Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
S’applique à :
- Microsoft Defender pour point de terminaison macOS
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Importante
Cet article contient des instructions pour définir les préférences de Microsoft Defender pour point de terminaison sur macOS dans les organisations d’entreprise. Pour configurer Microsoft Defender pour point de terminaison sur macOS à l’aide de l’interface de ligne de commande, consultez Ressources.
Résumé
Dans les organisations d’entreprise, Microsoft Defender pour point de terminaison sur macOS peut être géré via un profil de configuration déployé à l’aide de l’un des outils de gestion. Les préférences gérées par votre équipe des opérations de sécurité sont prioritaires sur les préférences définies localement sur l’appareil. La modification des préférences définies par le biais du profil de configuration nécessite des privilèges réaffectés et n’est pas disponible pour les utilisateurs sans autorisations administratives.
Cet article décrit la structure du profil de configuration, inclut un profil recommandé que vous pouvez utiliser pour commencer et fournit des instructions sur le déploiement du profil.
Structure du profil de configuration
Le profil de configuration est un fichier .plist qui se compose d’entrées identifiées par une clé (qui indique le nom de la préférence), suivie d’une valeur, qui dépend de la nature de la préférence. Les valeurs peuvent être simples (par exemple, une valeur numérique) ou complexes, comme une liste imbriquée de préférences.
Attention
La disposition du profil de configuration dépend de la console de gestion que vous utilisez. Les sections suivantes contiennent des exemples de profils de configuration pour JAMF et Intune.
Le niveau supérieur du profil de configuration inclut les préférences et les entrées à l’échelle du produit pour les sous-zones de Microsoft Defender pour point de terminaison, qui sont expliquées plus en détail dans les sections suivantes.
Préférences du moteur antivirus
La section antivirusEngine du profil de configuration est utilisée pour gérer les préférences du composant antivirus de Microsoft Defender pour point de terminaison.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | antivirusEngine |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Niveau d’application pour le moteur antivirus
Spécifie la préférence d’application du moteur antivirus. Il existe trois valeurs pour définir le niveau d’application :
- En temps réel (
real_time
) : la protection en temps réel (analyser les fichiers au fur et à mesure qu’ils sont accessibles) est activée. - À la demande (
on_demand
) : les fichiers sont analysés uniquement à la demande. Dans ce cas :- La protection en temps réel est désactivée.
- Passif (
passive
) : exécute le moteur antivirus en mode passif. Dans ce cas :- La protection en temps réel est désactivée.
- L’analyse à la demande est activée.
- La correction automatique des menaces est désactivée.
- Les mises à jour du renseignement de sécurité sont activées.
- L’icône du menu État est masquée.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | enforcementLevel |
Type de données | Chaîne |
Valeurs possibles | real_time (par défaut) on_demand Passif |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.10.72 ou ultérieure. |
Activer/désactiver la surveillance du comportement
Détermine si la fonctionnalité de surveillance et de blocage du comportement est activée sur l’appareil ou non.
