Správa zařízení pro macOS

Článek
11/19/2024

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Požadavky

Řízení zařízení pro macOS má následující požadavky:

Microsoft Defender for Endpoint nárok (může být zkušební)
Minimální verze operačního systému: macOS 11 nebo novější
Minimální verze produktu: 101.34.20

Přehled

funkce Microsoft Defender for Endpoint Device Control umožňuje:

Auditovat, povolit nebo zabránit čtení, zápisu nebo spuštění přístupu k vyměnitelnému úložišti; a
Správa zařízení se systémem iOS a přenosných zařízení a šifrovaných zařízení Apple APFS a médií Bluetooth s vyloučením nebo bez vyloučení

Příprava koncových bodů

Microsoft Defender for Endpoint nárok (může být zkušební)
Minimální verze operačního systému: macOS 11 nebo novější
Nasazení úplného přístupu k disku: Možná jste ho https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig už vytvořili a nasadili pro jiné funkce MDE. Pro novou aplikaci musíte udělit oprávnění k úplnému přístupu k disku: com.microsoft.dlp.daemon.
Povolte řízení zařízení v nastavení předvolby MDE:
- Ochrana před únikem informací /Funkce/
- Jako Název funkce zadejte "DC_in_dlp".
- Jako State (Stav) zadejte "enabled" (povoleno).

Příklad 1: JAMF pomocí schema.json

Snímek obrazovky, který ukazuje, jak povolit řízení zařízení v Microsoft Defender for Endpoint ochrana před únikem informací nebo funkce

Příklad 2: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
	<dict> 
	  <key>name</key>
	  <string>DC_in_dlp</string>
	  <key>state</key>
	  <string>enabled</string>
	</dict>
  </array>
</dict>

Minimální verze produktu: 101.91.92 nebo novější
Spuštěním verze mdatp prostřednictvím terminálu zobrazte verzi produktu na klientském počítači:

Principy zásad

Zásady určují chování řízení zařízení pro macOS. Zásady se prostřednictvím Intune nebo JAMF cílí na kolekci počítačů nebo uživatelů.

Zásady Řízení zařízení pro macOS zahrnují nastavení, skupiny a pravidla:

Globální nastavení s názvem "settings" umožňuje definovat globální prostředí.
Skupina s názvem skupiny umožňuje vytvářet skupiny médií. Například autorizovaná skupina USB nebo šifrovaná skupina USB.
Pravidlo zásad přístupu s názvem "pravidla" umožňuje vytvořit zásadu pro omezení jednotlivých skupin. Můžete například povolit jenom autorizovanému uživateli skupinu USB s oprávněním k zápisu.

Poznámka

K pochopení vlastností doporučujeme použít příklady na GitHubu: mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy v main – microsoft/mdatp-devicecontrol (github.com).

Pomocí skriptů na adrese mdatp-devicecontrol/tree/main/python#readme at main – microsoft/mdatp-devicecontrol (github.com) můžete také přeložit zásady řízení zařízení pro Windows na zásady řízení zařízení macOS nebo přeložit zásady řízení zařízení v1 pro macOS na tuto zásadu V2.

Poznámka

Existují známé problémy s řízením zařízení pro macOS, které by zákazníci měli při vytváření zásad zvážit.

Osvědčené postupy

Ovládací prvek zařízení pro macOS má podobné možnosti jako Ovládací prvek zařízení pro Windows, ale macOS a Windows poskytují různé základní funkce pro správu zařízení, takže existují některé důležité rozdíly:

macOS nemá centralizovaný Správce zařízení ani zobrazení zařízení. Přístup je udělen nebo odepřen aplikacím, které pracují se zařízeními. To je důvod, proč v systému macOS existuje bohatší sada typů přístupu. Například na ovládacím portableDevice prvku zařízení pro macOS může zakázat nebo povolit download_photos_from_device.
Abyste zůstali konzistentní s Windows, existují generic_readtypy přístupu ageneric_writegeneric_execute . Zásady s obecnými typy přístupu není potřeba měnit, pokud se v budoucnu přidají další konkrétní typy přístupu. Osvědčeným postupem je použít obecné typy přístupu, pokud není potřeba zakázat nebo povolit konkrétnější operaci.
deny Vytvoření zásady pomocí obecných typů přístupu je nejlepší způsob, jak se pokusit úplně zablokovat všechny operace pro daný typ zařízení (např. telefony s Androidem), ale pokud se operace provádí pomocí aplikace, která není podporována ovládáním zařízení s macOS, může docházet k mezerám.

