Jaa

Device Control for macOS

  • Artikkeli

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Vaatimukset

Mac-laitteen ohjausobjektissa on seuraavat edellytykset:

  • Defender for Endpoint tai Defender for Business -käyttöoikeudet (voi olla kokeilutilaus)
  • Käyttöjärjestelmän vähimmäisversio: macOS 11 tai uudempi
  • Tuotteen vähimmäisversio: 101.34.20

Yleiskatsaus

Laiteohjausobjekti Defender for Endpointissa macOS:ssä mahdollistaa:

  • Valvo, salli tai estä siirrettävän tallennusvälineen lukeminen, kirjoittaminen tai suorittaminen. ja
  • Hallitse iOS- ja Portable-laitteita sekä Apple APFS -salattuja laitteita ja Bluetooth-mediaa poikkeuksen kanssa tai ilman sitä.

Valmistele päätepisteet

  • Ota koko levykäyttö käyttöön: olet ehkä luonut ja ottanut tämän https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig käyttöön muille MDE ominaisuuksille. Sinun on myönnettävä levyn täydet käyttöoikeudet uudelle sovellukselle: com.microsoft.dlp.daemon.

  • Ota laiteohjausobjekti käyttöön Defenderin päätepisteasetuksissa:

    • Tietojen menetyksen estäminen (DLP) /ominaisuudet

    • Kirjoita Ominaisuuden nimi -kohtaan DC_in_dlp

    • Määritä Osavaltio-kohtaanenabled

Esimerkki 1: JAMF ja schema.json.

Näyttökuva, jossa näytetään, miten voit ottaa laitteen hallinnan käyttöön tietojen menetyksen estämisen/ominaisuuksien Microsoft Defender for Endpoint.

Esimerkki 2: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
    <dict> 
      <key>name</key>
      <string>DC_in_dlp</string>
      <key>state</key>
      <string>enabled</string>
    </dict>
  </array>
</dict>

  • Vähimmäisversio: 101.91.92 tai uudempi

  • Suorita mdatp version Terminalin kautta nähdäksesi tuoteversion asiakaskoneessasi:

    Näyttökuva, joka näyttää tulokset, kun suoritat mdatp-version Terminalissa nähdäksesi tuoteversion asiakaskoneessa.

Tietoja käytännöistä

Käytännöt määrittävät macOS:n laiteohjausobjektin toiminnan. Käytäntö on kohdistettu Intune: n tai JAMF: n kautta kokoelmaan koneita tai käyttäjiä.

MacOS-käytännön laiteohjausobjekti sisältää asetukset, ryhmät ja säännöt:

  • Yleinen asetus nimeltä Asetukset mahdollistaa yleisen ympäristön määrittämisen.
  • Kutsutun groups ryhmän avulla voit luoda mediaryhmiä. Esimerkiksi valtuutettu USB-ryhmä tai salattu USB-ryhmä.
  • Käyttöoikeuskäytäntösäännön "säännöt" avulla voit luoda käytännön kunkin ryhmän rajoittamiseksi. Esimerkiksi salli vain valtuutetulle käyttäjälle käyttöoikeuden sallivan USB-ryhmän kirjoittaminen.

Huomautus

Suosittelemme, että käytät GitHubin esimerkkejä ominaisuuksien ymmärtämiseen: mdatp-devicecontrol/Removable Storage Käyttöoikeuksien hallinta Samples/macOS/policy main - microsoft/mdatp-devicecontrol (github.com).

Voit myös käyttää komentosarjoja osoitteessa mdatp-devicecontrol/tree/main/python#readme osoitteessa main - microsoft/mdatp-devicecontrol (github.com) kääntääksesi Windowsin laiteohjauskäytännön macOS:n laitehallintakäytännöksi tai kääntääksesi macOS Device Control V1 -käytännön tähän V2-käytäntöön.

Huomautus

MacOS-laitteiden hallinnassa on tunnettuja ongelmia , jotka asiakkaiden tulee ottaa huomioon käytäntöjä luotaessa.

Parhaat käytännöt

MacOS:n laiteohjausobjektissa on samanlaiset ominaisuudet kuin Windowsin Laitehallinta, mutta macOS ja Windows tarjoavat erilaisia pohjana olevia ominaisuuksia laitteiden hallintaan, joten niissä on joitain tärkeitä eroja:

  • macOS:ssä ei ole keskitettyä Laitehallinta tai laitteiden näkymää. Käyttö on myönnetty tai estetty laitteita käyttäville sovelluksille. Tämän vuoksi macOS:ssä on monipuolisempi joukko käyttöoikeustyyppejä. Käytäntö voi esimerkiksi portableDevice kieltää tai sallia download_photos_from_device-käytännön.

  • Jotta pysyt johdonmukaisena Windowsin kanssa, käytössä on - generic_read,generic_write - ja generic_execute -käyttöoikeustyyppejä. Käytäntöjä, joilla on yleisiä käyttöoikeustyyppejä, ei tarvitse muuttaa, jos/kun tulevaisuudessa lisätään tarkempia käyttöoikeustyyppejä. Paras käytäntö on käyttää yleisiä käyttöoikeustyyppejä, ellei tarkempaa toimintoa tarvitse erikseen kieltää tai sallia.

  • Yleisillä käyttöoikeustyypeillä luodun deny käytännön luominen on paras tapa yrittää kokonaan estää kaikki toiminnot tämäntyyppisessä laitteessa (esimerkiksi Android-puhelimissa), mutta niissä voi silti olla aukkoja, jos toiminto suoritetaan käyttämällä sovellusta, jota macOS-laitteen ohjausobjekti ei tue.

Asetukset

Tässä ovat ominaisuudet, joita voit käyttää luodessasi ryhmiä, sääntöjä ja asetuksia macOS:n laitteen hallintakäytännössä.

Ominaisuuden nimi Kuvaus Asetukset
Ominaisuuksia Ominaisuuskohtaiset määritykset Voit määrittää seuraavien ominaisuuksien arvoksi disable false tai true:
- removableMedia
- appleDevice
- portableDevice, mukaan lukien kamera tai PTP-media
- bluetoothDevice

Oletusarvo on true, joten jos et määritä tätä arvoa, sitä ei käytetä, vaikka loisit mukautetun käytännön kohteelle removableMedia, koska se on oletusarvoisesti poistettu käytöstä.
maailmanlaajuinen Määritä oletusarvoinen pakotus Voit määrittää arvoksi defaultEnforcement
- allow (oletus)
- deny
Ux Voit määrittää hyperlinkin ilmoitukselle. navigationTarget: string. Esimerkki"http://www.microsoft.com"

Ryhmä

Ominaisuuden nimi Kuvaus Asetukset
$type Ryhmän tyyppi "device"
id GUID, yksilöllinen tunnus, edustaa ryhmää, ja sitä käytetään käytännössä. Voit luoda tunnuksen new-guid-tunnuksen (Microsoft.PowerShell.Utility) kautta – PowerShell tai macOS:n uuidgen-komento
name Ryhmän kutsumanimi. merkkijono
query Tämän ryhmän medianäkyvyys Lisätietoja on kyselyn ominaisuustaulukoissa.

Kysely

Laiteohjausobjekti tukee kahdenlaisia kyselyitä:

Kyselytyyppi 1 on seuraava:

Ominaisuuden nimi Kuvaus Asetukset
$type Määritä lauseille suoritettava looginen toiminto all: Lausekkeiden kaikki määritteet ovat And-suhde . Jos esimerkiksi järjestelmänvalvoja asettaa vendorId ja serialNumber-kohteen jokaiselle yhdistetylle USB:lle, järjestelmä tarkistaa, vastaako USB molempia arvoja.
ja: vastaa kaikkia
mikä tahansa: Lauseiden alaisia määritteitä ovat Or-suhde . Jos esimerkiksi järjestelmänvalvoja asettaa vendorId ja serialNumber-kohteen jokaiselle yhdistetylle USB:lle, järjestelmä käyttää sitä, kunhan USB:llä on joko identtinen vendorId arvo tai serialNumber arvo.
tai: vastaa mitä tahansa
clauses Määritä ryhmän ehto medialaitteen ominaisuuden avulla. Lauseobjektien matriisi, joka arvioidaan ryhmän jäsenyyden määrittämiseksi. Katso Lauseke-osiota .

Kyselyn tyyppi 2 on seuraava:

Ominaisuuden nimi Kuvaus Asetukset
$type Määritä alikyselylle suoritettava looginen toiminto not: kyselyn looginen negaatio
query Alikysely Kysely, joka kumotaan.

Lause

Lauseen ominaisuudet

Ominaisuuden nimi Kuvaus Asetukset
$type Lausekkeen tyyppi Katso tuetut lausekkeet seuraavasta taulukosta.
value $type käytettävää tiettyä arvoa

Tuetut lausekkeet

lausekkeen $type arvo Kuvaus
primaryId Yksi seuraavista:
- apple_devices
- removable_media_devices
- portable_devices
- bluetooth_devices
vendorId Nelinumeroinen heksadesimaalimerkkijono Vastaa laitteen toimittajan tunnusta
productId Nelinumeroinen heksadesimaalimerkkijono Vastaa laitteen tuotetunnusta
serialNumber merkkijono Vastaa laitteen sarjanumeroa. Ei täsmää, jos laitteessa ei ole sarjanumeroa.
encryption apfs Vastaa, jos laite on apfs-salattu.
groupId UUID-merkkijono Vastaa, jos laite on toisen ryhmän jäsen. Arvo edustaa vastattavan ryhmän UUID-tunnusta.
Ryhmä on määritettävä käytännössä ennen -lausetta.

Käyttöoikeuskäytäntösääntö

Ominaisuuden nimi Kuvaus Asetukset
id YKSILÖIVÄ GUID-tunnus edustaa sääntöä, ja sitä käytetään käytännössä. New-Guid (Microsoft.PowerShell.Utility) – PowerShell
uuidgen
name Merkkijono, käytännön nimi. Näkyy ilmoitusruutuna käytäntöasetuksen perusteella.
includeGroups Ryhmät, joissa käytäntöä käytetään. Jos määritettynä on useita ryhmiä, käytäntö koskee kaikkia näiden ryhmien medioita. Jos tätä ei määritetä, sääntö koskee kaikkia laitteita. Ryhmän sisällä olevaa tunnusarvoa on käytettävä tässä esiintymässä. Jos kohteessa includeGroupson useita ryhmiä, se on AND.
"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups Ryhmät, joihin käytäntöä ei sovelleta. Ryhmän sisällä olevaa tunnusarvoa on käytettävä tässä esiintymässä. Jos excludeGroups-parametrissa on useita ryhmiä, se on OR.
entries Yhdellä säännöllä voi olla useita merkintöjä. jokainen merkintä, jolla on yksilöllinen GUID-tunnus, kertoo laitteen ohjausobjektille yhden rajoituksen. Lisätietoja on tämän artikkelin kohdassa Merkinnän ominaisuudet -taulukko.

Seuraavassa taulukossa on luettelo ominaisuuksista, joita voit käyttää merkinnässä:

Ominaisuuden nimi Kuvaus Asetukset
$type Sisältää seuraavat:
- removableMedia
- appleDevice
- PortableDevice
- bluetoothDevice
- generic
täytäntöönpano - $type:
- allow
- deny
- auditAllow
- auditDeny

Kun $type sallittu on valittuna, asetusarvo tukee seuraavia:
- disable_audit_allow
Vaikka Salli tapahtuu ja auditAllow on määritetty, järjestelmä ei lähetä tapahtumaa.

