Workload Security でmacOSエージェントのモバイルデバイス管理を設定する

モバイルデバイス管理 (MDM) を使用すると、管理者はエンドユーザからの追加操作を必要とせずにmacOSエージェントが動作するために必要な権限を設定できます。権限の設定に加えて、以下のセクションでは、エンドユーザにポップアップ (例えば、権限を求めるもの) が表示されないように、Trend Cloud One - Endpoint & Workload Security for macOSエージェントを適切に展開するための手順を提供します。

必要な権限を設定する

Trend Cloud One - Endpoint & Workload Security for macOSエージェントのMDMプロファイルを作成する前に、Trend Cloud One - Endpoint & Workload Security for macOSエージェントの初期インストール後にメッセージがmacOSエンドポイントに表示されないようにするためのいくつかの設定を行う必要があります。

カーネル拡張の設定

macOS10.15では、新しいサードパーティのカーネル拡張を読み込む前にユーザの承認が必要です。Trend Cloud One - Endpoint & Workload Security for Macエージェントは、Core Shieldsのリアルタイム保護機能にカーネル拡張を使用します。製品がシステムを完全に保護できるようにするために、拡張機能を手動で許可する必要があります。

次のカーネル拡張MDMプロファイル作成フィールドが必要です。

<key>AllowedKernelExtensions</key>
<dict>
	<key>E8P47U2H32</key>
	<array>
		<string>com.trendmicro.kext.KERedirect</string>
		<string>com.trendmicro.kext.filehook</string>
		</array>
</dict>
<key>AllowedTeamIdentifiers</key>
<array>
	<string>E8P47U2H32</string>
</array>
<key>PayloadType</key>
<string>com.apple.syspolicy.kernel-extension-policy</string>

システム拡張の設定

Appleのソフトウェア開発者向けガイドラインの変更に準拠するため、macOS Big Sur 11.0以降、カーネル拡張はシステムによって読み込まれません。それに伴い、macOSエージェント用のTrend Cloud One - Endpoint & Workload Securityは、エンドポイントセキュリティおよびネットワーク拡張フレームワークで更新されました。

com.trendmicro.icore.es.sa: エンドポイントセキュリティは、潜在的に悪意のある活動のシステムイベントを監視するためのC APIです。これらのイベントには、プロセスの実行、ファイルシステムのマウント、プロセスのフォーク、シグナルの発生が含まれます。レファレンス/参照情報については、https://developer.apple.com/documentation/endpointsecurityを参照してください。
com.trendmicro.icore.netfilter.sa: コアネットワーキング機能をカスタマイズおよび拡張します。参照情報については、https://developer.apple.com/documentation/networkextensionを参照してください。

次のシステム拡張フィールドが必要です：

<key>AllowUserOverrides</key>
<true/>
<key>AllowedSystemExtensionTypes</key>
<dict>
	<key>E8P47U2H32</key>
		<array>
			<string>EndpointSecurityExtension</string>
			<string>NetworkExtension</string>
		</array>
</dict>
<key>AllowedSystemExtensions</key>
<dict>
	<key>E8P47U2H32</key>
	<array>
		<string>com.trendmicro.icore.es</string>
		<string>com.trendmicro.icore.netfilter</string>
	</array>
</dict>
<key>PayloadType</key>
<string>com.apple.system-extension-policy</string>
<key>PayloadDisplayName</key>
<string>System Extension</string>

Webコンテンツフィルタを設定する

デバイス上のネットワークコンテンツフィルタは、ネットワークスタックを通過するユーザのネットワークコンテンツを検査し、そのコンテンツをブロックするか最終目的地に通過させるかを決定します。詳細については、コンテンツフィルタプロバイダを参照してください。

MDMプロファイルを作成する場合、次のWebコンテンツフィルタフィールドが必要です。

<key>FilterBrowsers</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.trendmicro.icore.netfilter</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string>
<key>FilterGrade</key>
<string>firewall</string>
<key>FilterPackets</key>
<false/>
<key>FilterSockets</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PluginBundleID</key>
<string>com.trendmicro.icore</string>

フルディスクアクセスの設定

特定の構成手順については、トレンドマイクロセキュリティエージェント for MacのMDMプロファイルの作成と構成を参照してください。

フルディスクアクセス許可は、macOS Mojave (10.14) で導入されたプライバシー機能で、一部のアプリケーションがメール、メッセージ、TimeMachine、Safariファイルなどの重要なデータにアクセスできないようにします。 macOSエンドポイントの保護された領域にアクセスするには、特定のアプリケーションに手動で権限を付与する必要があります。

以前のバージョンのmacOS (10.13以前) では、製品のインストール時にこの権限が自動的に付与されます。

警告

フルディスクアクセスが有効になっていない場合、 Workload Security はmacOSエンドポイントのすべての領域を検索できません。つまり、エンドポイントを不正プログラムやその他のネットワークセキュリティの脅威から完全に保護することはできず、システムフォルダとハードドライブの一部のみを検索できます。

ブラウザプラグイン拡張の設定

必要に応じて、プロファイル設定をMDMに追加して管理対象のmacOSコンピュータに配信すると、ChromeまたはFirefoxの拡張機能が自動的に有効になり、ポップアップメッセージが表示されなくなります。

Google Chrome拡張機能

Google Chrome拡張機能をインストールすると、ChromeはChromeストアからMac用のTrend ツールバーをダウンロードしてインストールします。たとえmacOS用のTrend Cloud One - Endpoint & Workload Securityエージェントがインストールされていなくてもです。なお、Mac用のTrend ツールバーはまだ完全な機能を備えておらず、アンインストールすることはできません。

Mozilla Firefox拡張機能

Mozilla Firefox拡張機能のインストール後、MDMが設定されているように見えても、Firefox拡張機能のインストールを求めるポップアップが表示されることがあります。これはタイミングの問題です。実際、Firefox拡張機能は正常にインストールされているため、このポップアップは無視してかまいません。

Safariブラウザの場合、Appleの制限により、MDM経由でブラウザ拡張機能の配信を自動化することはできません。

モバイルデバイス管理（MDM）からエージェントを配信する

Workload SecurityでmacOSエージェントのモバイルデバイス管理を構成した後、エージェントをインストールするためのデプロイメントスクリプトをMDMソリューションにインポートできます。

展開スクリプトの詳細については、展開スクリプトを使用してコンピュータを追加および保護するを参照してください。
AirWatchまたはIntune MDMコンソールを使用してエージェントを展開する手順については、AirWatch (Workspace One) およびMicrosoft Intuneを介してMac用のTrend Cloud One - Endpoint & Workload Securityエージェントをインストールするを参照してください。