MDMを使用したセキュアエンドポイントMacコネクタおよびOrbitalの権限の設定:フルディスクアクセス、システム拡張
内容
概要
このドキュメントでは、管理者がMac Connector 1.14以降を導入するための最近の変更と手順について説明します。
MDMプロファイル
必要な承認を付与するMDMプロファイルを使用してMacコネクタを導入することが強く推奨されます。Macコネクタをインストール、アップグレード、または削除する前に、必要な権限が認識されるように、MDMプロファイルをインストールする必要があります。MDMを使用できない場合は、このドキュメントの「既知の問題」セクションを参照してください。
アドバイザリ
Macコネクタバージョン1.14では、注意が必要な変更が導入されました。
- フルディスクアクセスの承認
- システム拡張の承認
macOS 11以降でエンドポイントを保護するには、Macコネクタ1.14以降が必要です。古いMacコネクタは、これらのバージョンのmacOSでは動作しません。
Macコネクタバージョン1.16では、IntelハードウェアでのCisco Orbitalのサポートが導入されました。OrbitalはAdvantageまたはPremierレベルのポリシーで有効にすることができ、有効にすると自動的にインストールされ、サポートされているOSバージョンとサポートされているハードウェアにインストールされます。Macコネクタバージョン1.20では、AppleシリコンハードウェアでのCisco Orbitalのサポート準備が導入されています。Orbital Node 1.21でのリリースが予定されています。 Orbitalに必要な追加のフルディスクアクセス権限を付与する方法の詳細については、このドキュメントの「Cisco Orbital」セクションを参照してください。
OSの最小要件
Cisco Secure Endpoint Macコネクタ1.14.0はmacOSバージョンをサポートします。
- macOS 11(macOSシステム拡張あり)
- macOS 10.15.5以降(macOSシステム拡張あり)
- macOS 10.15.0 ~ macOS 10.15.4(macOSカーネル拡張あり)
- macOS 10.14、macOSカーネル拡張あり。
Cisco Secure Endpoint Macコネクタ1.14.1はmacOSバージョンをサポートします。
- macOS 11(macOSシステム拡張あり)
- macOSカーネル拡張機能を備えたmacOS 10.15。
- macOS 10.14、macOSカーネル拡張あり。
IntelハードウェアでのCisco Orbitalのサポートは、Secure Endpoint Macコネクタバージョン1.16.0で導入されました。 AppleシリコンハードウェアでのCisco Orbitalのサポートは、Secure Endpoint Macコネクタバージョン1.20.0で導入されました。
現在のMacコネクタの互換性については、『OSの互換性に関する表』を参照してください。
重要な変更
Macコネクタ1.14では、次の3つの分野で重要な変更が行われました。
- コネクタが使用するmacOS拡張機能の承認
- フルディスクアクセス
- 新しいディレクトリ構造
MacOS 12では、ユーザパスワードのプロンプトなしでコネクタのmacOS拡張機能を削除できるMDMオプションが導入されました。
MacコネクタのmacOS拡張機能の承認
Macコネクタは、macOSバージョンの必要に応じて、システム拡張またはレガシーカーネル拡張のいずれかを使用してシステムアクティビティを監視します。macOS 11では、System Extensionsは、macOS 11以降でサポートされていないレガシーのKernel Extensionsを置き換えます。どちらのタイプの拡張機能も実行できるようにするには、macOSのすべてのバージョンでユーザの承認が必要です。承認されないと、オンアクセスファイルスキャンやネットワークアクセスモニタなどの特定のコネクタ機能が使用できなくなります。
Macコネクタ1.14では、次の2つの新しいmacOSシステム拡張が導入されています。
- Secure Endpoint File Monitor(以前のAMP Security Extension)という名前のEndpoint Security拡張。システムイベントを監視します。
- Cisco Secure Endpoint Filter(以前のAMP Network Extension)という名前のNetwork Content Filter拡張で、ネットワークアクセスを監視します。
2つのレガシーなカーネル拡張であるampfileop.kextとampnetworkflow.kextは、新しいmacOSシステム拡張をサポートしていない古いmacOSバージョンとの下位互換性を保つために含まれています。
macOS 11**以降で必要な承認:
- 読み込むセキュアエンドポイントファイルモニタの承認
- ロードするCisco Secure Endpoint Filterの承認
- Cisco Secure Endpoint Filterによるネットワークコンテンツのフィルタリングを許可する
** Macコネクタバージョン1.14.0でも、macOS 10.15でこれらの承認が必要でした。 Macコネクタ1.14.1以降のmacOS 10.15では、これらの承認は不要になりました。
macOS 10.14およびmacOS 10.15に必要な承認:
- 読み込むコネクタのカーネル拡張機能を承認する
これらの承認は、エンドポイントの[macOS Security & Privacy Preferences]で付与するか、Mobile Device Management(MDM)プロファイルを使用して付与できます。
エンドポイントでのMacコネクタmacOS拡張機能の承認
システムおよびカーネルの拡張機能は、macOSの[Security & Privacy Preferences]ペインから手動で承認できます。
