MacOS Big Surin uudet määritysprofiilit ja macOS:n uudemmat versiot

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Jos olet ottanut Microsoft Defender for Endpoint käyttöön macOS:ssä hallitussa ympäristössä (JAMF:n, Intune tai muun MDM-ratkaisun kautta), sinun on otettava käyttöön uudet määritysprofiilit. Jos näitä vaiheita ei tehdä, käyttäjät saavat hyväksyntäkehotteita näiden uusien osien suorittamiseksi.

JAMF

JAMF-järjestelmälaajennusten käytäntö

Jos haluat hyväksyä järjestelmälaajennukset, luo seuraavat tiedot:

1. Valitse Tietokoneet > Kokoonpanoprofiilit -kohdassa Asetukset > Järjestelmälaajennukset.

2. Valitse sallitut järjestelmälaajennukset avattavasta Järjestelmälaajennustyypit-luettelosta .

3. Käytä UBF8T346G9 ryhmän tunnuksille.

4. Lisää seuraavat nipun tunnisteet sallittujen järjestelmälaajennusten luetteloon:

   • com.microsoft.wdav.epsext
   • com.microsoft.wdav.netext

   

Tietosuoja-asetusten käytännön hallinta

Lisää seuraava JAMF-hyötykuorma ja myönnä koko levylle käyttöoikeus Microsoft Defender for Endpoint päätepisteen suojauslaajennukseen. Tämä käytäntö on edellytys laajennuksen suorittamiselle laitteessasi.

1. Valitse Asetukset>Tietosuojaasetukset Käytännön hallinta.

2. Käytä com.microsoft.wdav.epsexttunnuksena ja Bundle IDpakettityyppinä.

3. Määritä koodivaatimuksen arvoksi identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

4. Määritä sovellukseksi tai palveluksiSystemPolicyAllFiles ja käytä sallittavaa.

   

Verkkolaajennuskäytäntö

MacOS:n Microsoft Defender for Endpoint tarkistaa päätepisteen tunnistuksen ja vastauksen osana vastakeliikenteen ja raportoi nämä tiedot Microsoft Defender-portaaliin. Seuraava käytäntö sallii verkkolaajennuksen suorittaa tämän toiminnon.

Huomautus

JAMF:llä ei ole sisäistä tukea sisällön suodatuskäytännöille, jotka ovat edellytys laitteen macOS-asennuksille Microsoft Defender for Endpoint verkkolaajennusten käyttöönotolle. Lisäksi JAMF muuttaa toisinaan käyttöönotettävien käytäntöjen sisältöä. Näin ollen seuraavat vaiheet tarjoavat keinon, johon kuuluu määritysprofiilin allekirjoittaminen.

1. Tallenna seuraava sisältö laitteeseesi com.microsoft.network-extension.mobileconfig tekstieditorin avulla:

   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft Corporation</string>
           <key>PayloadIdentifier</key>
           <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender Network Extension</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                   <key>PayloadType</key>
                   <string>com.apple.webcontent-filter</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft Corporation</string>
                   <key>PayloadIdentifier</key>
                   <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                   <key>PayloadDisplayName</key>
                   <string>Approved Network Extension</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>FilterType</key>
                   <string>Plugin</string>
                   <key>UserDefinedName</key>
                   <string>Microsoft Defender Network Extension</string>
                   <key>PluginBundleID</key>
                   <string>com.microsoft.wdav</string>
                   <key>FilterSockets</key>
                   <true/>
                   <key>FilterDataProviderBundleIdentifier</key>
                   <string>com.microsoft.wdav.netext</string>
                   <key>FilterDataProviderDesignatedRequirement</key>
                   <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Varmista, että yllä oleva tiedosto kopioitiin oikein suorittamalla plutil apuohjelma Päätteessä:

   $ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
   

   Jos tiedosto on esimerkiksi tallennettu tiedostoihin:

   $ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
   

   Varmista, että komennot tuottavat tuloksen OK.

   <PathToFile>/com.microsoft.network-extension.mobileconfig: OK
   

3. Luo allekirjoitusvarmenne JAMF:n sisäisellä varmenteiden myöntäjällä noudattamalla tämän sivun ohjeita.

4. Kun varmenne on luotu ja asennettu laitteeseesi, allekirjoita tiedosto suorittamalla seuraava komento Päätteestä:

   $ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
   

   Jos varmenteen nimi on esimerkiksi SigningCertificate ja allekirjoitettu tiedosto tallennetaan asiakirjoihin:

   $ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
   

5. Siirry JAMF-portaalissa määritysprofiileihin ja napsauta Lataa-painiketta . Valitse com.microsoft.network-extension.signed.mobileconfig , kun tiedostoa pyydetään.

Intune

Intune järjestelmälaajennusten käytäntö

Voit hyväksyä järjestelmälaajennukset seuraavasti:

1. Avaa IntuneLaitteen määritystenhallinta>. ValitseProfiilien>hallinta>Create Profiili.

2. Valitse profiilin nimi. Muuta Platform=macOSprofiilityypiksi=Laajennukset. Valitse Luo.

3. Basics Anna välilehdessä nimi tälle uudelle profiilille.

4. Configuration settings Lisää -välilehdessä seuraavat merkinnät Allowed system extensions -osaan:

   
   

---

Paketin tunnus	Ryhmän tunnus
com.microsoft.wdav.epsext	UBF8T346G9
com.microsoft.wdav.netext	UBF8T346G9

5. Assignments Määritä -välilehdessä tämä profiili kaikille käyttäjille & kaikki laitteet.
6. Tarkastele ja luo tämä määritysprofiili.

mukautetun määritysprofiilin Create ja käyttöönotto

Seuraava määritysprofiili mahdollistaa verkkolaajennuksen ja myöntää koko levyn käyttöoikeuden päätepisteen suojausjärjestelmän laajennukseen.

Tallenna seuraava sisältö tiedostoon, jonka nimi on sysext.xml:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender System Extensions</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier &quot;com.microsoft.wdav.netext&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
            <dict>
                <key>PayloadUUID</key>
                <string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
                <key>PayloadType</key>
                <string>com.apple.TCC.configuration-profile-policy</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
                <key>PayloadDisplayName</key>
                <string>Privacy Preferences Policy Control</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>Services</key>
                <dict>
                    <key>SystemPolicyAllFiles</key>
                    <array>
                        <dict>
                            <key>Identifier</key>
                            <string>com.microsoft.wdav.epsext</string>
                            <key>CodeRequirement</key>
                            <string>identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
                            <key>IdentifierType</key>
                            <string>bundleID</string>
                            <key>StaticCode</key>
                            <integer>0</integer>
                            <key>Allowed</key>
                            <integer>1</integer>
                        </dict>
                    </array>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Varmista, että yllä oleva tiedosto on kopioitu oikein. Suorita terminalissa seuraava komento ja varmista, että se tulostaa OK:

$ plutil -lint sysext.xml
sysext.xml: OK

Voit ottaa käyttöön tämän mukautetun määritysprofiilin seuraavasti:

1. Avaa IntuneLaitteen määritystenhallinta>. ValitseProfiilien>hallinta>Create profiili.

2. Valitse profiilin nimi. Muuta käyttöympäristö=macOS ja profiilityyppi =Mukautettu. Valitse Määritä.

3. Avaa määritysprofiili ja lataa sysext.xml. Tämä tiedosto on luotu edellisessä vaiheessa.

4. Valitse OK.

   

5. Assignments Määritä -välilehdessä tämä profiili kaikille käyttäjille & kaikki laitteet.

6. Tarkastele ja luo tämä määritysprofiili.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.