Configurar o Microsoft Defender para Ponto de Extremidade em políticas macOS no Jamf Pro

  • Artigo

Aplica-se a:

Esta página orientará você pelas etapas necessárias para configurar políticas macOS no Jamf Pro.

Você precisará seguir as seguintes etapas:

  1. Obter o pacote de integração Microsoft Defender para Ponto de Extremidade
  2. Create um perfil de configuração no Jamf Pro usando o pacote de integração
  3. Configurar configurações de Microsoft Defender para Ponto de Extremidade
  4. Configurar configurações de notificação Microsoft Defender para Ponto de Extremidade
  5. Configurar o MAU (Microsoft AutoUpdate)
  6. Conceder acesso completo ao disco ao Microsoft Defender para Ponto de Extremidade
  7. Aprovar extensões do sistema para Microsoft Defender para Ponto de Extremidade
  8. Configurar a extensão de rede
  9. Configurar serviços em segundo plano
  10. Conceder permissões Bluetooth
  11. Agendar verificações com Microsoft Defender para Ponto de Extremidade no macOS
  12. Implantar Microsoft Defender para Ponto de Extremidade no macOS

Etapa 1: obter o pacote de integração Microsoft Defender para Ponto de Extremidade

  1. Em Microsoft Defender XDR, navegue até Configurações > de Integração de Pontos > de Extremidade.

  2. Selecione macOS como o sistema operacional e o mobile Gerenciamento de Dispositivos/Microsoft Intune como o método de implantação.

    A página Configurações.

  3. Selecione Baixar pacote de integração (WindowsDefenderATPOnboardingPackage.zip).

  4. Extrair WindowsDefenderATPOnboardingPackage.zip.

  5. Copie o arquivo para o local preferido. Por exemplo, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Etapa 2: Create um perfil de configuração no Jamf Pro usando o pacote de integração

  1. Localize o arquivo WindowsDefenderATPOnboarding.plist da seção anterior.

    O Windows Defender arquivo de integração do ATP.

  2. Entre no Jamf Pro, navegue atéPerfis de Configuração deComputadores> e selecione Novo.

    A página na qual você cria uma nova dashboard do Jamf Pro.

  3. Insira os seguintes detalhes na guia Geral :

    • Nome: MDPE integração para macOS
    • Descrição: MDPE integração do EDR para macOS
    • Categoria: Nenhum
    • Método de distribuição: instalar automaticamente
    • Nível: Nível do computador

  4. Navegue até a página Configurações Personalizadas & aplicativo e selecione Carregar>Adicionar.

    O aplicativo de configuração e as configurações personalizadas.

  5. Selecione Carregar Arquivo (arquivo PLIST) e, em Domínio de Preferência, insira: com.microsoft.wdav.atp.

    O arquivo de carregamento de plist jamfpro.

    O arquivo de propriedade de upload List.

  6. Selecione Abrir e selecione o arquivo de integração.

    O arquivo de integração.

  7. Selecione Carregar.

    O arquivo plist de carregamento.

  8. Selecione a guia Escopo .

    A guia Escopo.

  9. Selecione os computadores de destino.

    Os computadores de destino.

    Os destinos.

  10. Selecione Salvar.

    A implantação de computadores de destino.

    A seleção de computadores de destino.

  11. Selecione Concluído.

    Os computadores de um grupo de destino.

    A lista de perfis de configuração.

Etapa 3: configurar configurações de Microsoft Defender para Ponto de Extremidade

Você pode usar o JAMF Pro GUI para editar configurações individuais do Microsoft Defender para Ponto de Extremidade configuração ou usar o método herdado criando uma Plist de configuração em um editor de texto e carregando-a no JAMF Pro.

Observe que você deve usar exatamente com.microsoft.wdav como o Domínio de Preferência, Microsoft Defender para Ponto de Extremidade usa apenas esse nome e com.microsoft.wdav.ext para carregar suas configurações gerenciadas!

(A com.microsoft.wdav.ext versão pode ser usada em casos raros quando você prefere usar o método GUI, mas também precisa configurar uma configuração que ainda não foi adicionada ao esquema.)

