Déployer Endpoint Security pour macOS avec Jamf Pro

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR.,WatchGuard EDR Core Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR Core., WatchGuard EPP Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPP.

Les instructions de cette rubrique ont été employées avec succès pour déployer Endpoint Security avec Jamf Pro 11 dans notre laboratoire de test. Votre environnement peut présenter des exigences ou des limitations distinctes. Si vous rencontrez des problèmes, contactez votre représentant du service d'Assistance Jamf Pro pour obtenir de l'aide.

Jamf Pro est un logiciel de gestion des périphériques mobiles (MDM) d'entreprise permettant de gérer et sécuriser les périphériques Apple grâce à des intégrations et des outils avancés. Vous pouvez utiliser Jamf Pro de manière à automatiser l'acceptation des permissions requises afin que le logiciel Endpoint Security fonctionne sur les périphériques Mac.

Nous vous recommandons de créer d'abord des profils de configuration dans Jamf Pro afin que lors de l'installation d'Endpoint Security sur votre périphérique, celui-ci dispose déjà des permissions nécessaires.

Avant de Commencer

Cette rubrique suppose que vous possédez un certificat push fonctionnel déjà intégré à Jamf Pro (paramètres-global-certificats push).

Avant de créer les profils de configuration dans Jamf Pro, nous vous recommandons de créer un petit groupe de périphériques Mac sur lesquels vous souhaitez déployer Endpoint Security en premier. Une fois le déploiement effectué avec succès, vous pouvez accroître la taille du groupe. Dans cette rubrique, nous créons et déployons les profils de configuration Jamf sur un groupe d'ordinateurs statiques et sur des périphériques individuels.

Nous vous recommandons vivement d'utiliser des périphériques Mac prenant en charge les extensions système (c'est-à-dire des périphériques Mac exécutant macOS Catalina 10.15 ou une version ultérieure). Les périphériques Mac exécutant macOS Mojave 10.14 ou une version antérieure exécutent Endpoint Security v2.x ou une version antérieure. Les étapes correspondant à ces périphériques ne figurent pas dans cette rubrique. Nous vous recommandons d'installer la dernière version d'Endpoint Security sur vos périphériques Mac.

Les étapes d'automatisation de l'installation d'Endpoint Security pour macOS avec Jamf Pro sont les suivantes :

• Créer un Profil de Configuration Jamf Pro
• Autoriser les Extensions Système et Réseau
• Activer l'Accès Complet au Disque
• Autoriser Automatiquement le Filtrage du Contenu
• Déployer l'Agent WatchGuard et le Profil Jamf Pro
• Vérifier le Déploiement de l'Agent et du Profil

Créer un Profil de Configuration Jamf Pro

Vous pouvez utiliser Jamf Pro de manière à créer un profil de configuration qui accepte automatiquement les privilèges macOS nécessaires à l'installation et à l'exécution d'Endpoint Security sur vos périphériques Mac.

Pour créer un profil de configuration, à partir de Jamf Pro :

1. Dans le volet gauche, cliquez sur Ordinateurs.
2. Dans le menu qui s'ouvre, cliquez sur Profils de Configuration.

3. Cliquez sur Nouveau.
4. Dans la section Général, saisissez un Nom pour le profil (par exemple : stratégie de permissions de protection macOS).
5. Sélectionnez l'onglet Périmètre.
6. Cliquez sur Ajouter.

7. Sélectionnez les périphériques ou le groupe de périphériques auxquels vous souhaitez appliquer le profil.
8. Cliquez sur Enregistrer.

Autoriser les Extensions Système et Réseau

Les extensions système sont nécessaires pour capturer les événements de fichier. Les extensions réseau sont nécessaires pour capturer et filtrer les paquets réseau pour la protection web et le filtrage du contenu. Dans le logiciel de protection Endpoint Security v3.04 et les versions ultérieures, les extensions réseau sont également requises pour l'isolement du périphérique.

