Rozwiązywanie problemów z rozszerzeniem systemu w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Dotyczy:
- Usługa ochrony punktu końcowego w usłudze Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Możesz przesłać opinię, otwierając Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac na urządzeniu i przechodząc do sekcji Pomoc > dotycząca wysyłania opinii.
Inną opcją jest przesłanie opinii za pośrednictwem Microsoft Defender XDR przez uruchomienie security.microsoft.com i wybranie karty Przekaż opinię.
Ten artykuł zawiera informacje na temat rozwiązywania problemów z rozszerzeniem systemu zainstalowanym w ramach Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Począwszy od systemu macOS BigSur (11), system macOS firmy Apple wymaga jawnego zatwierdzenia wszystkich rozszerzeń systemu, zanim będą mogły działać na urządzeniu.
Objaw
Zauważysz, że Ochrona punktu końcowego w usłudze Microsoft Defender ma symbol x w tarczy, jak pokazano na poniższym zrzucie ekranu:
Po kliknięciu tarczy z symbolem x zostaną wyświetlone opcje, jak pokazano na poniższym zrzucie ekranu:
Kliknij pozycję Potrzebna akcja.
Zostanie wyświetlony ekran, jak pokazano na poniższym zrzucie ekranu:
Można również uruchomić narzędzie mdatp health: raportuje, czy ochrona w czasie rzeczywistym jest włączona, ale niedostępna. Ten raport wskazuje, że rozszerzenie systemu nie jest zatwierdzone do uruchamiania na urządzeniu.
mdatp health
Dane wyjściowe dotyczące uruchamiania programu mdatp health to:
healthy : false
health_issues : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled : false
Raport wyjściowy wyświetlany podczas uruchamiania programu mdatp health jest wyświetlany na poniższym zrzucie ekranu:
Przyczyna
System macOS wymaga, aby użytkownik ręcznie i jawnie zatwierdzał niektóre funkcje używane przez aplikację, na przykład rozszerzenia systemowe, działające w tle, wysyłające powiadomienia, pełny dostęp do dysku itd. Ochrona punktu końcowego w usłudze Microsoft Defender opiera się na tych aplikacjach i nie może prawidłowo działać, dopóki nie zostaną odebrane wszystkie te zgody od użytkownika.
Jeśli rozszerzenie systemu nie zostało zaakceptowane podczas wdrażania/instalacji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS, wykonaj następujące kroki:
Sprawdź rozszerzenia systemu, uruchamiając następujące polecenie w terminalu:
systemextensionsctl list
Zauważysz, że obie Ochrona punktu końcowego w usłudze Microsoft Defender w rozszerzeniach systemu macOS są w stanie [aktywowane oczekiwanie na użytkownika].
W terminalu uruchom następujące polecenie:
mdatp health --details system_extensions
Otrzymasz następujące dane wyjściowe:
network_extension_enabled : false
network_extension_installed : true
endpoint_security_extension_ready : false
endpoint_security_extension_installed : true
Te dane wyjściowe są wyświetlane na poniższym zrzucie ekranu:
Jeśli zarządzasz nimi za pośrednictwem Intune, JamF lub innego rozwiązania MDM, mogą brakować następujących plików:
| MobileConfig (Plist) | Dane wyjściowe polecenia konsoli "mdatp health" | Ustawienie systemu macOS wymagane do prawidłowego działania MDE w systemie macOS |
|---|---|---|
| "/Library/Managed Preferences/com.apple.system-extension-policy.plist" | real_time_protection_subsystem | Rozszerzenie systemu |
| "/Library/Managed Preferences/com.apple.webcontent-filter.plist" | network_events_subsystem | Rozszerzenie filtru sieci |
| "/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist" | full_disk_access_enabled | Mechanizmy kontroli zasad preferencji prywatności (PPPC, czyli TCC (przezroczystość, kontrola & zgody), dostęp do pełnego dysku (FDA)) |
| "/Library/Managed Preferences/com.apple.notificationsettings.plist" | nie dotyczy | Powiadomienia użytkowników końcowych |
| "/Library/Managed Preferences/servicemanagement.plist" | nie dotyczy | Usługi w tle |
| "/Library/Managed Preferences/com.apple.TCC.configuration-profile-policy.plist" | full_disk_access_enabled (dla DLP) | Ułatwienia dostępu |
Aby rozwiązać problem z brakującymi plikami, aby Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS działały prawidłowo, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac.
Rozwiązanie
W tej sekcji opisano rozwiązanie zatwierdzania funkcji, takich jak rozszerzenie systemu, usługi w tle, powiadomienia, pełny dostęp do dysku itd. przy użyciu narzędzi do zarządzania, a mianowicie Intune, JamF, Inne mdm i przy użyciu metody ręcznego wdrażania. Aby wykonać te funkcje przy użyciu tych narzędzi do zarządzania, zobacz:
Wymagania wstępne
Przed zatwierdzeniem rozszerzenia systemu (przy użyciu dowolnego z określonych narzędzi do zarządzania) upewnij się, że spełnione są następujące wymagania wstępne:
Krok 1. Czy profile schodzą do systemu macOS?
