MDM으로 보안 엔드포인트 Mac 커넥터 및 Orbital에 대한 권한 구성: 전체 디스크 액세스, 시스템 확장

소개

이 문서에서는 관리자가 Mac 커넥터 1.14 이상을 배포하는 최근의 변경 사항 및 단계에 대해 설명합니다.

MDM 프로필

필요한 승인을 부여하는 MDM 프로필로 Mac 커넥터를 구축하는 것이 좋습니다. MDM 프로필은 필요한 권한이 인식되도록 Mac 커넥터를 설치, 업그레이드 또는 제거하기 전에 설치해야 합니다. MDM을 사용할 수 없는 경우 이 문서의 뒷부분에 나오는 알려진 문제 섹션을 참조하십시오.

자문

Mac 커넥터 버전 1.14에 주의가 필요한 변경 사항이 도입되었습니다.

• 전체 디스크 액세스 승인
• 시스템 확장 승인

macOS 11 이상에서 엔드포인트 보호를 보장하려면 Mac 커넥터 1.14 이상이 필요합니다. 이전 Mac 커넥터는 이러한 버전의 macOS에서 작동하지 않습니다.

Mac 커넥터 버전 1.16은 인텔 하드웨어에서 Cisco Orbital에 대한 지원을 도입했습니다. Orbital은 Advantage 또는 Premier Tier의 정책에서 활성화할 수 있으며, 지원되는 OS 버전 및 지원되는 하드웨어에 활성화 및 설치될 때 자동으로 설치됩니다. Mac 커넥터 버전 1.20에는 Orbital Node 1.21과 함께 릴리스될 예정인 Apple 실리콘 하드웨어에서 Cisco Orbital에 대한 지원 준비가 도입되었습니다. 오비탈에 필요한 추가 전체 디스크 액세스 권한을 부여하는 방법에 대한 자세한 내용은 이 문서의 Cisco Orbital 섹션을 참조하십시오.

최소 OS 요구 사항

Cisco Secure Endpoint Mac 커넥터 1.14.0은 macOS 버전을 지원합니다.

• macOS 11(macOS 시스템 확장 포함)
• macOS 10.15.5 이상(macOS 시스템 확장 포함)
• macOS 10.15.0~macOS 10.15.4(macOS 커널 확장 포함)
• macOS 10.14(macOS 커널 확장 포함)

Cisco Secure Endpoint Mac 커넥터 1.14.1은 macOS 버전을 지원합니다.

• macOS 11(macOS 시스템 확장 포함)
• macOS 10.15(macOS 커널 확장 포함).
• macOS 10.14(macOS 커널 확장 포함)

Intel 하드웨어에서 Cisco Orbital을 지원하는 Secure Endpoint Mac 커넥터 버전 1.16.0이 도입되었습니다. Apple 실리콘 하드웨어에서 Cisco Orbital에 대한 지원은 Secure Endpoint Mac 커넥터 버전 1.20.0에 도입되었습니다.

현재 Mac 커넥터 호환성은 OS 호환성 표를 참조하십시오.

중요한 변경 사항

Mac 커넥터 1.14는 세 가지 영역에서 중요한 변화를 도입했습니다.

1. 커넥터에서 사용하는 macOS Extensions 승인
2. 전체 디스크 액세스
3. 새 디렉터리 구조

MacOS 12는 사용자 비밀번호를 묻는 프롬프트 없이 커넥터의 macOS 확장을 제거할 수 있도록 MDM 옵션을 도입했습니다.

Mac 커넥터 macOS 확장 승인

Mac 커넥터는 macOS 버전에 필요한 시스템 활동을 모니터링하기 위해 System Extensions 또는 legacy Kernel Extensions를 사용합니다. macOS 11에서 시스템 확장은 macOS 11 이상에서 지원되지 않는 레거시 커널 확장을 대체합니다. 두 확장 유형 중 하나를 실행하려면 모든 버전의 macOS에서 사용자 승인이 필요합니다. 승인이 없으면 액세스 중인 파일 스캔, 네트워크 액세스 모니터 등의 특정 커넥터 기능을 사용할 수 없습니다.