Remarque
Cette fonctionnalité s’applique uniquement lorsque Real-Time fonctionnalité Protection est activée.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | behaviorMonitoring |
Type de données | Chaîne |
Valeurs possibles | désactivé enabled (valeur par défaut) |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.24042.0002 ou ultérieure. |
Configurer la fonctionnalité de calcul de hachage de fichier
Active ou désactive la fonctionnalité de calcul de hachage de fichier. Lorsque cette fonctionnalité est activée, Defender pour point de terminaison calcule les hachages des fichiers qu’il analyse pour permettre une meilleure correspondance avec les règles d’indicateur. Sur macOS, seuls les fichiers de script et Mach-O (32 et 64 bits) sont pris en compte pour ce calcul de hachage (à partir du moteur version 1.1.20000.2 ou ultérieure). Notez que l’activation de cette fonctionnalité peut avoir un impact sur les performances de l’appareil. Pour plus d’informations, reportez-vous à : Créer des indicateurs pour les fichiers.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | enableFileHashComputation |
Type de données | Valeur booléenne |
Valeurs possibles | false (par défaut) true |
Commentaires | Disponible dans Defender pour point de terminaison version 101.86.81 ou ultérieure. |
Exécuter une analyse après la mise à jour des définitions
Spécifie s’il faut démarrer une analyse de processus après le téléchargement de nouvelles mises à jour du renseignement de sécurité sur l’appareil. L’activation de ce paramètre déclenche une analyse antivirus sur les processus en cours d’exécution de l’appareil.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | scanAfterDefinitionUpdate |
Type de données | Valeur booléenne |
Valeurs possibles | true (valeur par défaut) false |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure. |
Archives d’analyse (analyses antivirus à la demande uniquement)
Spécifie s’il faut analyser les archives pendant les analyses antivirus à la demande.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | scanArchives |
Type de données | Valeur booléenne |
Valeurs possibles | true (valeur par défaut) false |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure. |
Degré de parallélisme pour les analyses à la demande
Spécifie le degré de parallélisme pour les analyses à la demande. Cela correspond au nombre de threads utilisés pour effectuer l’analyse et a un impact sur l’utilisation du processeur, ainsi que sur la durée de l’analyse à la demande.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | maximumOnDemandScanThreads |
Type de données | Entier |
Valeurs possibles | 2 (valeur par défaut). Les valeurs autorisées sont des entiers compris entre 1 et 64. |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.41.10 ou ultérieure. |
Stratégie de fusion d’exclusion
Spécifiez la stratégie de fusion pour les exclusions. Il peut s’agir d’une combinaison d’exclusions définies par l’administrateur et définies par l’utilisateur (merge
), ou uniquement d’exclusions définies par l’administrateur (admin_only
). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres exclusions.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | exclusionsMergePolicy |
Type de données | Chaîne |
Valeurs possibles | merge (par défaut) admin_only |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure. |
Exclusions d’analyse
Spécifiez les entités exclues de l’analyse. Les exclusions peuvent être spécifiées par des chemins d’accès complets, des extensions ou des noms de fichiers. (Les exclusions sont spécifiées sous la forme d’un tableau d’éléments, l’administrateur peut spécifier autant d’éléments que nécessaire, dans n’importe quel ordre.)
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | Exclusions |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Type d’exclusion
Spécifiez le contenu exclu de l’analyse par type.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | $type |
Type de données | Chaîne |
Valeurs possibles | excludedPath excludedFileExtension excludedFileName |
Chemin d’accès au contenu exclu
Spécifiez le contenu exclu de l’analyse par chemin d’accès de fichier complet.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | chemin |
Type de données | Chaîne |
Valeurs possibles | chemins d’accès valides |
Commentaires | Applicable uniquement si $type est excluPath |
Types d’exclusion pris en charge
Le tableau suivant présente les types d’exclusion pris en charge par Defender pour point de terminaison sur Mac.
Exclusion | Définition | Exemples |
---|---|---|
Extension de fichier | Tous les fichiers avec l’extension, n’importe où sur l’appareil | .test |
Fichier | Fichier spécifique identifié par le chemin d’accès complet | /var/log/test.log |
Folder | Tous les fichiers sous le dossier spécifié (de manière récursive) | /var/log/ |
Processus | Un processus spécifique (spécifié par le chemin d’accès complet ou le nom de fichier) et tous les fichiers ouverts par celui-ci | /bin/cat |
Importante
Les chemins ci-dessus doivent être des liens physiques, et non des liens symboliques, afin d’être correctement exclus. Vous pouvez vérifier si un chemin d’accès est un lien symbolique en exécutant file <path-name>
.
