Apparaatbeheer voor macOS

Artikel
02/01/2025

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Vereisten

Apparaatbeheer voor Mac heeft de volgende vereisten:

Defender voor Eindpunt- of Defender voor Bedrijven-licenties (kan een proefabonnement zijn)
Minimale versie van het besturingssysteem: macOS 11 of hoger
Minimale productversie: 101.34.20

Overzicht

Met apparaatbeheer in Defender voor Eindpunt in macOS kunt u het volgende doen:

De lees-, schrijf- of uitvoeringstoegang tot verwisselbare opslag controleren, toestaan of voorkomen; en
Beheer iOS- en draagbare apparaten en met Apple APFS versleutelde apparaten en Bluetooth-media, met of zonder uitsluitingen.

Uw eindpunten voorbereiden

Volledige schijftoegang implementeren: mogelijk hebt u deze https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig gemaakt en geïmplementeerd voor andere MDE functies. U moet volledige schijftoegang verlenen voor een nieuwe toepassing: com.microsoft.dlp.daemon.
Schakel Apparaatbeheer in op uw Defender voor Eindpunt-voorkeuren:
- Preventie van gegevensverlies (DLP)/functies
- Bij Functienaam typt u DC_in_dlp
- Geef voor Status op enabled

Voorbeeld 1: JAMF met behulp van schema.json.

Schermopname die laat zien hoe u Apparaatbeheer inschakelt in Microsoft Defender voor Eindpunt Preventie van gegevensverlies/functies.

Voorbeeld 2: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
    <dict> 
      <key>name</key>
      <string>DC_in_dlp</string>
      <key>state</key>
      <string>enabled</string>
    </dict>
  </array>
</dict>

Minimale productversie: 101.91.92 of hoger
Voer mdatp version terminal uit om de productversie op uw clientcomputer te bekijken:

Meer informatie over beleidsregels

Beleid bepaalt het gedrag van apparaatbeheer voor macOS. Het beleid is via Intune of JAMF gericht op een verzameling computers of gebruikers.

Het apparaatbeheer voor macOS-beleid omvat instellingen, groepen en regels:

Met de globale instelling 'instellingen' kunt u de globale omgeving definiëren.
Met groep met de groups naam kunt u mediagroepen maken. Bijvoorbeeld een geautoriseerde USB-groep of een versleutelde USB-groep.
Met een toegangsbeleidsregel met de naam 'regels' kunt u beleid maken om elke groep te beperken. Sta bijvoorbeeld alleen geautoriseerde gebruiker toe om een USB-groep met een schrijftoegang toe te staan.

Opmerking

U wordt aangeraden de voorbeelden op de GitHub te gebruiken om de eigenschappen te begrijpen: mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy at main - microsoft/mdatp-devicecontrol (github.com).

U kunt ook de scripts op mdatp-devicecontrol/tree/main/python#readme at main - microsoft/mdatp-devicecontrol (github.com) gebruiken om windows-apparaatbeheerbeleid te vertalen naar macOS-beleid voor apparaatbeheer of om macOS Device Control V1-beleid te vertalen naar dit V2-beleid.

Opmerking

Er zijn bekende problemen met apparaatbeheer voor macOS waarmee klanten rekening moeten houden bij het maken van beleid.

Aanbevolen procedures

Apparaatbeheer voor macOS heeft vergelijkbare mogelijkheden als Apparaatbeheer voor Windows, maar macOS en Windows bieden verschillende onderliggende mogelijkheden voor het beheren van apparaten, dus er zijn enkele belangrijke verschillen:

macOS heeft geen gecentraliseerde Apparaatbeheer of weergave van apparaten. Toegang wordt verleend/geweigerd aan toepassingen die communiceren met apparaten. Daarom is er op macOS een uitgebreidere set toegangstypen. Een beleid kan bijvoorbeeld portableDevice weigeren of toestaan download_photos_from_device.
Om consistent te blijven met Windows, zijn generic_reader toegangstypen ,generic_write en generic_execute . Beleidsregels met algemene toegangstypen hoeven niet te worden gewijzigd als/wanneer in de toekomst specifiekere toegangstypen worden toegevoegd. De best practice is om algemene toegangstypen te gebruiken, tenzij er een specifiekere bewerking moet worden geweigerd/toegestaan.
Het maken van beleid deny met algemene toegangstypen is de beste manier om alle bewerkingen voor dat type apparaat (bijvoorbeeld Android-telefoons) volledig te blokkeren, maar er kunnen nog steeds hiaten zijn als de bewerking wordt uitgevoerd met behulp van een toepassing die niet wordt ondersteund door macOS-apparaatbeheer.

