macOS でのMicrosoft Defender for Endpointでのカーネル拡張機能の問題のトラブルシューティング

[アーティクル]
05/09/2022

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、macOS 上のMicrosoft Defender for Endpointの一部としてインストールされているカーネル拡張機能に関する問題をトラブルシューティングする方法について説明します。

macOS High Sierra (10.13) 以降では、macOS では、デバイスでの実行を許可する前にすべてのカーネル拡張機能を明示的に承認する必要があります。

macOS でのMicrosoft Defender for Endpointの展開/インストール中にカーネル拡張機能を承認しなかった場合は、アプリケーションにバナーが表示され、有効にするよう求められます。

を実行 mdatp healthすることもできます。リアルタイム保護が有効になっているが使用できない場合はレポートされます。これは、カーネル拡張機能がデバイスで実行することが承認されていないことを示します。

mdatp health

...
real_time_protection_enabled                : false
real_time_protection_available              : true
...

以降のセクションでは、macOS にMicrosoft Defender for Endpointを展開するために使用した方法に応じて、この問題に対処する方法に関するガイダンスを提供します。

管理された展開

製品のデプロイに使用した管理ツールに対応する手順を参照してください。

手動展開

製品のインストールから 30 分未満の場合は、 System Preferences > Security & Privacy に移動します。ここで、開発者 "Microsoft Corporation" のシステムソフトウェアを許可する必要があります。

このプロンプトが表示されない場合は、30 分以上経過し、カーネル拡張機能がデバイスで実行することが承認されていないことを意味します。

この場合、承認フローを再度トリガーするには、次の手順を実行する必要があります。

ターミナルで、ドライバーのインストールを試みます。カーネル拡張機能がデバイスで実行することが承認されていないため、次の操作は失敗します。ただし、承認フローが再度トリガーされます。

sudo kextutil /Library/Extensions/wdavkext.kext

Kext rejected due to system policy: <OSKext 0x7fc34d528390 [0x7fffa74aa8e0]> { URL = "file:///Library/StagedExtensions/Library/Extensions/wdavkext.kext/", ID = "com.microsoft.wdavkext" }
Kext rejected due to system policy: <OSKext 0x7fc34d528390 [0x7fffa74aa8e0]> { URL = "file:///Library/StagedExtensions/Library/Extensions/wdavkext.kext/", ID = "com.microsoft.wdavkext" }
Diagnostics for /Library/Extensions/wdavkext.kext:

メニューから システム環境設定の > セキュリティ&プライバシー を開きます。 (開いている場合は、最初に閉じます。
開発者 "Microsoft Corporation" からシステムソフトウェアを 許可する
ターミナルで、ドライバーをもう一度インストールします。この時点で、操作は成功します。
```
sudo kextutil /Library/Extensions/wdavkext.kext
```
バナーは Defender アプリケーションから消え、 mdatp health リアルタイム保護が有効で使用可能であることを報告する必要があります。
```
mdatp health
```
```
...
real_time_protection_enabled                : true
real_time_protection_available              : true
...
```