Risolvere i problemi di estensione del sistema in Microsoft Defender per endpoint in macOS

Si applica a:

• Microsoft Defender per endpoint su macOS
• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

È possibile inviare commenti e suggerimenti aprendo Microsoft Defender per endpoint su Mac nel dispositivo e passando a Guida > per inviare commenti e suggerimenti.

Un'altra opzione consiste nell'inviare commenti e suggerimenti tramite il Microsoft Defender XDR avviando security.microsoft.com e selezionando la scheda Invia commenti e suggerimenti.

Questo articolo fornisce informazioni su come risolvere i problemi relativi all'estensione di sistema installata come parte di Microsoft Defender per endpoint in macOS.

A partire da macOS BigSur (11), macOS di Apple richiede che tutte le estensioni di sistema siano approvate in modo esplicito prima di poter essere eseguite nel dispositivo.

Sintomo

Si noterà che il Microsoft Defender per endpoint ha un simbolo x nello scudo, come illustrato nello screenshot seguente:

Se si fa clic sullo scudo con il simbolo x , si otterranno le opzioni come illustrato nello screenshot seguente:

Fare clic su Azione necessaria.

Viene visualizzata la schermata come illustrato nello screenshot seguente:

È anche possibile eseguire l'integrità di mdatp: segnala se la protezione in tempo reale è abilitata ma non disponibile. Questo report indica che l'estensione di sistema non è approvata per l'esecuzione nel dispositivo.

mdatp health

L'output sull'integrità mdatp in esecuzione è:

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

Il report di output visualizzato sull'integrità mdatp in esecuzione è visualizzato nello screenshot seguente:

Causa

macOS richiede che un utente approverà manualmente ed in modo esplicito determinate funzioni usate da un'applicazione, ad esempio le estensioni di sistema, l'esecuzione in background, l'invio di notifiche, l'accesso completo al disco e così via. Microsoft Defender per endpoint si basa su queste applicazioni e non può funzionare correttamente fino a quando tutti questi consensi non vengono ricevuti da un utente.

Se l'estensione di sistema non è stata approvata durante la distribuzione/installazione di Microsoft Defender per endpoint in macOS, seguire questa procedura:

1. Controllare le estensioni di sistema eseguendo il comando seguente nel terminale:

   systemextensionsctl list
   

   

Si noterà che entrambe le Microsoft Defender per endpoint nelle estensioni macOS si trovano nello stato [attivato in attesa dell'utente].

2. Nel terminale eseguire il comando seguente:

   mdatp health --details system_extensions
   

Si otterrà l'output seguente:

network_extension_enabled                 : false
network_extension_installed                 : true
endpoint_security_extension_ready           : false
endpoint_security_extension_installed        : true

Questo output è illustrato nello screenshot seguente:

I file seguenti potrebbero non essere presenti se vengono gestiti tramite Intune, JamF o un'altra soluzione MDM:

MobileConfig (Plist)	Output dei comandi della console "integrità mdatp"	Impostazione macOS necessaria per il corretto funzionamento di MDE in macOS
"/Library/Managed Preferences/com.apple.system-extension-policy.plist"	real_time_protection_subsystem	Estensione di sistema
"/Library/Managed Preferences/com.apple.webcontent-filter.plist"	network_events_subsystem	Estensione filtro di rete
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled	Privacy Preference Policy Controls (PPPC, noto anche come TCC (Transparency, Consent & Control), Full Disk Access (FDA))
"/Library/Managed Preferences/com.apple.notificationsettings.plist"	n/d	Notifiche dell'utente finale
"/Library/Managed Preferences/servicemanagement.plist"	n/d	Servizi in background
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled (per DLP)	Accessibilità

Per risolvere il problema dei file mancanti per far funzionare correttamente Microsoft Defender per endpoint in macOS, vedere Microsoft Defender per endpoint in Mac.

Soluzione

Questa sezione descrive la soluzione per l'approvazione delle funzioni quali estensione del sistema, servizi in background, notifiche, accesso completo al disco e così via usando gli strumenti di gestione, ovvero Intune, JamF, Other MDM e usando il metodo di distribuzione manuale. Per eseguire queste funzioni usando questi strumenti di gestione, vedere:

• Intune
• JamF
• Altro MDM
• Distribuzione manuale

Prerequisiti

Prima di approvare l'estensione di sistema (usando uno degli strumenti di gestione specificati), assicurarsi che siano soddisfatti i prerequisiti seguenti:

Passaggio 1: I profili vengono assegnati a macOS?

Se si usa Intune, vedere Gestire i criteri di aggiornamento software macOS in Intune.

