Gerätesteuerung für macOS
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender für Unternehmen
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Anforderungen
Für die Gerätesteuerung für macOS gelten die folgenden Voraussetzungen:
- Microsoft Defender for Endpoint-Berechtigung (kann testversion sein)
- Mindestversion des Betriebssystems: macOS 11 oder höher
- Mindestproduktversion: 101.34.20
Übersicht
Microsoft Defender for Endpoint Feature "Gerätesteuerung" ermöglicht Folgendes:
- Überwachen, Zulassen oder Verhindern des Lese-, Schreib- oder Ausführungszugriffs auf Wechselmedien; Und
- Verwalten sie iOS- und Portable-Geräte sowie apple APFS-verschlüsselte Geräte und Bluetooth-Medien mit oder ohne Ausschlüsse.
Vorbereiten der Endpunkte
Microsoft Defender for Endpoint-Berechtigung (kann testversion sein)
Mindestversion des Betriebssystems: macOS 11 oder höher
Vollständigen Datenträgerzugriff bereitstellen: Möglicherweise wurden Sie bereits erstellt und für andere MDE Features bereitgestellthttps://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig. Sie müssen für eine neue Anwendung die Berechtigung "Volldatenträgerzugriff" erteilen:
com.microsoft.dlp.daemon
.Aktivieren Sie die Gerätesteuerung für die einstellung MDE:
Verhinderung von Datenverlust (Data Loss Prevention, DLP)/Features/
Geben Sie unter Featurename "DC_in_dlp" ein.
Geben Sie unter State (Bundesstaat) "enabled" (Aktiviert) ein.
Beispiel 1: JAMF mit schema.json
Beispiel 2: demo.mobileconfig
<key>dlp</key>
<dict>
<key>features</key>
<array>
<dict>
<key>name</key>
<string>DC_in_dlp</string>
<key>state</key>
<string>enabled</string>
</dict>
</array>
</dict>
Mindestproduktversion: 101.91.92 oder höher
Führen Sie die mdatp-Version über das Terminal aus, um die Produktversion auf Ihrem Clientcomputer anzuzeigen:
Eigenschaften der Gerätesteuerung für macOS
Die Gerätesteuerung für macOS umfasst die globale Einstellung, die Gruppenerstellung und die Erstellung von Zugriffsrichtlinienregeln:
- Mit der globalen Einstellung "settings" können Sie die globale Umgebung definieren.
- Mit der Gruppe "Groups" können Sie Mediengruppen erstellen. Beispiel: autorisierte USB-Gruppe oder verschlüsselte USB-Gruppe.
- Mithilfe der Zugriffsrichtlinienregel "rules" können Sie eine Richtlinie erstellen, um jede Gruppe einzuschränken. Lassen Sie z. B. nur autorisierten Benutzern die Schreibzugriffsautorisierte USB-Gruppe zu.
Im Folgenden finden Sie die Eigenschaften, die Sie beim Erstellen der Gruppe und Richtlinie verwenden können.
Hinweis
Es wird empfohlen, die Beispiele auf GitHub zu verwenden, um die Eigenschaften zu verstehen: mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy at Standard - microsoft/mdatp-devicecontrol (github.com).
Sie können auch die Skripts unter mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy/scripts unter Standard – microsoft/mdatp-devicecontrol (github.com) verwenden, um die Windows-Gerätesteuerungsrichtlinie in die macOS-Gerätesteuerungsrichtlinie zu übersetzen oder die macOS-Gerätesteuerungs-V1-Richtlinie in diese V2-Richtlinie zu übersetzen.
Warnung
In macOS Sonoma 14.3.1 hat Apple eine Änderung an der Handhabung von Bluetooth-Geräten vorgenommen, die sich auf die Fähigkeit des Defender für Endpunkt-Geräts auswirkt, den Zugriff auf Bluetooth-Geräte abzufangen und zu blockieren. Derzeit wird empfohlen, eine version von macOS zu verwenden, die weniger als 14.3.1 ist.
