分享方式:


macOS Big Sur 和較新版本 macOS 的新組態配置檔

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

如果您已透過 JAMF、Intune 或其他 MDM 解決方案) ,在受控環境中 (macOS 上部署 適用於端點的 Microsoft Defender,則必須部署新的組態配置檔。 若無法執行這些步驟,會導致使用者收到核准提示,以執行這些新元件。

JAMF

JAMF 系統延伸模塊原則

若要核准系統延伸模組,請建立下列承載:

  1. [計算機 > 組態配置檔] 中 ,選取 [選項 > 系統延伸模組]

  2. [系統延伸 模組類型] 下拉式清單中選取 [允許的 系統延伸 模組]。

  3. 使用 小組標識碼UBF8T346G9

  4. 將下列套件組合識別元新增至 [允許的系統延伸模組] 清單:

    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

     核准的系統延伸模組頁面

隱私權喜好設定原則控制件

新增下列 JAMF 承載,將完整磁碟存取權授與 適用於端點的 Microsoft Defender 端點安全性延伸模組。 此原則是在裝置上執行擴充功能的必要條件。

  1. 取 [選項>隱私權喜好設定原則控件]

  2. 使用 com.microsoft.wdav.epsext 作為 標識碼 ,並 Bundle ID 作為 套件組合類型

  3. 將 [程序代碼需求] 設定為 identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  4. [應用程式或服務] 設定為 [SystemPolicyAllFiles] ,並存取 [ 允許]

     隱私權喜好設定原則控制功能表項

網路擴充原則

作為端點偵測和回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查套接字流量,並將此資訊報告至 Microsoft Defender 入口網站。 下列原則可讓網路擴充功能執行這項功能。

注意事項

JAMF 沒有內容篩選原則的內建支援,這是啟用在裝置上安裝macOS上 適用於端點的 Microsoft Defender網路擴充功能的必要條件。 此外,JAMF 有時會變更所部署原則的內容。 因此,下列步驟提供涉及簽署組態配置檔的因應措施。

  1. 使用文字編輯器將下列內容儲存至您的裝置 com.microsoft.network-extension.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1">
        <dict>
            <key>PayloadUUID</key>
            <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadOrganization</key>
            <string>Microsoft Corporation</string>
            <key>PayloadIdentifier</key>
            <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender Network Extension</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>PayloadRemovalDisallowed</key>
            <true/>
            <key>PayloadScope</key>
            <string>System</string>
            <key>PayloadContent</key>
            <array>
                <dict>
                    <key>PayloadUUID</key>
                    <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                    <key>PayloadType</key>
                    <string>com.apple.webcontent-filter</string>
                    <key>PayloadOrganization</key>
                    <string>Microsoft Corporation</string>
                    <key>PayloadIdentifier</key>
                    <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                    <key>PayloadDisplayName</key>
                    <string>Approved Network Extension</string>
                    <key>PayloadDescription</key>
                    <string/>
                    <key>PayloadVersion</key>
                    <integer>1</integer>
                    <key>PayloadEnabled</key>
                    <true/>
                    <key>FilterType</key>
                    <string>Plugin</string>
                    <key>UserDefinedName</key>
                    <string>Microsoft Defender Network Extension</string>
                    <key>PluginBundleID</key>
                    <string>com.microsoft.wdav</string>
                    <key>FilterSockets</key>
                    <true/>
                    <key>FilterDataProviderBundleIdentifier</key>
                    <string>com.microsoft.wdav.netext</string>
                    <key>FilterDataProviderDesignatedRequirement</key>
                    <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
                </dict>
            </array>
        </dict>
    </plist>
    
  2. 在終端機中執行 公用程式, plutil 確認已正確複製上述檔案:

    $ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
    

    例如,如果檔案儲存在 Documents 中:

    $ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
    

    確認命令會 OK輸出 。

    <PathToFile>/com.microsoft.network-extension.mobileconfig: OK
    
  3. 請遵循 此頁面 上的指示,使用 JAMF 的內建證書頒發機構單位來建立簽署憑證。

  4. 建立憑證並安裝到您的裝置之後,請從終端機執行下列命令來簽署檔案:

