TIPS.Jamf ProでTrend Micro Apex Oneの初期設定をちょっと楽にする
はじめに
私の業務先の一つでは、PCのセキュリティ対策ソフトとしてTrend MicroのApex One を利用しています。
ApexOneでは、macOS Mojave(10.14)以降より保護されたデータにアクセスするアプリケーションを制限する機能が追加されたため、インストール時に手動でエージェントのプロセスを許可する設定を行う必要があります。
1台程度ならいいのですが、複数台同時に行わないといけない場合毎度設定するのが億劫で、かつ設定漏れがあるとセキュリティ機能が無効になったまま出荷してしまうことになるので、なんとかできないかなと思い色々調べました。結果、Trend Microにて対処方法が公開されていたのでその通りにやったのですがうまくいかず、最終的にサポートへ問い合わせて動くようにしたので備忘録も兼ねてこちらに手順を記載いたします。
なお、本手法はバージョン12〜13で確認したものとなります。それ以前または以降においての動作は保証できませんのであしからず。
手順
Jamf proにログインし、「コンピュータ」→「構成プロファイル」→「新規」をクリックします。
「一般」のGeneralにて名称を入力します。
「システム拡張機能」を選択し、「構成」をクリックします。
システム拡張機能内で新規拡張機能を追加して、以下の通り設定します。
①
表示名 :Trend Micro
システム拡張機能の種類:Allowd System Extensions
チーム識別子 :E8P47U2H32
許可された拡張機能 :
com.trendmicro.icore.es
com.trendmicro.icore.netfilter
②
表示名 :Trend Micro
システム拡張機能の種類:Allowd System Extension Types
チーム識別子 :E8P47U2H32
許可されたシステム拡張機能の種類:
エンドポイントセキュリティ拡張機能
ネットワーク拡張機能 にチェック
「コンテンツフィルタ」を有効にして、以下の通り設定を追加します。
①
表示名:Trend Micro Network Extension
識別子:com.trendmicro.icore
②
フィルタ順序 :Firewall
ソケットフィルタ :有効
ソケットフィルタのバンドル識別子:com.trendmicro.icore.netfilter
ソケットフィルタの指定要件 :
identifier com.trendmicro.icore.netfilter and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
「プライバシー環境設定ポリシーコントロール」にて、「構成」をクリックして有効にします。
「App Access」項目にて、以下の通り設定します。
①Endpoint Sensor
識別子 :com.trendmicro.icore.es
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.es and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
上記の「APP OR SERVICE」にて以下の通り設定します。
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.finder
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.es and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemuiserver
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.es and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemevents
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.es and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:SystemPolicySysAdminFiles
対象サービス:SystemPolicyAllFiles
対象サービス:Accessibility
「App Access」項目にて、上記同様に以下の通り設定します。
②icore Service
識別子 :com.trendmicro.icore
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.finder
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemuiserver
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemevents
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:SystemPolicySysAdminFiles
対象サービス:SystemPolicyAllFiles
対象サービス:Accessibility
③MainUI
識別子 :com.trendmicro.tmsm.MainUI
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.tmsm.MainUI and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.finder
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.tmsm.MainUI and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemuiserver
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.tmsm.MainUI and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemevents
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.tmsm.MainUI and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:SystemPolicySysAdminFiles
対象サービス:SystemPolicyAllFiles
対象サービス:Accessibility
④netfilter
識別子 :com.trendmicro.icore.netfilter
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.netfilter and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.finder
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.netfilter and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemuiserver
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.netfilter and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:AppleEvents
Access :Allow
受信識別子 :com.apple.systemevents
識別子タイプ:Bundle ID
コード要件 :
identifier com.trendmicro.icore.netfilter and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32
対象サービス:SystemPolicySysAdminFiles
対象サービス:SystemPolicyAllFiles
対象サービス:Accessibility
上記の設定がすべて完了したら、Scopeにて対象となるPCに本構成プロファイルを配信して完了となります。
動作しているかの確認
上記設定を行った場合、システム設定のフルディスクアクセス権限において「icoreservice」などが表示されていない状態となっておりますが、Trendmicroによるとその状態であっても「保護が有効」の状態になっているのであれば問題ないとのことです。このせいでかなり手間取りました。
機械的に確認したい場合、Terminalで以下コマンドを実行のうえ、作成されたprofiles.spxを開いてプライバシー環境設定ポリシーコントロールで設定した内容が反映されているか(「iCore Service」がバンドル ID「com.trendmicro.icore」で有効化されているか)を確認するとよいらしいです。
system_profiler -detailLevel full SPConfigurationProfileDataType -xml > ~/Downloads/profiles.spx
おわりに
ちょっとだけキッティングが楽になりました。よかったね。
この記事が気に入ったらサポートをしてみませんか?