Les exclusions de fichiers, de dossiers et de processus prennent en charge les caractères génériques suivants :
Caractère générique | Description | Exemple | Correspondances | Ne correspond pas |
---|---|---|---|---|
* | Correspond à n’importe quel nombre de caractères, y compris aucun (notez que lorsque ce caractère générique est utilisé à l’intérieur d’un chemin d’accès, il ne remplace qu’un seul dossier) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
? | Correspond à n’importe quel caractère unique | file?.log |
file1.log |
file123.log |
Type de chemin d’accès (fichier/répertoire)
Indique si la propriété path fait référence à un fichier ou à un répertoire.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | isDirectory |
Type de données | Valeur booléenne |
Valeurs possibles | false (par défaut) true |
Commentaires | Applicable uniquement si $type est excluPath |
Extension de fichier exclue de l’analyse
Spécifiez le contenu exclu de l’analyse par extension de fichier.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | Extension |
Type de données | Chaîne |
Valeurs possibles | extensions de fichier valides |
Commentaires | Applicable uniquement si $type est excluFileExtension |
Processus exclu de l’analyse
Spécifiez un processus pour lequel toute l’activité de fichier est exclue de l’analyse. Le processus peut être spécifié par son nom (par exemple, cat
) ou par son chemin d’accès complet (par exemple, /bin/cat
).
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | nom |
Type de données | Chaîne |
Valeurs possibles | n’importe quelle chaîne |
Commentaires | Applicable uniquement si $type est excluFileName |
Menaces autorisées
Spécifiez les menaces par leur nom qui ne sont pas bloquées par Defender pour point de terminaison sur Mac. Ces menaces seront autorisées à s’exécuter.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | allowedThreats |
Type de données | Tableau de chaînes |
Actions de menace non autorisées
Limite les actions que l’utilisateur local d’un appareil peut effectuer lorsque des menaces sont détectées. Les actions incluses dans cette liste ne sont pas affichées dans l’interface utilisateur.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | disallowedThreatActions |
Type de données | Tableau de chaînes |
Valeurs possibles | autoriser (empêche les utilisateurs d’autoriser les menaces) restore (empêche les utilisateurs de restaurer les menaces à partir de la quarantaine) |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure. |
Paramètres des types de menaces
Spécifiez la façon dont certains types de menaces sont gérés par Microsoft Defender pour point de terminaison sur macOS.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | threatTypeSettings |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Type de menace
Spécifiez les types de menaces.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | clé |
Type de données | Chaîne |
Valeurs possibles | potentially_unwanted_application archive_bomb |
Mesures à prendre
Spécifiez l’action à entreprendre lorsqu’une menace du type spécifié dans la section précédente est détectée. Choisissez l'une des options suivantes :
- Audit : votre appareil n’est pas protégé contre ce type de menace, mais une entrée concernant la menace est journalisée.
- Bloquer : votre appareil est protégé contre ce type de menace et vous êtes averti dans l’interface utilisateur et la console de sécurité.
