Gérer les plug-ins d'intégration de sécurité des points de terminaison pour macOS

Les plug-ins d'intégration de sécurité des points de terminaison étendent les fonctionnalités de la solution d'intégration de sécurité des points de terminaison d'Okta.

Pour activer les plug-ins sur les appareils macOS, vous devez configurer et déployer une configuration d'applications gérées à l'aide de votre solution de gestion des appareils. La configuration permet à Okta Verify de collecter les signaux de confiance de votre client EDR s'exécutant sur le même appareil.

Actuellement, l'intégration EDR d'Okta pour macOS ne prend en charge que CrowdStrike ZTA. D'autres solutions EDR seront prochainement prises en charge.

Conditions préalables
Configuration des applications gérées
Lancer la procédure
Vérifier le déploiement de la configuration de l'application gérée
Désactiver le plug-in d'intégration EDR
Étapes suivantes

Conditions préalables

Vérifiez que les paramètres suivants sont en place :

L'intégration EDR est bien activée pour votre org.
Conditions préalables pour les appareils macOS :
- Ils doivent être Enregistrés avec Okta.
- Ils doivent être gérés par une solution de gestion des appareils qui prend en charge la configuration des applications gérées.
- Ils sont exécutés sur une plateforme prise en charge. Voir Systèmes d'exploitation et navigateurs pris en charge.
- La dernière version d'Okta Verify est installée sur les appareils macOS. Consultez Plateformes prises en charge pour Okta Verify.
- Ils exécutent l'agent CrowdStrike Falcon Agent 6.20 ou versions ultérieures.
Vous avez pris connaissance de ces documents Jamf Pro :
- Profils de configuration de l'ordinateur
- Gestion des paramètres des applications informatiques à l'aide de JSON Schema et Jamf Pro

Configuration des applications gérées

La configuration de l'application gérée contient des informations que Okta Verify utilise pour créer le plug-in d'intégration EDR. Les entrées de la configuration correspondent aux fournisseurs EDR que vous intégrez à Okta. Lorsque les utilisateurs tentent d'accéder à une ressource protégée, Okta Verify lit l'entrée pour collecter les signaux d'EDR. Par exemple, l'entrée pour CrowdStrike ressemble à ceci :

Copier

{
  "OktaVerify.Plugins" = ["com.crowdstrike.zta"],
  {
  "name": "com.crowdstrike.zta",
  "description": "File based EDR integration between Okta Verify and the CrowdStrike Falcon agent.",
  "location": "/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta",
  "type": "FILE",
  "format": "JWT"
  }

Actuellement, comme le montre l'exemple d'entrée, cette intégration EDR ne prend en charge que "type": "FILE" et CrowdStrike.

Exemple spécifique à Jamf Pro

Cet exemple montre comment déployer une configuration d'application gérée à l'aide de Jamf Pro, mais toute solution de gestion des appareils prenant en charge le déploiement d'une configuration d'application gérée sur les appareils Apple devrait fonctionner avec le nom et la valeur de clé Okta.

Dans cet exemple, vous envoyez les configurations d'applications gérées et deux domaines de préférence distincts (ID de regroupement) vers Jamf Pro. La configuration doit avoir les propriétés suivantes :

Des entrées identiques mais des noms différents qui correspondent à leur domaine de préférence distinct (bundleID) dans Jamf Pro.
La configuration doit inclure une entrée avec un tableau de tous les noms d'intégration attachés à :
- Clé :OktaVerify.Plugins
Toutes les autres entrées de la PLIST doivent être des clés correspondant à des dictionnaires formatés comme indiqué dans l'exemple d'entrée de CrowdStrike. La clé doit correspondre à l'entrée "name" du dictionnaire. Par exemple, "OktaVerify.Plugins" = ["com.crowdstrike.zta"].
Pour les autres MDM, consultez la documentation du fournisseur. Votre MDM peut avoir d'autres exigences, mais nécessite toujours les clés et les valeurs Okta. L'exemple figurant sur cette page est communiqué à titre d'information uniquement.