Pour créer une option permettant d'autoriser les extensions système et réseau :

1. Dans l'onglet Options, sélectionnez Extensions Système.

2. Cliquez sur Configurer.
3. Saisissez un Nom d'Affichage (par exemple : Extensions Système).
4. Dans la liste Types d'Extensions Système, sélectionnez Extensions Système Autorisées.
5. Dans la zone de texte Identifiant de l'Équipe, saisissez D3U2N4A6J7.
6. Dans la partie inférieure de la page, cliquez sur Ajouter.

7. Dans la section Extensions Système Autorisées, ajoutez les extensions suivantes :
   • com.protection.agent
   • com.protection.agent.next
8. Cliquez sur Enregistrer pour enregistrer la stratégie.
9. Cliquez sur Distribuer à Tous.
   Ces paramètres d'extension système sont distribués à tous les périphériques définis dans le périmètre.

Activer l'Accès Complet au Disque

L'accès complet au disque du Mac est nécessaire au service de protection de sécurité des endpoints.

Pour créer une option permettant d'activer l'accès complet au disque :

1. Dans l'onglet Options, sélectionnez Contrôle de la Stratégie des Préférences de Confidentialité.

2. Cliquez sur Configurer.
3. Dans la section Accès de l'Application, dans la zone de texte Identifiant, saisissez com.protection.agent.
4. Dans la listeType d'Identifiant, sélectionnez Bundle ID.
5. Dans la zone de texte Exigence du Code, saisissez le code suivant :

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

6. Dans la partie inférieure de la page, cliquez sur Ajouter pour ajouter une ligne.
7. Dans la liste déroulante Application ou Service, sélectionnez SystemPolicyAllFiles.
8. Dans la liste déroulante Accès, sélectionnez Autoriser.
9. Enregistrez la ligne.
10. Cliquez sur Enregistrer pour enregistrer la stratégie.
11. Cliquez sur Distribuer à Tous.
    Ces paramètres d'extension système sont distribués à tous les périphériques définis dans le périmètre.

Autoriser Automatiquement le Filtrage du Contenu

Vous pouvez créer une stratégie de manière à utiliser le filtrage du contenu d'Endpoint Security. Le filtre appartient à l'extension réseau.

Pour créer une option permettant d'autoriser automatiquement le filtrage du contenu :

1. Dans l'onglet Options, sélectionnez Filtrage du Contenu.

2. Cliquez sur Configurer.
3. Dans la zone de texte Nom du Filtre, saisissez EndpointProtectionNetwork.
4. Dans la zone de texte Identifiant, saisissez com.protection.agent.next.
5. Dans la zone de texte Organisation, saisissez D3U2N4A6J7.
6. Activez le Filtre Réseau.
7. Dans la zone de texte Bundle Id du Filtrage Réseau, saisissez com.protection.agent.next.
8. Dans la zone de texte Exigence Désignée du Filtre Réseau, saisissez le code suivant :

identifier "com.protection.agent.next" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

9. Cliquez sur Enregistrer.
10. Cliquez sur Distribuer à Tous.
    Ces paramètres d'extension système sont distribués à tous les périphériques définis dans le périmètre.

Déployer l'Agent WatchGuard et le Profil Jamf Pro

Après avoir créé le profil de configuration, vous utilisez des scripts de déploiement pour déployer l'Agent WatchGuard et le profil sur vos périphériques Mac. Dans cette section, vous créez un script shell de manière à déployer les profils de configuration sur le Mac.

Pour créer les scripts de déploiement :

1. Téléchargez les scripts de déploiement ici.
2. Extrayez les fichiers.
3. Sélectionnez Paramètres > Gestion de l'Ordinateur.
4. Cliquez sur Scripts.
5. Cliquez sur Nouveau.
6. Sur la page Général, saisissez un Nom d'Affichage pour le script (par exemple : deployendpointscript).
7. Sur la page Script, collez le code du script.

8. Modifiez l'URL du code collé de sorte de préciser l'URL complète de l'UI de gestion d'Endpoint Security. Veillez à employer des guillemets (par exemple : "https://...").
   Pour copier l'URL de l'UI de gestion d'Endpoint Security, sélectionnez Ordinateurs > Ajouter des Ordinateurs > macOS puis cliquez sur Envoyer l'URL par E-mail.