Mac 커넥터 1.14에는 두 가지 새로운 macOS 시스템 확장이 도입되었습니다.

1. 시스템 이벤트를 모니터링하기 위한 Secure Endpoint File Monitor(이전의 AMP Security Extension)라는 엔드포인트 보안 확장
2. 네트워크 액세스를 모니터링하기 위한 Cisco Secure Endpoint Filter(이전의 AMP Network Extension)라는 네트워크 콘텐츠 필터 확장

두 가지 레거시 커널 확장인 ampfileop.kext와 ampnetworkflow.kext는 새로운 macOS 시스템 확장을 지원하지 않는 이전 macOS 버전에서 이전 버전과의 호환성을 위해 포함되어 있습니다.

macOS 11** 이상에 필요한 승인:

• 로드할 보안 엔드포인트 파일 모니터 승인
• 로드할 Cisco 보안 엔드포인트 필터 승인
• Cisco Secure Endpoint Filter가 네트워크 콘텐츠를 필터링하도록 허용

** Mac 커넥터 버전 1.14.0도 macOS 10.15에서 이러한 승인이 필요했습니다. 이러한 승인은 Mac 커넥터 1.14.1 이상용 macOS 10.15에서 더 이상 필요하지 않습니다.

macOS 10.14 및 macOS 10.15에 필요한 승인:

• 로드할 커넥터 커널 확장 승인

이러한 승인은 엔드포인트의 macOS Security & Privacy Preferences(보안 및 개인정보 보호 환경 설정)에서 또는 MDM(Mobile Device Management) 프로필을 통해 승인될 수 있습니다.

엔드포인트에서 Mac 커넥터 macOS 확장 승인

시스템 및 커널 확장은 macOS Security & Privacy Preferences 창에서 수동으로 승인할 수 있습니다.

MDM을 통한 Mac 커넥터 macOS 확장 승인

참고: macOS Extensions는 MDM을 통해 소급 승인될 수 없습니다. Connector를 설치하기 전에 MDM 프로필이 구축되지 않은 경우 승인은 허용되지 않으며 추가 개입이 두 가지 형태 중 하나로 필요합니다.

1. 관리 프로필이 소급 배포된 엔드포인트에서 macOS Extensions의 수동 승인.
2. Mac 커넥터를 현재 구축된 버전보다 최신 버전으로 업그레이드합니다. 관리 프로파일이 구축된 엔드포인트는 업그레이드 후 관리 프로파일을 소급하여 인식하고 업그레이드가 완료되면 승인을 받습니다.

보안 엔드포인트 확장은 다음과 같은 페이로드 및 속성을 가진 관리 프로필로 승인할 수 있습니다.

페이로드	속성	가치
시스템 확장	허용된 시스템 확장	com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension
	허용된 시스템 확장 유형	엔드포인트 보안 확장, 네트워크 확장
	허용되는 팀 식별자	DE8Y96K9QP
SystemPolicyKernelExtensions	허용된 커널 확장	com.cisco.amp.fileop, com.cisco.amp.nke
	허용되는 팀 식별자	TDNYQP7VRK
웹콘텐츠필터	자동 필터 사용	틀려
	필터 데이터 공급자 번들 식별자	com.cisco.endpoint.svc.networkextension
	필터DataProviderDesignatedRequirement	anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
	필터 등급	방화벽
	필터브라우저	틀려
	필터패킷	틀려
	필터 소켓	참
	플러그 인 번들 ID	com.cisco.endpoint.svc
	사용자 정의 이름	Cisco Secure Endpoint Filter(1.18.0 이전 커넥터 버전의 경우 AMP 네트워크 확장)

