Integrar e remover dispositivos macOS em Soluções de conformidade usando o JAMF Pro para clientes do Microsoft Defender para Ponto de Extremidade
Você pode usar o JAMF Pro para integrar dispositivos macOS em soluções do Microsoft Purview.
Importante
Use esse procedimento se você tiver implantado Microsoft Defender para Ponto de Extremidade (MDE) em seus dispositivos macOS
Aplica-se a:
- Clientes que têm o MDE implantado em seus dispositivos macOS.
- Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)
- Gerenciamento de risco interno
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Antes de começar
- Verifique se seus dispositivos macOS são gerenciados por meio do JAMF pro e estão associados a uma identidade (Microsoft Entra UPN ingressada) por meio do JAMF Connect ou Microsoft Intune.
- OPCIONAL: instale o navegador v95+ Edge em seus dispositivos macOS para ter suporte de DLP do Ponto de Extremidade nativo no Edge.
Observação
Há suporte para as três versões principais mais recentes do macOS.
Integrar dispositivos em soluções do Microsoft Purview usando o JAMF Pro
Integrar um dispositivo macOS em soluções de conformidade é um processo de várias fases.
- Atualizar o perfil de domínio preferência do MDE existente usando o console DO JAMF PRO
- Habilitar o acesso ao disco completo
- Habilitar o acesso de acessibilidade à prevenção de perda de dados do Microsoft Purview
- Verificar o dispositivo macOS
Pré-requisitos
Baixe os seguintes arquivos:
Arquivo | Descrição |
---|---|
accessibility.mobileconfig | Acessibilidade |
fulldisk.mobileconfig | Acesso completo ao disco (FDA) |
schema.json | Preferência de MDE |
Se algum desses arquivos individuais for atualizado, você deverá baixar o arquivo empacotado atualizado e reimplantar, conforme descrito.
Dica
Recomendamos baixar o arquivo empacotado (mdatp-nokext.mobileconfig), em vez dos arquivos individual.mobileconfig. O arquivo empacotado inclui os seguintes arquivos necessários:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Se algum desses arquivos for atualizado, você precisará baixar o pacote atualizado ou baixar cada arquivo atualizado individualmente.
Observação
Para baixar os arquivos:
- Clique com o botão direito do mouse no link e selecione Salvar link como....
- Escolha uma pasta e salve o arquivo.
Atualizar o perfil de domínio preferência do MDE existente usando o console DO JAMF PRO
Atualize o perfil schema.xml com o arquivo schema.json que você acabou de baixar.
Em Propriedades de Domínio de Preferência do MDE , escolha estas configurações:
- Recursos
- Usar Prevenção contra perda de dados:
enabled
- Usar Prevenção contra perda de dados:
- Prevenção contra a perda de dados
- Recursos
- Defina DLP_browser_only_cloud_egress para
enabled
se você quiser monitorar apenas navegadores com suporte para operações de saída de nuvem. - Defina DLP_ax_only_cloud_egress para
enabled
se você quiser monitorar apenas a URL na barra de endereços do navegador (em vez de conexões de rede) para operações de saída de nuvem.
- Defina DLP_browser_only_cloud_egress para
- Recursos
- Recursos
Escolha a guia Escopo .
Escolha os grupos para implantar esse perfil de configuração.
Escolha Salvar.
Habilitar o acesso ao disco completo
Para atualizar o perfil de acesso ao disco completo existente com o fulldisk.mobileconfig
arquivo, carregue fulldisk.mobileconfig
no JAMF. Para obter mais informações, consulte Configurar o Microsoft Defender para Ponto de Extremidade em políticas macOS no Jamf Pro.
Habilitar o acesso de acessibilidade à prevenção de perda de dados do Microsoft Purview
Para conceder acesso de acessibilidade ao DLP, carregue o accessibility.mobileconfig
arquivo que você baixou anteriormente no JAMF, conforme descrito em Implantar perfis de configuração do sistema.
OPCIONAL: permitir que dados confidenciais passem por domínios proibidos
O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.
Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:
Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.
Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.
Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.
Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:
Abra o arquivo com.microsoft.wdav.mobileconfig .
dlp
Na chave, DefinaDLP_browser_only_cloud_egress
como habilitado e definidoDLP_ax_only_cloud_egress
como habilitado, conforme mostrado no exemplo a seguir.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Verificar o dispositivo macOS
Reinicie o dispositivo macOS.
Abra perfis de preferências>do sistema.
Os seguintes perfis agora estão listados:
- Acessibilidade
- Acesso completo ao disco
- Perfil de extensão do Kernel
- MAU
- Integração do MDATP
- Preferências de MDE
- Perfil de gerenciamento
- Filtro de rede
- Notificações
- Perfil de extensão do sistema
Desativar dispositivos macOS usando o JAMF Pro
Importante
O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados do dispositivo, incluindo referências a quaisquer alertas que ele teve, serão mantidos por até seis meses.
Para desativar um dispositivo macOS, siga estas etapas
Em Propriedades de Domínio de Preferência do MDE , remova os valores dessas configurações
- Recursos
- Usar extensões do sistema
- Usar prevenção contra perda de dados
- Recursos
Escolha Salvar.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de