Endpoint Security für macOS mit Microsoft Intune-Konfigurationen bereitstellen

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

Die Anweisungen in diesem Thema wurden in unserem Testlabor erfolgreich verwendet, um WatchGuard Endpoint Security mit Intune bereitzustellen. Ihre Umgebung hat möglicherweise andere Anforderungen oder Einschränkungen. Wenn Probleme auftreten, wenden Sie sich an Ihren Microsoft Intune-Support.

Microsoft Intune ist ein cloudbasierter einheitlicher Endpoint-Verwaltung‭sdienst, der die Verwaltung von Apps und Geräten auf all Ihren Geräten vereinfacht. Dieses Thema beschreibt die Schritte zum Erstellen von Konfigurationsrichtlinien für Mac-Geräte in Microsoft Intune und zum anschließenden Bereitstellen der Konfiguration auf WatchGuard Agent und der Schutzsoftware auf Ihren Mac-Geräten. Wenn Sie Intune verwenden, automatisieren Sie die Akzeptierung der erforderlichen Berechtigungen zur Ausführung der Endpoint Security-Software auf dem Mac-Gerät.

Es wird empfohlen, zunächst die Konfiguration in Intune zu erstellen, damit der Endpoint Security-Schutz bereits über die erforderlichen Berechtigungen verfügt, wenn Endpoint Security auf Ihrem Gerät installiert wird.

Diese Berechtigungen sind nötig, um Endpoint Security für macOS mit Intune-Konfigurationsregeln zu erstellen und bereitzustellen. Sie können die folgenden Regeln und Skripts zur automatischen Installation von Endpoint Security auf Ihren Mac-Geräten erstellen:

• Regel zur Aktivierung des vollständigen Festplatten-Zugriffs erstellen
• Regel für die Zulassung von System- und Netzwerkerweiterungen erstellen
• Regel für die automatische Zulassung von Inhaltsfiltern erstellen
• Skript zum Verhindern von Netzwerkzugriffswarnungen erstellen

Führen Sie nach der Erstellung der Regeln und Skripts aus: Intune-Konfigurationsregeln bereitstellen.

Bevor Sie beginnen

Bevor Sie die Konfiguration in Intune erstellen, empfehlen wir, eine Gruppe für alle Mac-Geräte in der Endpoint Security-Verwaltungsoberfläche bzw. für die Macs zu erstellen, denen Sie die Konfiguration zuweisen möchten. Wenn Sie WatchGuard Agent installieren, gelten die Profile nur für die Mac-Geräte der Empfänger.

Für maximale Kompatibilität empfehlen wir dringend, Macs mit macOS Catalina 10.15 und höher zu verwenden. Es wird zudem vorausgesetzt, dass auf Ihren Mac-Geräten die neueste WatchGuard Endpoint Security-Version installiert ist.

Mac-Geräte mit macOS Mojave 10.14 und älter führen WatchGuard Endpoint Security v2.x und älter aus. Die Schritte für diese Geräte sind in diesem Thema nicht enthalten.

Regel zur Aktivierung des vollständigen Festplatten-Zugriffs erstellen

Der vollständige Festplatten-Zugriff für Mac ist für den Endpoint-Sicherheitsschutzdienst notwendig.

So aktivieren Sie den vollständigen Festplatten-Zugriff im Intune Admin Center:

1. Wählen Sie im linken Fenster Geräte.
2. Wählen Sie macOS.

3. Wählen Sie Configuration.
4. Klicken Sie auf Erstellen > Neue Regel.
   Die Seite Profil erstellen wird geöffnet.
5. Wählen Sie in der Dropdown-Liste Profiltyp die Option Vorlagen.

6. Wählen Sie für die Liste Vorlagenname die Option Geräteeinschränkungen.
7. Klicken Sie auf Erstellen.

8. Geben Sie einen Namen für die Vorlage ein (z. B. FDA). Klicken Sie auf Weiter.
9. Erweitern Sie auf der Seite Konfigurationseinstellungen die Option Datenschutzpräferenzen.

10. Klicken Sie auf Hinzufügen.
11. Geben Sie die Datenschutzpräferenzen an:
    • Name: com.protection.agent
    • Kennungstyp: Bundle ID
    • Kennung: com.protection.agent
12. Geben Sie im Feld Code-Anforderung den folgenden Code ein:

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

13. Wählen Sie in der Dropdown-Liste Vollständiger Festplatten-Zugriff die Option Zulassen.

14. Klicken Sie auf Speichern.
15. Klicken Sie auf Weiter.
16. Wählen Sie auf der Seite Zuweisungen die Gerätegruppe aus, der das Profil zugewiesen werden soll.
17. Klicken Sie auf Weiter.
18. Prüfen Sie das Profil auf Vollständigkeit. Klicken Sie auf Zurück, wenn Sie zu einem vorherigen Schritt zurückkehren möchten.
19. Klicken Sie auf Erstellen, um die Regel zu erstellen.

