Správa systémových rozšíření pomocí Jamf
Tento článek popisuje postupy, které je třeba implementovat v procesu správy systémových rozšíření, aby se zajistilo, že Microsoft Defender for Endpoint v systému macOS funguje správně.
Jamf
Zásady systémových rozšíření Jamf
Pokud chcete schválit rozšíření systému, proveďte následující kroky:
Vyberte Profily konfigurace počítačů >a pak vyberte Možnosti > Rozšíření systému.
V rozevíracím seznamu Typy rozšíření systému vyberte Povolená rozšíření systému.
Jako ID týmu použijte UBF8T346G9 .
Do seznamu Povolených systémových rozšíření přidejte následující identifikátory sad:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Řízení zásad předvoleb ochrany osobních údajů (označované také jako úplný přístup k disku)
Přidáním následující datové části Jamf udělte rozšíření zabezpečení Microsoft Defender for Endpoint úplný přístup k disku. Tato zásada je předpokladem pro spuštění rozšíření na vašem zařízení.
Vyberte Možnosti > Řízení zásad předvoleb ochrany osobních údajů.
Jako identifikátor použijte com.microsoft.wdav.epsext a ID sady jako typ sady.
Nastavte požadavek na kód na identifikátor com.microsoft.wdav.epsext a anchor apple generic a certificate 1[field.1.2.840.113635.100.6.2.. 6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.
Nastavte Aplikaci nebo službu na SystemPolicyAllFiles a přístup na Povolit.
Zásady rozšíření sítě
V rámci funkcí detekce a odezvy koncových bodů Microsoft Defender for Endpoint v systému macOS kontroluje provoz soketů a hlásí tyto informace na portálu Microsoft Defender. Následující zásady umožňují síťovému rozšíření provádět tuto funkci:
Poznámka
Jamf nemá integrovanou podporu zásad filtrování obsahu, které jsou předpokladem pro povolení síťových rozšíření, která Microsoft Defender for Endpoint v macOS nainstalují na zařízení. Jamf navíc někdy změní obsah nasazovaných zásad. Následující postup proto nabízí alternativní řešení, které zahrnuje podepsání konfiguračního profilu.
- Pomocí textového editoru uložte do zařízení následující obsah jako com.microsoft.network-extension.mobileconfig :
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- Spuštěním nástroje plutil v terminálu ověřte, že se výše uvedený obsah správně zkopíroval do souboru:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Pokud byl soubor například uložený v dokumentech:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- Ověřte, že výstup příkazu je v pořádku.
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Podle pokynů na této stránce vytvořte podpisový certifikát pomocí integrované certifikační autority Jamf.
Po vytvoření a instalaci certifikátu do zařízení spusťte z terminálu následující příkaz a soubor podepište:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Pokud je například název certifikátu SigningCertificate a podepsaný soubor se uloží do složky Dokumenty:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- Na portálu Jamf přejděte na Konfigurační profily a vyberte tlačítko Nahrát . Po zobrazení výzvy k zadání souboru vyberte com.microsoft.network-extension.signed.mobileconfig .