Microsoft Defender for Endpoint のお客様向け JAMF Pro を使用したコンプライアンス ソリューションへの macOS デバイスのオンボードとオフボード
JAMF Pro を使用して、macOS デバイスを Microsoft Purview ソリューションにオンボードできます。
重要
macOS デバイスにMicrosoft Defender for Endpoint (MDE) をデプロイした場合は、この手順を使用します
適用対象:
- macOS デバイスにMDE展開しているお客様。
- エンドポイントのデータ損失防止
- インサイダー リスク管理
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに
- macOS デバイスが JAMF pro を介して管理され、JAMF Connect または Microsoft Intune を介して ID (Microsoft Entra参加済み UPN) に関連付けられていることを確認します。
- 省略可能: v95+ Edge ブラウザーを macOS デバイスにインストールして、Edge でネイティブエンドポイント DLP をサポートします。
注:
macOS の最新の 3 つのメジャー リリースがサポートされています。
JAMF Pro を使用してデバイスを Microsoft Purview ソリューションにオンボードする
macOS デバイスをコンプライアンス ソリューションにオンボードすることは、マルチフェーズ プロセスです。
- JAMF PRO コンソールを使用して既存のMDE基本設定ドメイン プロファイルを更新する
- ディスク全体へのアクセスを有効にする
- Microsoft Purview データ損失防止へのアクセシビリティ アクセスを有効にする
- macOS デバイスを確認する
前提条件
次のファイルをダウンロードします。
ファイル | 説明 |
---|---|
accessibility.mobileconfig | ユーザー補助 |
fulldisk.mobileconfig | フル ディスク アクセス (FDA) |
schema.json | MDE基本設定 |
これらの個々のファイルのいずれかが更新された場合は、更新されたバンドル されたファイルをダウンロードし、説明に従って再デプロイする必要があります。
ヒント
個々の.mobileconfig ファイルではなく、バンドルされた (mdatp-nokext.mobileconfig) ファイルをダウンロードすることをお勧めします。 バンドルされたファイルには、次の必須ファイルが含まれています。
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
これらのファイルのいずれかが更新された場合は、更新されたバンドルをダウンロードするか、更新された各ファイルを個別にダウンロードする必要があります。
注:
ファイルをダウンロードするには:
- リンクを右クリックし、[リンクを 名前を付けて保存]を選択します。
- フォルダーを選択し、ファイルを保存します。
JAMF PRO コンソールを使用して既存のMDE基本設定ドメイン プロファイルを更新する
schema.xml プロファイルを、ダウンロードした schema.json ファイルで更新します。
[MDE基本設定ドメインのプロパティ] で、次の設定を選択します。
- 機能
- データ損失防止を使用する:
enabled
- データ損失防止を使用する:
- データ損失防止
- 機能
- クラウドエグレス操作でサポートされているブラウザーのみを監視する場合は、 DLP_browser_only_cloud_egress を に
enabled
設定します。 - クラウドエグレス操作のブラウザー アドレス バー (ネットワーク接続ではなく) の URL のみを監視する場合は、 DLP_ax_only_cloud_egress
enabled
を に設定します。
- クラウドエグレス操作でサポートされているブラウザーのみを監視する場合は、 DLP_browser_only_cloud_egress を に
- 機能
- 機能
[ スコープ ] タブを選択します。
この構成プロファイルをデプロイするグループを選択します。
保存] を選択します。
ディスク全体へのアクセスを有効にする
既存のフル ディスク アクセス プロファイルをファイルで fulldisk.mobileconfig
更新するには、JAMF にアップロード fulldisk.mobileconfig
します。 詳細については、「Jamf Pro で macOS ポリシーでMicrosoft Defender for Endpointを設定する」を参照してください。
Microsoft Purview データ損失防止へのアクセシビリティ アクセスを有効にする
DLP へのアクセシビリティ アクセスを許可するには、「システム構成プロファイルのaccessibility.mobileconfig
展開」の説明に従って、以前にダウンロードしたファイルを JAMF にアップロードします。
省略可能: 機密データが禁止されたドメインを通過することを許可する
Microsoft Purview DLP は、旅行のすべての段階で機密データをチェックします。 そのため、機密データが許可されたドメインに投稿または送信されても、禁止されたドメインを通過すると、ブロックされます。 詳しく見てみましょう。
Outlook Live (outlook.live.com) を介した機密データの送信は許可されますが、機密データを microsoft.com に公開してはならないとします。 ただし、ユーザーが Outlook Live にアクセスすると、次に示すように、データはバックグラウンドで microsoft.com を通過します。
既定では、機密データは outlook.live.com する途中で microsoft.com を通過するため、DLP はデータの共有を自動的にブロックします。
ただし、場合によっては、データがバックエンドで通過するドメインに関心がない場合があります。 代わりに、アドレス バーに表示される URL によって示されるように、最終的にデータが最終的にどこに表示されるのかを心配する必要があります。 この場合は、 outlook.live.com。 この例のケースで機密データがブロックされないようにするには、既定の設定を具体的に変更する必要があります。
そのため、ブラウザーとデータの最終的な宛先 (ブラウザー アドレス バーの URL) のみを監視する場合は、 DLP_browser_only_cloud_egress と DLP_ax_only_cloud_egressを有効にすることができます。 これを行うには、次の操作を実行します。
許可されたドメインにアクセスする際に、機密データが禁止されているドメインを通過できるように設定を変更するには:
com.microsoft.wdav.mobileconfig ファイルを開きます。
次の例に示すように、
DLP_browser_only_cloud_egress
キーのdlp
下の [有効] に設定し、 を [有効] に設定DLP_ax_only_cloud_egress
します。<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
macOS デバイスを確認する
macOS デバイスを再起動します。
[システム環境設定プロファイル] を>開きます。
次のプロファイルが一覧表示されます。
- ユーザー補助
- フル ディスク アクセス
- カーネル拡張機能プロファイル
- マウ
- MDATP オンボード
- MDE設定
- 管理プロファイル
- ネットワーク フィルター
- 通知
- システム拡張機能プロファイル
JAMF Pro を使用したオフボード macOS デバイス
重要
オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。
macOS デバイスをオフボードするには、次の手順に従います
[MDE基本設定ドメインのプロパティ] で、これらの設定の値を削除します
- 機能
- システム拡張機能を使用する
- データ損失防止の使用
- 機能
[保存] を選択します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示