Device Control for macOS

Artikkeli
04/17/2024

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Vaatimukset

MacOS:n laiteohjausobjektissa on seuraavat edellytykset:

Microsoft Defender for Endpoint oikeus (voidaan kokeilla)
Käyttöjärjestelmän vähimmäisversio: macOS 11 tai uudempi
Tuotteen vähimmäisversio: 101.34.20

Yleiskatsaus

Microsoft Defender for Endpoint Laitteen hallinta -ominaisuuden avulla voit

Valvo, salli tai estä siirrettävän tallennusvälineen lukeminen, kirjoittaminen tai suorittaminen. Ja
Hallitse iOS- ja Portable-laitteita sekä Apple APFS -salattuja laitteita ja Bluetooth-mediaa poikkeuksen kanssa tai ilman sitä.

Valmistele päätepisteet

Microsoft Defender for Endpoint oikeus (voidaan kokeilla)
Käyttöjärjestelmän vähimmäisversio: macOS 11 tai uudempi
Ota koko levykäyttö käyttöön: olet ehkä jo aiemmin luonut ja ottanut käyttöön tämän https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig muille MDE ominaisuuksille. Sinun on myönnettävä levyn täydet käyttöoikeudet uudelle sovellukselle: com.microsoft.dlp.daemon.
Ota laiteohjausobjekti käyttöön MDE asetuksessa:

Tietojen menetyksen estäminen (DLP)/ominaisuudet/

Kirjoita Ominaisuuden nimi -kohtaan "DC_in_dlp"

Kirjoita Osavaltio-kohtaan "enabled" (käytössä)

Esimerkki 1: JAMF ja schema.json

Näyttökuva, jossa näytetään, miten voit ottaa laitteen hallinnan käyttöön tietojen menetyksen estämisen/ominaisuuksien Microsoft Defender for Endpoint.

Esimerkki 2: [demo.mobileconfig](https://github.com/microsoft/mdatp-devicecontrol/blob/main/Removable%20Storage%20Access%20Control%20Samples/macOS/mobileconfig/demo.mobileconfig)

   <key>dlp</key>
    <dict> 
      <key>features</key>
      <array> 
        <dict> 
          <key>name</key>
          <string>DC_in_dlp</string>
          <key>state</key>
          <string>enabled</string>
        </dict>
      </array>
    </dict>

Vähimmäisversio: 101.91.92 tai uudempi
Suorita mdatp-versio Terminalin kautta nähdäksesi tuoteversion asiakaskoneessa:

Tietoja käytännöistä

Käytännöt määrittävät macOS:n laiteohjausobjektin toiminnan. Käytäntö on kohdistettu Intune: n tai JAMF: n kautta kokoelmaan koneita tai käyttäjiä.

MacOS:n laiteohjausobjekti sisältää asetukset, ryhmät ja säännöt:

Yleinen asetus nimeltä Asetukset mahdollistaa yleisen ympäristön määrittämisen.
Ryhmät-ryhmän avulla voit luoda mediaryhmiä. Esimerkiksi valtuutettu USB-ryhmä tai salattu USB-ryhmä.
Käyttöoikeuskäytäntösäännön "säännöt" avulla voit luoda käytännön kunkin ryhmän rajoittamiseksi. Esimerkiksi salli vain valtuutetulle käyttäjälle käyttöoikeuden sallivan USB-ryhmän kirjoittaminen.

Huomautus

Suosittelemme, että käytät GitHubin esimerkkejä ominaisuuksien ymmärtämiseen: mdatp-devicecontrol/Removable Storage Käyttöoikeuksien hallinta Samples/macOS/policy main - microsoft/mdatp-devicecontrol (github.com).

Voit myös käyttää komentosarjoja osoitteessa mdatp-devicecontrol/tree/main/python#readme osoitteessa main - microsoft/mdatp-devicecontrol (github.com) kääntääksesi Windowsin laiteohjauskäytännön macOS:n laitehallintakäytännöksi tai kääntääksesi macOS Device Control V1 -käytännön tähän V2-käytäntöön.

