Condividi tramite


Distribuzione con un sistema MDM (Mobile Gestione dispositivi) diverso per Microsoft Defender per endpoint in macOS

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Prerequisiti e requisiti di sistema

Prima di iniziare, vedere la pagina principale Microsoft Defender per endpoint in macOS per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Approccio

Attenzione

Attualmente, Microsoft supporta ufficialmente solo Intune e JAMF per la distribuzione e la gestione di Microsoft Defender per endpoint in macOS. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni fornite di seguito.

Se l'organizzazione usa una soluzione MDM (Mobile Gestione dispositivi) che non è ufficialmente supportata, ciò non significa che non è possibile distribuire o eseguire Microsoft Defender per endpoint in macOS.

Microsoft Defender per endpoint in macOS non dipende da alcuna funzionalità specifica del fornitore. Può essere usato con qualsiasi soluzione MDM che supporta le funzionalità seguenti:

  • Distribuire un .pkg macOS nei dispositivi gestiti.
  • Distribuire i profili di configurazione del sistema macOS nei dispositivi gestiti.
  • Eseguire uno script/strumento configurato dall'amministratore arbitrario nei dispositivi gestiti.

La maggior parte delle soluzioni MDM moderne include queste funzionalità, tuttavia possono chiamarle in modo diverso.

È tuttavia possibile distribuire Defender per endpoint senza l'ultimo requisito dall'elenco precedente:

  • Non sarà possibile raccogliere lo stato in modo centralizzato.
  • Se si decide di disinstallare Defender per endpoint, sarà necessario accedere al dispositivo client in locale come amministratore.

Distribuzione

La maggior parte delle soluzioni MDM usa lo stesso modello per la gestione dei dispositivi macOS, con una terminologia simile. Usare la distribuzione basata su JAMF come modello.

Pacchetto

Configurare la distribuzione di un pacchetto dell'applicazione richiesto, con il pacchetto di installazione (wdav.pkg) scaricato dal portale di Microsoft Defender.

Avviso

Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

Per distribuire il pacchetto nell'organizzazione, usare le istruzioni associate alla soluzione MDM.

Impostazioni di licenza

Configurare un profilo di configurazione del sistema.

La soluzione MDM può chiamarla come "Profilo impostazioni personalizzate", perché Microsoft Defender per endpoint in macOS non fa parte di macOS.

Usa l'elenco delle proprietà jamf/WindowsDefenderATPOnboarding.plist, che può essere estratto da un pacchetto di onboarding scaricato da Microsoft Defender portale. Il sistema potrebbe supportare un elenco di proprietà arbitrario in formato XML. È possibile caricare il file jamf/WindowsDefenderATPOnboarding.plist così come è in questo caso. In alternativa, potrebbe essere necessario convertire prima l'elenco delle proprietà in un formato diverso.

In genere, il profilo personalizzato ha un ID, un nome o un attributo di dominio. È necessario usare esattamente "com.microsoft.wdav.atp" per questo valore. MDM lo usa per distribuire il file di impostazioni in /Library/Managed Preferences/com.microsoft.wdav.atp.plist in un dispositivo client e Defender per endpoint usa questo file per caricare le informazioni di onboarding.

Profili di configurazione del sistema

macOS richiede che un utente approvi manualmente ed esplicitamente determinate funzioni usate da un'applicazione, ad esempio estensioni di sistema, in esecuzione in background, invio di notifiche, accesso completo al disco e così via. Microsoft Defender per endpoint si basa su queste funzioni e non può funzionare correttamente fino a quando tutti questi consensi non vengono ricevuti da un utente.

Per concedere automaticamente il consenso per conto di un utente, un amministratore esegue il push dei criteri di sistema tramite il sistema MDM. Questo è ciò che è consigliabile fare, invece di affidarsi alle approvazioni manuali da parte degli utenti finali.

Vengono forniti tutti i criteri che Microsoft Defender per endpoint richiedono come file mobileconfig disponibili all'indirizzo https://github.com/microsoft/mdatp-xplat. Mobileconfig è un formato di importazione/esportazione di Apple che Apple Configurator o altri prodotti come iMazing Profile Editor supportare.

La maggior parte dei fornitori MDM supporta l'importazione di un file mobileconfig che crea un nuovo profilo di configurazione personalizzato.

