Eszközvezérlés macOS-hez

Cikk
02/01/2025

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Követelmények

A Mac eszközvezérlésének előfeltételei a következők:

Végponthoz készült Defender vagy Defender Vállalati verzió licencek (próbaverziós előfizetés lehet)
Operációs rendszer minimális verziója: macOS 11 vagy újabb
Minimális termékverzió: 101.34.20

Áttekintés

A végponthoz készült Defender eszközvezérlése macOS rendszeren a következőket teszi lehetővé:

Cserélhető tárolók olvasási, írási vagy végrehajtási hozzáférésének naplózása, engedélyezése vagy megakadályozása; és
Az iOS- és portable-eszközök, valamint az Apple APFS által titkosított eszközök és Bluetooth-adathordozók kezelése kizárásokkal vagy azok nélkül.

A végpontok előkészítése

Teljes lemezes hozzáférés üzembe helyezése: előfordulhat, hogy más MDE funkciókhoz is létrehozta és telepítette.https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig Teljes lemezes hozzáférési engedélyt kell adnia egy új alkalmazáshoz: com.microsoft.dlp.daemon.
Engedélyezze az Eszközvezérlést a Végponthoz készült Defender beállításaiban:
- Adatveszteség-megelőzés (DLP)/Funkciók
- A Szolgáltatásnév mezőbe írja be a következőt: DC_in_dlp
- A State (Állam) mezőben adja meg a enabled

1. példa: JAMF schema.json használatával.

Képernyőkép az eszközvezérlés engedélyezéséről az Végponthoz készült Microsoft Defender adatveszteség-megelőzési és -szolgáltatásokban.

2. példa: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
    <dict> 
      <key>name</key>
      <string>DC_in_dlp</string>
      <key>state</key>
      <string>enabled</string>
    </dict>
  </array>
</dict>

Minimális termékverzió: 101.91.92 vagy újabb
Futtassa az parancsot mdatp version a Terminálon az ügyfélszámítógép termékverziójának megtekintéséhez:

A szabályzatok ismertetése

A szabályzatok határozzák meg a macOS-eszközök vezérlésének viselkedését. A szabályzat Intune vagy JAMF-en keresztül van megcélzva gépek vagy felhasználók egy gyűjteményére.

A macOS-házirend eszközvezérlése beállításokat, csoportokat és szabályokat tartalmaz:

A "beállítások" nevű globális beállítás lehetővé teszi a globális környezet meghatározását.
A nevű groups csoporttal médiacsoportokat hozhat létre. Például engedélyezett USB-csoport vagy titkosított USB-csoport.
A "szabályok" nevű hozzáférési szabályzatszabály lehetővé teszi, hogy szabályzatot hozzon létre az egyes csoportok korlátozásához. Például csak engedéllyel rendelkező felhasználó írhat hozzáféréssel rendelkező USB-csoportot.

Megjegyzés:

Javasoljuk, hogy a GitHubon található példák segítségével ismerje meg a tulajdonságokat: mdatp-devicecontrol/Cserélhető tároló Access Control Samples/macOS/policy a fő helyen – microsoft/mdatp-devicecontrol (github.com).

A parancsprogramokat az mdatp-devicecontrol/tree/main/python#readme címen is használhatja a main – microsoft/mdatp-devicecontrol (github.com) címen a Windows-eszközvezérlési szabályzat macOS-eszközvezérlési szabályzatra való fordításához, vagy a macOS Device Control V1 szabályzat lefordításához erre a V2-szabályzatra.

Megjegyzés:

Vannak olyan ismert problémák a macOS-eszközök vezérlésével kapcsolatban, amelyeket az ügyfeleknek érdemes megfontolni a szabályzatok létrehozásakor.

