Microsoft Intune 構成を使用して macOS に Endpoint Security を配備する

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。

当社のテスト ラボでは、このトピックの手順により、Intune プロファイルを使用して正常に WatchGuard Endpoint Security を配備することができました。しかし、各社の環境はそれぞれに要件や制限が異なる場合があります。問題が発生した場合は、Microsoft Intune サポート担当者にお問い合わせください。

Microsoft Intune は、クラウドベースの統合 Endpoint 管理サービスです。これにより、デバイス間のアプリとデバイスの管理が簡素化されます。このトピックでは、Microsoft Intune で Mac デバイスの構成ポリシーを作成し、その構成を Mac デバイスの WatchGuard エージェントと保護ソフトウェアに配備する手順について説明します。Intune を使用する際は、Endpoint Security ソフトウェアが Mac デバイスで動作するために必要となる権限の承認を自動化することができます。

Endpoint Security 保護をデバイスにインストールした際にすでに必要な権限が付与されている状態にするため、まず Intune で構成を作成することが勧められます。

Intune 構成ポリシーを使用して macOS の Endpoint Security を作成および配備するには、こうした権限が必要となります。以下のポリシーとスクリプトを作成して、Mac デバイスへの Endpoint Security のインストールを自動化することができます。

ポリシーとスクリプトを作成したら、Intune 構成ポリシーを配備する

開始する前に

Intune で構成を作成する前に、Endpoint Security 管理 UI ですべての Mac デバイスのグループを作成すること、または構成を割り当てる Mac のグループを作成することが勧められます。WatchGuard エージェントをインストールすると、プロファイルは受信側の Mac デバイスにのみ適用されます。

互換性を最大限に高めるために、macOS Catalina 10.15 以降を実行している Mac を使用することが強く勧められます。また、Mac デバイスには WatchGuard Endpoint Security の最新バージョンがインストールされている必要があります。

macOS Mojave 10.14 以前を実行している Mac デバイスでは、WatchGuard Endpoint Security v2.x 以前を実行します。こうしたデバイスの手順は、このトピックには含まれていません。

フル ディスク アクセスを有効化するポリシーを作成する

Endpoint Security 保護サービスには、Mac でのフル ディスク アクセスが必要です。

フル ディスク アクセスを有効化するには、Intune 管理センターで以下の手順を実行します。

  1. 左側のパネルで、デバイス を選択します。
  2. macOS を選択します。

Screen shot of Intune Admin Center, macOS devices

  1. 構成 を選択します。
  2. 作成 > 新規ポリシー の順にクリックします。
    プロファイルを作成する ページが開きます。
  3. プロファイルの種類 ドロップダウン リストから、テンプレート を選択します。

  1. テンプレート名 リストで、デバイス制限 を選択します。
  2. 作成 をクリックします。

Screen shot of Intune Admin Center, Device Restrictions

  1. テンプレートの 名前 を入力します (例:FDA)。次へ をクリックします。
  2. 構成設定 ページで、プライバシー環境設定 を展開します。

Screen shot of Intune Admin Center, Privacy Preferences

  1. 追加 をクリックします。
  2. プライバシー環境設定を指定します。
    • 名前:com.protection.agent
    • 識別子の種類:Bundle ID
    • 識別子:com.protection.agent
  3. コード要件 ボックスに以下のコードを入力します。

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

Screen shot of Intune Admin Center, Add Row

  1. フル ディスク アクセス ドロップダウン リストから、許可 を選択します。

Screen shot of Intune Admin Center, Full Disk Access

  1. 保存 をクリックします。
  2. 次へ をクリックします。
  3. 割り当て ページで、このプロファイルを割り当てるデバイスのグループを選択します。
  4. 次へ をクリックします。
  5. プロファイルが完全であることを確認します。前の手順に戻る場合は、前へ をクリックします。
  6. 作成 をクリックして、ポリシーを作成します。

