Jamf Pro を使用して macOS に Endpoint Security を配備する

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。

Jamf の場合は、同じタスクを完了する方法がいくつかあります。当社のテスト ラボでは、このトピックの手順により、Jamf Pro 11 を使用して正常に Endpoint Security を配備することができました。しかし、各社の環境はそれぞれに要件や制限が異なる場合があります。問題が発生した場合は、Jamf Pro サポート担当者にお問い合わせください。

Jamf Pro は、エンタープライズ級のモバイル デバイス管理 (MDM) ソフトウェアです。この高度なツールと統合を活用することで、Apple デバイスの管理とセキュリティ保護を実施することができます。Jamf Pro を使用して、Endpoint Security ソフトウェアが Mac デバイスで動作するために必要となる権限の承認を自動化することができます。

Endpoint Security をデバイスにインストールした際にすでに必要な権限が付与されている状態にするため、まず Jamf Pro で構成プロファイルを作成することが勧められます。

開始する前に

このトピックでは、すでに有効なプッシュ証明書 (settings-global-push 証明書) が Jamf Pro に統合されていることを前提としています。

Jamf Pro で構成プロファイルを作成する前に、まず Endpoint Security を配備する Mac デバイスの小グループを作成することが勧められます。配備が正常に完了したら、グループのサイズを大きくすることができます。このトピックでは、Jamf 構成プロファイルを作成して、それを静的コンピュータ グループと個々のデバイスに配備します。

システム機能拡張がサポートされている Mac デバイス (つまり、macOS Catalina 10.15 以降を実行している Mac デバイス) を使用することが強く勧められます。macOS Mojave 10.14 以前を実行している Mac デバイスでは、Endpoint Security v2.x 以前を実行します。こうしたデバイスの手順は、このトピックには含まれていません。Mac デバイスに Endpoint Security の最新バージョンをインストールすることが推奨されます。

Jamf Pro で macOS への Endpoint Security インストールを自動化する手順には、以下が含まれます。

Jamf Pro 構成プロファイルを作成する

Jamf Pro を使用して、Endpoint Security を Mac デバイスにインストールして実行する上で必要となる macOS 権限を自動的に承認する構成プロファイルを作成することができます。

Jamf Pro 構成プロファイルを作成するには、以下の手順を実行します。

  1. 左ペインで、コンピュータ をクリックします。
  2. 開いたメニューで、構成プロファイル をクリックします。

Screen shot of Jamf Pro, Computers menu > Configuration Profiles

  1. 新規 をクリックします。
  2. 全般 セクションで、プロファイルの 名前 (例:macOS 保護権限ポリシー) を入力します。
  3. 範囲 タブを選択します。
  4. 追加 をクリックします。

Screen shot of Jamf Pro, Configuration profile scope

  1. プロファイルを適用するデバイスまたはデバイスのグループを選択します。
  2. 保存 をクリックします。

システムとネットワークの機能拡張を許可する

ファイル イベントをキャプチャするには、システム機能拡張が必要です。Web 保護およびコンテンツ フィルタリングのためにネットワーク パケットをキャプチャしてフィルタリングするには、ネットワーク機能拡張が必要です。Endpoint Security 保護ソフトウェア v3.04 以降では、デバイスの隔離にネットワーク機能拡張が必要となります。

システムとネットワークの機能拡張を許可するオプションを作成するには、以下の手順を実行します。

  1. オプション タブで、システム機能拡張 を選択します。

Screen shot of Jamf Pro, Computers menu > System Extensions

  1. 設定 をクリックします。
  2. 表示名 を入力します (例:システム機能拡張)。
  3. システム機能拡張の種類 リストから、許可済みシステム機能拡張 を選択します。
  4. チームの識別子 テキスト ボックスに、D3U2N4A6J7 と入力します。
  5. ページの下部にある 追加 をクリックします。

Screen shot of Jamf Pro, Configuration Profiles > System Extensions

  1. 許可済みシステム機能拡張 セクションで、以下の機能拡張を追加します。
    • com.protection.agent
    • com.protection.agent.next
  2. ポリシーを保存するには、保存 をクリックします。
  3. すべてに配布する をクリックします。
    このシステム機能拡張設定は、範囲で定義されているすべてのデバイスに配布されます。