MDM을 사용 하여 맥 커넥터 macOS 확장 제거

MacOS 12 이상에서는 아래에 설명된 것처럼 macOS 확장을 RemovableSystemExtensions 속성으로 이동식으로 표시할 수 있습니다.
참고: macOS 확장 이동식 권한이 허용되면 루트 권한이 있는 모든 사용자 또는 프로세스에서는 사용자 암호를 묻는 메시지 없이 확장을 제거할 수 있습니다. 따라서 RemovableSystemExtensions 속성은 관리자가 커넥터 제거를 자동화하려는 경우에만 사용해야 합니다.
참고: macOS 확장은 MDM을 통해 소급하여 제거할 수 없습니다. 커넥터를 제거하기 전에 MDM 프로파일이 구축되지 않은 경우 macOS Extensions 제거 승인이 허용되지 않으며, 사용자는 커넥터 제거 프로세스 중에 엔드포인트에 수동으로 비밀번호를 입력하여 macOS Extensions를 제거해야 합니다.

RemovableSystemExtensions 속성이 SystemExtensions 페이로드에 추가된 관리 프로필을 설치하면 커넥터 제거의 일부로 보안 끝점 확장을 제거할 수 있습니다. RemovableSystemExtensions 속성은 두 보안 끝점 확장의 번들 식별자를 모두 포함해야 합니다.

페이로드	속성	가치
시스템 확장	이동식 시스템 확장	com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension

MDM으로 시스템 확장 비활성화 차단

MacOS 15 이상에서는 macOS 확장을 허용합니다.

• NonRemovableSystemExtensions 속성으로 제거할 수 없습니다.
• NonRemovableFromUISystemExtensions 속성으로 시스템 설정에서 비활성화할 수 없음

참고: 제거할 수 없는 키는 macOS Sequoia 15 디바이스에만 적용해야 합니다. 이전 버전의 macOS에서 macOS Sequoia 15로 업데이트할 때는 이 관리 설정이 적용되지 않습니다.
참고: NonRemovableSystemExtensions 키는 RemovableSystemExtensions 키와 함께 사용할 수 없으므로 프로파일 설치가 실패합니다.

참고: NonRemovableFromUISystemExtensions 키는 RemovableSystemExtensions 키와 함께 사용할 수 있습니다.

제거할 수 없는 속성에는 두 Secure Endpoint 확장의 번들 식별자가 모두 포함되어야 합니다.

페이로드	속성	가치
시스템 확장	NonRemovableFromUIystemExtensions	com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension
	비이동식 시스템 확장	com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension

전체 디스크 액세스

MacOS 10.14 이상에서는 응용 프로그램이 개인 사용자 데이터가 포함된 파일 시스템의 일부(예: 연락처, 사진, 일정 및 기타 응용 프로그램)에 액세스하기 전에 승인을 받아야 합니다. 액세스 시 파일 검사와 같은 특정 커넥터 기능은 승인 없이 이러한 파일을 검사하여 위협을 찾아낼 수 없습니다.

이전 Mac 커넥터 버전에서는 사용자가 ampdaemon 프로그램에 대한 전체 디스크 액세스 권한을 부여해야 했습니다. Mac 커넥터 1.14에는 다음에 대한 전체 디스크 액세스가 필요합니다.

• "AMP for Endpoints 서비스"
• "AMP 보안 확장" 

Mac 커넥터 1.16.0 이상에는 다음에 대한 추가 전체 디스크 액세스가 필요합니다.

• "Cisco Orbital"(정책에서 활성화된 경우), Advantage 및 Premier 액세스와 함께 사용 가능

Mac 커넥터 1.18 이상에는 다음에 대한 전체 디스크 액세스가 필요합니다.

• "보안 엔드포인트 서비스"
• "보안 엔드포인트 시스템 모니터"
• 정책에서 오비탈이 활성화된 경우 "Cisco Orbital"(Advantage 및 Premier 계층에서 사용 가능)

ampdaemon 프로그램은 더 이상 Mac 커넥터 버전 1.14 이상의 전체 디스크 액세스가 필요하지 않습니다.