Gyakorlati tanácsok

A macOS eszközvezérlése a Windows eszközvezérléséhez hasonló képességekkel rendelkezik, de a macOS és a Windows különböző mögöttes képességeket biztosít az eszközök kezeléséhez, ezért van néhány fontos különbség:

A macOS nem rendelkezik központosított Eszközkezelő vagy az eszközök nézetével. Az eszközökkel kommunikáló alkalmazások hozzáférése meg van adva/megtagadva. Ezért macOS rendszeren a hozzáférés-típusok gazdagabb készlete érhető el. Egy szabályzat például portableDevice megtagadhatja vagy engedélyezheti a következőt download_photos_from_device: .
A Windows-zal való konzisztensség érdekében vannak generic_read,generic_write és generic_execute hozzáférési típusok. Az általános hozzáférési típusokkal rendelkező szabályzatokat nem kell módosítani, ha a jövőben konkrétabb hozzáférési típusokat adnak hozzá. Az ajánlott eljárás az általános hozzáférési típusok használata, kivéve, ha egy konkrétabb művelet megtagadására/engedélyezésére van szükség.
deny Ha általános hozzáférési típusok használatával hoz létre szabályzatot, a legjobb módszer az adott eszköz (például Android-telefonok) összes műveletének teljes letiltására, de továbbra is előfordulhatnak hiányosságok, ha a műveletet olyan alkalmazással hajtják végre, amelyet a macOS-eszközvezérlés nem támogat.

Beállítások

Az alábbi tulajdonságokat használhatja a macOS-eszközök eszközvezérlési szabályzatának csoportjainak, szabályainak és beállításainak létrehozásakor.

Tulajdonság neve	Leírás	Beállítások
Funkciók	Funkcióspecifikus konfigurációk	A következő funkciók esetében false (hamis) vagy true (igaz) értékre állítható `disable` be: - `removableMedia` - `appleDevice` - `portableDevice`, beleértve a kamerát vagy a PTP-adathordozót - `bluetoothDevice` Az alapértelmezett érték a `true`, tehát ha nem konfigurálja ezt az értéket, az nem lesz alkalmazva, még akkor sem, ha egyéni szabályzatot hoz létre a számára `removableMedia`, mert az alapértelmezés szerint le van tiltva.
globális	Alapértelmezett kényszerítés beállítása	A következőt állíthatja be `defaultEnforcement` : - `allow` (alapértelmezett) - `deny`
Ux	Az értesítésben beállíthat egy hivatkozást.	`navigationTarget: string`. Példa: `"http://www.microsoft.com"`

Csoport

Tulajdonság neve	Leírás	Beállítások
`$type`	A csoport típusa	"eszköz"
`id`	A GUID egy egyedi azonosító, amely a csoportot jelöli, és a szabályzatban használatos.	Az azonosítót a New-Guid (Microsoft.PowerShell.Utility) – PowerShell vagy az uuidgen paranccsal hozhatja létre macOS rendszeren
`name`	A csoport rövid neve.	sztring
`query`	A csoporthoz tartozó médialefedettség	Részletekért tekintse meg a lekérdezéstulajdonság-táblákat.

Lekérdezés

Az Eszközvezérlés kétféle lekérdezést támogat:

Az 1. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Beállítások
`$type`	A záradékokon végrehajtandó logikai művelet azonosítása	all: A záradékok alá tartozó attribútumokés kapcsolatnak számítanak. Ha például a rendszergazda minden csatlakoztatott USB esetében a és `serialNumber`a értéket adja `vendorId` meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek. és: egyenértékű az összes bármely: A záradékok alá tartozó attribútumok a Következők: Vagy kapcsolat. Ha például a rendszergazda minden csatlakoztatott USB esetében a és `serialNumber`a értéket állítja `vendorId` be, a rendszer mindaddig végrehajtja a kényszerítési műveletet, amíg az USB-nek azonos `vendorId` vagy `serialNumber` értékűnek kell lennie. vagy: egyenértékű bármely
`clauses`	Csoportfeltétel beállítása médiaeszköz-tulajdonság használatával.	A csoporttagság meghatározására kiértékelt záradékobjektumok tömbje. Lásd a Záradék szakaszt.

A 2. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Beállítások
`$type`	A rész lekérdezésen végrehajtandó logikai művelet azonosítása	not: lekérdezés logikai tagadása
`query`	Egy albekérdezés	Egy nem konkretált lekérdezés.

