Defender for EndPoint on MacOS ”リアルタイム保護を有効にできませんでした”エラーの対応

こんにちは。

自宅のMacOSでDefender for EndPointを利用しているのですが、以下のようにDefender のアイコンでエラーが表示されていることに気が付きました。

きっかけは、MacOSのアップデート CatalinaからBigsurへアップデートを行った後、MacOSを起動するとこのエラー表示になっていました。

0 
⑧ リ ア ル タ イ ム 保 護 を 有 効 に で き ま せ ん で し た 。 管 理 者 に 問 い 合 わ せ て く だ さ い 。 詳 細 は こ ち ら

というところでこのエラーの対応を備忘録をかねて本記事に記載します。

リアルタイム保護が有効になっていない

エラーメッセージにもある通り、どうもリアルタイム保護が有効にできないようなエラーが出ています。
以下のコマンドでも確認すると確かにリアルタイム保護を有効にできないようなステータスになってました。

mdatp health

エラーメッセージの右に記載されている[詳細はこちら]をクリックすると、下記MS社の公開情報リンクに遷移しましたので、内容を確認すると、どうやらDefender for EndPointのカーネル拡張機能が有効になっていないために発生しているようです。

Troubleshoot kernel extension issues in Microsoft Defender for Endpoint on macOS

Starting with macOS High Sierra (10.13), macOS requires all kernel extensions to be explicitly approved before they’re allowed to run on the device.
If you didn’t approve the kernel extension during the deployment/installation of Microsoft Defender for Endpoint on macOS, the application displays a banner prompting you to enable it:

以前にインストールしたときに対応したはずなのですが、今回のBig surへのアップデートでまた変わってしまったのかもしれません。
なのでMS社が公開している手順を参考にしながら、独自で行い、解決した手順を以降に記載します。

カーネルのシステム拡張を行う

まずは、[セキュリティとプライバシー]から鍵マークをクリックして変更できるようにご自身のMacOSのパスワードを入力してください。
その後、[詳細]をクリックします。

く 
セ キ ュ リ テ ィ と プ ラ イ バ シ ー 
ー ニ 廏 Filevault フ ァ イ ア ウ ォ ー ル プ ラ イ バ シ ー 
Q 検 素 
こ の ユ ー ザ の ロ グ イ ン バ ス ワ ー ド が 設 定 さ れ て い ま す バ ス ワ ー ・ を 変 更 … 
・ ス リ - プ と ス ク リ - ン セ - バ の 解 除 に パ ス ワ - ド を 要 求 開 始 後 : ー 与 分 に ・ - す 一 
画 面 が ロ ッ ク さ れ て い る と き に メ ッ セ ー ジ を 表 示 
ロ ッ ク の メ ッ セ ー ジ を 設 定 … 
ダ ウ ン ロ ー ド し た ア プ リ ケ ー シ ョ ン の 実 行 許 可 : 
0 
App Store 
・ App Store と 確 認 済 み の 開 発 元 か ら の ア プ リ ケ ー シ ョ ン を 許 可 
一 部 の シ ス テ ム ソ フ ト ウ ェ ア で は 、 使 用 す る 前 に 確 認 が 求 め ら れ ま す 。 
変 更 で き な い よ う に す る に は カ ギ を ク リ ッ ク し ま す 。 
細 ..

旧名となってますが、Defender for EndPointのアプリにチェックをしてOKをクリックし、OS再起動を実行します。

以 下 の 開 発 元 の シ ス テ ム ソ フ ト ウ ェ ア が ア ッ プ デ ー ト さ れ ま し た 。 使 用 す る 前 に 
シ ス テ ム を 再 起 動 す る 必 要 が あ り ま す 。 
ノ Microsoft Defender ATP. app 
Microsoft Defender ATP.app 
キ ャ ン セ ル 
K

OS再起動後、ちょっくらステータスが変わりました。
“リアルタイム保護が有効にできませんでした”のメッセージがなくなり、確認が必要です。と表示されていることがわかります。