Možnosti

Tady jsou vlastnosti, které můžete použít při vytváření skupin, pravidel a nastavení v zásadách řízení zařízení pro macOS.

Název vlastnosti	Popis	Volby
rysy	Konfigurace specifické pro funkce	Hodnotu false nebo true můžete nastavit `disable` pro následující funkce: - `removableMedia` - `appleDevice` - `portableDevice`, včetně kamery nebo ptp médií - `bluetoothDevice` Výchozí hodnota je `true`, takže pokud tuto hodnotu nenakonfigurujete, nepoužije se ani v případě, že vytvoříte vlastní zásadu pro `removableMedia`, protože je ve výchozím nastavení zakázaná.
globální	Nastavit výchozí vynucování	Můžete nastavit `defaultEnforcement` na - `allow` (výchozí) - `deny`
Ux	U oznámení můžete nastavit hypertextový odkaz.	`navigationTarget: string`. Například: `"http://www.microsoft.com"`

Skupina

Název vlastnosti	Popis	Volby
`$type`	Druh skupiny	"device"
`id`	IDENTIFIKÁTOR GUID, jedinečné ID, představuje skupinu a použije se v zásadách.	ID můžete vygenerovat pomocí rutiny New-Guid (Microsoft.PowerShell.Utility) – PowerShell nebo příkazu uuidgen v systému macOS.
`name`	Popisný název skupiny	řetězec
`query`	Mediální pokrytí v rámci této skupiny	Podrobnosti najdete v tabulkách vlastností dotazů níže.

Dotaz

Řízení zařízení podporuje dva typy dotazů:

Typ dotazu 1 je následující:

Název vlastnosti	Popis	Volby
`$type`	Identifikace logické operace, která se má provést s klauzulemi	all: Všechny atributy v klauzulích jsou relace And . Pokud například správce vloží `vendorId` a pro `serialNumber`každý připojený USB, systém zkontroluje, jestli USB splňuje obě hodnoty. a: je ekvivalentní všem jakýkoliv: Atributy v klauzulích jsou Or relationship. Pokud například správce vloží `vendorId` a `serialNumber`pro každý připojený USB, systém provede vynucení, pokud má usb port stejnou `vendorId` hodnotu nebo `serialNumber` hodnotu. nebo: je ekvivalentní libovolnému
`clauses`	Pomocí vlastnosti mediálního zařízení nastavte podmínku skupiny.	Pole objektů klauzule, které se vyhodnocují za účelem určení členství ve skupinách. Viz část Klauzule níže.

Typ dotazu 2 je následující:

Název vlastnosti	Popis	Volby
`$type`	Identifikace logické operace, která se má provést s poddotazem	not: logická negace dotazu
`query`	Poddotaz	Dotaz, který bude negovaný.

Klauzule

Vlastnosti klauzule

Název vlastnosti	Popis	Volby
`$type`	Typ klauzule	Podporované klauzule najdete v následující tabulce.
`value`	$type konkrétní hodnotu, která se má použít

Podporované klauzule

$type klauzule	hodnota	Popis
`primaryId`	Jedna z těchto možností: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	4místný šestnáctkový řetězec	Odpovídá ID dodavatele zařízení.
`productId`	4místný šestnáctkový řetězec	Odpovídá ID produktu zařízení.
`serialNumber`	řetězec	Odpovídá sériovému číslu zařízení. Neodpovídá, pokud zařízení nemá sériové číslo.
`encryption`	apfs	Shoda, pokud je zařízení šifrované apfs.
`groupId`	Řetězec UUID	Porovná, pokud je zařízení členem jiné skupiny. Hodnota představuje UUID skupiny, se kterou se má shodovat. Skupina musí být definována v rámci zásad před klauzulí .

