目次

Workload Security でmacOSエージェントのモバイルデバイス管理を設定する

管理者は、モバイルデバイス管理 (MDM) を使用して、エンドユーザから追加の操作を行わなくても、macOSエージェントが機能するために必要な権限を設定できます。以下のセクションでは、権限の設定に加えて、MDMを適切に展開して、Trend Cloud One - Endpoint & Workload Security for macOSのエージェントがポップアップなしでエンドユーザに対して動作するようにする手順について説明します (たとえば、権限の要求)。

必要な権限を設定する

Trend Cloud One - Endpoint & Workload Security for macOSエージェントのMDMプロファイルを作成する前に、Trend Cloud One - Endpoint & Workload Security for macOSエージェントの初期インストール後にmacOSエンドポイントにポップアップが表示されないように、次の設定を行う必要があります。 。

カーネル拡張の設定

macOS10.15では、新しいサードパーティ製カーネル拡張機能をロードする前にユーザの承認が必要です。 Trend Cloud One - Endpoint & Workload Security for Macエージェントは、コアシールドのリアルタイム保護機能にカーネル拡張機能を使用します。製品でシステムを完全に保護するには、拡張機能を手動で許可する必要があります。

次のカーネル拡張MDMプロファイル作成フィールドが必要です。

<key>AllowedKernelExtensions</key>
<dict>
    <key>E8P47U2H32</key>
    <array>
        <string>com.trendmicro.kext.KERedirect</string>
        <string>com.trendmicro.kext.filehook</string>
        </array>
</dict>
<key>AllowedTeamIdentifiers</key>
<array>
    <string>E8P47U2H32</string>
</array>
<key>PayloadType</key>
<string>com.apple.syspolicy.kernel-extension-policy</string>

システム拡張の設定

Appleのソフトウェア開発者向けガイドラインの変更に準拠するため、macOS Big Sur 11.0以降では、カーネル拡張機能がシステムにロードされなくなりました。これにより、Trend Cloud One - Endpoint & Workload Security for macOSエージェントがアップデートされ、Endpoint SecurityおよびNetwork Extensionフレームワークが追加されました。

  • com.trendmicro.icore.es.sa:Endpoint Securityは、潜在的に不正な活動についてシステムイベントを監視するためのC APIです。これらのイベントには、プロセスの実行、ファイルシステムのマウント、プロセスの分岐、およびシグナルの生成が含まれます。参照情報: https://developer.apple.com/documentation/endpointsecurity.

  • com.trendmicro.icore.netfilter.sa:コアネットワーク機能をカスタマイズおよび拡張します。参照情報: https://developer.apple.com/documentation/networkextension.

次のシステム拡張フィールドが必要です:

<key>AllowUserOverrides</key>
<true/>
<key>AllowedSystemExtensionTypes</key>
<dict>
    <key>E8P47U2H32</key>
        <array>
            <string>EndpointSecurityExtension</string>
            <string>NetworkExtension</string>
        </array>
</dict>
<key>AllowedSystemExtensions</key>
<dict>
    <key>E8P47U2H32</key>
    <array>
        <string>com.trendmicro.icore.es</string>
        <string>com.trendmicro.icore.netfilter</string>
    </array>
</dict>
<key>PayloadType</key>
<string>com.apple.system-extension-policy</string>
<key>PayloadDisplayName</key>
<string>System Extension</string>

Webコンテンツフィルタを設定する

デバイス上のネットワークコンテンツフィルタは、ネットワークスタックを通過する際にユーザのネットワークコンテンツを調べ、そのコンテンツをブロックするか、最終的な送信先への転送を許可するかを決定します。詳細については、「 Content Filter Providers」を参照してください。

MDMプロファイルを作成する場合、次のWebコンテンツフィルタフィールドが必要です。

<key>FilterBrowsers</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.trendmicro.icore.netfilter</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string>
<key>FilterGrade</key>
<string>firewall</string>
<key>FilterPackets</key>
<false/>
<key>FilterSockets</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PluginBundleID</key>
<string>com.trendmicro.icore</string>

フルディスクアクセスの設定

具体的な設定手順については、トレンドマイクロ セキュリティエージェント for MacのMDMプロファイルの作成と設定を参照してください。

フルディスクアクセス許可は、macOS Mojave (10.14) で導入されたプライバシー機能で、一部のアプリケーションがメール、メッセージ、TimeMachine、Safariファイルなどの重要なデータにアクセスできないようにします。 macOSエンドポイントの保護された領域にアクセスするには、特定のアプリケーションに手動で権限を付与する必要があります。

以前のバージョンのmacOS (10.13以前) では、製品のインストール時にこの権限が自動的に付与されます。

フルディスクアクセスが有効になっていない場合、 Workload Security はmacOSエンドポイントのすべての領域を検索できません。つまり、エンドポイントを不正プログラムやその他のネットワークセキュリティの脅威から完全に保護することはできず、システムフォルダとハードドライブの一部のみを検索できます。

ブラウザプラグイン拡張の設定

必要に応じて、プロファイル設定をMDMに追加して管理対象のmacOSコンピュータに配信すると、ChromeまたはFirefoxの拡張機能が自動的に有効になり、ポップアップメッセージが表示されなくなります。

トレンドマイクロツールバー for Macは、Trend Cloud One - Endpoint & Workload Security エージェント for macOSがインストールされていなくても、Google Chrome拡張機能のインストール後にChromeストアからダウンロードおよびインストールされます。 トレンドマイクロツールバー for Macには、すべての機能が含まれているわけではないため、アンインストールすることはできません。

Mozilla Firefox拡張機能のインストール後、MDMが設定されているように見えても、Firefox拡張機能のインストールを求めるポップアップが表示されることがあります。これはタイミングの問題です。実際、Firefox拡張機能は正常にインストールされているため、このポップアップは無視してかまいません。

Safariブラウザの場合、Appleの制限により、MDM経由でブラウザ拡張機能の配信を自動化することはできません。

モバイルデバイス管理(MDM)からエージェントを配信する

macOSエージェント のWorkload Securityでのモバイルデバイス管理の設定後、MDMソリューションに配信スクリプトをインポートしてエージェントをインストールできます。