本文說明在管理系統擴充過程中應實施的程序,以確保 適用於端點的 Microsoft Defender 能在 macOS 上正常運作。
Jamf
Jamf 系統擴充政策
要核准系統擴充,請執行以下步驟:
選擇 「電腦 > 設定檔」,然後選擇 「系統 > 擴充功能」。
從系統擴充類型下拉選單選擇允許的系統擴充。
用 UBF8T346G9 來顯示團隊識別。
將以下套件識別碼加入 允許系統擴充 列表:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
隱私偏好政策控制 (也稱為全磁碟存取)
新增以下 Jamf 有效載荷,以賦予 適用於端點的 Microsoft Defender 安全擴充的完整磁碟存取權。 此政策是安裝擴充功能時的前提條件。
選擇 選項 > 隱私偏好 政策 控制。
使用 com.microsoft.wdav.epsext 作為識別碼,並以 Bundle ID 作為 Bundle 類型。
將代碼需求設定為 識別碼為 com.microsoft.wdav.epsext,並錨定 apple generic 與certificate 1[field.1.2.840.113635.100.6.2.6] / exists / certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / 以及certificate leaf[subject.OU] = UBF8T346G9。
將 應用程式或服務 設為 SystemPolicyAllFiles ,並存取權限為 允許。
網路擴展政策
作為端點偵測與回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查 socket 流量並將此資訊回報至 Microsoft Defender 入口網站。 以下政策允許網路擴充執行此功能:
注意事項
Jamf 沒有內建內容過濾政策的支援,而內容過濾政策是啟用 macOS 上 適用於端點的 Microsoft Defender 在裝置上安裝的網路擴充的前提。 此外,Jamf 有時會更改所部署政策的內容。 因此,以下步驟提供了一個繞過方法,需要簽署設定檔。
- 請使用文字編輯器將以下內容儲存為 com.microsoft.network-extension.mobileconfig 到您的裝置:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- 請在終端機執行 plutil 工具,確認上述內容是否正確複製到檔案中:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
例如,如果檔案儲存在 文件中:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- 確認指令輸出 正常
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
請依 照本頁 指示,利用 Jamf 內建的憑證授權中心建立簽署憑證。
憑證建立並安裝到裝置後,請從終端機執行以下指令簽署該檔案:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
例如,如果憑證名稱是 SigningCertificate ,且簽署檔案會儲存在 文件中:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- 從 Jamf 入口網站,進入 設定檔 ,選擇 上傳 按鈕。 當系統提示輸入該檔案時,選擇 com.microsoft.network-extension.signed.mobileconfig 。