macOS向けEDR統合プラグインを管理する
Oktaエンドポイント検出および応答(EDR)統合プラグインでは、Okta EDR統合機能の機能を拡張します。
macOSデバイスでプラグインを有効にするには、デバイス管理ソリューションを使用し、管理対象アプリの構成を構成してプッシュする必要があります。この構成により、Okta Verifyによって、同一のデバイスで実行されているEDRクライアントから信頼シグナルを収集できるようになります。
現在、macOS向けのOkta EDR統合はCrowdStrike ZTAのみをサポートしています。今後、ほかのEDRベンダーのサポートも予定されています。
開始する前に
以下を確認します:
- 組織でEDR統合が有効になっている
- macOSデバイスが以下の条件を満たしている:
- Okta Device Trust向けに構成済み
- Oktaに登録済み
- 管理対象アプリの構成をサポートするデバイス管理ソリューションによって管理されている
- 以下を実行中:
- macOSバージョン10.15(Catalina)以降
- Okta Verify 1.9.0以降
- CrowdStrike Falcon Agent 6.20以降
- 以下のJamf Proドキュメントに精通している:
管理対象アプリの構成
管理対象アプリの構成には、Okta VerifyでEDR統合プラグインの作成に使用する情報が含まれています。構成のエントリーは、Oktaと統合するEDRベンダーに対応しています。 保護されたリソースにユーザーがアクセスしようとすると、Okta Verifyでエントリーを読み取り、EDRからシグナルを収集します。たとえば、CrowdStrikeのエントリーは次のようになります。
{
"name": "com.crowdstrike.zta",
"description": "File based EDR integration between Okta Verify and the Crowdstrike Falcon agent.",
"location": "/Library/Application Support/Crowdstrike/ZeroTrustAssessment/OVSignals.zta",
"type": "FILE",
"format": "JWT"
}
現在、エントリーの例に示されているように、このEDR統合は "type": "FILE"とCrowdstrikeのみをサポートしています。
Jamf Pro固有の例
この例は、Jamf Proを使用して管理対象アプリの構成をプッシュする方法を示していますが、管理対象アプリの構成のAppleデバイスへのデプロイに対応したどのデバイス管理ソリューションでも機能する可能性が高いです。
この例では、管理対象アプリの構成と2つの個別の優先ドメイン(バンドルID)をJamf Proにアップロードします。構成には次のようなプロパティーが必要です:
- エントリーは同一でも名前が異なり、Jamf Proで個別の優先ドメイン(bundleID)に対応している必要があります。
- 構成には、あらゆる統合の名前の配列が添付されたエントリーを含める必要があります。
- キー: OktaVerify.Plugins
- PLISTにおけるほかのエントリーはすべて、CrowdStrikeのエントリーの例に示されているような形式のディクショナリーに対応したキーにしてください。このキーはディクショナリーの「name」エントリーと一致している必要があります。たとえば、"OktaVerify.Plugins" = ["com.crowdstrike.zta"]などです。
この手順を開始する
- Jamf Proで、[コンピューター] > [構成プロファイル] > [+新規]に移動します。
- 左ペインで、下にスクロールして[アプリケーション] & [カスタム設定]を選択します。
- PLISTファイルをJamf Proにアップロードする方法を選択します:
- 外部アプリケーション:[カスタム・スキーマ]を選択します。「JSONスキーマとJamf Proを使用したコンピューター・アプリケーションの設定の管理」を参照してください。
- アップロード:「コンピューター構成プロファイル」を参照してください。
- 選択したアップロード方法に、2つの同一のPLISTペイロードを入力します。 各ペイロードには、個別の優先ドメインが必要です。
- ペイロードの優先ドメイン1: com.okta.mobile
- ペイロードの優先ドメイン2: com.okta.mobile.auth-service-extension
- PLISTペイロード:たとえば、Jamf Proを使用してCrowdStrike ZTAと統合するためのペイロードは以下のとおりです:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<managedAppConfiguration>
<dict>
<key>OktaVerify.Plugins</key>
<array>
<string>com.crowdstrike.zta</string>
</array>
<key>com.crowdstrike.zta</key>
<dict>
<key>description</key>
<string>description</string>
<key>format</key>
<string>JWT</string>
<key>location</key>
<string>/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta</string>
<key>name</key>
<string>com.crowdstrike.zta</string>
<key>type</key>
<string>file</string>
</dict>
</dict>
</managedAppConfiguration>
</plist>
- [スコープ]タブに移動し、関連したエンド・ユーザーのデバイスに構成プロファイルを割り当てます。
現在、PLISTのdescriptionフィールドは使用されていません。これを使用すると、Oktaで収集するシグナルとこの機能の利点に関するメッセージをエンド・ユーザーに表示できます。
管理対象アプリの構成のデプロイを検証する
いくつかの方法で、管理対象アプリの構成が任意のデバイスに正常にデプロイされたことを確認できます。
オプション1:システム設定を確認する
- macOSデバイスで、[システム設定]を開きます。
-
プロファイルを開きます。
-
[デバイス(管理対象)]で、Jamf Proで作成したプロファイル用のエントリーが一覧表示されていることを確認します。たとえば、エントリーに以下のような情報が含まれている可能性があります:
- 説明:Okta Verifyでコンテナを共有したmacOSにアプリの構成をデプロイします。
- 署名済み:JSS組み込み署名証明書
- インストール済み: 2021年4月1日午前11:55
- 設定 :カスタム設定
オプション2:/Library/Managed Preferencesを確認する
[ユーザー・ライブラリー]フォルダーではなく、Library/Managed Preferencesを開いてください。
-
macOSデバイスで、/Library/Managed Preferencesに移動します。
-
PLISTファイルが以下の場所にあることを確認します:
-
[管理対象設定]フォルダー
-
[管理対象設定]内の[ユーザー]サブフォルダー。
-
EDR統合プラグインを無効にする
特定のEDRベンダー向けのEDR統合プラグインを無効にする場合は、 で説明されているように、PLISTファイルからEDR固有のエントリーを削除して、Jamf Proに再度アップロードします。