Condividi tramite

Distribuire Microsoft Defender per endpoint in macOS con Microsoft Intune

  • Articolo

Si applica a:

Questo articolo descrive come distribuire Microsoft Defender per endpoint in macOS tramite Microsoft Intune.

Prerequisiti e requisiti di sistema

Prima di iniziare, vedere la pagina principale Microsoft Defender per endpoint in macOS per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Panoramica

La tabella seguente riepiloga i passaggi per distribuire e gestire Microsoft Defender per endpoint in Mac tramite Microsoft Intune. Per i passaggi più dettagliati, vedere la tabella seguente:

Passaggio Nome file di esempio Identificatore del bundle
Approvare l'estensione di sistema sysext.mobileconfig N/D
Criteri di estensione di rete netfilter.mobileconfig N/D
Accesso completo al disco fulldisk.mobileconfig com.microsoft.wdav.epsext
impostazioni di configurazione Microsoft Defender per endpoint

Se si prevede di eseguire antivirus non Microsoft in Mac, impostare su passiveModetrue.		 MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Servizi in background background_services.mobileconfig N/D
Configurare le notifiche Microsoft Defender per endpoint notif.mobileconfig com.microsoft.wdav.tray
Impostazioni di accessibilità accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Configurare Microsoft AutoUpdate (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Controllo dispositivo DeviceControl.mobileconfig N/D
Prevenzione della perdita di dati DataLossPrevention.mobileconfig N/D
Scaricare il pacchetto di onboarding WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Distribuire il Microsoft Defender per endpoint nell'applicazione macOS Wdav.pkg N/D

Creare profili di configurazione di sistema

Il passaggio successivo consiste nel creare profili di configurazione di sistema che Microsoft Defender per endpoint necessario. Nell'interfaccia di amministrazione Microsoft Intune aprireProfili di configurazionedei dispositivi>.

Passaggio 1: Approvare le estensioni di sistema

  1. Nell'interfaccia di amministrazione Intune passare a Dispositivi e in Gestisci dispositivi selezionare Configurazione.

  2. In Profili di configurazione selezionare Crea profilo.

  3. Nella scheda Criteri selezionare Crea>nuovo criterio.

  4. In Piattaforma selezionare macOS.

  5. In Tipo di profilo selezionare Catalogo impostazioni.

  6. Selezionare Crea.

  7. Nella scheda Informazioni di baseassegnare un nome al profilo e immettere una descrizione. Selezionare quindi Avanti.

  8. Nella scheda Impostazioni di configurazione selezionare + Aggiungi impostazioni.

  9. In Nome modello selezionare Estensioni.

  10. Nel selettore Impostazioni espandere la categoria Configurazione di sistema e quindi selezionare Estensioni>di sistema consentite:

    Screenshot che mostra la selezione impostazioni

  11. Chiudere il selettore Impostazioni e quindi selezionare + Modifica istanza.

  12. Configurare le voci seguenti nella sezione Estensioni di sistema consentite e quindi selezionare Avanti.

    Estensioni di sistema consentite Identificatore del team
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Screenshot che mostra le estensioni di sistema consentite

  13. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi o gli utenti macOS.

  14. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 2: Filtro di rete

Nell'ambito delle funzionalità rilevamento e risposta degli endpoint, Microsoft Defender per endpoint in macOS esamina il traffico socket e segnala queste informazioni al portale di Microsoft 365 Defender. I criteri seguenti consentono all'estensione di rete di eseguire questa funzionalità.

Scaricare netfilter.mobileconfig dal repository GitHub.

Importante

È supportato solo uno .mobileconfig (plist) per il filtro di rete. L'aggiunta di più filtri di rete causa problemi di connettività di rete su Mac. Questo problema non è specifico di Defender per endpoint in macOS.

Per configurare il filtro di rete:

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, NetFilter-prod-macOS-Default-MDE. Selezionare quindi Avanti.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, NetFilter-prod-macOS-Default-MDE.

