Подключение и отключение устройств macOS в решениях Microsoft Purview с помощью JAMF Pro

  • Статья

Вы можете использовать JAMF Pro для подключения устройств macOS к решениям Microsoft Purview, таким как защита от потери данных конечных точек (DLP).

Важно!

Используйте эту процедуру, если Microsoft Defender для конечной точки (MDE) не развернуты на устройствах macOS.

Область применения:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

  • Убедитесь, что устройства macOS управляются через JAMF Pro и связаны с удостоверением (Microsoft Entra присоединенным к имени участника-пользователя) через JAMF Connect или Microsoft Intune.
  • НЕОБЯЗАТЕЛЬНО. Установите браузер Microsoft Edge версии 95+ на устройствах macOS для поддержки защиты от потери данных в собственной конечной точке в Microsoft Edge.

Примечание.

Поддерживаются три последних основных выпуска macOS.

Подключение устройств к решениям Microsoft Purview с помощью JAMF Pro

Подключение устройства macOS к решениям Microsoft Purview — это многоэтапный процесс:

  1. Развертывание пакетов подключения
  2. Настройка параметров приложения
  3. Отправка пакета установки
  4. Развертывание профилей конфигурации системы

Предварительные требования

Скачайте следующие файлы.

Файл Описание
mdatp-nokext.mobileconfig Это пакетный файл.
schema.json Это файл настроек MDE.

Совет

Рекомендуется скачать пакетный файл (mdatp-nokext.mobileconfig), а не файлы individual.mobileconfig. Пакетный файл содержит следующие обязательные файлы:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Если какой-либо из этих файлов обновляется, необходимо либо скачать обновленный пакет, либо скачать каждый обновленный файл по отдельности.

Примечание.

Чтобы скачать файлы, выполните следующие действия:

  1. Щелкните ссылку правой кнопкой мыши и выберите Сохранить ссылку как....
  2. Выберите папку и сохраните файл.

Получение пакетов подключения и установки устройств

Снимок экрана: вкладка

  1. На портале соответствия требованиям откройте Параметры> Подключениеустройства, а затем выберите Подключение.

  2. Для параметра Выберите операционную систему для запуска процесса подключения выберите macOS.

  3. В поле Метод развертывания выберите Мобильные Управление устройствами/Microsoft Intune.

  4. Выберите Скачать пакет подключения , а затем извлеките содержимое пакета подключения устройства. Файл DeviceComplianceOnboarding.plist скачан в папку JAMF.

  5. Выберите Скачать пакет установки.

Развертывание пакетов подключения

  1. Создайте новый профиль конфигурации в JAMF Pro. См. документацию по JAMF Pro. Используйте следующие значения:

    • Имя:подключение MDATP для macOS
    • Описание: *Подключение MDATP EDR для macOS
    • Категория:none
    • Метод распространения: *`автоматическая установка
    • Уровень:уровень компьютера

  2. В области навигации выберите Приложение и пользовательские параметры , а затем нажмите кнопку Отправить.

  3. Нажмите кнопку Добавить. В поле Домен предпочтения введите com.microsoft.wdav.atp

  4. Выберите Отправить и выберите DeviceComplianceOnboarding.plist.

  5. Выберите Сохранить.

Настройка параметров приложения

Важно!

В качестве значения предпочтительного домена необходимо использовать com.microsoft.wdav. Microsoft Defender для конечной точки использует это имя и com.microsoft.wdav.ext для загрузки управляемых параметров.

  1. Войдите в JAMF Pro, чтобы создать профиль конфигурации в JAMF Pro. Дополнительные сведения см. в документации по JAMF Pro . Используйте следующие значения:

    • Имя:параметры конфигурации MDATP MDAV
    • Описание:оставьте это поле пустым
    • Категория:none
    • Метод распространения:автоматическая установка
    • Уровень:уровень компьютера

  2. В области навигации выберите Приложение и пользовательские параметры , а затем — Внешние приложения.

  3. Нажмите кнопку Добавить , а затем — Пользовательская схема. В поле Домен предпочтения введите com.microsoft.wdav.

    Снимок экрана: страница внешних приложений.

  4. Выберите Добавить схему , а затем выберите файл, schema.json скачанный из GitHub.

  5. Выберите Сохранить.

