Condividi tramite


Impostare le preferenze per Microsoft Defender per endpoint su macOS

Si applica a:

Importante

Questo articolo contiene istruzioni su come impostare le preferenze per Microsoft Defender per endpoint in macOS nelle organizzazioni aziendali. Per configurare Microsoft Defender per endpoint in macOS usando l'interfaccia della riga di comando, vedere Risorse.

Riepilogo

Nelle organizzazioni aziendali, Microsoft Defender per endpoint in macOS può essere gestito tramite un profilo di configurazione distribuito tramite uno dei diversi strumenti di gestione. Le preferenze gestite dal team delle operazioni di sicurezza hanno la precedenza sulle preferenze impostate localmente nel dispositivo. La modifica delle preferenze impostate tramite il profilo di configurazione richiede privilegi inoltrati e non è disponibile per gli utenti senza autorizzazioni amministrative.

Questo articolo descrive la struttura del profilo di configurazione, include un profilo consigliato che è possibile usare per iniziare e fornisce istruzioni su come distribuire il profilo.

Struttura del profilo di configurazione

Il profilo di configurazione è un file con estensione plist costituito da voci identificate da una chiave (che indica il nome della preferenza), seguito da un valore, che dipende dalla natura della preferenza. I valori possono essere semplici (ad esempio un valore numerico) o complessi, ad esempio un elenco annidato di preferenze.

Attenzione

Il layout del profilo di configurazione dipende dalla console di gestione in uso. Le sezioni seguenti contengono esempi di profili di configurazione per JAMF e Intune.

Il livello superiore del profilo di configurazione include le preferenze e le voci a livello di prodotto per le sottoaree di Microsoft Defender per endpoint, illustrate in modo più dettagliato nelle sezioni successive.

Preferenze del motore antivirus

La sezione antivirusEngine del profilo di configurazione viene usata per gestire le preferenze del componente antivirus di Microsoft Defender per endpoint.

Sezione Valore
Dominio com.microsoft.wdav
Chiave antivirusEngine
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Livello di imposizione per il motore antivirus

Specifica la preferenza di imposizione del motore antivirus. Sono disponibili tre valori per l'impostazione del livello di imposizione:

  • In tempo reale (real_time): è abilitata la protezione in tempo reale (analisi dei file durante l'accesso).
  • Su richiesta (on_demand): i file vengono analizzati solo su richiesta. In questo caso:
    • La protezione in tempo reale è disattivata.
  • Passivo (passive): esegue il motore antivirus in modalità passiva. In questo caso:
    • La protezione in tempo reale è disattivata.
    • L'analisi su richiesta è attivata.
    • La correzione automatica delle minacce è disattivata.
    • Gli aggiornamenti dell'intelligence per la sicurezza sono attivati.
    • L'icona del menu Stato è nascosta.
Sezione Valore
Dominio com.microsoft.wdav
Chiave enforcementLevel
Data type Stringa
Valori possibili real_time (impostazione predefinita)

on_demand

Passivo

Commenti Disponibile in Microsoft Defender per endpoint versione 101.10.72 o successiva.

Abilitare/disabilitare il monitoraggio del comportamento

Determina se la funzionalità di monitoraggio e blocco del comportamento è abilitata o meno nel dispositivo.

Nota

Questa funzionalità è applicabile solo quando è abilitata la funzionalità protezione Real-Time.

Sezione Valore
Dominio com.microsoft.wdav
Chiave behaviorMonitoring
Data type Stringa
Valori possibili disabilitati

enabled (impostazione predefinita)

Commenti Disponibile in Microsoft Defender per endpoint versione 101.24042.0002 o successiva.

Configurare la funzionalità di calcolo dell'hash dei file

Abilita o disabilita la funzionalità di calcolo dell'hash dei file. Quando questa funzionalità è abilitata, Defender per endpoint calcola gli hash per i file che analizza per consentire una migliore corrispondenza con le regole degli indicatori. In macOS vengono considerati solo i file script e Mach-O (a 32 e 64 bit) per questo calcolo hash (dalla versione 1.1.20000.2 o successiva del motore). Si noti che l'abilitazione di questa funzionalità potrebbe influire sulle prestazioni del dispositivo. Per altri dettagli, vedere: Creare indicatori per i file.

