Zarządzanie rozszerzeniami systemu przy użyciu narzędzia Jamf
W tym artykule opisano procedury implementowania w procesie zarządzania rozszerzeniami systemu w celu zapewnienia, że Ochrona punktu końcowego w usłudze Microsoft Defender działa prawidłowo w systemie macOS.
Jamf
Zasady rozszerzeń systemu Jamf
Aby zatwierdzić rozszerzenia systemu, wykonaj następujące kroki:
Wybierz pozycję Profile konfiguracji komputerów>, a następnie wybierz pozycję Opcje > Rozszerzenia systemu.
Wybierz pozycję Dozwolone rozszerzenia systemu z listy rozwijanej Typy rozszerzeń systemu .
Użyj UBF8T346G9 dla identyfikatora zespołu.
Dodaj następujące identyfikatory pakietów do listy Dozwolone rozszerzenia systemu :
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Kontrola zasad preferencji prywatności (znana również jako dostęp do pełnego dysku)
Dodaj następujący ładunek narzędzia Jamf, aby udzielić pełnego dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender rozszerzenia zabezpieczeń. Te zasady są wymaganiami wstępnymi dotyczącymi uruchamiania rozszerzenia na urządzeniu.
Wybierz pozycję Opcje > Kontrola zasad preferencji prywatności.
Użyj pliku com.microsoft.wdav.epsext jako identyfikatora i identyfikatora pakietu jako typu pakietu.
Ustaw wymaganie dotyczące kodu na identyfikator com.microsoft.wdav.epsext i zakotwiczenie certyfikatu ogólnego firmy Apple i certyfikatu 1[field.1.2.840.113635.100.6.2.. 6] / istnieje / i liść certyfikatu[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.
Ustaw pozycję Aplikacja lub usługa na Wartość SystemPolicyAllFiles i dostęp do pozycji Zezwalaj.
Zasady rozszerzenia sieci
W ramach funkcji wykrywania punktów końcowych i reagowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS sprawdza ruch gniazd i zgłasza te informacje do portalu Microsoft Defender. Następujące zasady umożliwiają rozszerzeniu sieci wykonywanie tej funkcji:
Uwaga
Narzędzie Jamf nie ma wbudowanej obsługi zasad filtrowania zawartości, które są wymaganiami wstępnymi dotyczącymi włączania rozszerzeń sieciowych, które Ochrona punktu końcowego w usłudze Microsoft Defender w instalacjach systemu macOS na urządzeniu. Ponadto narzędzie Jamf czasami zmienia zawartość wdrażanych zasad. W związku z tym poniższe kroki zapewniają obejście, które obejmuje podpisywanie profilu konfiguracji.
- Zapisz następującą zawartość na urządzeniu jako com.microsoft.network-extension.mobileconfig przy użyciu edytora tekstów:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- Sprawdź, czy powyższa zawartość została poprawnie skopiowana do pliku, uruchamiając narzędzie plutil w terminalu :
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Jeśli na przykład plik był przechowywany w dokumentach:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- Sprawdź, czy dane wyjściowe polecenia są poprawne
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Postępuj zgodnie z instrukcjami na tej stronie , aby utworzyć certyfikat podpisywania przy użyciu wbudowanego urzędu certyfikacji narzędzia Jamf.
Po utworzeniu i zainstalowaniu certyfikatu na urządzeniu uruchom następujące polecenie z terminalu, aby podpisać plik:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Jeśli na przykład nazwa certyfikatu to SigningCertificate , a podpisany plik będzie przechowywany w dokumentach:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- W portalu narzędzia Jamf przejdź do pozycji Profile konfiguracji i wybierz przycisk Przekaż . Po wyświetleniu monitu o plik wybierz pozycję com.microsoft.network-extension.signed.mobileconfig .