    $ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
    

    例如,如果憑證名稱為 SigningCertificate ,且已簽署的檔案將儲存在 Documents 中:

    $ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
    
  5. 從 JAMF 入口網站,流覽至 [ 組態配置檔] ,然後按兩下 [ 上傳] 按鈕。 當系統提示您輸入檔案時,請選擇 com.microsoft.network-extension.signed.mobileconfig 取 。

Intune

Intune 系統延伸模塊原則

若要核准系統擴充功能:

  1. 在 Intune 中,開啟 [管理>裝置設定]。 選取 [管理>配置檔>Create 配置檔]

  2. 選擇設定檔的名稱。 將 Platform=macOS 變更為 Profile type=Extensions。 選取 [建立]

  3. 在索引標籤中 Basics ,提供這個新配置檔的名稱。

  4. 在 索引標籤中 Configuration settings ,於 區段中 Allowed system extensions 新增下列專案:



套件組合標識碼 小組標識碼
com.microsoft.wdav.epsext UBF8T346G9
com.microsoft.wdav.netext UBF8T346G9

 [系統組態配置檔] 頁面

  1. 在索引標籤中 Assignments ,將此配置檔指派給 [所有裝置 & 所有使用者]
  2. 檢閱並建立此組態配置檔。

Create和部署自定義組態配置檔

下列組態配置檔會啟用網路擴充功能,並授與 Endpoint Security 系統擴充功能的完整磁碟存取權。

將下列內容儲存至名為 sysext.xml的檔案:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender System Extensions</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
                <key>PayloadType</key>
                <string>com.apple.webcontent-filter</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
                <key>PayloadDisplayName</key>
                <string>Approved Network Extension</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>FilterType</key>
                <string>Plugin</string>
                <key>UserDefinedName</key>
                <string>Microsoft Defender Network Extension</string>
                <key>PluginBundleID</key>
                <string>com.microsoft.wdav</string>
                <key>FilterSockets</key>
                <true/>
                <key>FilterDataProviderBundleIdentifier</key>
                <string>com.microsoft.wdav.netext</string>
                <key>FilterDataProviderDesignatedRequirement</key>
                <string>identifier &quot;com.microsoft.wdav.netext&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
            </dict>
            <dict>
                <key>PayloadUUID</key>
                <string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
                <key>PayloadType</key>
                <string>com.apple.TCC.configuration-profile-policy</string>
                <key>PayloadOrganization</key>
                <string>Microsoft Corporation</string>
                <key>PayloadIdentifier</key>
                <string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
                <key>PayloadDisplayName</key>
                <string>Privacy Preferences Policy Control</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>Services</key>
                <dict>
                    <key>SystemPolicyAllFiles</key>
                    <array>
                        <dict>
                            <key>Identifier</key>
                            <string>com.microsoft.wdav.epsext</string>
                            <key>CodeRequirement</key>
                            <string>identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
                            <key>IdentifierType</key>
                            <string>bundleID</string>
                            <key>StaticCode</key>
                            <integer>0</integer>
                            <key>Allowed</key>
                            <integer>1</integer>
                        </dict>
                    </array>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

確認已正確複製上述檔案。 從終端機執行下列命令,並確認其輸出:OK

$ plutil -lint sysext.xml
sysext.xml: OK

若要部署此自訂組態設定檔:

  1. 在 Intune 中,開啟 [管理>裝置設定]。 選取 [管理>配置檔>Create 配置檔]

  2. 選擇設定檔的名稱。 變更 Platform=macOS配置檔類型=自定義。 選 取 [設定]

  3. 開啟組態配置檔並上傳 sysext.xml。 此檔案是在上一個步驟中建立的。

  4. 選取 [確定]

    Intune 頁面中的系統延伸模組

  5. 在索引標籤中 Assignments ,將此配置檔指派給 [所有裝置 & 所有使用者]

  6. 檢閱並建立此組態配置檔。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。