Configurare la Microsoft Defender per endpoint nei criteri macOS in Jamf Pro

Si applica a:

• Defender per endpoint su Mac
• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Usare questo articolo per configurare i criteri per Defender per endpoint in Mac usando Jamf Pro.

Passaggio 1: Ottenere il pacchetto di onboarding Microsoft Defender per endpoint

Importante

È necessario avere un ruolo appropriato assegnato per visualizzare, gestire ed eseguire l'onboarding dei dispositivi. Per altre informazioni, vedere Gestire l'accesso a Microsoft Defender XDR con Microsoft Entra ruoli globali.

1. Nel portale Microsoft Defender passare a Impostazioni>Endpoint>onboarding.

2. Selezionare macOS come sistema operativo e Mobile Gestione dispositivi/Microsoft Intune come metodo di distribuzione.

   

3. Selezionare Scarica pacchetto di onboarding (WindowsDefenderATPOnboardingPackage.zip).

4. Estrarre WindowsDefenderATPOnboardingPackage.zip.

5. Copiare il file nel percorso preferito. Ad esempio, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Passaggio 2: Creare un profilo di configurazione in Jamf Pro usando il pacchetto di onboarding

1. Individuare il file WindowsDefenderATPOnboarding.plist dalla sezione precedente.

   

2. Accedere a Jamf Pro, passare aProfili di configurazionecomputer> e selezionare Nuovo.

   

3. Nella scheda Generale specificare i dettagli seguenti:

   • Nome: MDE onboarding for macOS
   • Descrizione: MDE EDR onboarding for macOS
   • Categoria: None
   • Metodo di distribuzione: Install Automatically
   • Livello: Computer Level

4. Passare alla pagina Applicazione & impostazioni personalizzate , selezionare Carica e quindi selezionare Aggiungi.

   

5. Selezionare Carica file (file PLIST) e quindi in Dominio preferenza digitare com.microsoft.wdav.atp.

   

   

6. Selezionare Apri e selezionare il file di onboarding.

   

7. Scegliere Carica.

   

8. Selezionare la scheda Ambito .

   

9. Selezionare i computer di destinazione.

   

   

10. Seleziona Salva.

    

    

11. Scegliere Fine.

    

    

Passaggio 3: Configurare le impostazioni di Microsoft Defender per endpoint

In questo passaggio si passa a Preferenze per configurare i criteri antimalware ed EDR usando Microsoft Defender XDR portale (https://security.microsoft.com) o Jamf.

Importante

Microsoft Defender per endpoint i criteri di gestione delle impostazioni di sicurezza hanno la precedenza sui criteri di jamf set (e altri MDM di terze parti).

3a. Impostare i criteri usando Microsoft Defender portale

1. Seguire le indicazioni riportate in Configurare Microsoft Defender per endpoint in Intune prima di impostare i criteri di sicurezza usando Microsoft Defender.

2. Nel portale di Microsoft Defender passare a Criteri disicurezza degli endpointdi gestione della configurazione>Criteri> di sicurezza > macCreare nuovi criteri.

3. In Seleziona piattaforma selezionare macOS.

4. In Seleziona modello scegliere un modello e selezionare Crea criterio.

5. Specificare un nome e una descrizione per il criterio e quindi selezionare Avanti.

6. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

Per altre informazioni sulla gestione delle impostazioni di sicurezza, vedere gli articoli seguenti:

• Gestire Microsoft Defender per endpoint nei dispositivi con Microsoft Intune

• Gestire le impostazioni di sicurezza per Windows, macOS e Linux in modo nativo in Defender per endpoint

3b. Impostare i criteri con Jamf

È possibile usare l'interfaccia grafica di Jamf Pro per modificare le singole impostazioni della configurazione Microsoft Defender per endpoint oppure usare il metodo legacy creando un Plist di configurazione in un editor di testo e caricandolo in Jamf Pro.

