使用适用于 Microsoft Defender for Endpoint 客户的 JAMF Pro 将 macOS 设备载入和卸载到合规性解决方案

可以使用 JAMF Pro 将 macOS 设备载入 Microsoft Purview 解决方案。

重要

如果已将Microsoft Defender for Endpoint (MDE) 部署到 macOS 设备，请使用此过程

适用于：

• 已将MDE部署到其 macOS 设备的客户。
• 终结点数据丢失防护 (DLP)
• 内部风险管理

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

• 确保 macOS 设备通过 JAMF Pro 进行管理，并与标识关联 (Microsoft Entra 通过 JAMF Connect 或Microsoft Intune加入 UPN) 。
• 可选：在 macOS 设备上安装 v95+ Edge 浏览器，以在 Edge 上提供本机终结点 DLP 支持。

注意

支持 macOS 的三个最新主要版本。

使用 JAMF Pro 将设备载入 Microsoft Purview 解决方案

将 macOS 设备加入合规性解决方案是一个多阶段过程。

1. 使用 JAMF PRO 控制台更新现有MDE首选项域配置文件
2. 启用完整磁盘访问
3. 启用对 Microsoft Purview 数据丢失防护的可访问性访问
4. 检查 macOS 设备

先决条件

下载以下文件：

文件	说明
accessibility.mobileconfig	辅助功能
fulldisk.mobileconfig	完全磁盘访问 (FDA)
schema.json	MDE首选项

如果更新了其中任何单个文件，则必须下载已更新的捆绑文件并按所述重新部署。

提示

建议下载捆绑 (mdatp-nokext.mobileconfig) 文件，而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件：

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

如果其中任何文件已更新，则需要下载更新的捆绑包，或单独下载每个更新的文件。

注意

下载文件：

1. 右键单击该链接，然后选择“ 将链接另存为...”。
2. 选择文件夹并保存文件。

使用 JAMF PRO 控制台更新现有MDE首选项域配置文件

1. 使用刚下载的 schema.json 文件更新 schema.xml 配置文件。

2. 在“MDE首选项域属性”下，选择以下设置：

   • 功能
     • 使用数据丢失防护： enabled
   • 数据丢失防护
     • 功能
       • 如果要仅监视云出口操作支持的浏览器，请将 DLP_browser_only_cloud_egressenabled 设置为 。
       • enabled如果要仅监视浏览器地址栏中的 URL (而不是云出口操作) 网络连接，请将 DLP_ax_only_cloud_egress 设置为 。

3. 选择“ 范围 ”选项卡。

4. 选择要将此配置文件部署到的组。

5. 选择“保存”。

启用完整磁盘访问

若要使用 fulldisk.mobileconfig 文件更新现有完整磁盘访问配置文件，请上传到 fulldisk.mobileconfig JAMF。 有关详细信息，请参阅在 Jamf Pro 中设置Microsoft Defender for Endpoint macOS 策略。

启用对 Microsoft Purview 数据丢失防护的可访问性访问

若要授予对 DLP 的可访问性访问权限，请将 accessibility.mobileconfig 之前下载的文件上传到 JAMF，如 部署系统配置文件中所述。

可选：允许敏感数据通过禁止的域传递

Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此，如果敏感数据被发布或发送到允许的域，但通过禁止的域传输，则会阻止它。 让我们进一步了解一下。

假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据，但不得向 microsoft.com 公开敏感数据。 但是，当用户访问 Outlook Live 时，数据会通过 后台 microsoft.com 传递，如下所示：

默认情况下，由于敏感数据在 outlook.live.com 时通过 microsoft.com，因此 DLP 会自动阻止共享数据。

但是，在某些情况下，你可能不关心数据在后端传递的域。 相反，你可能只关心数据最终的结束位置，如地址栏中显示的 URL 所示。 在这种情况下， outlook.live.com。 为了防止敏感数据在我们的示例中被阻止，需要专门更改默认设置。

因此，如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ，则可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下：

若要更改设置以允许敏感数据在进入允许的域时通过禁止的域：

1. 打开 com.microsoft.wdav.mobileconfig 文件。

2. 在 项下 dlp ，设置为 DLP_browser_only_cloud_egressenabled ，并将 设置为 DLP_ax_only_cloud_egressenabled ，如以下示例所示。

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

检查 macOS 设备

1. 重启 macOS 设备。

2. 打开 “系统首选项>配置文件”。

3. 现在列出了以下配置文件：

   • 辅助功能
   • 完全磁盘访问
   • 内核扩展配置文件
   • 茂
   • MDATP 载入
   • MDE首选项
   • 管理配置文件
   • 网络筛选器
   • 通知
   • 系统扩展配置文件

使用 JAMF Pro 登出 macOS 设备

重要

卸载会导致设备停止向门户发送传感器数据。 但是，来自设备的数据（包括对其已发出的任何警报的引用）将保留长达六个月。

若要卸载 macOS 设备，请执行以下步骤

1. 在“MDE首选项域属性”下，删除这些设置的值

   • 功能
     • 使用系统扩展
     • 使用数据丢失防护

2. 选择“保存”。