Záradék

Záradék tulajdonságai

Tulajdonság neve	Leírás	Beállítások
`$type`	A záradék típusa	A támogatott záradékokért tekintse meg az alábbi táblázatot.
`value`	$type használandó érték

Támogatott záradékok

záradék $type	érték	Leírás
`primaryId`	Az alábbiak egyike: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	Négyjegyű hexadecimális sztring	Megfelel egy eszköz szállítóazonosítójának
`productId`	Négyjegyű hexadecimális sztring	Megfelel egy eszköz termékazonosítójának
`serialNumber`	sztring	Egy eszköz sorozatszámának felel meg. Nem egyezik, ha az eszköz nem rendelkezik sorozatszámmal.
`encryption`	apfs	Egyezés, ha egy eszköz apfs-titkosított.
`groupId`	UUID sztring	Egyezés, ha egy eszköz egy másik csoport tagja. Az érték annak a csoportnak az UUID-ját jelöli, amely alapján egyezni szeretne. A csoportot a záradék előtt kell definiálni a szabályzatban.

Hozzáférési szabályzatszabály

Tulajdonság neve	Leírás	Beállítások
`id`	A GUID, egy egyedi azonosító, a szabályt jelöli, és a szabályzatban használatos.	New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen
`name`	Sztring, a szabályzat neve. A bejelentési értesítésben a szabályzatbeállítás alapján jelenik meg.
`includeGroups`	Azok a csoportok, amelyekre a szabályzat vonatkozik. Ha több csoport van megadva, a szabályzat az összes csoport összes adathordozójára érvényes. Ha nincs megadva, a szabály minden eszközre érvényes.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel a `includeGroups`fájlban, akkor az ÉS. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	Azok a csoportok, amelyekre a szabályzat nem vonatkozik.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel az excludeGroupsban, az VAGY.
`entries`	Egy szabály több bejegyzést is tartalmazhat; minden egyedi GUID azonosítóval rendelkező bejegyzés egy korlátozást jelez az Eszközvezérlés számára.	A részletekért tekintse meg a cikk későbbi, bejegyzéstulajdonságokat tartalmazó táblázatát.

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Tulajdonság neve	Leírás	Beállítások
`$type`		Tartalma: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice` - `generic`
kikényszerítés		- `$type`: - `allow` - `deny` - `auditAllow` - `auditDeny` Ha $type engedélyezés van kiválasztva, a beállítás értéke a következőket támogatja: - `disable_audit_allow` Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt. Ha $type megtagadás van kiválasztva, a beállítás értéke a következőket támogatja: `disable_audit_deny` Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt. Ha $type auditAllow érték van kiválasztva, a beállítás értéke a következőket támogatja: `send_event` Ha $type auditDeny érték van kiválasztva, a beállítás értéke a következőket támogatja: `send_event` `show_notification`
`access`		Adjon meg egy vagy több hozzáférési jogosultságot ehhez a szabályhoz. Ezek lehetnek eszközspecifikus részletes engedélyek vagy szélesebb körű általános engedélyek. Az alábbi táblázatban további részleteket talál az adott bejegyzés $type érvényes hozzáférési típusairól.
`id`	UUID

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Kikényszerítés

Kényszerítési tulajdonság neve

Tulajdonság neve	Leírás	Beállítások
`$type`	A kényszerítés típusa	A támogatott kényszerítésekért tekintse meg az alábbi táblázatot
`options`	$type használandó érték	A bejegyzés beállításainak tömbje. Kihagyható, ha nem kívánt beállításokat szeretne megadni.

Kényszerítési típus

Tulajdonság neve	Leírás	Beállítások
`Enforcement $type`	`options` values [string]	Leírás
`allow`	`disable_audit_allow`	Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt.
`deny`	`disable_audit_deny`	Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt.
`auditAllow`	`send_event`	Telemetria küldése
`auditDeny`	- `send_event` - `show_notification`	– Telemetria küldése – Felhasználói felület letiltása a felhasználó számára

Hozzáférési típusok

bejegyzés $type	"access" értékek [sztring]	Általános hozzáférés	Leírás
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	fénykép letöltése az adott iOS-eszközről a helyi gépre
appleDevice	download_files_from_device	generic_read	fájlok letöltése az adott iOS-eszközről a helyi gépre
appleDevice	sync_content_to_device	generic_write	tartalom szinkronizálása helyi gépről adott iOS-eszközre
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	Debug	generic_execute	ADB-eszközvezérlő
* removableMedia	olvas	generic_read
removableMedia	ír	generic_write
removableMedia	kivégez	generic_execute	generic_read
bluetoothDevice	download_files_from_device
bluetoothDevice	send_files_to_device	generic_write
általános	generic_read		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_read feleltet meg.
általános	generic_write		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_write felel meg.
általános	generic_execute		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_execute feleltet meg.