전체 디스크 액세스 승인은 엔드포인트의 macOS Security & Privacy Preferences에서 또는 MDM(Mobile Device Management) 프로필을 통해 부여할 수 있습니다.

엔드포인트에서 1.18.0 이전의 커넥터 버전에 대한 전체 디스크 액세스 승인

전체 디스크 액세스는 macOS Security & Privacy Preferences 창에서 수동으로 승인할 수 있습니다.

엔드포인트에서 Cisco Orbital의 전체 디스크 액세스 승인

전체 디스크 액세스는 macOS Security & Privacy Preferences 창에서 수동으로 승인할 수 있습니다.

엔드포인트에서 Cisco Secure Endpoint Connector 1.18.0 이상에 대한 전체 디스크 액세스 승인

전체 디스크 액세스는 macOS Security & Privacy Preferences 창에서 수동으로 승인할 수 있습니다.

MDM을 사용하는 커넥터에 대한 전체 디스크 액세스 승인

참고: macOS Extensions는 MDM을 통해 소급 승인될 수 없습니다. Connector를 설치하기 전에 MDM 프로필이 구축되지 않은 경우 승인은 허용되지 않으며 추가 개입이 두 가지 형태 중 하나로 필요합니다.

1. 관리 프로필이 소급 배포된 엔드포인트에서 macOS Extensions의 수동 승인.
2. Mac 커넥터를 현재 구축된 버전보다 최신 버전으로 업그레이드합니다. 관리 프로필이 구축된 엔드포인트는 업그레이드 후 관리 프로필을 소급하여 인식하고 업그레이드가 완료되면 승인을 받습니다.

전체 디스크 액세스는 SystemPolicyAllFiles 속성을 가진 관리 프로필 프라이버시 기본 설정 정책 제어 페이로드에서 승인될 수 있습니다. 두 개의 항목은 Secure Endpoint Service(1.18.0 이전 커넥터 버전용 AMP for Endpoints Service)와 Secure Endpoint System Monitor(1.18.0 이전 커넥터 버전용 AMP Security Extension)에 각각 하나씩 있습니다.

설명	속성	가치
보안 엔드포인트 서비스(AMP for Endpoints Service)	허용됨	참
	코드 요구 사항	anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
	식별자	com.cisco.endpoint.svc
	식별자 유형	번들 ID
Secure Endpoint System Monitor(AMP 보안 확장)	허용됨	참
	코드 요구 사항	anchor apple generic and identifier "com.cisco.endpoint.svc.securityextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
	식별자	com.cisco.endpoint.svc.securityextension
	식별자 유형	번들 ID

구축에 커넥터 버전 1.12.7 이상이 설치된 컴퓨터가 포함되어 있는 경우 해당 컴퓨터에 대해 ampdaemon에 전체 디스크 액세스 권한을 부여하려면 이 추가 항목이 필요합니다.

설명	속성	가치
앰프데몬	허용됨	참
	코드 요구 사항	식별자 ampdaemon 및 앵커 apple 일반 및 인증서 1[field.1.2.840.113635.100.6.2.6] /* 있음 */ 및 인증서 leaf[field.1.2.840.113635.100.6.1.13] /* 있음 */ 및 인증서 leaf[subject.OU] = TDNYQP7VRK
	식별자	/opt/cisco/amp/ampdaemon
	식별자 유형	경로

MDM을 통한 Cisco Orbital의 전체 디스크 액세스 승인

배포에 Cisco Secure Endpoint Mac 커넥터 버전 1.16.0 이상이 포함된 컴퓨터, macOS 10.15 이상이 포함된 컴퓨터, 정책에서 Orbital이 활성화된 경우, 해당 컴퓨터에 대해 Orbital에 전체 디스크 액세스 권한을 부여하려면 이 추가 항목이 필요합니다.

