Déployer Endpoint Security macOS avec les configurations Microsoft Intune

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR.,WatchGuard EDR Core Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR Core., WatchGuard EPP Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPP.

Les instructions de cette rubrique ont été employées avec succès pour déployer WatchGuard Endpoint Security avec les profils Intune de notre laboratoire de test. Votre environnement peut présenter des exigences ou des limitations distinctes. Si vous rencontrez des problèmes, contactez votre représentant de l'Assistance Microsoft Intune pour obtenir de l'aide.

Microsoft Intune est un service de gestion unifiée des endpoints cloud visant à simplifier la gestion des applications et des périphériques sur l'ensemble de vos périphériques. Cette rubrique décrit les étapes à suivre pour créer des stratégies de configuration destinées aux périphériques Mac dans Microsoft Intune, puis pour déployer la configuration vers l'Agent WatchGuard et le logiciel de protection de vos périphériques Mac. Lorsque vous utilisez Intune, vous automatisez l'acceptation des permissions requises de manière à ce que le logiciel de sécurité des endpoints fonctionne sur le périphérique Mac.

Nous vous recommandons de créer d'abord la configuration dans Intune, de sorte que lorsque la protection de sécurité des endpoints est installée sur votre périphérique, elle dispose déjà des permissions requises.

Ces permissions sont nécessaires pour créer et déployer Endpoint Security macOS avec les stratégies de configuration Intune. Vous pouvez créer les stratégies et les scripts suivants de manière à automatiser l'installation d'Endpoint Security sur vos périphériques Mac :

• Créer une Stratégie pour Activer l'Accès Complet au Disque
• Créer une Stratégie pour Autoriser les Extensions Système et Réseau
• Créer une Stratégie pour Autoriser Automatiquement le Filtrage du Contenu
• Créer un Script pour Éviter les Alertes d'Accès au Réseau

Après avoir créé les stratégies et les scripts, vous devez Déployer les Stratégies de Configuration InTune.

Avant de Commencer

Avant de créer la configuration dans Intune, nous vous recommandons de créer un groupe destiné à tous les périphériques Mac dans l'UI de gestion d'Endpoint Security, ou aux Mac auxquels vous souhaitez attribuer la configuration. Lorsque vous installez l'Agent WatchGuard, les profils ne s'appliquent qu'aux périphériques Mac destinataires.

Pour une compatibilité maximale, nous vous recommandons vivement d'utiliser des Macs exécutant macOS Catalina 10.15 et les versions ultérieures. Nous exigeons également que la dernière version de WatchGuard Endpoint Security soit installée sur les périphériques Mac.

Les périphériques Mac exécutant macOS Mojave 10.14 ou une version antérieure exécutent WatchGuard Endpoint Security v2.x ou une version antérieure. Les étapes correspondant à ces périphériques ne figurent pas dans cette rubrique.

Créer une Stratégie pour Activer l'Accès Complet au Disque

L'accès complet au disque du Mac est nécessaire au service de protection de sécurité des endpoints.

Pour activer l'accès complet au disque, à partir du Centre d'Administration Intune :

1. Dans le volet gauche, sélectionnez Appareils.
2. Sélectionnez macOS.

3. Sélectionnez Configuration.
4. Cliquez sur Créer > Nouvelle Stratégie.
   La page Créer un Profil s'ouvre.
5. Dans la liste déroulante Type de Profil, sélectionnez Modèles.

6. Dans la liste Nom du Modèle, sélectionnez Restrictions du Périphérique.
7. Cliquez sur Créer.

8. Saisissez un Nom pour le modèle (par exemple : saisissez FDA). Cliquez sur Suivant.
9. Sur la page Paramètres de Configuration, développez Préférences de Confidentialité.

10. Cliquez sur Ajouter.
11. Spécifiez les préférences de confidentialité suivantes :
    • Nom : com.protection.agent
    • Type d'Identifiant : Bundle ID
    • Identifiant : com.protection.agent
12. Dans la zone Exigence du Code, saisissez le code suivant :

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

13. Dans la liste déroulante Accès Complet au Disque, sélectionnez Autoriser.

14. Cliquez sur Enregistrer.
15. Cliquez sur Suivant.
16. Sur la page Affectations, sélectionnez le groupe de périphériques auquel vous souhaitez attribuer ce profil.
17. Cliquez sur Suivant.
18. Vérifiez que le profil est complet. Cliquez sur Précédent pour revenir à une étape précédente.
19. Cliquez sur Créer pour créer la stratégie.