9. Cliquez sur Enregistrer.
10. Cliquez sur Nouveau.
11. Sur la page Général, saisissez un Nom d'Affichage pour le script (par exemple : loadNext).
12. Sur la page Script, collez le code suivant dans la zone de texte : /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
13. Cliquez sur Enregistrer.

Lorsque vous exécutez un script, vous pouvez sélectionner sa priorité et spécifier les valeurs du script dans une stratégie de déploiement. Pour exécuter un script sur des ordinateurs, celui-ci doit être enregistré sur le point de distribution à partir duquel vous prévoyez de le déployer ainsi que dans Jamf Pro. La stratégie s'exécute sur les ordinateurs du périmètre défini lors de leur prochaine connexion à Jamf Pro.

Pour créer une stratégie de déploiement, à partir de Jamf Pro :

1. Dans le volet gauche, cliquez sur Ordinateurs.
2. Dans le menu qui s'ouvre, sélectionnez Stratégies.
3. Cliquez sur Nouveau.
4. Sur la page Options, sélectionnez Général.
5. Saisissez un Nom d'Affichage pour la stratégie (par exemple : DeployEndpointProtection).

6. Sur la page Périmètre, attribuez la stratégie aux ordinateurs ou au groupe d'ordinateurs auxquels elle doit s'appliquer.
7. Cliquez sur Enregistrer.
8. Sur la page Options, sélectionnez Scripts.

9. Cliquez sur Ajouter.
10. Ajoutez les scripts que vous souhaitez exécuter (par exemple : DeployEndpointProtection et loadNext).
    La section Scripts indique les deux scripts sélectionnés.
11. Définissez la priorité du script DeployEndpointProtection sur Avant.

12. Définir la priorité du script loadNext sur Après.

13. Cliquez sur Général.
14. Nous vous recommandons de configurer les options suivantes :
    • Activer Réexécuter Automatiquement la Stratégie en cas d'Échec.
    • Configurez le Nombre de Tentatives sur 3.

Ainsi, le deuxième script (loadNext) s'exécute plusieurs fois de manière à confirmer que l'agent et la protection sont installés. Par exemple, le démarrage de la connexion détermine le moment où le déploiement doit être déclenché. Ce paramètre peut être modifié en fonction de vos besoins.

15. Sur la page Périmètre, ajoutez les périphériques ou le groupe de périphériques auxquels la stratégie doit s'appliquer.
    

Vérifier le Déploiement de l'Agent et du Profil

Vous pouvez consulter les journaux de manière à déterminer si la stratégie a été déployée. Lorsque la stratégie est déployée, le premier script (DeployEndpointProtection) s'exécute. Ce script exécute automatiquement les actions suivantes :

1. Détermine si rosetta2 est nécessaire. Il s'agit d'une couche de traduction destinée aux périphériques Apple M-X. S'il est nécessaire et qu'il n'a pas déjà été installé, le script l'installe.
2. Détermine si l'Agent WatchGuard est déjà installé dans le dossier suivant :/Applications/Management-Agent.app/. Si l'agent n'est pas installé, il le télécharge à partir du lien indiqué puis l'installe sur le périphérique.

L'agent installe ensuite automatiquement le logiciel Endpoint Security sur le périphérique. Le périphérique Mac affiche le message : Une extension requise du système a été bloquée. Pour résoudre le problème, ouvrez le volet Préférences de Sécurité et autorisez l'application NextLoader.

Ce message s'affiche, car Endpoint Security ne démarre pas automatiquement l'extension réseau tant que l'utilisateur n'a pas cliqué sur Ouvrir le volet Préférences de Sécurité et autorisé l'application. Ce message se ferme automatiquement quelques minutes plus tard, lorsque le second script (loadNext) s'exécute à nouveau, conformément à l'option retry de la stratégie de déploiement.

Rubriques Connexes

Installer le Logiciel Endpoint Security sur des Ordinateurs Mac

Démarrer avec Watchguard Endpoint Security

Processus de Mise à Niveau d'Endpoint Security