Novos perfis de configuração para macOS Big Sur e versões mais recentes do macOS
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Se você implantou Microsoft Defender para Ponto de Extremidade no macOS em um ambiente gerenciado (por meio de JAMF, Intune ou outra solução MDM), deverá implantar novos perfis de configuração. A falha em executar essas etapas fará com que os usuários obtenham solicitações de aprovação para executar esses novos componentes.
JAMF
Política de Extensões do Sistema JAMF
Para aprovar as extensões do sistema, crie o seguinte conteúdo:
Em Perfis de Configuração de Computadores>, selecione Opções > Extensões do Sistema.
Selecione Extensões de Sistema Permitidas na lista suspensa Tipos de Extensão do Sistema .
Use UBF8T346G9 para id de equipe.
Adicione os seguintes identificadores de pacote à lista Extensões do Sistema Permitido :
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Controle de política de preferências de privacidade
Adicione a carga JAMF a seguir para conceder acesso total ao disco à extensão de segurança do ponto de extremidade Microsoft Defender para Ponto de Extremidade. Essa política é um pré-requisito para executar a extensão em seu dispositivo.
Selecione Opções>Controle de Política de Preferências de Privacidade.
Use
com.microsoft.wdav.epsextcomo o tipo Identificador eBundle IDcomo Pacote.Definir requisitos de código como
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9Defina Aplicativo ou serviço como SystemPolicyAllFiles e acesso a Permitir.
Política de Extensão de Rede
Como parte dos recursos de Detecção e Resposta do Ponto de Extremidade, Microsoft Defender para Ponto de Extremidade no macOS inspeciona o tráfego do soquete e relata essas informações ao portal Microsoft Defender. A política a seguir permite que a extensão de rede execute essa funcionalidade.
Observação
O JAMF não tem suporte interno para políticas de filtragem de conteúdo, que são um pré-requisito para habilitar as extensões de rede que Microsoft Defender para Ponto de Extremidade em instalações macOS no dispositivo. Além disso, o JAMF às vezes altera o conteúdo das políticas que estão sendo implantadas. Como tal, as etapas a seguir fornecem uma solução alternativa que envolve a assinatura do perfil de configuração.
Salve o seguinte conteúdo em seu dispositivo como
com.microsoft.network-extension.mobileconfigusando um editor de texto:<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1"> <dict> <key>PayloadUUID</key> <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft Corporation</string> <key>PayloadIdentifier</key> <string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string> <key>PayloadDisplayName</key> <string>Microsoft Defender Network Extension</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string> <key>PayloadType</key> <string>com.apple.webcontent-filter</string> <key>PayloadOrganization</key> <string>Microsoft Corporation</string> <key>PayloadIdentifier</key> <string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string> <key>PayloadDisplayName</key> <string>Approved Network Extension</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>FilterType</key> <string>Plugin</string> <key>UserDefinedName</key> <string>Microsoft Defender Network Extension</string> <key>PluginBundleID</key> <string>com.microsoft.wdav</string> <key>FilterSockets</key> <true/> <key>FilterDataProviderBundleIdentifier</key> <string>com.microsoft.wdav.netext</string> <key>FilterDataProviderDesignatedRequirement</key> <string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string> </dict> </array> </dict> </plist>Verifique se o arquivo acima foi copiado corretamente executando o
plutilutilitário no Terminal:$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfigPor exemplo, se o arquivo foi armazenado em Documentos:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfigVerifique se o comando é saídas
OK.<PathToFile>/com.microsoft.network-extension.mobileconfig: OKSiga as instruções nesta página para criar um certificado de assinatura usando a autoridade de certificado interna do JAMF.
Depois que o certificado for criado e instalado em seu dispositivo, execute o seguinte comando do Terminal para assinar o arquivo:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfigPor exemplo, se o nome do certificado for SigningCertificate e o arquivo assinado for armazenado em Documentos:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfigNo portal do JAMF, navegue até Perfis de Configuração e clique no botão Carregar . Selecione
com.microsoft.network-extension.signed.mobileconfigquando solicitado para o arquivo.
Intune
política de extensões do sistema Intune
Para aprovar as extensões do sistema:
Em Intune, abra Gerenciar>configuração do dispositivo. Selecione Gerenciar>Perfis>Create Perfil.
Escolha um nome para o perfil. Altere Platform=macOS para Profile type=Extensions. Selecione Criar.
BasicsNa guia, dê um nome a esse novo perfil.Configuration settingsNa guia, adicione as seguintes entradas naAllowed system extensionsseção:
| Identificador de pacote | Identificador de equipe |
|---|---|
| com.microsoft.wdav.epsext | UBF8T346G9 |
| com.microsoft.wdav.netext | UBF8T346G9 |
- Na guia, atribua
Assignmentsesse perfil a Todos os Usuários & Todos os dispositivos. - Examine e crie esse perfil de configuração.
Create e implantar o Perfil de Configuração Personalizada
O perfil de configuração a seguir habilita a extensão de rede e concede acesso completo ao disco à extensão do sistema de segurança do ponto de extremidade.
Salve o conteúdo a seguir em um arquivo chamado sysext.xml:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>7E53AC50-B88D-4132-99B6-29F7974EAA3C</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender System Extensions</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
<dict>
<key>PayloadUUID</key>
<string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
<key>PayloadType</key>
<string>com.apple.TCC.configuration-profile-policy</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>56105E89-C7C8-4A95-AEE6-E11B8BEA0366</string>
<key>PayloadDisplayName</key>
<string>Privacy Preferences Policy Control</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>Services</key>
<dict>
<key>SystemPolicyAllFiles</key>
<array>
<dict>
<key>Identifier</key>
<string>com.microsoft.wdav.epsext</string>
<key>CodeRequirement</key>
<string>identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>IdentifierType</key>
<string>bundleID</string>
<key>StaticCode</key>
<integer>0</integer>
<key>Allowed</key>
<integer>1</integer>
</dict>
</array>
</dict>
</dict>
</array>
</dict>
</plist>
Verifique se o arquivo acima foi copiado corretamente. No Terminal, execute o seguinte comando e verifique se ele é saída :OK
$ plutil -lint sysext.xml
sysext.xml: OK
Para implantar este perfil de configuração personalizado:
Em Intune, abra Gerenciar>configuração do dispositivo. Selecione Gerenciar>Perfis>Create perfil.
Escolha um nome para o perfil. Alterar Platform=macOS e Profile type=Custom. Selecione Configurar.
Abra o perfil de configuração e carregue sysext.xml. Esse arquivo foi criado na etapa anterior.
Clique em OK.
Na guia, atribua
Assignmentsesse perfil a Todos os Usuários & Todos os dispositivos.Examine e crie esse perfil de configuração.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.