Správa zařízení pro macOS

  • Článek

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Požadavky

Řízení zařízení pro macOS má následující požadavky:

  • Microsoft Defender for Endpoint nárok (může být zkušební)
  • Minimální verze operačního systému: macOS 11 nebo novější
  • Minimální verze produktu: 101.34.20

Přehled

funkce Microsoft Defender for Endpoint Device Control umožňuje:

  • Auditovat, povolit nebo zabránit čtení, zápisu nebo spuštění přístupu k vyměnitelnému úložišti; A
  • Správa zařízení se systémem iOS a přenosných zařízení a šifrovaných zařízení Apple APFS a médií Bluetooth s vyloučením nebo bez vyloučení

Příprava koncových bodů

  • Microsoft Defender for Endpoint nárok (může být zkušební)

  • Minimální verze operačního systému: macOS 11 nebo novější

  • Nasazení úplného přístupu k disku: Možná už jste ho vytvořili a nasadili https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig pro jiné funkce MDE. Pro novou aplikaci musíte udělit oprávnění k úplnému přístupu k disku: com.microsoft.dlp.daemon.

  • Povolte řízení zařízení v nastavení předvolby MDE:

    Ochrana před únikem informací /Funkce/

    Jako Název funkce zadejte "DC_in_dlp".

    Jako State (Stav) zadejte "enabled" (povoleno).

Příklad 1: JAMF s využitím schema.json

Snímek obrazovky, který ukazuje, jak povolit řízení zařízení v Microsoft Defender for Endpoint ochrana před únikem informací nebo funkce

Příklad 2: demo.mobileconfig

   <key>dlp</key>
    <dict> 
      <key>features</key>
      <array> 
        <dict> 
          <key>name</key>
          <string>DC_in_dlp</string>
          <key>state</key>
          <string>enabled</string>
        </dict>
      </array>
    </dict>

  • Minimální verze produktu: 101.91.92 nebo novější

  • Spuštěním verze mdatp prostřednictvím terminálu zobrazte verzi produktu na klientském počítači:

    Snímek obrazovky, který zobrazuje výsledky spuštěním verze mdatp v terminálu, aby se zobrazila verze produktu na klientském počítači

Vlastnosti ovládacích prvků zařízení pro macOS

Ovládací prvek Zařízení pro macOS zahrnuje globální nastavení, vytváření skupin a vytváření pravidel zásad přístupu:

  • Globální nastavení s názvem "settings" umožňuje definovat globální prostředí.
  • Skupina s názvem skupiny umožňuje vytvářet skupiny médií. Například autorizovaná skupina USB nebo šifrovaná skupina USB.
  • Pravidlo zásad přístupu s názvem "pravidla" umožňuje vytvořit zásadu pro omezení jednotlivých skupin. Můžete například povolit jenom autorizovanému uživateli skupinu USB s oprávněním k zápisu.

Tady jsou vlastnosti, které můžete použít při vytváření skupiny a zásad.

Poznámka

K pochopení vlastností doporučujeme použít příklady na GitHubu: mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy v main – microsoft/mdatp-devicecontrol (github.com).

Pomocí skriptů na adrese mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy/scripts at main – microsoft/mdatp-devicecontrol (github.com) můžete také přeložit zásady řízení zařízení s Windows na zásady řízení zařízení macOS nebo přeložit zásady řízení zařízení macOS V1 na tyto zásady V2.

Upozornění

V macOS Sonoma 14.3.1 apple provedl změnu v zacházení se zařízeními Bluetooth , která má vliv na schopnost zařízení Defender for Endpoint řídit zachytávání a blokování přístupu k zařízením Bluetooth. V tuto chvíli se doporučuje použít verzi macOS nižší než 14.3.1.

Možnosti

Název vlastnosti Popis Možnosti
Funkce Konfigurace specifické pro funkce Hodnotu false nebo true můžete nastavit disable pro následující funkce:
- removableMedia
- appleDevice
- portableDevice, včetně kamery nebo ptp médií
- bluetoothDevice

Výchozí hodnota je true, takže pokud tuto hodnotu nenakonfigurujete, nepoužije se ani v případě, že vytvoříte vlastní zásadu pro removableMedia, protože je ve výchozím nastavení zakázaná.
Globální Nastavit výchozí vynucování Můžete nastavit defaultEnforcement na
- allow (výchozí)
- deny
Ux U oznámení můžete nastavit hypertextový odkaz. navigationTarget: string. Například: "http://www.microsoft.com"

Skupina

Název vlastnosti Popis Možnosti
$type Druh skupiny "device"
id IDENTIFIKÁTOR GUID, jedinečné ID, představuje skupinu a použije se v zásadách. ID můžete vygenerovat pomocí rutiny New-Guid (Microsoft.PowerShell.Utility) – PowerShell nebo příkazu uuidgen v systému macOS.
name Popisný název skupiny Řetězec
query Mediální pokrytí v rámci této skupiny Podrobnosti najdete v tabulkách vlastností dotazů níže.