Método GUI

  1. Baixe schema.json arquivo do repositório GitHub do Defender e salve-o em um arquivo local:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Create um novo Perfil de Configuração em Computadores -> Perfis de configuração, insira os seguintes detalhes na guia Geral:

    Um novo perfil.

    • Nome: Configurações de MDATP MDAV
    • Description:<blank>
    • Categoria: Nenhum (padrão)
    • Nível: Nível do computador (padrão)
    • Método de distribuição: instalar automaticamente (padrão)

  3. Role para baixo até a guia Configurações Personalizadas & aplicativo , selecione Aplicativos Externos, clique em Adicionar e use Esquema Personalizado como Fonte para usar para o domínio de preferência.

    Adicionar esquema personalizado.

  4. Insira com.microsoft.wdav como Domínio de Preferência, selecione Adicionar Esquema e Carregar o arquivo schema.json baixado na Etapa 1. Clique em Salvar.

    Carregar esquema.

  5. Você pode ver todas as configurações de configuração de Microsoft Defender para Ponto de Extremidade com suporte abaixo, em Propriedades de Domínio de Preferência. Clique em Adicionar/Remover propriedades para selecionar as configurações que você deseja gerenciar e clique em Ok para salvar suas alterações. (As configurações não selecionadas não serão incluídas na configuração gerenciada, um usuário final poderá configurar essas configurações em seus computadores.)

    As configurações gerenciadas escolhidas.

  6. Altere os valores das configurações para valores desejados. Você pode clicar em Mais informações para obter a documentação de uma configuração específica. (Você pode clicar na versão prévia de Plist para inspecionar como será a plist de configuração. Clique em Editor de Formulários para retornar ao editor visual.)

    A página na qual você altera os valores de configurações.

  7. Selecione a guia Escopo .

    O escopo do perfil de configuração.

  8. Selecione Grupo de Máquinas da Contoso.

  9. Selecione Adicionar e, em seguida, selecione Salvar.

    A página na qual você pode adicionar as configurações de configuração.

    A página na qual você pode salvar as configurações de configuração.

  10. Selecione Concluído. Você verá o novo perfil de configuração.

    A página na qual você conclui as configurações de configuração.

Microsoft Defender para Ponto de Extremidade adiciona novas configurações ao longo do tempo. Essas novas configurações serão adicionadas ao esquema e uma nova versão será publicada no GitHub. Tudo o que você precisa fazer para ter atualizações é baixar um esquema atualizado, editar o perfil de configuração existente e Editar esquema na guia Configurações Personalizadas & aplicativo .

Método herdado

  1. Use as seguintes configurações de configuração Microsoft Defender para Ponto de Extremidade:

    • enableRealTimeProtection
    • passiveMode

    Observação

    Não ativado por padrão, se você estiver planejando executar um AV de terceiros para macOS, defina-o como true.

    • Exclusões
    • excludeedPath
    • excludeedFileExtension
    • excludeedFileName
    • excludesMergePolicy
    • allowedThreats

    Observação

    O EICAR está no exemplo, se você estiver passando por uma prova de conceito, remova-o especialmente se estiver testando o EICAR.

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Para obter informações, consulte Lista de propriedades para o perfil de configuração completo do JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Salve o arquivo como MDATP_MDAV_configuration_settings.plist.

  3. No dashboard do Jamf Pro, abra Computadores e seus Perfis de Configuração. Clique em Novo e alterne para a guia Geral .

    A página que exibe um novo perfil.

  4. Insira os seguintes detalhes na guia Geral :

    • Nome: Configurações de MDATP MDAV
    • Description:<blank>
    • Categoria: Nenhum (padrão)
    • Método de distribuição: instalar automaticamente (padrão)
    • Nível: Nível do computador (padrão)

  5. No Aplicativo & Configurações Personalizadas, selecione Configurar.

    As configurações de MDATP MDAV.

    O aplicativo e as configurações personalizadas.

  6. Selecione Carregar Arquivo (arquivo PLIST).

    As configurações configuram o arquivo plist.

  7. No Domínio preferências, insiracom.microsoft.wdav , em seguida, selecione Carregar Arquivo PLIST.

    O domínio de preferências das configurações de configuração.

  8. Selecione Escolher Arquivo.

    O prompt para escolher o arquivo plist.

