Implementar Endpoint Security para macOS con Configuraciones de Microsoft Intune

Aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR.,WatchGuard EDR Core Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR Core., WatchGuard EPP Este tema se aplica al producto de seguridad de endpoints WatchGuard EPP.

Las instrucciones de este tema se han utilizado correctamente para implementar WatchGuard Endpoint Security con perfiles de Intune en nuestro laboratorio de pruebas. Es posible que su entorno tenga requisitos o limitaciones diferentes. Si encuentra algún problema, póngase en contacto con su representante de Soporte Técnico de Microsoft Intune para obtener ayuda.

Microsoft Intune es un servicio de administración de endpoints unificados basado en la nube que simplifica la administración de aplicaciones y dispositivos en todos sus dispositivos. Este tema describe los pasos para crear políticas de configuración para dispositivos Mac en Microsoft Intune y, a continuación, implementar la configuración en el Agente de WatchGuard y el software de protección en sus dispositivos Mac. Cuando utiliza Intune, automatiza la aceptación de los permisos necesarios para que el software de seguridad de endpoints funcione en el dispositivo Mac.

Le recomendamos que, primero, cree la configuración en Intune para que, cuando se instale la protección de seguridad de endpoints en su dispositivo, ya tenga los permisos necesarios.

Estos permisos son necesarios para crear e implementar Endpoint Security para macOS con políticas de configuración de Intune. Puede crear estas políticas y scripts para automatizar la instalación de Endpoint Security en sus dispositivos Mac:

• Crear una Política para Habilitar el Acceso Total al Disco
• Crear una Política para Permitir Extensiones del Sistema y de Red
• Crear una Política para Permitir Automáticamente el Filtro de Contenido
• Crear un Script para Evitar Alertas de Acceso a la Red

Después de crear las políticas y los scripts, debe Implementar las Políticas de Configuración de InTune.

Antes de Empezar

Antes de crear la configuración en Intune, le recomendamos que cree un grupo para todos los dispositivos Mac en la UI de administración de Endpoint Security, o para las Mac a las que desea asignar la configuración. Cuando instala el Agente de WatchGuard, los perfiles solo se aplican a los dispositivos Mac destinatarios.

Para obtener la máxima compatibilidad, le recomendamos encarecidamente que utilice Macs que ejecuten macOS Catalina 10.15 y superior. También es necesario que los dispositivos Mac tengan instalada la versión más reciente de WatchGuard Endpoint Security .

Los dispositivos Mac con macOS Mojave 10.14 y anterior ejecutan WatchGuard Endpoint Security v2.x y anterior. Los pasos para estos dispositivos no se incluyen en este tema.

Crear una Política para Habilitar el Acceso Total al Disco

El servicio de protección de seguridad de endpoints requiere acceso total al disco en una Mac.

Para habilitar el acceso total al disco, desde el Centro de Administración de Intune:

1. En el panel izquierdo, seleccione Dispositivos.
2. Seleccione macOS.

3. Seleccione Configuración.
4. Haga clic en Crear > Nueva Política.
   Se abre la página Crear un Perfil.
5. En la lista desplegable Tipo de Perfil seleccione Plantillas.

6. En la lista Nombre de la Plantilla, seleccione Restricciones del Dispositivo.
7. Haga clic en Crear.

8. Ingrese un Nombre para la plantilla (por ejemplo, escriba FDA). Haga clic en Siguiente.
9. En la página Ajustes de Configuración, amplíe Preferencias de Privacidad.

10. Haga clic en Añadir.
11. Especifique las preferencias de privacidad:
    • Nombre: com.protection.agent
    • Tipo de Identificador: ID de Paquete
    • Identificador: com.protection.agent
12. En el cuadro Requisito de Código, ingrese este código:

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

13. En la lista desplegable Acceso Total al Disco, seleccione Permitir.

14. Haga clic en Guardar.
15. Haga clic en Siguiente.
16. En la página Asignaciones, seleccione el grupo de dispositivos al que desea asignar este perfil.
17. Haga clic en Siguiente.
18. Compruebe que el perfil esté completo. Haga clic en Anterior si desea volver a un paso anterior.
19. Haga clic en Crear para crear la política.

Crear una Política para Permitir Extensiones del Sistema y de Red

Las extensiones del sistema son necesarias para capturar eventos de archivos. Las extensiones de red son necesarias para capturar y filtrar paquetes de red para la protección web y el filtrado de contenido. En el software de protección v3.04 y superior, las extensiones de red también son necesarias para el aislamiento de dispositivos.

Puede crear un único perfil para permitir tanto las extensiones del sistema como las de red en el Mac.

Para configurar las extensiones del sistema y de red permitidas, desde el Centro de Administración de Intune:

1. En el panel izquierdo, seleccione Dispositivos.
2. Seleccione macOS.
3. Seleccione Configuración.
4. Haga clic en Crear > Nueva Política.
   Se abre la página Crear un Perfil.
5. En la lista desplegable Tipo de Perfil, seleccione Catálogo de Configuraciones.
6. Haga clic en Crear.

7. Ingrese un Nombre para el perfil (por ejemplo, escriba Extensiones Permitidas).
8. Haga clic en Siguiente.
9. Haga clic en Añadir Configuración.

10. En el Selector de Configuraciones, seleccione Configuración del Sistema > Extensiones del Sistema.
11. En la sección Nombre de la Configuración, marque la casilla de selección Extensiones del Sistema Permitidas.

