Aktivieren von System- und Netzwerkerweiterungen mit jamf PRO
Symptom
Hintergrund
GlobalProtect App ab 5.1.4 verwendet Systemerweiterungen auf macOS Catalina 10.15.4 oder höher Endpunkten, um Funktionen wie:
- Split-Tunnel basierend auf dem Zieldomänennamen und dem Anwendungsprozessnamen
- Erzwingen von GlobalProtect Verbindungen für den Netzwerkzugriff (siehe GlobalProtectApp-Anpassung), ohne dass Kernelerweiterungen erforderlich sind
GlobalProtect App ab 5.2 verwendet Systemerweiterungen auf macOS Catalina 10.15.4 oder höher Endpunkten, um Funktionen wie:
Wenn GlobalProtect die App zum ersten Mal auf einem macOS Catalina 10.15.4 oder höher installiert oder auf App GlobalProtect 5.1.4 aktualisiert wird, müssen sie nun die Systemerweiterungenaktivieren. Wenn Sie split tunnel auf dem Gateway oder erzwungene Verbindungen für den Netzwerkzugriff im Portal konfiguriert GlobalProtect haben, wird die Benachrichtigung "System extension Blocked" während der Installation in der App angezeigt, in der Benutzer aufgefordert werden, die Systemerweiterungen in macOS, die vom Laden blockiert sind, zu aktivieren und zuzulassen, diese Funktionen zu GlobalProtect verwenden.
Ziel:
Ziel dieses Dokuments ist es, GlobalProtect 5.1.6 signierte Konfigurationsprofile zu verwenden und sie mithilfe von jamf PRO bereitzustellen, um macOS 10.15.4 oder höher System- und Netzwerkerweiterungs-Pop-ups zu unterdrücken. Der Workflow kann für jeden anderen Mobile Device Manager ( )-Anbieter verwendet werden, der MDM die Bereitstellung von Konfigurationsprofilen unterstützt.
Hinweis:In diesem Dokument wird davon ausgegangen, dass auf dem macOS-Endpunkt keine Netzwerkerweiterungen manuell aktiviert sind. Wenn Netzwerkerweiterungen bereits manuell über GlobalProtect Pop-ups aktiviert sind, als das Konfigurationsprofil zu verwenden, erstellt über jamf zum Aktivieren von PRO Netzwerkerweiterungen eine doppelte Netzwerkerweiterungseinträge.
Environment
- GlobalProtect 5.1.6 oder höher
- macOS Catalina 10.15.4 oder neuer / macOS BigSur 11.
Voraussetzung:
- jamf PRO Konfigurationsprofile werden nur ab GlobalProtect 5.1.6 unterstützt.
- macOS Catalina 10.15.4 oder neuer / macOS BigSur 11.
- Bevor Sie die Konfigurationsprofildateien verwenden, stellen Sie sicher, dass die Datei nicht beschädigt ist, indem Sie den Hash der heruntergeladenen Datei mit dem für jede Datei in diesem Dokument bereitgestellten Hash überprüfen und sicherstellen, dass beide übereinstimmen. Falls sonst, laden Sie die Dateien erneut herunter.
Resolution
Inhaltsverzeichnis:
Aktivieren GlobalProtect Systemerweiterung
GlobalProtect Netzwerkerweiterung auf macOS Catalina 10.15.4 und höher Endpoints
Aktivieren der GlobalProtect Netzwerkerweiterung unter macOS BigSur 11 Endpoints
Steps for Adding a Configuration Profile for Enforcer on jamfPro v10.26.0
Verify Configuration Profiles
Aktivieren der GlobalProtect Systemerweiterung:
- Nach erfolgreicher Installation des GlobalProtect Clients wird das folgende Systemerweiterungs-Pop-up wie im GlobalProtect App-Handbucherläutert angezeigt.
- Um die Systemerweiterung zu aktivieren, folgen Sie bitte den folgenden Schritten:
- Navigieren Sie auf jamf PRO zu Computer > Konfigurationsprofilen > Neu.
- Erstellen Sie hier ein Konfigurationsprofil wie unten gezeigt mit folgenden Informationen:
- Wählen Sie Systemerweiterungen aus.
- Geben Sie den von der App verwendeten Team-Identifier GlobalProtect ein (PXPZ95SK77).
