Startseite » Behebung von AD-Synchronisierungsproblemen

Berechtigungen für den Endpoint Central macOS-Agenten über MDM

Dieser Artikel beschreibt die Schritte zum Konfigurieren von Berechtigungen für macOS. Auf Kernel-Ebene war es erforderlich, dass die Systemerweiterung jedes Drittanbieters genehmigt wurde. Dazu musste die Team-ID zugelassen werden, auch bekannt als Apple Developer ID.

  • Mit macOS 10.14 führte Apple ein neues Standardverhalten ein, das applicationen daran hinderte, auf die Festplatte, Fernsteuerung usw. zuzugreifen
  • Mit macOS 13 fügte Apple in den Systemeinstellungen eine Option hinzu, um Hintergrundprozesse zu deaktivieren

Inhaltsverzeichnis

  1. Berechtigungen erteilen
  2. Systemerweiterungen auf die Whitelist setzen
  3. Verwaltung von Hintergrunddiensten/Anmeldeobjekten

Falls ManageEngine MDM verwendet wird, werden die unten genannten Berechtigungen automatisch auf macOS-Geräten bereitgestellt. Führen Sie die folgenden Schritte aus, wenn ein anderer MDM-Anbieter verwendet wird.

Berechtigungen erteilen

Berechtigungen können über das MDM-Profil „Privacy Preferences Policy Control (PPPC)“ bereitgestellt werden. Die erteilten Berechtigungen sind vollständiger Festplattenzugriff, Bedienungshilfen und Bildschirmaufnahme.

Nachfolgend finden Sie die für das PPPC-Profil erforderlichen Details:

1. Protector-Systemerweiterung - Prozess, der den Agent-Ordner und Prozesse überwacht und verhindert, dass Benutzer Dateien ändern und Prozesse unterbrechen

Bezeichnercom.manageengine.protectord
Anforderung an die Codesignaturanchor apple generic and identifier "com.manageengine.protectord" and certificate leaf[subject.OU] = TZ824L8Y37
Statische CodevalidierungNein
Zulässige BerechtigungenSystemrichtlinie: Alle Dateien
Weitere BerechtigungenBenutzergesteuert

2. Agent-Dienst - Prozess, der alle Agent-Aufgaben ausführt

Bezeichnerdcagentservice
Anforderung an die Codesignaturidentifier dcagentservice and anchor apple generic and certificate leaf[subject.OU] = TZ824L8Y37
Statische CodevalidierungNein
Zulässige BerechtigungenSystemrichtlinie: Alle Dateien
Weitere BerechtigungenBenutzergesteuert

Apps für Apple Events

#BezeichnerCode-Anforderung
1com.apple.systemeventsidentifier "com.apple.systemevents" and anchor apple
2com.apple.systemuiserveridentifier "com.apple.systemuiserver" and anchor apple
3com.apple.finderidentifier "com.apple.finder" and anchor apple
4com.apple.installeridentifier "com.apple.installer" and anchor apple

3. Fernzugriff - Prozess, der für die Fernsteuerung verantwortlich ist

Bezeichnercom.zoho.assist.ManageEngineRemoteAccess
Anforderung an die Codesignaturidentifier "com.zoho.assist.ManageEngineRemoteAccess" and anchor apple generic and certificate leaf[subject.OU] = TZ824L8Y37
Statische CodevalidierungNein
Zulässige BerechtigungenBedienungshilfen, Bildschirmaufnahme
Weitere BerechtigungenBenutzergesteuert

Falls die oben genannten Schritte nicht hilfreich sind, folgen Sie bitte den Schritten in diesem Link, um Berechtigungen für den Fernzugriff zu erteilen.

4. applicationskontroll-Systemerweiterung - Prozess, der andere Prozesse auf Grundlage der Richtlinie zur applicationskontrolle überwacht und steuert

Bezeichnercom.manageengine.protectord
Anforderung an die Codesignaturanchor apple generic and identifier "com.manageengine.appctrl.driver" and certificate leaf[subject.OU] = TZ824L8Y37
Statische CodevalidierungNein
Zulässige BerechtigungenSystemrichtlinie: Alle Dateien
Weitere BerechtigungenBenutzergesteuert

Systemerweiterungen auf die Whitelist setzen

Systemerweiterungen können über das MDM-Profil für Systemerweiterungen zugelassen werden.

Nachfolgend finden Sie die für das Profil für Systemerweiterungen erforderlichen Details:

1. Protector-Systemerweiterung

Team-BezeichnerTZ824L8Y37
Zulässige ErweiterungskategorienSicherheitserweiterungen
Bezeichner der Erweiterungs-Bundlescom.manageengine.protectord

2. applicationskontroll-Systemerweiterung

Team-BezeichnerTZ824L8Y37
Zulässige ErweiterungskategorienSicherheitserweiterungen
Bezeichner der Erweiterungs-Bundlescom.manageengine.appctrl.driver

Verwaltung von Hintergrunddiensten/Anmeldeobjekten

Administratoren können Benutzer daran hindern, Apps zu deaktivieren, die Hintergrundobjekte auf dem macOS-Gerät ausführen. Team-Bezeichner der App, deren Deaktivierung eingeschränkt werden soll = TZ824L8Y37

Vertraut von