Instellingen

Dit zijn de eigenschappen die u kunt gebruiken bij het maken van de groepen, regels en instellingen in het beleid voor apparaatbeheer voor macOS.

Eigenschapsnaam	Beschrijving	Opties
Functies	Functiespecifieke configuraties	U kunt instellen `disable` op false of true voor de volgende functies: - `removableMedia` - `appleDevice` - `portableDevice`, inclusief camera- of PTP-media - `bluetoothDevice` De standaardwaarde is `true`, dus als u deze waarde niet configureert, is deze niet van toepassing, zelfs niet als u een aangepast beleid maakt voor `removableMedia`, omdat dit standaard is uitgeschakeld.
globaal	Standaard afdwinging instellen	U kunt instellen `defaultEnforcement` op - `allow` (standaard) - `deny`
Ux	U kunt een hyperlink instellen voor de melding.	`navigationTarget: string`. Voorbeeld: `"http://www.microsoft.com"`

Groep

Eigenschapsnaam	Beschrijving	Opties
`$type`	Het type groep	"apparaat"
`id`	GUID, een unieke id, vertegenwoordigt de groep en wordt gebruikt in het beleid.	U kunt de id genereren via New-Guid (Microsoft.PowerShell.Utility) - PowerShell of de opdracht uuidgen in macOS
`name`	Beschrijvende naam voor de groep.	tekenreeks
`query`	De media-aandacht onder deze groep	Zie de queryeigenschapstabellen voor meer informatie.

Vraag

Apparaatbeheer ondersteunt twee soorten query's:

Querytype 1 is als volgt:

Eigenschapsnaam	Beschrijving	Opties
`$type`	De logische bewerking identificeren die moet worden uitgevoerd op de componenten	all: alle kenmerken onder de -componenten zijn een en-relatie . Als de beheerder bijvoorbeeld en `serialNumber`plaatst `vendorId` voor elke aangesloten USB, controleert het systeem of de USB aan beide waarden voldoet. en: is gelijk aan alle enig: De kenmerken onder de -componenten zijn Of-relatie . Als de beheerder bijvoorbeeld en `serialNumber`plaatst `vendorId` voor elke aangesloten USB, voert het systeem de afdwinging uit zolang de USB een identieke `vendorId` waarde of `serialNumber` waarde heeft. of: is gelijk aan een
`clauses`	Gebruik de eigenschap mediaapparaat om groepsvoorwaarde in te stellen.	Een matrix met componentobjecten die worden geëvalueerd om het groepslidmaatschap te bepalen. Zie de sectie Component .

Querytype 2 is als volgt:

Eigenschapsnaam	Beschrijving	Opties
`$type`	De logische bewerking identificeren die moet worden uitgevoerd op de subquery	not: logische ontkenning van een query
`query`	Een subquery	Een query die wordt genegeerd.

Clausule

Componenteigenschappen

Eigenschapsnaam	Beschrijving	Opties
`$type`	Het type component	Zie de volgende tabel voor ondersteunde componenten.
`value`	$type specifieke waarde die u wilt gebruiken

Ondersteunde componenten

component $type	waarde	Beschrijving
`primaryId`	Een van: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	Viercijferige hexadecimale tekenreeks	Komt overeen met de leverancier-id van een apparaat
`productId`	Viercijferige hexadecimale tekenreeks	Komt overeen met de product-id van een apparaat
`serialNumber`	tekenreeks	Komt overeen met het serienummer van een apparaat. Komt niet overeen als het apparaat geen serienummer heeft.
`encryption`	apfs	Komt overeen als een apparaat is versleuteld met apfs.
`groupId`	UUID-tekenreeks	Komt overeen als een apparaat lid is van een andere groep. De waarde vertegenwoordigt de UUID van de groep die overeenkomt met. De groep moet worden gedefinieerd binnen het beleid vóór de component.