Végfelhasználói élmény

Ha a megtagadás megtörténik, és az értesítés engedélyezve van a szabályzatban, a végfelhasználó megjelenik egy párbeszédpanelen:

Állapot

Az eszközvezérlés állapotának vizsgálatához használja a következőt mdatp health --details device_control :

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

active - funkcióverzió, a következőnek kell megjelennie: ["v2"]. (Az eszközvezérlés engedélyezve van, de nincs konfigurálva.)
- [] – Az eszközvezérlés nincs konfigurálva ezen a gépen.
- ["v1"] – Az Eszközvezérlés előzetes verzióját használja. Migrálás a 2. verzióra ezzel az útmutatóval. A v1 elavultnak minősül, és nem szerepel ebben a dokumentációban.
- ["v1", "v2"] – A v1 és a v2 is engedélyezve van. Kivezetés az 1-ből.
v1_configured – v1-konfiguráció van alkalmazva
v1_enforcement_level - ha a v1 engedélyezve van
v2_configured – v2-konfiguráció van alkalmazva
v2_state - v2 állapot, enabled ha teljes mértékben működik
v2_sensor_connection - ha created_ok, akkor az Eszközvezérlés kapcsolatot létesített a rendszerbővítménysel
v2_full_disk_access - ha nem approved, akkor az Eszközvezérlés nem tudja megakadályozni néhány vagy az összes műveletet

Jelentés

A szabályzateseményt a Speciális veszélyforrás-keresés és az Eszközvezérlés jelentésben tekintheti meg. További információ: A szervezet adatainak védelme az eszközvezérléssel.

Forgatókönyvek

Íme néhány gyakori forgatókönyv, amelyek segítenek az eszközvezérlés Végponthoz készült Microsoft Defender és Végponthoz készült Microsoft Defender megismerésében.

1. forgatókönyv: A cserélhető adathordozók megtagadása, de adott USB-k engedélyezése

Ebben a forgatókönyvben két csoportot kell létrehoznia: egy csoportot minden cserélhető adathordozóhoz, egy másikat pedig a jóváhagyott USB-csoporthoz. Hozzáférésiszabályzatot is létre kell hoznia.

1. lépés: Beállítások: eszközvezérlés engedélyezése és alapértelmezett kényszerítés beállítása

"settings": { 

    "features": { 

        "removableMedia": { 

            "disable": false 

        } 

    }, 

    "global": { 

        "defaultEnforcement": "allow" 

    }, 

    "ux": { 

        "navigationTarget": "http://www.deskhelp.com" 

    } 

}

2. lépés: Csoportok: Minden cserélhető adathordozó-csoport és jóváhagyott USB-csoport létrehozása

Hozzon létre egy csoportot, amely lefedi a cserélhető adathordozókat.
Hozzon létre egy csoportot a jóváhagyott USB-k számára.
Egyesítse ezeket a csoportokat egybe groups.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

3. lépés: Szabályok: Megtagadási szabályzat létrehozása nem engedélyezett USB-khez

Hozzon létre hozzáférésiszabály-szabályt, és helyezze el a következőbe rules:

"rules": [ 

    { 

        "id": "772cef80-229f-48b4-bd17-a69130092981", 

        "name": "Deny RWX to all Removable Media Devices except Kingston", 

        "includeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

        ], 

        "excludeGroups": [ 

            "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

        ], 

        "entries": [ 

            { 

                "$type": "removableMedia", 

                "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                "enforcement": { 

                    "$type": "deny" 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            }, 

            { 

                "$type": "removableMedia", 

                "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                "enforcement": { 

                    "$type": "auditDeny", 

                    "options": [ 

                        "send_event", 

                        "show_notification" 

                    ] 

                }, 

                "access": [ 

                    "read", 

                    "write", 

                    "execute" 

                ] 

            } 

        ] 

    } 

]

Ebben az esetben csak egy hozzáférésiszabály-szabályzattal rendelkezik, de ha több van, mindenképpen adja hozzá az összeset a elemhez rules.

Ismert problémák

Figyelmeztetés

A macOS-en futó Eszközvezérlés csak a PTP módban csatlakoztatott Android-eszközöket korlátozza. Az eszközvezérlés nem korlátozza az egyéb módokat, például a fájlátvitelt, az USB-csatlakoztatást és a MIDI-t.