È necessario usare esatto com.microsoft.wdav come dominio preferenza. Microsoft Defender per endpoint usa solo questo nome e com.microsoft.wdav.ext per caricarne le impostazioni gestite. La com.microsoft.wdav.ext versione può essere usata in rari casi quando si preferisce usare il metodo GUI, ma è anche necessario configurare un'impostazione che non è ancora stata aggiunta allo schema.

Metodo GUI

1. Scaricare il schema.json file dal repository GitHub di Defender e salvarlo in un file locale:

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. Creare un nuovo profilo di configurazione. In Computer passare a Profili di configurazione e quindi nella scheda Generale specificare i dettagli seguenti:

   

   • Nome: MDATP MDAV configuration settings
   • Descrizione: <blank\>
   • Categoria: None (default)
   • Livello: Computer Level (default)
   • Metodo di distribuzione: Install Automatically (default)

3. Scorrere verso il basso fino alla scheda Applicazione & Impostazioni personalizzate , selezionare Applicazioni esterne, selezionare Aggiungi e quindi usare Schema personalizzato come origine per il dominio delle preferenze.

   

4. Digitare com.microsoft.wdav per Dominio preferenza, selezionare Aggiungi schema e quindi caricare il schema.json file scaricato nel passaggio 1. Seleziona Salva.

   

5. È possibile visualizzare tutte le impostazioni di configurazione Microsoft Defender per endpoint supportate in Proprietà dominio preferenza. Selezionare Aggiungi/Rimuovi proprietà per selezionare le impostazioni da gestire e quindi selezionare OK per salvare le modifiche. Le impostazioni non selezionate non sono incluse nella configurazione gestita e un utente finale può configurare tali impostazioni nei computer.

   

6. Modificare i valori delle impostazioni in valori desiderati. È possibile selezionare Altre informazioni per ottenere la documentazione per una determinata impostazione. È possibile selezionare Anteprima Plist per controllare il plist di configurazione. Selezionare Editor modulo per tornare all'editor visivo.

   

7. Selezionare la scheda Ambito .

   

8. Selezionare Gruppo di computer di Contoso. Selezionare Aggiungi e quindi Salva.

   

   

9. Scegliere Fine. Viene visualizzato il nuovo profilo di configurazione.

   

Microsoft Defender per endpoint aggiunge nuove impostazioni nel tempo. Queste nuove impostazioni vengono aggiunte allo schema e una nuova versione viene pubblicata in GitHub. Per ottenere gli aggiornamenti, scaricare uno schema aggiornato e modificare il profilo di configurazione esistente. Nella scheda Application & Custom Settings (Impostazioni personalizzate ) selezionare Edit schema (Modifica schema).

Metodo legacy

1. Usare le impostazioni di configurazione di Microsoft Defender per endpoint seguenti:

   • enableRealTimeProtection
   • passiveMode Questa impostazione non è attivata per impostazione predefinita. Se si prevede di eseguire software antivirus non Microsoft in Mac, impostarlo truesu .
   • exclusions
   • excludedPath
   • excludedFileExtension
   • excludedFileName
   • exclusionsMergePolicy
   • allowedThreats (EICAR è nell'esempio. Se si sta eseguendo un modello di verifica, rimuoverlo soprattutto se si sta testando EICAR.
   • disallowedThreatActions
   • potentially_unwanted_application
   • archive_bomb
   • cloudService
   • automaticSampleSubmission
   • tags
   • hideStatusMenuIcon

   Per altre informazioni, vedere Elenco delle proprietà per il profilo di configurazione completo jamf.

