Integrar e desativar dispositivos macOS em soluções do Microsoft Purview usando o JAMF Pro
Você pode usar o JAMF Pro para integrar dispositivos macOS em soluções do Microsoft Purview, como DLP (prevenção contra perda de dados do Ponto de Extremidade).
Importante
Use esse procedimento se você não tiver Microsoft Defender para Ponto de Extremidade (MDE) implantado em seus dispositivos macOS.
Aplica-se a:
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Antes de começar
- Verifique se seus dispositivos macOS são gerenciados por meio do JAMF pro e estão associados a uma identidade (Microsoft Entra UPN ingressada) por meio do JAMF Connect ou Microsoft Intune.
- OPCIONAL: instale o navegador do Microsoft Edge v95+ em seus dispositivos macOS para suporte ao DLP do Ponto de Extremidade nativo no Microsoft Edge.
Observação
Há suporte para as três versões principais mais recentes do macOS.
Integrar dispositivos em soluções do Microsoft Purview usando o JAMF Pro
Integrar um dispositivo macOS às soluções do Microsoft Purview é um processo de várias fases:
- Implantar pacotes de integração
- Configurar preferências de aplicativo
- Carregar o pacote de instalação
- Implantar perfis de configuração do sistema
Pré-requisitos
Baixe os arquivos a seguir.
Arquivo | Descrição |
---|---|
mdatp-nokext.mobileconfig | Este é o arquivo empacotado. |
schema.json | Este é o arquivo de preferência MDE. |
Dica
Recomendamos baixar o arquivo empacotado (mdatp-nokext.mobileconfig), em vez dos arquivos individual.mobileconfig. O arquivo empacotado inclui os seguintes arquivos necessários:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Se algum desses arquivos for atualizado, você precisará baixar o pacote atualizado ou baixar cada arquivo atualizado individualmente.
Observação
Para baixar os arquivos:
- Clique com o botão direito do mouse no link e selecione Salvar link como....
- Escolha uma pasta e salve o arquivo.
Obter os pacotes de integração e instalação do dispositivo
No portal de conformidade, abra Configurações>Integração de Dispositivo e escolha Integração.
Para que o sistema operacional Selecionar comece a integrar o valor do processo , escolha macOS.
Para o método Deployment, escolha Mobile Gerenciamento de Dispositivos/Microsoft Intune.
Escolha Baixar pacote de integração e, em seguida, extrair o conteúdo do pacote de integração do dispositivo. o arquivo DeviceComplianceOnboarding.plist é baixado para a pasta JAMF.
Escolha Baixar pacote de instalação.
Implantar pacotes de integração
Crie um novo perfil de configuração no JAMF Pro. Consulte a documentação do JAMF Pro. Use os seguintes valores:
- Integração name:MDATP para macOS
- Descrição: *Integração do MDATP EDR para macOS
- Category:none
- Método de distribuição: *`instalar automaticamente
- Nível:nível do computador
No painel de navegação, selecione Configurações personalizadas e aplicativo e, em seguida, escolha Carregar.
Escolha Adicionar. Para Domínio de Preferência, insira
com.microsoft.wdav.atp
Escolha Carregar e selecione DeviceComplianceOnboarding.plist.
Escolha Salvar.
Configurar preferências de aplicativo
Importante
Você deve usar com.microsoft.wdav como o valor domínio de preferência . Microsoft Defender para Ponto de Extremidade usa esse nome e com.microsoft.wdav.ext para carregar as configurações gerenciadas.
Entre no JAMF Pro para criar um novo perfil de configuração no JAMF Pro. Consulte a documentação do JAMF Pro para obter mais informações. Use esses valores:
- Configurações deMDATP MDAV name:MDATP
- Description:Deixe isso em branco
- Category:none
- Método de distribuição:instalar automaticamente
- Nível:nível do computador
No painel de navegação, selecione Configurações personalizadas e de aplicativo e escolha Aplicativos Externos.
Escolha Adicionar e escolha Esquema Personalizado. Para domínio Preferência, insira
com.microsoft.wdav
.Escolha Adicionar Esquema e selecione o
schema.json
arquivo que você baixou no GitHub.Escolha Salvar.
Em Propriedades de Domínio de Preferência , atualize manualmente as configurações da seguinte maneira:
Recursos
- Para Prevenção de Perda de Dados, selecione
enabled
e escolha Salvar.
- Para Prevenção de Perda de Dados, selecione
Prevenção contra a perda de dados
- Recursos
- Defina DLP_browser_only_cloud_egress para
enabled
se você quiser monitorar apenas navegadores com suporte para operações de saída de nuvem. - Defina DLP_ax_only_cloud_egress para
enabled
se você quiser monitorar apenas a URL na barra de endereços do navegador (em vez de conexões de rede) para operações de saída de nuvem.
- Defina DLP_browser_only_cloud_egress para
- Recursos
Mecanismo antivírus
Se você estiver implantando apenas a prevenção contra perda de dados e não o MDE, siga as seguintes etapas:- Escolha Proteção em tempo real.
- Escolha Modo passivo.
- Escolha Aplicar.
Insira um nome para o perfil de configuração e escolha Salvar.
Na próxima página, escolha a guia Escopo , selecione os destinos apropriados para este perfil de configuração e escolha Salvar.
OPCIONAL: permitir que dados confidenciais passem por domínios proibidos
O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.
Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:
Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.
Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.
Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.
Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:
Abra o arquivo com.microsoft.wdav.mobileconfig .
dlp
Na chave, DefinaDLP_browser_only_cloud_egress
como habilitado e definidoDLP_ax_only_cloud_egress
como habilitado, conforme mostrado no exemplo a seguir.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Implantar perfis de configuração do sistema
Na página Perfis de Configuração do console do JAMF Pro, selecione Carregar e escolha Arquivo.
Selecione o
mdatp-nokext.mobileconfig
arquivo, escolha Abrir e escolha Carregar.
Carregar o pacote de instalação
No console do JAMF Pro, navegue até Pacotes de Configurações> de Gerenciamento e escolha Novo.
Insira um nome de exibição para o pacote e (opcionalmente) selecione uma categoria.
Em Nome do Arquivo , selecione Escolher Arquivo.
Selecione o arquivo do
wdav.pkg
pacote de instalação e escolha Salvar.Navegue até Políticas de Computadores> e escolha Novo.
No painel de navegação esquerdo, escolha Pacotes.
Na lista Pacotes , selecione o pacote de instalação na Etapa 4.
Para a ação , escolha Instalar.
Escolha a guia Escopo e, em seguida, direcione computadores antes de escolher Salvar.
Na página Geral , insira um nome para a nova política.
Desativar dispositivos macOS usando o JAMF Pro
Importante
O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados do dispositivo, incluindo referências a quaisquer alertas que ele teve, serão mantidos por até seis meses.
Se você não estiver usando o MDE, desinstale o aplicativo. Consulte a seção Implantação de Pacotes na documentação do JAMF Pro.
Reinicie o dispositivo macOS. (Alguns aplicativos podem perder a funcionalidade de impressão até serem reiniciados.)
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários