MacOS Big Surin uudet määritysprofiilit ja macOS:n uudemmat versiot
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Jos olet ottanut Microsoft Defender for Endpoint käyttöön macOS:ssä hallitussa ympäristössä (JAMF:n, Intune tai muun MDM-ratkaisun kautta), sinun on otettava käyttöön uudet määritysprofiilit. Jos näitä vaiheita ei tehdä, käyttäjät saavat hyväksyntäkehotteita näiden uusien osien suorittamiseksi.
JAMF
JAMF-järjestelmälaajennusten käytäntö
Jos haluat hyväksyä järjestelmälaajennukset, luo seuraavat tiedot:
Valitse Tietokoneet > Kokoonpanoprofiilit -kohdassa Asetukset > Järjestelmälaajennukset.
Valitse sallitut järjestelmälaajennukset avattavasta Järjestelmälaajennustyypit-luettelosta .
Käytä UBF8T346G9 ryhmän tunnuksille.
Lisää seuraavat nipun tunnisteet sallittujen järjestelmälaajennusten luetteloon:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Tietosuoja-asetusten käytännön hallinta
Lisää seuraava JAMF-hyötykuorma ja myönnä koko levylle käyttöoikeus Microsoft Defender for Endpoint päätepisteen suojauslaajennukseen. Tämä käytäntö on edellytys laajennuksen suorittamiselle laitteessasi.
Valitse Asetukset>Tietosuojaasetukset Käytännön hallinta.
Käytä
com.microsoft.wdav.epsext
tunnuksena jaBundle ID
pakettityyppinä.Määritä koodivaatimuksen arvoksi
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
Määritä sovellukseksi tai palveluksiSystemPolicyAllFiles ja käytä sallittavaa.
Verkkolaajennuskäytäntö
MacOS:n Microsoft Defender for Endpoint tarkistaa päätepisteen tunnistuksen ja vastauksen osana vastakeliikenteen ja raportoi nämä tiedot Microsoft Defender-portaaliin. Seuraava käytäntö sallii verkkolaajennuksen suorittaa tämän toiminnon.
Huomautus
JAMF:llä ei ole sisäistä tukea sisällön suodatuskäytännöille, jotka ovat edellytys laitteen macOS-asennuksille Microsoft Defender for Endpoint verkkolaajennusten käyttöönotolle. Lisäksi JAMF muuttaa toisinaan käyttöönotettävien käytäntöjen sisältöä. Näin ollen seuraavat vaiheet tarjoavat keinon, johon kuuluu määritysprofiilin allekirjoittaminen.
Tallenna seuraava sisältö laitteeseesi
com.microsoft.network-extension.mobileconfig
tekstieditorin avulla:<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1"> <dict> <key>PayloadUUID</key> <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft Corporation</string> <key>PayloadIdentifier</key> <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string> <key>PayloadDisplayName</key> <string>Microsoft Defender Network Extension</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string> <key>PayloadType</key> <string>com.apple.webcontent-filter</string> <key>PayloadOrganization</key> <string>Microsoft Corporation</string> <key>PayloadIdentifier</key> <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string> <key>PayloadDisplayName</key> <string>Approved Network Extension</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>FilterType</key> <string>Plugin</string> <key>UserDefinedName</key> <string>Microsoft Defender Network Extension</string> <key>PluginBundleID</key> <string>com.microsoft.wdav</string> <key>FilterSockets</key> <true/> <key>FilterDataProviderBundleIdentifier</key> <string>com.microsoft.wdav.netext</string> <key>FilterDataProviderDesignatedRequirement</key> <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string> </dict> </array> </dict> </plist>
Varmista, että yllä oleva tiedosto kopioitiin oikein suorittamalla
plutil
apuohjelma Päätteessä:$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Jos tiedosto on esimerkiksi tallennettu tiedostoihin:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
Varmista, että komennot tuottavat tuloksen
OK
.<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Luo allekirjoitusvarmenne JAMF:n sisäisellä varmenteiden myöntäjällä noudattamalla tämän sivun ohjeita.
Kun varmenne on luotu ja asennettu laitteeseesi, allekirjoita tiedosto suorittamalla seuraava komento Päätteestä:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Jos varmenteen nimi on esimerkiksi SigningCertificate ja allekirjoitettu tiedosto tallennetaan asiakirjoihin:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
Siirry JAMF-portaalissa määritysprofiileihin ja napsauta Lataa-painiketta . Valitse
com.microsoft.network-extension.signed.mobileconfig
, kun tiedostoa pyydetään.
Intune
Intune järjestelmälaajennusten käytäntö
Voit hyväksyä järjestelmälaajennukset seuraavasti:
Avaa IntuneLaitteen määritystenhallinta>. ValitseProfiilien>hallinta>Create Profiili.
Valitse profiilin nimi. Muuta Platform=macOSprofiilityypiksi=Laajennukset. Valitse Luo.
Basics
Anna välilehdessä nimi tälle uudelle profiilille.Configuration settings
Lisää -välilehdessä seuraavat merkinnätAllowed system extensions
-osaan:
Paketin tunnus | Ryhmän tunnus |
---|---|
com.microsoft.wdav.epsext | UBF8T346G9 |
com.microsoft.wdav.netext | UBF8T346G9 |
Assignments
Määritä -välilehdessä tämä profiili kaikille käyttäjille & kaikki laitteet.- Tarkastele ja luo tämä määritysprofiili.
mukautetun määritysprofiilin Create ja käyttöönotto
Seuraava määritysprofiili mahdollistaa verkkolaajennuksen ja myöntää koko levyn käyttöoikeuden päätepisteen suojausjärjestelmän laajennukseen.
Tallenna seuraava sisältö tiedostoon, jonka nimi on sysext.xml:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender System Extensions</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
<dict>
<key>PayloadUUID</key>
<string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
<key>PayloadType</key>
<string>com.apple.TCC.configuration-profile-policy</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
<key>PayloadDisplayName</key>
<string>Privacy Preferences Policy Control</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>Services</key>
<dict>
<key>SystemPolicyAllFiles</key>
<array>
<dict>
<key>Identifier</key>
<string>com.microsoft.wdav.epsext</string>
<key>CodeRequirement</key>
<string>identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>IdentifierType</key>
<string>bundleID</string>
<key>StaticCode</key>
<integer>0</integer>
<key>Allowed</key>
<integer>1</integer>
</dict>
</array>
</dict>
</dict>
</array>
</dict>
</plist>
Varmista, että yllä oleva tiedosto on kopioitu oikein. Suorita terminalissa seuraava komento ja varmista, että se tulostaa OK
:
$ plutil -lint sysext.xml
sysext.xml: OK
Voit ottaa käyttöön tämän mukautetun määritysprofiilin seuraavasti:
Avaa IntuneLaitteen määritystenhallinta>. ValitseProfiilien>hallinta>Create profiili.
Valitse profiilin nimi. Muuta käyttöympäristö=macOS ja profiilityyppi =Mukautettu. Valitse Määritä.
Avaa määritysprofiili ja lataa sysext.xml. Tämä tiedosto on luotu edellisessä vaiheessa.
Valitse OK.
Assignments
Määritä -välilehdessä tämä profiili kaikille käyttäjille & kaikki laitteet.Tarkastele ja luo tämä määritysprofiili.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.