Kun $type estäminen on valittuna, asetusarvo tukee seuraavia:
disable_audit_deny
Vaikka Block tapahtuisi ja auditDeny-asetus olisi määritetty, järjestelmä ei näytä ilmoitusta tai lähetä tapahtumaa.

Kun $type auditAllow on valittuna, asetusarvo tukee seuraavia:
send_event

Kun $type auditDeny on valittuna, asetusarvo tukee seuraavia:
send_event
show_notification
access Määritä vähintään yksi tämän säännön käyttöoikeus. Nämä voivat sisältää joko laitekohtaisia eriytettyjä käyttöoikeuksia tai laajempia yleisiä käyttöoikeuksia. Alla olevasta taulukosta saat lisätietoja tietyn merkinnän kelvollisistä käyttöoikeustyypeistä $type.
id UUID

Seuraavassa taulukossa on luettelo ominaisuuksista, joita voit käyttää merkinnässä:

Täytäntöönpano

Pakotusominaisuuden nimi

Ominaisuuden nimi Kuvaus Asetukset
$type Ulosottotyyppi Katso tuetut täytäntöönpanot alla olevasta taulukosta
options $type käytettävää tiettyä arvoa Määritysasetusten matriisi. Voidaan jättää pois, jos asetuksia ei haluta.

Pakotustyyppi

Ominaisuuden nimi Kuvaus Asetukset
Enforcement $type options values [string] Kuvaus
allow disable_audit_allow Vaikka Salli tapahtuu ja auditAllow on määritetty, järjestelmä ei lähetä tapahtumaa.
deny disable_audit_deny Vaikka Block tapahtuisi ja auditDeny-asetus olisi määritetty, järjestelmä ei näytä ilmoitusta tai lähetä tapahtumaa.
auditAllow send_event Lähetä telemetriatietoja
auditDeny - send_event
- show_notification		 - lähettää telemetriatietoja
– näyttää käyttäjälle käyttölohkon käyttökokemuksen

Käyttöoikeustyypit

merkinnän $type Access-arvot [merkkijono] Yleinen käyttö Kuvaus
appleDevice backup_device generic_read
appleDevice update_device generic_write
appleDevice download_photos_from_device generic_read lataa kuva tietystä iOS-laitteesta paikalliseen koneeseen
appleDevice download_files_from_device generic_read lataa tiedostoja tietystä iOS-laitteesta paikalliseen tietokoneeseen
appleDevice sync_content_to_device generic_write synkronoi sisältöä paikallisesta tietokoneesta tiettyyn iOS-laitteeseen
portableDevice download_files_from_device generic_read
portableDevice send_files_to_device generic_write
portableDevice download_photos_from_device generic_read
portableDevice debugata generic_execute ADB-työkalun ohjausobjekti
* siirrettävämedia lukea generic_read
siirrettävämedia kirjoittaa generic_write
siirrettävämedia suorittaa generic_execute generic_read
bluetoothDevice download_files_from_device
bluetoothDevice send_files_to_device generic_write
suku generic_read Vastaa kaikkien tässä taulukossa määritettyjen, generic_read yhdistettyjen käyttöoikeusarvojen määrittämista.
suku generic_write Vastaa kaikkien tässä taulukossa määritettyjen käyttöoikeusarvojen määrittämista, jotka yhdistetään generic_write.
suku generic_execute Vastaa kaikkien tässä taulukossa määritettävien käyttöoikeusarvojen määrittämista generic_execute.

Loppukäyttäjän käyttökokemus

Kun estäminen tapahtuu ja ilmoitus on otettu käyttöön käytännössä, käyttäjä näkee valintaikkunan:

Näyttökuva, jossa näkyy Laitteen hallinta -valintaikkuna, joka ilmaisee, että USB-laite on rajoitettu