ウ イ ン ド ウ 
A 
0 
ヘ ル プ 
Microsoft Defender ATP の 確 認 が 必 要 で す 。 
ウ イ ル ス と 脅 威 の 防 止 
詳 細 は こ ち ら 
脅 威 履 歴 を 表 示 し 、 ウ イ ル ス や 他 の 脅 威 を ス キ ャ ン し て 、 保 護 の 設 定 を 指 定 し ま す 。 そ の 後 、 保 護 
の 更 新 プ ロ グ ラ ム を 取 得 し ま す 。 
① 現 在 の 載 
〇 現 在 の 脅 威 は あ り ま せ ん 。 
前 回 の ス キ ャ ン : 
見 つ か っ た 脅 威 の 数 : 
ス キ ャ ン さ れ た フ ァ イ ル : 
継 続 : 
ク イ ッ ク ス キ ャ ン 
2021 / 06 / 26 18 : 22 : 37 
0 
乙 070 
約 35 秒 
キ ャ ン の オ プ シ ョ ン ... 
00 ウ イ ル ス と 臧 の 防 止 の 設 定 
〇 ア ク シ ョ ン は 不 要 で す 。 
ウ イ ル ス と 響 載 の 防 止 の 更 新 
・ 保 護 の 定 義 は 最 新 で す 。 
前 回 の 更 新 : 2021 / 07 / 05 0 : 58 : 49 
修 正 
保 護 の 履 歴 
設 定 の 管 理 
更 新 プ ロ グ ラ ム の 確 認

上記の[修正]をクリックすると、セキュリティとプライバシーの設定画面が表示されるので、以下Defender for EndPointのカーネル拡張機能にチェックを入れ、画面を閉じます。

しばらくすると、先ほどまで表示されていたエラー画面は出力されないようになりました。

コマンドでも確認すると、先ほどまで”false”となっていたreal_time_protection_availableが”true”になっていることがわかります。

結果:MacOS 11(Big Sur)以降の場合には必ず対応が必要なものだった

結果としては、MacOSのBigSur以降の端末では、今回のカーネル拡張機能の承認対応が必要でした。
私のMacOSはJamfやIntune(MEM)を使わず、手動にて展開しているかつ、 Catalina (10.15以前)のバージョン時にインストール(オンボード)していたので今回の必要な対応事項についてはエラーを通して認識することができました。

Application installation (macOS 11 and newer versions)

 Security & Privacy and navigate to the Privacy tab. Grant Full Disk Access permission to Microsoft Defender ATP and Microsoft Defender ATP Endpoint Security Extension. (新しいタブで開く)”>Open System Preferences > Security & Privacy and navigate to the Privacy tab. Grant Full Disk Access permission to Microsoft Defender ATP and Microsoft Defender ATP Endpoint Security Extension.

今後、MacOSのOSアップデート後には拡張機能によるエラーは度々、発生しそうですので要チェックですね。

おまけ: Defender for EndPoint でOSアップデートやパッチの脆弱性の管理をする

時間がなくて全然MacOSの更新ができてませんでしたが、今回ようやくBig Surにアップデートができました。
しかし、Defender for EndPointの”Threat & Vulnerability Management(脅威と脆弱性の管理)”メニューでは、色々アップデートを促されていますね。。。

Defender for EndPointでは、脅威からの保護だけでなくこのように事前の対策を講じるために脆弱性を分析し、 最も高いリスクをもたらす弱点に対する必要なアップデートを優先順位をつけて推奨事項を提示してくれます。

昔はWindowsOSのみ対応してましたが、今ではMacOSやLinuxなども対応しているので便利ですね。重宝しております。
こちらが現在対応しているOSプラットフォーム情報です。ご参考まで。

Capabilities per supported operating systems (OS) and platforms

In the following table, “Yes” indicates that a threat and vulnerability management capability is supported for the OS or platform on that row.

皆さんもぜひ社内の端末をDefender for EndPointでセキュリティ管理をしてみてはいかがでしょうか。

それではまた。