- Désactivé : votre appareil n’est pas protégé contre ce type de menace et rien n’est journalisé.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | valeur |
Type de données | Chaîne |
Valeurs possibles | audit (par défaut) Bloc inactif |
Stratégie de fusion des paramètres de type de menace
Spécifiez la stratégie de fusion pour les paramètres de type de menace. Il peut s’agir d’une combinaison de paramètres définis par l’administrateur et définis par l’utilisateur (merge
) ou uniquement de paramètres définis par l’administrateur (admin_only
). Ce paramètre peut être utilisé pour empêcher les utilisateurs locaux de définir leurs propres paramètres pour différents types de menaces.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | threatTypeSettingsMergePolicy |
Type de données | Chaîne |
Valeurs possibles | merge (par défaut) admin_only |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 100.83.73 ou ultérieure. |
Rétention de l’historique d’analyse antivirus (en jours)
Spécifiez le nombre de jours pendant lesquels les résultats sont conservés dans l’historique d’analyse sur l’appareil. Les anciens résultats de l’analyse sont supprimés de l’historique. Anciens fichiers mis en quarantaine qui sont également supprimés du disque.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | scanResultsRetentionDays |
Type de données | Chaîne |
Valeurs possibles | 90 (valeur par défaut). Les valeurs autorisées sont comprises entre 1 jour et 180 jours. |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.07.23 ou ultérieure. |
Nombre maximal d’éléments dans l’historique d’analyse antivirus
Spécifiez le nombre maximal d’entrées à conserver dans l’historique d’analyse. Les entrées incluent toutes les analyses à la demande effectuées dans le passé et toutes les détections antivirus.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | scanHistoryMaximumItems |
Type de données | Chaîne |
Valeurs possibles | 10000 (valeur par défaut). Les valeurs autorisées sont comprises entre 5 000 éléments et 1 5 000 éléments. |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.07.23 ou ultérieure. |
Préférences de protection fournies par le cloud
Configurez les fonctionnalités de protection cloud de Microsoft Defender pour point de terminaison sur macOS.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | cloudService |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Activer/désactiver la protection fournie par le cloud
Spécifiez s’il faut activer la protection fournie par le cloud sur l’appareil ou non. Pour améliorer la sécurité de vos services, nous vous recommandons de garder cette fonctionnalité activée.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | activé |
Type de données | Valeur booléenne |
Valeurs possibles | true (valeur par défaut) false |
Niveau de collecte de diagnostics
Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Microsoft Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit. Ce paramètre détermine le niveau des diagnostics envoyés par Microsoft Defender pour point de terminaison à Microsoft.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | diagnosticLevel |
Type de données | Chaîne |
Valeurs possibles | facultatif (par défaut) obligatoire |
Configurer le niveau de bloc cloud
Ce paramètre détermine l’agressivité de Defender pour point de terminaison dans le blocage et l’analyse des fichiers suspects. Si ce paramètre est activé, Defender pour point de terminaison sera plus agressif lors de l’identification des fichiers suspects à bloquer et analyser ; sinon, il sera moins agressif et donc bloquer et analyser avec moins de fréquence. Il existe cinq valeurs pour définir le niveau de bloc cloud :
- Normal (
normal
) : niveau de blocage par défaut. - Modéré (
moderate
) : fournit un verdict uniquement pour les détections à haut niveau de confiance. - Élevé (
high
) : bloque de manière agressive les fichiers inconnus tout en optimisant les performances (plus de chances de bloquer les fichiers non dangereux). - Plus élevé (
high_plus
) : bloque de manière agressive les fichiers inconnus et applique des mesures de protection supplémentaires (susceptibles d’avoir un impact sur les performances des appareils clients). - Tolérance zéro (
zero_tolerance
) : bloque tous les programmes inconnus.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | cloudBlockLevel |
Type de données | Chaîne |
Valeurs possibles | normal (par défaut) Modérée Haute high_plus zero_tolerance |
Commentaires | Disponible dans Defender pour point de terminaison version 101.56.62 ou ultérieure. |
Activer/désactiver les envois automatiques d’exemples
Détermine si des échantillons suspects (susceptibles de contenir des menaces) sont envoyés à Microsoft. Il existe trois niveaux pour contrôler l’envoi d’exemples :
- Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
- Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations d’identification personnelle (PII) sont envoyés automatiquement. Il s’agit de la valeur par défaut de ce paramètre.
- Tout : tous les échantillons suspects sont envoyés à Microsoft.