Créer une Stratégie pour Autoriser les Extensions Système et Réseau

Les extensions système sont nécessaires pour capturer les événements de fichier. Les extensions réseau sont nécessaires pour capturer et filtrer les paquets réseau pour la protection web et le filtrage du contenu. Dans le logiciel de protection v3.04 et les versions ultérieures, les extensions réseau sont également nécessaires pour l'isolement des périphériques.

Vous pouvez créer un profil unique pour autoriser les extensions système et réseau sur le Mac.

Pour configurer les extensions système et réseau autorisées, à partir du Centre d'Administration Intune :

1. Dans le volet gauche, sélectionnez Appareils.
2. Sélectionnez macOS.
3. Sélectionnez Configuration.
4. Cliquez sur Créer > Nouvelle Stratégie.
   La page Créer un Profil s'ouvre.
5. Dans la liste déroulante Type de Profil, sélectionnez Catalogue de Paramètres.
6. Cliquez sur Créer.

7. Saisissez un Nom pour le profil (par exemple : saisissez Extensions Autorisées).
8. Cliquez sur Suivant.
9. Cliquez sur Ajouter des Paramètres.

10. Dans le Sélecteur de Paramètres, sélectionnez Configuration Système > Extensions du Système.
11. Dans la section Nom du Paramètre, cochez la case à cocher Extensions Système Autorisées.

12. Dans la section Extensions Système Autorisées, cliquez sur Modifier l'Instance.
13. Ajoutez deux bundle id avec l'identifiant d'équipe D3U2N4A6J7 :

• com.protection.agent
• com.protection.agent.next

14. Cliquez sur Enregistrer. Cliquez sur Suivant.
15. Sur la page Affectations, sélectionnez le groupe de périphériques auquel vous souhaitez attribuer ce profil.
16. Cliquez sur Suivant.
17. Vérifiez que le profil est complet. Cliquez sur Précédent pour revenir à une étape précédente.
18. Cliquez sur Créer pour créer le profil.

Activation Complète des Extensions Réseau

Pour les extensions réseau, vous devez accepter l'extension système dans les préférences des paramètres macOS de manière à achever l'activation de l'extension réseau.

Pour achever l'activation de l'extension réseau :

1. Ouvrez l'interface d'alerte sur le Mac.

2. Cliquez sur Ouvrir le Volet des Préférences de Sécurité.
   Cette extension réseau tente de s'exécuter en arrière-plan : /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
3. Dans les préférences des paramètres macOS, acceptez l'extension système spécifiée dans la procédure précédente.
4. Pour autoriser le Réseau de l'Agent de Protection à filtrer le contenu du réseau, cliquez sur Autoriser.

Créer une Stratégie pour Autoriser Automatiquement le Filtrage du Contenu

Vous pouvez créer une stratégie de manière à utiliser le filtrage du contenu d'Endpoint Security. Vous pouvez également créer une liste de liens web autorisés et de liens web restreints.

Pour créer une stratégie autorisant automatiquement le filtrage du contenu, à partir du Centre d'Administration Intune :

1. Dans le volet gauche, sélectionnez Appareils.
2. Sélectionnez macOS.
3. Sélectionnez Configuration.
4. Cliquez sur Créer > Nouvelle Stratégie.
   La page Créer un Profil s'ouvre.
5. Dans la liste déroulante Type de Profil, sélectionnez Catalogue de Paramètres.
6. Cliquez sur Créer.
7. Sélectionnez Filtrage du Contenu Web.
8. Cochez les cases à cocher des paramètres suivants :
   • Identifiant du Bundle du Fournisseur des Paquets de Filtrage
   • Filtrer les Paquets
   • Filtrer les Sockets
   • Organisation
   • Bundle ID du Plugin
   • Nom Défini par l'Utilisateur

