使用 Jamf Pro 安裝端點保護
限制
您只能在安裝了 macOS 11 Big Sur 或更新版本的 Mac 上使用這些說明。您無法將其用於安裝了 macOS 10.15 或更舊版本的 Mac。這是由於 KEXT 授權要求發生了變更。請參閱macOS 上的安全權限。
您可以使用 Jamf Pro 在 Mac 上安裝 Endpoint Protection。這表示您可以遠端安裝我們的保護軟體。
我們提供組態設定檔。設定檔會為設定設定適當的授權。其中包括以下內容:
- 完整磁碟存取
- 系統延伸
- 通知
端點保護必須使用這些設定才能正常運作。
最新的 macOS 端點保護安裝程式包括更新後的組態設定檔。此設定檔包含防止使用者在執行 macOS 13 Ventura 的 Mac 上關閉 Sophos Endpoint 所需的設定。
這些指示適用於 JAMF Pro,但 MDM 設定檔和指令碼應適用於其他 MDM 解決方案。
此資訊依原樣提供,並使用 Jamf Pro 10.40 建立。如果您需要針對特定環境的協助,請與 Sophos Professional Services 聯絡。
若要使用 Jamf Pro 在 Mac 上安裝 Endpoint Protection,請執行下列步驟:
- 下載macOS配置文件。
- 從 Sophos Central 中下載安裝程式。您還需要複製 SophosInstall 下載 URL。
- 如有必要,在 Jamf Pro 中設定電腦群組。
- 在 Jamf Pro 中新增並指派組態設定檔。
- 在 Jamf Pro 中建立並設定指令碼原則。
- 檢查是否已安裝 Endpoint Protection。
下載macOS配置文件
下載安裝程序之前,必須先下載macOS配置配置文件。
若要執行此操作,請依照以下步驟操作。
- 登入至 Sophos Central。
- 移至裝置 > 安裝程式。
- 在 端點保護中的 部署工具下,單擊 下載macOS部署工具(包括MDM配置文件) 下載鍊接。
-
解壓縮
SophosMacDeploymentTools.zip
文件的內容。提取的
Deployment Tools
文件夾包含Sophos Endpoint
和Sophos Endpoint and ZTNA
文件夾。每個文件夾包含每個macOS版本的配置文件。
如欲下載安裝程式:請參閱下一節。
下載安裝程式
您需要 Sophos Central 的 macOS Endpoint Protection 安裝程式。您還需要 SophosInstall URL。您需要將其與安裝指令碼一起使用。
若要執行此操作,請依照以下步驟操作。
- 登入至 Sophos Central。
- 移至裝置 > 安裝程式。
-
在 Endpoint Protection 中,選擇您的安裝程式。
- 按一下下載完整的 macOS 安裝程式,下載包含您的授權涵蓋的所有端點產品的安裝程式。
-
要選擇在安裝程式中包括哪些產品,請按一下選擇元件…。
有關下載安裝程式的更多說明,請參見 端點保護。
-
儲存下載 URL。若要執行此操作,請依照以下步驟操作。
設定電腦群組
您可以使用 Jamf Pro 建立群組來組織 Mac。您可以使用這些群組遠端安裝 Endpoint Protection。您可以將組態設定檔和安裝指令碼指派給群組以執行此操作。
這些說明提供了建立群組的簡單範例,以便您開始使用。
如果您已經設定了群組,可以跳過此部分內容。
- 登入 Jamf Pro。
- 按一下電腦。
-
按一下靜態電腦群組。
-
按一下右側的 + 新增。
此動作將建立一個新的靜態電腦群組。
-
輸入群組的顯示名稱。按一下指派。
-
選取要安裝 Endpoint Protection 的所有 Mac,然後按一下儲存。
此動作將建立一個新的靜態群組。
-
