Definir preferências para o Microsoft Defender para Endpoint no macOS
Aplica-se a:
- Microsoft Defender para Endpoint no macOS
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
Importante
Este artigo contém instruções sobre como definir preferências para Microsoft Defender para Endpoint no macOS nas organizações empresariais. Para configurar Microsoft Defender para Endpoint macOS através da interface da linha de comandos, consulte Recursos.
Resumo
Nas organizações empresariais, o Microsoft Defender para Endpoint no macOS pode ser gerido através de um perfil de configuração que é implementado utilizando uma das várias ferramentas de gestão. As preferências geridas pela sua equipa de operações de segurança têm precedência sobre as preferências definidas localmente no dispositivo. Alterar as preferências definidas através do perfil de configuração requer privilégios escalados e não está disponível para utilizadores sem permissões administrativas.
Este artigo descreve a estrutura do perfil de configuração, inclui um perfil recomendado que pode utilizar para começar e fornece instruções sobre como implementar o perfil.
Estrutura de perfil de configuração
O perfil de configuração é um ficheiro .plist que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples (como um valor numérico) ou complexos, como uma lista aninhada de preferências.
Atenção
O esquema do perfil de configuração depende da consola de gestão que estiver a utilizar. As secções seguintes contêm exemplos de perfis de configuração para JAMF e Intune.
O nível superior do perfil de configuração inclui preferências e entradas para subáreas de Microsoft Defender para Endpoint, que são explicadas com mais detalhe nas secções seguinte.
Preferências do motor antivírus
A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do Microsoft Defender para Endpoint.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | antivírusEngine |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Nível de imposição para motor antivírus
Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:
- Em tempo real (): a
real_timeproteção em tempo real (analisar ficheiros à medida que são acededos) está ativada. - A pedido (): os ficheiros
on_demandsão analisados apenas a pedido. Neste:- A proteção em tempo real está desligada.
- Passive (
passive): Executa o motor antivírus em modo passivo. Neste:- A proteção em tempo real está desligada.
- A análise a pedido está adada.
- A remediação automática de ameaças está desligada.
- As atualizações das informações de segurança estão ativadas.
- O ícone do menu Estado está oculto.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | enforcementLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | real_time (predefinição) on_demand passivo |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.10.72 ou superior. |
Configurar a funcionalidade de computação de ficheiros hash
Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade estiver ativada, o Defender para Ponto Final irá calcular hashes de ficheiros analisados. Tenha em atenção que a ativação desta funcionalidade poderá afetar o desempenho do dispositivo. Para obter mais detalhes, consulte: Criar indicadores para ficheiros.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | enableFileHashComputation |
| Tipo de dados | Cadeia |
| Valores possíveis | desativada (predefinição) ativado |
| Comentários | Disponível no Defender para a versão Endpoint 101.73.77 ou superior. |
Executar uma análise depois de atualizar as definições
Especifica se deve iniciar uma análise de processo após a transferência de novas atualizações das informações de segurança no dispositivo. Ativar esta definição irá ativar uma análise antivírus nos processos em execução do dispositivo.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanAfterDefinitionUpdate |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.41.10 ou superior. |
Analisar arquivos (apenas análises de antivírus a pedido)
Especifica se deve analisar arquivos durante a análise de antivírus a pedido.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanArchives |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.41.10 ou superior. |
Grau de paralelismo para análises a pedido
Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de tópicos utilizados para efetuar a análise e afeta a utilização da CPU, bem como a duração da análise a pedido.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | maximumOnDemandScanThreads |
| Tipo de dados | Inteiro |
| Valores possíveis | 2 (predefinição). Os valores permitidos são valores inteiros entre 1 e 64. |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.41.10 ou superior. |
Política de exclusão de união
Especifique a política de união para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e por utilizadores (merge) ou apenas exclusões definidas pelo administrador (admin_only). Esta definição pode ser utilizada para restringir a definição das suas próprias exclusões por parte dos utilizadores locais.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | exclusionsMergePolicy |
| Tipo de dados | Cadeia |
| Valores possíveis | ações de imprescisão (predefinição) admin_only |
| Comentários | Disponível na Microsoft Defender para Endpoint 100.83.73 ou superior. |
Exclusões de análise
Especifique entidades excluídas da análise. As exclusões podem ser especificadas por caminhos, extensões ou nomes de ficheiro completos. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos que for necessário, em qualquer ordem.)
