Risolvere i problemi di estensione del sistema in Microsoft Defender per endpoint in macOS

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

È possibile inviare commenti e suggerimenti aprendo Microsoft Defender per endpoint su Mac nel dispositivo e passando a Guida > per inviare commenti e suggerimenti.

Un'altra opzione consiste nell'inviare commenti e suggerimenti tramite il Microsoft Defender XDR avviando security.microsoft.com e selezionando la scheda Invia commenti e suggerimenti.

Questo articolo fornisce informazioni su come risolvere i problemi relativi all'estensione di sistema installata come parte di Microsoft Defender per endpoint in macOS.

A partire da macOS BigSur (11), macOS di Apple richiede che tutte le estensioni di sistema siano approvate in modo esplicito prima di poter essere eseguite nel dispositivo.

Sintomo

Si noterà che il Microsoft Defender per endpoint ha un simbolo x nello scudo, come illustrato nello screenshot seguente:

Schermata Microsoft Defender per endpoint che visualizza il simbolo x nel menu.

Se si fa clic sullo scudo con il simbolo x , si otterranno le opzioni come illustrato nello screenshot seguente:

Opzioni disponibili per fare clic sul simbolo x.

Fare clic su Azione necessaria.

Viene visualizzata la schermata come illustrato nello screenshot seguente:

Schermata visualizzata quando si fa clic sull'opzione Azione necessaria.

È anche possibile eseguire l'integrità di mdatp: segnala se la protezione in tempo reale è abilitata ma non disponibile. Questo report indica che l'estensione di sistema non è approvata per l'esecuzione nel dispositivo.

mdatp health

L'output sull'integrità mdatp in esecuzione è:

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

Il report di output visualizzato sull'integrità mdatp in esecuzione è visualizzato nello screenshot seguente:

Schermata visualizzata quando si fa clic sul pulsante Correggi.

Causa

macOS richiede che un utente approverà manualmente ed in modo esplicito determinate funzioni usate da un'applicazione, ad esempio le estensioni di sistema, l'esecuzione in background, l'invio di notifiche, l'accesso completo al disco e così via. Microsoft Defender per endpoint si basa su queste applicazioni e non può funzionare correttamente fino a quando tutti questi consensi non vengono ricevuti da un utente.

Se l'estensione di sistema non è stata approvata durante la distribuzione/installazione di Microsoft Defender per endpoint in macOS, seguire questa procedura:

  1. Controllare le estensioni di sistema eseguendo il comando seguente nel terminale:

    systemextensionsctl list

    Schermata che mostra le operazioni da eseguire per controllare l'estensione di sistema.

Si noterà che entrambe le Microsoft Defender per endpoint nelle estensioni macOS si trovano nello stato [attivato in attesa dell'utente].

  1. Nel terminale eseguire il comando seguente:

    mdatp health --details system_extensions

Si otterrà l'output seguente:

network_extension_enabled                 : false
network_extension_installed                 : true
endpoint_security_extension_ready           : false
endpoint_security_extension_installed        : true

Questo output è illustrato nello screenshot seguente:

Output relativo alle estensioni di sistema dettagliate.

I file seguenti potrebbero non essere presenti se vengono gestiti tramite Intune, JamF o un'altra soluzione MDM:

MobileConfig (Plist) Output dei comandi della console "integrità mdatp" Impostazione macOS necessaria per il corretto funzionamento di MDE in macOS
"/Library/Managed Preferences/com.apple.system-extension-policy.plist" real_time_protection_subsystem Estensione di sistema
"/Library/Managed Preferences/com.apple.webcontent-filter.plist" network_events_subsystem Estensione filtro di rete
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist" full_disk_access_enabled Privacy Preference Policy Controls (PPPC, noto anche come TCC (Transparency, Consent & Control), Full Disk Access (FDA))
"/Library/Managed Preferences/com.apple.notificationsettings.plist" n/d Notifiche dell'utente finale
"/Library/Managed Preferences/servicemanagement.plist" n/d Servizi in background
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist" full_disk_access_enabled (per DLP) Accessibilità

Per risolvere il problema dei file mancanti per far funzionare correttamente Microsoft Defender per endpoint in macOS, vedere Microsoft Defender per endpoint in Mac.

