Eseguire l'onboarding e l'offboarding dei dispositivi macOS nelle soluzioni di conformità usando Intune per i clienti di Microsoft Defender per endpoint

È possibile usare Microsoft Intune per eseguire l'onboarding dei dispositivi macOS nelle soluzioni Microsoft Purview.

Importante

Usare questa procedura se è già stato distribuito Microsoft Defender per endpoint (MDE) nei dispositivi macOS.

Si applica a:

• I clienti che hanno MDE distribuito nei propri dispositivi macOS.
• Prevenzione della perdita di dati (DLP) degli endpoint
• Gestione dei rischi Insider

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

• Assicurarsi che i dispositivi macOS vengano caricati in Intune e registrati nell'app Portale aziendale.
• Assicurarsi di avere accesso all'interfaccia di amministrazione Microsoft Intune.
• FACOLTATIVO: installare il browser Microsoft Edge v95+ nei dispositivi macOS.

Nota

Sono supportate le tre versioni principali più recenti di macOS.

Eseguire l'onboarding di dispositivi macOS nelle soluzioni Microsoft Purview usando Microsoft Intune

Se Microsoft Defender per endpoint (MDE) è già stato distribuito nel dispositivo macOS, è comunque possibile eseguire l'onboarding del dispositivo nelle soluzioni di conformità. Questa operazione è un processo in più fasi:

1. Create profili di configurazione del sistema
2. Aggiornare i profili di configurazione del sistema esistenti
3. Aggiornare le preferenze di MDE

Prerequisiti

Scaricare i file seguenti:

File	Descrizione
accessibility.mobileconfig	Usato per l'accessibilità
fulldisk.mobileconfig	Usato per concedere l'accesso completo al disco (FDA).

Nota

Per scaricare i file:

1. Fare clic con il pulsante destro del mouse sul collegamento e scegliere Salva collegamento con nome.
2. Scegliere una cartella e salvare il file.

Create profili di configurazione del sistema

1. Aprire l'interfaccia di amministrazione Microsoft Intune e passare aProfili di configurazionedei dispositivi>.

2. Scegliere: Create profilo.

3. Selezionare i valori seguenti:

   1. Tipo di profilo = Modelli
   2. Nome modello = Personalizzato

4. Scegliere Crea.

5. Immettere un nome per il profilo, ad esempio Autorizzazione accessibilità Microsoft Purview, quindi scegliere Avanti.

6. accessibility.mobileconfig Scegliere come file del profilo di configurazione (scaricato come parte dei prerequisiti) e quindi scegliere Avanti.

7. Nella scheda Assegnazioni aggiungere il gruppo in cui si vuole distribuire questa configurazione e quindi scegliere Avanti.

8. Esaminare le impostazioni e quindi scegliere Create per distribuire la configurazione.

9. Aprire Dispositivi e passare aprofili di configurazionemacOS>. Vengono visualizzati i profili creati.

10. Nella pagina Profili di configurazione scegliere il nuovo profilo. Scegliere Quindi Stato dispositivo per visualizzare un elenco di dispositivi e lo stato della distribuzione del profilo di configurazione.

Aggiornare i profili di configurazione del sistema esistenti

1. Un profilo di configurazione dell'accesso completo al disco (FDA) dovrebbe essere stato creato e distribuito in precedenza per MDE. Per informazioni dettagliate, vedere distribuzione basata su Intune per Microsoft Defender per endpoint in Mac. La prevenzione della perdita dei dati degli endpoint (DLP) richiede un'autorizzazione FDA aggiuntiva per la nuova applicazione (com.microsoft.dlp.daemon).

2. Aggiornare il profilo di configurazione FDA esistente con il file scaricato fulldisk.mobileconfig .

Aggiornare le preferenze di MDE

1. Trovare il profilo di configurazione preferenze MDE esistente. Per informazioni dettagliate, vedere distribuzione basata su Intune per Microsoft Defender per endpoint in Mac.

2. Aggiungere la chiave seguente al file con estensione mobileconfig e quindi salvare il file.

   <key>features</key> 
       <dict> 
           <key>dataLossPrevention</key> 
           <string>enabled</string> 
       </dict> 
   

FACOLTATIVO: consentire ai dati sensibili di passare attraverso domini non consentiti

Microsoft Purview DLP verifica la presenza di dati sensibili in tutte le fasi del viaggio. Pertanto, se i dati sensibili vengono inviati o inviati a un dominio consentito, ma viaggiano attraverso un dominio non consentito, vengono bloccati. Contenuto della sezione:

Supponiamo che l'invio di dati sensibili tramite Outlook Live (outlook.live.com) sia consentito, ma che i dati sensibili non devono essere esposti a microsoft.com. Tuttavia, quando un utente accede a Outlook Live, i dati passano attraverso microsoft.com in background, come illustrato di seguito:

Per impostazione predefinita, poiché i dati sensibili passano attraverso microsoft.com sulla strada per outlook.live.com, la prevenzione della perdita dei dati blocca automaticamente la condivisione dei dati.

In alcuni casi, tuttavia, potrebbe non essere interessato ai domini passati dai dati nel back-end. È invece possibile preoccuparsi solo della posizione in cui finiscono i dati, come indicato dall'URL visualizzato nella barra degli indirizzi. In questo caso, outlook.live.com. Per evitare che i dati sensibili vengano bloccati nel caso di esempio, è necessario modificare in modo specifico l'impostazione predefinita.

Pertanto, se si vuole monitorare solo il browser e la destinazione finale dei dati (l'URL nella barra degli indirizzi del browser), è possibile abilitare DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Ecco come fare.

Per modificare le impostazioni per consentire ai dati sensibili di passare i domini non consentiti nel percorso verso un dominio consentito:

1. Aprire il file com.microsoft.wdav.mobileconfig .

2. Sotto la dlp chiave Impostare su DLP_browser_only_cloud_egressabilitato e impostare su DLP_ax_only_cloud_egressabilitato come illustrato nell'esempio seguente.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Dispositivi macOS offboard con Microsoft Intune

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale. Tuttavia, i dati ricevuti dal dispositivo, inclusi i riferimenti a eventuali avvisi ricevuti, verranno conservati per un massimo di sei mesi.

1. Nell'interfaccia di amministrazione Microsoft Intune aprireProfili di configurazionedei dispositivi>. Vengono visualizzati i profili creati.

2. Nella pagina Profili di configurazione scegliere il profilo MDE preferenze.

3. Rimuovere queste impostazioni:

    <key>features</key>
        <dict>
            <key>dataLossPrevention</key>
            <string>enabled</string>
        </dict>
   

4. Scegliere Salva.