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | exclusões |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Tipo de exclusão
Especifique conteúdo excluído de ser analisado por tipo.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | $type |
| Tipo de dados | Cadeia |
| Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Caminho para conteúdo excluído
Especifique conteúdo excluído para não ser analisado por caminho de ficheiro completo.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | caminho |
| Tipo de dados | Cadeia |
| Valores possíveis | caminhos válidos |
| Comentários | Aplicável apenas se $type de excluídoPath |
Tipos de exclusão suportados
A seguinte tabela mostra os tipos de exclusão suportados pelo Defender para Ponto Final no Mac.
| Exclusão | Definição | Exemplos |
|---|---|---|
| Extensão de ficheiro | Todos os ficheiros com a extensão, em qualquer parte do dispositivo | .test |
| Ficheiro | Um ficheiro específico identificado pelo caminho completo | /var/log/test.log |
| Pasta | Todos os ficheiros na pasta especificada (recursivamente) | /var/log/ |
| Processo | Um processo específico (especificado pelo caminho completo ou pelo nome de ficheiro) e todos os ficheiros abertos pelo mesmo | /bin/cat |
Importante
Os caminhos acima têm de ser ligações rígidas, não ligações simbólicas, para que sejam excluídos com êxito. Pode verificar se um caminho é uma ligação simbólica ao executar file <path-name>o .
As exclusões de ficheiros, pastas e processos suportam os seguintes cartões:
| Wildcard | Descrição | Exemplos: | Correspondências | Não corresponde |
|---|---|---|---|---|
| * | Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, quando este caráter selvagem for utilizado num caminho, irá substituir apenas uma pasta) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Corresponde a qualquer caráter individual | file?.log |
file1.log |
file123.log |
Tipo de caminho (ficheiro/diretório)
Indique se a propriedade caminho se refere a um ficheiro ou diretório.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | isDirectory |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) true |
| Comentários | Aplicável apenas se $type de excluídoPath |
Extensão de ficheiro excluída da análise
Especifique conteúdos excluídos da análise por extensão de ficheiro.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | extensão |
| Tipo de dados | Cadeia |
| Valores possíveis | extensões de ficheiro válidas |
| Comentários | Aplicável apenas se $type excluídoFileExtension |
Processo excluído da análise
Especifique um processo para o qual todas as atividades de ficheiros são excluídas da análise. O processo pode ser especificado pelo nome (por exemplo, cat) ou pelo caminho completo (por exemplo, /bin/cat).
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | nome |
| Tipo de dados | Cadeia |
| Valores possíveis | qualquer cadeia |
| Comentários | Aplicável apenas se $type excluídoFileName |
Ameaças permitidas
Especifique ameaças por nome que não sejam bloqueados pelo Defender para Ponto Final no Mac. Estas ameaças terão permissão para ser executados.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | permitidoReats |
| Tipo de dados | Matriz de cadeias |
Ações de ameaça não legais
Restringe as ações que o utilizador local de um dispositivo pode tomar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | disallowedThreatActions |
| Tipo de dados | Matriz de cadeias |
| Valores possíveis | permitir (restringe a permitição de ameaças por parte dos utilizadores) restaurar (restringe os utilizadores de restaurar ameaças a partir da quarentena) |
| Comentários | Disponível na Microsoft Defender para Endpoint 100.83.73 ou superior. |
Definições do tipo Ameaça
Especifique como determinados tipos de ameaças são tratados Microsoft Defender para Endpoint no macOS.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | ThreatTypeSettings |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Tipo de ameaça
Especifique tipos de ameaças.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | tecla |
| Tipo de dados | Cadeia |
| Valores possíveis | potentially_unwanted_application archive_bomb |
Ação a tomar
Especifique que ação deve tomar quando for detetada uma ameaça do tipo especificado na secção anterior. Selecionar uma das seguintes opções:
- Auditoria: o seu dispositivo não está protegido contra este tipo de ameaça, mas é registo uma entrada sobre a ameaça.
- Bloqueio: o seu dispositivo está protegido contra este tipo de ameaça e é notificado na interface de utilizador e na consola de segurança.
