Eszközvezérlés macOS-hez

Követelmények

Az eszközvezérlés macOS rendszeren a végponthoz készült Defender rendszerkövetelmények szakaszában felsorolt verziókban érhető el a macOS-en.

Áttekintés

A végponthoz készült Defender eszközvezérlése macOS rendszeren a következőket teszi lehetővé:

• Cserélhető tárolók olvasási, írási vagy végrehajtási hozzáférésének naplózása, engedélyezése vagy megakadályozása; És
• Az iOS- és portable-eszközök, valamint az Apple APFS által titkosított eszközök és Bluetooth-adathordozók kezelése kizárásokkal vagy azok nélkül.

A végpontok előkészítése

• Teljes lemezes hozzáférés üzembe helyezése: előfordulhat, hogy más MDE funkciókhoz is létrehozta és telepítette.https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig Teljes lemezes hozzáférési engedélyt kell adnia egy új alkalmazáshoz: com.microsoft.dlp.daemon.

• Engedélyezze az Eszközvezérlést a Végponthoz készült Defender beállításaiban:

  • Adatveszteség-megelőzés (DLP)/Funkciók

  • A Szolgáltatásnév mezőbe írja be a következőt: DC_in_dlp

  • A State (Állam) mezőben adja meg a enabled

1. példa: JAMF schema.json használatával.

2. példa: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
    <dict> 
      <key>name</key>
      <string>DC_in_dlp</string>
      <key>state</key>
      <string>enabled</string>
    </dict>
  </array>
</dict>

• Minimális termékverzió: 101.91.92 vagy újabb

• Futtassa az parancsot mdatp version a Terminálon az ügyfélszámítógép termékverziójának megtekintéséhez:

  

A szabályzatok ismertetése

A szabályzatok határozzák meg a macOS-eszközök vezérlésének viselkedését. A szabályzat Intune vagy JAMF-en keresztül van megcélzva gépek vagy felhasználók egy gyűjteményére.

A macOS-házirend eszközvezérlése beállításokat, csoportokat és szabályokat tartalmaz:

• A "beállítások" nevű globális beállítás lehetővé teszi a globális környezet meghatározását.
• A nevű groups csoporttal médiacsoportokat hozhat létre. Például engedélyezett USB-csoport vagy titkosított USB-csoport.
• A "szabályok" nevű hozzáférési szabályzatszabály lehetővé teszi, hogy szabályzatot hozzon létre az egyes csoportok korlátozásához. Például csak engedéllyel rendelkező felhasználó írhat hozzáféréssel rendelkező USB-csoportot.

Megjegyzés:

Javasoljuk, hogy a GitHubon található példák segítségével ismerje meg a tulajdonságokat: mdatp-devicecontrol/Cserélhető tároló Access Control Samples/macOS/policy a fő helyen – microsoft/mdatp-devicecontrol (github.com).

A parancsprogramokat az mdatp-devicecontrol/tree/main/python#readme címen is használhatja a main – microsoft/mdatp-devicecontrol (github.com) címen a Windows-eszközvezérlési szabályzat macOS-eszközvezérlési szabályzatra való fordításához, vagy a macOS Device Control V1 szabályzat lefordításához erre a V2-szabályzatra.

Megjegyzés:

Vannak olyan ismert problémák a macOS-eszközök vezérlésével kapcsolatban, amelyeket az ügyfeleknek érdemes megfontolni a szabályzatok létrehozásakor.

Gyakorlati tanácsok

A macOS eszközvezérlése a Windows eszközvezérléséhez hasonló képességekkel rendelkezik, de a macOS és a Windows különböző mögöttes képességeket biztosít az eszközök kezeléséhez, ezért van néhány fontos különbség:

• A macOS nem rendelkezik központosított Eszközkezelő vagy az eszközök nézetével. Az eszközökkel kommunikáló alkalmazások hozzáférése meg van adva/megtagadva. Ezért macOS rendszeren a hozzáférés-típusok gazdagabb készlete érhető el. Egy szabályzat például portableDevice megtagadhatja vagy engedélyezheti a következőt download_photos_from_device: .

• A Windows-zal való konzisztensség érdekében vannak generic_read, generic_writeés generic_execute hozzáférési típusok. Az általános hozzáférési típusokkal rendelkező szabályzatokat nem kell módosítani, ha a jövőben konkrétabb hozzáférési típusokat adnak hozzá. Az ajánlott eljárás az általános hozzáférési típusok használata, kivéve, ha egy konkrétabb művelet megtagadására/engedélyezésére van szükség.