Sezione Valore
Dominio com.microsoft.wdav
Chiave enableFileHashComputation
Data type Booleano
Valori possibili false (impostazione predefinita)

true

Commenti Disponibile in Defender per endpoint versione 101.86.81 o successiva.

Eseguire un'analisi dopo l'aggiornamento delle definizioni

Specifica se avviare un'analisi del processo dopo il download di nuovi aggiornamenti di Security Intelligence nel dispositivo. L'abilitazione di questa impostazione attiva un'analisi antivirus nei processi in esecuzione del dispositivo.

Sezione Valore
Dominio com.microsoft.wdav
Chiave scanAfterDefinitionUpdate
Data type Booleano
Valori possibili true (impostazione predefinita)

False

Commenti Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva.

Analizzare gli archivi (solo analisi antivirus su richiesta)

Specifica se analizzare gli archivi durante le analisi antivirus su richiesta.

Sezione Valore
Dominio com.microsoft.wdav
Chiave scanArchives
Data type Booleano
Valori possibili true (impostazione predefinita)

False

Commenti Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva.

Grado di parallelismo per le analisi su richiesta

Specifica il grado di parallelismo per le analisi su richiesta. Corrisponde al numero di thread usati per eseguire l'analisi e influisce sull'utilizzo della CPU, nonché sulla durata dell'analisi su richiesta.

Sezione Valore
Dominio com.microsoft.wdav
Chiave maximumOnDemandScanThreads
Data type Numero intero
Valori possibili 2 (impostazione predefinita). I valori consentiti sono numeri interi compresi tra 1 e 64.
Commenti Disponibile in Microsoft Defender per endpoint versione 101.41.10 o successiva.

Criteri di unione di esclusione

Specificare i criteri di unione per le esclusioni. Può trattarsi di una combinazione di esclusioni definite dall'amministratore e definite dall'utente (merge) o solo esclusioni definite dall'amministratore (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie esclusioni.

Sezione Valore
Dominio com.microsoft.wdav
Chiave exclusionsMergePolicy
Data type Stringa
Valori possibili merge (impostazione predefinita)

admin_only

Commenti Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva.

Esclusioni di analisi

Specificare le entità escluse dall'analisi. Le esclusioni possono essere specificate da percorsi completi, estensioni o nomi di file. Le esclusioni vengono specificate come matrice di elementi. L'amministratore può specificare il numero di elementi necessario, in qualsiasi ordine.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Esclusioni
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.
Tipo di esclusione

Specificare il contenuto escluso dall'analisi in base al tipo.

Sezione Valore
Dominio com.microsoft.wdav
Chiave $type
Data type Stringa
Valori possibili excludedPath

excludedFileExtension

excludedFileName

Percorso del contenuto escluso

Specificare il contenuto escluso dall'analisi in base al percorso completo del file.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Percorso
Data type Stringa
Valori possibili percorsi validi
Commenti Applicabile solo se $type è excludedPath

Tipi di esclusione supportati

La tabella seguente illustra i tipi di esclusione supportati da Defender per endpoint in Mac.

Esclusione Definizione Esempi
Estensione del file Tutti i file con l'estensione, in qualsiasi punto del dispositivo .test
File Un file specifico identificato dal percorso completo /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Cartella Tutti i file nella cartella specificata (in modo ricorsivo) /var/log/

/var/*/

Procedura Un processo specifico (specificato dal percorso completo o dal nome del file) e tutti i file da esso aperti /bin/cat

cat

c?t

Importante

I percorsi precedenti devono essere collegamenti reali, non collegamenti simbolici, per essere esclusi correttamente. È possibile controllare se un percorso è un collegamento simbolico eseguendo file <path-name>.

Le esclusioni di file, cartelle e processi supportano i caratteri jolly seguenti:

Carattere jolly Descrizione Esempio Corrispondenze Non corrisponde
* Corrisponde a un numero qualsiasi di caratteri, tra cui nessuno (si noti che quando questo carattere jolly viene usato all'interno di un percorso sostituirà solo una cartella) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Corrisponde a qualsiasi carattere singolo file?.log file1.log

file2.log

file123.log

Tipo di percorso (file/directory)

Indicare se la proprietà path fa riferimento a un file o a una directory.