Lancer cette procédure

Dans Jamf Pro, accédez à OrdinateursProfils de configuration+Nouveau.
Dans le volet de gauche, faites défiler vers le bas et sélectionnez Application et paramètres personnalisés.
Choisissez une méthode pour envoyer les fichiers PLIST vers Jamf Pro :
- Applications externes : sélectionnez Custom Schema (Schéma personnalisé). Consultez Gestion des paramètres des applications informatiques à l'aide de JSON Schema et Jamf Pro .
- Charger. consultez Profils de configuration de l'ordinateur.

Dans la méthode d'envoi que vous avez choisie, saisissez deux charges utiles PLIST identiques. Chaque charge utile doit avoir un domaine de préférence distinct :

First payload Preference Domain (Domaine de préférence de la première charge utile) : com.okta.mobile
Second payload Preference Domain (Domaine de préférence de la deuxième charge utile) : com.okta.mobile.auth-service-extension
Charge utile PLIST. Par exemple, voici une charge utile pour l'intégration avec CrowdStrike ZTA en utilisant Jamf Pro :

Copier

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<managedAppConfiguration>
<dict>
<key>OktaVerify.Plugins</key>
<array>
<string>com.crowdstrike.zta</string>
</array>
<key>com.crowdstrike.zta</key>
<dict>
<key>description</key>
<string>File-based EDR integration between Okta Verify and the Crowdstrike Falcon agent</string>
<key>format</key>
<string>JWT</string>
<key>location</key>
<string>/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta</string>
<key>name</key>
<string>com.crowdstrike.zta</string>
<key>type</key>
<string>FILE</string>
</dict>
</dict>
</managedAppConfiguration>
</plist>

Actuellement, le champ description dans la PLIST n'est pas utilisé. Vous pouvez l'utiliser pour afficher un message aux utilisateurs finaux sur les signaux qu'Okta collecte et les avantages de cette fonctionnalité.

Accédez à l'onglet Portée et affectez le profil de configuration aux appareils des utilisateurs finaux concernés.

Vérifier le déploiement de la configuration de l'application gérée

Il existe plusieurs façons de vérifier que la configuration de l'application gérée a été déployée avec succès sur un appareil donné.

Option 1 : vérifier les préférences système

Sur l'appareil macOS, cliquez sur l'icône Préférences système dans le dock et maintenez-la enfoncée.
Cliquez sur Profiles (Profils).
Sous Device (Managed) (Appareil [géré]), vérifiez qu'une entrée pour le profil que vous avez créé dans Jamf Pro est répertoriée. Par exemple, une entrée peut contenir des informations similaires à celles-ci :
- Description : déployer la configuration de l'application dans le conteneur partagé macOS Okta Verify
- Signé : certificat de signature intégré à JSS
- Installé : 1er avril 2021 à 11h55
- Paramètres : paramètres personnalisés

Option 2 : regardez dans /Library/Managed Preferences (Bibliothèque/Préférences gérées)

Assurez-vous d'ouvrir le dossier Library/Managed Preferences (Bibliothèque/Préférences gérées) et non le dossier Users Library (Bibliothèque des utilisateurs).

Sur l'appareil macOS, allez dans /Library/Managed Preferences (/Bibliothèque/Préférences gérées).
Vérifiez que le fichier PLIST est présent dans ces emplacements :
- Dossier (Managed Preferences) Préférences gérées
- Sous-dossier Utilisateur dans le dossier Managed Preferences (Préférences gérées).

Désactiver le plug-in d'intégration EDR

Si vous souhaitez désactiver le plug-in d'intégration EDR pour un fournisseur EDR particulier, supprimez l'entrée spécifique à l'EDR des fichiers PLIST, puis envoyez-les à nouveau vers Jamf Pro comme décrit dans Start this procedure (Lancer la procédure).

Étapes suivantes

Valider votre intégration de sécurité des points de terminaison