- Geben Sie den Bundle Identifier (com.paloaltonetworks. GlobalProtect . client.extension).
Hinweis: Um Systemerweiterungen unmittelbar nach der Installation der App zu GlobalProtect aktivieren, verwenden Sie den folgenden Befehl:
sudo Installer -pkg GlobalProtect .pkg -applyChoiceChangesXML install_system_extensions.xml -target /
Der Inhalt der install_system_extensions.xml ist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC "-/Apple/ DTD PLIST 1.0/ EN " "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0"></plist>
<array></array>
<dict></dict>
<key>attributSetting</key>
<integer>1</integer>
<key>choiceAttribute</key>
<string>selected</string>
<key>choiceIdentifier</key>
<string>third</string>
<dict></dict>
<key>attributeSetting</key>
<integer>1</integer>
<key>choiceAttribute</key>
<string>selected</string>
<key>choiceIdentifier</key>
<string>com.paloaltonetworks. globalprotect . systemext.pkg</string>
</array>
</plist>
Aktivieren der GlobalProtect Netzwerkerweiterung unter macOS Catalina 10.15.4 und höher:
- Nach erfolgreicher Installation des GlobalProtect Clients werden folgende Pop-ups der Netzwerkerweiterung angezeigt, wie im GlobalProtect App-Benutzerhandbucherläutert.
b. Erzwingen von GlobalProtect Pop-up
- Es gibt 4 verschiedene NetzwerkerweiterungSkonfigurationsprofildateien, die an dieses Dokument angehängt sind, die wie unten erläutert verwendet werden:
- GlobalProtectSplitApp.mobileconfig (MD5 Hash = d3d9940daadd91cb8b727db28026910c)
- Konfigurationsprofildatei spezifisch für GlobalProtect Split-Tunnel basierend auf Anwendung
- Unterdrückt das Popup der Netzwerkerweiterung (a) im Zusammenhang mit VPN Konfigurationen
- GlobalProtectSplitDomain.mobileconfig (MD5 Hash = 235bda0a10eed7ca2b1efe7892439389)
- Konfigurationsprofildatei, die für den Split-Tunnel basierend auf der Domäne spezifisch GlobalProtect ist
- Unterdrückt das Popup der Netzwerkerweiterung (a) im Zusammenhang mit VPN Konfigurationen
- GlobalProtectSplitDNS.mobileconfig (MD5 Hash = 020c721f6fed19cac436e0205eb0bedb)
- Konfigurationsprofildatei, die für GlobalProtect Split-DNS-Funktionen spezifisch ist
- Unterdrückt das Popup der Netzwerkerweiterung (a) im Zusammenhang mit VPN Konfigurationen hinzufügen
- GlobalProtectEnforcer.mobileconfig (MD5 Hash = f1e1a501fc70b3a69e29fb5e722983ff)
- Konfigurationsprofildatei, die für die GlobalProtect Enforce-Funktion spezifisch ist
- Unterdrückt das Popup der Netzwerkerweiterung (b) im Zusammenhang mit Netzwerkinhalt filtern
- Im Folgenden finden Sie die schrittweisen Anweisungen zum Hochladen und Bereitstellen von Konfigurationsprofilen in jamf PRO und deren Bereitstellung auf macOS Catalina-Endpunkten.
- Nachdem Sie bei jamf angemeldet PRO sind, navigieren Sie zu Computer > Konfigurationsprofilen. Wählen Sie hier Upload aus, um Ihre mobile Konfigurationsdatei auszuwählen, die hochgeladen werden soll.
- Wählen Sie die zu ladende Konfigurationsprofildatei aus.
- Sobald die Konfigurationsprofildatei hochgeladen wurde Speichern
- Überprüfen und Überprüfen der erfolgreichen Hochgeladenen Konfigurationsprofildatei
- Wiederholen Sie die Schritte 1 bis 4, um die erforderlichen zusätzlichen Konfigurationsprofile hochzuladen
- Bereitstellen eines oder mehreren Konfigurationsprofilen auf Ihren macOS-Endpunkten
Aktivieren der GlobalProtect Netzwerkerweiterung auf macOS BigSur 11 Endpoints:
- Auf macOS Big Sur Endpoints wird nach erfolgreicher Installation des GlobalProtect Clients das folgende Popup der Netzwerkerweiterung angezeigt, wie im GlobalProtect App-Benutzerhandbucherläutert.