Per configurare i profili:

  1. Scopri come viene eseguita un'importazione mobileconfig con il fornitore MDM.
  2. Per tutti i profili da https://github.com/microsoft/mdatp-xplat, scaricare un file mobileconfig e importarlo.
  3. Assegnare l'ambito appropriato per ogni profilo di configurazione creato.

Si noti che Apple crea regolarmente nuovi tipi di payload con nuove versioni di un sistema operativo. Sarà necessario visitare la pagina precedente e pubblicare nuovi profili una volta resi disponibili. Le notifiche vengono inviate alla pagina Novità dopo aver apportato modifiche del genere.

Impostazioni di configurazione di Defender per endpoint

Per distribuire Microsoft Defender per endpoint configurazione, è necessario un profilo di configurazione.

La procedura seguente illustra come applicare e verificare l'applicazione di un profilo di configurazione.

1. MDM distribuisce il profilo di configurazione nei computer registrati È possibile visualizzare i profili in Profili delle impostazioni > di sistema. Cercare il nome usato per Microsoft Defender per endpoint profilo delle impostazioni di configurazione. Se non viene visualizzato, vedere la documentazione di MDM per suggerimenti per la risoluzione dei problemi.

2. Il profilo di configurazione viene visualizzato nel file corretto

Microsoft Defender per endpoint letture /Library/Managed Preferences/com.microsoft.wdav.plist e /Library/Managed Preferences/com.microsoft.wdav.ext.plist file. Usa solo questi due file per le impostazioni gestite.

Se non è possibile visualizzare tali file, ma si è verificato che i profili sono stati recapitati (vedere la sezione precedente), significa che i profili non sono configurati correttamente. Questo profilo di configurazione è stato creato "Livello utente" anziché "Livello computer" oppure è stato usato un dominio di preferenza diverso rispetto a quello previsto da Microsoft Defender per endpoint ("com.microsoft.wdav" e "com.microsoft.wdav.ext").

Per informazioni su come configurare i profili di configurazione dell'applicazione, vedere la documentazione di MDM.

3. Il profilo di configurazione contiene la struttura prevista

Questo passaggio può essere difficile da verificare. Microsoft Defender per endpoint prevede che com.microsoft.wdav.plist con una struttura rigorosa. Se si inseriscono le impostazioni in una posizione imprevista o se si usa un tipo non valido, le impostazioni vengono ignorate automaticamente.

  1. È possibile verificare mdatp health e verificare che le impostazioni configurate siano segnalate come [managed].
  2. È possibile esaminare il contenuto di /Library/Managed Preferences/com.microsoft.wdav.plist e assicurarsi che corrisponda alle impostazioni previste:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

È possibile usare la struttura del profilo di configurazione documentata come linee guida.

Questo articolo spiega che "antivirusEngine", "edr", "tamperProtection" sono impostazioni al livello superiore del file di configurazione. Ad esempio, "scanHistoryMaximumItems" si trovano al secondo livello e sono di tipo integer.

Queste informazioni dovrebbero essere visualizzate nell'output del comando precedente. Se si è scoperto che "antivirusEngine" è annidato in un'altra impostazione, il profilo non è configurato correttamente. Se è possibile visualizzare "antivirusengine" anziché "antivirusEngine", il nome viene digitato in modo errato e l'intero sottoalbero delle impostazioni viene ignorato. Se "scanHistoryMaximumItems" => "10000", viene usato il tipo errato e l'impostazione verrà ignorata.

Verificare che tutti i profili siano distribuiti

È possibile scaricare ed eseguire analyze_profiles.py. Questo script raccoglie e analizza tutti i profili distribuiti in un computer e avvisa l'utente di quelli mancanti. Si noti che può perdere alcuni errori e non è a conoscenza di alcune decisioni di progettazione che gli amministratori di sistema stanno prendendo deliberatamente. Usare questo script per indicazioni, ma esaminare sempre se viene visualizzato un elemento contrassegnato come errore. Ad esempio, la guida all'onboarding indica di distribuire un profilo di configurazione per il BLOB di onboarding. Tuttavia, alcune organizzazioni decidono di eseguire lo script di onboarding manuale. analyze_profile.py avvisa del profilo mancante. È possibile decidere di eseguire l'onboarding tramite il profilo di configurazione o ignorare completamente l'avviso.

Controllare lo stato dell'installazione

Eseguire Microsoft Defender per endpoint in un dispositivo client per controllare lo stato di onboarding.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.