macOS Ventura アップグレード後、 Microsoft Defender for Endpoint で「確認が必要」となってしまう問題を解決する

はじめに

2022/10/25 に macOS のメジャーアップデートである Ventura がリリースされました。IT管理者にとっては新しい OS で MDM やAV/EDR といった管理ツール、セキュリティ製品が動作するのか、が関心事かと思います。

Microsoft Defender for Endpoint（以下、MDE）は、すでに macOS Ventura 上での動作をサポートしています。

Mac のMicrosoft Defender for Endpointの新機能

一方で、macOS Ventura にアップグレード後、MDE のアイコンの表示に ⚠️ がついてしまい、「Microsoft Defender の確認が必要です。」という警告が出てしまうことがあります。

通常、システム設定 > プライバシーとセキュリティ  > フルディスクアクセスで、アクセス許可がされていないとこの状態になりますが、macOS Monterey の頃から許可している状態でも、この警告が表示されます。

原因

macOS Ventura において、フルディスクアクセスのアクセス許可が正しく許可されない、という不具合が発生しているようです。これは Objective-See などでもすでに指摘されており、Apple は問題を認識しているようです。

Ventura may break Endpoint Security clients (e.g BlockBlock) 😭

As @0xmachos notes (see thread)
0️⃣ Issue related to TCC changes
1️⃣ Issue affects (any?) ES clients
2️⃣ Apple is aware of the issue
...and likely working on fix? 🤞🏼

Temp "fix": remove then re-add app & reboot https://t.co/2F3Gi0yALL

— Objective-See Foundation (@objective_see) October 25, 2022

MDE に限らず、一般的にフルディスクアクセスを要求するエンドポイントセキュリティでも同様の問題は発生するため、 Norton、ESET など各社でも報告されています。

暫定対応

この問題はフルディスクアクセスの許可をやり直すことで解決します。システム設定 > プライバシーとセキュリティ > フルディスクアクセスより、Microsoft Defender Endpoint Security Extension を選択し、左下の - （マイナス）ボタンから削除してください。

自動的に再度、Microsoft Defender Endpoint Security Extension が追加されるので、オンにします。

時間を置いても追加されない場合は macOS を再起動します。（削除せずにオフ / オンを行うだけでは解消しないのでご注意ください）

MDE のアイコン表示が ⚠️ から ✅ に変化し、「アクションは不要です」という状態になります。

根本対応

この問題は Jamf Pro などの Apple 認定の MDM 経由でフルディスクアクセスの許可を行なっている場合には発生しません。

Jamf Pro から MDE に対してフルディスクアクセス許可を与える設定は、lern.microsoft.com にてスクリーンショット付きで手順が載っていますので、こちらをご参照ください。

Jamf Pro で macOS ポリシーでMicrosoft Defender for Endpointを設定する

おわりに

この問題はすでに Apple が認識しているため、近いうちにセキュリティアップデートで修正されるものと思われます。

とはいえ、アップグレード済みのデバイスでセキュリティ製品が動いていない状況が続くのは好ましくないため、すでにアップグレード済みのユーザーには手順を案内し、これからアップグレードするユーザーに対しては MDM 側の設定を見直し、問題が発生しないように備えましょう。

検証しながら走り書きした備忘録なので、内容に不備や過不足があれば @rotomx までご連絡ください 🙏