Gestire le estensioni di sistema con Jamf
Questo articolo descrive le procedure da implementare nel processo di gestione delle estensioni di sistema per garantire che Microsoft Defender per endpoint funzionino correttamente in macOS.
Jamf
Criteri delle estensioni del sistema Jamf
Per approvare le estensioni di sistema, seguire questa procedura:
Selezionare Profili di configurazione computer >e quindi opzioni > Estensioni di sistema.
Selezionare Allowed System Extensions (Estensioni di sistema consentite ) dall'elenco a discesa System Extension Types (Tipi di estensione di sistema).
Usare UBF8T346G9 per ID team.
Aggiungere gli identificatori di bundle seguenti all'elenco Delle estensioni di sistema consentite :
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Privacy Preferences Policy Control (noto anche come Accesso completo al disco)
Aggiungere il payload Jamf seguente per concedere l'accesso completo al disco all'estensione di sicurezza Microsoft Defender per endpoint. Questo criterio è un prerequisito per l'esecuzione dell'estensione nel dispositivo.
Selezionare Opzioni Privacy Preferences Policy Control (Controllo criteri preferenze privacy).>
Usare com.microsoft.wdav.epsext come identificatore e ID bundle come tipo di bundle.
Impostare Requisito di codice su identifier com.microsoft.wdav.epsext e anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2. 6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject. OU] = UBF8T346G9.
Impostare App o service su SystemPolicyAllFiles e l'accesso a Allow.
Criteri di estensione di rete
Come parte delle funzionalità di rilevamento e risposta degli endpoint, Microsoft Defender per endpoint in macOS controlla il traffico socket e segnala queste informazioni al portale di Microsoft Defender. I criteri seguenti consentono all'estensione di rete di eseguire questa funzionalità:
Nota
Jamf non dispone del supporto predefinito per i criteri di filtro del contenuto, che sono un prerequisito per abilitare le estensioni di rete che Microsoft Defender per endpoint in macOS vengono installate nel dispositivo. Inoltre, Jamf talvolta modifica il contenuto dei criteri distribuiti. Di conseguenza, i passaggi seguenti forniscono una soluzione alternativa che prevede la firma del profilo di configurazione.
- Salvare il contenuto seguente nel dispositivo come com.microsoft.network-extension.mobileconfig usando un editor di testo:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- Verificare che il contenuto precedente sia stato copiato correttamente nel file eseguendo l'utilità plutil nel terminale:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
Ad esempio, se il file è stato archiviato in Documenti:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- Verificare che il comando restituisca OK
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
Seguire le istruzioni riportate in questa pagina per creare un certificato di firma usando l'autorità di certificazione predefinita di Jamf.
Dopo aver creato e installato il certificato nel dispositivo, eseguire il comando seguente dal terminale per firmare il file:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
Ad esempio, se il nome del certificato è SigningCertificate e il file firmato verrà archiviato in Documenti:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- Nel portale jamf passare a Profili di configurazione e selezionare il pulsante Carica . Selezionare com.microsoft.network-extension.signed.mobileconfig quando richiesto per il file.