Incorporación y eliminación de dispositivos macOS en soluciones de Microsoft Purview mediante JAMF Pro
Puede usar JAMF Pro para incorporar dispositivos macOS a soluciones de Microsoft Purview, como la prevención de pérdida de datos de punto de conexión (DLP).
Importante
Use este procedimiento si no tiene Microsoft Defender para punto de conexión (MDE) implementado en los dispositivos macOS.
Se aplica a:
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Antes de empezar
- Asegúrese de que los dispositivos macOS se administran a través de JAMF Pro y que están asociados a una identidad (Microsoft Entra UPN unido) a través de JAMF Connect o Microsoft Intune.
- OPCIONAL: instale el explorador Microsoft Edge v95+ en los dispositivos macOS para la compatibilidad nativa con DLP de punto de conexión en Microsoft Edge.
Nota:
Se admiten las tres versiones principales más recientes de macOS.
Incorporación de dispositivos a soluciones de Microsoft Purview mediante JAMF Pro
La incorporación de un dispositivo macOS a las soluciones de Microsoft Purview es un proceso multifásico:
- Implementación de paquetes de incorporación
- Configuración de las preferencias de la aplicación
- Carga del paquete de instalación
- Implementar perfiles de configuración del sistema
Requisitos previos
Descargue los siguientes archivos.
Archivo | Descripción |
---|---|
mdatp-nokext.mobileconfig | Este es el archivo agrupado. |
schema.json | Este es el archivo de preferencias de MDE. |
Sugerencia
Se recomienda descargar el archivo agrupado (mdatp-nokext.mobileconfig), en lugar de los archivos individual.mobileconfig. El archivo agrupado incluye los siguientes archivos necesarios:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Si alguno de estos archivos se actualiza, debe descargar la agrupación actualizada o descargar cada archivo actualizado individualmente.
Nota:
Para descargar los archivos:
- Haga clic con el botón derecho en el vínculo y seleccione Guardar vínculo como....
- Elija una carpeta y guarde el archivo.
Obtención de los paquetes de instalación e incorporación de dispositivos
En el portal de cumplimiento, abra Configuración>Incorporación de dispositivos y, a continuación, elija Incorporación.
Para que el valor Seleccionar sistema operativo para iniciar el proceso de incorporación , elija macOS.
En Método de implementación, elija Mobile Administración de dispositivos/Microsoft Intune.
Elija Descargar paquete de incorporación y, a continuación, extraiga el contenido del paquete de incorporación de dispositivos. El archivo DeviceComplianceOnboarding.plist se descarga en la carpeta JAMF.
Elija Descargar paquete de instalación.
Implementación de paquetes de incorporación
Cree un nuevo perfil de configuración en JAMF Pro. Consulte la documentación de JAMF Pro. Use los valores siguientes:
- Name:MDATP onboarding for macOS
- Descripción: *Incorporación de MDATP EDR para macOS
- Category:none
- Método de distribución: *`instalar automáticamente
- Nivel:nivel de equipo
En el panel de navegación, seleccione Configuración personalizada y de aplicación y, a continuación, elija Cargar.
Seleccione Agregar. En Dominio de preferencia, escriba
com.microsoft.wdav.atp
Elija Cargar y seleccione DeviceComplianceOnboarding.plist.
Seleccione Guardar.
Configuración de las preferencias de la aplicación
Importante
Debe usar com.microsoft.wdav como valor de dominio de preferencia . Microsoft Defender para punto de conexión usa este nombre y com.microsoft.wdav.ext para cargar la configuración administrada.
Inicie sesión en JAMF Pro para crear un nuevo perfil de configuración en JAMF Pro. Consulte la documentación de JAMF Pro para obtener más información. Use estos valores:
- Name:MDATP MDAV configuration settings
- Descripción:Deje esto en blanco.
- Category:none
- Método de distribución:instalar automáticamente
- Nivel:nivel de equipo
En el panel de navegación, seleccione Configuración personalizada y de aplicación y, a continuación, elija Aplicaciones externas.
Elija Agregar y, a continuación, elija Esquema personalizado. En Dominio de preferencia, escriba
com.microsoft.wdav
.Elija Agregar esquema y, a continuación, seleccione el
schema.json
archivo que descargó de GitHub.Seleccione Guardar.
En Propiedades de dominio de preferencia , actualice manualmente la configuración de la siguiente manera:
Funciones
- En Prevención de pérdida de datos, seleccione
enabled
y, a continuación, elija Guardar.