システムとネットワークの機能拡張を許可するポリシーを作成する

ファイル イベントをキャプチャするには、システム機能拡張が必要です。Web 保護およびコンテンツ フィルタリングのためにネットワーク パケットをキャプチャしてフィルタリングするには、ネットワーク機能拡張が必要です。保護ソフトウェア v3.04 以降では、デバイスの隔離にネットワーク機能拡張が必要となります。

単一のプロファイルを作成して、Mac でシステム機能拡張とネットワーク機能拡張の両方を許可することができます。

許可済みのシステム機能拡張とネットワーク機能拡張を構成するには、Intune 管理センターで以下の手順を実行します。

  1. 左側のパネルで、デバイス を選択します。
  2. macOS を選択します。
  3. 構成 を選択します。
  4. 作成 > 新規ポリシー の順にクリックします。
    プロファイルを作成する ページが開きます。
  5. プロファイルの種類 ドロップダウン リストから、カタログの設定 を選択します。
  6. 作成 をクリックします。

Screen shot of Intune Admin Center, macOS Configuration

  1. プロファイルの 名前 を入力します (例:許可済み機能拡張)。
  2. 次へ をクリックします。
  3. 設定の追加 をクリックします。

Screen shot of Intune Admin Center, Create Profile

  1. 設定ピッカーで、システム構成 > システム機能拡張 の順に選択します。
  2. 設定名 セクションで、許可済みシステム機能拡張 チェックボックスを選択します。

Screen shot of Intune Admin Center, Settings Picker

  1. 許可済みシステム機能拡張 セクションで、インスタンスを編集する をクリックします。
  2. D3U2N4A6J7 チーム識別子を使用して、以下の 2 つのバンドル識別子を追加します。
  • com.protection.agent
  • com.protection.agent.next

Screen shot of Intune Admin Center, System extensions

  1. 保存 をクリックします。次へ をクリックします。
  2. 割り当て ページで、このプロファイルを割り当てるデバイスのグループを選択します。
  3. 次へ をクリックします。
  4. プロファイルが完全であることを確認します。前の手順に戻る場合は、前へ をクリックします。
  5. 作成 をクリックして、プロファイルを作成します。

ネットワーク機能拡張のアクティベーションを完了する

ネットワーク機能拡張の場合、ネットワーク機能拡張のアクティベーションを完了するには、macOS 設定の環境設定でシステム機能拡張を承認する必要があります。

ネットワーク機能拡張のアクティベーションを完了するには、以下の手順を実行します。

  1. Mac で、アラート インターフェイスを開きます。

Screen shot of Intune Admin Center, Alerts interface

  1. セキュリティ ユーザー設定パネルを開く をクリックします。
    以下のネットワーク機能拡張により、バックグラウンドでの実行が試みられます。/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
  2. macOS 設定の環境設定で、前の手順で指定したシステム機能拡張を承認します。
  3. Protection Agent ネットワークでネットワーク コンテンツのフィルタリングが可能になるようにするには、許可 をクリックします。

Screen shot of Intune Admin Center, allow Filter Network Content

コンテンツ フィルタを自動的に許可するポリシーを作成する

Endpoint Security コンテンツ フィルタが使用されるポリシーを作成することができます。また、許可済み Web リンクおよび制限済み Web リンクのリストを作成することもできます。

コンテンツ フィルタを自動的に許可するポリシーを作成するには、Intune 管理センターで以下の手順を実行します。

  1. 左側のパネルで、デバイス を選択します。
  2. macOS を選択します。
  3. 構成 を選択します。
  4. 作成 > 新規ポリシー の順にクリックします。
    プロファイルを作成する ページが開きます。
  5. プロファイルの種類 ドロップダウン リストから、カタログの設定 を選択します。
  6. 作成 をクリックします。
  7. Web コンテンツ フィルタ を選択します。
  8. 以下の設定のチェックボックスを選択します。
    • フィルタ パケット プロバイダ バンドル識別子
    • フィルタ パケット
    • フィルタ ソケット
    • 組織
    • プラグイン Bundle ID
    • ユーザー定義名