フル ディスク アクセスを有効化する

Endpoint Security 保護サービスには、Mac でのフル ディスク アクセスが必要です。

フル ディスク アクセスを有効化するオプションを作成するには、以下の手順を実行します。

  1. オプション タブで、プライバシー環境設定ポリシー制御 を選択します。

Screen shot of Jamf Pro, Computers menu > Privacy Preferences Policy Control

  1. 設定 をクリックします。
  2. アプリ アクセス セクションの 識別子 テキスト ボックスに、 com.protection.agent と入力します。
  3. 識別子の種類 リストから、Bundle ID を選択します。
  4. コード要件 テキスト ボックスに、以下のコードを入力します。

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

Screen shot of Jamf Pro, Configuration Profiles > Privacy Preferences Policy Control

  1. ページの下部にある 追加 をクリックして、行を追加します。
  2. アプリまたはサービス ドロップダウン リストから、SystemPolicyAllFiles を選択します。
  3. アクセス ドロップダウン リストから、許可 を選択します。
  4. 行を保存します。
  5. ポリシーを保存するには、保存 をクリックします。
  6. すべてに配布する をクリックします。
    このシステム機能拡張設定は、範囲で定義されているすべてのデバイスに配布されます。

コンテンツ フィルタを自動的に許可する

Endpoint Security コンテンツ フィルタが使用されるポリシーを作成することができます。フィルタはネットワーク機能拡張の一部です。

コンテンツ フィルタを自動的に許可するオプションを作成するには、以下の手順を実行します。

  1. オプション タブで、コンテンツ フィルタ を選択します。

Screen shot of Jamf Pro, Computers menu > Content Filter

  1. 設定 をクリックします。
  2. フィルタ名 テキスト ボックスに、EndpointProtectionNetwork と入力します。
  3. 識別子 テキスト ボックスに、com.protection.agent.next. と入力します。
  4. 組織 テキスト ボックスに、D3U2N4A6J7 と入力します。
  5. ネットワーク フィルタ を有効化します。
  6. ネットワーク フィルタ バンドル識別子 テキスト ボックスに、com.protection.agent.next と入力します。
  7. ネットワーク フィルタの指定要件 テキスト ボックスに、以下のコードを入力します。

identifier "com.protection.agent.next" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

Screen shot of Jamf Pro, Configuration Profiles > Content Filter

  1. 保存 をクリックします。
  2. すべてに配布する をクリックします。
    このシステム機能拡張設定は、範囲で定義されているすべてのデバイスに配布されます。

WatchGuard エージェントと Jamf Pro プロファイルを配備する

構成プロファイルを作成したら、配備スクリプトを使用して、WatchGuard エージェントとプロファイルを Mac デバイスに配備します。このセクションでは、シェル スクリプトを作成して、構成プロファイルを Mac に配備します。

配備スクリプトを作成するには、以下の手順を実行します。

  1. ここ をクリックして、配備スクリプトをダウンロードします。
  2. ファイルを解凍します。
  3. 設定 > コンピュータ管理 の順に選択します。
  4. スクリプト をクリックします。
  5. 新規 をクリックします。
  6. 全般 ページで、スクリプトの 表示名 を入力します (例:deployendpointscript)。
  7. スクリプト ページで、スクリプトのコードを貼り付けます。

Screen shot of Jamf Pro, Settings > Computer management > Scripts

  1. 貼り付けたコードの URL を編集して、Endpoint Security 管理 UI から完全な URL を含めます。必ず引用符を含めてください (例:"https://...")。
    Endpoint Security 管理 UI から完全な URL をコピーするには、コンピュータ > コンピュータの追加 > MacOS の順に選択して、電子メールで URL を送信する をクリックします。