     <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
     <plist version="1.0">
     <dict>
         <key>antivirusEngine</key>
         <dict>
             <key>enableRealTimeProtection</key>
             <true/>
             <key>passiveMode</key>
             <false/>
             <key>exclusions</key>
             <array>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <false/>
                     <key>path</key>
                     <string>/var/log/system.log</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <true/>
                     <key>path</key>
                     <string>/home</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileExtension</string>
                     <key>extension</key>
                     <string>pdf</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileName</string>
                     <key>name</key>
                     <string>cat</string>
                 </dict>
             </array>
             <key>exclusionsMergePolicy</key>
             <string>merge</string>
             <key>allowedThreats</key>
             <array>
                 <string>EICAR-Test-File (not a virus)</string>
             </array>
             <key>disallowedThreatActions</key>
             <array>
                 <string>allow</string>
                 <string>restore</string>
             </array>
             <key>threatTypeSettings</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>potentially_unwanted_application</string>
                     <key>value</key>
                     <string>block</string>
                 </dict>
                 <dict>
                     <key>key</key>
                     <string>archive_bomb</string>
                     <key>value</key>
                     <string>audit</string>
                 </dict>
             </array>
             <key>threatTypeSettingsMergePolicy</key>
             <string>merge</string>
         </dict>
         <key>cloudService</key>
         <dict>
             <key>enabled</key>
             <true/>
             <key>diagnosticLevel</key>
             <string>optional</string>
             <key>automaticSampleSubmission</key>
             <true/>
         </dict>
         <key>edr</key>
         <dict>
             <key>tags</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>GROUP</string>
                     <key>value</key>
                     <string>ExampleTag</string>
                 </dict>
             </array>
         </dict>
         <key>userInterface</key>
         <dict>
             <key>hideStatusMenuIcon</key>
             <false/>
         </dict>
     </dict>
     </plist>
   

2. Salvare il file come MDATP_MDAV_configuration_settings.plist.

3. Nel dashboard di Jamf Pro aprire Computer e i relativi profili di configurazione. Selezionare Nuovo e passare alla scheda Generale .

   

4. Nella scheda Generale specificare i dettagli seguenti:

   • Nome: MDATP MDAV configuration settings
   • Descrizione: <blank>
   • Categoria: None (default)
   • Metodo di distribuzione: Install Automatically (default)
   • Livello: Computer Level (default)

5. In Application & Custom Settings (Impostazioni personalizzate) selezionare Configura.

   

   

6. Selezionare Carica file (file PLIST).

   

7. In Dominio preferenze digitare com.microsoft.wdave quindi selezionare Carica file PLIST.

   

8. Selezionare Scegli file.

   

9. Selezionare il file MDATP_MDAV_configuration_settings.plist e quindi selezionare Apri.

   

10. Scegliere Carica.

    

    

    Nota

    Se si carica il file Intune, verrà visualizzato l'errore seguente:

    

11. Seleziona Salva.

    

12. Il file viene caricato.

    

    

13. Selezionare la scheda Ambito .

    

14. Selezionare Gruppo di computer di Contoso. Selezionare Aggiungi e quindi Salva.

    

    

15. Scegliere Fine. Viene visualizzato il nuovo profilo di configurazione.

Passaggio 4: Configurare le impostazioni delle notifiche

Nota

Questi passaggi sono applicabili in macOS 11 (Big Sur) o versioni successive. Anche se Jamf supporta le notifiche in macOS versione 10.15 o successiva, Defender per endpoint su Mac richiede macOS 11 o versione successiva.

1. Nel dashboard di Jamf Pro selezionare Computer, quindi Profili di configurazione.

2. Selezionare Nuovo e quindi, nella scheda Generale , per Opzioni specificare i dettagli seguenti:

   • Nome: MDATP MDAV Notification settings

   • Descrizione: macOS 11 (Big Sur) or later

   • Categoria: None *(default)*

   • Metodo di distribuzione: Install Automatically *(default)*

   • Livello: Computer Level *(default)*

     

3. Nella scheda Notifiche selezionare Aggiungi e specificare i valori seguenti:

   • ID bundle: com.microsoft.wdav.tray
   • Avvisi critici: selezionare Disabilita
   • Notifiche: selezionare Abilita
   • Tipo di avviso banner: selezionare Includi e temporaneo(impostazione predefinita)
   • Notifiche nella schermata di blocco: selezionare Nascondi
   • Notifiche nel Centro notifiche: selezionare Visualizza
   • Icona dell'app badge: selezionare Visualizza

   

4. Nella scheda Notifiche selezionare Aggiungi un'altra volta e quindi scorrere verso il basso fino a Nuove impostazioni notifiche.

