Incorporación y eliminación de dispositivos macOS en soluciones de Microsoft Purview mediante JAMF Pro

  • Artículo

Puede usar JAMF Pro para incorporar dispositivos macOS a soluciones de Microsoft Purview, como la prevención de pérdida de datos de punto de conexión (DLP).

Importante

Use este procedimiento si no tiene Microsoft Defender para punto de conexión (MDE) implementado en los dispositivos macOS.

Se aplica a:

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Antes de empezar

Nota:

Se admiten las tres versiones principales más recientes de macOS.

Incorporación de dispositivos a soluciones de Microsoft Purview mediante JAMF Pro

La incorporación de un dispositivo macOS a las soluciones de Microsoft Purview es un proceso multifásico:

  1. Implementación de paquetes de incorporación
  2. Configuración de las preferencias de la aplicación
  3. Carga del paquete de instalación
  4. Implementar perfiles de configuración del sistema

Requisitos previos

Descargue los siguientes archivos.

Archivo Descripción
mdatp-nokext.mobileconfig Este es el archivo agrupado.
schema.json Este es el archivo de preferencias de MDE.

Sugerencia

Se recomienda descargar el archivo agrupado (mdatp-nokext.mobileconfig), en lugar de los archivos individual.mobileconfig. El archivo agrupado incluye los siguientes archivos necesarios:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Si alguno de estos archivos se actualiza, debe descargar la agrupación actualizada o descargar cada archivo actualizado individualmente.

Nota:

Para descargar los archivos:

  1. Haga clic con el botón derecho en el vínculo y seleccione Guardar vínculo como....
  2. Elija una carpeta y guarde el archivo.

Obtención de los paquetes de instalación e incorporación de dispositivos

Captura de pantalla de la pestaña Configuración de Microsoft Intune con todos los campos rellenados.

  1. En el portal de cumplimiento, abra Configuración>Incorporación de dispositivos y, a continuación, elija Incorporación.

  2. Para que el valor Seleccionar sistema operativo para iniciar el proceso de incorporación , elija macOS.

  3. En Método de implementación, elija Mobile Administración de dispositivos/Microsoft Intune.

  4. Elija Descargar paquete de incorporación y, a continuación, extraiga el contenido del paquete de incorporación de dispositivos. El archivo DeviceComplianceOnboarding.plist se descarga en la carpeta JAMF.

  5. Elija Descargar paquete de instalación.

Implementación de paquetes de incorporación

  1. Cree un nuevo perfil de configuración en JAMF Pro. Consulte la documentación de JAMF Pro. Use los valores siguientes:

    • Name:MDATP onboarding for macOS
    • Descripción: *Incorporación de MDATP EDR para macOS
    • Category:none
    • Método de distribución: *`instalar automáticamente
    • Nivel:nivel de equipo

  2. En el panel de navegación, seleccione Configuración personalizada y de aplicación y, a continuación, elija Cargar.

  3. Seleccione Agregar. En Dominio de preferencia, escriba com.microsoft.wdav.atp

  4. Elija Cargar y seleccione DeviceComplianceOnboarding.plist.

  5. Seleccione Guardar.

Configuración de las preferencias de la aplicación

Importante

Debe usar com.microsoft.wdav como valor de dominio de preferencia . Microsoft Defender para punto de conexión usa este nombre y com.microsoft.wdav.ext para cargar la configuración administrada.

  1. Inicie sesión en JAMF Pro para crear un nuevo perfil de configuración en JAMF Pro. Consulte la documentación de JAMF Pro para obtener más información. Use estos valores:

    • Name:MDATP MDAV configuration settings
    • Descripción:Deje esto en blanco.
    • Category:none
    • Método de distribución:instalar automáticamente
    • Nivel:nivel de equipo

  2. En el panel de navegación, seleccione Configuración personalizada y de aplicación y, a continuación, elija Aplicaciones externas.

  3. Elija Agregar y, a continuación, elija Esquema personalizado. En Dominio de preferencia, escriba com.microsoft.wdav.

    Captura de pantalla de la página Aplicaciones externas.

  4. Elija Agregar esquema y, a continuación, seleccione el schema.json archivo que descargó de GitHub.

  5. Seleccione Guardar.

  6. En Propiedades de dominio de preferencia , actualice manualmente la configuración de la siguiente manera:

    • Funciones

      • En Prevención de pérdida de datos, seleccione enabled y, a continuación, elija Guardar.

