Integrar e remover dispositivos macOS em Soluções de conformidade usando o JAMF Pro para clientes do Microsoft Defender para Ponto de Extremidade

Você pode usar o JAMF Pro para integrar dispositivos macOS em soluções do Microsoft Purview.

Importante

Use esse procedimento se você tiver implantado Microsoft Defender para Ponto de Extremidade (MDE) em seus dispositivos macOS

Aplica-se a:

• Clientes que têm o MDE implantado em seus dispositivos macOS.
• Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)
• Gerenciamento de risco interno

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

• Verifique se seus dispositivos macOS são gerenciados por meio do JAMF pro e estão associados a uma identidade (Microsoft Entra UPN ingressada) por meio do JAMF Connect ou Microsoft Intune.
• OPCIONAL: instale o navegador v95+ Edge em seus dispositivos macOS para ter suporte de DLP do Ponto de Extremidade nativo no Edge.

Observação

Há suporte para as três versões principais mais recentes do macOS.

Integrar dispositivos em soluções do Microsoft Purview usando o JAMF Pro

Integrar um dispositivo macOS em soluções de conformidade é um processo de várias fases.

1. Atualizar o perfil de domínio preferência do MDE existente usando o console DO JAMF PRO
2. Habilitar o acesso ao disco completo
3. Habilitar o acesso de acessibilidade à prevenção de perda de dados do Microsoft Purview
4. Verificar o dispositivo macOS

Pré-requisitos

Baixe os seguintes arquivos:

Arquivo	Descrição
accessibility.mobileconfig	Acessibilidade
fulldisk.mobileconfig	Acesso completo ao disco (FDA)
schema.json	Preferência de MDE

Se algum desses arquivos individuais for atualizado, você deverá baixar o arquivo empacotado atualizado e reimplantar, conforme descrito.

Dica

Recomendamos baixar o arquivo empacotado (mdatp-nokext.mobileconfig), em vez dos arquivos individual.mobileconfig. O arquivo empacotado inclui os seguintes arquivos necessários:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Se algum desses arquivos for atualizado, você precisará baixar o pacote atualizado ou baixar cada arquivo atualizado individualmente.

Observação

Para baixar os arquivos:

1. Clique com o botão direito do mouse no link e selecione Salvar link como....
2. Escolha uma pasta e salve o arquivo.

Atualizar o perfil de domínio preferência do MDE existente usando o console DO JAMF PRO

1. Atualize o perfil schema.xml com o arquivo schema.json que você acabou de baixar.

2. Em Propriedades de Domínio de Preferência do MDE , escolha estas configurações:

   • Recursos
     • Usar Prevenção contra perda de dados: enabled
   • Prevenção contra a perda de dados
     • Recursos
       • Defina DLP_browser_only_cloud_egress para enabled se você quiser monitorar apenas navegadores com suporte para operações de saída de nuvem.
       • Defina DLP_ax_only_cloud_egress para enabled se você quiser monitorar apenas a URL na barra de endereços do navegador (em vez de conexões de rede) para operações de saída de nuvem.

3. Escolha a guia Escopo .

4. Escolha os grupos para implantar esse perfil de configuração.

5. Escolha Salvar.

Habilitar o acesso ao disco completo

Para atualizar o perfil de acesso ao disco completo existente com o fulldisk.mobileconfig arquivo, carregue fulldisk.mobileconfig no JAMF. Para obter mais informações, consulte Configurar o Microsoft Defender para Ponto de Extremidade em políticas macOS no Jamf Pro.

Habilitar o acesso de acessibilidade à prevenção de perda de dados do Microsoft Purview

Para conceder acesso de acessibilidade ao DLP, carregue o accessibility.mobileconfig arquivo que você baixou anteriormente no JAMF, conforme descrito em Implantar perfis de configuração do sistema.

OPCIONAL: permitir que dados confidenciais passem por domínios proibidos

O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.

Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:

Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.

Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.

Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.

Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:

1. Abra o arquivo com.microsoft.wdav.mobileconfig .

2. dlp Na chave, Defina DLP_browser_only_cloud_egress como habilitado e definido DLP_ax_only_cloud_egress como habilitado, conforme mostrado no exemplo a seguir.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Verificar o dispositivo macOS

1. Reinicie o dispositivo macOS.

2. Abra perfis de preferências>do sistema.

3. Os seguintes perfis agora estão listados:

   • Acessibilidade
   • Acesso completo ao disco
   • Perfil de extensão do Kernel
   • MAU
   • Integração do MDATP
   • Preferências de MDE
   • Perfil de gerenciamento
   • Filtro de rede
   • Notificações
   • Perfil de extensão do sistema

Desativar dispositivos macOS usando o JAMF Pro

Importante

O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados do dispositivo, incluindo referências a quaisquer alertas que ele teve, serão mantidos por até seis meses.

Para desativar um dispositivo macOS, siga estas etapas

1. Em Propriedades de Domínio de Preferência do MDE , remova os valores dessas configurações

   • Recursos
     • Usar extensões do sistema
     • Usar prevenção contra perda de dados

2. Escolha Salvar.