  9. Selecione o MDATP_MDAV_configuration_settings.plist e selecione Abrir.

    As configurações mdatpmdav.

  10. Selecione Carregar.

    A configuração de configuração é carregada.

    O prompt para carregar a imagem relacionada às configurações.

    Observação

    Se acontecer de carregar o arquivo Intune, você receberá o seguinte erro:

    O prompt para carregar o arquivo do Intune relacionado às configurações.

  11. Selecione Salvar.

    A opção de salvar a imagem relacionada às configurações.

  12. O arquivo é carregado.

    O arquivo carregado relacionado às configurações de configuração.

    A página de configuração de configuração.

  13. Selecione a guia Escopo .

    O escopo das configurações.

  14. Selecione Grupo de Máquinas da Contoso.

  15. Selecione Adicionar e, em seguida, selecione Salvar.

    O suplemento de configuração de configuração.

    A notificação das configurações.

  16. Selecione Concluído. Você verá o novo perfil de configuração.

    Imagem da imagem do perfil de configuração configuração.As configurações do perfil de configuração.

Etapa 4: configurar configurações de notificações

Essas etapas são aplicáveis no macOS 11 (Big Sur) ou posterior.

  1. No dashboard do Jamf Pro, selecione Computadores e perfis de configuração.

  2. Clique em Novo e insira os seguintes detalhes na guia Geral para Opções:

    • Nome: Configurações de notificação MDATP MDAV
    • Descrição: macOS 11 (Big Sur) ou posterior
    • Categoria: Nenhum (padrão)
    • Método de distribuição: instalar automaticamente (padrão)
    • Nível: Nível do computador (padrão)

    A nova página de perfil de configuração do macOS.

    • Tab Notifications, click Add, and enter the following values:

      • ID do pacote: com.microsoft.wdav.tray
      • Alertas críticos: clique em Desabilitar
      • Notificações: clique em Habilitar
      • Tipo de alerta de faixa: selecione Incluir e Temporário(padrão)
      • Notificações na tela de bloqueio: clique em Ocultar
      • Notificações na Central de Notificações: clique em Exibir
      • Ícone do aplicativo De selo: clique em Exibir

      As configurações configuram a bandeja de notificações mdatpmdav.

    • Notificações de guia, clique em Adicionar mais uma vez, role para baixo até Novas Configurações de Notificações

      • ID do pacote: com.microsoft.autoupdate.fba
      • Configurar o restante das configurações para os mesmos valores que acima

      As configurações de configuração mdatpmdav notificações mau.

      Observe que agora você tem duas 'tabelas' com configurações de notificação, uma para ID do Pacote: com.microsoft.wdav.tray e outra para ID do Pacote: com.microsoft.autoupdate.fba. Embora você possa configurar configurações de alerta de acordo com seus requisitos, as IDs do pacote devem ser exatamente as mesmas descritas antes, e a opção Incluir deve estar Ativada para Notificações.

  3. Selecione a guia Escopo e selecione Adicionar.

    A página na qual você pode adicionar valores para as configurações.

  4. Selecione Grupo de Máquinas da Contoso.

  5. Selecione Adicionar e, em seguida, selecione Salvar.

    A página na qual você pode salvar valores para as configurações do grupo de máquinas contoso.

    A página que exibe a notificação de conclusão das configurações.

  6. Selecione Concluído. Você verá o novo perfil de configuração.

    As configurações concluídas.

Etapa 5: Configurar o Mau (Microsoft AutoUpdate)

  1. Use as seguintes configurações de configuração Microsoft Defender para Ponto de Extremidade:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. Salve-o como MDATP_MDAV_MAU_settings.plist.

  3. No dashboard do Jamf Pro, selecione Geral.

    As configurações.

  4. Insira os seguintes detalhes na guia Geral :

    • Nome: Configurações MDATP MDAV MAU
    • Descrição: Configurações do Microsoft AutoUpdate para MDATP para macOS
    • Categoria: Nenhum (padrão)
    • Método de distribuição: instalar automaticamente(padrão)
    • Nível: Nível do computador(padrão)

  5. No Aplicativo & Configurações Personalizadasselecione Configurar.

    O aplicativo de configuração e as configurações personalizadas.