MDMを使用したMacコネクタmacOS拡張機能の承認
注:macOS拡張機能は、MDM経由でさかのぼって承認することはできません。コネクタをインストールする前にMDMプロファイルが導入されていない場合、承認は付与されず、次の2つの形式のいずれかで追加の介入が必要になります。
1. 管理プロファイルが遡及的に導入されたエンドポイントでのmacOS拡張機能の手動承認。
2. Macコネクタを、現在展開されているバージョンよりも新しいバージョンにアップグレードします。管理プロファイルが遡及的に展開されたエンドポイントは、アップグレード後に管理プロファイルを認識し、アップグレードが完了すると承認を得ます。
セキュアエンドポイントの拡張機能は、次のペイロードとプロパティを含む管理プロファイルで承認できます。
| ペイロード | プロパティ | 値 |
| SystemExtensions | AllowedSystemExtensions | com.cisco.endpoint.svc.securityextension、com.cisco.endpoint.svc.networkextension |
| AllowedSystemExtensionTypes | EndpointSecurityExtension、NetworkExtension | |
| AllowedTeamIdentifier | DE8Y96K9QP | |
| SystemPolicyKernelExtensions | AllowedKernelExtensions | com.cisco.amp.fileop、com.cisco.amp.nke |
| AllowedTeamIdentifier | TDNYQP7VRK | |
| WebContentFilter | AutoFilterEnabled | false |
| FilterDataProviderBundleIdentifier | com.cisco.endpoint.svc.networkextension | |
| FilterDataProviderDesignatedRequirement | anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists * and certificate leaf[subject.OU] = DE8Y9K6K QP) | |
| FilterGrade | firewall | |
| FilterBrowser | false | |
| FilterPackets | false | |
| FilterSocket | true | |
| PluginBundleID | com.cisco.endpoint.svc | |
| UserDefinedName | Cisco Secure Endpoint Filter(コネクタバージョンが1.18.0より古い場合はAMPネットワーク拡張) |
MDMを使用したMacコネクタmacOS拡張機能の削除
MacOS 12以降では、次に説明するように、macOS ExtensionsをRemovableSystemExtensionsプロパティでリムーバブルとしてマークできます。
注: macOS Extensionのリムーバブル権限が許可されている場合、root権限を持つユーザまたはプロセスは、ユーザパスワードの入力を求められずに内線番号を削除できます。したがって、RemovableSystemExtensionsプロパティは、管理者がコネクタのアンインストールを自動化する場合にのみ使用する必要があります。
注:macOS拡張機能はMDM経由で遡及的に削除できません。コネクタをアンインストールする前にMDMプロファイルが展開されていない場合、macOS拡張機能の削除の承認は付与されず、ユーザはコネクタのアンインストール処理中にエンドポイントでパスワードを手動で入力してmacOS拡張機能を削除する必要があります。
SystemExtensionsペイロードに追加されたRemovableSystemExtensionsプロパティを持つ管理プロファイルをインストールするときに、セキュアエンドポイント拡張機能をコネクタのアンインストールの一部として削除できます。RemovableSystemExtensionsプロパティには、両方のSecure Endpoint拡張機能のバンドル識別子を含める必要があります。
| ペイロード | プロパティ | 値 |
| SystemExtensions | RemovableSystemExtensions | com.cisco.endpoint.svc.securityextension、com.cisco.endpoint.svc.networkextension |
フルディスクアクセス
MacOS 10.14以降では、アプリケーションが個人のユーザデータを含むファイルシステムの一部(連絡先、写真、カレンダー、その他のアプリケーションなど)にアクセスするには、承認が必要です。オンアクセスファイルスキャンなどの一部のコネクタ機能は、承認なしにこれらのファイルをスキャンして脅威を検出することができません。
以前のバージョンのMacコネクタでは、ampdaemonプログラムへのフルディスクアクセスをユーザに許可する必要がありました。Macコネクタ1.14では、次の場合にフルディスクアクセスが必要です。
- 「AMP for Endpoints Service」
- 「AMPセキュリティ拡張」
Macコネクタ1.16.0以降では、次の場合に追加のフルディスクアクセスが必要です。
- 「Cisco Orbital」をポリシーで有効にすると、AdvantageおよびPremierアクセスで利用可能
Macコネクタ1.18以降では、次の場合にフルディスクアクセスが必要です。
- 「Secure Endpoint Service」
- 「Secure Endpoint System Monitor」