  8. Scegliere un canale di distribuzione e selezionare Avanti.

  9. Selezionare un file di profilo di configurazione e quindi selezionare Avanti.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 3: Accesso completo al disco

Nota

A partire da macOS Catalina (10.15) o versioni successive, per fornire privacy agli utenti finali, è stata creata la FDA (Accesso completo al disco). L'abilitazione di TCC (Transparency, Consent & Control) tramite una soluzione mobile Gestione dispositivi, ad esempio Intune, eliminerà il rischio che Defender per endpoint perda l'autorizzazione di accesso completo al disco per funzionare correttamente.

Questo profilo di configurazione concede l'accesso completo al disco a Microsoft Defender per endpoint. Se in precedenza è stato configurato Microsoft Defender per endpoint tramite Intune, è consigliabile aggiornare la distribuzione con questo profilo di configurazione.

Scaricare fulldisk.mobileconfig dal repository GitHub.

Per configurare l'accesso completo al disco:

  1. Nell'interfaccia di amministrazione Intune selezionare Crea profilo in Profili di configurazione.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato e quindi selezionare Crea.

  5. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, FullDiskAccess-prod-macOS-Default-MDE. Quindi, scegliere Avanti.

  6. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, FullDiskAccess-prod-macOS-Default-MDE.

  7. Scegliere un canale di distribuzione e quindi selezionare Avanti.

  8. Selezionare un file di profilo di configurazione.

  9. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  10. Esaminare il profilo di configurazione. Selezionare Crea.

Nota

L'accesso completo al disco concesso tramite il profilo di configurazione MDM apple non si riflette in Impostazioni > di sistema Privacy & Sicurezza > Accesso completo al disco.

Passaggio 4: Servizi in background

Attenzione

macOS 13 (Ventura) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono essere eseguite in background senza il consenso esplicito. Microsoft Defender per endpoint deve eseguire il processo del daemon in background. Questo profilo di configurazione concede le autorizzazioni del servizio in background a Microsoft Defender per endpoint. Se in precedenza è stato configurato Microsoft Defender per endpoint tramite Microsoft Intune, è consigliabile aggiornare la distribuzione con questo profilo di configurazione.

Scaricare background_services.mobileconfig dal repository GitHub.

Per configurare i servizi in background:

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, BackgroundServices-prod-macOS-Default-MDE. Quindi, scegliere Avanti.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, backgroundServices-prod-macOS-Default-MDE.

  8. Scegliere un canale di distribuzione e selezionare Avanti.

  9. Selezionare un file di profilo di configurazione.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 5: Notifiche

Questo profilo viene usato per consentire a Microsoft Defender per endpoint in macOS e Microsoft AutoUpdate di visualizzare le notifiche nell'interfaccia utente.

Scaricare notif.mobileconfig dal repository GitHub.

Per disattivare le notifiche per gli utenti finali, è possibile modificare Show NotificationCenter da true a false in notif.mobileconfig.

Screenshot che mostra notif.mobileconfig con ShowNotificationCenter impostato su True.

Per configurare le notifiche:

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, Notify-prod-macOS-Default-MDE. Quindi, scegliere Avanti.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, Notif.mobileconfig.

  8. Scegliere un canale di distribuzione e quindi selezionare Avanti.

  9. Selezionare un file di profilo di configurazione.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 6: Impostazioni di accessibilità

Questo profilo viene usato per consentire a Microsoft Defender per endpoint in macOS di accedere alle impostazioni di accessibilità in Apple macOS High Sierra (10.13.6) e versioni successive.

Scaricare accessibility.mobileconfig dal repository GitHub.

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, Accessibility-prod-macOS-Default-MDE. Quindi, scegliere Avanti.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, Accessibility.mobileconfig.

  8. Scegliere un canale di distribuzione e selezionare Avanti.

  9. Selezionare un file di profilo di configurazione.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 7: Autorizzazioni Bluetooth

Attenzione

macOS 14 (Sonoma) contiene nuovi miglioramenti della privacy. A partire da questa versione, per impostazione predefinita, le applicazioni non possono accedere a Bluetooth senza il consenso esplicito. Microsoft Defender per endpoint lo usa se si configurano i criteri Bluetooth per Controllo dispositivo.