1. Fare clic sui puntini di sospensione (tre punti).

2. Selezionare Aggiorna dispositivi. Viene visualizzata la schermata come illustrato nello screenshot seguente:

   

3. In Launchpad digitare Preferenze di sistema.

4. Fare doppio clic su Profili.

   Nota

   Se non si è aggiunti a MDM, i profili non verranno visualizzati come opzione. Contattare il team di supporto di MDM per scoprire perché l'opzione Profili non è visibile. Dovrebbe essere possibile visualizzare i diversi profili, ad esempio estensioni di sistema, accessibilità, servizi in background, notifiche, Microsoft AutoUpdate e così via, come illustrato nello screenshot precedente.

Se si usa JamF, usare i criteri sudo jamf. Per altre informazioni, vedere Gestione dei criteri.

Passaggio 2: Verificare che i profili necessari per Microsoft Defender per endpoint siano abilitati

La sezione Sezioni che forniscono indicazioni sull'abilitazione dei profili necessari per Microsoft Defender per endpoint fornisce indicazioni su come risolvere questo problema, a seconda del metodo usato per distribuire Microsoft Defender per endpoint in macOS.

Nota

Una convenzione di denominazione appropriata per i profili di configurazione è un vantaggio reale. È consigliabile usare lo schema di denominazione seguente:Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type Per esempio FullDiskAccess (piloting) - macOS - Default - MDE

L'uso della convenzione di denominazione consigliata consente di verificare che i profili corretti vengano disattivati al momento del controllo.

Consiglio

Per assicurarsi che i profili corretti vengano disattivati, invece di digitare .mobileconfig (plist), è possibile scaricare questo profilo da Github per evitare trattini allungati.

Nel terminale immettere la sintassi seguente:

curl -O https://URL

Ad esempio,

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig

Sezioni che forniscono indicazioni sull'abilitazione dei profili necessari per Microsoft Defender per endpoint

1. • Funzione: Approvare le estensioni di sistema
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: deve approvare l'estensione passando a Preferenze di sicurezza o Preferenze > di sistema Sicurezza & Privacy e quindi selezionando Consenti.
2. • Funzione: Filtro di rete
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: deve approvare l'estensione passando a Preferenze di sicurezza o Preferenze > di sistema Sicurezza & Privacy e quindi selezionando Consenti.
3. • Funzione: Privacy Preference Policy Controls (PPPC, alias TCC (Transparency, Consent & Control), Full Disk Access (FDA))
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: deve approvare l'estensione passando a Preferenze di sicurezza o Preferenze > di sistema Sicurezza & Privacy Privacy >> Accesso completo al disco e quindi selezionando Consenti e selezionando la casella accanto alla seguente:
       • Microsoft Defender
       • Estensione di sicurezza Microsoft Defender
4. • Funzione: in esecuzione in background
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: Non applicabile
5. • Funzione: invio di notifiche
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: Non applicabile
6. • Funzione: Accessibilità
   • Configurazione per dispositivi mobili (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
   • Applicabile a:
     • Intune: Sì
     • JamF: Sì
     • Altro MDM: Sì
     • Manuale: Non applicabile

Passaggio 3: Testare i profili installati usando lo strumento "profilo" predefinito di macOS. Confronta i profili con quelli pubblicati in GitHub, segnalando profili o profili incoerenti mancanti del tutto

1. Scaricare lo script da https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.
2. Fare clic su Non elaborato. Il nuovo URL sarà https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.
3. Salvarlo come analyze_profiles.py in Download eseguendo il comando seguente nel terminale:

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py

4. Eseguire lo script python3 dell'analizzatore di profili senza parametri eseguendo il comando seguente nel terminale:

   cd /Downloads  
   sudo python3 analyze_profiles.py

Nota

Per eseguire questo comando sono necessarie autorizzazioni Sudo.

OPPURE

5. Eseguire lo script direttamente dal Web eseguendo il comando seguente:

   sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py        
| python3 -

Nota

Per eseguire questo comando sono necessarie autorizzazioni Sudo.

L'output mostrerà tutti i potenziali problemi con i profili.

Contenuto consigliato

• Distribuzione di Microsoft Defender per endpoint in macOS con Jamf Pro: informazioni su come distribuire Microsoft Defender per endpoint in macOS con Jamf Pro.
• Configurare i criteri Microsoft Defender per endpoint in macOS in Jamf Pro: informazioni su come configurare la Microsoft Defender per endpoint nei criteri macOS in Jamf Pro.
• Configurare i gruppi di dispositivi in Jamf Pro: informazioni su come configurare i gruppi di dispositivi in Jamf Pro per Microsoft Defender per endpoint in macOS.
• Accedere a Jamf Pro