# Berechtigungen für den Endpoint Central Mac-Agenten über MDM

Dieser Artikel beschreibt die Schritte zum Konfigurieren von Berechtigungen für macOS. Auf Kernel-Ebene war es erforderlich, dass die Systemerweiterung jedes Drittanbieters genehmigt wurde. Dazu musste die Team-ID zugelassen werden, auch bekannt als Apple Developer ID.

- Mit macOS 10.14 führte Apple ein neues Standardverhalten ein, das Applicationen daran hinderte, auf die Festplatte, Fernsteuerung usw. zuzugreifen
- Mit macOS 13 fügte Apple in den Systemeinstellungen eine Option hinzu, um Hintergrundprozesse zu deaktivieren

### Inhaltsverzeichnis

1. [Berechtigungen erteilen](#grant)
2. [Systemerweiterungen auf die Whitelist setzen](#whitelist)
3. [Verwaltung von Hintergrunddiensten/Anmeldeobjekten](#login)

Falls ManageEngine MDM verwendet wird, werden die unten genannten Berechtigungen automatisch auf macOS-Geräten bereitgestellt. Führen Sie die folgenden Schritte aus, wenn ein anderer MDM-Anbieter verwendet wird.

## Berechtigungen erteilen

Berechtigungen können über das MDM-Profil „Privacy Preferences Policy Control (PPPC)“ bereitgestellt werden. Die erteilten Berechtigungen sind vollständiger Festplattenzugriff, Bedienungshilfen und Bildschirmaufnahme.

### Nachfolgend finden Sie die für das PPPC-Profil erforderlichen Details:

#### **1. Protector-Systemerweiterung** - Prozess, der den Agent-Ordner und Prozesse überwacht und verhindert, dass Benutzer Dateien ändern und Prozesse unterbrechen

| Bezeichner | com.manageengine.protectord |
|---|---|
| Anforderung an die Codesignatur | anchor apple generic and identifier "com.manageengine.protectord" and certificate leaf[subject.OU] = TZ824L8Y37 |
| Statische Codevalidierung | Nein |
| Zulässige Berechtigungen | Systemrichtlinie: Alle Dateien |
| Weitere Berechtigungen | Benutzergesteuert |

#### **2. Agent-Dienst** - Prozess, der alle Agent-Aufgaben ausführt

| Bezeichner | dcagentservice |
|---|---|
| Anforderung an die Codesignatur | identifier dcagentservice and anchor apple generic and certificate leaf[subject.OU] = TZ824L8Y37 |
| Statische Codevalidierung | Nein |
| Zulässige Berechtigungen | Systemrichtlinie: Alle Dateien |
| Weitere Berechtigungen | Benutzergesteuert |

Apps für Apple Events

| # | Bezeichner | Code-Anforderung |
|---|---|---|
| 1 | com.apple.systemevents | identifier "com.apple.systemevents" and anchor apple |
| 2 | com.apple.systemuiserver | identifier "com.apple.systemuiserver" and anchor apple |
| 3 | com.apple.finder | identifier "com.apple.finder" and anchor apple |
| 4 | com.apple.installer | identifier "com.apple.installer" and anchor apple |

#### **3. Fernzugriff** - Prozess, der für die Fernsteuerung verantwortlich ist

| Bezeichner | com.zoho.assist.ManageEngineRemoteAccess |
|---|---|
| Anforderung an die Codesignatur | identifier "com.zoho.assist.ManageEngineRemoteAccess" and anchor apple generic and certificate leaf[subject.OU] = TZ824L8Y37 |
| Statische Codevalidierung | Nein |
| Zulässige Berechtigungen | Bedienungshilfen, Bildschirmaufnahme |
| Weitere Berechtigungen | Benutzergesteuert |

Falls die oben genannten Schritte nicht hilfreich sind, folgen Sie bitte den Schritten in diesem [Link](https://www.manageengine.com/products/desktop-central/accessibility-permissions-for-remote-control-not-configured.html), um Berechtigungen für den Fernzugriff zu erteilen.

#### **4. applicationskontroll-Systemerweiterung** - Prozess, der andere Prozesse auf Grundlage der Richtlinie zur applicationskontrolle überwacht und steuert

| Bezeichner | com.manageengine.protectord |
|---|---|
| Anforderung an die Codesignatur | anchor apple generic and identifier "com.manageengine.appctrl.driver" and certificate leaf[subject.OU] = TZ824L8Y37 |
| Statische Codevalidierung | Nein |
| Zulässige Berechtigungen | Systemrichtlinie: Alle Dateien |
| Weitere Berechtigungen | Benutzergesteuert |

## Systemerweiterungen auf die Whitelist setzen

Systemerweiterungen können über das MDM-Profil für Systemerweiterungen zugelassen werden.

### Nachfolgend finden Sie die für das Profil für Systemerweiterungen erforderlichen Details:

#### **1. Protector-Systemerweiterung**

| Team-Bezeichner | TZ824L8Y37 |
|---|---|
| Zulässige Erweiterungskategorien | Sicherheitserweiterungen |
| Bezeichner der Erweiterungs-Bundles | com.manageengine.protectord |

#### **2. applicationskontroll-Systemerweiterung**

| Team-Bezeichner | TZ824L8Y37 |
|---|---|
| Zulässige Erweiterungskategorien | Sicherheitserweiterungen |
| Bezeichner der Erweiterungs-Bundles | com.manageengine.appctrl.driver |

## Verwaltung von Hintergrunddiensten/Anmeldeobjekten

Administratoren können Benutzer daran hindern, Apps zu deaktivieren, die Hintergrundobjekte auf dem macOS-Gerät ausführen.  

Team-Bezeichner der App, deren Deaktivierung eingeschränkt werden soll = TZ824L8Y37