- Auf macOS BigSur-Endpunkten reicht ein einzelnes Konfigurationsprofil aus, um das Pop-up der Netzwerkerweiterung im Gegensatz zu macOS Catalina zu unterdrücken. Die Schritte zum Hinzufügen eines Konfigurationsprofils für macOS Big Sur-Endpunkte sind die gleichen wie die Schritte zum Hinzufügen eines Konfigurationsprofils für Enforcer auf jamfPro v10.26.0.
Schritte zum Hinzufügen eines Konfigurationsprofils für Enforcer auf jamfPro v10.26.0.
Jamf Pro v10.26.0 führte die Nutzlast Inhaltsfilterung für macOS-Geräte ein. Es scheint, dass diese Arbeit auch ein Problem ( Fehler ) eingeführt hat, JAMF PI-009162 das die Möglichkeit verhindert, Profile hochzuladen, die diese Nutzlast enthalten (z. B. GlobalProtect Enforcer mobileconfig), sowohl über die als auch über GUI API . Zu diesem Zeitpunkt ist die einzige verfügbare Problemumgehung, das Profil mit dem zu erstellen, das GUI jetzt in Jamf Pro v10.26 und höher verfügbar ist. Im Folgenden finden Sie die Schritte zum Konfigurieren von GlobalProtect Enforcer mobileconfig mithilfe der GUI .
1. Navigieren Sie nach der Anmeldung bei jamf PRO zu Computer > Konfigurationsprofilen. Wählen Sie "Neu", um das Konfigurationsprofil für GlobalProtect Enforcer hinzuzufügen.
- Wählen Sie Inhaltsfilter aus den Optionen aus, konfigurieren Sie die folgenden Werte, und speichern Sie das Konfigurationsprofil.
- FilterName = GlobalProtectEn
- Kennung = com.paloaltonetworks. GlobalProtect . Kunde
- Socket Filter Bundle Identifier = com.paloaltonetworks. GlobalProtect . client.extension
- Socket Filter Designated Requirement = Anker Apple generisch und Bezeichner "com.paloaltonetworks. GlobalProtect . client.extension" und (Zertifikatblatt[feld.1.2.840.113635.100.6.1.9] /* vorhanden */ oder Zertifikat 1[feld.1.2.840.113635 .100.6.2.6] /* existiert */ und Zertifikatblatt[feld.1.2.840.113635.100.6.1.13] /* vorhanden */ und Zertifikatblatt[antragsteller. OU ] = PXPZ95SK77)
- Netzwerkfilter-Bundle-Identifier = com.paloaltonetworks. GlobalProtect . client.extension
- Netzwerkfilter Designated Requirement = Anker Apple generisch und Bezeichner "com.paloaltonetworks. GlobalProtect . client.extension" und (Zertifikatblatt[feld.1.2.840.113635.100.6.1.9] /* vorhanden */ oder Zertifikat 1[feld.1.2.840.113635 .100.6.2.6] /* existiert */ und Zertifikatblatt[feld.1.2.840.113635.100.6.1.13] /* vorhanden */ und Zertifikatblatt[antragsteller. OU ] = PXPZ95SK77)
Überprüfen von Konfigurationsprofilen:
- Erfolgreich bereitgestellte GlobalProtect Konfigurationsprofile unter macOS erstellen eine oder mehrere der folgenden Netzwerkschnittstellen unter Systemeinstellungen >> Netzwerk, wie unten gezeigt:
- GloblaProtectDo: Netzwerkschnittstelle für GlobalProtect Domäne
- GloblaProtectAp: Netzwerkschnittstelle für GlobalProtect Anwendung
- GloblaProtectEn: Netzwerkschnittstelle für GlobalProtect Enforcer
- GloblaProtectDn: Netzwerkschnittstelle für GlobalProtect DNS
- Sobald GlobalProtect VPN der Tunnel eingerichtet ist, werden Netzwerkschnittstellen aktiv, verbunden oder laufen, wie unten gezeigt:
Hinweis: Obwohl Profile verwendet werden, um System- und Netzwerkerweiterungen zu aktivieren, öffnet das System weiterhin ein Dialogfeld, in dem das Admin-Kennwort zum Entfernen von Systemerweiterungen während der Deinstallation gefragt GP wird.