Sezione Valore
Dominio com.microsoft.wdav
Chiave isDirectory
Data type Booleano
Valori possibili false (impostazione predefinita)

true

Commenti Applicabile solo se $type è excludedPath

Estensione file esclusa dall'analisi

Specificare il contenuto escluso dall'analisi in base all'estensione di file.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Estensione
Data type Stringa
Valori possibili estensioni di file valide
Commenti Applicabile solo se $type è excludedFileExtension

Processo escluso dall'analisi

Specificare un processo per il quale tutte le attività dei file vengono escluse dall'analisi. Il processo può essere specificato in base al nome (ad esempio, cat) o al percorso completo (ad esempio, /bin/cat).

Sezione Valore
Dominio com.microsoft.wdav
Chiave Nome
Data type Stringa
Valori possibili qualsiasi stringa
Commenti Applicabile solo se $type è excludedFileName

Minacce consentite

Specificare le minacce per nome che non sono bloccate da Defender per endpoint in Mac. Queste minacce saranno consentite per l'esecuzione.

Sezione Valore
Dominio com.microsoft.wdav
Chiave allowedThreats
Data type Matrice di stringhe

Azioni di minaccia non consentite

Limita le azioni che l'utente locale di un dispositivo può eseguire quando vengono rilevate minacce. Le azioni incluse in questo elenco non vengono visualizzate nell'interfaccia utente.

Sezione Valore
Dominio com.microsoft.wdav
Chiave disallowedThreatActions
Data type Matrice di stringhe
Valori possibili allow (impedisce agli utenti di consentire le minacce)

restore (impedisce agli utenti di ripristinare le minacce dalla quarantena)

Commenti Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva.

Impostazioni del tipo di minaccia

Specificare la modalità di gestione di determinati tipi di minaccia da Microsoft Defender per endpoint in macOS.

Sezione Valore
Dominio com.microsoft.wdav
Chiave threatTypeSettings
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.
Tipo di minaccia

Specificare i tipi di minaccia.

Sezione Valore
Dominio com.microsoft.wdav
Chiave chiave
Data type Stringa
Valori possibili potentially_unwanted_application

archive_bomb

Procedura da seguire

Specificare l'azione da eseguire quando viene rilevata una minaccia del tipo specificato nella sezione precedente. Scegliere una delle seguenti opzioni:

  • Controllo: il dispositivo non è protetto da questo tipo di minaccia, ma viene registrata una voce relativa alla minaccia.
  • Blocca: il dispositivo è protetto da questo tipo di minaccia e viene inviata una notifica nell'interfaccia utente e nella console di sicurezza.
  • Disattivato: il dispositivo non è protetto da questo tipo di minaccia e non viene registrato nulla.
Sezione Valore
Dominio com.microsoft.wdav
Chiave valore
Data type Stringa
Valori possibili audit (impostazione predefinita)

Blocco

disattivato

Criteri di unione delle impostazioni del tipo di minaccia

Specificare i criteri di unione per le impostazioni del tipo di minaccia. Può trattarsi di una combinazione di impostazioni definite dall'amministratore e definite dall'utente (merge) o solo impostazioni definite dall'amministratore (admin_only). Questa impostazione può essere usata per impedire agli utenti locali di definire le proprie impostazioni per tipi di minaccia diversi.

Sezione Valore
Dominio com.microsoft.wdav
Chiave threatTypeSettingsMergePolicy
Data type Stringa
Valori possibili merge (impostazione predefinita)

admin_only

Commenti Disponibile in Microsoft Defender per endpoint versione 100.83.73 o successiva.

Conservazione della cronologia dell'analisi antivirus (in giorni)

Specificare il numero di giorni in cui i risultati vengono conservati nella cronologia di analisi nel dispositivo. I risultati dell'analisi precedenti vengono rimossi dalla cronologia. File in quarantena precedenti che vengono rimossi anche dal disco.

