Foretag fejlfinding af problemer med systemudvidelser i Microsoft Defender for Endpoint på macOS

Gælder for:

• Microsoft Defender for Endpoint på macOS
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Du kan sende feedback ved at åbne Microsoft Defender for Endpoint på Mac på din enhed og ved at navigere til Hjælp med > at sende feedback.

En anden mulighed er at indsende feedback via Microsoft Defender XDR ved at starte security.microsoft.com og vælge fanen Giv feedback.

Denne artikel indeholder oplysninger om, hvordan du foretager fejlfinding af problemer med den systemudvidelse, der er installeret som en del af Microsoft Defender for Endpoint på macOS.

Fra og med macOS BigSur (11) kræver Apples macOS, at alle systemudvidelser er udtrykkeligt godkendt, før de må køre på enheden.

Symptom

Du vil bemærke, at Microsoft Defender for Endpoint har et x-symbol i skjoldet, som vist på følgende skærmbillede:

Hvis du klikker på skjoldet med x-symbolet , får du valgmuligheder som vist på følgende skærmbillede:

Klik på Handling er nødvendig.

Skærmen som vist på følgende skærmbillede vises:

Du kan også køre mdatp-tilstand: Den rapporterer, om beskyttelse i realtid er aktiveret, men ikke tilgængelig. Denne rapport angiver, at systemudvidelsen ikke er godkendt til at køre på din enhed.

mdatp health

Outputtet på kørsel af mdatp-tilstand er:

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

Outputrapporten, der vises på kørsel af mdatp-tilstand , vises på følgende skærmbillede:

Årsag

macOS kræver, at en bruger manuelt og eksplicit godkender visse funktioner, som et program bruger, f.eks. systemudvidelser, der kører i baggrunden, sender meddelelser, fuld diskadgang osv. Microsoft Defender for Endpoint er afhængig af disse programmer og kan ikke fungere korrekt, før alle disse samtykker modtages fra en bruger.

Hvis du ikke godkendte systemudvidelsen under udrulningen/installationen af Microsoft Defender for Endpoint på macOS, skal du udføre følgende trin:

1. Kontrollér systemudvidelserne ved at køre følgende kommando i terminalen:

   systemextensionsctl list
   

   

Du vil bemærke, at begge Microsoft Defender for Endpoint på macOS-udvidelser er i tilstanden [aktiveret venter på bruger].

2. Kør følgende kommando i terminalen:

   mdatp health --details system_extensions
   

Du får følgende output:

network_extension_enabled                 : false
network_extension_installed                 : true
endpoint_security_extension_ready           : false
endpoint_security_extension_installed        : true

Dette output vises på følgende skærmbillede:

Følgende filer kan mangle, hvis du administrerer dem via Intune, JamF eller en anden MDM-løsning:

MobileConfig (Plist)	Output af konsolkommandoen "mdatp health"	macOS-indstilling, der kræves, for at MDE på macOS kan fungere korrekt
"/Library/Managed Preferences/com.apple.system-extension-policy.plist"	real_time_protection_subsystem	Systemudvidelse
"/Library/Managed Preferences/com.apple.webcontent-filter.plist"	network_events_subsystem	Netværksfilterudvidelse
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled	Kontrol af politik for beskyttelse af personlige oplysninger (PPPC, også kaldet TCC (Transparency, Consent & Control), Full Disk Access (FDA))
"/Library/Managed Preferences/com.apple.notificationsettings.plist"	ikke tilgængelig	Slutbrugermeddelelser
"/Library/Managed Preferences/servicemanagement.plist"	ikke tilgængelig	Baggrundstjenester
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled (til DLP)	Tilgængelighed

Hvis du vil foretage fejlfinding af problemet med manglende filer for at få Microsoft Defender for Endpoint på macOS til at fungere korrekt, skal du se Microsoft Defender for Endpoint på Mac.

Løsning

I dette afsnit beskrives løsningen til godkendelse af funktioner som systemudvidelse, baggrundstjenester, meddelelser, fuld diskadgang osv. ved brug af administrationsværktøjer, nemlig Intune, JamF, Andre MDM og brug af metoden til manuel installation. Hvis du vil udføre disse funktioner ved hjælp af disse administrationsværktøjer, skal du se:

• Intune
• JamF
• Anden MDM
• Manuel udrulning

Forudsætninger

Før du godkender systemudvidelsen (ved hjælp af et af de angivne administrationsværktøjer), skal du sørge for, at følgende forudsætninger er opfyldt:

Trin 1: Kommer profilerne ned til din macOS?

Hvis du bruger Intune, skal du se Administrer macOS-softwareopdateringspolitikker i Intune.

1. Klik på ellipsen (tre prikker).

2. Vælg Opdater enheder. Skærmen som vist på følgende skærmbillede vises:

   

3. I Launchpad skal du skrive Systemindstillinger.

4. Dobbeltklik på Profiler.

   Bemærk!

