jamf を使用してシステムおよびネットワーク拡張を有効にする PRO
Symptom
バック グラウンド
GlobalProtect 5.1.4 を起動するアプリは、macOS Catalina 10.15.4 以降のエンドポイントでシステム拡張機能を使用して、次のような機能を有効にします。
- 宛先ドメイン名とアプリケーション・プロセス名に基づくスプリット・トンネル
- GlobalProtectカーネル・エクステンションを必要とせずにネットワーク・アクセスの接続を強制する (「GlobalProtectアプリケーションのカスタマイズ」を参照)。
GlobalProtect 5.2 を起動するアプリは、macOS Catalina 10.15.4 以降のエンドポイントでシステム拡張機能を使用して、次のような機能を有効にします。
GlobalProtectmacOS Catalina 10.15.4 以降のデバイスに初めてアプリをインストールするか GlobalProtect 、アプリ 5.1.4 にアップグレードした場合、システム拡張を有効にする必要があります。 ゲートウェイでスプリット トンネルを構成した場合 GlobalProtect 、またはポータルでネットワーク アクセス用に強制的に接続した場合、インストール中に システム拡張ブロックされた 通知メッセージがアプリに表示され、これらの機能を使用するために、ブロックされている macOS のシステム拡張を有効にして許可するようユーザーに促します GlobalProtect 。
目的:
このドキュメントの目的は GlobalProtect 、5.1.6 署名済み構成プロファイルを利用し PRO 、macOS 10.15.4 以降のシステムおよびネットワーク拡張ポップアップを抑制するために、jamf を使用してそれらを展開することです。 ワークフローは、構成プロファイルの展開をサポートする他のモバイル デバイス マネージャー ( MDM ) プロバイダーで使用できます。
注: このドキュメントでは、macOS エンドポイントで手動でネットワーク拡張が有効になっていないことを前提としています。 GlobalProtect構成プロファイルを使用するよりも、構成プロファイルを使用してネットワーク拡張が手動で有効になっている場合、jamf PRO を介してネットワーク拡張を有効にすると、重複したネットワーク拡張エントリが作成されます。
Environment
- GlobalProtect 5.1.6 以降
- macOSカタリナ10.15.4以降 / macOS BigSur 11.
前提 条件:
- jamf PRO 構成プロファイルは GlobalProtect 5.1.6 以降でのみサポートされています。
- macOSカタリナ10.15.4以降 / macOS BigSur 11.
- 構成プロファイル ファイルを使用する前に、ダウンロードしたファイルのハッシュと、このドキュメントの各ファイルに対して提供されるハッシュを確認し、両方が一致していることを確認して、ファイルが破損していないことを確認してください。 それ以外の場合は、ファイルを再ダウンロードしてください。
Resolution
目次:
有効にする GlobalProtect
GlobalProtect macOS Catalina 10.15.4 以降のエンドポイントでのシステム拡張有効ネットワーク拡張
を有効にする GlobalProtect macOS BigSur 11 エンドポイントでのネットワーク拡張を有効
にするjamfPro v10.26.0 でエンフォーサーの設定プロファイルを追加する手順
- Client のインストールが成功すると GlobalProtect 、次のシステム拡張ポップアップが GlobalProtect アプリ ガイドで説明されているように表示されます。
- システム拡張機能を有効にするには、以下の手順に従ってください。
- jamf PRO で、[コンピューター] >構成プロファイル> New に移動します。
- ここでは、次の情報を使用して構成プロファイルを作成します。
- [システム拡張] を選択します。
- アプリで使用されるチーム識別子 GlobalProtect (PXPZ95SK77) を入力します。
- バンドル識別子 (com.paloaltonetworks. GlobalProtectクライアント拡張子)。
注:アプリのインストール後すぐにシステム拡張機能を有効にするには GlobalProtect 、次のコマンドを使用します。
スド インストーラー -pkg GlobalProtect .pkg -applyChoiceChangesXML install_system_extensions.xml -ターゲット /
install_system_extensions.xmlの内容は、
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC "-/Apple// DTD PLIST 1.0/" EN "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
属性設定 <plist version="1.0"></plist>
<array></array>
<dict></dict>
<key></key>
<integer>1</integer>
<key>選択肢1</key>
<string>選択属性選択属性3</string>
<key></key>
<string>番目</string>
<dict></dict>
<key>の属性設定</key>
<integer>1</integer>
<key>選択肢</key>
属性<string>選択</string>
<key>された選択肢識別子</key>
<string>com.paloaltonetworks. globalprotectシステムデキステク.pkg</string>
</array>
</plist>
GlobalProtectmacOS カタリナ 10.15.4 以降のエンドポイントでネットワーク拡張を有効にします。
- Client のインストールが成功すると GlobalProtect 、次のネットワーク拡張機能のポップアップが GlobalProtect アプリのユーザー ガイドで説明されているように表示されます。
b. GlobalProtect ポップアップの強制
- このドキュメントには、次に説明するように使用する 4 つの異なるネットワーク拡張構成プロファイル ファイルがあります。
- グローバルプロテクトスプリットアプリ.モバイル構成 (MD5 ハッシュ = d3d9940daadd91cb8b727db28026910c)
- GlobalProtectアプリケーションに基づくスプリット トンネルに固有の構成プロファイル ファイル