   • ID bundle: com.microsoft.autoupdate.fba

5. Configurare il resto delle impostazioni in base agli stessi valori indicati in precedenza

   

   Si noti che ora sono disponibili due tabelle con configurazioni di notifica, una per l'ID bundle: com.microsoft.wdav.tray e un'altra per ID bundle: com.microsoft.autoupdate.fba. Anche se è possibile configurare le impostazioni di avviso in base ai requisiti, gli ID bundle devono essere esattamente gli stessi descritti in precedenza e l'opzione Includi deve essere attivata per le notifiche.

6. Selezionare la scheda Ambito e quindi selezionare Aggiungi.

   

7. Selezionare Gruppo di computer di Contoso. Selezionare Aggiungi e quindi Salva.

   

   

8. Scegliere Fine. Verrà visualizzato il nuovo profilo di configurazione.

   

Passaggio 5: Configurare Microsoft AutoUpdate (MAU)

1. Usare le impostazioni di configurazione di Microsoft Defender per endpoint seguenti:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. Salvarlo come MDATP_MDAV_MAU_settings.plist.

3. Nel dashboard di Jamf Pro selezionare Generale.

   

4. Nella scheda Generale specificare i dettagli seguenti:

   • Nome: MDATP MDAV MAU settings
   • Descrizione: Microsoft AutoUpdate settings for MDATP for macOS
   • Categoria: None (default)
   • Metodo di distribuzione: Install Automatically (default)
   • Livello: Computer Level (default)

5. In Application & Custom Settings (Impostazioni personalizzate ) selezionare Configura.

   

6. Selezionare Carica file (file PLIST).

7. In Tipo dicom.microsoft.autoupdate2dominio preferenza selezionare Carica file PLIST.

   

8. Selezionare Scegli file.

   

9. Selezionare MDATP_MDAV_MAU_settings.plist.

   

10. Scegliere Carica.

    

11. Seleziona Salva.

    

12. Selezionare la scheda Ambito .

    

13. Selezionare Aggiungi.

    

    

    

14. Scegliere Fine.

    

Passaggio 6: Concedere l'accesso completo al disco a Microsoft Defender per endpoint

1. Nel dashboard di Jamf Pro selezionare Profili di configurazione.

   

2. Selezionare + Nuovo.

3. Nella scheda Generale specificare i dettagli seguenti:

   • Nome: MDATP MDAV - grant Full Disk Access to EDR and AV
   • Descrizione: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • Categoria: None
   • Metodo di distribuzione: Install Automatically
   • Livello: Computer level

   

4. In Configura controllo criteri preferenze privacy selezionare Configura.

   

5. In Privacy Preferences Policy Control (Controllo criteri preferenze privacy) immettere i dettagli seguenti:

   • Identificatore: com.microsoft.wdav
   • Tipo di identificatore: Bundle ID
   • Requisito di codice: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. Selezionare + Aggiungi.

   

   • In App o servizio selezionare SystemPolicyAllFiles.
   • In Accesso selezionare Consenti.

7. Selezionare Salva (non quello in basso a destra).

   

8. Selezionare il + segno accanto a Accesso app per aggiungere una nuova voce.

   

9. Immettere i dettagli seguenti:

   • Identificatore: com.microsoft.wdav.epsext
   • Tipo di identificatore: Bundle ID
   • Requisito di codice: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. Selezionare + Aggiungi.

    

• In App o servizio selezionare SystemPolicyAllFiles.
• In Accesso selezionare Consenti.