- ポリシーでOrbitalが有効な場合の「Cisco Orbital」(AdvantageおよびPremier階層で使用可能)
ampdaemonプログラムでは、Macコネクタバージョン1.14以降でのフルディスクアクセスは必要なくなりました。
フルディスクアクセスの承認は、エンドポイントのmacOS Security & Privacy Preferencesで、またはMobile Device Management(MDM)プロファイルを通じて付与することができます。
1.18.0より前のバージョンのコネクタに対するエンドポイントでのフルディスクアクセスの承認
フルディスクアクセスは、macOSの[Security & Privacy Preferences]ペインから手動で承認できます。
エンドポイントでのCisco Orbitalのフルディスクアクセスの承認
フルディスクアクセスは、macOSの[Security & Privacy Preferences]ペインから手動で承認できます。
エンドポイントでのCisco Secure Endpoint Connector 1.18.0以降のフルディスクアクセスの承認
フルディスクアクセスは、macOSの[Security & Privacy Preferences]ペインから手動で承認できます。
MDMを使用したコネクタのフルディスクアクセスの承認
注:macOS拡張機能は、MDM経由でさかのぼって承認することはできません。コネクタをインストールする前にMDMプロファイルが導入されていない場合、承認は付与されず、次の2つの形式のいずれかで追加の介入が必要になります。
1. 管理プロファイルが遡及的に導入されたエンドポイントでのmacOS拡張機能の手動承認。
2. Macコネクタを、現在展開されているバージョンよりも新しいバージョンにアップグレードします。管理プロファイルが導入されたエンドポイントは、アップグレード後にさかのぼって管理プロファイルを認識し、アップグレードが完了すると承認を得ます。
フルディスクアクセスは、管理プロファイルPrivacy Preferences Policy ControlペイロードとSystemPolicyAllFilesプロパティによって承認できます。このペイロードには、次の2つのエントリがあります。1つはSecure Endpoint Service(1.18.0より古いコネクタバージョンのAMP for Endpoints Service)用、もう1つはSecure Endpoint System Monitor(1.18.0より古いコネクタバージョンのAMP Security Extension)用です。
| 説明 | プロパティ | 値 |
| セキュアエンドポイントサービス(AMP for Endpoints Service) | 許可 | true |
| CodeRequirement | anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP )を使用します。 | |
| 識別子 | com.cisco.endpoint.svc | |
| IdentifierType | bundleID | |
| セキュアエンドポイントシステムモニタ(AMPセキュリティ拡張) | 許可 | true |
| CodeRequirement | anchor apple generic and identifier "com.cisco.endpoint.svc.securityextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */またはcertificate 1[field.1.2.840.113635.100.6.2.6] /* exists */およびcertificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */およびcertificate leaf[subject.OU] = DE8Y9K6K6K QP) | |
| 識別子 | com.cisco.endpoint.svc.securityextension | |
| IdentifierType | bundleID |
コネクタのバージョンが1.12.7以前のコンピュータが導入に含まれている場合でも、これらのコンピュータのampdaemonへのフルディスクアクセスを許可するには、次の追加エントリが必要です。
| 説明 | プロパティ | 値 |
| AMPDAEMON | 許可 | true |
| CodeRequirement | 識別子ampdaemonおよびアンカーapple genericおよびcertificate 1[field.1.2.840.113635.100.6.2.6] /*は存在します*/およびcertificate leaf[field.1.2.840.113635.100.6.1.13] /*は存在します*/およびcertificate leaf[subject.OU] = TDNYQP7VRK | |
| 識別子 | /opt/cisco/amp/ampdaemon | |
| IdentifierType | path |
Cisco OrbitalとMDMのフルディスクアクセスの承認
macOS 10.15以降のコンピュータ上のCisco Secure Endpoint Macコネクタバージョン1.16.0以降のコンピュータが導入に含まれていて、ポリシーでOrbitalが有効になっている場合でも、これらのコンピュータに対してOrbitalへのフルディスクアクセスを許可するには、次の追加エントリが必要です。
| 説明 | プロパティ | 値 |
| Cisco Orbital | 許可 | true |
| CodeRequirement | anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */またはcertificate 1[field.1.2.840.113635.100.6.2.6] /* exists */およびcertificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */およびcertificate leaf[subject.OU] = DE8Y96K9Q9QK p) | |
