Intune baseada em Microsoft Defender para Endpoint no macOS
Aplica-se a:
- Microsoft Defender para Endpoint no macOS
- API do Microsoft Defender para Endpoint 1
- API do Microsoft Defender para Endpoint 2
Este tópico descreve como implementar Microsoft Defender para Endpoint nas macOS a Intune. Uma implementação bem-sucedida exige a conclusão de todos os passos seguintes:
- Transferir o pacote de ida e receção
- Configuração do dispositivo de cliente
- Aprovar extensões do sistema
- Criar perfis de Configuração do Sistema
- Publicar aplicação
Pré-requisitos e requisitos de sistema
Antes de começar, consulte a página Microsoft Defender para Endpoint página macOS para obter uma descrição dos pré-requisitos e requisitos do sistema para a versão de software atual.
Descrição geral
A seguinte tabela resume os passos que teria de seguir para implementar e gerir Microsoft Defender para Endpoint no Macs, através do Intune. Abaixo, estão disponíveis mais passos detalhados.
| Passo | Nomes de ficheiro de exemplo | BundleIdentifier |
|---|---|---|
| Transferir o pacote de ida e receção | WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml | com.microsoft.wdav.atp |
| Aprovar Extensão de Sistema para Microsoft Defender para Endpoint | MDATP_SysExt.xml | N/D |
| Aprovar Extensão Kernel para Microsoft Defender para Endpoint | MDATP_KExt.xml | N/D |
| Conceder acesso total ao disco Microsoft Defender para Endpoint | MDATP_tcc_Catalina_or_newer.xml | com.microsoft.wdav.tcc |
| Política de Extensão de Rede | MDATP_NetExt.xml | N/D |
| Configurar o Microsoft AutoUpdate (MAU) | MDATP_Microsoft_AutoUpdate.xml | com.microsoft.autoupdate2 |
| Microsoft Defender para Endpoint definições de configuração Nota: Se estiver a planear executar uma av. de terceiros para macOS, defina |
MDATP_WDAV_and_exclusion_settings_Preferences.xml | com.microsoft.wdav |
| Configurar as Microsoft Defender para Endpoint e a Atualização Automática do MS (MAU) | MDATP_MDAV_Tray_and_AutoUpdate2.mobileconfig | com.microsoft.autoupdate2 ou com.microsoft.wdav.tray |
Transferir o pacote de ida e receção
Transfira os pacotes de ida e Microsoft 365 Defender portal:
No portal Microsoft 365 Defender, vá a Endpoints > Definições Gestão de dispositivos > > Onboarding.
Defina o sistema operativo macOS o método de implementação para Dispositivos móveis Gestão de Dispositivos/Microsoft Intune.
Selecione Descarregar pacote de ida e receção. Guarde-oWindowsDefenderATPOnboardingPackage.zip no mesmo diretório.
Extraia os conteúdos do .zip ficheiro:
unzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip warning: WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators inflating: intune/kext.xml inflating: intune/WindowsDefenderATPOnboarding.xml inflating: jamf/WindowsDefenderATPOnboarding.plist
Criar perfis de Configuração do Sistema
O próximo passo é criar perfis de configuração de sistema que Microsoft Defender para Endpoint necessidades. No centro de Microsoft Endpoint Manager, abra perfis de > Configuração de Dispositivos.
Blob onboarding
Este perfil contém as informações de licença Microsoft Defender para Endpoint. Sem este perfil, Microsoft Defender para Endpoint irá comunicar que não está licenciado.
Selecione Criar Perfil em Perfis de Configuração.
Selecione= Plataforma macOS, Tipo de=perfil Modelos. Nome do modelo= Personalizado. Clique em Criar.
Selecionar um nome para o perfil (por exemplo, "Inserção em Defender para a Cloud ou Endpoint para macOS". Clique em Seguinte.
Selecionar um nome para o nome de perfil de configuração (por exemplo, "Defender para iboarding de pontos finais para macOS".
Selecione intune/WindowsDefenderATPOnboarding.xml que extraiu do pacote de ativação acima como ficheiro de perfil de configuração.
Clique em Seguinte.
Atribuir dispositivos no separador Tarefa . Clique em Seguinte.
Rever e Criar.
Abra perfis > de Configuração de Dispositivos. Aí poderá ver o seu perfil criado.
Aprovar Extensões de Sistema
Este perfil é necessário para macOS 10.15 (Catalina) ou mais novo. Será ignorada em antigas macOS.
Selecione Criar Perfil em Perfis de Configuração.
Selecione= Plataforma macOS, Tipo de=perfil Modelos. Nome do modelo= Extensões. Clique em Criar.
No separador Noções Básicas , dê um nome a este novo perfil.
No separador Definições de Configuração , expanda Extensões de Sistema e adicione as seguintes entradas na secção Extensões de sistema permitidas :
Identificador de pacote Identificador de equipa com.microsoft.wdav.epsext UBF8T346G9 com.microsoft.wdav.netext UBF8T346G9 
No separador Tarefas , atribuir este perfil a Todos os & Todos os dispositivos.
Reveja e crie este perfil de configuração.
Extensões Kernel
Este perfil é necessário para o macOS 10.15 (Catalina) ou mais antigo. Será ignorada em versos mais macOS.
Atenção
Os dispositivos Apple Silicon (M1) não suportam KEXT. A instalação de um perfil de configuração que consista em políticas KEXT irá falhar nestes dispositivos.