Dotazu

Řízení zařízení podporuje dva typy dotazů:

Typ dotazu 1 je následující:

Název vlastnosti Popis Možnosti
$type Identifikace logické operace, která se má provést s klauzulemi all: Všechny atributy v klauzulích jsou relace And . Pokud například správce vloží vendorId a pro serialNumberkaždý připojený USB, systém zkontroluje, jestli USB splňuje obě hodnoty.
a: je ekvivalentní všem
any: Atributy v klauzulích jsou Or relationship. Pokud například správce vloží vendorId a serialNumberpro každý připojený USB, systém provede vynucení, pokud má usb port stejnou vendorId hodnotu nebo serialNumber hodnotu.
nebo: je ekvivalentní libovolnému
clauses Pomocí vlastnosti mediálního zařízení nastavte podmínku skupiny. Pole objektů klauzule, které se vyhodnocují za účelem určení členství ve skupinách. Viz část Klauzule níže.

Typ dotazu 2 je následující:

Název vlastnosti Popis Možnosti
$type Identifikace logické operace, která se má provést s poddotazem not: logická negace dotazu
query Poddotaz Dotaz, který bude negovaný.

Klauzule

Vlastnosti klauzule

Název vlastnosti Popis Možnosti
$type Typ klauzule Podporované klauzule najdete v následující tabulce.
value $type konkrétní hodnotu, která se má použít

Podporované klauzule

$type klauzule Hodnotu Popis
primaryId Jedna z těchto možností:
- apple_devices
- removable_media_devices
- portable_devices
- bluetooth_devices
vendorId 4místný šestnáctkový řetězec Odpovídá ID dodavatele zařízení.
productId 4místný šestnáctkový řetězec Odpovídá ID produktu zařízení.
serialNumber Řetězec Odpovídá sériovému číslu zařízení. Neodpovídá, pokud zařízení nemá sériové číslo.
encryption apfs Shoda, pokud je zařízení šifrované apfs.
groupId Řetězec UUID Porovná, pokud je zařízení členem jiné skupiny. Hodnota představuje UUID skupiny, se kterou se má shodovat.
Skupina musí být definována v rámci zásad před klauzulí .

Pravidlo zásad přístupu

Název vlastnosti Popis Možnosti
id Identifikátor GUID, jedinečné ID, představuje pravidlo a použije se v zásadách. New-Guid (Microsoft.PowerShell.Utility) – PowerShell
uuidgen
name Řetězec, název zásady a zobrazí se v informačním přehledu na základě nastavení zásad.
includeGroups Skupiny, pro které se zásady použijí. Pokud je zadáno více skupin, zásady se vztahují na všechna média ve všech těchto skupinách. Pokud není zadané, pravidlo se použije pro všechna zařízení. V tomto případě musí být použita hodnota ID uvnitř skupiny. Pokud je v includeGroupssouboru více skupin, je to AND.
"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups Skupiny, na které se zásady nevztahují. V tomto případě musí být použita hodnota ID uvnitř skupiny. Pokud je v excludeGroups více skupin, je to OR.
entries Jedno pravidlo může mít více položek; Každá položka s jedinečným identifikátorem GUID informuje Ovládací prvek zařízení o jednom omezení. Podrobnosti najdete v tabulce vlastností položek dále v tomto článku.

Následující tabulka uvádí vlastnosti, které můžete v položce použít:

Název vlastnosti Popis Možnosti
$type Zahrnuje:
- removableMedia
- appleDevice
- PortableDevice
- bluetoothDevice
- generic
Výkonu - $type:
- allow
- deny
- auditAllow
- auditDeny

Když je vybraná možnost povolit $type, hodnota možností podporuje:
- disable_audit_allow
I když dojde k povolení a nastavení auditAllow je nakonfigurované, systém událost neodešle.

Když $type možnost odepřít, hodnota možnosti podporuje:
disable_audit_deny
I když dojde k blokování a je nakonfigurované nastavení auditDeny , systém nezobrazí oznámení ani neodešle událost.

Pokud je vybraná $type auditAllow, hodnota možností podporuje:
send_event

Když je vybraná $type auditDeny, hodnota možností podporuje:
send_event
show_notification
access Zadejte jedno nebo více přístupových práv pro toto pravidlo. Můžou zahrnovat buď podrobná oprávnění specifická pro zařízení, nebo širší obecná oprávnění. Další podrobnosti o platných typech přístupu pro danou položku $type najdete v následující tabulce.
id UUID

Následující tabulka uvádí vlastnosti, které můžete použít při zadávání:

Výkonu

Název vlastnosti vynucení

Název vlastnosti Popis Možnosti
$type Typ vynucení Podporovaná vynucení najdete v tabulce níže.
options $type konkrétní hodnotu, která se má použít Pole možností pro položku Pokud nejsou požadované možnosti, může být vynechána.