12. En la sección Extensiones del Sistema Permitidas, haga clic en Editar Instancia.
13. Agregue dos identificadores de paquete con el identificador de equipo D3U2N4A6J7:

• com.protection.agent
• com.protection.agent.next

14. Haga clic en Guardar. Haga clic en Siguiente.
15. En la página Asignaciones, seleccione el grupo de dispositivos al que desea asignar este perfil.
16. Haga clic en Siguiente.
17. Compruebe que el perfil esté completo. Haga clic en Anterior si desea volver a un paso anterior.
18. Haga clic en Crear para crear el perfil.

Activación Completa de las Extensiones de Red

Para las extensiones de red, debe aceptar la extensión del sistema en las preferencias de configuración de macOS para completar la activación de la extensión de red.

Para completar la activación de la extensión de red:

1. Abra la interfaz de alertas en el Mac.

2. Haga clic en Abrir el Panel de Preferencias de Seguridad.
   Esta extensión de red intenta ejecutarse en segundo plano: /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
3. En las preferencias de ajustes de macOS, acepte la extensión del sistema especificada en el procedimiento anterior.
4. Para permitir que Protection Agent Network filtre el contenido de red, haga clic en Permitir.

Crear una Política para Permitir Automáticamente el Filtro de Contenido

Puede crear una política para utilizar el filtro de contenido de Endpoint Security. También puede crear una lista de enlaces web permitidos y enlaces web restringidos.

Para crear una política que permita automáticamente el filtro de contenido, desde el Centro de Administración de Intune:

1. En el panel izquierdo, seleccione Dispositivos.
2. Seleccione macOS.
3. Seleccione Configuración.
4. Haga clic en Crear > Nueva Política.
   Se abre la página Crear un Perfil.
5. En la lista desplegable Tipo de Perfil, seleccione Catálogo de Configuraciones.
6. Haga clic en Crear.
7. Seleccione Filtro de Contenido Web.
8. Seleccione las casillas de selección para estos ajustes:
   • Identificador del Paquete del Proveedor de Filtrado de Paquetes
   • Filtrar Paquetes
   • Filtrar Sockets
   • Organización
   • ID del Paquete de Complementos
   • Nombre Definido por el Usuario

   

9. En el cuadro de texto Nombre Definido por el Usuario, escriba EndpointProtectionNetwork.
10. En el cuadro de texto ID del Paquete de Complementos, escriba com.protection.agent.next.
11. En el cuadro de texto Organización, escriba D3U2N4A6J7.
12. Habilite el interruptor Filtrar Sockets.
13. Habilite el interruptor Filtrar Paquetes.
14. En el cuadro de texto Identificador del Paquete del Proveedor de Filtrado de Paquetes, escriba com.protection.agent.next.
15. En el cuadro de texto Identificador del Paquete del Proveedor de Filtrado de Datos, escriba com.protection.agent.next.
16. Haga clic en Siguiente.
17. En la página Etiquetas de Alcance, haga clic en Siguiente.
18. En la página Asignaciones, seleccione el grupo de dispositivos al que desea asignar este perfil.
19. Haga clic en Siguiente.
20. Compruebe que el perfil esté completo. Haga clic en Anterior si desea volver a un paso anterior.
21. Haga clic en Crear para crear el perfil.

Crear un Script para Evitar Alertas de Acceso a la Red

Antes de empezar, asegúrese de haber creado la configuración que desea instalar y de haber implementado WatchGuard Endpoint Security en la computadora Mac. Este script emula la actividad del usuario al hacer clic en la ventana, lo que descarta la alerta y hace que se inicie la tecnología de extensión de red.

En la ventana Script de Shell de Intune, agregue este texto:

/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog –-loadNext

Implementar las Políticas de Configuración de InTune

En esta sección, implementará WatchGuard Endpoint Security y creará un script de shell para implementar la configuración en la Mac. El script de shell puede tardar hasta ocho horas en llegar a cada Mac. Si desea implementar el script inmediatamente en la computadora, puede hacer clic en Comprobar Estado en la aplicación del portal en la Mac para forzar la implementación.

Para crear un script de implementación:

1. Descargue el script wg_Agent_intune_install.sh como referencia desde aquí.
2. Instale WatchGuard Endpoint Security en la Mac o el grupo de Macs al que desea aplicar los perfiles de Intune. Para más información, vaya a Instalar el Software Endpoint Security en Computadoras Mac.
3. Abra el Centro de Administración de Intune.
4. En el panel izquierdo, seleccione Dispositivos.
5. Seleccione macOS.
6. Seleccione Scripts de Shell.
7. Haga clic en Añadir.

8. Ingrese un Nombre para el script.
9. Haga clic en Siguiente.
10. En el paso Configuración del Script, cargue un script que incluya la URL de descarga para la instalación de WatchGuard Endpoint Security en las computadoras Mac.
    Para copiar la URL de descarga, en la UI de administración de Endpoint Security, seleccione Equipos > Añadir Equipos > macOS > Enviar URL por Correo Electrónico.

Copie el enlace largo del mensaje de correo electrónico y péguelo en la configuración del script. Por ejemplo:

11. Asegúrese de que Ejecutar Script como Usuario Registrado esté configurado como No. Esto permite que el script se ejecute como root.
12. Configure el resto de la configuración del script, según sea necesario.
• Ocultar notificaciones de scripts en los dispositivos
• Frecuencia del script
• Número máximo de reintentos si el script falla
13. Haga clic en Siguiente.
14. En la página Asignaciones, seleccione el grupo de dispositivos al que desea asignar este perfil.
15. Haga clic en Siguiente.
16. Compruebe que el perfil esté completo. Haga clic en Anterior si desea volver a un paso anterior.
17. Haga clic en Crear para crear el perfil.

Temas Relacionados

Instalar el Software Endpoint Security en Computadoras Mac

Comenzar con WatchGuard Endpoint Security

Proceso de Actualización de Endpoint Security