Huomautus

MacOS-laitteiden hallinnassa on tunnettuja ongelmia , jotka asiakkaiden tulee ottaa huomioon käytäntöjä luotaessa.

Parhaat käytännöt

MacOS:n laiteohjausobjektissa on samanlaiset ominaisuudet kuin Windowsin Laitehallinta, mutta macOS ja Windows tarjoavat erilaisia pohjana olevia ominaisuuksia laitteiden hallintaan, joten niissä on joitain tärkeitä eroja:

macOS:ssä ei ole keskitettyä Laitehallinta tai laitteiden näkymää. Käyttö on myönnetty tai estetty laitteita käyttäville sovelluksille. Tämän vuoksi macOS:ssä on monipuolisempi joukko käyttöoikeustyyppejä. Esimerkiksi portableDevice laitteen ohjausobjekti macOS:lle voi kieltää tai sallia download_photos_from_device.
Jotta voit pysyä yhdenmukaisena Windowsin kanssa, on olemassa - generic_readgeneric_write ja generic_execute -käyttöoikeustyyppejä. Käytäntöjä, joilla on yleisiä käyttöoikeustyyppejä, ei tarvitse muuttaa, jos/kun muita tiettyjä käyttöoikeustyyppejä lisätään tulevaisuudessa. Paras käytäntö on käyttää yleisiä käyttöoikeustyyppejä, ellei tarkempaa toimintoa tarvitse erikseen kieltää tai sallia.
Yleisillä käyttöoikeustyypeillä luodun deny käytännön luominen on paras tapa yrittää kokonaan estää kaikki toiminnot tämäntyyppisessä laitteessa (esimerkiksi Android-puhelimissa), mutta niissä voi silti olla aukkoja, jos toiminto suoritetaan sovelluksessa, jota macOS-laitteen ohjausobjekti ei tue.

Asetukset

Tässä ovat ominaisuudet, joita voit käyttää luodessasi ryhmiä, sääntöjä ja asetuksia macOS:n laitteen hallintakäytännössä.

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
Ominaisuuksia	Ominaisuuskohtaiset määritykset	Voit määrittää seuraavien ominaisuuksien arvoksi `disable` false tai true: - `removableMedia` - `appleDevice` - `portableDevice`, mukaan lukien kamera tai PTP-media - `bluetoothDevice` Oletusarvo on `true`, joten jos et määritä tätä arvoa, sitä ei käytetä, vaikka luot mukautetun käytännön kohteelle `removableMedia`, koska se on oletusarvoisesti poistettu käytöstä.
Global	Määritä oletusarvoinen pakotus	Voit määrittää arvoksi `defaultEnforcement` - `allow` (oletus) - `deny`
Ux	Voit määrittää hyperlinkin ilmoitukselle.	`navigationTarget: string`. Esimerkki`"http://www.microsoft.com"`

Ryhmä

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`	Ryhmän tyyppi	"device"
`id`	GUID, yksilöllinen tunnus, edustaa ryhmää, ja sitä käytetään käytännössä.	Voit luoda tunnuksen new-guid-tunnuksen (Microsoft.PowerShell.Utility) kautta – PowerShell tai macOS:n uuidgen-komento
`name`	Ryhmän kutsumanimi.	Merkkijono
`query`	Tämän ryhmän medianäkyvyys	Lisätietoja on alla olevissa kyselyominaisuuksien taulukoissa.