   

9. Dans la zone de texte Nom Défini par l'Utilisateur, saisissez EndpointProtectionNetwork.
10. Dans la zone de texte Bundle ID du Plugin, saisissez com.protection.agent.next.
11. Dans la zone de texte Organisation, saisissez D3U2N4A6J7.
12. Activez la bascule Filtrer les Sockets.
13. Activez la bascule Filtrer les Paquets.
14. Dans la zone de texte Bundle Id du Fournisseur des Paquets de Filtrage, saisissez com.protection.agent.next.
15. Dans la zone de texte Bundle Id du Fournisseur des Données de Filtrage, saisissez com.protection.agent.next.
16. Cliquez sur Suivant.
17. Sur la page Balises de Portée, cliquez sur Suivant.
18. Sur la page Affectations, sélectionnez le groupe de périphériques auquel vous souhaitez attribuer ce profil.
19. Cliquez sur Suivant.
20. Vérifiez que le profil est complet. Cliquez sur Précédent pour revenir à une étape précédente.
21. Cliquez sur Créer pour créer le profil.

Créer un Script pour Éviter les Alertes d'Accès au Réseau

Avant de commencer, assurez-vous d'avoir créé la configuration que vous souhaitez installer et d'avoir déployé WatchGuard Endpoint Security sur l'ordinateur Mac. Ce script émule l'activité de l'utilisateur qui clique sur la fenêtre, ce qui supprime l'alerte et provoque le démarrage de la technologie d'extension réseau.

Dans la fenêtre Script Shell Intune, ajoutez le texte suivant :

/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog –-loadNext

Déployer les Stratégies de Configuration InTune

Dans cette section, vous déployez WatchGuard Endpoint Security et créez un script shell de manière à déployer la configuration sur le Mac. Le script shell peut nécessiter jusqu'à huit heures pour joindre chaque Mac. Si vous souhaitez déployer le script immédiatement sur l'ordinateur, vous pouvez cliquer sur Vérifier l'État dans l'application de portail du Mac afin de forcer le déploiement.

Pour créer un script de déploiement :

1. Téléchargez le script wg_Agent_intune_install.sh en tant que référence ici.
2. Installez WatchGuard Endpoint Security sur le Mac ou le groupe de Macs auquel vous souhaitez appliquer les profils Intune. Pour de plus amples informations, accédez à Installer le Logiciel Endpoint Security sur des Ordinateurs Mac.
3. Ouvrez le Centre d'Administration Intune.
4. Dans le volet gauche, sélectionnez Appareils.
5. Sélectionnez macOS.
6. Sélectionnez Scripts Shell.
7. Cliquez sur Ajouter.

8. Saisissez un Nom pour le script.
9. Cliquez sur Suivant.
10. À l'étape Paramètres du Script, chargez un script où figure l'URL de téléchargement pour l'installation de WatchGuard Endpoint Security sur les ordinateurs Mac.
    Pour copier l'URL de téléchargement, dans l'UI de gestion d'Endpoint Security, sélectionnez Ordinateurs > Ajouter des Ordinateurs > macOS > Envoyer l'URL par E-mail.

Copiez le lien long du message d'e-mail et collez-le dans les paramètres du script. Par exemple :

11. Assurez-vous que le paramètre Exécuter le Script en tant qu'Utilisateur Connecté a été configuré sur Non. Le script s'exécute ainsi en tant que root.
12. Configurez les autres paramètres du script si nécessaire.
• Masquer les notifications de script sur les périphériques
• Fréquence du script
• Nombre maximal de tentatives en cas d'échec du script
13. Cliquez sur Suivant.
14. Sur la page Affectations, sélectionnez le groupe de périphériques auquel vous souhaitez attribuer ce profil.
15. Cliquez sur Suivant.
16. Vérifiez que le profil est complet. Cliquez sur Précédent pour revenir à une étape précédente.
17. Cliquez sur Créer pour créer le profil.

Rubriques Connexes

Installer le Logiciel Endpoint Security sur des Ordinateurs Mac

Démarrer avec Watchguard Endpoint Security

Processus de Mise à Niveau d'Endpoint Security