檢查您能否在靜態電腦群組中看到您的新群組。
新增並指派組態設定檔
限制
您必須先有一個群組才能執行此動作。
現在,您需要新增並指派組態設定檔。這是您從安裝程式 zip 檔案 SophosInstall.zip
中儲存的 Sophos Endpoint.mobileconfig
檔案。
新增設定檔
若要新增設定檔,請依照以下步驟操作:
- 在 Jamf Pro 中,按一下組態設定檔。
- 按一下上傳。
-
按一下選擇檔案,然後選取
Sophos Endpoint.mobileconfig
。這是 Sophos 簽名的組態設定檔。
-
按一下上傳。
- 上傳完成後,按一下範圍。
指派設定檔
現在,您可以將設定檔指派給 Mac。
若要執行此操作,請依照以下步驟操作。
- 按一下右側的 + 新增。
- 按一下電腦群組。
-
查找您的群組。對於要指派設定檔的每個群組,按一下群組右側的新增。
此螢幕擷取畫面顯示目標群組的範例。
-
新增群組之後,這些群組就會從清單中消失。按一下頁面底部的儲存。
-
按一下左側選單上的組態設定檔。
您應該會看到指派給所選群組的 Sophos Endpoint 組態設定檔。
建立並設定指令碼原則
限制
您必須先有一個群組才能執行此動作。
接下來,您需要建立 Sophos 安裝指令碼,並將其指派給目標群組。您將使用先前下載的 Install Sophos Script.txt
檔案。您還需要先前複製的安裝程式下載 URL。
建立 Sophos 安裝指令碼
要建立指令碼,請依照以下步驟操作:
-
在 Jamf Pro 中,按一下「設定」圖示(右上角)。
-
按一下電腦管理。
- 按一下指令碼。
- 按一下新建以新增新的指令碼。
-
輸入顯示名稱。
-
按一下指令碼。
- 將模式設定為 Shell/Bash。
- 將 主題設定為預設。
- 將
Install Sophos Script.txt
的內容複製到指令碼欄位。 -
使用先前複製的安裝程式下載 URL 替換
"put installer URL in these quotes"
。 -
按一下儲存。
有關命令行選項的更多資訊,請參見 Mac 的安裝程式命令列選項。
建立政策
接下來,您需要為指令碼建立原則,並將指令碼指派給該原則。
若要執行此操作,請依照以下步驟操作。
- 按一下電腦。
-
按一下原則。
-
按一下新建。
- 輸入顯示名稱。
-
選取週期性檢查作為啟用原則的事件。
-
按一下指令碼。
- 點選配置。
- 按一下新增,選擇先前新增的指令碼。
- 按一下範圍以新增部署目標。
- 依序按一下新增、電腦群組。
-
找到您先前建立的群組,然後按一下新增(位於右側)。
-
按一下儲存。
您的原則會在下次 Jamf Pro 偵測到您的 Mac 時啟用。然後在您的 Mac 上執行 Endpoint Protection 安裝。
檢查 Endpoint Protection 是否已安裝
您可以檢查 Jamf Pro 記錄檔以查看原則是否已啟用。您也可以透過檢查 Mac,確認安裝是否正常運作。
若要執行此操作,請依照以下步驟操作。
- 在 Jamf Pro 中,按一下電腦。
- 按一下原則。
- 按一下您先前建立的原則。
-
檢查原則的記錄。您會看到群組具有下列狀態之一:
- 待處理:指令碼尚未執行,並且安裝尚未進行。
- 已完成:指令碼已執行,您的 Mac 現在應已安裝 Endpoint Protection。
-
檢查受管 Mac 上是否安裝了 Sophos Endpoint。在每部 Mac 上,檢查下列項目:
- 在系統喜好設定中,選中設定檔。您應該會看到在 Jamf Pro 中設定的組態設定檔的名稱。
- 在 Sophos Endpoint 中,檢查 Endpoint 自助工具。安裝或設定的任何問題都會於此處顯示。
如需修正權限問題的說明,請參閱 macOS 上的安全權限