Aller au contenu

Autorisations de sécurité sur macOS

Vous devez accorder des autorisations de sécurité pour permettre l’exécution de Sophos Endpoint sur vos Mac. Il vous sera peut-être nécessaire de répéter cette opération plusieurs fois car Apple met fréquemment à jour ses exigences de sécurité.

Si vous utilisez le déploiement à distance, vous accorderez les autorisations de sécurité en configurant le déploiement. Voir Installation d’Endpoint avec Jamf Pro.

Nous nous assurons d’avoir les autorisations requises toutes les 30 minutes. Pour ce faire, nous utilisons Sophos Service Manager.

Vous pouvez vérifier manuellement que vous disposez des autorisations nécessaires en fermant Sophos Service Manager. Ceci se fait dans Moniteur d’activité. Sophos Service Manager redémarre automatiquement et vérifie les autorisations après 30 secondes. Il vérifie ensuite toutes les 30 minutes.

Sophos Endpoint affiche une notification lorsqu’il a besoin d’autorisations. Vous pouvez accorder des autorisations à partir de cette notification.

Vous devez accorder des autorisations pour permettre le fonctionnement du contrôle et de la protection Web. Vous devez également accorder un accès complet au disque.

Accorder des autorisations pour le contrôle et la protection Web

Vous devez accorder des autorisations d’accès au disque pour le contrôle et la protection Web. Vous devez également accorder des autorisations de proxy pour la protection Web. Sans ces autorisations, le contrôle et la protection Web ne fonctionnent pas correctement.

Pour accorder des autorisations, procédez comme suit :

  1. Cliquez sur Ouvrir les paramètres système pour chaque notification de programme Sophos nécessitant des autorisations.

    Notifications indiquant que des autorisations sont nécessaires pour le contrôle et la protection Web.

  2. Dans Confidentialité et sécurité, cliquez sur Détails pour afficher plus de détails sur la notification.

    Le logiciel système nécessite une attention particulière.

  3. Cliquez sur Autoriser pour les deux extensions système.

  4. Activez Extension réseau Sophos et SophosScanD.
  5. Cliquez sur OK pour redémarrer les deux services.

    Redémarrez le contrôle et la protection Web.

  6. Fermez Confidentialité et sécurité.

  7. Cliquez sur Autoriser pour autoriser Sophos Network Extension à agir en tant que proxy.

    Autoriser Sophos Network Extension en tant que proxy.

  1. Cliquez sur Ouvrir les paramètres système pour chaque notification de programme Sophos nécessitant des autorisations.
  2. Cliquez sur Général.

    • Pour SophosScanD, procédez comme suit :

      1. Dans Éléments de connexion et extensions, cliquez sur Extensions de sécurité des terminaux.

        Extensions de sécurité des terminaux.

      2. Activez SophosScanD.

      3. Cliquez sur Terminé.

        Activez SophosScanD.

    • Pour Sophos Network Extension, procédez comme suit :

      1. Dans Éléments de connexion et extensions, cliquez sur Extensions réseau.

        Extensions réseau.

      2. Activez Sophos Network Extension.

      3. Cliquez sur Terminé.

        Activez Sophos Network Extension.

      4. Cliquez sur Autoriser.

        Autoriser Sophos Network Extension en tant que proxy.

Vous devez ensuite accorder un accès complet au disque. Retrouvez plus de renseignements à la section suivante.

Accorder l’accès intégral au disque

Connectez-vous en tant qu’administrateur.

Pour accorder l’accès intégral au disque, procédez comme suit :

  1. Cliquez sur l’icône Sophos dans votre barre de menus, puis cliquez sur Ouvrir Sophos Endpoint.
  2. Cliquez sur À propos.
  3. Cliquez sur Ouvrir l’outil d’auto-assistance Endpoint.
  4. Cliquez sur Conditions préalables, puis sur Autoriser l’accès complet au disque.
  5. Dans la fenêtre Sophos Endpoint, procédez comme suit :

    1. Cliquez sur Ouvrir les préférences de « Confidentialité et de sécurité ».
    2. Cliquez sur Accès complet au disque.
    3. Faites glisser l’icône Sophos de Sophos Endpoint vers la liste des applications dans Accès complet au disque.

      Image animée montrant comment ajouter des autorisations d’accès intégral à Sophos Endpoint.

    4. Vous devez accorder l’accès complet au disque à Sophos User Agent. Choisissez parmi les options suivantes :

      • Cliquez sur Quitter et rouvrir pour procéder immédiatement.
      • Cliquez sur Ultérieurement pour accorder des autorisations et continuer à travailler. Vous devrez redémarrer votre Mac pour accorder l’accès complet au disque. Vous restez protégé tout au long de ce processus.
    5. Fermez Confidentialité et sécurité.

Échecs de mise à jour Sophos

Sur macOS 14 Sonoma et macOS 15 Sequoia, Apple est susceptible d’exiger l’Accès intégral au disque pour permettre à SophosUpdater de mettre à jour les fichiers Sophos sur le système. Cette exigence survient occasionnellement sur les appareils exécutant macOS 15, mais devient de plus en plus fréquente sur les appareils exécutant macOS 14.

Remarque

Sophos Endpoint prend en charge les appareils fonctionnant sous macOS 15 Sequoia à partir de la version 2024.3 (10.9.1).

Si vous utilisez les derniers profils MDM de macOS 14 Sonoma ou macOS 15 Sequoia, vous ne devriez pas rencontrer ce problème. Les profils MDM se trouvent dans le fichier SophosMacDeploymentTools.zip. Retrouvez plus de renseignements sur Installation d’Endpoint avec Jamf Pro.