11. Selezionare Salva (non quello in basso a destra).

12. Selezionare la scheda Ambito .

13. Selezionare + Aggiungi.

14. Selezionare Computer Gruppi e in Nome gruppo selezionare MachineGroup di Contoso.

15. Selezionare Aggiungi. Quindi selezionare Salva.

16. Scegliere Fine.

    

    

In alternativa, è possibile scaricare fulldisk.mobileconfig e caricarlo in Profili di configurazione Jamf come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Nota

L'accesso completo al disco concesso tramite il profilo di configurazione MDM di Apple non si riflette in Impostazioni di sistema => Privacy & Sicurezza => Accesso completo al disco.

Passaggio 7: Approvare le estensioni di sistema per Microsoft Defender per endpoint

1. In Profili di configurazione selezionare + Nuovo.

   

2. Nella scheda Generale specificare i dettagli seguenti:

   • Nome: MDATP MDAV System Extensions
   • Descrizione: MDATP system extensions
   • Categoria: None
   • Metodo di distribuzione: Install Automatically
   • Livello: Computer Level

   

3. In Estensioni di sistema selezionare Configura.

   

4. In Estensioni di sistema immettere i dettagli seguenti:

   • Nome visualizzato: Microsoft Corp. System Extensions
   • Tipi di estensione di sistema: Allowed System Extensions
   • Identificatore del team: UBF8T346G9
   • Estensioni di sistema consentite:
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. Selezionare la scheda Ambito .

   

6. Selezionare + Aggiungi.

7. Selezionare Computer Gruppi> in Nome> gruppo selezionare Gruppo di computer di Contoso.

8. Selezionare + Aggiungi.

   

9. Seleziona Salva.

   

10. Scegliere Fine.

    

Passaggio 8: Configurare l'estensione di rete

Come parte delle funzionalità di rilevamento e risposta degli endpoint, Microsoft Defender per endpoint in macOS controlla il traffico socket e segnala queste informazioni al portale di Microsoft Defender.

Nota

Questi passaggi sono applicabili in macOS 11 (Big Sur) o versioni successive. Anche se Jamf supporta le notifiche in macOS versione 10.15 o successiva, Defender per endpoint su Mac richiede macOS 11 o versione successiva.

1. Nel dashboard di Jamf Pro selezionare Computer, quindi Profili di configurazione.

2. Selezionare Nuovo e immettere i dettagli seguenti per Opzioni:

3. Nella scheda Generale specificare i valori seguenti:

   • Nome: Microsoft Defender Network Extension
   • Descrizione: macOS 11 (Big Sur) or later
   • Categoria: None *(default)*
   • Metodo di distribuzione: Install Automatically *(default)*
   • Livello: Computer Level *(default)*

4. Nella scheda Filtro contenuto specificare i valori seguenti:

   • Nome filtro: Microsoft Defender Content Filter
   • Identificatore: com.microsoft.wdav
   • Lasciare vuoto l'indirizzo del servizio, l'organizzazione, il nome utente, la password, il certificato (l'opzioneIncludi non è selezionata)
   • Ordine filtro: Inspector
   • Filtro socket: com.microsoft.wdav.netext
   • Requisito designato del filtro socket: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
   • Lasciare vuoti i campi filtro di rete (Includinon è selezionato)

   Si noti che i valori esatti identificatore, filtro socket e filtro socket designato requisito come specificato in precedenza.

   

5. Selezionare la scheda Ambito .

   

6. Selezionare + Aggiungi. Selezionare Computer Gruppi e quindi in Nome gruppo selezionare Gruppo di computer di Contoso. Selezionare quindi + Aggiungi.

   

7. Seleziona Salva.

   

8. Scegliere Fine.

   

In alternativa, è possibile scaricare netfilter.mobileconfig e caricarlo in Profili di configurazione Jamf come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|

Passaggio 9: Configurare i servizi in background

Attenzione

macOS 13 (Ventura) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono essere eseguite in background senza il consenso esplicito. Microsoft Defender per endpoint deve eseguire il processo del daemon in background.