  6. Selecione Carregar Arquivo (arquivo PLIST).

  7. Em Domínio de Preferência insira: com.microsoft.autoupdate2, em seguida, selecione Carregar Arquivo PLIST.

    O domínio de preferência de configuração de configuração.

  8. Selecione Escolher Arquivo.

    O prompt para escolher o arquivo em relação à configuração.

  9. Selecione MDATP_MDAV_MAU_settings.plist.

    As configurações mdatpmdavmau.

  10. Selecione Carregar. O upload do arquivo em relação à configuração.

    A página que exibe a opção de carregamento do arquivo em relação à configuração.

  11. Selecione Salvar.

    A página que exibe a opção salvar para o arquivo em relação à configuração.

  12. Selecione a guia Escopo .

    A guia Escopo para as configurações.

  13. Selecione Adicionar.

    A opção de adicionar destinos de implantação.

    A página na qual você adiciona mais valores às configurações.

    A página na qual você pode adicionar mais valores às configurações.

  14. Selecione Concluído.

    A notificação de conclusão sobre as configurações.

Etapa 6: conceder acesso completo ao disco ao Microsoft Defender para Ponto de Extremidade

  1. No dashboard do Jamf Pro, selecione Perfis de Configuração.

    O perfil para quais configurações devem ser configuradas.

  2. Selecione + Novo.

  3. Insira os seguintes detalhes na guia Geral :

    • Nome: MDATP MDAV – conceder acesso completo ao disco ao EDR e ao AV
    • Descrição: no macOS 11 (Big Sur) ou posterior, o novo Controle de Política de Preferências de Privacidade
    • Categoria: Nenhum
    • Método de distribuição: instalar automaticamente
    • Nível: nível do computador

    A configuração em geral.

  4. Em Configurar Controle de Política de Preferências de Privacidade , selecione Configurar.

    O controle de política de privacidade de configuração.

  5. No Controle de Política de Preferências de Privacidade, insira os seguintes detalhes:

    • Identificador: com.microsoft.wdav
    • Tipo de identificador: ID do pacote
    • Requisito de código: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Os detalhes do controle de política de preferência de privacidade de configuração.

  6. Selecione + Adicionar.

    A configuração de configuração adiciona a opção de todos os arquivos da política do sistema.

    • Em Aplicativo ou serviço: definido como SystemPolicyAllFiles

    • Em "access": Defina como Permitir

  7. Selecione Salvar (não aquele na parte inferior direita).

    A operação de salvamento para a configuração.

  8. Clique no sinal ao lado do +Acesso ao Aplicativo para adicionar uma nova entrada.

    A operação de salvamento relacionada à configuração.

  9. Insira os seguintes detalhes:

    • Identificador: com.microsoft.wdav.epsext
    • Tipo de identificador: ID do pacote
    • Requisito de código: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Selecione + Adicionar.

    A configuração de configuração tcc epsext entry.

    • Em Aplicativo ou serviço: definido como SystemPolicyAllFiles

    • Em "access": Defina como Permitir

  11. Selecione Salvar (não aquele na parte inferior direita).

    A outra instância da configuração de configuração tcc epsext.

  12. Selecione a guia Escopo .

    A página que mostra o escopo da configuração.

  13. Selecione + Adicionar.

    A página que descreve a configuração.

  14. Selecione Grupos de Computador> em Nome> do Grupo selecione MachineGroup da Contoso.

    O grupo de máquinas contoso de configuração.

  15. Selecione Adicionar.

  16. Selecione Salvar.

  17. Selecione Concluído.

    A configuração configuração contoso machine-group.

    A ilustração de configuração.

Como alternativa, você pode baixar fulldisk.mobileconfig e carregá-lo em Perfis de Configuração jamf, conforme descrito em Implantar perfis de configuração personalizados usando o Jamf Pro|Método 2: carregar um perfil de configuração no Jamf Pro.

Observação

O acesso completo ao disco concedido por meio do Perfil de Configuração do MDM da Apple não se reflete em Configurações do Sistema => Privacidade & Segurança => Acesso completo ao disco.