Regel für die Zulassung von System- und Netzwerkerweiterungen erstellen

Systemerweiterungen sind erforderlich, um Dateiereignisse zu erfassen. Netzwerkerweiterungen sind erforderlich, um Netzwerkpakete für den Webschutz und die Inhaltsfilterung zu erfassen und zu filtern. In der Schutzsoftware Version 3.04 und höher sind Netzwerkerweiterungen auch für die Geräteisolation erforderlich.

Sie können ein einziges Profil erstellen, um sowohl System- als auch Netzwerkerweiterungen auf dem Mac zuzulassen.

So konfigurieren Sie zulässige System- und Netzwerkerweiterungen im Intune Admin Center:

1. Wählen Sie im linken Fenster Geräte.
2. Wählen Sie macOS.
3. Wählen Sie Configuration.
4. Klicken Sie auf Erstellen > Neue Regel.
   Die Seite Profil erstellen wird geöffnet.
5. Wählen Sie in der Dropdown-Liste Profiltyp die Option Einstellungskatalog.
6. Klicken Sie auf Erstellen.

7. Geben Sie einen Namen für das Profil ein (z. B. Zugelassene Erweiterungen).
8. Klicken Sie auf Weiter.
9. Klicken Sie auf Einstellungen hinzufügen.

10. Wählen Sie in der Einstellungsauswahl Systemkonfiguration > Systemerweiterungen.
11. Aktivieren Sie im Abschnitt Einstellungsname das Kontrollkästchen Zugelassene Systemerweiterungen.

12. Klicken Sie im Abschnitt Zulässige Systemerweiterungen auf Instanz bearbeiten.
13. Fügen Sie zwei Paket-Kennungen mit der Team-Kennung D3U2N4A6J7 hinzu:

• com.protection.agent
• com.protection.agent.next

14. Klicken Sie auf Speichern. Klicken Sie auf Weiter.
15. Wählen Sie auf der Seite Zuweisungen die Gerätegruppe aus, der das Profil zugewiesen werden soll.
16. Klicken Sie auf Weiter.
17. Prüfen Sie das Profil auf Vollständigkeit. Klicken Sie auf Zurück, wenn Sie zu einem vorherigen Schritt zurückkehren möchten.
18. Klicken Sie auf Erstellen, um das Profil zu erstellen.

Aktivierung der Netzwerkerweiterungen abschließen

Für Netzwerkerweiterungen müssen Sie die Systemerweiterung in den macOS-Einstellungen akzeptieren, um die Aktivierung der Netzwerkerweiterung abzuschließen.

So schließen Sie die Aktivierung der Netzwerkerweiterung ab:

1. Öffnen Sie die Warnschnittstelle auf dem Mac.

2. Klicken Sie auf Sicherheitseinstellungsfenster öffnen.
   Die folgenden Netzwerkerweiterungen versuchen die Ausführung im Hintergrund: /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
3. Akzeptieren Sie in den macOS-Einstellungspräferenzen die im vorherigen Verfahren angegebene Systemerweiterung.
4. Um die Filterung des Netzwerkinhalts durch das Schutz-Agent-Netzwerk zuzulassen, klicken Sie auf Zulassen.

Regel für die automatische Zulassung von Inhaltsfiltern erstellen

Sie können eine Regel erstellen, um Endpoint Security-Inhaltsfilter zu nutzen. Sie können auch eine Liste zulässiger und eingeschränkter Weblinks erstellen.

So erstellen Sie eine Regel für die automatische Zulassung von Inhaltsfiltern im Intune Admin Center:

1. Wählen Sie im linken Fenster Geräte.
2. Wählen Sie macOS.
3. Wählen Sie Configuration.
4. Klicken Sie auf Erstellen > Neue Regel.
   Die Seite Profil erstellen wird geöffnet.
5. Wählen Sie in der Dropdown-Liste Profiltyp die Option Einstellungskatalog.
6. Klicken Sie auf Erstellen.
7. Wählen Sie Web-Inhaltsfilter.
8. Aktivieren Sie die Kontrollkästchen für die folgenden Einstellungen:
   • Paketanbieter-Bundle-Kennung filtern
   • Pakete filtern
   • Sockets filtern
   • Organisation
   • Plug-in Bundle ID
   • Benutzerdefinierter Name

   