Einstellungen
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
Funktionen | Featurespezifische Konfigurationen | Sie können für die folgenden Features auf false oder true festlegen disable :- removableMedia - appleDevice - portableDevice , einschließlich Kamera- oder PTP-Medien- bluetoothDevice Der Standardwert ist true . Wenn Sie diesen Wert also nicht konfigurieren, wird er auch dann nicht angewendet, wenn Sie eine benutzerdefinierte Richtlinie für removableMedia erstellen, da sie standardmäßig deaktiviert ist. |
Globalen | Festlegen der Standarderzwingung | Sie können auf defaultEnforcement - allow (Standard)- deny |
Ux | Sie können einen Link bei Benachrichtigungen festlegen. | navigationTarget: string . Beispiel: "http://www.microsoft.com" |
Gruppe
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Die Art der Gruppe | "Gerät" |
id |
GUID, eine eindeutige ID, stellt die Gruppe dar und wird in der Richtlinie verwendet. | Sie können die ID über New-Guid (Microsoft.PowerShell.Utility) – PowerShell oder den uuidgen-Befehl unter macOS generieren. |
name |
Anzeigename für die Gruppe. | string |
query |
Die Medienberichterstattung unter dieser Gruppe | Weitere Informationen finden Sie in den Tabellen mit den Abfrageeigenschaften unten. |
Abfrage
Device Control unterstützt zwei Arten von Abfragen:
Der Abfragetyp 1 lautet wie folgt:
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Identifizieren des logischen Vorgangs, der für die -Klauseln ausgeführt werden soll | all: Alle Attribute unter den -Klauseln sind eine Und-Beziehung . Wenn der Administrator z. B. und serialNumber für jeden verbundenen USB-Stick einfügtvendorId , überprüft das System, ob der USB beide Werte erfüllt.und: entspricht allen jegliche: Die Attribute unter den -Klauseln sind Or-Beziehung . Wenn der Administrator z. B. und serialNumber für jeden angeschlossenen USB-Stick einfügtvendorId , führt das System die Erzwingung durch, solange der USB entweder einen identischen Wert oder serialNumber einen wert vendorId aufweist. oder: entspricht jedem |
clauses |
Verwenden Sie die Mediengeräteeigenschaft, um die Gruppenbedingung festzulegen. | Ein Array von Klauselobjekten, die ausgewertet werden, um die Gruppenmitgliedschaft zu bestimmen. Weitere Informationen finden Sie weiter unten im Abschnitt Klausel . |
Der Abfragetyp 2 lautet wie folgt:
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Identifizieren des logischen Vorgangs, der für die Unterabfrage ausgeführt werden soll | not: logische Negation einer Abfrage |
query |
Eine Unterabfrage | Eine Abfrage, die negiert wird. |
Klausel
Klauseleigenschaften
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Der Typ der Klausel | In der folgenden Tabelle finden Sie unterstützte Klauseln. |
value |
$type zu verwendenden spezifischen Wert |
Unterstützte Klauseln
klausel $type | Wert | Beschreibung |
---|---|---|
primaryId |
Eine der folgenden: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices |
|
vendorId |
4-stellige hexadezimale Zeichenfolge | Entspricht der Anbieter-ID eines Geräts. |
productId |
4-stellige hexadezimale Zeichenfolge | Entspricht der Produkt-ID eines Geräts. |
serialNumber |
string | Entspricht der Seriennummer eines Geräts. Stimmt nicht überein, wenn das Gerät keine Seriennummer hat. |
encryption |
apfs | Übereinstimmung, wenn ein Gerät apfs-verschlüsselt ist. |
groupId |
UUID-Zeichenfolge | Übereinstimmung, wenn ein Gerät Mitglied einer anderen Gruppe ist. Der Wert stellt die UUID der Gruppe dar, mit der abgeglichen werden soll. Die Gruppe muss innerhalb der Richtlinie vor der -Klausel definiert werden. |
Zugriffsrichtlinienregel
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
id |
GUID, eine eindeutige ID, stellt die Regel dar und wird in der Richtlinie verwendet. | New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen |
name |
String, der Name der Richtlinie und wird auf dem Popup basierend auf der Richtlinieneinstellung angezeigt. | |
includeGroups |
Die Gruppen, auf die die Richtlinie angewendet wird. Wenn mehrere Gruppen angegeben sind, gilt die Richtlinie für alle Medien in all diesen Gruppen. Wenn nicht angegeben, gilt die Regel für alle Geräte. | Der ID-Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in befinden, ist dies includeGroups AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"] |
excludeGroups |
Die Gruppen, für die die Richtlinie nicht gilt. | Der ID-Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in den excludeGroups befinden, ist dies OR. |
entries |
Eine Regel kann mehrere Einträge enthalten; Jeder Eintrag mit einer eindeutigen GUID teilt Device Control eine Einschränkung mit. | Weitere Informationen finden Sie in der Tabelle mit den Eintragseigenschaften weiter unten in diesem Artikel. |
