Onboarding und Offboarding von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von Intune

  • Artikel

Sie können Microsoft Intune verwenden, um macOS-Geräte in Microsoft Purview-Lösungen zu integrieren.

Wichtig

Verwenden Sie dieses Verfahren, wenn Sie nicht Microsoft Defender for Endpoint (MDE) auf Ihren macOS-Geräten bereitgestellt haben.

Gilt für:

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

  • Stellen Sie sicher, dass Ihre macOS-Geräte in Intune integriert und in der Unternehmensportal-App registriert sind.
  • Stellen Sie sicher, dass Sie Zugriff auf das Microsoft Intune Admin Center haben.
  • Erstellen Sie die Benutzergruppen, denen Sie die Konfigurationsupdates zuweisen möchten.
  • OPTIONAL: Installieren Sie den Microsoft Edge-Browser v95 und höher auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung auf Microsoft Edge zu erhalten.

Hinweis

Die drei neuesten Hauptversionen von macOS werden unterstützt.

Integrieren von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von Microsoft Intune

Das Onboarding eines macOS-Geräts in Compliancelösungen ist ein mehrstufiger Prozess.

  1. Abrufen des Geräte-Onboardingpakets
  2. Bereitstellen der pakete "mobileconfig" und "onboarding"
  3. Veröffentlichen der Anwendung

Voraussetzungen

Laden Sie die folgenden Dateien herunter:

Datei Beschreibung
mdatp-nokext.mobileconfig Konfigurationsdatei für das mobile System
com.microsoft.wdav.mobileconfig. MDE-Einstellungen

Tipp

Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.

Abrufen des Geräte-Onboardingpakets

Screenshot der Registerkarte

  1. Öffnen Sie im Microsoft Purview Compliance CenterEinstellungen>Geräte-Onboarding , und wählen Sie dann Onboarding aus.

  2. Wählen Sie für die Option Betriebssystem zum Starten des Onboardingprozesses auswählendie Option macOS aus.

  3. Wählen Sie unter Bereitstellungsmethodedie Option Mobile Geräteverwaltung/Microsoft Intune aus.

  4. Wählen Sie Onboardingpaket herunterladen aus.

  5. Extrahieren Sie die .ZIP Datei, und öffnen Sie den Intune-Ordner . Dieser enthält den Onboardingcode in der DeviceComplianceOnboarding.xml-Datei .

Bereitstellen der pakete "mobileconfig" und "onboarding"

  1. Öffnen Sie das Microsoft Intune Admin Center, und navigieren Sie zuGerätekonfigurationsprofile>.

  2. Wählen Sie: Profil erstellen aus.

  3. Wählen Sie die folgenden Werte aus:

    1. Platform = macOS
    2. Profiltyp = Vorlagen
    3. Vorlagenname = Benutzerdefiniert

  4. Wählen Sie Erstellen.

  5. Geben Sie einen Namen für das Profil ein, z. B. Microsoft Purview System MobileConfig, und wählen Sie dann Weiter aus.

  6. Wählen Sie die mdatp-nokext.mobileconfig Datei aus, die Sie in Schritt 1 als Konfigurationsprofildatei heruntergeladen haben.

  7. Wählen Sie Weiter aus.

  8. Fügen Sie auf der Registerkarte Zuweisungen die Gruppe hinzu, in der Sie diese Konfigurationen bereitstellen möchten, und wählen Sie dann Weiter aus.

  9. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus, um die Konfiguration bereitzustellen.

  10. Wiederholen Sie die Schritte 2 bis 9, um Profile für folgendes zu erstellen:

    1. DeviceComplianceOnboarding.xml Datei. Nennen Sie es Microsoft Purview Device Onboarding Package
    2. com.microsoft.wdav.mobileconfig-Datei . Nennen Sie es Microsoft Endpoint Device Preferences

  11. Öffnen SieGerätekonfigurationsprofile>. Die von Ihnen erstellten Profile werden jetzt angezeigt.

  12. Wählen Sie auf der Seite Konfigurationsprofile das Profil aus, das Sie gerade erstellt haben. Wählen Sie als Nächstes Device status aus, um eine Liste der Geräte und die Bereitstellungs-status des Konfigurationsprofils anzuzeigen.

Hinweis

Wenn Sie für den Upload in den Clouddienst nur den Browser und die URL in der Adressleiste des Browsers überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren.

Hier ist ein Beispiel für com.microsoft.wdav.mobileconfig.

Veröffentlichen der Anwendung

Microsoft Endpoint Data Loss Protection wird als Komponente von Microsoft Defender for Endpoint unter macOS installiert. Dieses Verfahren gilt für das Onboarding von Geräten in Microsoft Purview-Lösungen.

  1. Öffnen Sie im Microsoft Intune Admin CenterApps.

  2. Wählen Sie Nach Plattform>macOS>Hinzufügen aus.

  3. Wählen Sie App-Typ=macOS und dann Auswählen aus. Wählen Sie Microsoft Defender for Endpoint aus.

  4. Behalten Sie die Standardwerte bei, und wählen Sie dann Weiter aus.

  5. Fügen Sie Zuweisungen hinzu, und wählen Sie dann Weiter aus.

  6. Überprüfen Sie die von Ihnen ausgewählten Einstellungen, und wählen Sie dann Erstellen aus.

  7. Sie können Apps>nach plattform>macOS besuchen, um die neue Anwendung in der Liste aller Anwendungen anzuzeigen.

OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden

Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.

Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:

Screenshot: Datenfluss von der Quelle zur Ziel-URL

Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.

In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.

Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:

So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:

  1. Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .

  2. Legen Sie DLP_browser_only_cloud_egress unter dem dlp Schlüssel auf aktiviert und auf aktiviert fest DLP_ax_only_cloud_egress, wie im folgenden Beispiel gezeigt.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Offboarden von macOS-Geräten mit Intune

Hinweis

Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich des Verweises auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.

  1. Öffnen Sie im Microsoft Intune Admin Centergerätekonfigurationsprofile>. Die von Ihnen erstellten Profile werden aufgelistet.

  2. Wählen Sie auf der Seite Konfigurationsprofile das Profil wdav.pkg.intunemac aus.

  3. Wählen Sie Device status aus, um eine Liste der Geräte und die bereitstellungs- status des Konfigurationsprofils anzuzeigen.

  4. Öffnen Sie Eigenschaften und dann Zuweisungen.

  5. Entfernen Sie die Gruppe aus der Zuweisung. Dadurch wird das paket wdav.pkg.intunemac deinstalliert und das macOS-Gerät von Compliancelösungen ausgelagert.