Scaricare bluetooth.mobileconfig dal repository GitHub e usare lo stesso flusso di lavoro del passaggio 6: Impostazioni di accessibilità per abilitare l'accesso Bluetooth.

Nota

Il Bluetooth concesso tramite il profilo di configurazione MDM apple non si riflette in Impostazioni di sistema => Privacy & Sicurezza => Bluetooth.

Passaggio 8: Microsoft AutoUpdate

Questo profilo viene usato per aggiornare il Microsoft Defender per endpoint in macOS tramite Microsoft AutoUpdate (MAU). Se si distribuisce Microsoft Defender per endpoint in macOS, sono disponibili le opzioni per ottenere una versione aggiornata dell'applicazione (Aggiornamento piattaforma) nei diversi canali indicati di seguito:

  • Beta (Insiders-Fast)
  • Canale corrente (anteprima, Insider-Slow)
  • Canale corrente (produzione)

Per altre informazioni, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in macOS.

Scaricare com.microsoft.autoupdate2.mobileconfig dal repository GitHub.

Nota

L'esempio com.microsoft.autoupdate2.mobileconfig del repository GitHub è impostato su Canale corrente (produzione).

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, Autoupdate-prod-macOS-Default-MDE. Quindi, scegliere Avanti.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, com.microsoft.autoupdate2.mobileconfig.

  8. Scegliere un canale di distribuzione e selezionare Avanti.

  9. Selezionare un file di profilo di configurazione.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

Passaggio 9: Microsoft Defender per endpoint impostazioni di configurazione

In questo passaggio vengono descritte le preferenze che consentono di configurare i criteri antimalware ed EDR usando Microsoft Intune (https://intune.microsoft.com).

9a. Impostare i criteri usando Microsoft Defender portale

Impostare i criteri usando Microsoft Defender Portal implementando le istruzioni seguenti o usando Microsoft Intune:

  1. Passare a Configura Microsoft Defender per endpoint in Intune prima di impostare i criteri di sicurezza usando Microsoft Defender per endpoint Gestione impostazioni di sicurezza.

  2. Nel portale di Microsoft Defender passare a Criteri disicurezza degli endpointdi gestione della configurazione>Criteri> di sicurezza > macCreare nuovi criteri.

  3. In Seleziona piattaforma selezionare macOS.

  4. In Seleziona modello scegliere un modello e selezionare Crea criterio.

  5. Specificare un nome e una descrizione per il criterio e quindi selezionare Avanti.

  6. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

Per altre informazioni sulla gestione delle impostazioni di sicurezza, vedere:

Impostare i criteri usando Microsoft Intune

È possibile gestire le impostazioni di sicurezza per Microsoft Defender per endpoint in macOS in Impostazione delle preferenze in Microsoft Intune.

Per altre informazioni, vedere Impostare le preferenze per Microsoft Defender per endpoint in Mac.

Passaggio 10: Protezione di rete per Microsoft Defender per endpoint in macOS

Nel portale di Microsoft Defender:

  1. Passare a Criteri di sicurezza >degli endpointdi gestione> configurazioneCriteri> MacCrea nuovi criteri.

  2. In Seleziona piattaforma selezionare macOS.

  3. In Seleziona modello selezionare Microsoft Defender Antivirus e selezionare Crea criterio.

    Screenshot che mostra la pagina in cui si crea un criterio.

  4. Nella scheda Informazioni di base immettere il nome e la descrizione dei criteri. Seleziona Avanti.

    Screenshot che mostra la scheda Informazioni di base.

  5. Nella scheda Impostazioni di configurazione , in Protezione rete, selezionare un livello di imposizione. Seleziona Avanti.

    Screenshot che mostra la pagina Crea un nuovo criterio.