   Hvis du ikke er tilmeldt MDM, kan du ikke se Profiler som en mulighed. Kontakt dit MDM-supportteam for at se, hvorfor indstillingen Profiler ikke er synlig. Du bør kunne se de forskellige profiler, f.eks . Systemudvidelser, Tilgængelighed, Baggrundstjenester, Meddelelser, Microsoft Automatiske opdateringer osv., som vist på det foregående skærmbillede.

Hvis du bruger JamF, skal du bruge politikken sudo jamf. Du kan få flere oplysninger under Politikadministration.

Trin 2: Sørg for, at de profiler, der er nødvendige for Microsoft Defender for Endpoint, er aktiveret

Afsnittet Afsnit, der indeholder en vejledning i aktivering af de profiler, der er nødvendige for Microsoft Defender for Endpoint, indeholder en vejledning i, hvordan du løser dette problem, afhængigt af den metode, du brugte til at installere Microsoft Defender for Endpoint på macOS.

Bemærk!

En korrekt navngivningskonvention til dine konfigurationsprofiler er en reel fordel. Vi anbefaler følgende navngivningsskema: Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type Det kan f.eks. FullDiskAccess (piloting) - macOS - Default - MDE

Ved hjælp af den anbefalede navngivningskonvention kan du bekræfte, at de korrekte profiler falder ned på tidspunktet for kontrollen.

Tip

Hvis du vil sikre, at de korrekte profiler kommer ned, kan du i stedet for at skrive .mobileconfig (plist) downloade denne profil fra Github for at undgå stavefejl aflange bindestreger.

Angiv følgende syntaks i terminal:

curl -O https://URL

Det kan f.eks.

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig

Afsnit, der indeholder en vejledning i aktivering af de profiler, der er nødvendige for Microsoft Defender for Endpoint

1. • Funktion: Godkend systemudvidelser
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Du skal godkende udvidelsen ved at gå til Sikkerhedsindstillinger eller Systemindstillinger > Sikkerhed & Beskyttelse af personlige oplysninger og derefter vælge Tillad.
2. • Funktion: Netværksfilter
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Du skal godkende udvidelsen ved at gå til Sikkerhedsindstillinger eller Systemindstillinger > Sikkerhed & Beskyttelse af personlige oplysninger og derefter vælge Tillad.
3. • Funktion: Kontrol af politik for beskyttelse af personlige oplysninger (PPPC, også kaldet TCC (Transparency, Consent & Control), Full Disk Access (FDA))
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Du skal godkende udvidelsen ved at gå til Sikkerhedsindstillinger eller Systemindstillinger > Sikkerhed & Beskyttelse af personlige oplysninger >> Fuld diskadgang og derefter vælge Tillad og markere afkrydsningsfeltet ud for følgende:
       • Microsoft Defender
       • Microsoft Defender sikkerhedsudvidelse
4. • Funktion: Kører i baggrunden
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Ikke tilgængelig
5. • Funktion: Sender meddelelser
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Ikke tilgængelig
6. • Funktion: Tilgængelighed
   • Mobilkonfiguration (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
   • Gælder for:
     • Intune: Ja
     • JamF: Ja
     • Andet MDM: Ja
     • Manuel: Ikke tilgængelig

Trin 3: Test de installerede profiler ved hjælp af det indbyggede profilværktøj macOS. Den sammenligner dine profiler med det, vi har publiceret i GitHub, og rapporterer uoverensstemmende profiler eller profiler, der helt mangler

1. Download scriptet fra https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.
2. Klik på Rå. Den nye URL-adresse er https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.
3. Gem den som analyze_profiles.py på Downloads ved at køre følgende kommando i terminalen:

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py

4. Kør python3-scriptet for profilanalysen uden parametre ved at udføre følgende kommando i terminalen:

   cd /Downloads  
   sudo python3 analyze_profiles.py

Bemærk!

Der kræves Sudo-tilladelser for at udføre denne kommando.

ELLER

5. Kør scriptet direkte fra internettet ved at udføre følgende kommando:

   sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py        
| python3 -

Bemærk!

Der kræves Sudo-tilladelser for at udføre denne kommando.

Outputtet viser alle potentielle problemer med profiler.

Anbefalet indhold

• Udrulning af Microsoft Defender for Endpoint på macOS med Jamf Pro: Få mere at vide om, hvordan du installerer Microsoft Defender for Endpoint på macOS med Jamf Pro.
• Konfigurer Microsoft Defender for Endpoint på macOS-politikker i Jamf Pro: Få mere at vide om, hvordan du konfigurerer Microsoft Defender for Endpoint på macOS-politikker i Jamf Pro.
• Konfigurer enhedsgrupper i Jamf Pro: Få mere at vide om, hvordan du konfigurerer enhedsgrupper i Jamf Pro til Microsoft Defender for Endpoint på macOS.
• Log på Jamf Pro