Administración de extensiones del sistema mediante Jamf
En este artículo se describen los procedimientos que se deben implementar en el proceso de administración de las extensiones del sistema para garantizar que Microsoft Defender para punto de conexión funciona correctamente en macOS.
Jamf
Directiva de extensiones del sistema de Jamf
Para aprobar las extensiones del sistema, siga estos pasos:
Seleccione Perfiles de configuración de equipos >y, a continuación, seleccione Opciones > Extensiones del sistema.
Seleccione Extensiones de sistema permitidas en la lista desplegable Tipos de extensión del sistema .
Use UBF8T346G9 para el identificador de equipo.
Agregue los siguientes identificadores de agrupación a la lista Extensiones de sistema permitidas :
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Control de directivas de preferencias de privacidad (también conocido como acceso total al disco)
Agregue la siguiente carga de Jamf para conceder acceso completo al disco a la extensión de seguridad de Microsoft Defender para punto de conexión. Esta directiva es un requisito previo para ejecutar la extensión en el dispositivo.
Seleccione Opciones > Control de directivas de preferencias de privacidad.
Use com.microsoft.wdav.epsext como identificador e id. de lote como tipo de lote.
Establezca Requisito de código en el identificador com.microsoft.wdav.epsext y anclar apple generic y el certificado 1[field.1.2.840.113635.100.6.2.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.
Establezca Aplicación o servicio en SystemPolicyAllFiles y acceso a Permitir.
Directiva de extensión de red
Como parte de las funcionalidades de detección y respuesta de puntos de conexión, Microsoft Defender para punto de conexión en macOS inspecciona el tráfico de socket e informa de esta información al portal de Microsoft Defender. La siguiente directiva permite que la extensión de red realice esta funcionalidad:
Nota:
Jamf no tiene compatibilidad integrada con las directivas de filtrado de contenido, que son un requisito previo para habilitar las extensiones de red que Microsoft Defender para punto de conexión en macOS se instala en el dispositivo. Además, Jamf a veces cambia el contenido de las directivas que se implementan. Por lo tanto, los pasos siguientes proporcionan una solución alternativa que implica firmar el perfil de configuración.
- Guarde el siguiente contenido en el dispositivo como com.microsoft.network-extension.mobileconfig mediante un editor de texto:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- Compruebe que el contenido anterior se copió correctamente en el archivo ejecutando la utilidad plutil en el terminal:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Por ejemplo, si el archivo se almacenó en Documentos:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- Compruebe que el comando genera ok
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Siga las instrucciones de esta página para crear un certificado de firma mediante la entidad de certificación integrada de Jamf.
Una vez creado e instalado el certificado en el dispositivo, ejecute el siguiente comando desde el terminal para firmar el archivo:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Por ejemplo, si el nombre del certificado es SigningCertificate y el archivo firmado se va a almacenar en Documentos:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- En el portal de Jamf, vaya a Perfiles de configuración y seleccione el botón Cargar . Seleccione com.microsoft.network-extension.signed.mobileconfig cuando se le pida el archivo.