Sezione Valore
Dominio com.microsoft.wdav
Chiave scanResultsRetentionDays
Data type Stringa
Valori possibili 90 (impostazione predefinita). I valori consentiti sono compresi tra 1 giorno e 180 giorni.
Commenti Disponibile in Microsoft Defender per endpoint versione 101.07.23 o successiva.

Numero massimo di elementi nella cronologia di analisi antivirus

Specificare il numero massimo di voci da mantenere nella cronologia di analisi. Le voci includono tutte le analisi su richiesta eseguite in passato e tutti i rilevamenti antivirus.

Sezione Valore
Dominio com.microsoft.wdav
Chiave scanHistoryMaximumItems
Data type Stringa
Valori possibili 10000 (impostazione predefinita). I valori consentiti sono compresi tra 5000 elementi e 15000 elementi.
Commenti Disponibile in Microsoft Defender per endpoint versione 101.07.23 o successiva.

Preferenze di protezione fornite dal cloud

Configurare le funzionalità di protezione basate sul cloud di Microsoft Defender per endpoint in macOS.

Sezione Valore
Dominio com.microsoft.wdav
Chiave cloudService
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Abilitare/disabilitare la protezione fornita dal cloud

Specificare se abilitare o meno la protezione fornita dal cloud. Per migliorare la sicurezza dei servizi, è consigliabile mantenere attiva questa funzionalità.

Sezione Valore
Dominio com.microsoft.wdav
Chiave abilitati
Data type Booleano
Valori possibili true (impostazione predefinita)

False

Livello raccolta diagnostica

I dati di diagnostica vengono usati per mantenere Microsoft Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto. Questa impostazione determina il livello di diagnostica inviato da Microsoft Defender per endpoint a Microsoft.

Sezione Valore
Dominio com.microsoft.wdav
Chiave diagnosticLevel
Data type Stringa
Valori possibili facoltativo (impostazione predefinita)

Obbligatorio

Configurare il livello di blocco cloud

Questa impostazione determina l'aggressivo defender per endpoint nel blocco e nell'analisi dei file sospetti. Se questa impostazione è attivata, Defender per endpoint sarà più aggressivo quando si identificano i file sospetti da bloccare e analizzare; in caso contrario, sarà meno aggressivo e quindi bloccare e scansionare con meno frequenza. Sono disponibili cinque valori per l'impostazione del livello di blocco cloud:

  • Normale (normal): livello di blocco predefinito.
  • Moderato (moderate): restituisce il verdetto solo per i rilevamenti con attendibilità elevata.
  • Alto (high): blocca in modo aggressivo i file sconosciuti durante l'ottimizzazione per le prestazioni (maggiore probabilità di bloccare i file non dannosi).
  • High Plus (high_plus): blocca in modo aggressivo i file sconosciuti e applica misure di protezione aggiuntive (potrebbe influire sulle prestazioni del dispositivo client).
  • Tolleranza zero (zero_tolerance): blocca tutti i programmi sconosciuti.
Sezione Valore
Dominio com.microsoft.wdav
Chiave cloudBlockLevel
Data type Stringa
Valori possibili normal (impostazione predefinita)

Moderata

alto

high_plus

zero_tolerance

Commenti Disponibile in Defender per endpoint versione 101.56.62 o successiva.

Abilitare/disabilitare gli invii di esempi automatici

Determina se gli esempi sospetti (che probabilmente contengono minacce) vengono inviati a Microsoft. Esistono tre livelli per controllare l'invio di campioni:

  • Nessuno: nessun esempio sospetto viene inviato a Microsoft.
  • Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito per questa impostazione.
  • Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.
Descrizione Valore
Chiave automaticSampleSubmissionConsent
Data type Stringa
Valori possibili nessuno

safe (impostazione predefinita)

Tutti

Abilitare/disabilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza

Determina se gli aggiornamenti di Security Intelligence vengono installati automaticamente:

Sezione Valore
Chiave automaticDefinitionUpdateEnabled
Data type Booleano
Valori possibili true (impostazione predefinita)

False

Preferenze dell'interfaccia utente

Gestire le preferenze per l'interfaccia utente di Microsoft Defender per endpoint in macOS.