  6. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

    Screenshot che mostra la pagina in cui si configurano le impostazioni per l'opzione Assegnazioni.

  7. Esaminare i criteri in Rivedi e crea e selezionare Salva.

Consiglio

È anche possibile configurare la protezione di rete aggiungendo le informazioni da Protezione di rete per impedire connessioni macOS a siti non validi a .mobileconfig partire dal passaggio 8.

Passaggio 11: Controllo del dispositivo per Microsoft Defender per endpoint in macOS

Per impostare Controllo dispositivo per Microsoft Defender per endpoint in macOS, seguire questa procedura in:

Passaggio 12: Prevenzione della perdita dei dati (DLP) per endpoint

Per impostare La prevenzione della perdita dei dati (DLP) di Purview per l'endpoint in macOS, seguire la procedura descritta in Eseguire l'onboarding e l'offboard dei dispositivi macOS nelle soluzioni di conformità usando Microsoft Intune.

Passaggio 13: Controllare lo stato di PList (.mobileconfig)

Dopo aver completato la configurazione del profilo, sarà possibile esaminare lo stato dei criteri.

Visualizza stato

Dopo aver propagato le modifiche Intune ai dispositivi registrati, è possibile visualizzarle in Monitoraggio>stato dispositivo:

Screenshot che mostra la visualizzazione dello stato del dispositivo.

Configurazione del dispositivo client

Un'installazione standard Portale aziendale è sufficiente per un dispositivo Mac.

  1. Confermare la gestione dei dispositivi.

    Screenshot che mostra la pagina Conferma gestione dispositivi.

    Selezionare Apri preferenze di sistema, individuare Profilo di gestione nell'elenco e selezionare Approva. Il profilo di gestione verrà visualizzato come Verificato:

    Screenshot che mostra la pagina Profilo di gestione.

  2. Selezionare Continua e completare la registrazione.

    È ora possibile registrare più dispositivi. È anche possibile registrarli in un secondo momento, dopo aver completato la configurazione del sistema di provisioning e i pacchetti dell'applicazione.

  3. In Intune aprire Gestisci>dispositivi>Tutti i dispositivi. Qui è possibile visualizzare il dispositivo tra gli elementi elencati:

    Screenshot che mostra la pagina Tutti i dispositivi.

Verificare lo stato del dispositivo client

  1. Dopo aver distribuito i profili di configurazione nei dispositivi, aprireProfilipreferenze> di sistema nel dispositivo Mac.

    Screenshot che mostra la pagina Preferenze di sistema.

    Screenshot che mostra la pagina Profili preferenze di sistema.

  2. Verificare che siano presenti e installati i profili di configurazione seguenti. Il profilo di gestione deve essere il profilo di sistema Intune. Wdav-config e wdav-kext sono profili di configurazione di sistema aggiunti in Intune:

    Screenshot che mostra la pagina Profili.

  3. Verrà visualizzata anche l'icona Microsoft Defender per endpoint nell'angolo in alto a destra.

    Screenshot che mostra l'icona per Microsoft Defender per endpoint nella barra di stato.

Passaggio 14: Pubblicare l'applicazione

Questo passaggio consente di distribuire Microsoft Defender per endpoint nei computer registrati.

  1. Nell'interfaccia di amministrazione Microsoft Intune aprire App.

    Screenshot che mostra la pagina di panoramica dell'applicazione.

  2. Selezionare By platform macOS Add ( In base alla piattaforma>macOS>Add).

  3. In Tipo di app selezionare macOS. Selezionare Seleziona.

    Screenshot che mostra il tipo di applicazione specifico.

  4. Nelle informazioni sull'app mantenere i valori predefiniti e selezionare Avanti.

    Screenshot che mostra la pagina delle proprietà dell'applicazione.

  5. Nella scheda Assegnazioni, selezionare Avanti.

    Screenshot che mostra la pagina delle informazioni sulle assegnazioni Intune.