  6. В разделе Свойства домена предпочтения вручную обновите параметры следующим образом:

    • Компоненты

      • В разделе Защита от потери данных выберите enabled и нажмите кнопку Сохранить.

    • Защита от потери данных

      • Компоненты
        • Задайте для DLP_browser_only_cloud_egress значение , enabled если вы хотите отслеживать только поддерживаемые браузеры для операций исходящего трафика в облаке.
        • Задайте для DLP_ax_only_cloud_egress значение , enabled если вы хотите отслеживать только URL-адрес в адресной строке браузера (вместо сетевых подключений) для операций исходящего трафика в облако.

    • Антивирусная подсистема
      Если вы развертываете только средства защиты от потери данных, а не MDE, выполните следующие действия.

      • Выберите Защита в режиме реального времени.
      • Выберите Пассивный режим.
      • Нажмите Применить.

  7. Введите имя профиля конфигурации и нажмите кнопку Сохранить.

  8. На следующей странице перейдите на вкладку Область , выберите подходящие целевые объекты для этого профиля конфигурации, а затем нажмите кнопку Сохранить.

НЕОБЯЗАТЕЛЬНО. Разрешить передачу конфиденциальных данных через запрещенные домены

Microsoft Purview DLP проверяет наличие конфиденциальных данных на всех этапах их перемещения. Таким образом, если конфиденциальные данные публикуются или отправляются в разрешенный домен, но перемещаются через запрещенный домен, они блокируются. Давайте посмотрим поближе.

Предположим, что отправка конфиденциальных данных через Outlook Live (outlook.live.com) разрешена, но конфиденциальные данные не должны подвергаться microsoft.com. Однако при доступе пользователя к Outlook Live данные проходят через microsoft.com в фоновом режиме, как показано ниже.

Снимок экрана: поток данных из источника в URL-адрес назначения.

По умолчанию, так как конфиденциальные данные проходят через microsoft.com на пути к outlook.live.com, защита от потери данных автоматически блокирует общий доступ к данным.

Однако в некоторых случаях вы можете не беспокоиться о доменах, через которые данные проходят на серверной части. Вместо этого вы можете быть обеспокоены только тем, где в конечном итоге попадают данные, о чем свидетельствует URL-адрес, отображаемый в адресной строке. В этом случае outlook.live.com. Чтобы предотвратить блокировку конфиденциальных данных в нашем примере, необходимо специально изменить параметр по умолчанию.

Таким образом, если вы хотите отслеживать только браузер и конечное назначение данных (URL-адрес в адресной строке браузера), можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress. Ниже приведено описание процедуры.

Чтобы изменить параметры, чтобы разрешить передачу конфиденциальных данных через запрещенные домены на пути к разрешенному домену, выполните следующие действия:

  1. Откройте файл com.microsoft.wdav.mobileconfig .

  2. В разделе dlp Задайте значение DLP_browser_only_cloud_egressвключено и задайте значение DLP_ax_only_cloud_egressвключено , как показано в следующем примере.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Развертывание профилей конфигурации системы

  1. На странице Профили конфигурации консоли JAMF Pro выберите Отправить , а затем — Файл.

  2. mdatp-nokext.mobileconfig Выберите файл, нажмите кнопку Открыть, а затем нажмите кнопку Отправить.

Отправка пакета установки

  1. В консоли JAMF Pro перейдите в раздел Пакеты параметров> управления и нажмите кнопку Создать.

  2. Введите отображаемое имя пакета и (при необходимости) выберите категорию.

  3. В разделе Имя файла выберите Выбрать файл.

  4. wdav.pkg Выберите файл пакета установки и нажмите кнопку Сохранить.

  5. Перейдите в раздел Политики компьютеров> и нажмите кнопку Создать.

  6. В области навигации слева выберите Пакеты.

  7. В списке Пакеты выберите пакет установки на шаге 4.

  8. Для действия выберите Установить.

  9. Перейдите на вкладку Область , а затем выберите целевые компьютеры, прежде чем нажать кнопку Сохранить.

  10. На странице Общие введите имя новой политики.

Отключение устройств macOS с помощью JAMF Pro

Важно!

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.

  1. Если вы не используете MDE, удалите приложение. См. раздел Развертывание пакетовв документации ПО JAMF Pro.

  2. Перезапустите устройство macOS. (Некоторые приложения могут потерять функциональность печати до перезапуска.)