- 構成に関連するネットワーク拡張ポップアップ (a) を抑制 VPN します。
- モバイル構成 (MD5 ハッシュ = 235bda0a10eed7ca2b1efe7892439389)
- GlobalProtectドメインに基づくスプリット トンネルに固有の構成プロファイル ファイル
- 構成に関連するネットワーク拡張ポップアップ (a) を抑制 VPN します。
- モバイル構成 (MD5 ハッシュ = 020c721f6fed19cac436e0205eb0bedb)
- 分割 DNS 機能に固有の構成プロファイル ファイル GlobalProtect
- [構成の追加] に関連するネットワーク拡張機能ポップアップ (a) を抑制 VPN します。
- グローバルプロテクトエンフォーサー.モバイルコンフィグ (MD5 ハッシュ = f1e1a501fc70b3a69e29fb5e722983ff)
- 強制機能に固有の構成プロファイル ファイル GlobalProtect
- ネットワークコンテンツのフィルタに関連するネットワーク拡張ポップアップ(b)を抑制します
- 構成プロファイルをアップロードして jamf にデプロイし PRO 、macOS Catalina エンドポイントに展開する方法について、手順を追って説明します。
- JAMF にログインしたら PRO 、[コンピュータ] >構成プロファイルに移動します。 ここで[アップロード]を選択して、アップロードするモバイル設定ファイルを選択します。
- アップロードする構成プロファイル ファイルを選択します。
- 構成プロファイル ファイルがアップロードされたら 保存します 。
- 構成プロファイル ファイルが正常にアップロードされたことを確認して確認します。
- 手順 1 ~ 4 を繰り返して、必要な追加の構成プロファイルをアップロードします。
- 1 つ以上の設定プロファイルを macOS エンドポイントにデプロイする
GlobalProtectmacOS BigSur 11 エンドポイントでネットワーク拡張を有効にします。
- macOS Big Sur エンドポイントでは、クライアントのインストールが成功すると GlobalProtect 、次のネットワーク拡張ポップアップが GlobalProtect アプリのユーザーガイドで説明されているように表示されます。
- macOS BigSur エンドポイントでは、1 つの構成プロファイルで、macOS Catalina とは異なりネットワーク拡張ポップアップを抑制できます。 macOS Big Sur エンドポイントの設定プロファイルを追加する 手順は、jamfPro v10.26.0 でエンフォーサーの設定プロファイルを追加する手順と同じです。
jamfPro v10.26.0 でエンフォーサーの構成プロファイルを追加する手順
Jamf Pro v10.26.0 では、macOS デバイス用のコンテンツフィルタリングペイロードが導入されました。 この作業では、 JAMF PI-009162 このペイロードを含むプロファイル GlobalProtect (Enforcer mobileconfig など) を アップロードする機能を妨げる問題 GUI ( Bug# ) も導入されたようです API 。 現時点で利用可能な唯一の回避策は GUI 、Jamf Pro v10.26 以降で利用可能なを使用してプロファイルを構築することです。 以下に、 GlobalProtect を使用してエンフォーサー モバイル構成を構成する手順を示 GUI します。
1. JAMF にログインしたら PRO 、[コンピュータ] >構成プロファイルに移動します。 [新規] を選択して、エンフォーサの構成プロファイルを追加 GlobalProtect します。
- オプションから [コンテンツ フィルター] を選択し、次の値を構成し、構成プロファイルを保存します。
- フィルター名 = グローバルプロテクテン
- 識別子 = com.paloaltonetworks. GlobalProtectクライアント
- ソケットフィルターバンドル識別子 = com.paloaltonetworks. GlobalProtectクライアント.拡張
- ソケットフィルタ指定要件 = アンカーアップルジェネリックと識別子 "com.paloaltonetworks. GlobalProtectclient.extension"と(証明書リーフ[field.1.2.840.113635.100.6.1.9] /* が存在します */ または証明書 1[field.1.2.840.113635 .100.6.2.6] /* が存在する */ および証明書リーフ [field.1.2.840.113635.100.6.1.13] /* が存在します */ および証明書リーフ[件名] OU ] = PXPZ95SK77)
- ネットワーク フィルター バンドル識別子= com.paloaltonetworks. GlobalProtectクライアント.拡張
- ネットワークフィルタ指定要件 = アンカーアップルジェネリックと識別子 "com.paloaltonetworks. GlobalProtectclient.extension"と(証明書リーフ[field.1.2.840.113635.100.6.1.9] /* が存在します */ または証明書 1[field.1.2.840.113635 .100.6.2.6] /* が存在する */ および証明書リーフ [field.1.2.840.113635.100.6.1.13] /* が存在します */ および証明書リーフ[件名] OU ] = PXPZ95SK77)
- GlobalProtectmacOS に構成プロファイルを正常にデプロイすると、以下に示すように、システム環境設定>>ネットワークの下に次のネットワークインターフェイスが 1 つ以上作成されます。
- GloblaProtectDo: ドメインのネットワーク インターフェイス GlobalProtect
- GloblaProtectAp: アプリケーション用のネットワーク インターフェイス GlobalProtect
- グレブラプロテクター: GlobalProtect エンフォーサーのネットワーク インターフェイス
- ネットワーク インターフェイスの GlobalProtect DNS
- GlobalProtect VPN トンネルが確立されると、次のように、ネットワーク インターフェイスがアクティブ、接続、または実行になります。
注:プロファイルを使用してシステムおよびネットワーク拡張を有効にしても、アンインストール中にシステム拡張を削除するための管理者パスワードを求めるダイアログボックスがポップアップ GP 表示されます。