Toegangsbeleidsregel

Eigenschapsnaam	Beschrijving	Opties
`id`	GUID, een unieke id, vertegenwoordigt de regel en wordt gebruikt in het beleid.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell uuidgen
`name`	Tekenreeks, de naam van het beleid. Wordt weergegeven in de pop-upmelding op basis van de beleidsinstelling.
`includeGroups`	De groepen waarop het beleid wordt toegepast. Als er meerdere groepen zijn opgegeven, is het beleid van toepassing op alle media in al deze groepen. Als deze niet is opgegeven, is de regel van toepassing op alle apparaten.	De id-waarde in de groep moet in dit exemplaar worden gebruikt. Als meerdere groepen zich in de `includeGroups`bevinden, is dit AND. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	De groepen waarop het beleid niet van toepassing is.	De id-waarde in de groep moet in dit exemplaar worden gebruikt. Als meerdere groepen zich in de excludeGroups bevinden, is dit OF.
`entries`	Eén regel kan meerdere vermeldingen hebben; elke vermelding met een unieke GUID vertelt Apparaatbeheer één beperking.	Zie de tabel met vermeldingseigenschappen verderop in dit artikel voor meer informatie.

De volgende tabel bevat de eigenschappen die u in uw vermelding kunt gebruiken:

Eigenschapsnaam	Beschrijving	Opties
`$type`		Omvat: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice` - `generic`
handhaving		- `$type`: - `allow` - `deny` - `auditAllow` - `auditDeny` Wanneer $type toestaan is geselecteerd, ondersteunt de waarde van opties: - `disable_audit_allow` Zelfs als Toestaan plaatsvindt en de instelling auditAllow is geconfigureerd, verzendt het systeem geen gebeurtenis. Wanneer $type weigeren is geselecteerd, ondersteunt de waarde van opties: `disable_audit_deny` Zelfs als Blokkeren plaatsvindt en de instelling auditDeny is geconfigureerd, geeft het systeem geen melding weer en verzendt het geen gebeurtenis. Wanneer $type auditAllow is geselecteerd, ondersteunt de waarde van opties: `send_event` Wanneer $type auditDeny is geselecteerd, ondersteunt de waarde van opties: `send_event` `show_notification`
`access`		Geef een of meer toegangsrechten op voor deze regel. Dit kunnen apparaatspecifieke gedetailleerde machtigingen of bredere algemene machtigingen zijn. Zie de onderstaande tabel voor meer informatie over de geldige toegangstypen voor een bepaalde vermelding $type.
`id`	UUID

De volgende tabel bevat de eigenschappen die u in de vermelding kunt gebruiken:

Handhaving

Naam van afdwingingseigenschap

Eigenschapsnaam	Beschrijving	Opties
`$type`	Het type afdwinging	Zie de onderstaande tabel voor ondersteunde afdwingingen
`options`	$type specifieke waarde die u wilt gebruiken	Een matrix met opties voor de vermelding. Kan worden weggelaten als geen opties gewenst zijn.

Afdwingingstype

Eigenschapsnaam	Beschrijving	Opties
`Enforcement $type`	`options` waarden [tekenreeks]	Beschrijving
`allow`	`disable_audit_allow`	Zelfs als Toestaan plaatsvindt en de instelling auditAllow is geconfigureerd, verzendt het systeem geen gebeurtenis.
`deny`	`disable_audit_deny`	Zelfs als Blokkeren plaatsvindt en de instelling auditDeny is geconfigureerd, geeft het systeem geen melding weer en verzendt het geen gebeurtenis.
`auditAllow`	`send_event`	Telemetrie verzenden
`auditDeny`	- `send_event` - `show_notification`	- Telemetrie verzenden - Blok-UX weergeven aan gebruiker

Toegangstypen

$type	access-waarden [tekenreeks]	Algemene toegang	Beschrijving
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	foto downloaden van het specifieke iOS-apparaat naar de lokale computer
appleDevice	download_files_from_device	generic_read	bestanden downloaden van het specifieke iOS-apparaat naar de lokale computer
appleDevice	sync_content_to_device	generic_write	inhoud van de lokale computer synchroniseren naar een specifiek iOS-apparaat
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	debuggen	generic_execute	ADB-hulpprogrammabeheer
* removableMedia	lezen	generic_read
removableMedia	schrijven	generic_write
removableMedia	executeren	generic_execute	generic_read
bluetoothApparaat	download_files_from_device
bluetoothApparaat	send_files_to_device	generic_write
generiek	generic_read		Gelijk aan het instellen van alle toegangswaarden die in deze tabel worden aangegeven en die zijn toegewezen aan generic_read.
generiek	generic_write		Gelijk aan het instellen van alle toegangswaarden die in deze tabel worden aangegeven en die zijn toegewezen aan generic_write.
generiek	generic_execute		Gelijk aan het instellen van alle toegangswaarden die in deze tabel worden aangegeven en die zijn toegewezen aan generic_execute.

