Compartilhar via


Gerenciar extensões de sistema usando o Jamf

Este artigo descreve os procedimentos a serem implementados no processo de gerenciamento das extensões do sistema para garantir que Microsoft Defender para Ponto de Extremidade funcione corretamente no macOS.

Jamf

Política de Extensões do Sistema Jamf

Para aprovar as extensões do sistema, execute as seguintes etapas:

  1. Selecione Perfis de Configuração de Computadores >e selecione Opções > Extensões do Sistema.

  2. Selecione Extensões de Sistema Permitidas na lista suspensa Tipos de Extensão do Sistema .

  3. Use UBF8T346G9 para iD da equipe.

  4. Adicione os seguintes identificadores de pacote à lista Extensões do Sistema Permitido :

    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

    Aprovando extensões do sistema no Jamf.

Controle de política de preferências de privacidade (também conhecido como Acesso completo ao disco)

Adicione o seguinte conteúdo do Jamf para conceder acesso total ao disco à Extensão de Segurança Microsoft Defender para Ponto de Extremidade. Essa política é um pré-requisito para executar a extensão em seu dispositivo.

  1. Selecione Opções > Controle de Política de Preferências de Privacidade.

  2. Use com.microsoft.wdav.epsext como o tipo Identificador e ID do Pacote como Pacote.

  3. Defina Requisito de Código para identificador com.microsoft.wdav.epsext e ancorar apple generic e certificate 1[field.1.2.840.113635.100.6.2.6] / existe / e certificado leaf[field.1.2.840.113635.100.6.1.13] / existe / e folha de certificado[assunto. OU] = UBF8T346G9.

  4. Defina Aplicativo ou serviço como SystemPolicyAllFiles e acesso a Permitir.

    Controle de política de preferências de privacidade.

Política de Extensão de Rede

Como parte dos recursos de Detecção e Resposta do Ponto de Extremidade, Microsoft Defender para Ponto de Extremidade no macOS inspeciona o tráfego do soquete e relata essas informações ao portal Microsoft Defender. A política a seguir permite que a extensão de rede execute essa funcionalidade:

Observação

O Jamf não tem suporte interno para políticas de filtragem de conteúdo, que são um pré-requisito para habilitar as extensões de rede que Microsoft Defender para Ponto de Extremidade em instalações macOS no dispositivo. Além disso, o Jamf às vezes altera o conteúdo das políticas que estão sendo implantadas. Como tal, as etapas a seguir fornecem uma solução alternativa que envolve a assinatura do perfil de configuração.

  1. Salve o seguinte conteúdo em seu dispositivo como com.microsoft.network-extension.mobileconfig usando um editor de texto:
   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender Network Extension</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
        </array>
    </dict>
</plist>
  1. Verifique se o conteúdo acima foi copiado corretamente no arquivo executando o utilitário plutil no terminal:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig

Por exemplo, se o arquivo foi armazenado em Documentos:

$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
  1. Verifique se o comando é saídas OK
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
  1. Siga as instruções nesta página para criar um certificado de assinatura usando a autoridade de certificado interna do Jamf.

  2. Depois que o certificado for criado e instalado em seu dispositivo, execute o seguinte comando do terminal para assinar o arquivo:

$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig

Por exemplo, se o nome do certificado for SigningCertificate e o arquivo assinado for armazenado em Documentos:

$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
  1. No portal do Jamf, navegue até Perfis de Configuração e selecione o botão Carregar . Selecione com.microsoft.network-extension.signed.mobileconfig quando solicitado para o arquivo.