다음을 통해 공유

Jamf를 사용하여 시스템 확장 관리

  • 아티클

이 문서에서는 macOS에서 엔드포인트용 Microsoft Defender 제대로 작동하는지 확인하기 위해 시스템 확장을 관리하는 과정에서 구현하는 절차를 설명합니다.

Jamf

Jamf 시스템 확장 정책

시스템 확장을 승인하려면 다음 단계를 수행합니다.

  1. 컴퓨터 > 구성 프로필을 선택한 다음 옵션 > 시스템 확장을 선택합니다.

  2. 시스템 확장 유형 드롭다운 목록에서 허용되는 시스템 확장을 선택합니다.

  3. 팀 ID에 UBF8T346G9 사용합니다.

  4. 허용되는 시스템 확장 목록에 다음 번들 식별자를 추가합니다.

    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

    Jamf에서 시스템 확장 승인.

개인 정보 기본 설정 정책 제어(전체 디스크 액세스라고도 함)

다음 Jamf 페이로드를 추가하여 엔드포인트용 Microsoft Defender 보안 확장에 대한 전체 디스크 액세스 권한을 부여합니다. 이 정책은 디바이스에서 확장을 실행하기 위한 필수 구성 요소입니다.

  1. 옵션 > 개인 정보 기본 설정 정책 제어를 선택합니다.

  2. com.microsoft.wdav.epsext를 식별자로 사용하고 번들 ID를 번들 유형으로 사용합니다.

  3. 코드 요구 사항을 식별자 com.microsoft.wdav.epsext 및 앵커 apple generic 및 certificate 1[field.1.2.840.113635.100.6.2로 설정합니다. 6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists /and certificate leaf[subject. OU] = UBF8T346G9.

  4. 앱 또는 서비스를SystemPolicyAllFiles로 설정하고 액세스를 허용으로 설정합니다.

    개인 정보 기본 설정 정책 제어.

네트워크 확장 정책

엔드포인트 검색 및 응답 기능의 일부로 macOS의 엔드포인트용 Microsoft Defender 소켓 트래픽을 검사하고 이 정보를 Microsoft Defender 포털에 보고합니다. 다음 정책을 사용하면 네트워크 확장에서 이 기능을 수행할 수 있습니다.

참고

Jamf는 macOS에서 엔드포인트용 Microsoft Defender 네트워크 확장을 사용하도록 설정하기 위한 필수 구성 요소인 콘텐츠 필터링 정책을 기본적으로 지원하지 않습니다. 또한 Jamf는 배포되는 정책의 콘텐츠를 변경하는 경우도 있습니다. 따라서 다음 단계에서는 구성 프로필 서명과 관련된 해결 방법을 제공합니다.

  1. 텍스트 편집기를 사용하여 다음 콘텐츠를 com.microsoft.network-extension.mobileconfig 로 디바이스에 저장합니다.
   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender Network Extension</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
        </array>
    </dict>
</plist>
  1. 터미널에서 plutil 유틸리티를 실행하여 위의 콘텐츠가 파일에 올바르게 복사되었는지 확인합니다.
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig

예를 들어 파일이 문서에 저장된 경우:

$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
  1. 명령이 확인을 출력하는지 확인합니다.
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK

  1. 이 페이지의 지침에 따라 Jamf의 기본 제공 인증 기관을 사용하여 서명 인증서를 만듭니다.

  2. 인증서를 만들고 디바이스에 설치한 후 터미널에서 다음 명령을 실행하여 파일에 서명합니다.

$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig

예를 들어 인증서 이름이 SigningCertificate 이고 서명된 파일이 문서에 저장되는 경우:

$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
  1. Jamf 포털에서 구성 프로필 로 이동하고 업로드 단추를 선택합니다. 파일을 묻는 메시지가 표시되면 com.microsoft.network-extension.signed.mobileconfig 를 선택합니다.