설명	속성	가치
Cisco Orbital	허용됨	참
	코드 요구 사항	anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
	식별자	com.cisco.endpoint.orbital.app
	식별자 유형	번들 ID

샘플 MDM 컨피그레이션 프로필

이 샘플 MDM 컨피그레이션 프로필은 참조로 사용할 수 있습니다.

• 보안 엔드포인트 Mac 커넥터에 대한 시스템 확장 승인
• Secure Endpoint Mac 커넥터 및 Orbital에 대한 전체 디스크 액세스를 허용합니다.
• 커넥터를 제거할 때 시스템 확장을 자동으로 제거할 수 있습니다.
  참고: RemovableSystemExtensions 권한이 허용되면 루트 권한을 가진 모든 사용자 또는 프로세스에서는 사용자 암호 프롬프트 없이 시스템 확장을 제거할 수 있습니다. 따라서 RemovableSystemExtensions 속성은 관리자가 커넥터 제거를 자동화하려는 경우에만 사용해야 합니다.

http://www.apple.com/DTDs/PropertyList-1.0.dtd"> PayloadContent AllowUserOverrides AllowedSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName System Extensions PayloadEnabled PayloadIdentifier 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.system-extension-policy PayloadUUID 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadVersion 1 RemovableSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName Privacy Preferences Policy Control PayloadEnabled PayloadIdentifier 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.TCC.configuration-profile-policy PayloadUUID 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadVersion 1 Services SystemPolicyAllFiles Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.svc IdentifierType bundleID StaticCode 0 Allowed 1 CodeRequirement identifier ampdaemon and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = TDNYQP7VRK Identifier /opt/cisco/amp/ampdaemon IdentifierType path StaticCode 0 Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.orbital.app IdentifierType bundleID StaticCode 0 FilterDataProviderBundleIdentifier com.cisco.endpoint.svc.networkextension FilterDataProviderDesignatedRequirement anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) FilterGrade firewall FilterPackets FilterSockets FilterType Plugin PayloadDisplayName Web Content Filter Payload PayloadIdentifier F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.webcontent-filter PayloadUUID F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadVersion 1 PluginBundleID com.cisco.endpoint.svc UserDefinedName AMP Network Extension VendorConfig PayloadDescription PayloadDisplayName Cisco Secure Endpoint Settings [DEMO] PayloadEnabled PayloadIdentifier 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadOrganization Cisco Systems, Inc. PayloadRemovalDisallowed PayloadScope System PayloadType Configuration PayloadUUID 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadVersion 1

macOS 10.15 이전 버전용 샘플 MDM 컨피그레이션

• 커널 확장 승인 및 커넥터에 대한 전체 디스크 액세스 권한 부여
  
  • 참고: M1 이상 Apple 제품은 이 구성이 포함된 프로필을 사용할 수 없습니다

AllowNonAdminUserApprovals AllowUserOverrides AllowedKernelExtensions TDNYQP7VRK com.cisco.amp.nke com.cisco.amp.fileop PayloadDescription PayloadDisplayName Approved Kernel Extensions PayloadEnabled PayloadIdentifier A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.syspolicy.kernel-extension-policy PayloadUUID A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadVersion 1

새 디렉터리 구조

버전 1.14.0~1.16.2

Mac connector 1.14에서는 디렉토리 구조에 두 가지 변경 사항이 적용됩니다.

1. Applications 디렉토리의 이름이 Cisco AMP에서 Cisco AMP for Endpoints로 변경되었습니다.
2. 명령줄 유틸리티 ampcli가 /opt/cisco/amp에서/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS로 이동했습니다. 디렉토리/opt/cisco/amp는 새 위치에 있는 ampcli 프로그램에 대한 symlink를 포함합니다.

Mac 커넥터 버전 1.14.0~1.16.2의 전체 디렉터리 구조는 다음과 같습니다.

