פתרון בעיות בהרחבות המערכת ב- Microsoft Defender עבור נקודת קצה macOS

חל על:

• Microsoft Defender עבור נקודת קצה ב- macOS
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

באפשרותך לשלוח משוב על-ידי Microsoft Defender עבור נקודת קצה ב- Mac במכשיר שלך ועל-ידי ניווט כדי לעזור > לשלוח משוב.

אפשרות נוספת היא לשלוח משוב דרך Microsoft Defender XDR על-ידי security.microsoft.com ובחירה בכרטיסיה תן משוב.

מאמר זה מספק מידע על האופן שבו ניתן לפתור בעיות בהרחבת המערכת המותקנת כחלק Microsoft Defender עבור נקודת קצה macOS.

החל מ- macOS BigSur (11), macOS של Apple דורש שכל הרחבות המערכת יאושרו באופן מפורש לפני שהם מורשים לפעול במכשיר.

מאפיין הבעיה

תבחין שסימן Microsoft Defender עבור נקודת קצה x מופיע ב'מגן', כפי שמוצג בצילום המסך הבא:

אם תלחץ על המגן עם הסימן x , תקבל אפשרויות כמוצג בצילום המסך הבא:

לחץ על נדרשת פעולה.

המסך כפי שמוצג בצילום המסך הבא מופיע:

באפשרותך גם להפעיל את תקינות mdatp: הוא מדווח אם הגנה בזמן אמת זמינה אך אינה זמינה. דוח זה מציין שהרחבת המערכת אינה מאושרת לפעול במכשיר שלך.

mdatp health

הפלט בהפעלת תקינות mdatp הוא:

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

דוח הפלט המוצג בהפעלת תקינות mdatp מוצג בצילום המסך הבא:

סיבה

macOS דורש שמשתמש יאשר באופן ידני ובמפורש פונקציות מסוימות שבהם אפליקציה משתמשת, לדוגמה, בהרחבות מערכת, פועלות ברקע, שולחות הודעות, גישה מלאה לדיסק וכן הלאה. Microsoft Defender עבור נקודת קצה מסתמך על יישומים אלה ולא ניתן לפעול כראוי עד שכל ההסכמים האלה יתקבלו ממשתמש.

אם לא אישרת את הרחבת המערכת במהלך הפריסה/ההתקנה של Microsoft Defender עבור נקודת קצה ב- macOS, בצע את השלבים הבאים:

1. בדוק את הרחבות המערכת על-ידי הפעלת הפקודה הבאה במסוף:

   systemextensionsctl list
   

   

תבחין כי שתי Microsoft Defender עבור נקודת קצה בהרחבות macOS נמצאות במצב [מופעל ממתין למשתמש].

2. במסוף, הפעל את הפקודה הבאה:

   mdatp health --details system_extensions
   

תקבל את הפלט הבא:

network_extension_enabled                 : false
network_extension_installed                 : true
endpoint_security_extension_ready           : false
endpoint_security_extension_installed        : true

פלט זה מוצג בצילום המסך הבא:

ייתכן שהקבצים הבאים חסרים אם אתה מנהל אותו באמצעות Intune, JamF או פתרון MDM אחר:

תצורת מכשירים ניידים (Plist)	פלט פקודה של מסוף "mdatp health"	הגדרת macOS הדרושה MDE ב- macOS כדי לתפקד כראוי
"/Library/Managed Preferences/com.apple.system-extension-policy.plist"	real_time_protection_subsystem	סיומת מערכת
"/Library/Managed Preferences/com.apple.webcontent-filter.plist"	network_events_subsystem	הרחבת מסנן רשת
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled	בקרות מדיניות של העדפת פרטיות (PPPC, aka TCC (שקיפות, & ההסכמה), גישה לדיסק מלא (FDA))
"/Library/Managed Preferences/com.apple.notificationsettings.plist"	לא רלוונטי	הודעות למשתמשי קצה
"/Library/Managed Preferences/servicemanagement.plist"	לא רלוונטי	שירותי רקע
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled (עבור DLP)	נגישות

כדי לפתור את הבעיה של קבצים חסרים כדי לגרום Microsoft Defender עבור נקודת קצה ב- macOS לפעול כראוי, ראה Microsoft Defender עבור נקודת קצה ב- Mac.

פתרון

סעיף זה מתאר את הפתרון של אישור הפונקציות כגון הרחבת מערכת, שירותי רקע, הודעות, גישה מלאה לדיסק וכן הלאה באמצעות כלי הניהול, Intune, JamF, Other MDM, וכן שימוש בפעולת הפריסה הידני. כדי לבצע פונקציות אלה באמצעות כלי ניהול אלה, ראה:

• Intune
• ריבה (ריבה)
• MDM אחר
• פריסה ידנית

דרישות מוקדמות

לפני אישור הרחבת המערכת (באמצעות כל אחד מכלי הניהול שצוינו), ודא שהדרישות המוקדמות הבאות ימושמו:

שלב 1: האם הפרופילים מגיעים ל- macOS?

אם אתה משתמש ב- Intune, ראה ניהול מדיניות עדכוני תוכנה של macOS ב- Intune.

1. לחץ על שלוש הנקודות (שלוש נקודות).

2. בחר רענן מכשירים. המסך כפי שמוצג בצילום המסך הבא מופיע:

   

3. ב- Launchpad, הקלד System Preferences (העדפות מערכת).