Soluzione

Questa sezione descrive la soluzione per l'approvazione delle funzioni quali estensione del sistema, servizi in background, notifiche, accesso completo al disco e così via usando gli strumenti di gestione, ovvero Intune, JamF, Other MDM e usando il metodo di distribuzione manuale. Per eseguire queste funzioni usando questi strumenti di gestione, vedere:

Prerequisiti

Prima di approvare l'estensione di sistema (usando uno degli strumenti di gestione specificati), assicurarsi che siano soddisfatti i prerequisiti seguenti:

Passaggio 1: I profili vengono assegnati a macOS?

Se si usa Intune, vedere Gestire i criteri di aggiornamento software macOS in Intune.

Schermata in cui si aggiornano i dispositivi.

  1. Fare clic sui puntini di sospensione (tre punti).

  2. Selezionare Aggiorna dispositivi. Viene visualizzata la schermata come illustrato nello screenshot seguente:

    Schermata visualizzata quando si fa clic su Aggiorna dispositivi.

  3. In Launchpad digitare Preferenze di sistema.

  4. Fare doppio clic su Profili.

    Nota

    Se non si è aggiunti a MDM, i profili non verranno visualizzati come opzione. Contattare il team di supporto di MDM per scoprire perché l'opzione Profili non è visibile. Dovrebbe essere possibile visualizzare i diversi profili, ad esempio estensioni di sistema, accessibilità, servizi in background, notifiche, Microsoft AutoUpdate e così via, come illustrato nello screenshot precedente.

Se si usa JamF, usare i criteri sudo jamf. Per altre informazioni, vedere Gestione dei criteri.

Passaggio 2: Verificare che i profili necessari per Microsoft Defender per endpoint siano abilitati

La sezione Sezioni che forniscono indicazioni sull'abilitazione dei profili necessari per Microsoft Defender per endpoint fornisce indicazioni su come risolvere questo problema, a seconda del metodo usato per distribuire Microsoft Defender per endpoint in macOS.

Nota

Una convenzione di denominazione appropriata per i profili di configurazione è un vantaggio reale. È consigliabile usare lo schema di denominazione seguente:Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type Per esempio FullDiskAccess (piloting) - macOS - Default - MDE

L'uso della convenzione di denominazione consigliata consente di verificare che i profili corretti vengano disattivati al momento del controllo.

Consiglio

Per assicurarsi che i profili corretti vengano disattivati, invece di digitare .mobileconfig (plist), è possibile scaricare questo profilo da Github per evitare trattini allungati.

Nel terminale immettere la sintassi seguente:

curl -O https://URL

Ad esempio,

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig
Sezioni che forniscono indicazioni sull'abilitazione dei profili necessari per Microsoft Defender per endpoint

Passaggio 3: Testare i profili installati usando lo strumento "profilo" predefinito di macOS. Confronta i profili con quelli pubblicati in GitHub, segnalando profili o profili incoerenti mancanti del tutto

  1. Scaricare lo script da https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.
  2. Fare clic su Non elaborato. Il nuovo URL sarà https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.
  3. Salvarlo come analyze_profiles.py in Download eseguendo il comando seguente nel terminale:
   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py
  1. Eseguire lo script python3 dell'analizzatore di profili senza parametri eseguendo il comando seguente nel terminale:
   cd /Downloads  
   sudo python3 analyze_profiles.py

Nota

Per eseguire questo comando sono necessarie autorizzazioni Sudo.

OPPURE

  1. Eseguire lo script direttamente dal Web eseguendo il comando seguente:
   sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py        
| python3 -

Nota

Per eseguire questo comando sono necessarie autorizzazioni Sudo.

L'output mostrerà tutti i potenziali problemi con i profili.

Contenuto consigliato