Onboarding und Offboarding von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von Intune
Sie können Microsoft Intune verwenden, um macOS-Geräte in Microsoft Purview-Lösungen zu integrieren.
Wichtig
Verwenden Sie dieses Verfahren, wenn Sie nicht Microsoft Defender for Endpoint (MDE) auf Ihren macOS-Geräten bereitgestellt haben.
Gilt für:
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Bevor Sie beginnen
- Stellen Sie sicher, dass Ihre macOS-Geräte in Intune integriert und in der Unternehmensportal-App registriert sind.
- Stellen Sie sicher, dass Sie Zugriff auf das Microsoft Intune Admin Center haben.
- Erstellen Sie die Benutzergruppen, denen Sie die Konfigurationsupdates zuweisen möchten.
- OPTIONAL: Installieren Sie den Microsoft Edge-Browser v95 und höher auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung auf Microsoft Edge zu erhalten.
Hinweis
Die drei neuesten Hauptversionen von macOS werden unterstützt.
Integrieren von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von Microsoft Intune
Das Onboarding eines macOS-Geräts in Compliancelösungen ist ein mehrstufiger Prozess.
- Abrufen des Geräte-Onboardingpakets
- Bereitstellen der pakete "mobileconfig" und "onboarding"
- Veröffentlichen der Anwendung
Voraussetzungen
Laden Sie die folgenden Dateien herunter:
Datei | Beschreibung |
---|---|
mdatp-nokext.mobileconfig | Konfigurationsdatei für das mobile System |
com.microsoft.wdav.mobileconfig. | MDE-Einstellungen |
Tipp
Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.
Abrufen des Geräte-Onboardingpakets
Öffnen Sie im Microsoft Purview Compliance CenterEinstellungen>Geräte-Onboarding , und wählen Sie dann Onboarding aus.
Wählen Sie für die Option Betriebssystem zum Starten des Onboardingprozesses auswählendie Option macOS aus.
Wählen Sie unter Bereitstellungsmethodedie Option Mobile Geräteverwaltung/Microsoft Intune aus.
Wählen Sie Onboardingpaket herunterladen aus.
Extrahieren Sie die .ZIP Datei, und öffnen Sie den Intune-Ordner . Dieser enthält den Onboardingcode in der DeviceComplianceOnboarding.xml-Datei .
Bereitstellen der pakete "mobileconfig" und "onboarding"
Öffnen Sie das Microsoft Intune Admin Center, und navigieren Sie zuGerätekonfigurationsprofile>.
Wählen Sie: Profil erstellen aus.
Wählen Sie die folgenden Werte aus:
- Platform = macOS
- Profiltyp = Vorlagen
- Vorlagenname = Benutzerdefiniert
Wählen Sie Erstellen.
Geben Sie einen Namen für das Profil ein, z. B. Microsoft Purview System MobileConfig, und wählen Sie dann Weiter aus.
Wählen Sie die
mdatp-nokext.mobileconfig
Datei aus, die Sie in Schritt 1 als Konfigurationsprofildatei heruntergeladen haben.Wählen Sie Weiter aus.
Fügen Sie auf der Registerkarte Zuweisungen die Gruppe hinzu, in der Sie diese Konfigurationen bereitstellen möchten, und wählen Sie dann Weiter aus.
Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus, um die Konfiguration bereitzustellen.
Wiederholen Sie die Schritte 2 bis 9, um Profile für folgendes zu erstellen:
- DeviceComplianceOnboarding.xml Datei. Nennen Sie es Microsoft Purview Device Onboarding Package
- com.microsoft.wdav.mobileconfig-Datei . Nennen Sie es Microsoft Endpoint Device Preferences
Öffnen SieGerätekonfigurationsprofile>. Die von Ihnen erstellten Profile werden jetzt angezeigt.
Wählen Sie auf der Seite Konfigurationsprofile das Profil aus, das Sie gerade erstellt haben. Wählen Sie als Nächstes Device status aus, um eine Liste der Geräte und die Bereitstellungs-status des Konfigurationsprofils anzuzeigen.
Hinweis
Wenn Sie für den Upload in den Clouddienst nur den Browser und die URL in der Adressleiste des Browsers überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren.
Hier ist ein Beispiel für com.microsoft.wdav.mobileconfig.
Veröffentlichen der Anwendung
Microsoft Endpoint Data Loss Protection wird als Komponente von Microsoft Defender for Endpoint unter macOS installiert. Dieses Verfahren gilt für das Onboarding von Geräten in Microsoft Purview-Lösungen.
Öffnen Sie im Microsoft Intune Admin CenterApps.
Wählen Sie Nach Plattform>macOS>Hinzufügen aus.
Wählen Sie App-Typ=macOS und dann Auswählen aus. Wählen Sie Microsoft Defender for Endpoint aus.
Behalten Sie die Standardwerte bei, und wählen Sie dann Weiter aus.
Fügen Sie Zuweisungen hinzu, und wählen Sie dann Weiter aus.
Überprüfen Sie die von Ihnen ausgewählten Einstellungen, und wählen Sie dann Erstellen aus.
Sie können Apps>nach plattform>macOS besuchen, um die neue Anwendung in der Liste aller Anwendungen anzuzeigen.
OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden
Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.
Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:
Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.
In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.
Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:
So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:
Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .
Legen Sie
DLP_browser_only_cloud_egress
unter demdlp
Schlüssel auf aktiviert und auf aktiviert festDLP_ax_only_cloud_egress
, wie im folgenden Beispiel gezeigt.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Offboarden von macOS-Geräten mit Intune
Hinweis
Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich des Verweises auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.
Öffnen Sie im Microsoft Intune Admin Centergerätekonfigurationsprofile>. Die von Ihnen erstellten Profile werden aufgelistet.
Wählen Sie auf der Seite Konfigurationsprofile das Profil wdav.pkg.intunemac aus.
Wählen Sie Device status aus, um eine Liste der Geräte und die bereitstellungs- status des Konfigurationsprofils anzuzeigen.
Öffnen Sie Eigenschaften und dann Zuweisungen.
Entfernen Sie die Gruppe aus der Zuweisung. Dadurch wird das paket wdav.pkg.intunemac deinstalliert und das macOS-Gerät von Compliancelösungen ausgelagert.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für