MacOS-sikkerhet med Intune er ikke noe bedrifter hvor Windows preger den digitale flaten nødvendigvis tenker så mye på. I denne «for dummies» artikkelen skal jeg vise deg hvordan du kan heve sikkerheten på macOS med Intune.
Flere bedrifter lar brukerne selv velge hva slags enhet de vil bruke på jobben. Brukerne velger enten en Windows-maskin eller en macOS-maskin. MacBook Air, MacBook Pro eller en stasjonær variant som Mac Mini er et eksempel på det.
Friheten til å velge enhet selv har nesten blitt standard. BYOD, eller Bring Your Own Device, har blitt et velkjent begrep.
Microsoft 365 med alle tilhørende tjenester har nesten blitt standard. Mange har tatt i bruk Microsoft Intune for å kontrollere enheter, gjøre apper tilgjengelig og konfigurere sikkerhetsinnstillinger.
Som IT-administrator er man ofte mest kjent i Microsoft sin verden. Hva skjer da når Anders vil ha en MacBook i stedet for en Dell eller Lenovo maskin?
Jeg er en av de jeg skriver om over. Jeg har blitt flasket opp med Windows. Nylig har jeg skaffet meg en Mac Mini for å undersøke hvordan jeg kan forstå macOS-sikkerhet med Intune og CIS Benchmarks.
macOS-sikkerhet med Intune 101
Brukere har som oftest allerede en iCloud-konto. Når en bruker logger inn på en macOS-enhet, logger de inn med en lokal bruker som er knyttet sammen med deres iCloud-konto. De har SSO (Single Sign On) i alle appene og brukervennligheten er god.
For å få tilgang til bedriftens apper og data utenfor nettleseren, rulles enhetene inn i bedriftens Entra/Microsoft 365-tenant.
Dette kan nå gjøres på 2 måter. Enten som en Entra ID registrert enhet, uten SSO, eller som Entra ID joined med full SSO. Akkurat som en Windows-enhet.
Alternativ 1
Personlig iCloud-konto + Firmaportal-app = Entra ID registered + ikke SSO (hvis ikke egen konfig, men da kun for browser)
Alternativ 2
Personlig iCloud-konto + Firmaportal-app + Intune configuration profile for Platform SSO = Entra ID joined inkludert SSO ❤️
Jeg anbefaler alternativ 2 – innrullering med Platform SSO. Det lages da en sikker knytning mellom den lokale brukeren i macOS og brukerens Entra ID-konto. Akkurat som med lokal bruker og iCloud-kontoen. Det er også flere muligheter med Platform SSO.
Hvis du har flere spørsmål om mulighetene med Platform SSO ta gjerne kontakt.
I begge tilfellene bruker man Firmaportal-appen fra Microsoft. Brukeren laster den ned, installerer, logger på og innrulleringen starter.
Platform SSO kan også brukes sammen med Apple Business Manager (ABM) for en helt sømløs brukeropplevelse.
SSO er bra. Jeg håper at dersom brukere er vant med å ikke bruke passord at de blir mer mistenksomme dersom en app eller tjeneste plutselig spør etter passord.
Gjør man i tillegg litt arbeid i Intune og gjør apper tilgjengelig via Firmaportal-appen blir den totale brukeropplevelsen veldig god.
Compliance policy
Compliance policyer i Intune bidrar i kombinasjon med Conditional Access policies for at kun enheter som oppfyller alle reglene du har bestemt for din organisasjon får tilgang til bedriftens data.
Dette er en viktig forsvarsmetode. Ikke bare for å hindre tilgang til data fra ukjente enheter, men også for å hindre at angripere får fotfeste dersom de allerede har kommet seg inn.
Noe av det en angriper gjør for å beholde et fotfeste er å joine en enhet til din Microsoft 365-tenant, og får den til å se ut som en legitim enhet. Deretter vil de forsøke å registrere en ny MFA-metode for å kunne logge inn på nytt dersom de vil eller må det.
Med gode compliance- og conditional access policies på plass, vil denne oppgaven bli svært mye vanskeligere.
Bildene under viser hvordan du konfigurerer en compliance policy for macOS med våre anbefalte innstillinger.
NB: Samtidig at compliance policyer er null verdt dersom du ikke håndhever den med en tilhørende Conditional Access policy.
Basis
Legg inn en passende beskrivelse som gir mening for deg. Navnet på policyen som vises på bildet er et forslag fra min side.