├── Applications
│   └── Cisco AMP for Endpoints
│       └── AMP for Endpoints Connector.app
│       │   └── Contents
│       │       └──MacOS
│       │
│       └── AMP for Endpoints Service.app
│       │   └── Contents
│       │       └──MacOS
│       │           └── ampcli
│       │           └── ampdaemon
│       │           └── amscansvc
│       │           └── ampcreport 
│       │           └── ampupdater 
│       │           └── SupportTool
│       │
│       └── Support Tool.app
├── Library
│   ├── Application Support
│   │   └── Cisco
│   │       └── AMP for Endpoints Connector
│   │           └── SupportTool
│   └── Logs
│       └── Cisco
├── Users
│   └── *
│       └── Library
│           └── Logs
│               └── Cisco
└── opt
    └── cisco
        └── amp
            └── ampcli

버전 1.18.0 이상

Mac 커넥터 1.18에서는 다음과 같이 애플리케이션 디렉토리 구조가 변경됩니다.

1. Applications 디렉토리의 이름이 Cisco AMP for Endpoints에서 Cisco Secure Endpoint로 변경되었습니다.

Mac 커넥터 버전 1.18.0 이상의 전체 디렉토리 구조는 다음과 같습니다.

├── Applications
|   └── Cisco Secure Endpoint
|       └──Secure Endpoint Connector.app
|       |    └── Contents
|       |        └── MacOS
|       |
|       └── Secure Endpoint Service.app
|       |   └── Contents
|       |       └── MacOS
|       |           └── ampcli
|       |           └── ampdaemon
|       |           └── ampscansvc
|       |           └── ampcreport
|       |           └── ampupdater
|       |           └── SupportTool
|       |
|       └── Support Tool.app

macOS 11.0 및 Mac Connector 1.14.1의 알려진 문제.

• 컴퓨터에 4개 이상의 네트워크 콘텐츠 필터가 설치된 경우 결함 10, "커널 모듈 또는 시스템 확장을 로드하는 데 다시 부팅해야 함"에 대한 지침이 올바르지 않을 수 있습니다. 자세한 내용은 Cisco Secure Endpoint Mac Connector Faults 문서를 참조하십시오.

MacOS 10.15/11.0 및 Mac Connector 1.14.0의 알려진 문제.

• Mac 커넥터에서 발생한 일부 결함이 예기치 않게 발생할 수 있습니다. 자세한 내용은 Cisco Secure Endpoint Mac Connector Faults 문서를 참조하십시오.
  • Fault 13, Too many Network Content Filter system extensions(Network Content Filter 시스템 확장이 너무 많음)는 업그레이드 후 제기될 수 있습니다. 컴퓨터를 재부팅하면 이 상황에서 결함이 해결됩니다.
  • 결함 15, 시스템 확장에는 전체 디스크 액세스가 필요하며 macOS 11.0.0의 버그로 인해 재부팅 후 발생할 수 있습니다. 이 문제는 macOS 11.0.1에서 해결되었습니다. 이 결함은 macOS System Preferences의 Security & Privacy 창에서 전체 디스크 액세스 권한을 다시 부여하여 해결할 수 있습니다.
    
    
• 설치하는 동안 보안 및 개인 정보 창은 macOS에서 Mac 커넥터 시스템 확장 실행 권한을 요청할 때 "Placeholder Developer"를 애플리케이션 이름으로 표시할 수 있습니다. 이는 macOS 10.15의 버그 때문입니다. Mac 커넥터가 컴퓨터를 보호할 수 있도록 하려면 "Placeholder Developer(자리 표시자 개발자)" 옆의 상자를 선택합니다.
  
  
  • systemextensionsctl listcommand를 사용하여 승인이 필요한 시스템 확장을 결정할 수 있습니다. 상태의 시스템 확장 [activated waiting for user]이 출력에서 이전에 표시된 macOS 환경 설정 페이지에서 "Placeholder Developer"로 표시됩니다. 기본 설정 페이지에 "자리 표시자 개발자" 항목이 두 개 이상 표시되는 경우 시스템 확장이 승인이 필요하지 않도록 시스템 확장을 사용하는 모든 소프트웨어(Mac 커넥터 포함)를 제거한 다음 Mac 커넥터를 다시 설치하십시오.
    Mac 커넥터 시스템 확장은 다음과 같이 식별됩니다.
    
