Felsöka problem med kernel-tillägg i Microsoft Defender för Slutpunkt i macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller information om hur du felsöker problem med kerneltillägget som installeras som en del av Microsoft Defender för slutpunkten i macOS.

Från och med macOS High Sierra (10.13) kräver macOS att alla kernel-tillägg uttryckligen godkänns innan de får köras på enheten.

Om du inte godkänna kernel-tillägget under distributionen/installationen av Microsoft Defender för Slutpunkt i macOS visas en banderoll i programmet där du uppmanas att aktivera det:

Skärmbild som är inaktiverad av RTP.

Du kan också köra mdatp health . Den rapporterar om realtidsskydd är aktiverat men inte tillgängligt. Det här indikerar att kernel-tillägget inte är godkänt att köras på enheten.

mdatp health
...
real_time_protection_enabled                : false
real_time_protection_available              : true
...

I följande avsnitt finns anvisningar om hur du kan åtgärda problemet, beroende på vilken metod du använde för att distribuera Microsoft Defender för slutpunkt i macOS.

Hanterad distribution

Se anvisningarna som motsvarar det hanteringsverktyg som du använde för att distribuera produkten:

Manuell distribution

Om mindre än 30 minuter har gått sedan produkten installerades går du till Säkerhet i systeminställningar & Sekretess, där du måste tillåta systemprogramvara från utvecklare > "Microsoft Corporation".

Om du inte ser det här kommandotolken har det gått 30 minuter eller mer och kerneltillägget fortfarande inte har godkänts för att köras på enheten:

Fönstret Säkerhet och sekretess efter skärmbilden som gått ut.

I det här fallet måste du utföra följande steg för att starta godkännandeflödet igen.

  1. Försök installera drivrutinen i terminalen. Följande åtgärd kommer att misslyckas, eftersom kernel-tillägget inte godkänts för att köras på enheten. Men den utlöser godkännandeflödet igen.

    sudo kextutil /Library/Extensions/wdavkext.kext
    
    Kext rejected due to system policy: <OSKext 0x7fc34d528390 [0x7fffa74aa8e0]> { URL = "file:///Library/StagedExtensions/Library/Extensions/wdavkext.kext/", ID = "com.microsoft.wdavkext" }
    Kext rejected due to system policy: <OSKext 0x7fc34d528390 [0x7fffa74aa8e0]> { URL = "file:///Library/StagedExtensions/Library/Extensions/wdavkext.kext/", ID = "com.microsoft.wdavkext" }
    Diagnostics for /Library/Extensions/wdavkext.kext:
    
  2. Öppna Systeminställningar > för & sekretess på menyn. (Stäng det först om det öppnas.)

  3. Tillåt systemprogramvara från utvecklare "Microsoft Corporation"

  4. Installera drivrutinen igen i terminalen. Nu lyckas åtgärden:

    sudo kextutil /Library/Extensions/wdavkext.kext
    

    Banderollen ska försvinna från Defender-programmet mdatp health och bör nu rapportera att realtidsskydd både är aktiverat och tillgängligt:

    mdatp health
    
    ...
    real_time_protection_enabled                : true
    real_time_protection_available              : true
    ...