Workload Security でmacOSエージェントのモバイルデバイス管理を設定する

管理者は、モバイルデバイス管理（MDM）を使用して、macOSエージェントがエンドユーザからの追加操作なしで機能するために必要な権限を設定できます。権限の設定に加えて、以下のセクションでは、MDMを適切に配置して、macOSエージェント用の Trend Micro Cloud One - Workload Security がポップアップなしで（たとえば、権限の入力を求められることなく）動作するようにする手順について説明します。

必要な権限を設定する

macDEFエージェント用の Trend Micro Cloud One - Workload Security のMDMプロファイルを作成する前に、macOSエージェント用の Trend Micro Cloud One - Workload Security のインストール後、macOSエンドポイントにポップアップが表示されないように次の項目を設定する必要があります。

カーネル拡張の設定

macOS10.15では、新しいサードパーティのカーネル拡張機能をロードする前にユーザの承認が必要です。Trend Micro Cloud One - Workload Security Macエージェント用 は、Core Shieldsのリアルタイム保護機能にカーネル拡張を使用します。製品でシステムを完全に保護できるようにするには、拡張機能を手動で許可する必要があります。

次のカーネル拡張MDMプロファイル作成フィールドが必要です。

<key>AllowedKernelExtensions</key>
<dict>
    <key>E8P47U2H32</key>
    <array>
        <string>com.trendmicro.kext.KERedirect</string>
        <string>com.trendmicro.kext.filehook</string>
        </array>
</dict>
<key>AllowedTeamIdentifiers</key>
<array>
    <string>E8P47U2H32</string>
</array>
<key>PayloadType</key>
<string>com.apple.syspolicy.kernel-extension-policy</string>

システム拡張の設定

ソフトウェア開発者向けのAppleガイドラインの変更に対応するため、macOS Big Sur 11.0以降、カーネル拡張機能はシステムによってロードされません。これにより、 Trend Micro Cloud One - Workload Security macOSエージェント用 が、Endpoint SecurityおよびNetwork Extensionフレームワークでアップデートされました。

• com.trendmicro.icore.es.sa：Endpoint Securityは、潜在的に不正な活動についてシステムイベントを監視するためのC APIです。これらのイベントには、プロセスの実行、ファイルシステムのマウント、プロセスの分岐、およびシグナルの生成が含まれます。参照情報： https://developer.apple.com/documentation/endpointsecurity.

• com.trendmicro.icore.netfilter.sa：コアネットワーク機能をカスタマイズおよび拡張します。参照情報： https://developer.apple.com/documentation/networkextension.

次のシステム拡張フィールドが必要です：

<key>AllowUserOverrides</key>
<true/>
<key>AllowedSystemExtensionTypes</key>
<dict>
    <key>E8P47U2H32</key>
        <array>
            <string>EndpointSecurityExtension</string>
            <string>NetworkExtension</string>
        </array>
</dict>
<key>AllowedSystemExtensions</key>
<dict>
    <key>E8P47U2H32</key>
    <array>
        <string>com.trendmicro.icore.es</string>
        <string>com.trendmicro.icore.netfilter</string>
    </array>
</dict>
<key>PayloadType</key>
<string>com.apple.system-extension-policy</string>
<key>PayloadDisplayName</key>
<string>System Extension</string>

Webコンテンツフィルタを設定する

デバイス上のネットワークコンテンツフィルタは、ネットワークスタックを通過する際にユーザのネットワークコンテンツを調べ、そのコンテンツをブロックするか、最終的な送信先への転送を許可するかを決定します。詳細については、「 Content Filter Providers」を参照してください。

MDMプロファイルを作成する場合、次のWebコンテンツフィルタフィールドが必要です。

<key>FilterBrowsers</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.trendmicro.icore.netfilter</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string>
<key>FilterGrade</key>
<string>firewall</string>
<key>FilterPackets</key>
<false/>
<key>FilterSockets</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PluginBundleID</key>
<string>com.trendmicro.icore</string>

フルディスクアクセスの設定

具体的な設定手順については、https://success.trendmicro.com/dcx/s/solution/000277823?language=en_USを参照してください。

フルディスクアクセス権限は、macOS Mojave（10.14）で導入されたプライバシー機能で、一部のアプリケーションがMail、Messages、TimeMachine、Safariなどの重要なデータにアクセスできないようにします。macOSエンドポイントのこれらの保護された領域にアクセスするには、特定のアプリケーションに権限を手動で付与する必要があります。

以前のバージョンのmacOS（10.13以前）では、この権限は製品のインストール時に自動的に付与されます。

フルディスクアクセスが有効になっていない場合、 Workload Security はmacOSエンドポイントのすべての領域を検索できません。つまり、エンドポイントを不正プログラムやその他のネットワークセキュリティの脅威から完全に保護することはできず、システムフォルダとハードドライブの一部のみを検索できます。

ブラウザプラグイン拡張の設定

（オプション）以下のプロファイル設定をMDMに追加して管理対象のmacOSコンピュータに配信すると、ChromeまたはFirefoxの拡張機能が自動的に有効になり、ポップアップメッセージが表示されなくなります。

• Google Chrome拡張機能

「Google Chrome拡張機能」をインストールすると、 Trend Micro Cloud One - Workload Security エージェントmacOS用がインストールされていなくても、Chromeストアから「トレンドマイクロツールバー for Mac」がインストールされます。「トレンドマイクロツールバー for Mac」の機能はまだ動作せず、アンインストーラではアンインストールできません。

• Mozilla Firefox拡張機能

「Mozilla Firefox拡張機能」をインストールした後、MDMが設定されているように見えても、Firefox拡張機能のインストールを求めるポップアップが表示される場合があります。これはタイミングの問題です。実際、Firefox拡張機能は正常にインストールされているため、このポップアップは無視してかまいません。

Safariブラウザの場合、Appleの制限により、MDM経由でブラウザ拡張機能の配信を自動化することはできません。

モバイルデバイス管理（MDM）からエージェントを配信する

macOSエージェントのWorkload Securityでモバイルデバイス管理を設定したら、MDMソリューションにインストールスクリプトをインポートしてエージェントをインストールできます。

• インストールスクリプトの詳細については、インストールスクリプトを使用したコンピュータの追加および保護を参照してください。
• AirWatchまたはIntune MDMコンソールを使用したエージェントのインストール手順については、AirWatch（Workspace One）とMicrosoft Intuneを使用したCloud One - EndpointとWorkload Security Agent for Macのインストールを参照してください。