Typ vynucení

Název vlastnosti Popis Možnosti
Enforcement $type options values [string] Popis
allow disable_audit_allow I když dojde k povolení a nastavení auditAllow je nakonfigurované, systém událost neodešle.
deny disable_audit_deny I když dojde k blokování a je nakonfigurované nastavení auditDeny, systém nezobrazí oznámení ani neodešle událost.
auditAllow send_event Odesílání telemetrie
auditDeny - send_event
- show_notification		 – Odesílání telemetrie
– Zobrazit uživateli blokování uživatelského rozhraní

Typy přístupu

$type zadávání Hodnoty 'access' [string] Obecný přístup Popis
appleDevice backup_device generic_read
appleDevice update_device generic_write
appleDevice download_photos_from_device generic_read stažení fotek z konkrétního zařízení s iOSem do místního počítače
appleDevice download_files_from_device generic_read stažení souborů z konkrétního zařízení s iOSem do místního počítače
appleDevice sync_content_to_device generic_write synchronizace obsahu z místního počítače do konkrétního zařízení s iOSem
portableDevice download_files_from_device generic_read
portableDevice send_files_to_device generic_write
portableDevice download_photos_from_device generic_read
portableDevice Ladění generic_execute Ovládací prvek nástroje ADB
*vyměnitelnémedia Číst generic_read
vyměnitelnémedia Zápis generic_write
vyměnitelnémedia Provést generic_execute generic_read
bluetoothDevice download_files_from_device
bluetoothDevice send_files_to_device generic_write
Obecné generic_read Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_read.
Obecné generic_write Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_write.
Obecné generic_execute Odpovídá nastavení všech přístupových hodnot označených v této tabulce, které se mapují na generic_execute.

Prostředí koncového uživatele

Jakmile dojde k zamítnutí a v zásadách se povolí oznámení, zobrazí se koncovému uživateli dialogové okno:

Snímek obrazovky s dialogovým oknem Řízení zařízení, které označuje, že zařízení USB je omezené

Stav

Slouží mdatp health --details device_control ke kontrole stavu řízení zařízení:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"
  • active – verze funkce, měli byste vidět ["v2"]. (Řízení zařízení je povolené, ale není nakonfigurované.)
    • [] – Řízení zařízení není na tomto počítači nakonfigurované.
    • ["v1"] – Používáte preview verzi Řízení zařízení. Pomocí této příručky proveďte migraci na verzi 2. Verze 1 je považována za zastaralou a není popsána v této dokumentaci.
    • ["v1","v2"] – Máte povolené verze v1 i v2. Prosím, offboarding z v1.
  • v1_configured – Použije se konfigurace v1.
  • v1_enforcement_level – když je povolená verze 1
  • v2_configured – Použije se konfigurace v2.
  • v2_state - stav v2, enabled pokud plně funguje
  • v2_sensor_connection - pokud created_ok, pak Device Control naváže připojení k rozšíření systému
  • v2_full_disk_access - pokud ne approved, pak Ovládací prvek zařízení nemůže zabránit některým nebo všem operacím.

Vytváření sestav

Událost zásad uvidíte v sestavě rozšířeného proaktivního vyhledávání a řízení zařízení. Další informace najdete v tématu Ochrana dat organizace pomocí řízení zařízení.

Scénáře

Tady je několik běžných scénářů, které vám pomůžou seznámit se s Microsoft Defender for Endpoint a Microsoft Defender for Endpoint Řízení zařízení.

Scénář 1: Zamítnout všechna vyměnitelná média, ale povolit konkrétní soubory USB

V tomto scénáři je potřeba vytvořit dvě skupiny: jednu skupinu pro všechna vyměnitelná média a druhou skupinu pro schválenou skupinu USB. Musíte také vytvořit pravidlo zásad přístupu.

Krok 1: Nastavení: Povolení řízení zařízení a nastavení výchozího vynucování

    "settings": { 

        "features": { 

            "removableMedia": { 

                "disable": false 

            } 

        }, 

        "global": { 

            "defaultEnforcement": "allow" 

        }, 

        "ux": { 

            "navigationTarget": "http://www.deskhelp.com" 

        } 

    }

Krok 2: Skupiny: Vytvoření jakékoli vyměnitelné skupiny médií a schválené skupiny USB

-1. Vytvořte skupinu pro všechna vyměnitelná mediální zařízení -1. Vytvořte skupinu pro schválené soubory USB -1. Zkombinujte tyto skupiny do jedné skupiny.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

Krok 3: Pravidla: Vytvoření zásady zamítnutí pro nepovolené soubory USB

Vytvořte pravidlo zásad přístupu a vložte je do pravidel:

   "rules": [ 

        { 

            "id": "772cef80-229f-48b4-bd17-a69130092981", 

            "name": "Deny RWX to all Removable Media Devices except Kingston", 

            "includeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

            ], 

            "excludeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

            ], 

            "entries": [ 

                { 

                    "$type": "removableMedia", 

                    "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                    "enforcement": { 

                        "$type": "deny" 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                }, 

                { 

                    "$type": "removableMedia", 

                    "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                    "enforcement": { 

                        "$type": "auditDeny", 

                        "options": [ 

                            "send_event", 

                            "show_notification" 

                        ] 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                } 

            ] 

        } 

    ]

V takovém případě máte jenom jednu zásadu pravidel přístupu, ale pokud jich máte víc, nezapomeňte do pravidel přidat všechny.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.