Selecione Criar Perfil em Perfis de Configuração.
Selecione= Plataforma macOS, Tipo de=perfil Modelos. Nome do modelo= Extensões. Clique em Criar.
No separador Noções Básicas , dê um nome a este novo perfil.
No separador Definições de Configuração , expanda Extensões de Kernel.
Defina o identificador de Equipa para UBF8T346G9 e clique em Seguinte.
No separador Tarefas , atribuir este perfil a Todos os & Todos os dispositivos.
Reveja e crie este perfil de configuração.
Acesso Total ao Disco
Atenção
macOS 10.15 (Catalina) contém novas melhorias de segurança e privacidade. A partir desta versão, por predefinição, as aplicações não podem aceder a determinadas localizações no disco (como Documentos, Transferências, Ambiente de Trabalho, etc.) sem consentimento explícito. Na ausência deste consentimento, o Microsoft Defender para Endpoint não consegue proteger totalmente o seu dispositivo.
Este perfil de configuração concede Acesso Total ao Disco Microsoft Defender para Endpoint. Se tiver configurado anteriormente Microsoft Defender para Endpoint através Intune, recomendamos que atualize a implementação com este perfil de configuração.
Transfira fulldisk.mobileconfig a partir do nosso GitHub repositório.
Siga as instruções para Ativar o blob acima, utilizando "Defender para Acesso a Disco Total do Ponto Final" como nome de perfil e transferiu fulldisk.mobileconfig como nome de perfil de Configuração.
Filtro de Rede
Como parte das funcionalidades de Deteção e Resposta de Pontos Finais, Microsoft Defender para Endpoint no macOS inspeciona o tráfego de receção e reporta estas informações ao portal Microsoft 365 Defender Rede. A política seguinte permite que a extensão de rede execute esta funcionalidade.
Transfira o netfilter.mobileconfig a partir do nosso repositório GitHub de transferências.
Siga as instruções para Ativar o blob acima, utilizando "Defender para Filtro de Rede de Pontos Finais" como nome de perfil e netfilter.mobileconfig como nome de perfil de Configuração.
Notificações
Este perfil é utilizado para permitir que o Microsoft Defender para Endpoint no macOS e a Atualização Automática da Microsoft apresentarem notificações na IU no macOS 10.15 (Catalina) ou mais recente.
Transfira o noif.mobileconfig a partir do nosso repositório GitHub dados.
Siga as instruções para Iboarding blob acima, utilizando "Defender para Notificações de Ponto Final" como nome de perfil e transferiu notif.mobileconfig como Nome de perfil de configuração.
Ver Estado
Assim que as Intune dos dispositivos inscritos estiverem propagadas, pode vê-las listadas em Monitorizar Estado > do Dispositivo:
Publicar aplicação
Este passo permite implementar um Microsoft Defender para Endpoint nos máquinas inscritos.
No centro Microsoft Endpoint Manager de administração, abra aplicações.
Selecione Por plataforma > macOS > Adicionar.
Selecione Tipo de= aplicação macOS, clique em Selecionar.
Mantenha os valores predefinido e clique em Seguinte.
Adicione tarefas e clique em Seguinte.
Rever e Criar.
Pode visitar a plataforma Aplicações > por > macOS para vê-lo na lista de todas as aplicações.
Para obter mais informações, consulte Adicionar Microsoft Defender para Endpoint dispositivos macOS utilizando Microsoft Intune.)
Atenção
Tem de criar todos os perfis de configuração necessários e empurrá-los para todos os máquinas, conforme explicado acima.
Configuração do dispositivo de cliente
Não precisa de aprovisionamentos especiais para um dispositivo Mac para além de uma instalação Portal da Empresa padrão.
Confirme a gestão de dispositivos.
Selecione Abrir Preferências do Sistema, localize Perfil de Gestão na lista e selecione Aprovar.... O seu Perfil de Gestão seria apresentado como Verificado:
Selecione Continuar e conclua a inscrição.
Agora pode inscrever mais dispositivos. Também pode inscrever os pacotes de aplicações mais tarde, depois de terminar o aprovisionamento da configuração do sistema e dos pacotes de aplicações.
No Intune, abra Gerir Dispositivos > Todos > os dispositivos. Aqui pode ver o seu dispositivo entre os listados:
Verificar o estado do dispositivo cliente
Após implementar os perfis de configuração nos seus dispositivos, abra os Perfis de Preferências > de Sistema no seu dispositivo Mac.
Verifique se os seguintes perfis de configuração estão presentes e instalados. O Perfil de Gestão deve ser o Intune de sistema. Wdav-config e wdav-kext são perfis de configuração de sistema que foram adicionados em Intune:
Também deverá ver o Microsoft Defender para Endpoint de Ícones no canto superior direito:
Resolução de Problemas
Problema: Nenhuma licença encontrada.
Solução: Siga os passos acima para criar um perfil de dispositivo com o WindowsDefenderATPOnboarding.xml.
Problemas de instalação do registo
Para obter mais informações sobre como localizar o registo gerado automaticamente que é criado pelo instalador quando ocorre um erro, consulte Problemas de instalação do registo.
Desinstalar
Consulte Desintalação para obter detalhes sobre como Microsoft Defender para Endpoint dados macOS dos dispositivos cliente.