Questo profilo di configurazione concede le autorizzazioni del servizio in background a Microsoft Defender per endpoint. Se in precedenza è stato configurato Microsoft Defender per endpoint tramite Jamf, è consigliabile aggiornare la distribuzione con questo profilo di configurazione.

Scaricare background_services.mobileconfig dal repository GitHub.

Caricare mobileconfig scaricato nei profili di configurazione jamf come descritto in Distribuzione di profili di configurazione personalizzati con Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Passaggio 10: Concedere autorizzazioni Bluetooth

Attenzione

macOS 14 (Sonoma) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono accedere a Bluetooth senza il consenso esplicito. Microsoft Defender per endpoint lo usa se si configurano i criteri Bluetooth per Controllo dispositivo.

Scaricare bluetooth.mobileconfig dal repository GitHub.

Avviso

La versione corrente di Jamf Pro non supporta ancora questo tipo di payload. Se si carica questo mobileconfig così come è, Jamf Pro rimuoverà il payload non supportato e non verrà applicato ai computer client. Devi prima firmare mobileconfig scaricato, dopo che Jamf Pro lo considererà "sealed" e non lo manometterà. Vedere le istruzioni seguenti:

• È necessario avere almeno un certificato di firma installato in KeyChain, anche un certificato autofirmato funziona. È possibile controllare gli elementi disponibili con:

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

Scegliere uno di essi e specificare il testo tra virgolette come -N parametro:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Ora è possibile caricare il file bluetooth-signed.mobileconfig generato in Jamf Pro, come descritto in Distribuzione di profili di configurazione personalizzati tramite Jamf Pro|Metodo 2: Caricare un profilo di configurazione in Jamf Pro.

Nota

Il Bluetooth concesso tramite il profilo di configurazione MDM apple non si riflette in Impostazioni di sistema => Privacy & Sicurezza => Bluetooth.

Passaggio 11: Pianificare le analisi con Microsoft Defender per endpoint in macOS

Seguire le istruzioni in Pianificare le analisi con Microsoft Defender per endpoint in macOS.

Passaggio 12: Distribuire Microsoft Defender per endpoint in macOS

Nota

Nei passaggi seguenti, il nome del .pkg file e i valori del nome visualizzato sono esempi. In questi esempi rappresenta 200329 la data in cui sono stati creati il pacchetto e i criteri (in yymmdd formato) e v100.86.92 rappresenta la versione dell'applicazione Microsoft Defender che viene distribuita. Questi valori devono essere aggiornati in modo da essere conformi alla convenzione di denominazione usata nell'ambiente per pacchetti e criteri.

1. Passare al percorso in cui è stato salvato wdav.pkg.

   

2. Rinominarlo in wdav_MDM_Contoso_200329.pkg.

   

3. Aprire il dashboard di Jamf Pro.

   

4. Selezionare il computer e selezionare l'icona a ingranaggio nella parte superiore e quindi selezionare Gestione computer.

   

5. In Pacchetti selezionare + Nuovo.

   

6. Nella scheda Generale, in Nuovo pacchetto, specificare i dettagli seguenti:

   • Nome visualizzato: lasciare vuoto per il momento. Perché viene reimpostato quando si sceglie il pkg.
   • Categoria: None (default)
   • Nome file: Choose File

   

7. Aprire il file e puntare a wdav.pkg o wdav_MDM_Contoso_200329.pkg.

   

8. Seleziona Apri. Impostare Nome visualizzato su Microsoft Defender Advanced Threat Protection e Microsoft Defender Antivirus.

   • Il file manifesto non è obbligatorio. Microsoft Defender per endpoint funziona senza file manifesto.
   • Scheda Opzioni: mantenere i valori predefiniti.
   • Scheda Limitazioni: mantenere i valori predefiniti.