Etapa 7: aprovar extensões do sistema para Microsoft Defender para Ponto de Extremidade

  1. Nos Perfis de Configuração, selecione + Novo.

    A descrição da postagem de mídia social gerada automaticamente.

  2. Insira os seguintes detalhes na guia Geral :

    • Nome: Extensões do sistema MDATP MDAV
    • Descrição: extensões do sistema MDATP
    • Categoria: Nenhum
    • Método de distribuição: instalar automaticamente
    • Nível: Nível do computador

    As configurações sysext novo perfil.

  3. Em Extensões do Sistema , selecione Configurar.

    O painel com a opção Configurar para as extensões do sistema.

  4. Em Extensões do Sistema, insira os seguintes detalhes:

    • Nome de exibição: Microsoft Corp. Extensões do sistema
    • Tipos de extensão do sistema: extensões permitidas do sistema
    • Identificador de equipe: UBF8T346G9
    • Extensões de sistema permitidas:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    O painel extensões do sistema MDAV do MDATP.

  5. Selecione a guia Escopo .

    O painel de seleção De computadores de destino.

  6. Selecione + Adicionar.

  7. Selecione Grupos de Computadores> em Nome> do Grupo selecione Grupo de Máquinas da Contoso.

  8. Selecione + Adicionar.

    O painel Novo Perfil de Configuração do macOS.

  9. Selecione Salvar.

    A exibição de opções sobre extensões de sistema MDATP MDAV.

  10. Selecione Concluído.

    As configurações sysext – final.

Etapa 8: configurar a extensão de rede

Como parte dos recursos de Detecção e Resposta do Ponto de Extremidade, Microsoft Defender para Ponto de Extremidade no macOS inspeciona o tráfego do soquete e relata essas informações ao portal Microsoft Defender. A política a seguir permite que a extensão de rede execute essa funcionalidade.

Essas etapas são aplicáveis no macOS 11 (Big Sur) ou posterior.

  1. No dashboard do Jamf Pro, selecione Computadores e perfis de configuração.

  2. Clique em Novo e insira os seguintes detalhes para Opções:

    • Tab General:

      • Nome: Microsoft Defender Extensão de Rede
      • Descrição: macOS 11 (Big Sur) ou posterior
      • Categoria: Nenhum (padrão)
      • Método de distribuição: instalar automaticamente (padrão)
      • Nível: Nível do computador (padrão)

    • Filtro de conteúdo da guia:

      • Nome do filtro: filtro de conteúdo Microsoft Defender
      • Identificador: com.microsoft.wdav
      • Deixar Endereço de Serviço, Organização, Nome de Usuário, Senha, Certificado em branco (Incluirnão está selecionado)
      • Ordem de Filtro: Inspetor
      • Filtro de soquete: com.microsoft.wdav.netext
      • Requisito designado para filtro de soquete: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Deixar os campos filtro de rede em branco (Incluirnão está selecionado)

      Observe que os valores exatos identificador, filtro de soquete e filtro de soquete designados , conforme especificado acima.

      A configuração mdatpmdav.

  3. Selecione a guia Escopo .

    A guia configuração configurações sco.

  4. Selecione + Adicionar.

  5. Selecione Grupos de Computadores> em Nome> do Grupo selecione Grupo de Máquinas da Contoso.

  6. Selecione + Adicionar.

    O adim configurações de configuração.

  7. Selecione Salvar.

    O painel Filtro de Conteúdo.

  8. Selecione Concluído.

    As configurações netext – final.

Como alternativa, você pode baixar netfilter.mobileconfig e carregá-lo em Perfis de Configuração jamf, conforme descrito em Implantar perfis de configuração personalizados usando o Jamf Pro|Método 2: carregar um perfil de configuração no Jamf Pro.

Etapa 9: Configurar serviços em segundo plano

Cuidado

O macOS 13 (Ventura) contém novos aprimoramentos de privacidade. A partir dessa versão, por padrão, os aplicativos não podem ser executados em segundo plano sem consentimento explícito. Microsoft Defender para Ponto de Extremidade deve executar seu processo de daemon em segundo plano.