Sezione Valore
Dominio com.microsoft.wdav
Chiave userInterface
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Icona del menu Mostra/Nascondi stato

Specificare se visualizzare o nascondere l'icona del menu di stato nell'angolo superiore destro della schermata.

Sezione Valore
Dominio com.microsoft.wdav
Chiave hideStatusMenuIcon
Data type Booleano
Valori possibili false (impostazione predefinita)

true

Mostra/nascondi l'opzione per inviare commenti e suggerimenti

Specificare se gli utenti possono inviare commenti e suggerimenti a Microsoft passando a Help>Send Feedback.

Sezione Valore
Dominio com.microsoft.wdav
Chiave userInitiatedFeedback
Data type Stringa
Valori possibili enabled (impostazione predefinita)

disabilitati

Commenti Disponibile in Microsoft Defender per endpoint versione 101.19.61 o successiva.

Controllare l'accesso alla versione consumer di Microsoft Defender

Specificare se gli utenti possono accedere alla versione consumer di Microsoft Defender.

Sezione Valore
Dominio com.microsoft.wdav
Chiave consumerExperience
Data type Stringa
Valori possibili enabled (impostazione predefinita)

disabilitati

Commenti Disponibile in Microsoft Defender per endpoint versione 101.60.18 o successiva.

Preferenze di rilevamento e risposta degli endpoint

Gestire le preferenze del componente edr (endpoint detection and response) di Microsoft Defender per endpoint in macOS.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Edr
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Tag del dispositivo

Specificare un nome di tag e il relativo valore.

  • Il tag GROUP contrassegna il dispositivo con il valore specificato. Il tag viene riflesso nel portale nella pagina del dispositivo e può essere usato per filtrare e raggruppare i dispositivi.
Sezione Valore
Dominio com.microsoft.wdav
Chiave tag
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.
Tipo di tag

Specifica il tipo di tag

Sezione Valore
Dominio com.microsoft.wdav
Chiave chiave
Data type Stringa
Valori possibili GROUP
Valore del tag

Specifica il valore del tag

Sezione Valore
Dominio com.microsoft.wdav
Chiave valore
Data type Stringa
Valori possibili qualsiasi stringa

Importante

  • È possibile impostare un solo valore per tipo di tag.
  • Il tipo di tag è univoco e non deve essere ripetuto nello stesso profilo di configurazione.

Identificatore del gruppo

Identificatori del gruppo EDR

Sezione Valore
Dominio com.microsoft.wdav
Chiave groupIds
Data type Stringa
Commenti Identificatore del gruppo

Protezione antimanomissione

Gestire le preferenze del componente Protezione antimanomissione di Microsoft Defender per endpoint in macOS.

Sezione Valore
Dominio com.microsoft.wdav
Chiave tamperProtection
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.

Livello di imposizione

Se La protezione antimanomissione è abilitata e se è in modalità strict

Sezione Valore
Dominio com.microsoft.wdav
Chiave enforcementLevel
Data type Stringa
Commenti Uno dei valori di 'disabled', 'audit' o 'block'

Valori possibili:

  • disabilitato - Protezione antimanomissione è disattivata, nessuna prevenzione di attacchi o segnalazione al cloud
  • audit - Tamper Protection segnala i tentativi di manomissione solo nel cloud, ma non li blocca
  • block - Protezione dalle manomissioni sia per i blocchi che per i report degli attacchi al cloud

Esclusioni

Definisce i processi che sono autorizzati a modificare l'asset di Microsoft Defender, senza considerare la manomissione. È necessario specificare path, teamId o signingId oppure la relativa combinazione. Gli argomenti possono essere forniti anche per specificare più precisamente il processo consentito.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Esclusioni
Data type Dizionario (preferenza annidata)
Commenti Per una descrizione del contenuto del dizionario, vedere le sezioni seguenti.
Percorso

Percorso esatto del file eseguibile del processo.

Sezione Valore
Dominio com.microsoft.wdav
Chiave Percorso
Data type Stringa
Commenti Nel caso di uno script della shell, sarà il percorso esatto del file binario dell'interprete, ad esempio /bin/zsh. Non sono consentiti caratteri jolly.
Team Id

"Id team" di Apple del fornitore.

