針對macOS上 適用於端點的 Microsoft Defender中的系統擴充功能問題進行疑難解答

適用於：

• macOS 上適用於端點的 Microsoft Defender
• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

您可以在裝置上開啟 Mac 上的 適用於端點的 Microsoft Defender，並流覽至 [說明>傳送意見反應]，以提交意見反應。

另一個選項是透過 Microsoft Defender 全面偵測回應 提交意見反應，方法是啟動 security.microsoft.com 並選取 [提供意見反應] 索引標籤。

本文提供如何針對安裝為 macOS 上 適用於端點的 Microsoft Defender 一部分的系統延伸模塊問題進行疑難解答的資訊。

從 macOS BigSur (11) 開始，Apple 的 macOS 需要明確核准所有系統延伸模組，才能在裝置上執行。

徵兆

您會注意到 適用於端點的 Microsoft Defender 盾中有 x 符號，如下列螢幕快照所示：

如果您按下具有 x 符號的防護，您會取得選項，如下列螢幕快照所示：

按兩下 [需要的動作]。

如下列螢幕快照所示的畫面隨即出現：

您也可以執行 mdatp 健康情況：它會報告是否已啟用即時保護，但無法使用。 此報告指出系統擴充功能未核准在您的裝置上執行。

mdatp health

執行 mdatp 健全 狀況的輸出如下：

healthy                            : false
health_issues                    : ["no active event provider", "network event provider not running", "full disk access has not been granted"]
...
real_time_protection_enabled    : unavailable
real_time_protection_available: unavailable
...
full_disk_access_enabled        : false

在執行 mdatp 健全 狀況時顯示的輸出報告如下列螢幕快照所示：

原因

macOS 要求使用者手動並明確核准應用程式所使用的特定函式，例如系統擴充功能、在背景中執行、傳送通知、完整磁碟存取等等。 適用於端點的 Microsoft Defender依賴這些應用程式，而且必須等到收到使用者的同意後才能正常運作。

如果您在 macOS 上部署/ 安裝 適用於端點的 Microsoft Defender 期間未核准系統擴充功能，請執行下列步驟：

1. 在終端機中執行下列命令來檢查系統擴充功能：

   systemextensionsctl list
   

   

您會注意到 macOS 擴充功能上的兩個 適用於端點的 Microsoft Defender 都處於 [已啟用等候使用者] 狀態。

2. 在終端機中，執行下列命令：

   mdatp health --details system_extensions
   

您將取得下列輸出：

network_extension_enabled                 : false
network_extension_installed                 : true
endpoint_security_extension_ready           : false
endpoint_security_extension_installed        : true

下列螢幕快照顯示此輸出：

如果您透過 Intune、JamF 或其他 MDM 解決方案來管理它，則可能會遺失下列檔案：

若要針對遺失的檔案問題進行疑難解答，讓macOS上的 適用於端點的 Microsoft Defender正常運作，請參閱mac上的 適用於端點的 Microsoft Defender。

解決方案

本節說明使用管理工具核准系統擴充功能、背景服務、通知、完整磁碟存取等功能的解決方案，也就是 Intune、JamF、其他 MDM，以及使用手動部署的方法。 若要使用這些管理工具執行這些功能，請參閱：

• Intune
• JamF
• 其他 MDM
• 手動部署

必要條件

在核准系統擴充功能之前， (使用任何指定的管理工具) ，請確定已滿足下列必要條件：

步驟 1：配置檔是否進入您的 macOS？

如果您使用 Intune，請參閱在 Intune 中管理macOS軟體更新原則。

1. 按兩下三個點) (省略號。

2. 選 取 [重新整理裝置]。 如下列螢幕快照所示的畫面隨即出現：

   

3. 在 Launchpad 中，輸入 系統喜好設定。

4. 按兩下 [配置檔]。

   注意事項

   如果您未加入 MDM，則不會看到 [配置檔 ] 作為選項。 請連絡您的 MDM 支援小組，以了解為何看不到 [配置檔 ] 選項。 您應該能夠看到不同的配置檔，例如 系統延伸模組、 輔助功能、 背景服務、 通知、 Microsoft AutoUpdate 等等，如先前的螢幕快照所示。

如果您使用 JamF，請使用 sudo jamf 原則。 如需詳細資訊，請參閱 原則管理。

步驟 2：確定已啟用 適用於端點的 Microsoft Defender 所需的設定檔

提供啟用 適用於端點的 Microsoft Defender 所需配置檔指引的章節會根據您在macOS上部署 適用於端點的 Microsoft Defender的方法，提供如何解決此問題的指引。

使用建議的命名慣例可讓您在檢查時確認正確的配置檔已卸除。

在終端機中，輸入下列語法：

curl -O https://URL

例如：

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mobileconfig/profiles/sysext.mobileconfig

提供啟用 適用於端點的 Microsoft Defender 所需配置檔指引的章節

1. • 函式： 核准系統延伸模組
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/sysext.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：必須移至 [ 安全性喜好設定] 或 [系統喜好 > 設定安全性] & [隱私 權]，然後選取 [ 允許]，以核准擴充功能。
2. • 函數： 網路篩選
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/netfilter.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：必須移至 [ 安全性喜好設定] 或 [系統喜好 > 設定安全性] & [隱私 權]，然後選取 [ 允許]，以核准擴充功能。
3. • 函式： 隱私權喜好設定原則控制 (PPPC、也稱為 TCC (透明度、同意 & 控制) 、完整磁碟存取 (的) )
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：必須移至 [安全性喜好設定] 或 [系統喜好>設定安全性] & [隱私權>>完整磁碟存取] 來核准擴充功能，然後選取 [允許]，然後核取下列方塊旁的方塊：
       • Microsoft Defender
       • Microsoft Defender 安全性延伸模組
4. • 函式：在背景中執行
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/background_services.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：不適用
5. • 函式：傳送通知
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/notif.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：不適用
6. • 函式：輔助功能
   • 行動裝置設定 (plist) ： https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/accessibility.mobileconfig
   • 適用於：
     • Intune：是
     • JamF：是
     • 其他 MDM：是
     • 手動：不適用

步驟 3：使用 macOS 內建的「配置檔」工具來測試已安裝的配置檔。 它會比較您的配置檔與我們在 GitHub 中發佈的配置檔、報告完全遺漏不一致的配置檔或設定檔

1. 從 https://github.com/microsoft/mdatp-xplat/tree/master/macos/mdm下載腳本。
2. 按兩下 [原始]。 新的網址將會是 https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py。
3. 在終端機中執行下列 命令，將 它儲存為 下載 analyze_profiles.py：

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py

4. 在終端機中執行下列命令，以執行不含任何參數的配置檔分析器 python3 腳本：

   cd /Downloads  
   sudo python3 analyze_profiles.py

OR

5. 執行下列命令，直接從 Web 執行文稿：

   sudo curl https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/mdm/analyze_profiles.py        
| python3 -

輸出會顯示配置檔的所有潛在問題。

建議的內容

• 使用 Jamf Pro 在 macOS 上部署 適用於端點的 Microsoft Defender：瞭解如何使用 Jamf Pro 在 macOS 上部署 適用於端點的 Microsoft Defender。
• 在 Jamf Pro 中設定 macOS 原則的 適用於端點的 Microsoft Defender：瞭解如何在 Jamf Pro 中設定 macOS 原則的 適用於端點的 Microsoft Defender。
• 在 Jamf Pro 中設定裝置群組：瞭解如何在 Jamf Pro 中設定裝置群組，以在 macOS 上 適用於端點的 Microsoft Defender。
• 登入 Jamf Pro