使用 Intune 将 macOS 设备载入和卸载到 Microsoft Purview 解决方案中
可以使用Microsoft Intune将 macOS 设备载入 Microsoft Purview 解决方案。
重要
如果没有将 Microsoft Defender for Endpoint (MDE ) 部署到 macOS 设备,请使用此过程
适用于:
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
开始之前
- 确保 macOS 设备已载入 Intune 并在 公司门户 应用中注册。
- 确保有权访问Microsoft Intune管理中心。
- 创建要向其分配配置更新的用户组。
- 可选:在 macOS 设备上安装 v95+ Microsoft Edge 浏览器,以在 Microsoft Edge 上提供本机终结点 DLP 支持。
注意
支持 macOS 的三个最新主要版本。
使用 Microsoft Intune 将 macOS 设备载入 Microsoft Purview 解决方案
将 macOS 设备加入合规性解决方案是一个多阶段过程。
先决条件
下载以下文件:
文件 | 说明 |
---|---|
mdatp-nokext.mobileconfig | 系统移动配置文件 |
com.microsoft.wdav.mobileconfig。 | MDE 首选项 |
提示
建议下载捆绑 (mdatp-nokext.mobileconfig) 文件,而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
如果其中任何文件已更新,则需要下载更新的捆绑包,或单独下载每个更新的文件。
获取设备载入包
在 Microsoft Purview 合规中心打开“设置设备载入”>,然后选择“载入”。
对于 “选择操作系统以启动载入过程 ”选项,请选择 “macOS”。
对于“部署方法”,请选择“移动设备管理/Microsoft Intune”。
选择 “下载载入包”。
提取 .ZIP 文件并打开 Intune 文件夹。 这包含 DeviceComplianceOnboarding.xml 文件中的载入代码。
部署 mobileconfig 和载入包
打开Microsoft Intune管理中心并导航到“设备>配置文件”。
选择: 创建配置文件。
选择以下值:
- Platform = macOS
- 配置文件类型 = 模板
- 模板名称 = 自定义
选择"创建"。
输入配置文件的名称(例如 Microsoft Purview System MobileConfig),然后选择“ 下一步”。
选择
mdatp-nokext.mobileconfig
在步骤 1 中下载的文件作为配置文件。选择“下一步”。
在“ 分配 ”选项卡上,添加要将这些配置部署到的组,然后选择“ 下一步”。
查看设置,然后选择“ 创建” 以部署配置。
重复步骤 2-9,为以下项创建配置文件:
- DeviceComplianceOnboarding.xml 文件。 将其命名 为 Microsoft Purview 设备载入包
- com.microsoft.wdav.mobileconfig 文件。 将其命名 为 Microsoft Endpoint Device Preferences
打开 “设备>配置文件”。 现在会显示创建的配置文件。
在 “配置文件” 页中,选择刚刚创建的配置文件。 接下来,选择“ 设备状态 ”,查看设备列表和配置文件的部署状态。
注意
对于 上传到云服务 活动,如果只想监视浏览器和浏览器地址栏中的 URL,可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。
下面是 com.microsoft.wdav.mobileconfig 示例。
发布应用程序
Microsoft Endpoint 数据丢失保护作为 macOS 上的Microsoft Defender for Endpoint组件安装。 此过程适用于将设备载入 Microsoft Purview 解决方案
在Microsoft Intune管理中心中,打开“应用”。
选择“ 按平台>macOS>添加”。
选择 “应用类型=macOS”,然后选择“ 选择”。 选择“Microsoft Defender for Endpoint”。
保留默认值,然后选择“ 下一步”。
添加作业,然后选择“ 下一步”。
查看所选设置,然后选择“ 创建”。
可以访问 应用>平台>macOS ,查看所有应用程序列表中的新应用程序。
可选:允许敏感数据通过禁止的域传递
Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此,如果敏感数据被发布或发送到允许的域,但通过禁止的域传输,则会阻止它。 让我们进一步了解一下。
假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据,但不得向 microsoft.com 公开敏感数据。 但是,当用户访问 Outlook Live 时,数据会通过 后台 microsoft.com 传递,如下所示:
默认情况下,由于敏感数据在 outlook.live.com 时通过 microsoft.com,因此 DLP 会自动阻止共享数据。
但是,在某些情况下,你可能不关心数据在后端传递的域。 相反,你可能只关心数据最终的结束位置,如地址栏中显示的 URL 所示。 在这种情况下, outlook.live.com。 为了防止敏感数据在我们的示例中被阻止,需要专门更改默认设置。
因此,如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ,则可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下:
若要更改设置以允许敏感数据在进入允许的域时通过禁止的域:
在 项下
dlp
,设置为DLP_browser_only_cloud_egress
enabled ,并将 设置为DLP_ax_only_cloud_egress
enabled ,如以下示例所示。<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
使用 Intune 卸载 macOS 设备
注意
卸载会导致设备停止向门户发送传感器数据。 但是,来自设备的数据(包括对已发出的任何警报的引用)将保留长达六个月。
在Microsoft Intune管理中心中,打开“设备>配置文件”。 将列出创建的配置文件。
在 “配置文件” 页上,选择 “wdav.pkg.intunemac ”配置文件。
选择 “设备状态 ”可查看设备列表和配置文件的部署状态。
打开 “属性” ,然后 打开“工作分配”。
从作业中删除组。 这将卸载 wdav.pkg.intunemac 包,并从合规性解决方案中卸载 macOS 设备。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