Подключение и отключение устройств macOS в решениях для обеспечения соответствия требованиям с помощью Intune для клиентов Microsoft Defender для конечной точки

Вы можете использовать Microsoft Intune для подключения устройств macOS к решениям Microsoft Purview.

Важно!

Используйте эту процедуру, если вы уже развернули Microsoft Defender для конечной точки (MDE) на устройствах macOS.

Область применения:

• Клиенты, которые MDE развернуты на своих устройствах macOS.
• Защита от потери данных в конечной точке
• Управление внутренними рисками

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

• Убедитесь, что устройства macOS подключены к Intune и зарегистрированы в приложении Корпоративный портал.
• Убедитесь, что у вас есть доступ к Центру администрирования Microsoft Intune.
• НЕОБЯЗАТЕЛЬНО. Установите браузер Microsoft Edge версии 95+ на устройствах macOS.

Примечание.

Поддерживаются три последних основных выпуска macOS.

Подключение устройств macOS к решениям Microsoft Purview с помощью Microsoft Intune

Если Microsoft Defender для конечных точек (MDE) уже развернута на устройстве macOS, вы по-прежнему можете подключить это устройство к решениям для обеспечения соответствия требованиям. Это многоэтапный процесс:

1. Create профили конфигурации системы
2. Обновление существующих профилей конфигурации системы
3. Обновление параметров MDE

Предварительные условия

Скачайте следующие файлы:

Файл	Описание
accessibility.mobileconfig	Используется для специальных возможностей
fulldisk.mobileconfig	Используется для предоставления полного доступа к диску (FDA).

Примечание.

Чтобы скачать файлы, выполните следующие действия:

1. Щелкните ссылку правой кнопкой мыши и выберите Сохранить ссылку как....
2. Выберите папку и сохраните файл.

Create профили конфигурации системы

1. Откройте Центр администрирования Microsoft Intune и перейдите враздел Профили конфигурацииустройств>.

2. Выберите: Create профиль.

3. Выберите следующие значения:

   1. Тип профиля = Шаблоны
   2. Имя шаблона = Пользовательский

4. Выберите пункт Создать.

5. Введите имя профиля, например Разрешение на специальные возможности Microsoft Purview, а затем нажмите кнопку Далее.

6. Выберите в accessibility.mobileconfig качестве файла профиля конфигурации (скачанный в рамках предварительных требований), а затем нажмите кнопку Далее.

7. На вкладке Назначения добавьте группу, в которую нужно развернуть эту конфигурацию, и нажмите кнопку Далее.

8. Просмотрите параметры и выберите Create для развертывания конфигурации.

9. Откройте устройства и перейдите кпрофилям конфигурацииmacOS>. Отобразятся созданные профили.

10. На странице Профили конфигурации выберите новый профиль. Затем выберите Состояние устройства , чтобы просмотреть список устройств и состояние развертывания профиля конфигурации.

Обновление существующих профилей конфигурации системы

1. Профиль конфигурации полного доступа к диску (FDA) должен быть создан и развернут ранее для MDE. (Дополнительные сведения см. в статье Развертывание на основе Intune для Microsoft Defender для конечной точки на Mac. Для защиты от потери данных конечной точки (DLP) требуется дополнительное разрешение FDA для нового приложения (com.microsoft.dlp.daemon).

2. Обновите существующий профиль конфигурации FDA, указав скачанный fulldisk.mobileconfig файл.

Обновление параметров MDE

1. Найдите существующий профиль конфигурации параметров MDE. Дополнительные сведения см. в статье Развертывание на основе Intune для Microsoft Defender для конечной точки на Mac.

2. Добавьте следующий ключ в файл mobileconfig, а затем сохраните файл.

   <key>features</key> 
       <dict> 
           <key>dataLossPrevention</key> 
           <string>enabled</string> 
       </dict> 
   

НЕОБЯЗАТЕЛЬНО. Разрешить передачу конфиденциальных данных через запрещенные домены

Microsoft Purview DLP проверяет наличие конфиденциальных данных на всех этапах их перемещения. Таким образом, если конфиденциальные данные публикуются или отправляются в разрешенный домен, но перемещаются через запрещенный домен, они блокируются. Давайте посмотрим поближе.

Предположим, что отправка конфиденциальных данных через Outlook Live (outlook.live.com) разрешена, но конфиденциальные данные не должны подвергаться microsoft.com. Однако при доступе пользователя к Outlook Live данные проходят через microsoft.com в фоновом режиме, как показано ниже.

По умолчанию, так как конфиденциальные данные проходят через microsoft.com на пути к outlook.live.com, защита от потери данных автоматически блокирует общий доступ к данным.

Однако в некоторых случаях вы можете не беспокоиться о доменах, через которые данные проходят на серверной части. Вместо этого вы можете быть обеспокоены только тем, где в конечном итоге попадают данные, о чем свидетельствует URL-адрес, отображаемый в адресной строке. В этом случае outlook.live.com. Чтобы предотвратить блокировку конфиденциальных данных в нашем примере, необходимо специально изменить параметр по умолчанию.

Таким образом, если вы хотите отслеживать только браузер и конечное назначение данных (URL-адрес в адресной строке браузера), можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress. Ниже приведено описание процедуры.

Чтобы изменить параметры, чтобы разрешить передачу конфиденциальных данных через запрещенные домены на пути к разрешенному домену, выполните следующие действия:

1. Откройте файл com.microsoft.wdav.mobileconfig .

2. В разделе dlp Задайте значение DLP_browser_only_cloud_egressвключено и задайте значение DLP_ax_only_cloud_egressвключено , как показано в следующем примере.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Отключение устройств macOS с помощью Microsoft Intune

Важно!

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные, полученные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.

1. В Центре администрирования Microsoft Intune откройтепрофили конфигурацииустройств>. Отобразятся созданные профили.

2. На странице Профили конфигурации выберите профиль параметров MDE.

3. Удалите следующие параметры:

    <key>features</key>
        <dict>
            <key>dataLossPrevention</key>
            <string>enabled</string>
        </dict>
   

4. Выберите Сохранить.