| 識別子 | com.cisco.endpoint.orbital.app | |
| IdentifierType | bundleID |
MDM設定プロファイルの例
このMDM設定プロファイルの例は、リファレンスとして使用できます。
- Secure Endpoint Macコネクタのシステム拡張の承認。
- セキュアエンドポイントMacコネクタとOrbitalのフルディスクアクセスを許可します。
- コネクタをアンインストールするときに、System Extensionsをサイレントアンインストールできるようにします。
注意: RemovableSystemExtensionsアクセス許可が許可されている場合、root権限を持つユーザーまたはプロセスは、ユーザーパスワードの入力を求められずにシステム拡張機能を削除することができます。したがって、RemovableSystemExtensionsプロパティは、管理者がコネクタのアンインストールを自動化する場合にのみ使用する必要があります。
http://www.apple.com/DTDs/PropertyList-1.0.dtd">
macOS 10.15以前のMDM設定例
- カーネル拡張を承認し、コネクタに対するフルディスクアクセスを許可します。
- 注:M1以降のApple製品では、この設定を含むプロファイルを使用できません
新しいディレクトリ構造
バージョン1.14.0 ~ 1.16.2
Macコネクタ1.14では、ディレクトリ構造に次の2つの変更が導入されています。
- Applicationsディレクトリの名前が
Cisco AMPからCisco AMP for Endpointsに変更されました。 - コマンドラインユーティリティ
ampcliが/opt/cisco/ampから/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOSに移行されました。ディレクトリ/opt/cisco/ampには、新しい場所にあるampcliプログラムへのシンボリックリンクが含まれています。
Macコネクタバージョン1.14.0 ~ 1.16.2の完全なディレクトリ構造は次のとおりです。
├── Applications │ └── Cisco AMP for Endpoints │ └── AMP for Endpoints Connector.app │ │ └── Contents │ │ └──MacOS │ │ │ └── AMP for Endpoints Service.app │ │ └── Contents │ │ └──MacOS │ │ └── ampcli │ │ └── ampdaemon
│ │ └── amscansvc
│ │ └── ampcreport
│ │ └── ampupdater
│ │ └── SupportTool │ │
│ └── Support Tool.app
├── Library │ ├── Application Support │ │ └── Cisco │ │ └── AMP for Endpoints Connector │ │ └── SupportTool │ └── Logs │ └── Cisco ├── Users │ └── * │ └── Library │ └── Logs │ └── Cisco └── opt └── cisco └── amp └── ampcli
バージョン1.18.0以降
Macコネクタ1.18では、アプリケーションのディレクトリ構造が変更されています。
- Applicationsディレクトリの名前が
Cisco AMP for EndpointsからCisco Secure Endpointに変更されました。
Macコネクタバージョン1.18.0以降の完全なディレクトリ構造は次のとおりです。
├── Applications
| └── Cisco Secure Endpoint
| └──Secure Endpoint Connector.app
| | └── Contents
| | └── MacOS
| |
| └── Secure Endpoint Service.app
| | └── Contents
| | └── MacOS
| | └── ampcli
| | └── ampdaemon
| | └── ampscansvc
| | └── ampcreport
| | └── ampupdater
| | └── SupportTool
| |
| └── Support Tool.app
macOS 11.0およびMac Connector 1.14.1に関する既知の問題
- 4つ以上のネットワークコンテンツフィルタがコンピュータにインストールされている場合は、障害10「カーネルモジュールまたはシステム拡張をロードするために再起動が必要」のガイダンスが正しくない可能性があります。 詳細については、「Cisco Secure Endpoint Mac Connectorの障害」の記事を参照してください。
MacOS 10.15/11.0およびMac Connector 1.14.0に関する既知の問題
- Macコネクタによって発生する障害の中には、予期せず発生するものがあります。詳細については、「Cisco Secure Endpoint Mac Connectorの障害」の記事を参照してください。
- 障害13、「Too many Network Content Filter system extensions」がアップグレード後に発生する可能性があります。この状況では、コンピュータをリブートすると障害が解決します。
