Intune を使用した Microsoft Purview ソリューションへの macOS デバイスのオンボードとオフボード

Microsoft Intuneを使用して、macOS デバイスを Microsoft Purview ソリューションにオンボードできます。

重要

macOS デバイスにMicrosoft Defender for Endpoint (MDE) が展開されていない場合は、この手順を使用します

適用対象:

• エンドポイントのデータ損失防止
• インサイダー リスク管理

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

• macOS デバイスが Intune にオンボードされ、ポータル サイト アプリに登録されていることを確認します。
• Microsoft Intune管理センターにアクセスできることを確認します。
• 構成の更新を割り当てるユーザー グループを作成します。
• 省略可能: macOS デバイスに v95+ Microsoft Edge ブラウザーをインストールして、Microsoft Edge でネイティブのエンドポイント DLP サポートを提供します。

注:

macOS の最新の 3 つのメジャー リリースがサポートされています。

Microsoft Intuneを使用して macOS デバイスを Microsoft Purview ソリューションにオンボードする

macOS デバイスをコンプライアンス ソリューションにオンボードすることは、マルチフェーズ プロセスです。

1. デバイス オンボード パッケージを取得する
2. mobileconfig パッケージとオンボード パッケージをデプロイする
3. アプリケーションを発行する

前提条件

次のファイルをダウンロードします。

ファイル	説明
mdatp-nokext.mobileconfig	システム モバイル構成ファイル
com.microsoft.wdav.mobileconfig。	MDE の基本設定

ヒント

個々の.mobileconfig ファイルではなく、バンドルされた (mdatp-nokext.mobileconfig) ファイルをダウンロードすることをお勧めします。 バンドルされたファイルには、次の必須ファイルが含まれています。

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

これらのファイルのいずれかが更新された場合は、更新されたバンドルをダウンロードするか、更新された各ファイルを個別にダウンロードする必要があります。

デバイス オンボード パッケージを取得する

1. Microsoft Purview コンプライアンス センターで、[設定] [デバイス のオンボード] > を開き、[オンボード] を選択します。

2. [ オペレーティング システムを選択してオンボード プロセスを開始する ] オプションで、 macOS を選択します。

3. [デプロイ方法] で、[Mobile デバイス管理/Microsoft Intune] を選択します。

4. [ オンボード パッケージのダウンロード] を選択します。

5. .ZIP ファイルを抽出し、 Intune フォルダーを開きます。 これには、 DeviceComplianceOnboarding.xml ファイル内のオンボード コードが含まれます。

mobileconfig パッケージとオンボード パッケージをデプロイする

1. Microsoft Intune管理センターを開き、[デバイス>構成プロファイル] に移動します。

2. [プロファイルの作成] を選択 します。

3. 次の値を選択します。

   1. プラットフォーム = macOS
   2. プロファイルの種類 = テンプレート
   3. テンプレート名 = カスタム

4. [作成] を選択します。

5. Microsoft Purview System MobileConfig などのプロファイルの名前を入力し、[次へ] を選択します。

6. mdatp-nokext.mobileconfig手順 1 でダウンロードしたファイルを構成プロファイル ファイルとして選択します。

7. [次へ]を選択します。

8. [ 割り当て ] タブで、これらの構成をデプロイするグループを追加し、[ 次へ] を選択します。

9. 設定を確認し、[ 作成 ] を選択して構成をデプロイします。

10. 手順 2 ~ 9 を繰り返して、次のプロファイルを作成します。

    1. DeviceComplianceOnboarding.xml ファイル。 Microsoft Purview デバイス オンボード パッケージという名前を付けます
    2. com.microsoft.wdav.mobileconfig ファイル。 Microsoft Endpoint Device Preferences という名前を付けます

11. [デバイス>構成プロファイル] を開きます。 作成したプロファイルが表示されます。

12. [ 構成プロファイル ] ページで、先ほど作成したプロファイルを選択します。 次に、[ デバイスの状態 ] を選択して、デバイスの一覧と構成プロファイルの展開状態を表示します。

注:

クラウド サービスへのアップロード アクティビティでは、ブラウザーとブラウザー アドレス バーの URL のみを監視する場合は、DLP_browser_only_cloud_egressとDLP_ax_only_cloud_egressを有効にすることができます。

com.microsoft.wdav.mobileconfig の例を次に示します。

アプリケーションを発行する

Microsoft Endpoint データ損失保護は、macOS 上のMicrosoft Defender for Endpointのコンポーネントとしてインストールされます。 この手順は、Microsoft Purview ソリューションへのデバイスのオンボードに適用されます

1. Microsoft Intune管理センターで、[アプリ] を開きます。

2. [ プラットフォーム>別 macOS>Add] を選択します。

3. [ アプリの種類=] [macOS] の順に選択し、[選択] を 選択します。 [Microsoft Defender for Endpoint] を選択します。

4. 既定値をそのまま使用し、[ 次へ] を選択します。

5. 割り当てを追加し、[ 次へ] を選択します。

6. 選択した設定を確認し、[ 作成] を選択します。

7. [プラットフォーム>別アプリ]>macOS にアクセスして、すべてのアプリケーションの一覧に新しいアプリケーションを表示できます。

省略可能: 機密データが禁止されたドメインを通過することを許可する

Microsoft Purview DLP は、旅行のすべての段階で機密データをチェックします。 そのため、機密データが許可されたドメインに投稿または送信されても、禁止されたドメインを通過すると、ブロックされます。 詳しく見てみましょう。

Outlook Live (outlook.live.com) を介した機密データの送信は許可されますが、機密データを microsoft.com に公開してはならないとします。 ただし、ユーザーが Outlook Live にアクセスすると、次に示すように、データはバックグラウンドで microsoft.com を通過します。

既定では、機密データは outlook.live.com する途中で microsoft.com を通過するため、DLP はデータの共有を自動的にブロックします。

ただし、場合によっては、データがバックエンドで通過するドメインに関心がない場合があります。 代わりに、アドレス バーに表示される URL によって示されるように、最終的にデータが最終的にどこに表示されるのかを心配する必要があります。 この場合は、 outlook.live.com。 この例のケースで機密データがブロックされないようにするには、既定の設定を具体的に変更する必要があります。

そのため、ブラウザーとデータの最終的な宛先 (ブラウザー アドレス バーの URL) のみを監視する場合は、 DLP_browser_only_cloud_egress と DLP_ax_only_cloud_egressを有効にすることができます。 これを行うには、次の操作を実行します。

許可されたドメインにアクセスする際に、機密データが禁止されているドメインを通過できるように設定を変更するには:

1. com.microsoft.wdav.mobileconfig ファイルを開きます。

2. 次の例に示すように、DLP_browser_only_cloud_egressキーのdlp下の [有効] に設定し、 を [有効] に設定 DLP_ax_only_cloud_egressします。

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Intune を使用したオフボード macOS デバイス

注:

オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。

1. Microsoft Intune管理センターで、[デバイス>構成プロファイル] を開きます。 作成したプロファイルが一覧表示されます。

2. [ 構成プロファイル ] ページで、 wdav.pkg.intunemac プロファイルを選択します。

3. [ デバイスの状態 ] を選択すると、デバイスの一覧と構成プロファイルの展開状態が表示されます。

4. [プロパティ] を開き、[割り当て] を開きます。

5. 割り当てからグループを削除します。 これにより、 wdav.pkg.intunemac パッケージがアンインストールされ、macOS デバイスがコンプライアンス ソリューションからオフボードされます。