使用行動裝置管理 (MDM),管理員可以配置 macOS 代理所需的權限,無需終端使用者進行額外操作。除了設置權限外,下列部分還提供了正確部署 MDM 的說明,以便
伺服器與工作負載保護 的 macOS 代理在終端使用者無需彈出窗口(例如請求權限)的情況下運行。
配置所需權限
在為 macOS 代理程式建立 伺服器與工作負載保護 的 MDM 設定檔之前,必須配置以下項目,以確保在初次安裝 macOS 代理程式的 伺服器與工作負載保護 後,不會在 macOS 端點上顯示彈出視窗。
配置核心擴展
macOS10.15 需要用戶批准才能加載新的第三方核心擴展。伺服器與工作負載保護 的 Mac 代理使用核心擴展來實現核心防護的實時保護功能。為了確保您的產品能夠全面保護您的系統,您需要手動允許這些擴展。
以下核心擴展 MDM 配置檔創建欄位是必需的:
<key>AllowedKernelExtensions</key> <dict> <key>E8P47U2H32</key> <array> <string>com.trendmicro.kext.KERedirect</string> <string>com.trendmicro.kext.filehook</string> </array> </dict> <key>AllowedTeamIdentifiers</key> <array> <string>E8P47U2H32</string> </array> <key>PayloadType</key> <string>com.apple.syspolicy.kernel-extension-policy</string>
配置系統擴充功能
為了遵守 Apple 對軟體開發人員的指南變更,從 macOS Big Sur 11.0 開始,系統不再載入核心擴充功能。因此,伺服器與工作負載保護 的 macOS 代理已更新為我們的端點安全性和網路擴充框架。
-
com.trendmicro.icore.es.sa:端點安全是一個 C API,用於監控系統事件以檢測潛在的惡意活動。這些事件包括進程執行、掛載文件系統、分叉進程和發出信號。參考資料請見:https://developer.apple.com/documentation/endpointsecurity。 -
com.trendmicro.icore.netfilter.sa:自訂和擴展核心網路功能。參考資料,請參閱:https://developer.apple.com/documentation/networkextension。
以下系統擴充欄位為必填項目:
<key>AllowUserOverrides</key> <true/> <key>AllowedSystemExtensionTypes</key> <dict> <key>E8P47U2H32</key> <array> <string>EndpointSecurityExtension</string> <string>NetworkExtension</string> </array> </dict> <key>AllowedSystemExtensions</key> <dict> <key>E8P47U2H32</key> <array> <string>com.trendmicro.icore.es</string> <string>com.trendmicro.icore.netfilter</string> </array> </dict> <key>PayloadType</key> <string>com.apple.system-extension-policy</string> <key>PayloadDisplayName</key> <string>System Extension</string>
配置 Web 內容過濾器
裝置上的網路內容過濾器會在使用者的網路內容通過網路堆疊時進行檢查,並決定該內容是否應該被已封鎖或允許暫不處理到其最終目的地。欲了解更多詳情,請參閱 內容過濾器提供者。
在建立 MDM 設定檔時,以下 Web 內容過濾器欄位是必填的:
<key>FilterBrowsers</key> <true/> <key>FilterDataProviderBundleIdentifier</key> <string>com.trendmicro.icore.netfilter</string> <key>FilterDataProviderDesignatedRequirement</key> <string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string> <key>FilterGrade</key> <string>firewall</string> <key>FilterPackets</key> <false/> <key>FilterSockets</key> <true/> <key>FilterType</key> <string>Plugin</string> <key>PayloadType</key> <string>com.apple.webcontent-filter</string> <key>PluginBundleID</key> <string>com.trendmicro.icore</string>
配置完整磁碟存取權限
 |
注意 |
完全磁碟存取權限是 macOS Mojave (10.14) 引入的一項隱私安全功能,可防止某些應用程式存取您在 Mail、Messages、TimeMachine
和 Safari 檔案中的重要資料。例如,您需要手動授與某些應用程式存取這些受保護區域的權限,以便它們能夠存取您 macOS 端點中的這些區域。
|
注意在較早版本的 macOS (10.13 及以下版本) 中,此權限會在安裝您的產品時自動授予。
|
 |
警告如果未啟用完整磁碟存取權限,伺服器與工作負載保護 將無法掃瞄您 macOS 端點的所有區域。這意味著它無法完全保護您的端點免受惡意程式和其他網路安全威脅的侵害,並且只能掃瞄系統資料夾和硬碟的有限部分。
|
配置瀏覽器插件擴充功能
(可選)將以下設定檔添加到 MDM 並部署到受管理的 macOS 電腦防護,以自動啟用 Chrome 或 Firefox 擴充功能並避免彈出訊息:
安裝 "Google Chrome Extension" 後,即使尚未安裝 伺服器與工作負載保護 macOS 代理程式,Chrome 仍會從 Chrome Store 下載並安裝 "趋势科技工具栏 for Mac"。目前 "趋势科技工具栏 for Mac" 的功能尚未啟用,且無法透過卸載程式移除。
安裝 "Mozilla Firefox 擴充功能" 後,可能會顯示 MDM 已配置,但仍會彈出提示您安裝 Firefox 擴充功能的彈出視窗。這是時間問題。實際上,Firefox
擴充功能已成功安裝,您可以暫不處理該彈出視窗。
|
注意由於 Apple 的限制,無法透過 MDM 自動部署 Safari 瀏覽器的瀏覽器延伸。
|
從行動裝置管理 (MDM) 部署代理程式
在您為 macOS 代理在 伺服器與工作負載保護 上配置行動裝置管理後,您可以在您的 MDM 解決方案中匯入部署腳本以安裝代理。
- 有關部署腳本的資訊,請參閱:使用部署腳本來新增和保護電腦。
- 如需有關使用 AirWatch 或 Intune MDM 控制台部署代理的說明,請參閱:通過 AirWatch (Workspace One) 和 Microsoft Intune 安裝 Mac 端點和 伺服器與工作負載保護 代理。