• deny Ha általános hozzáférési típusok használatával hoz létre szabályzatot, a legjobb módszer az adott eszköz (például Android-telefonok) összes műveletének teljes letiltására, de továbbra is előfordulhatnak hiányosságok, ha a műveletet olyan alkalmazással hajtják végre, amelyet a macOS-eszközvezérlés nem támogat.

Beállítások

Az alábbi tulajdonságokat használhatja a macOS-eszközök eszközvezérlési szabályzatának csoportjainak, szabályainak és beállításainak létrehozásakor.

Tulajdonság neve	Leírás	Lehetőségek
Funkciók	Funkcióspecifikus konfigurációk	A következő funkciók esetében false (hamis) vagy true (igaz) értékre állítható disable be: - removableMedia - appleDevice - portableDevice, beleértve a kamerát vagy a PTP-adathordozót - bluetoothDevice Az alapértelmezett érték a true, tehát ha nem konfigurálja ezt az értéket, az nem lesz alkalmazva, még akkor sem, ha egyéni szabályzatot hoz létre a számára removableMedia, mert az alapértelmezés szerint le van tiltva.
Globális	Alapértelmezett kényszerítés beállítása	A következőt állíthatja be defaultEnforcement : - allow (alapértelmezett) - deny
Ux	Az értesítésben beállíthat egy hivatkozást.	navigationTarget: string. Példa: "http://www.microsoft.com"

Csoport

Tulajdonság neve	Leírás	Lehetőségek
$type	A csoport típusa	"eszköz"
id	A GUID egy egyedi azonosító, amely a csoportot jelöli, és a szabályzatban használatos.	Az azonosítót a New-Guid (Microsoft.PowerShell.Utility) – PowerShell vagy az uuidgen paranccsal hozhatja létre macOS rendszeren
name	A csoport rövid neve.	sztring
query	A csoporthoz tartozó médialefedettség	Részletekért tekintse meg a lekérdezéstulajdonság-táblákat.

Lekérdezés

Az Eszközvezérlés kétféle lekérdezést támogat:

Az 1. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Lehetőségek
$type	A záradékokon végrehajtandó logikai művelet azonosítása	all: A záradékok alá tartozó attribútumokés kapcsolatnak számítanak. Ha például a rendszergazda minden csatlakoztatott USB esetében a és serialNumbera értéket adja vendorId meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek. és: egyenértékű az összes bármely: A záradékok alá tartozó attribútumok a Következők: Vagy kapcsolat. Ha például a rendszergazda minden csatlakoztatott USB esetében a és serialNumbera értéket állítja vendorId be, a rendszer mindaddig végrehajtja a kényszerítési műveletet, amíg az USB-nek azonos vendorId vagy serialNumber értékűnek kell lennie. vagy: egyenértékű bármely
clauses	Csoportfeltétel beállítása médiaeszköz-tulajdonság használatával.	A csoporttagság meghatározására kiértékelt záradékobjektumok tömbje. Lásd a Záradék szakaszt.

A 2. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Lehetőségek
$type	A rész lekérdezésen végrehajtandó logikai művelet azonosítása	not: lekérdezés logikai tagadása
query	Egy albekérdezés	Egy nem konkretált lekérdezés.

A lekérdezéseket beágyazhatja. További példákért lásd a mintaszabályzatokat.

Záradék

Záradék tulajdonságai

Tulajdonság neve	Leírás	Lehetőségek
$type	A záradék típusa	A támogatott záradékokért tekintse meg az alábbi táblázatot.
value	$type használandó érték

Támogatott záradékok

záradék $type	Érték	Leírás
primaryId	Az alábbiak egyike: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	Négyjegyű hexadecimális sztring	Megfelel egy eszköz szállítóazonosítójának
productId	Négyjegyű hexadecimális sztring	Megfelel egy eszköz termékazonosítójának
serialNumber	sztring	Egy eszköz sorozatszámának felel meg. Nem egyezik, ha az eszköz nem rendelkezik sorozatszámmal.
mediaSerialNumber	egész szám	Biztonságos digitális kártya sorozatszáma (a 101.26021-es verziótól kezdve)
mediaProductName	sztring	Biztonságos digitális kártya termékneve (a 101.26021-verziótól kezdve)
mediaApplicationId	sztring	Biztonságos digitális kártya alkalmazásazonosítója (a 101.26021-verziótól kezdve)
encryption	apfs	Egyezés, ha egy eszköz apfs-titkosított.
groupId	UUID sztring	Egyezés, ha egy eszköz egy másik csoport tagja. Az érték annak a csoportnak az UUID-ját jelöli, amely alapján egyezni szeretne. A csoportot a záradék előtt kell definiálni a szabályzatban.

serialNumber a géphez csatlakoztatott eszközökre vonatkozik. mediaSerialNumber és más media* záradékok vonatkoznak az eszközökhöz csatlakoztatott adathordozókra (például a Beépített kártyaolvasóban található Biztonságos digitális kártyák). media* A záradékok a 101.2601.* vagy újabb verzióban érhetők el, és a korábbi verziókban nem érhetők el.

