulte Logging installation issues .

Desinstalação

Consulte Desinstalar para obter detalhes sobre como remover o Microsoft Defender para o Ponto de Extremidade no macOS de dispositivos cliente.