- Desligado: o seu dispositivo não está protegido contra este tipo de ameaça e nada é loteado.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | valor |
| Tipo de dados | Cadeia |
| Valores possíveis | auditoria (predefinição) bloquear des desligada |
Política de união de definições de tipo de ameaça
Especifique a política de união para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definições definidas pelo utilizador (merge) ou apenas definições definidas pelo administrador (admin_only). Esta definição pode ser utilizada para restringir os utilizadores locais de definirem as suas próprias definições para diferentes tipos de ameaças.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | threatTypeSettingsMergePolicy |
| Tipo de dados | Cadeia |
| Valores possíveis | ações de imprescisão (predefinição) admin_only |
| Comentários | Disponível na Microsoft Defender para Endpoint 100.83.73 ou superior. |
Retenção do histórico de análise de antivírus (em dias)
Especifique o número de dias que os resultados são guardados no histórico de análise no dispositivo. Os resultados de análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanResultsRetentionDays |
| Tipo de dados | Cadeia |
| Valores possíveis | 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.07.23 ou superior. |
Número máximo de itens no histórico de análise de antivírus
Especifique o número máximo de entradas a manter no histórico de análise. As entradas incluem todas as análises a pedido efetuadas no passado e todas as deteções de antivírus.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanHistoryMaximumItems |
| Tipo de dados | Cadeia |
| Valores possíveis | 10000 (predefinição). Os valores permitidos são de 5000 itens a 15 000 itens. |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.07.23 ou superior. |
Preferências de proteção entregues na nuvem
Configure as funcionalidades de proteção orientadas para a nuvem Microsoft Defender para Endpoint no macOS.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | cloudService |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Ativar/desativar a proteção entregue na nuvem
Especifique se quer ativar ou não a proteção fornecida na nuvem no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | ativado |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
Nível da coleção de diagnóstico
Os dados de diagnóstico são utilizados para manter Microsoft Defender para Endpoint dados seguros e a par dos problemas, bem como detetar, diagnosticar e corrigir problemas, bem como melhorar o produto. Esta definição determina o nível de diagnóstico enviados Microsoft Defender para Endpoint à Microsoft.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | diagnosticLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | opcional (predefinição) obrigatório |
Configurar nível de bloco de nuvem
Esta definição determina o quão agressivo será o Defender para Ponto Final no bloqueio e análise de ficheiros suspeitos. Se esta definição estiver ada, o Defender para Ponto Final será mais agressivo quando identificar ficheiros suspeitos para bloquear e analisar; Caso contrário, será menos agressiva e, por conseguinte, bloquear e analisar com menos frequência. Existem cinco valores para definir o nível de bloqueio da nuvem:
- Normal (
normal): o nível de bloqueio predefinido. - Moderada (
moderate): proporciona o veredito apenas para deteções de confiança alta. - Alta (): bloqueia
highficheiros desconhecidos agressivamente ao otimizar para o desempenho (maior probabilidade de bloquear ficheiros não nocivos). - High Plus (): bloqueia
high_plusficheiros desconhecidos agressivamente e aplica medidas de proteção adicionais (poderá afetar o desempenho do dispositivo cliente). - Tolerância Zero (
zero_tolerance): bloqueia todos os programas desconhecidos.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | cloudBlockLevel |
| Tipo de dados | Cadeia |
| Valores possíveis | normal (predefinição) moderada máximo high_plus zero_tolerance |
| Comentários | Disponível no Defender para a versão Endpoint 101.56.62 ou superior. |
Ativar/desativar submissões de exemplo automáticas
Determina se as amostras suspeitas (que podem conter ameaças) são enviadas para a Microsoft. É-lhe perguntado se é provável que o ficheiro submetido contenha informações pessoais.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | automaticSampleSubmission |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
Ativar/desativar atualizações automáticas de informações de segurança
Determina se as atualizações das informações de segurança são instaladas automaticamente:
| Section | Valor |
|---|---|
| Chave | automaticDefinitionUpdateEnabled |
| Tipo de dados | Booleano |
| Valores possíveis | true (predefinição) falso |
Preferências da interface de utilizador
Faça a gestão das preferências da interface de utilizador Microsoft Defender para Endpoint no macOS.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | userInterface |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Ícone do menu Mostrar/Ocultar Estado
Especifique se quer mostrar ou ocultar o ícone de menu de estado no canto superior direito do ecrã.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | hideStatusMenuIcon |
| Tipo de dados | Booleano |
| Valores possíveis | falso (predefinição) true |
Mostrar/ocultar opção para enviar comentários
Especifique se os utilizadores podem submeter feedback à Microsoft ao aceder a Help > Send Feedback.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | userInitiatedFeedback |
| Tipo de dados | Cadeia |
| Valores possíveis | ativado (predefinição) desativada |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.19.61 ou superior. |
Controlar o inscrever-se na versão de consumidor do Microsoft Defender
Especifique se os utilizadores podem inscrever-se na versão de consumidor do Microsoft Defender.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | consumerExperience |
| Tipo de dados | Cadeia |
| Valores possíveis | ativado (predefinição) desativada |
| Comentários | Disponível na Microsoft Defender para Endpoint 101.60.18 ou superior. |
Preferências de deteção e resposta de pontos finais
Faça a gestão das preferências do componente de deteção e resposta de ponto final (EDR) de Microsoft Defender para Endpoint no macOS.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | edr |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Etiquetas de dispositivos
Especifique um nome de etiqueta e o seu valor.