Pravidlo zásad přístupu

Název vlastnosti	Popis	Volby
`id`	Identifikátor GUID, jedinečné ID, představuje pravidlo a použije se v zásadách.	New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen
`name`	Řetězec, název zásady a zobrazí se v informačním přehledu na základě nastavení zásad.
`includeGroups`	Skupiny, pro které se zásady použijí. Pokud je zadáno více skupin, zásady se vztahují na všechna média ve všech těchto skupinách. Pokud není zadané, pravidlo se použije pro všechna zařízení.	V tomto případě musí být použita hodnota ID uvnitř skupiny. Pokud je v `includeGroups`souboru více skupin, je to AND. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	Skupiny, na které se zásady nevztahují.	V tomto případě musí být použita hodnota ID uvnitř skupiny. Pokud je v excludeGroups více skupin, je to OR.
`entries`	Jedno pravidlo může mít více položek; Každá položka s jedinečným identifikátorem GUID informuje Ovládací prvek zařízení o jednom omezení.	Podrobnosti najdete v tabulce vlastností položek dále v tomto článku.

Následující tabulka uvádí vlastnosti, které můžete v položce použít:

Název vlastnosti	Popis	Volby
`$type`		Zahrnuje: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice` - `generic`
vynucení		- `$type`: - `allow` - `deny` - `auditAllow` - `auditDeny` Když je vybraná možnost povolit $type, hodnota možností podporuje: - `disable_audit_allow` I když dojde k povolení a nastavení auditAllow je nakonfigurované, systém událost neodešle. Když $type možnost odepřít, hodnota možnosti podporuje: `disable_audit_deny` I když dojde k blokování a je nakonfigurované nastavení auditDeny , systém nezobrazí oznámení ani neodešle událost. Pokud je vybraná $type auditAllow, hodnota možností podporuje: `send_event` Když je vybraná $type auditDeny, hodnota možností podporuje: `send_event` `show_notification`
`access`		Zadejte jedno nebo více přístupových práv pro toto pravidlo. Můžou zahrnovat buď podrobná oprávnění specifická pro zařízení, nebo širší obecná oprávnění. Další podrobnosti o platných typech přístupu pro danou položku $type najdete v následující tabulce.
`id`	UUID

Následující tabulka uvádí vlastnosti, které můžete použít při zadávání:

Vynucení

Název vlastnosti vynucení

Název vlastnosti	Popis	Volby
`$type`	Typ vynucení	Podporovaná vynucení najdete v tabulce níže.
`options`	$type konkrétní hodnotu, která se má použít	Pole možností pro položku Pokud nejsou požadované možnosti, může být vynechána.

Typ vynucení

Název vlastnosti	Popis	Volby
`Enforcement $type`	`options` values [string]	Popis
`allow`	`disable_audit_allow`	I když dojde k povolení a nastavení auditAllow je nakonfigurované, systém událost neodešle.
`deny`	`disable_audit_deny`	I když dojde k blokování a je nakonfigurované nastavení auditDeny, systém nezobrazí oznámení ani neodešle událost.
`auditAllow`	`send_event`	Odesílání telemetrie
`auditDeny`	- `send_event` - `show_notification`	– Odesílání telemetrie – Zobrazit uživateli blokování uživatelského rozhraní

Typy přístupu

$type zadávání	Hodnoty 'access' [string]	Obecný přístup	Popis
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	stáhnout fotku z konkrétního zařízení s iOSem do místního počítače
appleDevice	download_files_from_device	generic_read	stažení souborů z konkrétního zařízení s iOSem do místního počítače
appleDevice	sync_content_to_device	generic_write	synchronizace obsahu z místního počítače do konkrétního zařízení s iOSem
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	ladicí	generic_execute	Ovládací prvek nástroje ADB
* vyměnitelnémedia	číst	generic_read
vyměnitelnémedia	psát	generic_write
vyměnitelnémedia	provést	generic_execute	generic_read
bluetoothDevice	download_files_from_device
bluetoothDevice	send_files_to_device	generic_write
generický	generic_read		Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_read.
generický	generic_write		Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_write.
generický	generic_execute		Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_execute.