Kyselyn

Laiteohjausobjekti tukee kahdenlaisia kyselyitä:

Kyselytyyppi 1 on seuraava:

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`	Määritä lauseille suoritettava looginen toiminto	all: Lausekkeiden kaikki määritteet ovat And-suhde . Jos esimerkiksi järjestelmänvalvoja asettaa `vendorId` ja `serialNumber`-kohteen jokaiselle yhdistetylle USB:lle, järjestelmä tarkistaa, vastaako USB molempia arvoja. ja: vastaa kaikkia Mitään: Lauseiden alaisia määritteitä ovat Or-suhde . Jos esimerkiksi järjestelmänvalvoja asettaa `vendorId` ja `serialNumber`-kohteen jokaiselle yhdistetylle USB:lle, järjestelmä käyttää sitä, kunhan USB:llä on joko identtinen `vendorId` arvo tai `serialNumber` arvo. tai: vastaa mitä tahansa
`clauses`	Määritä ryhmän ehto medialaitteen ominaisuuden avulla.	Lauseobjektien matriisi, joka arvioidaan ryhmän jäsenyyden määrittämiseksi. Katso alla oleva lauseke-osio .

Kyselyn tyyppi 2 on seuraava:

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`	Määritä alikyselylle suoritettava looginen toiminto	not: kyselyn looginen negaatio
`query`	Alikysely	Kysely, joka kumotaan.

Lauseke

Lauseen ominaisuudet

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`	Lausekkeen tyyppi	Katso tuetut lausekkeet seuraavasta taulukosta.
`value`	$type käytettävää tiettyä arvoa

Tuetut lausekkeet

lausekkeen $type	Arvo	Kuvaus
`primaryId`	Yksi seuraavista: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	Nelinumeroinen heksadesimaalimerkkijono	Vastaa laitteen toimittajan tunnusta
`productId`	Nelinumeroinen heksadesimaalimerkkijono	Vastaa laitteen tuotetunnusta
`serialNumber`	Merkkijono	Vastaa laitteen sarjanumeroa. Ei täsmää, jos laitteessa ei ole sarjanumeroa.
`encryption`	apfs	Vastaa, jos laite on apfs-salattu.
`groupId`	UUID-merkkijono	Vastaa, jos laite on toisen ryhmän jäsen. Arvo edustaa vastattavan ryhmän UUID-tunnusta. Ryhmä on määritettävä käytännössä ennen -lausetta.

Käyttöoikeuskäytäntösääntö

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`id`	GUID, yksilöllinen tunnus, edustaa sääntöä, ja sitä käytetään käytännössä.	New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen
`name`	Merkkijono, käytännön nimi ja näytetään ilmoitusruudussa käytäntöasetuksen perusteella.
`includeGroups`	Ryhmiä, joissa käytäntöä sovelletaan. Jos määritettynä on useita ryhmiä, käytäntö koskee kaikkia näiden ryhmien medioita. Jos tätä ei määritetä, sääntö koskee kaikkia laitteita.	Ryhmän sisällä olevaa tunnusarvoa on käytettävä tässä esiintymässä. Jos kohteessa `includeGroups`on useita ryhmiä, se on AND. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	Ryhmä(t), joihin käytäntöä ei sovelleta.	Ryhmän sisällä olevaa tunnusarvoa on käytettävä tässä esiintymässä. Jos excludeGroups-parametrissa on useita ryhmiä, se on OR.
`entries`	Yhdellä säännöllä voi olla useita merkintöjä. jokainen merkintä, jolla on yksilöllinen GUID-tunnus, kertoo laitteen ohjausobjektille yhden rajoituksen.	Lisätietoja on tämän artikkelin kohdassa Merkinnän ominaisuudet -taulukko.

