Jamf kullanarak sistem uzantılarını yönetme

Bu makalede, Uç Nokta için Microsoft Defender macOS'ta düzgün çalıştığından emin olmak için sistem uzantılarını yönetme sürecinde uygulanacak yordamlar açıklanmaktadır.

Jamf

Jamf Sistem Uzantıları İlkesi

Sistem uzantılarını onaylamak için aşağıdaki adımları uygulayın:

1. Bilgisayar > Yapılandırma Profilleri'ni ve ardından Seçenekler > Sistem Uzantıları'nı seçin.

2. Sistem Uzantısı Türleri açılan listesinden İzin Verilen Sistem Uzantıları'nı seçin.

3. Ekip Kimliği için UBF8T346G9 kullanın.

4. İzin Verilen Sistem Uzantıları listesine aşağıdaki paket tanımlayıcılarını ekleyin:

   • com.microsoft.wdav.epsext
   • com.microsoft.wdav.netext

   

Gizlilik Tercihleri İlkesi Denetimi (Tam Disk Erişimi olarak da bilinir)

Uç Nokta için Microsoft Defender Güvenlik Uzantısına Tam Disk Erişimi vermek için aşağıdaki Jamf yükünü ekleyin. Bu ilke, uzantıyı cihazınızda çalıştırmak için bir önkoşuldur.

1. Seçenekler > Gizlilik Tercihleri İlke Denetimi'ni seçin.

2. Tanımlayıcı olarak com.microsoft.wdav.epsext ve Paket türü olarak Paket Kimliği kullanın.

3. Kod Gereksinimini com.microsoft.wdav.epsext tanımlayıcısı olarak ayarlayın ve apple generic ve certificate 1[field.1.2.840.113635.100.6.2. 6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.

4. Uygulama veya hizmetiSystemPolicyAllFiles ve erişimi İzin Ver olarak ayarlayın.

   

Ağ Uzantısı İlkesi

Uç Nokta Algılama ve Yanıt özelliklerinin bir parçası olarak macOS'ta Uç Nokta için Microsoft Defender yuva trafiğini inceler ve bu bilgileri Microsoft Defender portalına bildirir. Aşağıdaki ilke, ağ uzantısının bu işlevi gerçekleştirmesine izin verir:

Not

Jamf,macOS'ta Uç Nokta için Microsoft Defender ağ uzantılarının cihaza yüklenmesini sağlamak için önkoşul olan içerik filtreleme ilkeleri için yerleşik desteğe sahip değildir. Ayrıca Jamf bazen dağıtılan ilkelerin içeriğini de değiştirir. Bu nedenle, aşağıdaki adımlar yapılandırma profilini imzalamayı içeren bir geçici çözüm sağlar.

1. Aşağıdaki içeriği bir metin düzenleyicisi kullanarak cihazınıza com.microsoft.network-extension.mobileconfig olarak kaydedin:

   <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender Network Extension</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
        </array>
    </dict>
</plist>

2. Terminalde plutil yardımcı programını çalıştırarak yukarıdaki içeriğin dosyaya doğru kopyalandığını doğrulayın:

$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig

Örneğin, dosya Belgeler'de depolanmışsa:

$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig

3. Komut çıkışının Tamam olduğunu doğrulayın

<PathToFile>/com.microsoft.network-extension.mobileconfig: OK

4. Jamf'in yerleşik sertifika yetkilisini kullanarak imzalama sertifikası oluşturmak için bu sayfadaki yönergeleri izleyin.

5. Sertifika oluşturulduktan ve cihazınıza yüklendikten sonra, dosyayı imzalamak için terminalden aşağıdaki komutu çalıştırın:

$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig

Örneğin, sertifika adı SigningCertificate ise ve imzalı dosya Belgeler'de depolanacaksa:

$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig

6. Jamf portalından Yapılandırma Profilleri'ne gidin ve Karşıya Yükle düğmesini seçin. Dosya istendiğinde com.microsoft.network-extension.signed.mobileconfig öğesini seçin.