- A etiqueta GRUPO marca o dispositivo com o valor especificado. A etiqueta é refletida no portal na página do dispositivo e pode ser utilizada para filtrar e agrupar dispositivos.
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | etiquetas |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as secções seguintes para ver uma descrição dos conteúdos do dicionário. |
Tipo de etiqueta
Especifica o tipo de etiqueta
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | tecla |
| Tipo de dados | Cadeia |
| Valores possíveis | GROUP |
Valor da etiqueta
Especifica o valor da etiqueta
| Section | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | valor |
| Tipo de dados | Cadeia |
| Valores possíveis | qualquer cadeia |
Importante
- Só pode ser definido um valor por tipo de etiqueta.
- O tipo de etiquetas é exclusivo e não deve ser repetido no mesmo perfil de configuração.
Perfil de configuração recomendado
Para começar, recomendamos a seguinte configuração para a sua empresa para tirar partido de todas as funcionalidades de proteção Microsoft Defender para Endpoint disponibiliza.
O perfil de configuração seguinte (ou, no caso da JAMF, uma lista de propriedades que possa ser carregada para o perfil de configuração de definições personalizadas) será:
- Ativar a proteção em tempo real (RTP)
- Especifique como os seguintes tipos de ameaças são tratados:
- As aplicações potencialmente indesejadas (PUA) estão bloqueadas
- As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas a Microsoft Defender para Endpoint registos
- Ativar atualizações automáticas de informações de segurança
- Ativar a proteção fornecida pela nuvem
- Ativar submissão de exemplo automática
Lista de propriedades do perfil de configuração recomendado JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</plist>
Intune perfil recomendado
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</array>
</dict>
</plist>
Exemplo completo de perfil de configuração
Os seguintes modelos contêm entradas para todas as definições descritas neste documento e podem ser utilizadas para cenários mais avançados em que pretende ter mais controlo sobre Microsoft Defender para Endpoint no macOS.
Lista de propriedades do perfil de configuração completa JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune perfil completo
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validação da lista de propriedades
A lista de propriedades tem de ser um ficheiro .plist válido. Isto pode ser verificado através da execução:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Se o ficheiro estiver bem formado, o comando acima é saídado OK e devolve um código de saída de 0. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1.
Configuração da implementação de perfis
Depois de construir o perfil de configuração para a sua empresa, pode implementá-lo através da consola de gestão que a sua empresa está a utilizar. As secções seguintes fornecem instruções sobre como implementar este perfil com a JAMF e Intune.
Implementação JAMF
A partir da consola JAMF, abra Perfis > de Configuração de Computadores, navegue para o perfil de configuração que gostaria de utilizar e, em seguida, selecione Definições Personalizadas. Crie uma entrada com com.microsoft.wdav como o domínio de preferência e carregar o .plist produzido anteriormente.
Atenção
Tem de introduzir o domínio de preferência correto (com.microsoft.wdav); caso contrário, as preferências não serão reconhecidas pelo Microsoft Defender para Endpoint.
Intune de trabalho
Abra a configuração > Gerir Dispositivo. Selecione Gerir > Perfis > Criar Perfil.
Selecionar um nome para o perfil. Alterar Platform=macOS para Profile type=Custom. Selecione Configurar.
Guarde o .plist produzido anteriormente como
com.microsoft.wdav.xml.Introduza
com.microsoft.wdavcomo o nome do perfil de configuração personalizado.Abra o perfil de configuração e carregar o
com.microsoft.wdav.xmlficheiro. (Este ficheiro foi criado no passo 3.)Selecione OK.
Selecione > Gerir Tarefas. No separador Incluir , selecione Atribuir a Todos os & todos os dispositivos.
Atenção
Tem de introduzir o nome correto do perfil de configuração personalizado; caso contrário, estas preferências não serão reconhecidas pelos Microsoft Defender para Endpoint.