Seuraavassa taulukossa on luettelo ominaisuuksista, joita voit käyttää merkinnässä:

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`		Sisältää: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice` - `generic`
Täytäntöönpano		- `$type`: - `allow` - `deny` - `auditAllow` - `auditDeny` Kun $type sallittu on valittuna, asetusarvo tukee seuraavia: - `disable_audit_allow` Vaikka Salli tapahtuu ja auditAllow on määritetty, järjestelmä ei lähetä tapahtumaa. Kun $type estäminen on valittuna, asetusarvo tukee seuraavia: `disable_audit_deny` Vaikka Block tapahtuisi ja auditDeny-asetus olisi määritetty, järjestelmä ei näytä ilmoitusta tai lähetä tapahtumaa. Kun $type auditAllow on valittuna, asetusarvo tukee seuraavia: `send_event` Kun $type auditDeny on valittuna, asetusarvo tukee seuraavia: `send_event` `show_notification`
`access`		Määritä vähintään yksi tämän säännön käyttöoikeus. Nämä voivat sisältää joko laitekohtaisia eriytettyjä käyttöoikeuksia tai laajempia yleisiä käyttöoikeuksia. Alla olevasta taulukosta saat lisätietoja tietyn merkinnän kelvollisistä käyttöoikeustyypeistä $type.
`id`	UUID

Seuraavassa taulukossa on luettelo ominaisuuksista, joita voit käyttää merkinnässä:

Täytäntöönpano

Pakotusominaisuuden nimi

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`$type`	Ulosottotyyppi	Katso tuetut täytäntöönpanot alla olevasta taulukosta
`options`	$type käytettävää tiettyä arvoa	Määritysasetusten matriisi. Voidaan jättää pois, jos asetuksia ei haluta.

Pakotustyyppi

Ominaisuuden nimi	Kuvaus	Vaihtoehtoja
`Enforcement $type`	`options` values [string]	Kuvaus
`allow`	`disable_audit_allow`	Vaikka Salli tapahtuu ja auditAllow on määritetty, järjestelmä ei lähetä tapahtumaa.
`deny`	`disable_audit_deny`	Vaikka Block tapahtuisi ja auditDeny-asetus olisi määritetty, järjestelmä ei näytä ilmoitusta tai lähetä tapahtumaa.
`auditAllow`	`send_event`	Lähetä telemetriatietoja
`auditDeny`	- `send_event` - `show_notification`	- lähettää telemetriatietoja – näyttää käyttäjälle käyttölohkon käyttökokemuksen

Käyttöoikeustyypit

merkinnän $type	Access-arvot [merkkijono]	Yleinen käyttö	Kuvaus
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	lataa kuva tietystä iOS-laitteesta paikalliseen koneeseen
appleDevice	download_files_from_device	generic_read	lataa tiedostot tietystä iOS-laitteesta paikalliseen tietokoneeseen
appleDevice	sync_content_to_device	generic_write	synkronoi sisältöä paikallisesta tietokoneesta tiettyyn iOS-laitteeseen
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	Debug	generic_execute	ADB-työkalun ohjausobjekti
*siirrettävämedia	Lukea	generic_read
siirrettävämedia	Kirjoittaa	generic_write
siirrettävämedia	Suorittaa	generic_execute	generic_read
bluetoothDevice	download_files_from_device
bluetoothDevice	send_files_to_device	generic_write
Yleisiä	generic_read		Vastaa kaikkien tässä taulukossa määritettyjen, generic_read yhdistettyjen käyttöoikeusarvojen määrittämista.
Yleisiä	generic_write		Vastaa kaikkien tässä taulukossa määritettyjen käyttöoikeusarvojen määrittämista, jotka yhdistetään generic_write.
Yleisiä	generic_execute		Vastaa kaikkien tässä taulukossa määritettävien käyttöoikeusarvojen määrittämista generic_execute.