Jeśli używasz Intune, zobacz Zarządzanie zasadami aktualizacji oprogramowania systemu macOS w Intune.
Kliknij wielokropek (trzy kropki).
Wybierz pozycję Odśwież urządzenia. Zostanie wyświetlony ekran, jak pokazano na poniższym zrzucie ekranu:
W launchpadzie wpisz Preferencje systemowe.
Kliknij dwukrotnie pozycję Profile.
Uwaga
Jeśli nie jesteś przyłączony do rozwiązania MDM, nie będziesz widzieć profilów jako opcji. Skontaktuj się z zespołem pomocy technicznej rozwiązania MDM, aby sprawdzić, dlaczego opcja Profile nie jest widoczna. Powinny być widoczne różne profile, takie jak rozszerzenia systemu, ułatwienia dostępu, usługi w tle, powiadomienia, usługa Microsoft AutoUpdate itd., jak pokazano na powyższym zrzucie ekranu.
Jeśli używasz narzędzia JamF, użyj zasad sudo jamf. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami.
Krok 2. Upewnij się, że profile potrzebne do Ochrona punktu końcowego w usłudze Microsoft Defender są włączone
Sekcje zawierające wskazówki dotyczące włączania profilów potrzebnych do Ochrona punktu końcowego w usłudze Microsoft Defender zawierają wskazówki dotyczące sposobu rozwiązania tego problemu, w zależności od metody używanej do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Uwaga
Właściwa konwencja nazewnictwa profilów konfiguracji jest prawdziwą zaletą. Zalecamy następujący schemat nazewnictwa:Name of the Setting(s) [(additional info)] -Platform - Set - Policy-Type Na przykład: FullDiskAccess (piloting) - macOS - Default - MDE
Użycie zalecanej konwencji nazewnictwa umożliwia potwierdzenie, że prawidłowe profile są usuwane w momencie sprawdzania.
Porada
Aby upewnić się, że prawidłowe profile schodzą, zamiast wpisywać plik .mobileconfig (plist), możesz pobrać ten profil z usługi Github, aby uniknąć wydłużonych łączników literówek.
W terminalu wprowadź następującą składnię:
curl -O https://URL
Na przykład:
curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig
Sekcje, które zawierają wskazówki dotyczące włączania profilów potrzebnych do Ochrona punktu końcowego w usłudze Microsoft Defender
-
- Funkcja: Zatwierdzanie rozszerzeń systemu
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe > Zabezpieczenia & prywatności , a następnie wybierając pozycję Zezwalaj.
-
- Funkcja: Filtr sieciowy
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe > Zabezpieczenia & prywatności , a następnie wybierając pozycję Zezwalaj.
-
- Funkcja: Mechanizmy kontroli zasad preferencji prywatności (PPPC, czyli TCC (przezroczystość, kontrola & zgody), pełny dostęp do dysku (FDA))
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: Należy zatwierdzić rozszerzenie, przechodząc do pozycji Preferencje zabezpieczeń lub Preferencje systemowe Zabezpieczenia & Prywatność Prywatność >> Pełny dostęp do dysku, a następnie wybierając pozycję Zezwalaj i zaznaczając pole wyboru obok następujących elementów>:
- Microsoft Defender
- rozszerzenie zabezpieczeń Microsoft Defender
-
- Funkcja: uruchamianie w tle
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: nie dotyczy
-
- Funkcja: wysyłanie powiadomień
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: nie dotyczy
-
- Funkcja: ułatwienia dostępu
- Konfiguracja mobilna (plist): https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
- Dotyczy:
- Intune: Tak
- JamF: Tak
- Inne mdm: tak
- Ręczne: nie dotyczy
Krok 3. Testowanie zainstalowanych profilów przy użyciu wbudowanego narzędzia "profile" systemu macOS. Porównuje profile z profilami opublikowanymi w usłudze GitHub, całkowicie zgłaszając niespójne profile lub profile
- Pobierz skrypt z programu https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm.
- Kliknij pozycję Nieprzetworzone. Nowy adres URL to https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py.
- Zapisz go jako analyze_profiles.py do pobrania , uruchamiając następujące polecenie w terminalu:
curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py
- Uruchom skrypt python3 analizatora profilu bez żadnych parametrów, wykonując następujące polecenie w terminalu:
cd /Downloads
sudo python3 analyze_profiles.py
Uwaga
Uprawnienia sudo są wymagane do wykonania tego polecenia.
LUB
- Uruchom skrypt bezpośrednio z sieci Web, wykonując następujące polecenie:
sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py
| python3 -
Uwaga
Uprawnienia sudo są wymagane do wykonania tego polecenia.
W danych wyjściowych zostaną wyświetlone wszystkie potencjalne problemy z profilami.
Zalecana zawartość
- Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu narzędzia Jamf Pro: dowiedz się, jak wdrażać Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu narzędzia Jamf Pro.
- Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro: dowiedz się, jak skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender zasad systemu macOS w narzędziu Jamf Pro.
- Konfigurowanie grup urządzeń w narzędziu Jamf Pro: dowiedz się, jak skonfigurować grupy urządzeń w narzędziu Jamf Pro dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
- Zaloguj się do narzędzia Jamf Pro