- Fault 15, System Extension requires Full Disk Access, macos 11.0.0の不具合によりリブート後に起動する可能性があります。 この問題はmacOS 11.0.1で修正されています。 この障害は、macOSの[System Preferences]の[Security & Privacy]ペインでフルディスクアクセスを再度許可することで解決できます。
- インストール中、macOSがMacコネクタシステム拡張を実行する許可を求めた場合、[セキュリティとプライバシー]ペインにアプリケーション名として「Placeholder Developer」と表示できます。 これは、macOS 10.15のバグが原因です。 「Placeholder Developer」の横にあるチェックボックスをオンにして、Macコネクタがコンピュータを保護できるようにします。
systemextensionsctllistcommandを使用すると、承認が必要なシステム拡張を判別できます。状態を持つシステム拡張[activated waiting for user]この出力では、上記のmacOSの環境設定ページに「Placeholder Developer」と表示されます。環境設定ページに複数の「Placeholder Developer」エントリが表示される場合は、システム拡張を使用するすべてのソフトウェア(Macコネクタを含む)をアンインストールして、システム拡張の承認が必要ないようにします。その後、Macコネクタを再インストールします。
Macコネクタシステムの拡張は、次のように識別されます。
- ネットワーク内線番号は
com.cisco.endpoint.svc.networkextensionと表示されます。 - 示されているEndpoint Security拡張は、
com.cisco.endpoint.svc.securityextensionを使用します。
- ネットワーク内線番号は
- インストール中に、コンテンツフィルタによるネットワークトラフィックの監視を許可するプロンプトに、アプリケーション名として「(null)」と表示される場合があります。 これは、macOS 10.15のバグが原因です。 コンピュータを確実に保護するには、ユーザーは[許可]を選択する必要があります。
- [Don't Allow]が選択されたためにプロンプトが消された場合は、エージェントアイコンのドロップダウンメニューから[Allow Network Filter]を選択します
をクリックして、プロンプトを再び開きます。
- 有効にすると、Secure Endpoint Network Extensionフィルタが[Network Preferences]ページに表示されます。
- MacOS 11では、Macコネクタ1.12からMacコネクタ1.14へのアップグレードを実行するときに、コネクタがカーネル拡張から新しいシステム拡張に移行している間に、障害4「System Extension Failed to Load」を一時的に発生させることができます。
システム拡張機能のアンインストール時の既知の問題
- macOS 12より前、またはMDMを使用していない場合、Macコネクタのアンインストールが実行されると、システム拡張をアンインストールできるようにパスワードを2回入力するようユーザに求めるプロンプトが表示されます。これはmacOSの制限であり、macOS 12では、このドキュメントで説明するRemovableSystemExtensions MDMプロファイルキーの追加により、ある程度改善されています。
Intune展開インストールスクリプト
- Microsoftが管理するmacOSにSecure Endpoint Connectorをインストールする際に役立つスクリプトは、次の場所にあります。
https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP
Macコネクタのブランド変更(バージョン1.18.0以降)
注:1.18.0より古いバージョンのコネクタの既存のMDM設定は、1.18.0以降のバージョンのコネクタにアップグレードする場合でも問題なく動作します。詳細については、「Secure Endpoint Mac Rebrand」を参照してください。
改訂履歴
Dec 1, 2020
- Macコネクタ1.14.1は、macOS 10.15のシステム拡張を使用しなくなりました。
- 「Placeholder Developer」システム拡張がMacコネクタ1.14.0で承認を必要とする端末チェックに関する追加ガイダンス。
2020年11月9日
- フルディスクアクセスCodeRequirement MDMペイロードのバンドルIDを修正。
2020年11月3日
- 1.14.0 Macコネクタのリリース日は2020年11月です。
- 1.14.0 Macコネクタは、macOS 10.15.5以降のシステム拡張を使用します。以前は10.15.6でした。
- 「既知の問題」セクションを追加。
- ディレクトリ構造のアウトラインが更新されました。
2021年6月3日
- Cisco Orbitalのフルディスクアクセスを許可する指示を追加。
Oct 13, 2021
- 「MDMを使用したMacコネクタmacOS拡張機能の削除」セクションを追加。
- 「システム拡張機能のアンインストール」セクションの既知の問題を追加。
Feb 25, 2022
- ブランド変更
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
5.0 |
03-Oct-2022 |
サンプルMDM設定プロファイル内のタグを修正。 |
4.0 |
01-Sep-2022 |
- 「Mac 1.20コネクタがAppleシリコンハードウェアのオービタルサポートを導入する」というアドバイザリセクションに追加 – CCW準拠の編集 |
3.0 |
28-Feb-2022 |
コネクタのブランド変更 |
2.0 |
13-Oct-2021 |
リムーバブルシステム拡張機能に関する情報を追加 |
1.0 |
12-Aug-2021 |
初版 |
フィードバック