Freigeben über


Verwalten von Systemerweiterungen mithilfe von Jamf

In diesem Artikel werden die Verfahren beschrieben, die bei der Verwaltung der Systemerweiterungen implementiert werden müssen, um sicherzustellen, dass Microsoft Defender for Endpoint unter macOS ordnungsgemäß funktioniert.

Jamf

Jamf-Systemerweiterungsrichtlinie

Führen Sie die folgenden Schritte aus, um die Systemerweiterungen zu genehmigen:

  1. Wählen Sie Computer > Konfigurationsprofile und dann Optionen > Systemerweiterungen aus.

  2. Wählen Sie in der Dropdownliste Systemerweiterungstypen die Option Zulässige Systemerweiterungen aus.

  3. Verwenden Sie UBF8T346G9 für Team-ID.

  4. Fügen Sie der Liste Zulässige Systemerweiterungen die folgenden Bündelbezeichner hinzu:

    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

    Genehmigen von Systemerweiterungen in Jamf.

Richtliniensteuerung für Datenschutzeinstellungen (auch als vollständiger Datenträgerzugriff bezeichnet)

Fügen Sie die folgende Jamf-Nutzlast hinzu, um der Microsoft Defender for Endpoint-Sicherheitserweiterung vollständigen Datenträgerzugriff zu gewähren. Diese Richtlinie ist eine Voraussetzung für die Ausführung der Erweiterung auf Ihrem Gerät.

  1. Wählen Sie Optionen > Datenschutzeinstellungen Richtliniensteuerung aus.

  2. Verwenden Sie com.microsoft.wdav.epsext als Bezeichner und die Bundle-ID als Bundle-Typ.

  3. Set Code Requirement to identifier com.microsoft.wdav.epsext and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.2.16] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.

  4. Legen Sie App oder Dienst auf SystemPolicyAllFiles und Zugriff auf Zulassen fest.

    Richtliniensteuerung für Datenschutzeinstellungen.

Netzwerkerweiterungsrichtlinie

Im Rahmen der Endpunkterkennungs- und -antwortfunktionen untersucht Microsoft Defender for Endpoint unter macOS den Socketdatenverkehr und meldet diese Informationen an das Microsoft Defender-Portal. Die folgende Richtlinie ermöglicht der Netzwerkerweiterung, diese Funktion auszuführen:

Hinweis

Jamf verfügt nicht über integrierte Unterstützung für Inhaltsfilterrichtlinien, die eine Voraussetzung für die Aktivierung der Netzwerkerweiterungen sind, die unter macOS auf dem Gerät installiert Microsoft Defender for Endpoint. Darüber hinaus ändert Jamf manchmal den Inhalt der bereitgestellten Richtlinien. Daher bieten die folgenden Schritte eine Problemumgehung, die das Signieren des Konfigurationsprofils umfasst.

  1. Speichern Sie den folgenden Inhalt mithilfe eines Text-Editors als com.microsoft.network-extension.mobileconfig auf Ihrem Gerät:
   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender Network Extension</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
        </array>
    </dict>
</plist>
  1. Vergewissern Sie sich, dass der oben genannte Inhalt ordnungsgemäß in die Datei kopiert wurde, indem Sie das Hilfsprogramm plutil im Terminal ausführen:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig

Wenn die Datei beispielsweise unter Dokumente gespeichert wurde:

$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
  1. Vergewissern Sie sich, dass der Befehl "OK" ausgibt.
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
  1. Befolgen Sie die Anweisungen auf dieser Seite , um ein Signaturzertifikat mithilfe der integrierten Zertifizierungsstelle von Jamf zu erstellen.

  2. Nachdem das Zertifikat erstellt und auf Ihrem Gerät installiert wurde, führen Sie den folgenden Befehl im Terminal aus, um die Datei zu signieren:

$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig

Wenn der Zertifikatname beispielsweise SigningCertificate lautet und die signierte Datei in Dokumente gespeichert wird:

$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
  1. Navigieren Sie im Jamf-Portal zu Konfigurationsprofile , und wählen Sie die Schaltfläche Hochladen aus. Wählen Sie com.microsoft.network-extension.signed.mobileconfig aus, wenn Sie zur Eingabe der Datei aufgefordert werden.