Prostředí koncového uživatele

Jakmile dojde k zamítnutí a v zásadách se povolí oznámení, zobrazí se koncovému uživateli dialogové okno:

Stav

Slouží mdatp health --details device_control ke kontrole stavu řízení zařízení:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

active – verze funkce, měli byste vidět ["v2"]. (Řízení zařízení je povolené, ale není nakonfigurované.)
- [] – Řízení zařízení není na tomto počítači nakonfigurované.
- ["v1"] – Používáte preview verzi Řízení zařízení. Migrace na verzi 2 pomocí této příručky Verze 1 je považována za zastaralou a není popsána v této dokumentaci.
- ["v1","v2"] – Máte povolené verze v1 i v2. Offboarding z verze v1.
v1_configured – Použije se konfigurace v1.
v1_enforcement_level – když je povolená verze 1
v2_configured – Použije se konfigurace v2.
v2_state - stav v2, enabled pokud plně funguje
v2_sensor_connection - pokud created_ok, pak Device Control naváže připojení k rozšíření systému
v2_full_disk_access - pokud ne approved, pak Device Control nemůže zabránit některým nebo všem operacím

Vytváření sestav

Událost zásad můžete zobrazit v sestavě rozšířeného proaktivního vyhledávání a řízení zařízení. Další informace najdete v tématu Ochrana dat organizace pomocí řízení zařízení.

Scénáře

Tady je několik běžných scénářů, které vám pomůžou seznámit se s Microsoft Defender for Endpoint a Microsoft Defender for Endpoint Řízení zařízení.

Scénář 1: Zamítnout všechna vyměnitelná média, ale povolit konkrétní soubory USB

V tomto scénáři je potřeba vytvořit dvě skupiny: jednu skupinu pro všechna vyměnitelná média a druhou skupinu pro schválenou skupinu USB. Musíte také vytvořit pravidlo zásad přístupu.

Krok 1: Nastavení: Povolení řízení zařízení a nastavení výchozího vynucování

"settings": { 

	"features": { 

		"removableMedia": { 

			"disable": false 

		} 

	}, 

	"global": { 

		"defaultEnforcement": "allow" 

	}, 

	"ux": { 

		"navigationTarget": "http://www.deskhelp.com" 

	} 

}

Krok 2: Skupiny: Vytvoření jakékoli vyměnitelné skupiny médií a schválené skupiny USB

Vytvořte skupinu, která bude pokrývat všechna vyměnitelná mediální zařízení.
Vytvořte skupinu pro schválené soubory USB.
Zkombinujte tyto skupiny do jedné groups.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

Krok 3: Pravidla: Vytvoření zásady zamítnutí pro nepovolené soubory USB

Vytvořte pravidlo zásad přístupu a vložte ho do rules:

"rules": [ 

	{ 

		"id": "772cef80-229f-48b4-bd17-a69130092981", 

		"name": "Deny RWX to all Removable Media Devices except Kingston", 

		"includeGroups": [ 

			"3f082cd3-f701-4c21-9a6a-ed115c28e211" 

		], 

		"excludeGroups": [ 

			"3f082cd3-f701-4c21-9a6a-ed115c28e212" 

		], 

		"entries": [ 

			{ 

				"$type": "removableMedia", 

				"id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

				"enforcement": { 

					"$type": "deny" 

				}, 

				"access": [ 

					"read", 

					"write", 

					"execute" 

				] 

			}, 

			{ 

				"$type": "removableMedia", 

				"id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

				"enforcement": { 

					"$type": "auditDeny", 

					"options": [ 

						"send_event", 

						"show_notification" 

					] 

				}, 

				"access": [ 

					"read", 

					"write", 

					"execute" 

				] 

			} 

		] 

	} 

]

V tomto případě máte jenom jednu zásadu pravidla přístupu, ale pokud jich máte víc, nezapomeňte do rulespřidat všechny.

Známé problémy

Upozornění

Správa zařízení v systému macOS omezuje pouze zařízení s Androidem, která jsou připojená v režimu PTP. Ovládání zařízení neomezuje jiné režimy, jako je přenos souborů, tethering USB a MIDI.