Sezione Valore
Dominio com.microsoft.wdav
Chiave teamId
Data type Stringa
Commenti Ad esempio, UBF8T346G9 per Microsoft
ID firma

"Id di firma" del pacchetto di Apple.

Sezione Valore
Dominio com.microsoft.wdav
Chiave signingId
Data type Stringa
Commenti Ad esempio, com.apple.ruby per l'interprete Ruby
Argomenti del processo

Usato in combinazione con altri parametri per identificare il processo.

Sezione Valore
Dominio com.microsoft.wdav
Chiave signingId
Data type Matrice di stringhe
Commenti Se specificato, l'argomento del processo deve corrispondere esattamente a tali argomenti, con distinzione tra maiuscole e minuscole

Per iniziare, è consigliabile usare la configurazione seguente per l'azienda per sfruttare tutte le funzionalità di protezione fornite da Microsoft Defender per endpoint.

Il profilo di configurazione seguente (o, nel caso di JAMF, un elenco di proprietà che potrebbe essere caricato nel profilo di configurazione delle impostazioni personalizzate) sarà:

  • Abilitare la protezione in tempo reale (RTP)
  • Specificare la modalità di gestione dei tipi di minaccia seguenti:
    • Le applicazioni potenzialmente indesiderate (PUA) sono bloccate
    • Le bombe di archiviazione (file con una frequenza di compressione elevata) vengono controllate nei log di Microsoft Defender per endpoint
  • Abilitare gli aggiornamenti automatici delle funzionalità di intelligence per la sicurezza
  • Abilitare la protezione fornita dal cloud
  • Abilitare l'invio automatico di esempi
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Esempio di profilo di configurazione completo

I modelli seguenti contengono voci per tutte le impostazioni descritte in questo documento e possono essere usati per scenari più avanzati in cui si vuole un maggiore controllo su Microsoft Defender per endpoint in macOS.

Elenco delle proprietà per il profilo di configurazione completo JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Profilo completo di Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Convalida dell'elenco di proprietà

L'elenco delle proprietà deve essere un file con estensione plist valido. Questa operazione può essere verificata eseguendo:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Se il file è ben formato, il comando precedente restituisce OK e restituisce un codice di uscita di 0. In caso contrario, viene visualizzato un errore che descrive il problema e il comando restituisce un codice di uscita di 1.

Distribuzione del profilo di configurazione

Dopo aver creato il profilo di configurazione per l'azienda, è possibile distribuirlo tramite la console di gestione usata dall'azienda. Le sezioni seguenti forniscono istruzioni su come distribuire questo profilo usando JAMF e Intune.

Distribuzione jamf

Nella console JAMF aprireProfili di configurazionecomputer>, passare al profilo di configurazione che si vuole usare e quindi selezionare Impostazioni personalizzate. Creare una voce con com.microsoft.wdav come dominio di preferenza e caricare il file con estensione plist prodotto in precedenza.

Attenzione

È necessario immettere il dominio delle preferenze corretto (com.microsoft.wdav); in caso contrario, le preferenze non verranno riconosciute da Microsoft Defender per endpoint.

Distribuzione di Intune

  1. AprireProfili di configurazionedei dispositivi>. Selezionare Crea profilo.

  2. Scegliere un nome per il profilo. Modificare Platform=macOS in Profile type=Templates e scegliere Personalizzato nella sezione nome modello. Selezionare Configura.

  3. Salvare il file con estensione plist prodotto in precedenza come com.microsoft.wdav.xml.

  4. Immettere com.microsoft.wdav come nome del profilo di configurazione personalizzato.

  5. Aprire il profilo di configurazione e caricare il com.microsoft.wdav.xml file. Questo file è stato creato nel passaggio 3.

  6. Selezionare OK.

  7. Selezionare Gestisci>assegnazioni. Nella scheda Includi selezionare Assegna a tutti gli utenti & Tutti i dispositivi.

Attenzione

È necessario immettere il nome del profilo di configurazione personalizzato corretto; in caso contrario, queste preferenze non verranno riconosciute da Microsoft Defender per endpoint.

Risorse

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.