Compliance settings
System Integrity Protection (SIP) må være aktivert.
SIP er avgjørende for å beskytte integriteten til systemet. Det forhindrer ondsinnede brukere og programvare fra å gjøre uautoriserte og/eller utilsiktede endringer i beskyttede filer og mapper. Les mer om SIP her.
Device Properties
Sørg for at kun enheter som er oppdaterte får tilgang til bedriftens data. Denne informasjonen er ikke «set and forget». Sørg for å oppdatere denne når nye versjoner blir tilgjengelige, og du vil at brukerne skal oppdatere.
Dersom en enhet faller utenfor vil bruker få beskjed og kan oppdatere når de vil. Etter oppdateringen vil de får tilgang til bedriftens data igjen.
System security
Under vises vårt minimum anbefalte passord policyer. Din bedrift har kanskje andre krav og regler.
FileVault er macOSs svar på BitLocker og sørger for at lokal lagring krypteres.
Den har en tilhørende innstilling som settes i en configuration profile som gjør at bruker ikke kan skru av FileVault igjen. Opprett en ny profil og velg Settings catalog som type. FileVault Options – Prevent FileVault From Being Disabled. Sett denne til True.
Firewall
macOS har en innebygget brannmur. Sørg for at den er skrudd på. Skru også på Stealth Mode for å forhindre probing av enheten.
Gatekeeper
Denne innstillingen vil blokkere applikasjoner fra uidentifiserte utviklere. Operativsystemet vil kun kjøre apper som er lastet ned fra Mac App Store eller som er signerte med en gyldig Apple utvikler-ID.
Actions for noncompliance
Hva skjer dersom en enhet ikke er i samsvar med reglene? Det bestemmer du. I bildet under sier vi følgende:
Enheten merkes som noncompliant øyeblikkelig og det sendes en epost til brukeren om hva som har skjedd. Velger du å sende en epost til brukeren, må du velge en Message template som må opprettes på forhånd, les her om hvordan det gjøres.
Microsoft Defender for Endpoint
Bruker du Microsoft Defender for Endpoint på dine Windows-enheter? Det kan du også gjøre på macOS.
Metoden for å rulle macOS-enheter inn i Defender for Enpoint er litt annerledes enn for Windows. Du må minst utføre følgende 3 steg:
- Laste ned onboarding pakken fra Microsoft 365 Defender portalen.
- Lage en custom configuration profile og lime inn innholdet fra pakken du lastet ned i forrige steg.
- Publisere Microsoft Defender for Endpoint appen for macOS via Intune.
Det er kun det du MÅ. Brukerne vil da få en del popups hvor Defender ber om den del tillatelser på maskinen.
For at brukeropplevelsen skal bli bedre for sluttbrukere må det opprettes configuration profiles for oppsettet av Defender for Endpoint. Les mer her eller ta kontakt. Vi hjelper deg.
Quick wins for forbedret sikkerhet
Jeg har tidligere skrevet artikler om CIS Benchmarks og hvorfor de er et godt verktøy for sikkerhetsarbeid.
CIS har utarbeidet CIS Benchmarks for Apple macOS og iOS/iPadOS. Det er konkrete forbedringer du kan utføre for å sikre dine Apple-enheter.
I tillegg til listen med anbefalinger, finnes det ferdig konfigurasjonsfiler som kan importeres i Intune direkte i form av Build Kits.
Noen av høydepunktene fra disse anbefalingene er:
- Sørg for at Firewall er på og i Stealth Mode.
- Sørg for at macOS og app-oppdateringer lastes ned og installeres
- Sørg for at Gjeste-brukeren i macOS er disablet.
- Gå gjennom behovet for å bruke AirDrop og AirPlay.
- Sørg for at enheten låses ved inaktivitet og passord kreves for å låse den opp igjen.
Det er selvfølgelig mange flere ting du kan gjøre for sikre macOS-enhetene. Det kommer dog til å gå utover brukervennligheten og sømløsheten med å ha et økosystem med Apple-enheter som brukerne er glade i.
Sørg bare for å gjøre noe. Ikke slipp inn hvem som helst fra hvilken som helst enhet inn i din bedrifts data og apper.
Trenger du hjelp med macOS-sikkerhet med Intune, Platform SSO, Microsoft Defender for Endpoints? Ta kontakt med oss.