使用 Jamf 管理系統擴充功能
本文說明在管理系統擴充功能的過程中要實作的程式,以確保 適用於端點的 Microsoft Defender 在macOS上正常運作。
Jamf
Jamf 系統延伸模塊原則
若要核准系統擴充功能,請執行下列步驟:
選取 [計算機 > 組態配置檔],然後選取 [ 選項 > 系統延伸模組]。
從 [系統延伸 模組類型] 下拉式清單中選取 [允許的 系統延伸 模組]。
使用 小組標識碼UBF8T346G9 。
將下列套件組合識別元新增至 [允許的系統延伸模組] 清單:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
隱私權喜好設定原則控制 (也稱為完整磁碟存取)
新增下列 Jamf 承載,以授與 適用於端點的 Microsoft Defender 安全性延伸模組的完整磁碟存取權。 此原則是在裝置上執行擴充功能的必要條件。
選 取 [選項 > 隱私權喜好設定原則控件]。
使用 com.microsoft.wdav.epsext 作為標識符,並使用 套件組合標識 碼作為套件組合類型。
將程式代碼需求 設定為標識符 com.microsoft.wdav.epsext 和錨點 apple generic 和憑證 1[field.1.2.840.113635.100.6.2 .6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject.OU] = UBF8T346G9。
將 [應用程式或服務] 設定為 [SystemPolicyAllFiles] ,並存取 [ 允許]。
網路擴充原則
作為端點偵測和回應功能的一部分,macOS 上的 適用於端點的 Microsoft Defender 會檢查套接字流量,並將此資訊報告至 Microsoft Defender 入口網站。 下列原則可讓網路擴充功能執行這項功能:
注意事項
Jamf 沒有內容篩選原則的內建支援,這是啟用在裝置上安裝macOS上 適用於端點的 Microsoft Defender網路擴充功能的必要條件。 此外,Jamf 有時會變更所部署原則的內容。 因此,下列步驟提供涉及簽署組態配置檔的因應措施。
- 使用文本編輯器,將下列內容以 com.microsoft.network-extension.mobileconfig 格式儲存 至您的裝置:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>DA2CC794-488B-4AFF-89F7-6686A7E7B8AB</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>2BA070D9-2233-4827-AFC1-1F44C8C8E527</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>CEBF7A71-D9A1-48BD-8CCF-BD9D18EC155A</string>
<key>PayloadDisplayName</key>
<string>Approved Network Extension</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>UserDefinedName</key>
<string>Microsoft Defender Network Extension</string>
<key>PluginBundleID</key>
<string>com.microsoft.wdav</string>
<key>FilterSockets</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.microsoft.wdav.netext</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
</dict>
</array>
</dict>
</plist>
- 在終端機中執行 plutil 公用程式,確認上述內容已正確複製到檔案中:
$ plutil -lint <PathToFile>/com.microsoft.network-extension.mobileconfig
例如,如果檔案儲存在 Documents 中:
$ plutil -lint ~/Documents/com.microsoft.network-extension.mobileconfig
- 確認命令輸出 正常
<PathToFile>/com.microsoft.network-extension.mobileconfig: OK
請遵循 此頁面 上的指示,使用 Jamf 的內建證書頒發機構單位建立簽署憑證。
建立憑證並安裝到您的裝置之後,請從終端機執行下列命令來簽署檔案:
$ security cms -S -N "<CertificateName>" -i <PathToFile>/com.microsoft.network-extension.mobileconfig -o <PathToSignedFile>/com.microsoft.network-extension.signed.mobileconfig
例如,如果憑證名稱為 SigningCertificate ,且已簽署的檔案將儲存在 Documents 中:
$ security cms -S -N "SigningCertificate" -i ~/Documents/com.microsoft.network-extension.mobileconfig -o ~/Documents/com.microsoft.network-extension.signed.mobileconfig
- 從 Jamf 入口網站,流覽至 [ 組態配置檔] ,然後選取 [ 上傳] 按鈕。 當系統提示您輸入檔案時,請選取 com.microsoft.network-extension.signed.mobileconfig 。