In der folgenden Tabelle sind die Eigenschaften aufgeführt, die Sie in Ihrem Eintrag verwenden können:
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Enthält: - removableMedia - appleDevice - PortableDevice - bluetoothDevice - generic |
|
Durchsetzung | - $type :- allow - deny - auditAllow - auditDeny Wenn $type zulassen ausgewählt ist, unterstützt der Optionswert Folgendes: - disable_audit_allow Selbst wenn Zulassen erfolgt und die Einstellung auditAllow konfiguriert ist, sendet das System kein Ereignis. Wenn $type verweigern ausgewählt ist, unterstützt der Optionswert Folgendes: disable_audit_deny Selbst wenn Blockieren erfolgt und die AuditDeny-Einstellung konfiguriert ist, zeigt das System keine Benachrichtigung oder kein Sendeereignis an. Wenn $type auditAllow ausgewählt ist, unterstützt der Optionswert Folgendes: send_event Wenn $type auditDeny ausgewählt ist, unterstützt der Optionswert Folgendes: send_event show_notification |
|
access |
Geben Sie mindestens ein Zugriffsrechte für diese Regel an. Dazu können entweder gerätespezifische differenzierte Berechtigungen oder allgemeinere generische Berechtigungen gehören. Weitere Informationen zu den gültigen Zugriffstypen für einen bestimmten Eintrag $type finden Sie in der folgenden Tabelle. | |
id |
UUID |
In der folgenden Tabelle sind die Eigenschaften aufgeführt, die Sie im Eintrag verwenden können:
Erzwingung
Name der Erzwingungseigenschaft
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
$type |
Der Erzwingungstyp | Unterstützte Erzwingungen finden Sie in der folgenden Tabelle. |
options |
$type zu verwendenden spezifischen Wert | Ein Array von Optionen für den Eintrag. Kann ausgelassen werden, wenn keine Optionen gewünscht sind. |
Erzwingungstyp
Eigenschaftenname | Beschreibung | Optionen |
---|---|---|
Enforcement $type |
options Werte [Zeichenfolge] |
Beschreibung |
allow |
disable_audit_allow |
Selbst wenn Zulassen erfolgt und die Einstellung auditAllow konfiguriert ist, sendet das System kein Ereignis. |
deny |
disable_audit_deny |
Selbst wenn Blockieren erfolgt und die AuditDeny-Einstellung konfiguriert ist, zeigt das System keine Benachrichtigung oder kein Sendeereignis an. |
auditAllow |
send_event |
Senden von Telemetriedaten |
auditDeny |
- send_event - show_notification |
– Senden von Telemetriedaten – Anzeigen der Block-UX für den Benutzer |
Zugriffstypen
eintrags-$type | Access-Werte [Zeichenfolge] | Generischer Zugriff | Beschreibung |
---|---|---|---|
appleDevice | backup_device | generic_read | |
appleDevice | update_device | generic_write | |
appleDevice | download_photos_from_device | generic_read | Herunterladen von Fotos vom bestimmten iOS-Gerät auf den lokalen Computer |
appleDevice | download_files_from_device | generic_read | Herunterladen von Dateien vom bestimmten iOS-Gerät auf den lokalen Computer |
appleDevice | sync_content_to_device | generic_write | Synchronisieren von Inhalten vom lokalen Computer mit einem bestimmten iOS-Gerät |
portableDevice | download_files_from_device | generic_read | |
portableDevice | send_files_to_device | generic_write | |
portableDevice | download_photos_from_device | generic_read | |
portableDevice | Debuggen | generic_execute | ADB-Toolsteuerelement |
*removableMedia | Lesen | generic_read | |
removableMedia | Schreiben | generic_write | |
removableMedia | Ausführen | generic_execute | generic_read |
bluetoothDevice | download_files_from_device | ||
bluetoothDevice | send_files_to_device | generic_write | |
Generische | generic_read | Entspricht dem Festlegen aller in dieser Tabelle aufgeführten Zugriffswerte, die generic_read zugeordnet sind. | |
Generische | generic_write | Entspricht dem Festlegen aller In dieser Tabelle aufgeführten Zugriffswerte, die generic_write zugeordnet sind. | |
Generische | generic_execute | Entspricht dem Festlegen aller In dieser Tabelle bezeichneten Zugriffswerte, die generic_execute zugeordnet sind. |
Endbenutzererfahrung
Sobald Die Ablehnung erfolgt und die Benachrichtigung in der Richtlinie aktiviert ist, wird dem Endbenutzer ein Dialogfeld angezeigt:
Status
Verwenden Sie mdatp health --details device_control
, um die Gerätesteuerung status zu überprüfen:
active : ["v2"]
v1_configured : false
v1_enforcement_level : unavailable
v2_configured : true
v2_state : "enabled"
v2_sensor_connection : "created_ok"
v2_full_disk_access : "approved"
active
- Featureversion, sollte ["v2"] angezeigt werden. (Die Gerätesteuerung ist aktiviert, aber nicht konfiguriert.)- [] – Die Gerätesteuerung ist auf diesem Computer nicht konfiguriert.