Hozzáférési szabályzatszabály

Tulajdonság neve	Leírás	Lehetőségek
id	A GUID, egy egyedi azonosító, a szabályt jelöli, és a szabályzatban használatos.	New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen
name	Sztring, a szabályzat neve. A bejelentési értesítésben a szabályzatbeállítás alapján jelenik meg.
includeGroups	Azok a csoportok, amelyekre a szabályzat vonatkozik. Ha több csoport van megadva, a szabályzat az összes csoport összes adathordozójára érvényes. Ha nincs megadva, a szabály minden eszközre érvényes.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel a includeGroupsfájlban, akkor az ÉS. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Azok a csoportok, amelyekre a szabályzat nem vonatkozik.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel az excludeGroupsban, az VAGY.
entries	Egy szabály több bejegyzést is tartalmazhat; minden egyedi GUID azonosítóval rendelkező bejegyzés egy korlátozást jelez az Eszközvezérlés számára.	A részletekért tekintse meg a cikk későbbi, bejegyzéstulajdonságokat tartalmazó táblázatát.

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Tulajdonság neve	Leírás	Lehetőségek
$type		Tartalma: - removableMedia - appleDevice - PortableDevice - bluetoothDevice - generic
Végrehajtási		- $type: - allow - deny - auditAllow - auditDeny Ha $type engedélyezés van kiválasztva, a beállítás értéke a következőket támogatja: - disable_audit_allow Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt. Ha $type megtagadás van kiválasztva, a beállítás értéke a következőket támogatja: disable_audit_deny Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt. Ha $type auditAllow érték van kiválasztva, a beállítás értéke a következőket támogatja: send_event Ha $type auditDeny érték van kiválasztva, a beállítás értéke a következőket támogatja: send_event show_notification
access		Adjon meg egy vagy több hozzáférési jogosultságot ehhez a szabályhoz. Ezek lehetnek eszközspecifikus részletes engedélyek vagy szélesebb körű általános engedélyek. Az alábbi táblázatban további részleteket talál az adott bejegyzés $type érvényes hozzáférési típusairól.
id	UUID

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Végrehajtási

Kényszerítési tulajdonság neve

Tulajdonság neve	Leírás	Lehetőségek
$type	A kényszerítés típusa	A támogatott kényszerítésekért tekintse meg az alábbi táblázatot
options	$type használandó érték	A bejegyzés beállításainak tömbje. Előfordulhat, hogy a rendszer nem adja meg a beállításokat, ha nem szeretné.

Kényszerítési típus

Tulajdonság neve	Leírás	Lehetőségek
Enforcement $type	options values [string]	Leírás
allow	disable_audit_allow	Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt.
deny	disable_audit_deny	Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt.
auditAllow	send_event	Telemetria küldése
auditDeny	- send_event - show_notification	– Telemetria küldése – Felhasználói felület letiltása a felhasználó számára

Hozzáférési típusok

bejegyzés $type	"access" értékek [sztring]	Általános hozzáférés	Leírás
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	fénykép letöltése az adott iOS-eszközről a helyi gépre
appleDevice	download_files_from_device	generic_read	fájlok letöltése az adott iOS-eszközről a helyi gépre
appleDevice	sync_content_to_device	generic_write	tartalom szinkronizálása helyi gépről adott iOS-eszközre
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	Debug	generic_execute	ADB-eszközvezérlő
* removableMedia	Olvasni	generic_read
removableMedia	Írni	generic_write
removableMedia	Végre	generic_execute	generic_read
bluetoothDevice	download_files_from_device
bluetoothDevice	send_files_to_device	generic_write
Általános	generic_read		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_read feleltet meg.
Általános	generic_write		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_write felel meg.
Általános	generic_execute		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_execute feleltet meg.

