使用适用于 Microsoft Defender for Endpoint 客户的 Intune 将 macOS 设备载入和卸载到合规性解决方案

可以使用Microsoft Intune将 macOS 设备载入 Microsoft Purview 解决方案。

重要

如果已将Microsoft Defender for Endpoint (MDE) 部署到 macOS 设备，请使用此过程。

适用于：

• 已将MDE部署到其 macOS 设备的客户。
• 终结点数据丢失防护 (DLP)
• 内部风险管理

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

• 确保 macOS 设备已载入Intune并在 公司门户 应用中注册。
• 确保有权访问Microsoft Intune管理中心。
• 可选：在 macOS 设备上安装 v95+ Microsoft Edge 浏览器。

注意

支持 macOS 的三个最新主要版本。

使用 Microsoft Intune 将 macOS 设备载入 Microsoft Purview 解决方案

如果已将终结点 (MDE) Microsoft Defender部署到 macOS 设备，则仍可以将该设备载入合规性解决方案。 这样做是多阶段过程：

1. Create系统配置文件
2. 更新现有系统配置文件
3. 更新MDE首选项

先决条件

下载以下文件：

文件	说明
accessibility.mobileconfig	用于辅助功能
fulldisk.mobileconfig	用于 (FDA) 授予完全磁盘访问权限。

注意

下载文件：

1. 右键单击该链接，然后选择“ 将链接另存为...”。
2. 选择文件夹并保存文件。

Create系统配置文件

1. 打开Microsoft Intune管理中心并导航到“设备>配置文件”。

2. 选择：Create配置文件。

3. 选择以下值：

   1. 配置文件类型 = 模板
   2. 模板名称 = 自定义

4. 选择"创建"。

5. 输入配置文件的名称，例如： Microsoft Purview 辅助功能权限，然后选择“ 下一步”。

6. accessibility.mobileconfig选择 作为配置文件 (作为先决条件) 下载的配置文件，然后选择“下一步”。

7. 在“ 分配 ”选项卡上，添加要部署到此配置的组，然后选择“ 下一步”。

8. 查看设置，然后选择“Create”以部署配置。

9. 打开 “设备” 并导航到 “macOS>配置文件”。 创建的配置文件将显示。

10. 在 “配置文件” 页上，选择新配置文件。 接下来，选择“ 设备状态 ”，查看设备列表和配置文件的部署状态。

更新现有系统配置文件

1. 之前应为MDE创建和部署完整的磁盘访问 (FDA) 配置文件。 (有关详细信息，请参阅 Mac) 上基于Microsoft Defender for Endpoint Intune部署。 (DLP) 的终结点数据丢失防护要求对新应用程序 (com.microsoft.dlp.daemon) 具有额外的 FDA 权限。

2. 使用下载 fulldisk.mobileconfig 的文件更新现有的 FDA 配置文件。

更新MDE首选项

1. 查找现有MDE首选项配置文件。 有关详细信息，请参阅 Mac 上的Microsoft Defender for Endpoint基于Intune部署。

2. 将以下密钥添加到 .mobileconfig 文件，然后保存该文件。

   <key>features</key> 
       <dict> 
           <key>dataLossPrevention</key> 
           <string>enabled</string> 
       </dict> 
   

可选：允许敏感数据通过禁止的域传递

Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此，如果敏感数据被发布或发送到允许的域，但通过禁止的域传输，则会阻止它。 让我们进一步了解一下。

假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据，但不得向 microsoft.com 公开敏感数据。 但是，当用户访问 Outlook Live 时，数据会通过 后台 microsoft.com 传递，如下所示：

默认情况下，由于敏感数据在 outlook.live.com 时通过 microsoft.com，因此 DLP 会自动阻止共享数据。

但是，在某些情况下，你可能不关心数据在后端传递的域。 相反，你可能只关心数据最终的结束位置，如地址栏中显示的 URL 所示。 在这种情况下， outlook.live.com。 为了防止敏感数据在我们的示例中被阻止，需要专门更改默认设置。

因此，如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ，则可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下：

若要更改设置以允许敏感数据在进入允许的域时通过禁止的域：

1. 打开 com.microsoft.wdav.mobileconfig 文件。

2. 在 项下 dlp ，设置为 DLP_browser_only_cloud_egressenabled ，并将 设置为 DLP_ax_only_cloud_egressenabled ，如以下示例所示。

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

使用 Microsoft Intune 登出 macOS 设备

重要

卸载会导致设备停止向门户发送传感器数据。 但是，从设备接收的数据（包括对其已发出的任何警报的引用）将保留长达六个月。

1. 在Microsoft Intune管理中心中，打开“设备>配置文件”。 创建的配置文件将显示。

2. 在“配置文件”页上，选择“MDE首选项”配置文件。

3. 删除以下设置：

    <key>features</key>
        <dict>
            <key>dataLossPrevention</key>
            <string>enabled</string>
        </dict>
   

4. 选择“保存”。