Управление расширениями системы с помощью Jamf
В этой статье описаны процедуры, которые необходимо реализовать в процессе управления расширениями системы для обеспечения правильной работы Microsoft Defender для конечной точки в macOS.
Jamf
Политика системных расширений Jamf
Чтобы утвердить системные расширения, выполните следующие действия.
Выберите Профили конфигурации компьютеров>, а затем выберите Параметры > Расширения системы.
Выберите Допустимые системные расширения в раскрывающемся списке Типы расширений системы .
Используйте UBF8T346G9 для идентификатора команды.
Добавьте следующие идентификаторы пакетов в список Разрешенные системные расширения :
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Управление политикой параметров конфиденциальности (также известное как полный доступ к диску)
Добавьте следующие полезные данные Jamf, чтобы предоставить полный доступ к Microsoft Defender для конечной точки расширению безопасности. Эта политика является необходимым условием для запуска расширения на устройстве.
Выберите Параметры > Параметры Настройки политики управления политикой.
Используйте com.microsoft.wdav.epsext в качестве идентификатора и идентификатор пакета в качестве типа пакета.
Задайте требование кода для идентификатора com.microsoft.wdav.epsext и привязки apple generic и сертификата 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / и certificate leaf[subject. Подразделение] = UBF8T346G9.
Установите для параметра Приложение или службазначение SystemPolicyAllFiles , а для доступа — значение Разрешить.
Политика расширения сети
В рамках возможностей обнаружения и реагирования на конечные точки Microsoft Defender для конечной точки в macOS проверяет трафик сокетов и передает эти сведения на портал Microsoft Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию:
Примечание.
Jamf не имеет встроенной поддержки политик фильтрации содержимого, которые являются необходимым условием для включения сетевых расширений, которые Microsoft Defender для конечной точки на macOS устанавливается на устройстве. Кроме того, Jamf иногда изменяет содержимое развертываемых политик. Таким образом, следующие шаги предоставляют обходной путь, который включает в себя подписывание профиля конфигурации.
- Сохраните следующее содержимое на устройстве как com.microsoft.network-extension.mobileconfig с помощью текстового редактора:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- Убедитесь, что приведенное выше содержимое правильно скопировано в файл, запустив служебную программу plutil в терминале:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Например, если файл хранился в документах:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- Убедитесь, что команда выводит ОК
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Следуйте инструкциям на этой странице , чтобы создать сертификат подписи с помощью встроенного центра сертификации Jamf.
После создания сертификата и установки на устройстве выполните следующую команду в терминале, чтобы подписать файл:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Например, если сертификат имеет имя SignedCertificate , а подписанный файл будет храниться в документах:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- На портале Jamf перейдите в раздел Профили конфигурации и нажмите кнопку Отправить . Выберите com.microsoft.network-extension.signed.mobileconfig при запросе файла.