Delen via


Systeemextensies beheren met Jamf

In dit artikel worden de procedures beschreven die moeten worden geïmplementeerd tijdens het beheer van de systeemextensies om ervoor te zorgen dat Microsoft Defender voor Eindpunt correct werkt op macOS.

Jamf

Jamf-beleid voor systeemextensies

Voer de volgende stappen uit om de systeemextensies goed te keuren:

  1. Selecteer Configuratieprofielen voor computers >en selecteer vervolgens Opties > Systeemextensies.

  2. Selecteer Toegestane systeemextensies in de vervolgkeuzelijst Typen systeemextensie .

  3. Gebruik UBF8T346G9 voor Team-id.

  4. Voeg de volgende bundel-id's toe aan de lijst Toegestane systeemextensies :

    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

    Systeemextensies goedkeuren in Jamf.

Beleidsbeheer voor privacyvoorkeuren (ook wel volledige schijftoegang genoemd)

Voeg de volgende Jamf-nettolading toe om volledige schijftoegang te verlenen aan de Microsoft Defender voor Eindpunt Security Extension. Dit beleid is een vereiste voor het uitvoeren van de extensie op uw apparaat.

  1. Selecteer Opties > Privacyvoorkeuren Beleidsbeheer.

  2. Gebruik com.microsoft.wdav.epsext als id en bundel-id als bundeltype.

  3. Stel codevereiste in op id com.microsoft.wdav.epsext en anker apple generic en certificate 1[field.1.2.840.113635.100.6.2.. 6] / bestaat / en certificaatblad[field.1.2.840.113635.100.6.1.13] / bestaat / en certificaatblad[onderwerp. OE] = UBF8T346G9.

  4. Stel App of service in op SystemPolicyAllFiles en toegang op Toestaan.

    Beleidsbeheer voor privacyvoorkeuren.

Netwerkuitbreidingsbeleid

Als onderdeel van de mogelijkheden voor eindpuntdetectie en -respons inspecteert Microsoft Defender voor Eindpunt in macOS socketverkeer en rapporteert deze informatie aan de Microsoft Defender portal. Met het volgende beleid kan de netwerkextensie deze functionaliteit uitvoeren:

Opmerking

Jamf heeft geen ingebouwde ondersteuning voor beleid voor inhoudsfilters. Dit is een vereiste voor het inschakelen van de netwerkextensies die Microsoft Defender voor Eindpunt op macOS-installaties op het apparaat. Bovendien wijzigt Jamf soms de inhoud van het beleid dat wordt geïmplementeerd. Daarom bieden de volgende stappen een tijdelijke oplossing waarbij het configuratieprofiel wordt ondertekend.

  1. Sla de volgende inhoud op uw apparaat op als com.microsoft.network-extension.mobileconfig met behulp van een teksteditor:
   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender Network Extension</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
        </array>
    </dict>
</plist>
  1. Controleer of de bovenstaande inhoud correct naar het bestand is gekopieerd door het hulpprogramma plutil uit te voeren in terminal:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig

Als het bestand bijvoorbeeld is opgeslagen in Documenten:

$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
  1. Controleer of de opdracht OK wordt uitgevoerd
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
  1. Volg de instructies op deze pagina om een handtekeningcertificaat te maken met behulp van de ingebouwde certificeringsinstantie van Jamf.

  2. Nadat het certificaat is gemaakt en geïnstalleerd op uw apparaat, voert u de volgende opdracht uit vanaf terminal om het bestand te ondertekenen:

$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig

Als de certificaatnaam bijvoorbeeld SigningCertificate is en het ondertekende bestand wordt opgeslagen in Documenten:

$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
  1. Ga vanuit de Jamf-portal naar Configuratieprofielen en selecteer de knop Uploaden . Selecteer com.microsoft.network-extension.signed.mobileconfig wanneer u om het bestand wordt gevraagd.