Configurer Apex One sur macOS avec Microsoft Intune

By | 6 décembre 2022

Je travaille actuellement sur le déploiement d’appareils Apple (iOS/macOS) chez un client et même si ce n’est pas une découverte, l’évolution de la gestion de ces appareils avec la plateforme de Microsoft mérite quelques articles dédiés.

Pour ce billet, nous allons nous pencher sur la configuration de la solution APEX One (Trend Micro) au travers de fichiers de préférences.

Retrouvez la première partie ici Déployer Apex One sur macOS avec Microsoft Intune (mathieuleroy.fr)

Préambule

Pourquoi devrions-nous réaliser une configuration complémentaire par rapport à l’installation initiale ? En utilisant un MDM, les administrateurs peuvent accorder aux agents Apex One (Mac), Vision One (Mac), Cloud One (Mac) et WFBS les autorisations nécessaires pour qu’ils fonctionnent normalement sans aucune opération supplémentaire de la part de l’utilisateur final. Lorsque l’agent est déployé correctement, les agents Apex One (Mac), Cloud One (Mac), Vision One (Mac) et WFBS n’afficheront aucune fenêtre contextuelle (demandant l’autorisation, etc.) à l’utilisateur final.

Définition des autorisations

✔ signifie que ce type de fichier de configuration doit être ajouté, sinon une boîte de dialogue système ou produit apparaîtra.
✘ signifie que ces fichiers de configuration ne sont pas nécessaires et qu’il peut y avoir des erreurs lors de l’ajout de ces fichiers. Il est recommandé de regrouper les mêmes systèmes et de les distribuer avec la même configuration.

OS VersionSystem ExtensionWeb Content FilterFull Disk AccessKernel ExtensionInstallationService Management –
Managed Login
Items
macOS Ventura (13.x.x)
macOS Monterey (12.x.x)
macOS Big Sur (11.x.x)
macOS Catalina (10.15.x)
macOS Mojave (10.14.x)
macOS High Sierra (10.13.x)

Différents produits ont des identifiants de bundle différents, donc différents fichiers « .mobileconfig » doivent être générés et importés dans Microsoft Intune pour différents identifiants.

Ci-dessous quelques exemples :

 Apex One (Mac)
WFBS (Mac)
Cloud One (Mac)
XES(Vision One EDR)
Full Disk AccessFullDiskAccess.mobileconfigFullDiskAccess_XES.mobileconfig
Kernel ExtensionKernelExtension.mobileconfigKernelExtension_XES.mobileconfig
System ExtensionSystemExtension.mobileconfigSystemExtension_XES.mobileconfig
Web Content FilterWebContentFilter.mobileconfigWebContentFilter_XES.mobileconfig
Installationinstallation.mobileconfig
Service Management –
Managed Login Items
SMLoginItems.mobileconfig
Browser Plugin ExtensionGoogle Chrome ExtensionMozilla Firefox Extension

Intégration

Il est possible d’intégrer ces profils via deux manières :

  1. Un profil de de type « extension » de cette manière, seules « Kernel Extension » et « System Extension » peuvent être déployées. Les extensions système s’exécutent dans l’espace utilisateur et n’accèdent pas au noyau. L’objectif est d’augmenter la sécurité, de fournir plus de contrôle à l’utilisateur final et de limiter les attaques au niveau du noyau.
  2. Un profil de type « custom » conçus pour ajouter des paramètres et des fonctionnalités qui ne sont pas intégrés à Intune.

Dans notre exemple, nous utiliserons un profil de type « custom » et nous allons créer 4 profils comme ci-dessous :

Répéter l’opération avec les fichiers mobileconfig nécessaires selon votre version de macOS, dans mon cas, j’ai configuré :

  • Full Disk Access Extension
  • Installation Extension
  • System Extension
  • Web Content Filter Extension

Coté utilisateur

Vérifiez la bonne application du profil sur le mac et vérifiez si l’accès complet au disque pour Apex.