- ["v1"] – Sie verfügen über eine Vorschauversion von Device Control. Migrieren Sie mithilfe dieses Leitfadens zu Version 2. v1 gilt als veraltet und wird in dieser Dokumentation nicht beschrieben.
- ["v1","v2"] – Sie haben sowohl v1 als auch v2 aktiviert. Bitte offboarden Sie von v1.
v1_configured
– v1-Konfiguration wird angewendetv1_enforcement_level
– wenn v1 aktiviert istv2_configured
– v2-Konfiguration wird angewendetv2_state
- v2 status,enabled
wenn sie vollständig funktioniertv2_sensor_connection
– wenncreated_ok
, dann hat Device Control eine Verbindung mit der Systemerweiterung hergestellt.v2_full_disk_access
– andernfallsapproved
kann die Gerätesteuerung einige oder alle Vorgänge nicht verhindern.
Reporting
Sie können das Richtlinienereignis im Bericht Erweiterte Suche und Gerätesteuerung sehen. Weitere Informationen finden Sie unter Schützen der Daten Ihrer organization mit der Gerätesteuerung.
Szenarien
Im Folgenden finden Sie einige gängige Szenarien, die Ihnen helfen, sich mit Microsoft Defender for Endpoint und Microsoft Defender for Endpoint Device Control vertraut zu machen.
Szenario 1: Verweigern von Wechselmedien, aber zulassen bestimmter USBs
In diesem Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für alle Wechselmedien und eine weitere Gruppe für genehmigte USBs-Gruppen. Außerdem müssen Sie eine Zugriffsrichtlinienregel erstellen.
Schritt 1: Einstellungen: Aktivieren der Gerätesteuerung und Festlegen der Standarderzwingung
"settings": {
"features": {
"removableMedia": {
"disable": false
}
},
"global": {
"defaultEnforcement": "allow"
},
"ux": {
"navigationTarget": "http://www.deskhelp.com"
}
}
Schritt 2: Gruppen: Erstellen einer beliebigen Wechselmediengruppe und der Gruppe approved-USBs
-1. Erstellen Sie eine Gruppe, um alle Wechselmediengeräte -1 abzudecken. Erstellen Sie eine Gruppe für genehmigte USBs -1. Kombinieren dieser Gruppen in einer "Gruppe"
"groups": [
{
"type": "device",
"id": "3f082cd3-f701-4c21-9a6a-ed115c28e211",
"name": "All Removable Media Devices",
"query": {
"$type": "all",
"clauses": [
{
"$type": "primaryId",
"value": "removable_media_devices"
}
]
}
},
{
"type": "device",
"id": "3f082cd3-f701-4c21-9a6a-ed115c28e212",
"name": "Kingston Devices",
"query": {
"$type": "all",
"clauses": [
{
"$type": "vendorId",
"value": "0951"
}
]
}
}
]
Schritt 3: Regeln: Erstellen einer Ablehnungsrichtlinie für nicht zulässige USBs
Erstellen Sie eine Zugriffsrichtlinienregel, und fügen Sie sie in "rules" ein:
"rules": [
{
"id": "772cef80-229f-48b4-bd17-a69130092981",
"name": "Deny RWX to all Removable Media Devices except Kingston",
"includeGroups": [
"3f082cd3-f701-4c21-9a6a-ed115c28e211"
],
"excludeGroups": [
"3f082cd3-f701-4c21-9a6a-ed115c28e212"
],
"entries": [
{
"$type": "removableMedia",
"id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035",
"enforcement": {
"$type": "deny"
},
"access": [
"read",
"write",
"execute"
]
},
{
"$type": "removableMedia",
"id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4",
"enforcement": {
"$type": "auditDeny",
"options": [
"send_event",
"show_notification"
]
},
"access": [
"read",
"write",
"execute"
]
}
]
}
]
In diesem Fall verfügen Sie nur über eine Zugriffsregelrichtlinie, aber wenn Sie mehrere haben, stellen Sie sicher, dass Sie alle zu "Regeln" hinzufügen.
Siehe auch
- Bereitstellen der Gerätesteuerung mithilfe von Intune
- Bereitstellen der Gerätesteuerung mithilfe von JAMF
- Manuelles Bereitstellen der Gerätesteuerung
- Häufig gestellte Fragen (FAQ) zur macOS-Gerätesteuerung
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Feedback senden und anzeigen für