Rozwiązywanie problemów z rozszerzeniem systemu w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Możesz przesłać opinię, otwierając Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS na urządzeniu i przechodząc do sekcji Pomoc > dotycząca wysyłania opinii.

Inną opcją jest przesłanie opinii za pośrednictwem Microsoft Defender XDR przez uruchomienie security.microsoft.com i wybranie karty Przekaż opinię.

Ten artykuł zawiera informacje na temat rozwiązywania problemów z rozszerzeniem systemu zainstalowanym w ramach Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Począwszy od systemu macOS BigSur (11), system macOS firmy Apple wymaga jawnego zatwierdzenia wszystkich rozszerzeń systemu, zanim będą mogły działać na urządzeniu.

Objaw

Zauważysz, że Ochrona punktu końcowego w usłudze Microsoft Defender ma symbol x na tarczy, jak pokazano na poniższym zrzucie ekranu:

Jeśli wybierzesz tarczę z symbolem x , otrzymasz opcje, jak pokazano na poniższym zrzucie ekranu:

Wybierz pozycję Potrzebna akcja.

Zostanie wyświetlony ekran, jak pokazano na poniższym zrzucie ekranu:

Można również uruchomić narzędzie mdatp health: raportuje, czy ochrona w czasie rzeczywistym jest włączona, ale niedostępna. Ten raport wskazuje, że rozszerzenie systemu nie jest zatwierdzone do uruchamiania na urządzeniu.

mdatp health

Dane wyjściowe dotyczące uruchamiania programu mdatp health to:

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

Raport wyjściowy wyświetlany podczas uruchamiania programu mdatp health jest wyświetlany na poniższym zrzucie ekranu:

Przyczyna

System macOS wymaga, aby użytkownik ręcznie i jawnie zatwierdzał niektóre funkcje używane przez aplikację, na przykład rozszerzenia systemowe, działające w tle, wysyłające powiadomienia, pełny dostęp do dysku itd. Ochrona punktu końcowego w usłudze Microsoft Defender opiera się na tych aplikacjach i nie może prawidłowo działać, dopóki nie zostaną odebrane wszystkie te zgody od użytkownika.

Jeśli rozszerzenie systemu nie zostało zaakceptowane podczas wdrażania/instalacji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS, wykonaj następujące kroki:

1. Sprawdź rozszerzenia systemu, uruchamiając następujące polecenie w terminalu:

   systemextensionsctl list
   

   

   Zauważysz, że obie Ochrona punktu końcowego w usłudze Microsoft Defender w rozszerzeniach systemu macOS są w stanie [aktywowane oczekiwanie na użytkownika].

2. W terminalu uruchom następujące polecenie:

   mdatp health --details system_extensions
   

   Otrzymasz następujące dane wyjściowe:

   network_extension_enabled                 : false
   network_extension_installed                 : true
   endpoint_security_extension_ready           : false
   endpoint_security_extension_installed        : true
   

Te dane wyjściowe są wyświetlane na poniższym zrzucie ekranu:

Jeśli zarządzasz nimi za pośrednictwem Intune, JamF lub innego rozwiązania MDM, mogą brakować następujących plików:

MobileConfig (Plist)	Dane wyjściowe polecenia konsoli "mdatp health"	Ustawienie systemu macOS wymagane do prawidłowego działania MDE w systemie macOS
"/Library/Managed Preferences/com.apple.system-extension-policy.plist"	real_time_protection_subsystem	Rozszerzenie systemu
"/Library/Managed Preferences/com.apple.webcontent-filter.plist"	network_events_subsystem	Rozszerzenie filtru sieci
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled	Mechanizmy kontroli zasad preferencji prywatności (PPPC, czyli TCC (przezroczystość, kontrola & zgody), dostęp do pełnego dysku (FDA))
"/Library/Managed Preferences/com.apple.notificationsettings.plist"	nie dotyczy	Powiadomienia użytkowników końcowych
"/Library/Managed Preferences/servicemanagement.plist"	nie dotyczy	Usługi w tle
"/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist"	full_disk_access_enabled (dla DLP)	Ułatwienia dostępu

Aby rozwiązać problem z brakującymi plikami, aby Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS działały prawidłowo Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Rozwiązanie

Zatwierdź funkcje (na przykład rozszerzenia systemowe, usługi w tle, powiadomienia i pełny dostęp do dysku) przy użyciu następujących metod:

• Intune

  Uwaga

  Intune obsługa zasad dla rozszerzeń systemu macOS została wycofana w wersji usługi z sierpnia 2024 r. (2048). Istniejące zasady Intune z rozszerzeniami systemu macOS nadal działają, ale nie można tworzyć nowych zasad z rozszerzeniami systemu macOS w Intune.

  Zamiast tego użyj wykazu ustawień, aby utworzyć nowe zasady Intune dla systemu macOS, które konfigurują ładunek rozszerzenia systemu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień za pomocą wykazu ustawień Intune.

• JamF

• Inne mdm

• Wdrażanie ręczne

Wymagania wstępne

Przed zatwierdzeniem rozszerzenia systemu (przy użyciu dowolnego z określonych narzędzi do zarządzania) upewnij się, że spełnione są następujące wymagania wstępne:

Krok 1. Czy profile schodzą do systemu macOS?

