Microsoft Defender for Endpoint のお客様向け JAMF Pro を使用したコンプライアンス ソリューションへの macOS デバイスのオンボードとオフボード

  • [アーティクル]

JAMF Pro を使用して、macOS デバイスを Microsoft Purview ソリューションにオンボードできます。

重要

macOS デバイスにMicrosoft Defender for Endpoint (MDE) をデプロイした場合は、この手順を使用します

適用対象:

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

  • macOS デバイスが JAMF pro を介して管理され、JAMF Connect または Microsoft Intune を介して ID (Microsoft Entra参加済み UPN) に関連付けられていることを確認します。
  • 省略可能: v95+ Edge ブラウザーを macOS デバイスにインストールして、Edge でネイティブエンドポイント DLP をサポートします。

注:

macOS の最新の 3 つのメジャー リリースがサポートされています。

JAMF Pro を使用してデバイスを Microsoft Purview ソリューションにオンボードする

macOS デバイスをコンプライアンス ソリューションにオンボードすることは、マルチフェーズ プロセスです。

  1. JAMF PRO コンソールを使用して既存のMDE基本設定ドメイン プロファイルを更新する
  2. ディスク全体へのアクセスを有効にする
  3. Microsoft Purview データ損失防止へのアクセシビリティ アクセスを有効にする
  4. macOS デバイスを確認する

前提条件

次のファイルをダウンロードします。

ファイル 説明
accessibility.mobileconfig ユーザー補助
fulldisk.mobileconfig フル ディスク アクセス (FDA)
schema.json MDE基本設定

これらの個々のファイルのいずれかが更新された場合は、更新されたバンドル されたファイルをダウンロードし、説明に従って再デプロイする必要があります。

ヒント

個々の.mobileconfig ファイルではなく、バンドルされた (mdatp-nokext.mobileconfig) ファイルをダウンロードすることをお勧めします。 バンドルされたファイルには、次の必須ファイルが含まれています。

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

これらのファイルのいずれかが更新された場合は、更新されたバンドルをダウンロードするか、更新された各ファイルを個別にダウンロードする必要があります。

注:

ファイルをダウンロードするには:

  1. リンクを右クリックし、[リンクを 名前を付けて保存]を選択します。
  2. フォルダーを選択し、ファイルを保存します。

JAMF PRO コンソールを使用して既存のMDE基本設定ドメイン プロファイルを更新する

  1. schema.xml プロファイルを、ダウンロードした schema.json ファイルで更新します。

  2. [MDE基本設定ドメインのプロパティ] で、次の設定を選択します。

    • 機能
      • データ損失防止を使用する: enabled
    • データ損失防止
      • 機能
        • クラウドエグレス操作でサポートされているブラウザーのみを監視する場合は、 DLP_browser_only_cloud_egress を に enabled 設定します。
        • クラウドエグレス操作のブラウザー アドレス バー (ネットワーク接続ではなく) の URL のみを監視する場合は、 DLP_ax_only_cloud_egressenabled を に設定します。

  3. [ スコープ ] タブを選択します。

  4. この構成プロファイルをデプロイするグループを選択します。

  5. 保存] を選択します。

ディスク全体へのアクセスを有効にする

既存のフル ディスク アクセス プロファイルをファイルで fulldisk.mobileconfig 更新するには、JAMF にアップロード fulldisk.mobileconfig します。 詳細については、「Jamf Pro で macOS ポリシーでMicrosoft Defender for Endpointを設定する」を参照してください。

Microsoft Purview データ損失防止へのアクセシビリティ アクセスを有効にする

DLP へのアクセシビリティ アクセスを許可するには、「システム構成プロファイルaccessibility.mobileconfig展開」の説明に従って、以前にダウンロードしたファイルを JAMF にアップロードします。

省略可能: 機密データが禁止されたドメインを通過することを許可する

Microsoft Purview DLP は、旅行のすべての段階で機密データをチェックします。 そのため、機密データが許可されたドメインに投稿または送信されても、禁止されたドメインを通過すると、ブロックされます。 詳しく見てみましょう。

Outlook Live (outlook.live.com) を介した機密データの送信は許可されますが、機密データを microsoft.com に公開してはならないとします。 ただし、ユーザーが Outlook Live にアクセスすると、次に示すように、データはバックグラウンドで microsoft.com を通過します。

ソースから宛先 URL へのデータフローを示すスクリーンショット。

既定では、機密データは outlook.live.com する途中で microsoft.com を通過するため、DLP はデータの共有を自動的にブロックします。

ただし、場合によっては、データがバックエンドで通過するドメインに関心がない場合があります。 代わりに、アドレス バーに表示される URL によって示されるように、最終的にデータが最終的にどこに表示されるのかを心配する必要があります。 この場合は、 outlook.live.com。 この例のケースで機密データがブロックされないようにするには、既定の設定を具体的に変更する必要があります。

そのため、ブラウザーとデータの最終的な宛先 (ブラウザー アドレス バーの URL) のみを監視する場合は、 DLP_browser_only_cloud_egressDLP_ax_only_cloud_egressを有効にすることができます。 これを行うには、次の操作を実行します。

許可されたドメインにアクセスする際に、機密データが禁止されているドメインを通過できるように設定を変更するには:

  1. com.microsoft.wdav.mobileconfig ファイルを開きます。

  2. 次の例に示すように、DLP_browser_only_cloud_egressキーのdlp下の [有効] に設定し、 を [有効] に設定 DLP_ax_only_cloud_egressします。

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

macOS デバイスを確認する

  1. macOS デバイスを再起動します。

  2. [システム環境設定プロファイル] を>開きます。

  3. 次のプロファイルが一覧表示されます。

    • ユーザー補助
    • フル ディスク アクセス
    • カーネル拡張機能プロファイル
    • マウ
    • MDATP オンボード
    • MDE設定
    • 管理プロファイル
    • ネットワーク フィルター
    • 通知
    • システム拡張機能プロファイル

JAMF Pro を使用したオフボード macOS デバイス

重要

オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。

macOS デバイスをオフボードするには、次の手順に従います

  1. [MDE基本設定ドメインのプロパティ] で、これらの設定の値を削除します

    • 機能
      • システム拡張機能を使用する
      • データ損失防止の使用

  2. [保存] を選択します。