    • Prevención de pérdida de datos

      • Funciones
        • Establezca DLP_browser_only_cloud_egressenabled en si desea supervisar solo los exploradores admitidos para las operaciones de salida en la nube.
        • Establezca DLP_ax_only_cloud_egressenabled en si desea supervisar solo la dirección URL de la barra de direcciones del explorador (en lugar de las conexiones de red) para las operaciones de salida en la nube.

    • Motor antivirus
      Si solo va a implementar la prevención de pérdida de datos y no MDE, siga estos pasos:

      • Elija Protección en tiempo real.
      • Elija Modo pasivo.
      • Elija Aplicar.

  7. Escriba un nombre para el perfil de configuración y, a continuación, elija Guardar.

  8. En la página siguiente, elija la pestaña Ámbito , seleccione los destinos adecuados para este perfil de configuración y, a continuación, elija Guardar.

OPCIONAL: Permitir que los datos confidenciales pasen por dominios prohibidos

Dlp de Microsoft Purview comprueba si hay datos confidenciales en todas las fases de sus viajes. Por lo tanto, si los datos confidenciales se publican o envían a un dominio permitido, pero viajan a través de un dominio prohibido, se bloquean. Vamos a echar un vistazo.

Supongamos que el envío de datos confidenciales a través de Outlook Live (outlook.live.com) es permisible, pero que los datos confidenciales no deben exponerse a microsoft.com. Sin embargo, cuando un usuario accede a Outlook Live, los datos pasan a través de microsoft.com en segundo plano, como se muestra:

Captura de pantalla que muestra el flujo de datos de la dirección URL de origen a destino.

De forma predeterminada, dado que los datos confidenciales pasan a través de microsoft.com en su camino a outlook.live.com, DLP bloquea automáticamente el uso compartido de los datos.

En algunos casos, sin embargo, es posible que no le interesen los dominios que los datos pasan en el back-end. En su lugar, solo puede preocuparse por dónde terminan los datos en última instancia, como se indica en la dirección URL que aparece en la barra de direcciones. En este caso, outlook.live.com. Para evitar que se bloquee la información confidencial en nuestro caso de ejemplo, debe cambiar específicamente la configuración predeterminada.

Por lo tanto, si solo desea supervisar el explorador y el destino final de los datos (la dirección URL de la barra de direcciones del explorador), puede habilitar DLP_browser_only_cloud_egress y DLP_ax_only_cloud_egress. Aquí se muestra cómo hacerlo.

Para cambiar la configuración para permitir que los datos confidenciales pasen a través de dominios prohibidos en su camino a un dominio permitido:

  1. Abra el archivo com.microsoft.wdav.mobileconfig .

  2. En la dlp clave , establezca DLP_browser_only_cloud_egress en habilitado y establézcalo DLP_ax_only_cloud_egress en habilitado , como se muestra en el ejemplo siguiente.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Implementación de perfiles de configuración del sistema

  1. En la página Perfiles de configuración de la consola de JAMF Pro, seleccione Cargar y, a continuación, elija Archivo.

  2. Seleccione el mdatp-nokext.mobileconfig archivo, elija Abrir y, después, cargar.

Carga del paquete de instalación

  1. En la consola de JAMF Pro, vaya aPaquetesde configuración> de administración y, a continuación, elija Nuevo.

  2. Escriba un nombre para mostrar para el paquete y, opcionalmente, seleccione una categoría.

  3. En Nombre de archivo , seleccione Elegir archivo.

  4. Seleccione el archivo del wdav.pkg paquete de instalación y, a continuación, elija Guardar.

  5. Vaya aDirectivas deequipos> y elija Nuevo.

  6. En el panel de navegación izquierdo, elija Paquetes.

  7. En la lista Paquetes , seleccione el paquete de instalación en el paso 4.

  8. En Acción , elija Instalar.

  9. Elija la pestaña Ámbito y, a continuación, seleccione Equipos de destino antes de elegir Guardar.

  10. En la página General , escriba un nombre para la nueva directiva.

Dispositivos macOS fuera del panel con JAMF Pro

Importante

La retirada hace que el dispositivo deje de enviar datos del sensor al portal. Sin embargo, los datos del dispositivo, incluidas las referencias a las alertas que haya tenido, se conservarán durante un máximo de seis meses.

  1. Si no usa MDE, desinstale la aplicación. Consulte la sección Implementación de paquetes en la documentación de JAMF Pro.

  2. Reinicie el dispositivo macOS. (Algunas aplicaciones pueden perder la funcionalidad de impresión hasta que se reinician).