Incorporar y desactivar dispositivos macOS en soluciones de Microsoft Purview mediante Intune

Puede usar Microsoft Intune para incorporar dispositivos macOS a soluciones de Microsoft Purview.

Importante

Use este procedimiento si no tiene Microsoft Defender para punto de conexión (MDE) implementados en los dispositivos macOS.

Se aplica a:

• Prevención de perdida de datos en el punto de conexión (DLP)
• Administración de riesgos internos

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Antes de empezar

• Asegúrese de que los dispositivos macOS están incorporados a Intune y están inscritos en la aplicación Portal de empresa.
• Asegúrese de que tiene acceso al centro de administración de Microsoft Intune.
• Cree los grupos de usuarios a los que va a asignar las actualizaciones de configuración.
• OPCIONAL: instale el explorador Microsoft Edge v95+ en los dispositivos macOS para tener compatibilidad nativa con DLP de punto de conexión en Microsoft Edge.

Nota:

Se admiten las tres versiones principales más recientes de macOS.

Incorporación de dispositivos macOS a soluciones de Microsoft Purview mediante Microsoft Intune

La incorporación de un dispositivo macOS a las soluciones de cumplimiento es un proceso de varias fases.

1. Obtención del paquete de incorporación de dispositivos
2. Implementación de mobileconfig y paquetes de incorporación
3. Publicación de la aplicación

Requisitos previos

Descargue los siguientes archivos:

Archivo	Descripción
mdatp-nokext.mobileconfig	Archivo de configuración móvil del sistema
com.microsoft.wdav.mobileconfig.	Preferencias de MDE

Sugerencia

Se recomienda descargar el archivo agrupado (mdatp-nokext.mobileconfig), en lugar de los archivos individual.mobileconfig. El archivo agrupado incluye los siguientes archivos necesarios:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Si alguno de estos archivos se actualiza, debe descargar la agrupación actualizada o descargar cada archivo actualizado individualmente.

Obtención del paquete de incorporación de dispositivos

1. En el Centro de cumplimiento de Microsoft Purview , abra Configuración>Incorporación de dispositivos y, a continuación, elija Incorporación.

2. Para la opción Seleccionar sistema operativo para iniciar el proceso de incorporación , elija macOS.

3. En Método de implementación, elija Mobile Administración de dispositivos/Microsoft Intune.

4. Elija Descargar paquete de incorporación.

5. Extraiga el archivo .ZIP y abra la carpeta Intune . Contiene el código de incorporación en el archivo DeviceComplianceOnboarding.xml .

Implementación de mobileconfig y paquetes de incorporación

1. Abra el centro de administración de Microsoft Intune y vaya aPerfiles de configuración de dispositivos>.

2. Elija: Crear perfil.

3. Seleccione los valores siguientes:

   1. Plataforma = macOS
   2. Tipo de perfil = Plantillas
   3. Nombre de plantilla = Personalizado

4. Elija Crear.

5. Escriba un nombre para el perfil, como Microsoft Purview System MobileConfig y, a continuación, elija Siguiente.

6. Elija el mdatp-nokext.mobileconfig archivo que descargó en el paso 1 como archivo de perfil de configuración.

7. Elija Siguiente.

8. En la pestaña Asignaciones , agregue el grupo en el que desea implementar estas configuraciones y, a continuación, elija Siguiente.

9. Revise la configuración y, a continuación, elija Crear para implementar la configuración.

10. Repita los pasos del 2 al 9 para crear perfiles para:

    1. DeviceComplianceOnboarding.xml archivo. Asígnele el nombre Microsoft Purview Device Onboarding Package
    2. archivo com.microsoft.wdav.mobileconfig . Asígnele el nombre Preferencias de dispositivo de punto de conexión de Microsoft

11. Abra Perfilesde configuración de dispositivos>. Los perfiles que ha creado ahora se muestran.

12. En la página Perfiles de configuración , elija el perfil que acaba de crear. A continuación, elija Estado del dispositivo para ver una lista de dispositivos y el estado de implementación del perfil de configuración.

