使用 JAMF Pro 将 macOS 设备载入和卸载到 Microsoft Purview 解决方案中
可以使用 JAMF Pro 将 macOS 设备加入 Microsoft Purview 解决方案,例如终结点数据丢失防护 (DLP) 。
重要
如果没有将 Microsoft Defender for Endpoint (MDE ) 部署到 macOS 设备,请使用此过程。
适用于:
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
开始之前
- 确保 macOS 设备通过 JAMF pro 进行管理,并与通过 JAMF Connect 或Microsoft Intune加入的 UPN) 标识 (Microsoft Entra 关联。
- 可选:在 macOS 设备上安装 v95+ Microsoft Edge 浏览器,以便在 Microsoft Edge 上实现本机 Endpoint DLP 支持。
注意
支持 macOS 的三个最新主要版本。
使用 JAMF Pro 将设备载入 Microsoft Purview 解决方案
将 macOS 设备载入 Microsoft Purview 解决方案是一个多阶段过程:
先决条件
下载以下文件。
| 文件 | 说明 |
|---|---|
| mdatp-nokext.mobileconfig | 这是捆绑文件。 |
| schema.json | 这是 MDE 首选项文件。 |
提示
建议下载捆绑 (mdatp-nokext.mobileconfig) 文件,而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
如果其中任何文件已更新,则需要下载更新的捆绑包,或单独下载每个更新的文件。
注意
下载文件:
- 右键单击该链接,然后选择“ 将链接另存为...”。
- 选择文件夹并保存文件。
获取设备载入和安装包
在合规性门户中,打开“设置设备载入”>,然后选择“载入”。
对于 “选择操作系统以开始载入进程 ”值,请选择 “macOS”。
对于“部署方法”,请选择“移动设备管理/Microsoft Intune”。
选择 “下载载入包 ”,然后提取设备载入包的内容。 DeviceComplianceOnboarding.plist 文件将下载到 JAMF 文件夹。
选择 “下载安装包”。
部署载入包
在 JAMF Pro 中创建新的配置文件。 请参阅 JAMF Pro 文档。 使用以下值:
- 名称:适用于 macOS 的 MDATP 载入
- 描述: *适用于 macOS 的 MDATP EDR 载入
- Category:none
- 分发方法: *`自动安装
- 级别:计算机级别
在导航窗格中,选择“ 应用程序和自定义设置” ,然后选择“ 上传”。
选择添加。 对于 “首选项域”,输入
com.microsoft.wdav.atp选择 “上传”,然后选择“ DeviceComplianceOnboarding.plist”。
选择“保存”。
配置应用程序首选项
重要
必须使用 com.microsoft.wdav 作为 首选项域 值。 Microsoft Defender for Endpoint使用此名称和 com.microsoft.wdav.ext 来加载托管设置。
登录到 JAMF Pro 以在 JAMF Pro 中创建新的配置文件。 有关详细信息,请参阅 JAMF Pro 文档 。 使用以下值:
- 名称:MDATP MDAV 配置设置
- 说明:将此留空
- Category:none
- 分发方法:自动安装
- 级别:计算机级别
在导航窗格中,选择“ 应用程序和自定义设置” ,然后选择“ 外部应用程序”。
选择 “添加 ”,然后选择“ 自定义架构”。 对于 “首选项域”,输入
com.microsoft.wdav。
选择 “添加架构 ”,
schema.json然后选择从 GitHub 下载的文件。选择“保存”。
在 “首选项域属性”下 ,手动更新设置,如下所示:
功能
- 对于 “数据丢失防护”,请选择,
enabled然后选择“ 保存”。
- 对于 “数据丢失防护”,请选择,
数据丢失防护
- 功能
- 如果要仅监视云出口操作支持的浏览器,请将 DLP_browser_only_cloud_egress
enabled设置为 。 enabled如果要仅监视浏览器地址栏中的 URL (而不是云出口操作) 网络连接,请将 DLP_ax_only_cloud_egress 设置为 。
- 如果要仅监视云出口操作支持的浏览器,请将 DLP_browser_only_cloud_egress
- 功能
防病毒引擎
如果 仅 部署数据丢失防护,而不部署 MDE,请执行以下步骤:- 选择 “实时保护”。
- 选择 “被动模式”。
- 选择“应用”。
输入配置文件的名称,然后选择“ 保存”。
在下一页上,选择“ 范围 ”选项卡,为此配置文件选择适当的目标,然后选择“ 保存”。
可选:允许敏感数据通过禁止的域传递
Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此,如果敏感数据被发布或发送到允许的域,但通过禁止的域传输,则会阻止它。 让我们进一步了解一下。
假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据,但不得向 microsoft.com 公开敏感数据。 但是,当用户访问 Outlook Live 时,数据会通过 后台 microsoft.com 传递,如下所示:
默认情况下,由于敏感数据在 outlook.live.com 时通过 microsoft.com,因此 DLP 会自动阻止共享数据。
但是,在某些情况下,你可能不关心数据在后端传递的域。 相反,你可能只关心数据最终的结束位置,如地址栏中显示的 URL 所示。 在这种情况下, outlook.live.com。 为了防止敏感数据在我们的示例中被阻止,需要专门更改默认设置。
因此,如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ,则可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下:
若要更改设置以允许敏感数据在进入允许的域时通过禁止的域:
在 项下
dlp,设置为DLP_browser_only_cloud_egressenabled ,并将 设置为DLP_ax_only_cloud_egressenabled ,如以下示例所示。<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
部署系统配置文件
在 JAMF Pro 控制台的 “配置文件” 页上,选择“ 上传 ”,然后选择“ 文件”。
mdatp-nokext.mobileconfig选择文件,选择“打开”,然后选择“上传”。
上传安装包
在 JAMF Pro 控制台中,导航到“管理设置包”>,然后选择“新建”。
输入包的显示名称, (可以选择) 选择类别。
在 “文件名” 下,选择“ 选择文件”。
选择
wdav.pkg安装包文件,然后选择 “保存”。导航到 “计算机>策略” ,然后选择“ 新建”。
在左侧导航窗格中,选择“ 包”。
从 “包 ”列表中,选择步骤 4 中的安装包。
对于 “操作 ”,请选择 “安装”。
在选择“保存”之前,选择“作用域”选项卡,然后选择“目标计算机”。
在“ 常规 ”页上,输入新策略的名称。
使用 JAMF Pro 登出 macOS 设备
重要
卸载会导致设备停止向门户发送传感器数据。 但是,来自设备的数据(包括对其已发出的任何警报的引用)将保留长达六个月。
如果未使用 MDE,请卸载应用程序。 请参阅 JAMF Pro 文档中的“包部署”部分。
重启 macOS 设备。 (某些应用程序在重新启动之前可能会丢失打印功能。)
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