Loppukäyttäjän käyttökokemus

Kun estäminen tapahtuu ja ilmoitus on otettu käyttöön käytännössä, käyttäjä näkee valintaikkunan:

Tila

Käytä mdatp health --details device_control laitteen ohjausobjektin tilan tarkastamiseen:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

active - ominaisuusversio, sinun pitäisi nähdä ["v2"]. (Laiteohjausobjekti on käytössä, mutta sitä ei ole määritetty.)
- [] - Laiteohjausobjektia ei ole määritetty tässä tietokoneessa.
- ["v1"] – Käytössäsi on laiteohjausobjektin esikatseluversio. Siirry versioon 2 tämän oppaan avulla. v1 katsotaan vanhentuneeksi, eikä sitä ole kuvattu tässä dokumentaatiossa.
- ["v1","v2"] – Sekä v1 että v2 ovat käytössä. Offboard alkaen v1.
v1_configured - v1-määritystä käytetään
v1_enforcement_level - kun v1 on käytössä
v2_configured - v2-määritys on käytössä
v2_state - v2-tila, enabled jos täysin toimiva
v2_sensor_connection - jos created_ok, niin Laiteohjausobjekti muodosti yhteyden järjestelmälaajennukseen
v2_full_disk_access - jos näin ei ole approved, Laiteohjausobjekti ei voi estää joitakin tai kaikkia toimintoja

Raportointi

Näet käytäntötapahtuman lisämetsästyksessä ja Laitehallinta-raportissa. Lisätietoja on artikkelissa Organisaation tietojen suojaaminen laiteohjainta käyttämällä.

Skenaarioita

Seuraavassa on joitakin yleisiä skenaarioita, joiden avulla voit tutustua Microsoft Defender for Endpoint ja Microsoft Defender for Endpoint Device Controliin.

Skenaario 1: Estä kaikki siirrettävät tietovälineet, mutta salli tietyt usb-objektit

Tässä skenaariossa sinun on luotava kaksi ryhmää: yksi ryhmä kaikille siirrettäville tietovälineille ja toinen hyväksytyille USBs-ryhmille. Sinun on myös luotava käyttöoikeuskäytäntösääntö.

Vaihe 1: Asetukset: ota laitteen hallinta käyttöön ja määritä Oletusvalvonta

    "settings": { 

        "features": { 

            "removableMedia": { 

                "disable": false 

            } 

        }, 

        "global": { 

            "defaultEnforcement": "allow" 

        }, 

        "ux": { 

            "navigationTarget": "http://www.deskhelp.com" 

        } 

    }

Vaihe 2: Ryhmät: Luo mikä tahansa siirrettävä mediaryhmä ja hyväksytyt USBs-ryhmät

-1. Luo ryhmä, joka kattaa kaikki siirrettävät medialaitteet -1. Luo ryhmä hyväksytyille usb-joukoille -1. Yhdistä nämä ryhmät yhdeksi ryhmäksi

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

Vaihe 3: Säännöt: Estämiskäytännön luominen ei-sallituille USB:ille

Luo käyttöoikeuskäytäntösääntö ja lisää se sääntöihin:

   "rules": [ 

        { 

            "id": "772cef80-229f-48b4-bd17-a69130092981", 

            "name": "Deny RWX to all Removable Media Devices except Kingston", 

            "includeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

            ], 

            "excludeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

            ], 

            "entries": [ 

                { 

                    "$type": "removableMedia", 

                    "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                    "enforcement": { 

                        "$type": "deny" 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                }, 

                { 

                    "$type": "removableMedia", 

                    "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                    "enforcement": { 

                        "$type": "auditDeny", 

                        "options": [ 

                            "send_event", 

                            "show_notification" 

                        ] 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                } 

            ] 

        } 

    ]

Tässä tapauksessa sinulla on vain yksi käyttöoikeussääntökäytäntö, mutta jos sinulla on useita, muista lisätä kaikki sääntöihin.

Tunnetut ongelmat

Varoitus

MacOS Sonoma 14.3.1:ssä Apple teki muutoksen Bluetooth-laitteiden käsittelyyn , joka vaikuttaa Defender for Endpoint -laitteen ohjauskykyyn siepata ja estää Bluetooth-laitteiden käyttö. Tällä hetkellä suositeltu lievennys on käyttää macOS-versiota, joka on pienempi kuin 14.3.1.