Jeśli używasz Intune, zobacz Zarządzanie zasadami aktualizacji oprogramowania systemu macOS w Intune.

1. Wybierz wielokropek (trzy kropki).

2. Wybierz pozycję Odśwież urządzenia. Zostanie wyświetlony ekran, jak pokazano na poniższym zrzucie ekranu:

   

3. W launchpadzie wpisz Preferencje systemowe.

4. Kliknij dwukrotnie pozycję Profile.

   Uwaga

   Jeśli nie jesteś przyłączony do rozwiązania MDM, nie będziesz widzieć profilów jako opcji. Skontaktuj się z zespołem pomocy technicznej rozwiązania MDM, aby sprawdzić, dlaczego opcja Profile nie jest widoczna. Powinny być widoczne różne profile, takie jak rozszerzenia systemu, ułatwienia dostępu, usługi w tle, powiadomienia, usługa Microsoft AutoUpdate itd., jak pokazano na powyższym zrzucie ekranu.

Jeśli używasz narzędzia JamF, użyj zasad sudo jamf. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami.

Krok 2. Upewnij się, że profile potrzebne do Ochrona punktu końcowego w usłudze Microsoft Defender są włączone

Sekcje zawierające wskazówki dotyczące włączania profilów potrzebnych do Ochrona punktu końcowego w usłudze Microsoft Defender zawierają wskazówki dotyczące sposobu rozwiązania tego problemu, w zależności od metody używanej do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Uwaga

Właściwa konwencja nazewnictwa profilów konfiguracji jest prawdziwą zaletą. Zalecamy następujący schemat nazewnictwa: Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type Na przykład: FullDiskAccess (piloting) - macOS - Default - MDE

Użycie zalecanej konwencji nazewnictwa umożliwia potwierdzenie, że prawidłowe profile są usuwane w momencie sprawdzania.

Porada

Aby upewnić się, że prawidłowe profile schodzą, zamiast wpisywać.mobileconfig (plist)**, możesz pobrać ten profil z usługi GitHub, aby uniknąć literówek wydłużonych łączników.

W terminalu użyj następującej składni:

curl -O https://URL

Przykład:

curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig

Sekcje, które zawierają wskazówki dotyczące włączania profilów potrzebnych do Ochrona punktu końcowego w usłudze Microsoft Defender

1. • Funkcja: Zatwierdzanie rozszerzeń systemu
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe > Zabezpieczenia & prywatności , a następnie wybierając pozycję Zezwalaj.
2. • Funkcja: Filtr sieciowy
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe > Zabezpieczenia & prywatności , a następnie wybierając pozycję Zezwalaj.
3. • Funkcja: Mechanizmy kontroli zasad preferencji prywatności (PPPC, czyli TCC (przezroczystość, kontrola & zgody), pełny dostęp do dysku (FDA))
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: Należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe Zabezpieczenia & Prywatność Prywatność >> Pełny dostęp do dysku, a następnie wybierając pozycję Zezwalaj i zaznaczając pole wyboru obok następujących elementów>:
       • Microsoft Defender
       • rozszerzenie zabezpieczeń Microsoft Defender
4. • Funkcja: uruchamianie w tle
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: nie dotyczy
5. • Funkcja: wysyłanie powiadomień
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: nie dotyczy
6. • Funkcja: ułatwienia dostępu
   • Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
   • Dotyczy:
     • Intune: Tak
     • JamF: Tak
     • Inne mdm: tak
     • Ręczne: nie dotyczy

Krok 3. Testowanie zainstalowanych profilów przy użyciu wbudowanego narzędzia "profile" systemu macOS

Narzędzie porównuje Twoje profile z profilami opublikowanymi w usłudze GitHub i zgłasza niespójne lub brakujące profile.

1. Pobierz skrypt z programu https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.

2. Wybierz pozycję Nieprzetworzone. Nowy adres URL to https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.

3. Zapisz go jako analyze_profiles.py do pobrania , uruchamiając następujące polecenie w terminalu:

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py
   

4. Wykonaj jedną z poniższych czynności. Wymagane są uprawnienia sudo:

   • Uruchom skrypt python3 analizatora profilu bez żadnych parametrów, uruchamiając następujące polecenia w terminalu:

     cd /Downloads
     
     sudo python3 analyze_profiles.py
     

     LUB

     • Uruchom skrypt bezpośrednio z sieci Web, uruchamiając następujące polecenia:

       sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py
       
       | python3 -
       

Dane wyjściowe pokazują wszystkie potencjalne problemy z profilami.

Zalecana zawartość

• Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu narzędzia Jamf Pro: dowiedz się, jak wdrażać Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu narzędzia Jamf Pro.
• Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro: dowiedz się, jak skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro.
• Konfigurowanie grup urządzeń w narzędziu Jamf Pro: dowiedz się, jak skonfigurować grupy urządzeń w narzędziu Jamf Pro dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
• Logowanie do narzędzia Jamf Pro