Tila

Käytä mdatp health --details device_control laitteen ohjausobjektin tilan tarkastamiseen:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"
  • active - ominaisuusversio, sinun pitäisi nähdä ["v2"]. (Laiteohjausobjekti on käytössä, mutta sitä ei ole määritetty.)
    • [] - Laiteohjausobjektia ei ole määritetty tässä tietokoneessa.
    • ["v1"] – Käytössäsi on laiteohjausobjektin esikatseluversio. Siirry versioon 2 tämän oppaan avulla. v1 katsotaan vanhentuneeksi, eikä sitä ole kuvattu tässä dokumentaatiossa.
    • ["v1", "v2"] – Sinulla on sekä v1 että v2 käytössä. Offboard alkaen v1.
  • v1_configured - v1-määritystä käytetään
  • v1_enforcement_level - kun v1 on käytössä
  • v2_configured - v2-määritys on käytössä
  • v2_state - v2-tila, enabled jos täysin toimiva
  • v2_sensor_connection - jos created_ok, niin Laiteohjausobjekti muodosti yhteyden järjestelmälaajennukseen
  • v2_full_disk_access - jos näin ei ole approved, Laiteohjausobjekti ei voi estää joitakin tai kaikkia toimintoja

Raportointi

Näet käytäntötapahtuman lisämetsästyksen ja laitehallinnan raportissa. Lisätietoja on artikkelissa Organisaation tietojen suojaaminen laiteohjainta käyttämällä.

Skenaarioita

Seuraavassa on joitakin yleisiä skenaarioita, joiden avulla voit tutustua Microsoft Defender for Endpoint ja Microsoft Defender for Endpoint Device Controliin.

Skenaario 1: Estä kaikki siirrettävät tietovälineet, mutta salli tietyt usb-objektit

Tässä skenaariossa sinun on luotava kaksi ryhmää: yksi ryhmä kaikille siirrettäville tietovälineille ja toinen hyväksytyille USBs-ryhmille. Sinun on myös luotava käyttöoikeuskäytäntösääntö.

Vaihe 1: Asetukset: ota laitteen hallinta käyttöön ja määritä Oletusvalvonta

"settings": { 

    "features": { 

        "removableMedia": { 

            "disable": false 

        } 

    }, 

    "global": { 

        "defaultEnforcement": "allow" 

    }, 

    "ux": { 

        "navigationTarget": "http://www.deskhelp.com" 

    } 

}

Vaihe 2: Ryhmät: Luo mikä tahansa siirrettävä mediaryhmä ja hyväksyttyjen yhdysvaltain keskuspankkien ryhmä

  1. Luo ryhmä, joka kattaa kaikki siirrettävät medialaitteet.
  2. Luo ryhmä hyväksytyille usb-joukoille.
  3. Yhdistä nämä ryhmät yhdeksi groupsryhmäksi .
"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

Vaihe 3: Säännöt: Estämiskäytännön luominen ei-sallituille USB:ille

Luo käyttöoikeuskäytäntösääntö ja sijoita kohteeseen rules:

"rules": [ 

    { 

        "id": "772cef80-229f-48b4-bd17-a69130092981", 

        "name": "Deny RWX to all Removable Media Devices except Kingston", 

        "includeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

        ], 

        "excludeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

        ], 

        "entries": [ 

            { 

                "$type": "removableMedia", 

                "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                "enforcement": { 

                    "$type": "deny" 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            }, 

            { 

                "$type": "removableMedia", 

                "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                "enforcement": { 

                    "$type": "auditDeny", 

                    "options": [ 

                        "send_event", 

                        "show_notification" 

                    ] 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            } 

        ] 

    } 

]

Tässä tapauksessa sinulla on vain yksi käyttöoikeussääntökäytäntö, mutta jos sinulla on useita, muista lisätä kaikki kohteeseen rules.

Tunnetut ongelmat

Varoitus

MacOS:n laitehallinta rajoittaa Android-laitteita, jotka on yhdistetty vain PTP-tilassa. Laiteohjausobjekti ei rajoita muita tiloja, kuten tiedostonsiirtoa, USB-kiinnitystä ja MIDI:tä.

Varoitus

MacOS:n Device Control ei estä XCodella kehitettyjen ohjelmistojen siirtämistä ulkoiseen laitteeseen.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.