Végfelhasználói élmény

Ha a megtagadás megtörténik, és az értesítés engedélyezve van a szabályzatban, a végfelhasználó megjelenik egy párbeszédpanelen:

Állapot

Az eszközvezérlés állapotának vizsgálatához használja a következőt mdatp health --details device_control :

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

• active - funkcióverzió, a következőnek kell megjelennie: ["v2"]. (Az eszközvezérlés engedélyezve van, de nincs konfigurálva.)
  • [] – Az eszközvezérlés nincs konfigurálva ezen a gépen.
  • ["v1"] – Az Eszközvezérlés előzetes verzióját használja. Migrálás a 2. verzióra ezzel az útmutatóval. A v1 elavultnak minősül, és nem szerepel ebben a dokumentációban.
  • ["v1," "v2"] – A v1 és a v2 is engedélyezve van. Kivezetés az 1-ből.
• v1_configured – v1-konfiguráció van alkalmazva
• v1_enforcement_level - ha a v1 engedélyezve van
• v2_configured – v2-konfiguráció van alkalmazva
• v2_state - v2 állapot, enabled ha teljes mértékben működik
• v2_sensor_connection - ha created_ok, akkor az Eszközvezérlés kapcsolatot létesített a rendszerbővítménysel
• v2_full_disk_access - ha nem approved, akkor az Eszközvezérlés nem tudja megakadályozni néhány vagy az összes műveletet

Jelentés

A szabályzateseményt a Speciális veszélyforrás-keresés és az Eszközvezérlés jelentésben tekintheti meg. További információ: A szervezet adatainak védelme az eszközvezérléssel.

Forgatókönyvek

Íme néhány gyakori forgatókönyv, amelyek segítenek az eszközvezérlés Végponthoz készült Microsoft Defender és Végponthoz készült Microsoft Defender megismerésében.

1. forgatókönyv: A cserélhető adathordozók megtagadása, de adott USB-k engedélyezése

Ebben a forgatókönyvben két csoportot kell létrehoznia: egy csoportot minden cserélhető adathordozóhoz, egy másikat pedig a jóváhagyott USB-csoporthoz. Hozzáférésiszabályzatot is létre kell hoznia.

1. lépés: Beállítások: eszközvezérlés engedélyezése és alapértelmezett kényszerítés beállítása

"settings": { 

    "features": { 

        "removableMedia": { 

            "disable": false 

        } 

    }, 

    "global": { 

        "defaultEnforcement": "allow" 

    }, 

    "ux": { 

        "navigationTarget": "http://www.deskhelp.com" 

    } 

} 

2. lépés: Csoportok: Minden cserélhető adathordozó-csoport és jóváhagyott USB-csoport létrehozása

1. Hozzon létre egy csoportot, amely lefedi a cserélhető adathordozókat.
2. Hozzon létre egy csoportot a jóváhagyott USB-k számára.
3. Egyesítse ezeket a csoportokat egybe groups.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ] 

3. lépés: Szabályok: Megtagadási szabályzat létrehozása nem engedélyezett USB-khez

Hozzon létre hozzáférésiszabály-szabályt, és helyezze el a következőbe rules:

"rules": [ 

    { 

        "id": "772cef80-229f-48b4-bd17-a69130092981", 

        "name": "Deny RWX to all Removable Media Devices except Kingston", 

        "includeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

        ], 

        "excludeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

        ], 

        "entries": [ 

            { 

                "$type": "removableMedia", 

                "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                "enforcement": { 

                    "$type": "deny" 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            }, 

            { 

                "$type": "removableMedia", 

                "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                "enforcement": { 

                    "$type": "auditDeny", 

                    "options": [ 

                        "send_event", 

                        "show_notification" 

                    ] 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            } 

        ] 

    } 

] 

Ebben az esetben csak egy hozzáférésiszabály-szabályzattal rendelkezik, de ha több van, mindenképpen adja hozzá az összeset a elemhez rules.

Ismert problémák

Figyelmeztetés

A macOS-en futó Eszközvezérlés csak a PTP módban csatlakoztatott Android-eszközöket korlátozza. Az eszközvezérlés nem korlátozza az egyéb módokat, például a fájlátvitelt, az USB-csatlakoztatást és a MIDI-t.

A macOS-en futó Eszközvezérlés nem akadályozza meg az XCode-on fejlesztett szoftverek külső eszközre való átvitelét.

Lásd még

• Eszközvezérlés üzembe helyezése a Intune használatával
• Eszközvezérlés üzembe helyezése a JAMF használatával
• Eszközvezérlés manuális üzembe helyezése
• macOS-eszközvezérlés – gyakori kérdések (GYIK)