Pour savoir si vous êtes concerné par ces problèmes d’échec de mise à jour de Sophos, lisez les informations suivantes.

Vérifier dans Rapports

Une recherche sur la page Rapports de Sophos Central vous permettra de voir si vous êtes concerné par les échecs de mise à jour de Sophos. Procédez comme suit :

  1. Dans Sophos Central, allez dans Rapports.
  2. Sous Journaux généraux, cliquez sur Évènements.
  3. Dans Choisir la période, sélectionnez 7 derniers jours.
  4. Dans Type, désélectionnez tous les événements sauf les Mises à jour produit.
  5. Cliquez sur Exporter, puis sur Ficher CSV de la vue en cours.
  6. Ouvrez le fichier CSV.
  7. Recherchez « Impossible de déplacer « Sophos Installer » car vous n'êtes pas autorisé à accéder à l’annuaire CID ».

    Si votre recherche renvoie un résultat, vous avez le problème d'autorisation.

Vérifier dans Ordinateurs

Une recherche sur la page Ordinateurs de Sophos Central vous permettra de voir si vous êtes concerné par le problème d’échecs de mise à jour de Sophos. Procédez comme suit :

  1. Dans Sophos Central, allez dans Appareils > Ordinateurs et serveurs.
  2. Cliquez sur l'icône Filtres Icône Filtres., puis procédez comme suit :

    1. Dans Type d'appareil, sélectionnez Ordinateur.
    2. Dans Système d'exploitation, sélectionnez macOS.
  3. Cliquez sur n'importe quel ordinateur macOS 15 Sequoia.

  4. Vérifiez la « Version de l'agent ».

    Si la version de l'agent est antérieure à la version 2024.3.x et que la « Dernière mise à jour de l'agent » affiche un échec, il est possible que ce problème soit affecté par le problème d'échec de la mise à jour en question.

  5. Répétez les étapes 3 et 4 pour vérifier les autres ordinateurs.

  6. Allez dans Rapports, puis cliquez sur Évènements.

    Si vous voyez un évènement indiquant « Impossible de déplacer le Programme d'installation Sophos car vous n'êtes pas autorisé à accéder à l’annuaire CID », vous êtes concerné par le problème d'échec de la mise à jour.

Vérifier à l'aide d'un terminal

Pour savoir si vous êtes concerné par le problème d’échec de mise à jour de Sophos, exécutez la commande suivante à partir d’un terminal :

sudo log show --predicate "subsystem == 'com.sophos.macendpoint'" --last 1d | grep -i 'Error renaming Installer directory'

Si votre recherche renvoie un résultat, vous êtes concerné par le problème.

Résolution des échecs de mise à jour de Sophos

Il faudra tout d’abord vous connecter en tant qu'administrateur pour obtenir l'accès intégral au disque et résoudre le problème d'échec de mise à jour.

Pour résoudre le problème de mise à jour, procédez de la manière suivante :

  1. Allez dans Paramètres système.
  2. Sélectionnez Confidentialité et sécurité, puis cliquez sur Accès intégral au disque.
  3. Activez SophosUpdater.

    Si vous ne voyez pas SophosUpdater dans la liste des applications, procédez comme suit :

    1. Allez dans Paramètres système.
    2. Sélectionnez Confidentialité et sécurité, puis cliquez sur Accès intégral au disque.
    3. Cliquez sur l'icône « Plus » au bas de la page pour ajouter une application.

      Ajouter une application.

      Remarque

      Vous serez invité à saisir votre mot de passe.

    4. Dans la barre de recherche, recherchez /Library/Sophos Anti-Virus/SophosUpdater.app.

    5. Cliquez sur SophosUpdater.app.
    6. Cliquez sur Ouvrir.

      Ouvrez SophosUpdater.

      SophosUpdater est ajouté à la liste des applications.

    7. Activez SophosUpdater.

État d’intégrité du service SophosUpdater

À partir de la version 2024.4 (10.9.5), l’état d’intégrité du service SophosUpdater sera marqué comme faible si ses droits d’accès intégral au disque ne sont pas accessibles via MDM ou manuellement. Ceci déclenchera un état d’intégrité rouge même s’il n'y a pas de problème de mise à jour à ce moment-là.

SophosUpdater ne déclenchera pas d’alerte d’état d'intégrité faible si vous utilisez déjà le profil Sophos MDM version 3 ou ultérieure ou si vous avez ajouté manuellement les droits d'accès intégral au disque de SophosUpdater.

Résolution des problèmes d'état d'intégrité

Si vous utilisez un profil MDM tel que JAMF, Intune, etc., vous devrez vous mettre à jour vers la dernière version du profil. Retrouvez plus de renseignements sur Installation d’Endpoint avec Jamf Pro.

Si vous n'utilisez pas de profil MDM, procédez comme suit :

  1. Ouvrez Sophos Endpoint Agent.
  2. Cliquez sur À propos.

    Bouton à propos de Sophos Endpoint Agent.

  3. Cliquez sur Ouvrir l’outil d’auto-assistance Endpoint.

    Bouton Ouvrir l’outil d’auto-assistance Endpoint.

  4. Cliquez sur Conditions préalables.

  5. Cliquez sur Autoriser l’accès intégral au disque.

    Bouton Autoriser l’accès intégral au disque.

  6. Suivez les instructions pour glisser-déposer les autorisations.

    Glissez-déposez les autorisations.