使用 Intune 将 macOS 设备载入和卸载到 Microsoft Purview 解决方案中

  • 项目

可以使用Microsoft Intune将 macOS 设备载入 Microsoft Purview 解决方案。

重要

如果没有将 Microsoft Defender for Endpoint (MDE ) 部署到 macOS 设备,请使用此过程

适用于:

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

注意

支持 macOS 的三个最新主要版本。

使用 Microsoft Intune 将 macOS 设备载入 Microsoft Purview 解决方案

将 macOS 设备加入合规性解决方案是一个多阶段过程。

  1. 获取设备载入包
  2. 部署 mobileconfig 和载入包
  3. 发布应用程序

先决条件

下载以下文件:

文件 说明
mdatp-nokext.mobileconfig 系统移动配置文件
com.microsoft.wdav.mobileconfig MDE 首选项

提示

建议下载捆绑 (mdatp-nokext.mobileconfig) 文件,而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

如果其中任何文件已更新,则需要下载更新的捆绑包,或单独下载每个更新的文件。

获取设备载入包

“Microsoft Intune配置设置”选项卡的屏幕截图,其中填充了所有字段。

  1. Microsoft Purview 合规中心打开“设置设备载入”>,然后选择“载入”。

  2. 对于 “选择操作系统以启动载入过程 ”选项,请选择 “macOS”。

  3. 对于“部署方法”,请选择“移动设备管理/Microsoft Intune”。

  4. 选择 “下载载入包”。

  5. 提取 .ZIP 文件并打开 Intune 文件夹。 这包含 DeviceComplianceOnboarding.xml 文件中的载入代码。

部署 mobileconfig 和载入包

  1. 打开Microsoft Intune管理中心并导航到“设备>配置文件”。

  2. 选择: 创建配置文件

  3. 选择以下值:

    1. Platform = macOS
    2. 配置文件类型 = 模板
    3. 模板名称 = 自定义

  4. 选择"创建"。

  5. 输入配置文件的名称(例如 Microsoft Purview System MobileConfig),然后选择“ 下一步”。

  6. 选择 mdatp-nokext.mobileconfig 在步骤 1 中下载的文件作为配置文件。

  7. 选择“下一步”。

  8. 在“ 分配 ”选项卡上,添加要将这些配置部署到的组,然后选择“ 下一步”。

  9. 查看设置,然后选择“ 创建” 以部署配置。

  10. 重复步骤 2-9,为以下项创建配置文件:

    1. DeviceComplianceOnboarding.xml 文件。 将其命名 为 Microsoft Purview 设备载入包
    2. com.microsoft.wdav.mobileconfig 文件。 将其命名 为 Microsoft Endpoint Device Preferences

  11. 打开 “设备>配置文件”。 现在会显示创建的配置文件。

  12. “配置文件” 页中,选择刚刚创建的配置文件。 接下来,选择“ 设备状态 ”,查看设备列表和配置文件的部署状态。

注意

对于 上传到云服务 活动,如果只想监视浏览器和浏览器地址栏中的 URL,可以启用 DLP_browser_only_cloud_egressDLP_ax_only_cloud_egress

下面是 com.microsoft.wdav.mobileconfig 示例。

发布应用程序

Microsoft Endpoint 数据丢失保护作为 macOS 上的Microsoft Defender for Endpoint组件安装。 此过程适用于将设备载入 Microsoft Purview 解决方案

  1. Microsoft Intune管理中心中,打开“应用”。

  2. 选择“ 按平台>macOS>添加”。

  3. 选择 “应用类型=macOS”,然后选择“ 选择”。 选择“Microsoft Defender for Endpoint”。

  4. 保留默认值,然后选择“ 下一步”。

  5. 添加作业,然后选择“ 下一步”。

  6. 查看所选设置,然后选择“ 创建”。

  7. 可以访问 应用>平台>macOS ,查看所有应用程序列表中的新应用程序。

可选:允许敏感数据通过禁止的域传递

Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此,如果敏感数据被发布或发送到允许的域,但通过禁止的域传输,则会阻止它。 让我们进一步了解一下。

假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据,但不得向 microsoft.com 公开敏感数据。 但是,当用户访问 Outlook Live 时,数据会通过 后台 microsoft.com 传递,如下所示:

显示从源 URL 到目标 URL 的数据流的屏幕截图。

默认情况下,由于敏感数据在 outlook.live.com 时通过 microsoft.com,因此 DLP 会自动阻止共享数据。

但是,在某些情况下,你可能不关心数据在后端传递的域。 相反,你可能只关心数据最终的结束位置,如地址栏中显示的 URL 所示。 在这种情况下, outlook.live.com。 为了防止敏感数据在我们的示例中被阻止,需要专门更改默认设置。

因此,如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ,则可以启用 DLP_browser_only_cloud_egressDLP_ax_only_cloud_egress。 方法如下:

若要更改设置以允许敏感数据在进入允许的域时通过禁止的域:

  1. 打开 com.microsoft.wdav.mobileconfig 文件。

  2. 在 项下 dlp ,设置为 DLP_browser_only_cloud_egressenabled ,并将 设置为 DLP_ax_only_cloud_egressenabled ,如以下示例所示。

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

使用 Intune 卸载 macOS 设备

注意

卸载会导致设备停止向门户发送传感器数据。 但是,来自设备的数据(包括对已发出的任何警报的引用)将保留长达六个月。

  1. Microsoft Intune管理中心中,打开“设备>配置文件”。 将列出创建的配置文件。

  2. “配置文件” 页上,选择 “wdav.pkg.intunemac ”配置文件。

  3. 选择 “设备状态 ”可查看设备列表和配置文件的部署状态。

  4. 打开 “属性” ,然后 打开“工作分配”。

  5. 从作业中删除组。 这将卸载 wdav.pkg.intunemac 包,并从合规性解决方案中卸载 macOS 设备。