Eindgebruikerservaring

Zodra Weigeren plaatsvindt en de melding is ingeschakeld in het beleid, ziet de eindgebruiker een dialoogvenster:

Status

Gebruik mdatp health --details device_control om de status van apparaatbeheer te controleren:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

active - functieversie, ziet u ["v2"]. (Apparaatbeheer is ingeschakeld, maar niet geconfigureerd.)
- [] - Apparaatbeheer is niet geconfigureerd op deze computer.
- ["v1"] - U gebruikt een preview-versie van Apparaatbeheer. Migreer naar versie 2 met behulp van deze handleiding. v1 wordt beschouwd als verouderd en wordt niet beschreven in deze documentatie.
- ["v1", "v2"] - U hebt zowel v1 als v2 ingeschakeld. Offboard van v1.
v1_configured - v1-configuratie wordt toegepast
v1_enforcement_level - wanneer v1 is ingeschakeld
v2_configured - v2-configuratie wordt toegepast
v2_state - v2-status, enabled indien volledig werkend
v2_sensor_connection - if created_ok, heeft Device Control verbinding gemaakt met de systeemextensie
v2_full_disk_access - zo niet approved, kan Apparaatbeheer sommige of alle bewerkingen niet voorkomen

Rapportage

U kunt de beleids-gebeurtenis zien in het rapport Geavanceerde opsporing en Apparaatbeheer. Zie De gegevens van uw organisatie beveiligen met Apparaatbeheer voor meer informatie.

Scenario's

Hier volgen enkele veelvoorkomende scenario's om u vertrouwd te maken met Microsoft Defender voor Eindpunt en Microsoft Defender voor Eindpunt Apparaatbeheer.

Scenario 1: Verwijderbare media weigeren, maar specifieke USB's toestaan

In dit scenario moet u twee groepen maken: één groep voor een verwisselbare media en een andere groep voor goedgekeurde USB-groepen. U moet ook een toegangsbeleidsregel maken.

Stap 1: Instellingen: Apparaatbeheer inschakelen en Standaard afdwingen instellen

"settings": { 

    "features": { 

        "removableMedia": { 

            "disable": false 

        } 

    }, 

    "global": { 

        "defaultEnforcement": "allow" 

    }, 

    "ux": { 

        "navigationTarget": "http://www.deskhelp.com" 

    } 

}

Stap 2: Groepen: maak een verwisselbare mediagroep en groep goedgekeurde USB's

Maak een groep voor alle verwisselbare media-apparaten.
Maak een groep voor goedgekeurde USB's.
Combineer deze groepen tot één groups.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

Stap 3: Regels: Beleid voor weigeren maken voor niet-toegestane USB's

Maak een toegangsbeleidsregel en zet deze in rules:

"rules": [ 

    { 

        "id": "772cef80-229f-48b4-bd17-a69130092981", 

        "name": "Deny RWX to all Removable Media Devices except Kingston", 

        "includeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

        ], 

        "excludeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

        ], 

        "entries": [ 

            { 

                "$type": "removableMedia", 

                "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                "enforcement": { 

                    "$type": "deny" 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            }, 

            { 

                "$type": "removableMedia", 

                "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                "enforcement": { 

                    "$type": "auditDeny", 

                    "options": [ 

                        "send_event", 

                        "show_notification" 

                    ] 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            } 

        ] 

    } 

]

In dit geval hebt u slechts één toegangsregelbeleid, maar als u er meerdere hebt, moet u alles toevoegen aan rules.

Bekende problemen

Waarschuwing

Apparaatbeheer in macOS beperkt Android-apparaten die zijn verbonden via de PTP-modus. Apparaatbeheer beperkt geen andere modi, zoals Bestandsoverdracht, USB-tethering en MIDI.