9. Geben Sie im Textfeld Benutzerdefinierter Name EndpointProtectionNetwork ein.
10. Geben Sie im Textfeld Plug-in Bundle ID com.protection.agent.next ein.
11. Geben Sie im Textfeld Organisation D3U2N4A6J7 ein.
12. Aktivieren Sie den Schalter Sockets filtern.
13. Aktivieren Sie den Schalter Pakete filtern.
14. Geben Sie im Textfeld Paketanbieter-Bundle-Kennung filtern com.protection.agent.next ein.
15. Geben Sie im Textfeld Datenanbieter-Bundle-Kennung filtern com.protection.agent.next ein.
16. Klicken Sie auf Weiter.
17. Klicken Sie auf der Seite Bereichsmarkierung auf Weiter.
18. Wählen Sie auf der Seite Zuweisungen die Gerätegruppe aus, der das Profil zugewiesen werden soll.
19. Klicken Sie auf Weiter.
20. Prüfen Sie das Profil auf Vollständigkeit. Klicken Sie auf Zurück, wenn Sie zu einem vorherigen Schritt zurückkehren möchten.
21. Klicken Sie auf Erstellen, um das Profil zu erstellen.

Skript zum Verhindern von Netzwerkzugriffswarnungen erstellen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die zu installierende Konfiguration erstellt und WatchGuard Endpoint Security auf dem Mac-Computer bereitgestellt haben. Dieses Skript emuliert die Aktivität des Benutzers, der auf das Fenster klickt, sodass die Warnung abgebrochen und die Netzwerkerweiterungstechnologie gestartet wird.

Fügen Sie im Fenster Intune Shell-Skript den folgenden Text hinzu:

/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog –-loadNext

Intune-Konfigurationsregeln bereitstellen

In diesem Abschnitt stellen Sie WatchGuard Endpoint Security bereit und erstellen ein Shell-Skript, um die Konfiguration auf Ihrem Mac bereitzustellen. Es kann bis zu acht Stunden dauern, bis das Shell-Skript jeden Mac erreicht. Wenn Sie das Skript sofort auf dem Computer bereitstellen möchten, können Sie in der Portal-App auf dem Mac auf Status prüfen klicken, um die Bereitstellung zu erzwingen.

So erstellen Sie ein Bereitstellungs-Skript:

1. Laden Sie das Skript wg_Agent_intune_install.sh als Baseline hier herunter.
2. Installieren Sie WatchGuard Endpoint Security auf dem Mac oder der Macs-Gruppe, auf die Sie die Intune-Profile anwenden möchten. Weitere Informationen finden Sie unter Endpoint Security-Software auf Mac-Computern installieren.
3. Öffnen Sie das Intune Admin Center.
4. Wählen Sie im linken Fenster Geräte.
5. Wählen Sie macOS.
6. Wählen Sie Shell-Skripts.
7. Klicken Sie auf Hinzufügen.

8. Geben Sie einen Namen für das Skript ein.
9. Klicken Sie auf Weiter.
10. Laden Sie während des Schritts Skript-Einstellungen ein Skript hoch, das die Download-URL für die Installation von WatchGuard Endpoint Security auf den Mac-Computern enthält.
    Um die Download-URL von der Endpoint Security-Verwaltungsoberfläche zu kopieren, wählen Sie Computer > Computer hinzufügen > MacOS > URL per E-Mail senden.

Kopieren Sie den langen Link aus der E-Mail-Nachricht und fügen Sie ihn in die Skript-Einstellungen ein. Zum Beispiel:

11. Stellen Sie sicher, dass unter Skript als angemeldeter Benutzer ausführen die Option Nein ausgewählt ist. Dadurch kann das Skript im Root ausgeführt werden.
12. Konfigurieren Sie die restlichen Skript-Einstellungen wie erforderlich.
• Skript-Benachrichtigungen auf Geräten ausblenden
• Skript-Frequenz
• Maximale Anzahl der Wiederholungen bei einem fehlgeschlagenen Skript
13. Klicken Sie auf Weiter.
14. Wählen Sie auf der Seite Zuweisungen die Gerätegruppe aus, der das Profil zugewiesen werden soll.
15. Klicken Sie auf Weiter.
16. Prüfen Sie das Profil auf Vollständigkeit. Klicken Sie auf Zurück, wenn Sie zu einem vorherigen Schritt zurückkehren möchten.
17. Klicken Sie auf Erstellen, um das Profil zu erstellen.

Ähnliche Themen

Endpoint Security-Software auf Mac-Computern installieren

Erste Schritte mit WatchGuard Endpoint Security

Endpoint Security Upgrade-Prozess