macOSエージェントの Server & Workload Protection でのモバイルデバイス管理の設定

ビュー:

管理者は、モバイルデバイス管理 (MDM) を使用して、エンドユーザから追加の操作を行わなくても、macOSエージェントが機能するために必要な権限を設定できます。以下のセクションでは、権限の設定に加えて、MDMを適切に展開して、ポップアップなしでエンドユーザに対してmacOS Agent用 Server & Workload Protection が動作するようにする手順について説明します (たとえば、権限の要求)。

必要な権限を設定する

macOSエージェント用 Server & Workload Protection のMDMプロファイルを作成する前に、次の項目を設定して、macOSエージェント用 Server & Workload Protection の初期インストール後にmacOSエンドポイントにポップアップが表示されないようにする必要があります。

カーネル拡張機能の設定

macOS10.15では、新しいサードパーティ製カーネル拡張機能をロードする前にユーザの承認が必要です。 Server & Workload Protection for Macエージェントは、コアシールドのリアルタイム保護機能にカーネル拡張機能を使用します。製品でシステムを完全に保護するには、拡張機能を手動で許可する必要があります。

次のカーネル拡張機能のMDMプロファイル作成フィールドは必須です。

<key>AllowedKernelExtensions</key> <dict> <key>E8P47U2H32</key> <array> <string>com.trendmicro.kext.KERedirect</string> <string>com.trendmicro.kext.filehook</string> </array> </dict> <key>AllowedTeamIdentifiers</key> <array> <string>E8P47U2H32</string> </array> <key>PayloadType</key> <string>com.apple.syspolicy.kernel-extension-policy</string>

システム拡張機能の設定

macOS Big Sur 11.0以降、ソフトウェア開発者向けのAppleガイドラインの変更に準拠するため、カーネル拡張機能はシステムに読み込まれません。これにより、macOSエージェント用の Server & Workload Protection がアップデートされ、Endpoint SecurityおよびNetwork Extensionフレームワークが追加されました。

com.trendmicro.icore.es.sa注: Endpoint Securityは、システムイベントを監視して不正な活動が行われていないかどうかを確認するためのC APIです。これらのイベントには、プロセスの実行、ファイルシステムのマウント、プロセスのフォーク、およびシグナルの発生が含まれます。参照:https://developer.apple.com/documentation/endpointsecurity 。
com.trendmicro.icore.netfilter.sa : コアネットワーク機能をカスタマイズおよび拡張します。参照:https://developer.apple.com/documentation/networkextension 。

次のシステム拡張フィールドは必須です。

<key>AllowUserOverrides</key> <true/> <key>AllowedSystemExtensionTypes</key> <dict> <key>E8P47U2H32</key> <array> <string>EndpointSecurityExtension</string> <string>NetworkExtension</string> </array> </dict> <key>AllowedSystemExtensions</key> <dict> <key>E8P47U2H32</key> <array> <string>com.trendmicro.icore.es</string> <string>com.trendmicro.icore.netfilter</string> </array> </dict> <key>PayloadType</key> <string>com.apple.system-extension-policy</string> <key>PayloadDisplayName</key> <string>System Extension</string>

Webコンテンツフィルタの設定

デバイス上のネットワークコンテンツフィルタは、ユーザのネットワークコンテンツがネットワークスタックを通過する際に検査し、そのコンテンツをブロックするか、最終的な送信先への転送を許可するかを判断します。詳細については、コンテンツフィルタプロバイダ。

MDMプロファイルを作成するときは、次のWebコンテンツフィルタフィールドが必要です。

<key>FilterBrowsers</key> <true/> <key>FilterDataProviderBundleIdentifier</key> <string>com.trendmicro.icore.netfilter</string> <key>FilterDataProviderDesignatedRequirement</key> <string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string> <key>FilterGrade</key> <string>firewall</string> <key>FilterPackets</key> <false/> <key>FilterSockets</key> <true/> <key>FilterType</key> <string>Plugin</string> <key>PayloadType</key> <string>com.apple.webcontent-filter</string> <key>PluginBundleID</key> <string>com.trendmicro.icore</string>

フルディスクアクセスの設定

注意

具体的な設定手順については、を参照してください。https://success.trendmicro.com/dcx/s/solution/000277823?language=en_US 。

フルディスクアクセス許可は、macOS Mojave (10.14) で導入されたプライバシー機能で、一部のアプリケーションがメール、メッセージ、TimeMachine、Safariファイルなどの重要なデータにアクセスできないようにします。 macOSエンドポイントの保護された領域にアクセスするには、特定のアプリケーションに手動で権限を付与する必要があります。

注意

macOSの以前のバージョン (10.13以前) では、この権限は製品のインストール時に自動的に付与されます。

警告

フルディスクアクセスが有効になっていない場合、 Server & Workload Protection はmacOSエンドポイントのすべての領域を検索できません。つまり、マルウェアやその他のネットワークセキュリティの脅威からエンドポイントを完全に保護することはできず、システムフォルダとハードドライブの限られた部分しか検索できません。

ブラウザプラグイン拡張機能の設定

(オプション) 次のプロファイル設定をMDMに追加し、管理対象のmacOSコンピュータに配信すると、ChromeまたはFirefoxの拡張機能が自動的に有効になり、ポップアップメッセージが表示されなくなります。

Google Chrome拡張機能

Server & Workload Protection エージェント for macOSがインストールされていない場合でも、「 Google Chrome拡張機能」のインストール後、Chromeは「トレンドマイクロ Trend ツールバー for Mac」をChromeストアからダウンロードしてインストールします。「トレンドマイクロ Trend ツールバー for Mac」の機能はまだ動作しないため、アンインストーラでアンインストールすることはできません。

Mozilla Firefox拡張機能

「Mozilla Firefox拡張機能」のインストール後、MDMが設定されているように見えても、Firefox拡張機能のインストールを求めるポップアップが表示されることがあります。これはタイミングの問題です。実際、Firefox拡張機能は正常にインストールされているため、このポップアップは無視してかまいません。

注意

Safariブラウザの場合、Appleの制限により、MDM経由でブラウザ拡張機能の配信を自動化することはできません。

モバイルデバイス管理 (MDM) からのエージェントの配信

あなたの後でmacOSエージェントの Server & Workload Protection でのモバイルデバイス管理の設定では、MDMソリューションに配信スクリプトをインポートしてエージェントをインストールできます。

配信スクリプトの詳細については、次を参照してください。インストールスクリプトを使用してコンピュータを追加および保護する。
AirWatchまたはIntune MDMコンソールを使用してエージェントをインストールする手順については、次を参照してください。 AirWatch (Workspace One) およびMicrosoft Intuneを使用してEndpointと Server & Workload Protection Agent for Macをインストールする。