Esse perfil de configuração concede permissões do Serviço de Segundo Plano para Microsoft Defender para Ponto de Extremidade. Se você tiver configurado anteriormente Microsoft Defender para Ponto de Extremidade por meio do JAMF, recomendamos atualizar a implantação com esse perfil de configuração.

Baixe background_services.mobileconfig do nosso repositório GitHub.

Carregar configuração móvel baixada em Perfis de Configuração jamf, conforme descrito em Implantar perfis de configuração personalizados usando o Jamf Pro|Método 2: carregar um perfil de configuração no Jamf Pro.

Etapa 10: conceder permissões Bluetooth

Cuidado

O macOS 14 (Sonoma) contém novos aprimoramentos de privacidade. A partir dessa versão, por padrão, os aplicativos não podem acessar o Bluetooth sem consentimento explícito. Microsoft Defender para Ponto de Extremidade usá-lo se você configurar políticas Bluetooth para Controle de Dispositivo.

Baixe bluetooth.mobileconfig do repositório GitHub.

Aviso

A versão atual do JAMF Pro ainda não dá suporte a esse tipo de carga. Se você carregar essa configuração móvel como está, o JAMF Pro removerá o conteúdo sem suporte e ele não será aplicado aos computadores cliente. Primeiro, você precisa assinar a configuração móvel baixada, depois que o JAMF Pro considerar "selado" e não o adulterará. Confira as instruções abaixo:

  • Você precisa ter pelo menos um certificado de assinatura instalado em seu KeyChain, até mesmo um certificado autoassinado funcionará. Você pode inspecionar o que você tem com:
> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found
  • Escolha qualquer um deles e forneça o texto citado como o parâmetro -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Observação

O Bluetooth concedido por meio do Perfil de Configuração do MDM da Apple não se reflete em Configurações do Sistema => Privacidade & Segurança => Bluetooth.

Etapa 11: Agendar verificações com Microsoft Defender para Ponto de Extremidade no macOS

Siga as instruções em Agendar verificações com Microsoft Defender para Ponto de Extremidade no macOS.

Etapa 12: Implantar Microsoft Defender para Ponto de Extremidade no macOS

Observação

Nas etapas a seguir, o nome do .pkg arquivo e os valores Nome de Exibição são exemplos. Nesses exemplos, 200329 representa a data em que o pacote e a política foram criados (em yymmdd formato) e v100.86.92 representa a versão do aplicativo Microsoft Defender que está sendo implantado. Esses valores devem ser atualizados para estar em conformidade com a convenção de nomenclatura que você usa em seu ambiente para Pacotes e Políticas.

  1. Navegue até onde você salvou wdav.pkg.

    O pacote wdav do explorador de arquivos.

  2. Renomeie-o como wdav_MDM_Contoso_200329.pkg.

    O pacote wdavmdm do gerenciador de arquivos1.

  3. Abra a dashboard do Jamf Pro.

    As configurações do jamfpro.

  4. Selecione seu computador e clique no ícone de engrenagem na parte superior e selecione Gerenciamento de Computadores.

    As configurações – gerenciamento de computador.

  5. Em Pacotes, selecione + Novo. A descrição do pássaro para um pacote gerado automaticamente.

  6. Na guia Geral, insira os seguintes detalhes no Novo Pacote:

    • Nome de exibição: deixe-o em branco por enquanto. Porque ele será redefinido quando você escolher seu pkg.
    • Categoria: Nenhum (padrão)
    • Nome do arquivo: escolher arquivo

    A guia Geral para configurações.

    Abra o arquivo e aponte-o para wdav.pkg ou wdav_MDM_Contoso_200329.pkg.

    A tela do computador que exibe a descrição de um pacote gerado automaticamente.

  7. Selecione Abrir. Defina o Nome de Exibiçãocomo Microsoft Defender Proteção Avançada contra Ameaças e Microsoft Defender Antivírus.

    O Arquivo de Manifesto não é necessário. Microsoft Defender para Ponto de Extremidade funciona sem Arquivo de Manifesto.

    Guia Opções: manter valores padrão.

    Guia Limitações: manter valores padrão.

    A guia limitação para as configurações.

  8. Selecione Salvar. O pacote é carregado no Jamf Pro.

    As configurações embalam o processo de carregamento do pacote relacionado às configurações.