- En Prevención de pérdida de datos, seleccione
Prevención de pérdida de datos
- Funciones
- Establezca DLP_browser_only_cloud_egress
enabled
en si desea supervisar solo los exploradores admitidos para las operaciones de salida en la nube. - Establezca DLP_ax_only_cloud_egress
enabled
en si desea supervisar solo la dirección URL de la barra de direcciones del explorador (en lugar de las conexiones de red) para las operaciones de salida en la nube.
- Establezca DLP_browser_only_cloud_egress
- Funciones
Motor antivirus
Si solo va a implementar la prevención de pérdida de datos y no MDE, siga estos pasos:- Elija Protección en tiempo real.
- Elija Modo pasivo.
- Elija Aplicar.
Escriba un nombre para el perfil de configuración y, a continuación, elija Guardar.
En la página siguiente, elija la pestaña Ámbito , seleccione los destinos adecuados para este perfil de configuración y, a continuación, elija Guardar.
OPCIONAL: Permitir que los datos confidenciales pasen por dominios prohibidos
Dlp de Microsoft Purview comprueba si hay datos confidenciales en todas las fases de sus viajes. Por lo tanto, si los datos confidenciales se publican o envían a un dominio permitido, pero viajan a través de un dominio prohibido, se bloquean. Vamos a echar un vistazo.
Supongamos que el envío de datos confidenciales a través de Outlook Live (outlook.live.com) es permisible, pero que los datos confidenciales no deben exponerse a microsoft.com. Sin embargo, cuando un usuario accede a Outlook Live, los datos pasan a través de microsoft.com en segundo plano, como se muestra:
De forma predeterminada, dado que los datos confidenciales pasan a través de microsoft.com en su camino a outlook.live.com, DLP bloquea automáticamente el uso compartido de los datos.
En algunos casos, sin embargo, es posible que no le interesen los dominios que los datos pasan en el back-end. En su lugar, solo puede preocuparse por dónde terminan los datos en última instancia, como se indica en la dirección URL que aparece en la barra de direcciones. En este caso, outlook.live.com. Para evitar que se bloquee la información confidencial en nuestro caso de ejemplo, debe cambiar específicamente la configuración predeterminada.
Por lo tanto, si solo desea supervisar el explorador y el destino final de los datos (la dirección URL de la barra de direcciones del explorador), puede habilitar DLP_browser_only_cloud_egress y DLP_ax_only_cloud_egress. Aquí se muestra cómo hacerlo.
Para cambiar la configuración para permitir que los datos confidenciales pasen a través de dominios prohibidos en su camino a un dominio permitido:
Abra el archivo com.microsoft.wdav.mobileconfig .
En la
dlp
clave , establezcaDLP_browser_only_cloud_egress
en habilitado y establézcaloDLP_ax_only_cloud_egress
en habilitado , como se muestra en el ejemplo siguiente.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Implementación de perfiles de configuración del sistema
En la página Perfiles de configuración de la consola de JAMF Pro, seleccione Cargar y, a continuación, elija Archivo.
Seleccione el
mdatp-nokext.mobileconfig
archivo, elija Abrir y, después, cargar.
Carga del paquete de instalación
En la consola de JAMF Pro, vaya aPaquetesde configuración> de administración y, a continuación, elija Nuevo.
Escriba un nombre para mostrar para el paquete y, opcionalmente, seleccione una categoría.
En Nombre de archivo , seleccione Elegir archivo.
Seleccione el archivo del
wdav.pkg
paquete de instalación y, a continuación, elija Guardar.Vaya aDirectivas deequipos> y elija Nuevo.
En el panel de navegación izquierdo, elija Paquetes.
En la lista Paquetes , seleccione el paquete de instalación en el paso 4.
En Acción , elija Instalar.
Elija la pestaña Ámbito y, a continuación, seleccione Equipos de destino antes de elegir Guardar.
En la página General , escriba un nombre para la nueva directiva.
Dispositivos macOS fuera del panel con JAMF Pro
Importante
La retirada hace que el dispositivo deje de enviar datos del sensor al portal. Sin embargo, los datos del dispositivo, incluidas las referencias a las alertas que haya tenido, se conservarán durante un máximo de seis meses.
Si no usa MDE, desinstale la aplicación. Consulte la sección Implementación de paquetes en la documentación de JAMF Pro.
Reinicie el dispositivo macOS. (Algunas aplicaciones pueden perder la funcionalidad de impresión hasta que se reinician).
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de