Screen shot of WatchGuard Endpoint Security, download installer for macOS

  1. 保存 をクリックします。
  2. 新規 をクリックします。
  3. 全般 ページで、スクリプトの 表示名 を入力します (例:loadNext)。
  4. スクリプト ページで、次のコードをテキスト ボックスに貼り付けます:/Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
  5. 保存 をクリックします。

スクリプトを実行する際に、配備ポリシーにおける優先度を選択して、スクリプトの値を指定することができます。コンピュータでスクリプトを実行するには、予定のスクリプトの配備元と Jamf Pro の配布ポイントにスクリプトを保存する必要があります。ポリシーは、Jamf Pro に次回チェックインする際に、定義された範囲のコンピュータで実行されます。

配備ポリシーを作成するには、Jamf Pro で以下の手順を実行します。

  1. 左ペインで、コンピュータ をクリックします。
  2. 開いたメニューで、ポリシー を選択します。
  3. 新規 をクリックします。
  4. オプション ページで、全般 を選択します。
  5. ポリシーの 表示名 を入力します (例:DeployEndpointProtection)。

Screen shot of Jamf Pro, Computer > Policies > New

  1. 範囲 ページで、ポリシーを適用するコンピュータまたはコンピュータのグループにポリシーを割り当てます。
  2. 保存 をクリックします。
  3. オプション ページで、スクリプト を選択します。

Screen shot of Jamf Pro, Policy > Options > Scripts

  1. 追加 をクリックします。
  2. 実行するスクリプトを追加します (例:DeployEndpointProtection、loadNext)。
    スクリプト セクションに、選択された 2 つのスクリプトが表示されます。
  3. DeployEndpointProtection スクリプトの優先度を に設定します。

Screen shot of Jamf Pro, Policies > Priority before

  1. loadNext スクリプトの優先度を に設定します。

Screen shot of Jamf Pro, Policies > Priority after

  1. 全般 をクリックします。
  2. 以下のオプションを構成することが勧められます。
    • 失敗時にポリシーを自動的に再実行する を有効化する。
    • 再試行回数 を 3 に設定する。

これにより、2 番目のスクリプト (loadNext) が複数回実行されて、エージェントと保護がインストールされていることが確認されます。たとえば、ログインの起動によって、配備をトリガーするタイミングが決定されます。これは、必要に応じて変更することができます。

Screen shot of Jamf Pro, policy re-run attempts

  1. 範囲 ページで、ポリシーを適用するデバイスまたはデバイスのグループを追加します。

Screen shot of Jamf Pro, Policies > Scope tab

エージェントとプロファイルの配備を確認する

ログを表示して、ポリシーが配備されたかどうかを確認することができます。ポリシーが配備されていれば、最初のスクリプト (DeployEndpointProtection) が実行されます。このスクリプトにより、以下が自動的に行われます。

  1. rosetta2 が必要かどうかが判断されます。これは、Apple M-X デバイスの翻訳レイヤーです。これがまだインストールされていない状態で、これが必要な場合は、スクリプトによってインストールされます。
  2. WatchGuard エージェントがフォルダ:/Applications/Management-Agent.app/ にすでにインストールされているかどうかが判断されます。エージェントがインストールされていない場合は、指定されているリンクからエージェントがダウンロードされ、デバイスにインストールされます。

その後、エージェントにより、デバイスに Endpoint Security ソフトウェアが自動的にインストールされます。Mac デバイスに、次のメッセージが表示されます:必要なシステム機能拡張がブロックされています。この問題を解決するには、セキュリティ環境設定パネルを開いて、NextLoader アプリケーションを許可します。

Screen shot of local agent critical alert

このメッセージが表示されるのは、ユーザーが セキュリティ環境設定パネルを開く をクリックしてアプリケーションを許可するまで、Endpoint Security ではネットワーク機能拡張が自動的に開始されないためです。配備ポリシーの再試行オプションで指定されている通りに 2 つ目のスクリプト (loadNext) が再度実行されると、このメッセージが数分後に自動的に閉じられます。

関連トピック

Mac コンピュータに Endpoint Security ソフトウェアをインストールする

WatchGuard Endpoint Security の使用を開始する

Endpoint Security のアップグレード プロセス