4. לחץ פעמיים על פרופילים.

   הערה

   אם אינך מצורף ל- MDM, לא תראה פרופילים כאפשרות. פנה לצוות התמיכה של MDM כדי לראות מדוע האפשרות פרופילים אינה גלויה. אתה אמור להיות מסוגל לראות את הפרופילים השונים, כגון הרחבות מערכת, נגישות, שירותירקע, הודעות,Microsoft AutoUpdate וכן הלאה, כפי שמוצג בצילום המסך הקודם.

אם אתה משתמש ב- JamF, השתמש במדיניות sudo jamf. לקבלת מידע נוסף, ראה ניהול מדיניות.

שלב 2: ודא שהפרופילים הדרושים Microsoft Defender עבור נקודת קצה זמינים

הסעיף מקטעים המספקים הדרכה להפיכת פרופילים הדרושים עבור Microsoft Defender עבור נקודת קצה מספק הדרכה כיצד לטפל בבעיה זו, בהתאם לשיטה שבה השתמשת לפריסת פרופילים Microsoft Defender עבור נקודת קצה ב- macOS.

הערה

מוסכמה נכונה למתן שמות עבור פרופילי התצורה שלך היא יתרון אמיתי. אנו ממליצים על סכימת מתן השמות הבאה:Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type לדוגמה FullDiskAccess (piloting) - macOS - Default - MDE

השימוש במוסכמה המומלצת למתן שמות מאפשר לך לאשר שהפרופילים הנכונים נפתחים בזמן הבדיקתם.

עצה

כדי להבטיח שהפרופילים הנכונים יתווספו, במקום להקליד .mobileconfig (plist),תוכל להוריד פרופיל זה מ- Github, כדי להימנע ממקפים מקוצרים מקוצרים של הקלדה.

במסוף, הזן את התחביר הבא:

curl -O https://URL

לדוגמה,

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig

מקטעים המספקים הדרכה להפיכת פרופילים הדרושים להפעלת Microsoft Defender עבור נקודת קצה

1. • פונקציה: אישור הרחבות מערכת
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: עליך לאשר את ההרחבה על-ידי > מעבר אל העדפות אבטחה או העדפות מערכת אבטחה & מכן בחירה באפשרות אפשר.
2. • פונקציה: מסנן רשת
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: עליך לאשר את ההרחבה על-ידי > מעבר אל העדפות אבטחה או העדפות מערכת אבטחה & מכן בחירה באפשרות אפשר.
3. • פונקציה: בקרות מדיניות העדפת פרטיות (PPPC, aka TCC (שקיפות, הסכמה &), גישה לדיסק מלא (FDA))
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: עליך לאשר > את ההרחבה על-ידי מעבר אל העדפות אבטחה או העדפות מערכת אבטחה & פרטיות >> פרטיות גישה מלאה לדיסק מלא ולאחר מכן בחירה באפשרות אפשר וסמן את התיבה לצד האפשרויות הבאות:
       • Microsoft Defender
       • Microsoft Defender הרחבת אבטחה
4. • פונקציה: פועל ברקע
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: לא ישים
5. • פונקציה: שליחת הודעות
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: לא ישים
6. • פונקציה: נגישות
   • תצורת מכשירים ניידים (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
   • חל על:
     • Intune: כן
     • JamF: כן
     • MDM אחר: כן
     • ידני: לא ישים

שלב 3: בדוק את הפרופילים המותקנים באמצעות כלי 'פרופיל' המוכלל ב- macOS. היא משווה את הפרופילים שלך למה שפרסמנו ב- GitHub, דיווח על פרופילים או פרופילים לא עקביים חסרים לחלוטין

1. הורד את קובץ ה- Script מ- https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.
2. לחץ על Raw. כתובת ה- URL החדשה תהיה https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.
3. שמור אותה analyze_profiles.py בהורדותעל-ידי הפעלת הפקודה הבאה במסוף:

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py

4. הפעל את קובץ ה- Script של python3 מנתח הפרופילים ללא פרמטרים על-ידי ביצוע הפקודה הבאה במסוף:

   cd /Downloads  
   sudo python3 analyze_profiles.py

הערה

נדרשות הרשאות Sudo כדי לבצע פקודה זו.

או

5. הפעל את קובץ ה- Script ישירות מהאינטרנט על-ידי ביצוע הפקודה הבאה:

   sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py        
| python3 -

הערה

נדרשות הרשאות Sudo כדי לבצע פקודה זו.

הפלט יציג את כל הבעיות הפוטנציאליות בפרופילים.

תוכן מומלץ

• פריסת Microsoft Defender עבור נקודת קצה ב- macOS עם Jamf Pro: למד כיצד לפרוס Microsoft Defender עבור נקודת קצה ב- macOS באמצעות Jamf Pro.
• הגדר את Microsoft Defender עבור נקודת קצה macOS ב- Jamf Pro: למד כיצד להגדיר את Microsoft Defender עבור נקודת קצה macOS ב- Jamf Pro.
• הגדרת קבוצות מכשירים ב- Jamf Pro: למד כיצד להגדיר קבוצות מכשירים ב- Jamf Pro for Microsoft Defender עבור נקודת קצה ב- macOS.
• היכנס ל- Jamf Pro