Nota:

Para la actividad de carga en el servicio en la nube, si solo desea supervisar el explorador y la dirección URL en la barra de direcciones del explorador, puede habilitar DLP_browser_only_cloud_egress y DLP_ax_only_cloud_egress.

Este es un ejemplo com.microsoft.wdav.mobileconfig.

Publicación de la aplicación

La protección contra pérdida de datos de punto de conexión de Microsoft se instala como componente de Microsoft Defender para punto de conexión en macOS. Este procedimiento se aplica a la incorporación de dispositivos a soluciones de Microsoft Purview

1. En el centro de administración de Microsoft Intune, abra Aplicaciones.

2. Seleccione Por plataforma>macOS>Agregar.

3. Elija Tipo= de aplicaciónmacOS y, a continuación, seleccione Seleccionar. Elija Microsoft Defender para punto de conexión.

4. Mantenga los valores predeterminados y, a continuación, elija Siguiente.

5. Agregue asignaciones y, a continuación, elija Siguiente.

6. Revise la configuración elegida y, a continuación, elija Crear.

7. Puede visitar Aplicaciones>por plataforma>macOS para ver la nueva aplicación en la lista de todas las aplicaciones.

OPCIONAL: Permitir que los datos confidenciales pasen por dominios prohibidos

Dlp de Microsoft Purview comprueba si hay datos confidenciales en todas las fases de sus viajes. Por lo tanto, si los datos confidenciales se publican o envían a un dominio permitido, pero viajan a través de un dominio prohibido, se bloquean. Vamos a echar un vistazo.

Supongamos que el envío de datos confidenciales a través de Outlook Live (outlook.live.com) es permisible, pero que los datos confidenciales no deben exponerse a microsoft.com. Sin embargo, cuando un usuario accede a Outlook Live, los datos pasan a través de microsoft.com en segundo plano, como se muestra:

De forma predeterminada, dado que los datos confidenciales pasan a través de microsoft.com en su camino a outlook.live.com, DLP bloquea automáticamente el uso compartido de los datos.

En algunos casos, sin embargo, es posible que no le interesen los dominios que los datos pasan en el back-end. En su lugar, solo puede preocuparse por dónde terminan los datos en última instancia, como se indica en la dirección URL que aparece en la barra de direcciones. En este caso, outlook.live.com. Para evitar que se bloquee la información confidencial en nuestro caso de ejemplo, debe cambiar específicamente la configuración predeterminada.

Por lo tanto, si solo desea supervisar el explorador y el destino final de los datos (la dirección URL de la barra de direcciones del explorador), puede habilitar DLP_browser_only_cloud_egress y DLP_ax_only_cloud_egress. Aquí se muestra cómo hacerlo.

Para cambiar la configuración para permitir que los datos confidenciales pasen a través de dominios prohibidos en su camino a un dominio permitido:

1. Abra el archivo com.microsoft.wdav.mobileconfig .

2. En la dlp clave , establezca DLP_browser_only_cloud_egress en habilitado y establézcalo DLP_ax_only_cloud_egress en habilitado , como se muestra en el ejemplo siguiente.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Dispositivos macOS fuera del panel con Intune

Nota:

La retirada hace que el dispositivo deje de enviar datos del sensor al portal. Sin embargo, los datos del dispositivo, incluida la referencia a las alertas que haya tenido, se conservarán durante un máximo de seis meses.

1. En el centro de administración de Microsoft Intune, abraPerfiles de configuración de dispositivos>. Se muestran los perfiles que ha creado.

2. En la página Perfiles de configuración , elija el perfil wdav.pkg.intunemac .

3. Elija Estado del dispositivo para ver una lista de dispositivos y el estado de implementación del perfil de configuración.

4. Abra Propiedades y, a continuación , Asignaciones.

5. Quite el grupo de la asignación. De este modo, se desinstalará el paquete wdav.pkg.intunemac y se quitará el dispositivo macOS de las soluciones de cumplimiento.