    Pode levar alguns minutos para que o pacote esteja disponível para implantação.

    Uma instância de carregamento do pacote para configurações.

  9. Navegue até a página Políticas .

    As políticas de configuração de configuração.

  10. Selecione + Novo para criar uma nova política.

    A configuração configura nova política.

  11. Em geral, insira o nome de exibição MDATP Integrando a Contoso 200329 v100.86.92 ou posterior.

    As configurações – MDATP a bordo.

  12. Selecione Check-in recorrente.

    O marcar recorrente para as configurações.

  13. Selecione Salvar.

  14. Selecione Pacotes > Configurar.

    A opção de configurar pacotes.

  15. Selecione o botão Adicionar ao lado de Microsoft Defender Proteção Avançada contra Ameaças e Microsoft Defender Antivírus.

    A opção de adicionar mais configurações ao MDA do MDATP.

  16. Selecione Salvar.

    A opção salvar para as configurações.

  17. Create um grupo inteligente para computadores com perfis Microsoft Defender.

    Para obter uma melhor experiência do usuário, os perfis de configuração para computadores registrados devem ser instalados antes do pacote do Microsoft Defender. Na maioria dos casos, o JAMF Prof pressiona os perfis de configuração imediatamente, quais políticas são executadas após algum tempo (ou seja, durante marcar-in).

    No entanto, em alguns casos, a implantação de perfis de configuração pode ser implantada com um atraso significativo (ou seja, se o computador de um usuário estiver bloqueado).

    O JAMF Pro fornece uma maneira de garantir a ordem correta. Você pode criar um grupo inteligente para computadores que já receberam o perfil de configuração do Microsoft Defender e instalar o pacote do Microsoft Defender somente nesses computadores (e assim que eles receberem esse perfil!)

    Para fazer isso, crie um grupo inteligente primeiro. Na nova janela do navegador, abra Grupos de Computadores Inteligentes no menu esquerdo, clique em Novo. Atribua algum nome, alterne para a guia Critérios , clique em Adicionar e Mostrar Critérios Avançados.

    Selecione Nome de Perfil como critério e use o nome de um perfil de configuração criado anteriormente como Valor:

    Criando um grupo inteligente.

    Clique em Salvar. Volte para a janela em que você configura uma política de pacote.

  18. Selecione a guia Escopo .

    A guia Escopo relacionada às configurações de configuração.

  19. Selecione os computadores de destino.

    A opção de adicionar grupos de computadores.

    Em Escopo, selecione Adicionar.

    As configurações – ad1.

    Alterne para a guia Grupos de Computadores . Encontre o grupo inteligente que você criou e Adicione-o .

    As configurações – ad2.

    Selecione Autoatendimento, se desejar que os usuários instalem Microsoft Defender voluntariamente, sob demanda.

    A guia Autoatendimento para configurações.

  20. Selecione Concluído.

    A status de integração da Contoso com uma opção para completá-la.

    A página políticas.

Escopo do perfil de configuração

O JAMF exige que você defina um conjunto de computadores para um perfil de configuração. Você precisa garantir que todos os computadores que recebem o pacote do Defender também recebam todos os perfis de configuração listados acima.

Aviso

O JAMF dá suporte a Grupos de Computadores Inteligentes que permitem a implantação, como perfis de configuração ou políticas para todos os computadores que correspondem a determinados critérios avaliados dinamicamente. É um conceito poderoso que é amplamente usado para distribuição de perfis de configuração.

No entanto, lembre-se de que esses critérios não devem incluir a presença do Defender em um computador. Embora o uso desse critério possa parecer lógico, ele cria problemas difíceis de diagnosticar.

O Defender depende de todos esses perfis no momento de sua instalação. Fazer perfis de configuração dependendo da presença do Defender atrasa efetivamente a implantação de perfis de configuração e resulta em um produto inicialmente não íntegro e/ou solicitações para aprovação manual de determinadas permissões de aplicativo, que de outra forma são aprovadas automaticamente pelos perfis.

A implantação de uma política com o pacote do Microsoft Defender após a implantação de perfis de configuração garante a melhor experiência do usuário final, pois todas as configurações necessárias serão aplicadas antes da instalação do pacote.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.