Description | Valeur |
---|---|
Clé | automaticSampleSubmissionConsent |
Type de données | Chaîne |
Valeurs possibles | none safe (valeur par défaut) tout |
Activer/désactiver les mises à jour automatiques du renseignement de sécurité
Détermine si les mises à jour du renseignement de sécurité sont installées automatiquement :
Section | Valeur |
---|---|
Clé | automaticDefinitionUpdateEnabled |
Type de données | Valeur booléenne |
Valeurs possibles | true (valeur par défaut) false |
Préférences de l’interface utilisateur
Gérez les préférences pour l’interface utilisateur de Microsoft Defender pour point de terminaison sur macOS.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | userInterface |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Icône afficher/masquer le menu d’état
Indiquez s’il faut afficher ou masquer l’icône du menu d’état dans le coin supérieur droit de l’écran.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | hideStatusMenuIcon |
Type de données | Valeur booléenne |
Valeurs possibles | false (par défaut) true |
Option Afficher/masquer pour envoyer des commentaires
Spécifiez si les utilisateurs peuvent envoyer des commentaires à Microsoft en accédant à Help
>Send Feedback
.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | userInitiatedFeedback |
Type de données | Chaîne |
Valeurs possibles | enabled (valeur par défaut) désactivé |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.19.61 ou ultérieure. |
Contrôler la connexion à la version grand public de Microsoft Defender
Spécifiez si les utilisateurs peuvent se connecter à la version grand public de Microsoft Defender.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | consumerExperience |
Type de données | Chaîne |
Valeurs possibles | enabled (valeur par défaut) désactivé |
Commentaires | Disponible dans Microsoft Defender pour point de terminaison version 101.60.18 ou ultérieure. |
Détection des points de terminaison et préférences de réponse
Gérez les préférences du composant de détection et réponse de point de terminaison (EDR) de Microsoft Defender pour point de terminaison sur macOS.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | edr |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Balises d’appareil
Spécifiez un nom de balise et sa valeur.
- La balise GROUP marque l’appareil avec la valeur spécifiée. La balise est reflétée dans le portail sous la page de l’appareil et peut être utilisée pour le filtrage et le regroupement d’appareils.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | étiquettes |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Type de balise
Spécifie le type de balise
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | clé |
Type de données | Chaîne |
Valeurs possibles | GROUP |
Valeur de la balise
Spécifie la valeur de balise
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | valeur |
Type de données | Chaîne |
Valeurs possibles | n’importe quelle chaîne |
Importante
- Une seule valeur par type de balise peut être définie.
- Les types de balises sont uniques et ne doivent pas être répétés dans le même profil de configuration.
Identificateur de groupe
Identificateurs de groupe EDR
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | groupIds |
Type de données | Chaîne |
Commentaires | Identificateur de groupe |
Protection contre les falsifications
Gérez les préférences du composant Protection contre les falsifications de Microsoft Defender pour point de terminaison sur macOS.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | tamperProtection |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Niveau de mise en œuvre
Si la protection contre les falsifications est activée et si elle est en mode strict
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | enforcementLevel |
Type de données | Chaîne |
Commentaires | L’un des éléments « disabled », « audit » ou « block » |
Valeurs possibles :
- désactivé : la protection contre les falsifications est désactivée, aucune prévention des attaques ou la création de rapports au cloud
- audit - La protection contre les falsifications signale uniquement les tentatives de falsification dans le cloud, mais ne les bloque pas
- bloquer - Protection contre les falsifications bloque et signale les attaques dans le cloud
Exclusions
Définit les processus autorisés à modifier la ressource de Microsoft Defender, sans envisager de falsification. Path, teamId ou signingId, ou leur combinaison doit être fournie. Des arguments peuvent être fournis en outre, pour spécifier le processus autorisé plus précisément.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | Exclusions |
Type de données | Dictionnaire (préférence imbriquée) |
Commentaires | Consultez les sections suivantes pour obtenir une description du contenu du dictionnaire. |
Chemin d’accès
Chemin exact de l’exécutable du processus.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | chemin |
Type de données | Chaîne |
Commentaires | Dans le cas d’un script shell, il s’agit du chemin d’accès exact au binaire de l’interpréteur /bin/zsh de commandes, par exemple . Aucun caractère générique autorisé. |
ID d’équipe
« Id d’équipe » d’Apple du fournisseur.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | teamId |
Type de données | Chaîne |
Commentaires | Par exemple, UBF8T346G9 pour Microsoft |
ID de signature
« Id de signature » d’Apple du package.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | signingId |
Type de données | Chaîne |
Commentaires | Par exemple, pour l’interpréteur com.apple.ruby Ruby |
Traiter les arguments
Utilisé en combinaison avec d’autres paramètres pour identifier le processus.