    • Network Extension(네트워크 확장)은 com.cisco.endpoint.svc.networkextension으로 표시됩니다.
    • 표시된 엔드포인트 보안 확장에는 com.cisco.endpoint.svc.securityextension입니다. 
      
      
• 설치하는 동안 콘텐츠 필터에서 네트워크 트래픽을 모니터링하도록 허용하라는 프롬프트가 애플리케이션 이름으로 "(null)"을 표시할 수 있습니다. 이것은 macOS 10.15의 버그로 인해 발생합니다. 사용자는 컴퓨터의 보호를 보장하기 위해 "허용"을 선택해야 합니다.
  
• "허용 안 함"을 선택했기 때문에 프롬프트가 무시된 경우 에이전트 아이콘의 드롭다운 메뉴에서 "네트워크 필터 허용"을 선택합니다  메뉴 모음에서 프롬프트를 다시 엽니다.
  
  
• 활성화하면 Secure Endpoint Network Extension 필터가 Network Preferences(네트워크 환경 설정) 페이지에 나열됩니다.
  
  
• macOS 11에서 Mac 커넥터 1.12에서 Mac 커넥터 1.14로의 업그레이드를 수행할 경우, 커넥터가 커널 확장에서 새 시스템 확장으로 전환되는 동안 Fault 4, System Extension Failed to Load를 일시적으로 올릴 수 있습니다.

시스템 확장을 제거하는 동안 알려진 문제

• MacOS 12 이전 또는 MDM을 사용하지 않는 경우, Mac 커넥터 제거가 수행될 때 시스템 확장을 제거할 수 있도록 사용자에게 비밀번호를 두 번 입력하라는 메시지가 표시됩니다. 이는 macOS의 한계이며 이 문서에 설명된 RemovableSystemExtensions MDM 프로필 키의 추가로 macOS 12에서 다소 개선되었습니다.

Intune 배포 설치 스크립트

• Microsoft에서 유지 관리하는 macOS에 Secure Endpoint Connector를 설치하는 데 도움이 되는 스크립트가 여기에 호스팅됩니다.

https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP

리브랜딩 Mac 커넥터(버전 1.18.0 이상)

참고: 1.18.0 이전 커넥터 버전에 대한 기존 MDM 컨피그레이션은 커넥터 버전 1.18.0 이상으로 업그레이드하기 위한 작업 없이 작동합니다. 자세한 내용은 보안 엔드포인트 Mac 리브랜딩을 참조하십시오.

개정 이력

2020년 12월 1일

• Mac 커넥터 1.14.1은 더 이상 macOS 10.15에서 시스템 확장을 사용하지 않습니다.
• "자리 표시자 개발자" 시스템 확장에 Mac 커넥터 1.14.0의 승인이 필요한 터미널 확인에 대한 추가 지침.

2020년 11월 9일

• 전체 디스크 액세스 CodeRequirement MDM 페이로드에서 수정된 번들 ID입니다.

2020년 11월 3일

• 1.14.0 Mac 커넥터의 릴리스 날짜는 2020년 11월입니다.
• 1.14.0 Mac 커넥터는 macOS 10.15.5 이상에서 시스템 확장을 사용합니다. 이전에는 10.15.6이었습니다.
• Known Issues 섹션이 추가되었습니다.
• 디렉터리 구조 개요를 업데이트했습니다.

2021년 6월 3일

• Cisco Orbital에 대한 전체 디스크 액세스 권한 부여 지침 추가

2021년 10월 13일

• Mac 커넥터 macOS Extensions with MDM 섹션의 제거를 추가했습니다.
• Uninstall of System Extensions 섹션에 알려진 문제가 추가되었습니다.

2022년 2월 25일

• 리브랜딩