    Screen shot of Intune Admin Center, Create a Profile and Settings

  1. ユーザー定義名 テキスト ボックスに、EndpointProtectionNetwork と入力します。
  2. プラグイン Bundle ID テキスト ボックスに、com.protection.agent.next と入力します。
  3. 組織 テキスト ボックスに、D3U2N4A6J7 と入力します。
  4. フィルタ ソケット トグルを有効化します。
  5. フィルタ パケット トグルを有効化します。
  6. フィルタ パケット プロバイダ バンドル識別子 テキスト ボックスに、com.protection.agent.next と入力します。
  7. フィルタ データ プロバイダ バンドル識別子 テキスト ボックスに、com.protection.agent.next と入力します。
  8. 次へ をクリックします。
  9. 範囲タグ ページで、次へ をクリックします。
  10. 割り当て ページで、このプロファイルを割り当てるデバイスのグループを選択します。
  11. 次へ をクリックします。
  12. プロファイルが完全であることを確認します。前の手順に戻る場合は、前へ をクリックします。
  13. 作成 をクリックして、プロファイルを作成します。

ネットワーク アクセス アラートを防止するスクリプトを作成する

開始する前に、インストールする構成が作成されていること、および WatchGuard Endpoint Security が Mac コンピュータに配備されていることを確認してください。このスクリプトにより、ユーザーがウィンドウをクリックするアクティビティがエミュレートされます。これより、アラートが閉じられ、ネットワーク機能拡張テクノロジが開始されます。

Intune シェル スクリプト ウィンドウで、以下のテキストを追加します。

/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog –-loadNext

Screen shot of Intune Admin Center, Script Settings

Intune 構成ポリシーを配備する

このセクションでは、WatchGuard Endpoint Security を配備し、シェル スクリプトを作成して構成を Mac に配備します。シェル スクリプトが各 Mac に到達するまでに最大 8 時間かかる場合があります。スクリプトを速やかにコンピュータに配備する場合は、Mac のポータル アプリで、状態を確認する をクリックして、配備を強制することができます。

配備スクリプトを作成するには、以下の手順を実行します。

  1. ここ をクリックして、wg_Agent_intune_install.sh スクリプトをベースラインとしてダウンロードします。
  2. Intune プロファイルを適用する Mac または Mac のグループに WatchGuard Endpoint Security をインストールします。詳細については、次を参照してください:Mac コンピュータに Endpoint Security ソフトウェアをインストールする
  3. Intune 管理センターを開きます。
  4. 左側のパネルで、デバイス を選択します。
  5. macOS を選択します。
  6. シェル スクリプト を選択します。
  7. 追加 をクリックします。

Screen shot of Intune Admin Center, Add Script Basics

  1. スクリプトの 名前 を入力します。
  2. 次へ をクリックします。
  3. スクリプト設定 の手順で、Mac コンピュータに WatchGuard Endpoint Security をインストールするためのダウンロード URL が含まれているスクリプトをアップロードします。
    ダウンロード URL をコピーするには、Endpoint Security 管理 UI で、コンピュータ > コンピュータの追加 > macOS > 電子メールで URL を送信する の順に選択します。

Screen shot of Add Computer dialog box for macOS, Endpoint Security

電子メール メッセージから長いリンクをコピーして、スクリプト設定に貼り付けます。例:

Screen shot of email message received for setup

Screen shot of Intune Admin Center, Sample script

  1. サインインしたユーザーとしてスクリプトを実行するいいえ に設定されていることを確認します。これにより、スクリプトがルートで実行されます。
  2. 必要に応じて、残りのスクリプト設定を構成します。
    • デバイスのスクリプト通知を非表示にする
    • スクリプトの頻度
    • スクリプトが失敗した場合に再試行できる最大回数
  3. 次へ をクリックします。
  4. 割り当て ページで、このプロファイルを割り当てるデバイスのグループを選択します。
  5. 次へ をクリックします。
  6. プロファイルが完全であることを確認します。前の手順に戻る場合は、前へ をクリックします。
  7. 作成 をクリックして、プロファイルを作成します。

関連トピック

Mac コンピュータに Endpoint Security ソフトウェアをインストールする

WatchGuard Endpoint Security の使用を開始する

Endpoint Security のアップグレード プロセス