   

9. Seleziona Salva. Il pacchetto viene caricato in Jamf Pro.

   

   La disponibilità del pacchetto per la distribuzione può richiedere alcuni minuti.

   

10. Passare alla pagina Criteri .

11. Selezionare + Nuovo per creare un nuovo criterio.

    

12. In Generale, per Nome visualizzato usare MDATP Onboarding Contoso 200329 v100.86.92 or later.

    

13. Selezionare Archiviazione ricorrente.

    

14. Seleziona Salva. Selezionare quindi Pacchetti e quindiConfigura.

    

15. Selezionare il pulsante Aggiungi accanto a Microsoft Defender Advanced Threat Protection e Microsoft Defender Antivirus.

    

16. Seleziona Salva.

    

Creare un gruppo intelligente per i computer con profili Microsoft Defender.

Per un'esperienza utente migliore, è necessario installare i profili di configurazione per i computer registrati prima del pacchetto di Microsoft Defender. Nella maggior parte dei casi JamF Pro esegue immediatamente il push dei profili di configurazione e tali criteri vengono eseguiti dopo un certo periodo di tempo,ovvero durante il check-in. In alcuni casi, tuttavia, la distribuzione dei profili di configurazione può essere distribuita con un ritardo significativo, ovvero se il computer di un utente è bloccato.

Jamf Pro offre un modo per garantire l'ordine corretto. È possibile creare un gruppo intelligente per i computer che hanno già ricevuto il profilo di configurazione di Microsoft Defender e installare il pacchetto di Microsoft Defender solo in tali computer e non appena riceve questo profilo.

attenersi alla seguente procedura:

1. Creare un gruppo intelligente. In una nuova finestra del browser aprire Smart Computers Gruppi.

2. Selezionare Nuovo e assegnare un nome al gruppo.

3. Nella scheda Criteri selezionare Aggiungi e quindi Mostra criteri avanzati.

4. Selezionare Nome profilo come criterio e usare il nome di un profilo di configurazione creato in precedenza come valore:

   

5. Seleziona Salva.

6. Indietro alla finestra in cui si configurano i criteri del pacchetto.

7. Selezionare la scheda Ambito .

   

8. Selezionare i computer di destinazione.

   

9. In Ambito selezionare Aggiungi.

   

10. Passare alla scheda Computer Gruppi. Individuare il gruppo intelligente creato e quindi selezionare Aggiungi.

11. Se si vuole che gli utenti installino Defender per endpoint volontariamente (o su richiesta), selezionare Self-Service.

12. Scegliere Fine.

Ambito del profilo di configurazione

Jamf richiede di definire un set di computer per un profilo di configurazione. È necessario assicurarsi che tutti i computer che ricevono il pacchetto di Defender ricevano anche tutti i profili di configurazione elencati in precedenza.

Avviso

Jamf supporta Gruppi Smart Computer che consentono la distribuzione, ad esempio profili di configurazione o criteri in tutti i computer che corrispondono a determinati criteri valutati in modo dinamico. Si tratta di un concetto potente ampiamente usato per la distribuzione dei profili di configurazione.

Tenere tuttavia presente che questi criteri non devono includere la presenza di Defender in un computer. Sebbene l'uso di questo criterio possa sembrare logico, crea problemi difficili da diagnosticare.

Defender si basa su tutti questi profili al momento della sua installazione.

La creazione di profili di configurazione a seconda della presenza di Defender ritarda in modo efficace la distribuzione dei profili di configurazione e genera un prodotto inizialmente non integro e/o richiede l'approvazione manuale di determinate autorizzazioni dell'applicazione, altrimenti approvate automaticamente dai profili. La distribuzione di un criterio con il pacchetto di Microsoft Defender dopo la distribuzione dei profili di configurazione garantisce l'esperienza migliore dell'utente finale, perché tutte le configurazioni necessarie verranno applicate prima dell'installazione del pacchetto.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.