使用 Jamf 管理系统扩展
本文介绍在管理系统扩展的过程中要实现的过程,以确保Microsoft Defender for Endpoint在 macOS 上正常工作。
Jamf
Jamf 系统扩展策略
若要批准系统扩展,请执行以下步骤:
选择“ 计算机 > 配置文件”,然后选择“ 选项 > 系统扩展”。
从 “系统扩展 类型”下拉列表中选择“允许 的系统扩展 ”。
将 UBF8T346G9 用于团队 ID。
将以下捆绑标识符添加到 “允许的系统扩展 ”列表:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
隐私首选项策略控制 (也称为“完全磁盘访问)
添加以下 Jamf 有效负载以授予对 Microsoft Defender for Endpoint 安全扩展的完全磁盘访问权限。 此策略是在设备上运行扩展的先决条件。
选择 “选项 > ”“隐私首选项策略控制”。
将 com.microsoft.wdav.epsext 用作标识符, 使用捆绑包 ID 作为捆绑包类型。
设置代码要求以 标识符 com.microsoft.wdav.epsext 和定位 apple generic 和 certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject.OU] = UBF8T346G9。
将 “应用或服务 ”设置为 “SystemPolicyAllFiles” ,并将“访问权限”设置为 “允许”。
网络扩展策略
作为终结点检测和响应功能的一部分,macOS 上的Microsoft Defender for Endpoint会检查套接字流量,并将此信息报告给Microsoft Defender门户。 以下策略允许网络扩展执行此功能:
注意
Jamf 没有对内容筛选策略的内置支持,这是启用Microsoft Defender for Endpoint安装在设备上的 macOS 上的网络扩展的先决条件。 此外,Jamf 有时会更改要部署的策略的内容。 因此,以下步骤提供了一种涉及对配置文件进行签名的解决方法。
- 使用文本编辑器将以下内容以 com.microsoft.network-extension.mobileconfig 的形式保存到设备:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- 通过在终端中运行 plutil 实用工具,验证上述内容是否已正确复制到文件中:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
例如,如果文件存储在 “文档”中:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- 验证命令是否输出 正常
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
按照 此页上 的说明使用 Jamf 的内置证书颁发机构创建签名证书。
创建证书并将其安装到设备后,从终端运行以下命令对文件进行签名:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
例如,如果证书名称为 SignedsignedCertificate ,并且签名文件将存储在 Documents 中:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- 在 Jamf 门户中,导航到 “配置文件” ,然后选择“ 上传 ”按钮。 出现文件提示时,选择 com.microsoft.network-extension.signed.mobileconfig 。