macOS权限内部风险代理
概述
由于苹果的隐私限制,管理员必须授予Code42访问macOS设备上特定项目的权限,以确保内部风险代理能够监控设备的所有必要区域。
本文适用于内部风险代理人.为Code42应用,请参阅macOS权限的Incydr基本,高级和Gov F1.
步骤1:部署Code42计算机配置文件
选项1:下载配置文件
- 点击此处下载配置文件:
Code42-AAT.mobileconfig - 部署.mobileconfig文件到环境中的设备。
如果您使用Jamf,请遵循中的说明Jamf部署自定义配置概要文件的指南.对于其他设备管理工具,请参阅供应商的产品文档以了解详细信息。 - 继续步骤2添加系统扩展负载。
选项2:创建自己的配置概要文件
这些步骤使用Jamf的隐私首选项策略控制(PPPC)实用程序来创建一个.mobileconfig文件。以下步骤必须在已安装内部风险代理的Mac上执行。
- 下载并打开贾夫的隐私偏好策略控制(PPPC)实用程序.
- 打开查找程序并导航到Code42-AAT包在设备上。
- 右键单击Code42-AAT应用程序显示包的内容。
- 开放>库>系统扩展.
- 拖com.code42.agent.extension.systemextension进入贾夫的隐私偏好策略控制(PPPC)实用程序。
- 在属性部分中,选择允许对于您想要监视的所有区域。您应该允许对所有项的访问,但是要与内部涉众一起确定最适合您的环境的方式。若要在内部风险代理1.5.0及更高版本中监控浏览器和其他应用程序中的文件上传和下载活动,您必须选择允许对于这两个可访问性而且全磁盘访问.
- 以上苹果的事件列,禁用大苏尔兼容性.
Big Sur Compatibility模式向配置中添加了更多的权限对象,Code42不需要这些对象。启用Big Sur兼容模式也意味着配置文件将无法在运行比Big Sur更早版本的macOS的设备上运行。 - 点击保存.
- 输入一个组织而且有效载荷的名字.
- 点击保存.
将创建一个.mobileconfig文件并保存到您所选择的位置。 - 部署.mobileconfig文件到环境中的设备。
如果您使用Jamf,请遵循中的说明Jamf部署自定义配置概要文件的指南.对于其他设备管理工具,请参阅供应商的产品文档以了解详细信息。 - 继续执行下面的步骤2,添加系统扩展有效负载。
步骤2:将系统扩展有效负载添加到配置概要文件
如果使用Jamf,则需要执行以下步骤手动添加系统扩展有效负载。对于其他设备管理工具,如果系统扩展没有通过配置文件自动添加,也可能需要类似的步骤。有关详细信息,请参阅供应商的产品文档。
- 来自JamfPro控制台,导航到上面创建的配置概要文件。
- 开放系统扩展.
- 验证允许用户批准系统扩展被选中。
取消选择此选项可防止用户手动批准来自任何其他应用程序的系统扩展。 - 添加系统扩展:
- 输入一个显示名称.
- 在“系统扩展类型”中选择允许的系统扩展.
- 在Team Identifier中输入以下内容:9 yv9435dhd
- 在“允许的系统扩展”中,单击+添加.
- 输入com.code42.agent.extension并点击保存.
保存扩展名。 - 对于macOS Monterey(版本12)及更高版本:
- 在界面右上方,单击加号键.
出现一个新的允许团队id和系统扩展部分。 - 输入一个显示名称.
- 在“系统扩展类型”中选择可移动系统扩展.
- 在Team Identifier中输入以下内容:9 yv9435dhd
- 在可移动系统扩展中,单击+添加.
- 输入com.code42.agent.extension并点击保存.
保存扩展名。
- 在界面右上方,单击加号键.
- 在屏幕底部,单击保存.
保存对配置文件的更新。
首先测试一小部分设备
无论您是创建自己的文件还是下载上面的配置文件,都要测试.mobileconfig在将其部署到生产环境之前,要彻底归档。
无论您是创建自己的文件还是下载上面的配置文件,都要测试.mobileconfig在将其部署到生产环境之前,要彻底归档。
步骤3:macOS Ventura的更新(可选)
由于macOS Ventubetway365ra中的Apple安全更新,您必须将额外的计算机配置文件部署到:
- 阻止最终用户在macOS设置中禁用Code42内部风险代理登录项>允许在后台.
- 禁止新安装的后台服务的面向用户的通知。
请注意:下面的配置文件抑制通知所有后台服务,而不仅仅是Code42。
如果您不关心面向用户的通知或用户禁用Code42服务,可以跳过此部分。
- 点击此处可下载附加配置文件:
背景和登录项 - 部署.mobileconfig文件到环境中的设备。
如果您使用Jamf,请遵循中的说明Jamf部署自定义配置概要文件的指南.对于其他设备管理工具,请参阅供应商的产品文档以了解详细信息。
排除磁盘全量访问状态
要确认是否正确配置了完整磁盘访问权限,请参见检查macOS全磁盘访问状态.
MDM需求
- 必须使用macos兼容的MDM工具来部署内部风险代理。本文使用Jamf Pro进行演示。
- 可下载的.mobileconfig本文中的文件与Workspace ONE不兼容。捕获标签标题和URL“一号工作空间”需要的文件可访问性是允许在定义应用程序或流程部分的隐私偏好配置文件。
- 如果您需要帮助创建.mobileconfig使用其他工具,如Workspace ONE或Microsoft Endpoint Manager (Intune),联系您的客户成功经理(CSM),与Code42专业服务团队合作.