  6. Rivedere e creare. È possibile visitare Apps>By platform>macOS per visualizzarlo nell'elenco di tutte le applicazioni.

    Screenshot che mostra la pagina degli elenchi di applicazioni.

Per altre informazioni, vedere Aggiungere Microsoft Defender per endpoint ai dispositivi macOS usando Microsoft Intune.

Importante

È consigliabile creare e distribuire i profili di configurazione nell'ordine specificato (passaggi da 1 a 13) per una configurazione di sistema corretta.

Passaggio 15: Scaricare il pacchetto di onboarding

Per scaricare i pacchetti di onboarding dal portale di Microsoft 365 Defender:

  1. Nel portale di Microsoft 365 Defender passare aImpostazioni>di sistema>Endpoint>Onboarding gestione>dispositivi.

  2. Impostare il sistema operativo su macOS e il metodo di distribuzione su Mobile Gestione dispositivi/Microsoft Intune.

    Screenshot che mostra la pagina Impostazioni di onboarding.

  3. Selezionare Scarica pacchetto di onboarding. Salvarlo come WindowsDefenderATPOnboardingPackage.zip nella stessa directory.

  4. Estrarre il contenuto del file .zip:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
 inflating: intune/kext.xml
 inflating: intune/WindowsDefenderATPOnboarding.xml
 inflating: jamf/WindowsDefenderATPOnboarding.plist

    Screenshot che mostra la descrizione dell'esempio.

Passaggio 16: Distribuire il pacchetto di onboarding

Questo profilo contiene informazioni sulla licenza per Microsoft Defender per endpoint.

Per distribuire il pacchetto di onboarding:

  1. In Profili di configurazione selezionare Crea profilo.

  2. In Piattaforma selezionare macOS.

  3. In Tipo di profilo selezionare Modelli.

  4. In Nome modello selezionare Personalizzato.

  5. Selezionare Crea.

    Screenshot che mostra il pacchetto di onboarding di distribuzione.

  6. Nella scheda Informazioni di baseassegnare un nome al profilo. Ad esempio, Onboarding-prod-macOS-Default-MDE. Seleziona Avanti.

    Screenshot che mostra la pagina Personalizzata.

  7. Nella scheda Impostazioni di configurazione immettere un nome di profilo di configurazione personalizzato . Ad esempio, WindowsDefenderATPOnboarding.

  8. Scegliere un canale di distribuzione e selezionare Avanti.

  9. Selezionare un file di profilo di configurazione.

    Screenshot che mostra le impostazioni di configurazione.

  10. Nella scheda Assegnazioni assegnare il profilo a un gruppo in cui si trovano i dispositivi macOS e/o gli utenti oppure Tutti gli utenti e tutti i dispositivi.

    Screenshot che mostra la scheda Assegnazioni.

  11. Esaminare il profilo di configurazione. Selezionare Crea.

  12. Aprire Profilidi configurazionedei dispositivi> per visualizzare il profilo creato.

Passaggio 17: Verificare il rilevamento antimalware

Vedere l'articolo seguente per verificare la verifica del rilevamento antimalware: Test di rilevamento antivirus per verificare l'onboarding e i servizi di reporting del dispositivo

Passaggio 18: Verifica del rilevamento EDR

Vedere l'articolo seguente per testare una verifica del rilevamento EDR: test di rilevamento EDR per verificare l'onboarding dei dispositivi e Reporting Services

Risoluzione dei problemi

Problema: nessuna licenza trovata.

Soluzione: seguire la procedura descritta in questo articolo per creare un profilo di dispositivo usando WindowsDefenderATPOnboarding.xml.

Problemi di installazione della registrazione

Vedere Registrazione dei problemi di installazione per informazioni su come trovare il log generato automaticamente creato dal programma di installazione, quando si verifica un errore.

Per informazioni sulle procedure di risoluzione dei problemi, vedere:

Disinstallazione

Vedere Disinstallazione per informazioni dettagliate su come rimuovere Microsoft Defender per endpoint in macOS dai dispositivi client.