Section | Valeur |
---|---|
Domaine | com.microsoft.wdav |
Clé | signingId |
Type de données | Tableau de chaînes |
Commentaires | S’il est spécifié, l’argument de processus doit correspondre exactement à ces arguments, en respectant la casse |
Profil de configuration recommandé
Pour commencer, nous vous recommandons la configuration suivante pour votre entreprise afin de tirer parti de toutes les fonctionnalités de protection fournies par Microsoft Defender pour point de terminaison.
Le profil de configuration suivant (ou, dans le cas de JAMF, une liste de propriétés qui peut être chargée dans le profil de configuration des paramètres personnalisés) :
- Activer la protection en temps réel (RTP)
- Spécifiez la façon dont les types de menaces suivants sont gérés :
- Les applications potentiellement indésirables (PUA) sont bloquées
- Les bombes d’archivage (fichier avec un taux de compression élevé) sont auditées dans les journaux Microsoft Defender pour point de terminaison
- Activer les mises à jour automatiques du renseignement de sécurité
- Protection fournie par le cloud
- Activer l’envoi automatique d’exemples
Liste de propriétés pour le profil de configuration recommandé JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Profil recommandé Par Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Exemple de profil de configuration complet
Les modèles suivants contiennent des entrées pour tous les paramètres décrits dans ce document et peuvent être utilisés pour des scénarios plus avancés où vous souhaitez davantage de contrôle sur Microsoft Defender pour point de terminaison sur macOS.
Liste de propriétés pour le profil de configuration complet JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Profil complet Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validation de la liste de propriétés
La liste de propriétés doit être un fichier .plist valide. Cela peut être vérifié en exécutant :
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Si le fichier est correctement formé, la commande ci-dessus génère OK
et retourne un code de sortie de 0
. Sinon, une erreur décrivant le problème s’affiche et la commande retourne un code de sortie de 1
.
Déploiement du profil de configuration
Une fois que vous avez créé le profil de configuration pour votre entreprise, vous pouvez le déployer via la console de gestion que votre entreprise utilise. Les sections suivantes fournissent des instructions sur la façon de déployer ce profil à l’aide de JAMF et d’Intune.
Déploiement JAMF
À partir de la console JAMF, ouvrezProfils de configurationordinateurs>, accédez au profil de configuration que vous souhaitez utiliser, puis sélectionnez Paramètres personnalisés. Créez une entrée avec com.microsoft.wdav
comme domaine de préférence et chargez le fichier .plist produit précédemment.
Attention
Vous devez entrer le domaine de préférence correct (com.microsoft.wdav
) ; sinon, les préférences ne seront pas reconnues par Microsoft Defender pour point de terminaison.
Déploiement Intune
OuvrezProfils de configurationdes appareils>. Sélectionnez Créer le profil.
Choisissez un nom pour le profil. Remplacez Platform=macOS parType de profil=Modèles et choisissez Personnalisé dans la section nom du modèle. Sélectionnez Configurer.
Enregistrez le fichier .plist produit précédemment en tant que
com.microsoft.wdav.xml
.Entrez
com.microsoft.wdav
comme nom de profil de configuration personnalisé.Ouvrez le profil de configuration et chargez le
com.microsoft.wdav.xml
fichier. (Ce fichier a été créé à l’étape 3.)Sélectionnez OK.
Sélectionnez Gérer les>affectations. Sous l’onglet Inclure , sélectionnez Affecter à tous les utilisateurs & Tous les appareils.
Attention
Vous devez entrer le nom de profil de configuration personnalisé correct. dans le cas contraire, ces préférences ne seront pas reconnues par Microsoft Defender pour point de terminaison.
Ressources
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.