使用适用于 Microsoft Defender for Endpoint 客户的 JAMF Pro 将 macOS 设备载入和卸载到合规性解决方案
可以使用 JAMF Pro 将 macOS 设备载入 Microsoft Purview 解决方案。
重要
如果已将Microsoft Defender for Endpoint (MDE) 部署到 macOS 设备,请使用此过程
适用于:
- 已将MDE部署到其 macOS 设备的客户。
- 终结点数据丢失防护 (DLP)
- 内部风险管理
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
开始之前
- 确保 macOS 设备通过 JAMF Pro 进行管理,并与标识关联 (Microsoft Entra 通过 JAMF Connect 或Microsoft Intune加入 UPN) 。
- 可选:在 macOS 设备上安装 v95+ Edge 浏览器,以在 Edge 上提供本机终结点 DLP 支持。
注意
支持 macOS 的三个最新主要版本。
使用 JAMF Pro 将设备载入 Microsoft Purview 解决方案
将 macOS 设备加入合规性解决方案是一个多阶段过程。
先决条件
下载以下文件:
文件 | 说明 |
---|---|
accessibility.mobileconfig | 辅助功能 |
fulldisk.mobileconfig | 完全磁盘访问 (FDA) |
schema.json | MDE首选项 |
如果更新了其中任何单个文件,则必须下载已更新的捆绑文件并按所述重新部署。
提示
建议下载捆绑 (mdatp-nokext.mobileconfig) 文件,而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
如果其中任何文件已更新,则需要下载更新的捆绑包,或单独下载每个更新的文件。
注意
下载文件:
- 右键单击该链接,然后选择“ 将链接另存为...”。
- 选择文件夹并保存文件。
使用 JAMF PRO 控制台更新现有MDE首选项域配置文件
使用刚下载的 schema.json 文件更新 schema.xml 配置文件。
在“MDE首选项域属性”下,选择以下设置:
- 功能
- 使用数据丢失防护:
enabled
- 使用数据丢失防护:
- 数据丢失防护
- 功能
- 如果要仅监视云出口操作支持的浏览器,请将 DLP_browser_only_cloud_egress
enabled
设置为 。 enabled
如果要仅监视浏览器地址栏中的 URL (而不是云出口操作) 网络连接,请将 DLP_ax_only_cloud_egress 设置为 。
- 如果要仅监视云出口操作支持的浏览器,请将 DLP_browser_only_cloud_egress
- 功能
- 功能
选择“ 范围 ”选项卡。
选择要将此配置文件部署到的组。
选择“保存”。
启用完整磁盘访问
若要使用 fulldisk.mobileconfig
文件更新现有完整磁盘访问配置文件,请上传到 fulldisk.mobileconfig
JAMF。 有关详细信息,请参阅在 Jamf Pro 中设置Microsoft Defender for Endpoint macOS 策略。
启用对 Microsoft Purview 数据丢失防护的可访问性访问
若要授予对 DLP 的可访问性访问权限,请将 accessibility.mobileconfig
之前下载的文件上传到 JAMF,如 部署系统配置文件中所述。
可选:允许敏感数据通过禁止的域传递
Microsoft Purview DLP 在其传输的所有阶段检查敏感数据。 因此,如果敏感数据被发布或发送到允许的域,但通过禁止的域传输,则会阻止它。 让我们进一步了解一下。
假设允许通过 Outlook Live (outlook.live.com) 发送敏感数据,但不得向 microsoft.com 公开敏感数据。 但是,当用户访问 Outlook Live 时,数据会通过 后台 microsoft.com 传递,如下所示:
默认情况下,由于敏感数据在 outlook.live.com 时通过 microsoft.com,因此 DLP 会自动阻止共享数据。
但是,在某些情况下,你可能不关心数据在后端传递的域。 相反,你可能只关心数据最终的结束位置,如地址栏中显示的 URL 所示。 在这种情况下, outlook.live.com。 为了防止敏感数据在我们的示例中被阻止,需要专门更改默认设置。
因此,如果只想监视浏览器和数据的最终目标 (浏览器地址栏中的 URL) ,则可以启用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下:
若要更改设置以允许敏感数据在进入允许的域时通过禁止的域:
在 项下
dlp
,设置为DLP_browser_only_cloud_egress
enabled ,并将 设置为DLP_ax_only_cloud_egress
enabled ,如以下示例所示。<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
检查 macOS 设备
重启 macOS 设备。
打开 “系统首选项>配置文件”。
现在列出了以下配置文件:
- 辅助功能
- 完全磁盘访问
- 内核扩展配置文件
- 茂
- MDATP 载入
- MDE首选项
- 管理配置文件
- 网络筛选器
- 通知
- 系统扩展配置文件
使用 JAMF Pro 登出 macOS 设备
重要
卸载会导致设备停止向门户发送传感器数据。 但是,来自设备的数据(包括对其已发出的任何警报的引用)将保留长达六个月。
若要卸载 macOS 设备,请执行以下步骤
在“MDE首选项域属性”下,删除这些设置的值
- 功能
- 使用系统扩展
- 使用数据丢失防护
- 功能
选择“保存”。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