Onboarding und Offboarding von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro
Sie können JAMF Pro verwenden, um macOS-Geräte in Microsoft Purview-Lösungen wie Endpoint Data Loss Prevention (DLP) zu integrieren.
Wichtig
Verwenden Sie dieses Verfahren, wenn Sie Microsoft Defender for Endpoint (MDE) nicht auf Ihren macOS-Geräten bereitgestellt haben.
Gilt für:
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Bevor Sie beginnen
- Stellen Sie sicher, dass Ihre macOS-Geräte über JAMF Pro verwaltet werden und über JAMF Connect oder Microsoft Intune einer Identität (Microsoft Entra verknüpften UPN) zugeordnet sind.
- OPTIONAL: Installieren Sie den Microsoft Edge-Browser v95 und höher auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung in Microsoft Edge zu ermöglichen.
Hinweis
Die drei neuesten Hauptversionen von macOS werden unterstützt.
Integrieren von Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro
Das Onboarding eines macOS-Geräts in Microsoft Purview-Lösungen ist ein mehrstufiger Prozess:
- Bereitstellen von Onboardingpaketen
- Konfigurieren von Anwendungseinstellungen
- Hochladen des Installationspakets
- Bereitstellen von Systemkonfigurationsprofilen
Voraussetzungen
Laden Sie die folgenden Dateien herunter.
Datei | Beschreibung |
---|---|
mdatp-nokext.mobileconfig | Dies ist die gebündelte Datei. |
schema.json | Dies ist die MDE-Einstellungsdatei. |
Tipp
Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.
Hinweis
So laden Sie die Dateien herunter:
- Klicken Sie mit der rechten Maustaste auf den Link, und wählen Sie Link speichern unter... aus.
- Wählen Sie einen Ordner aus, und speichern Sie die Datei.
Abrufen der Geräte-Onboarding- und Installationspakete
Öffnen Sie im Complianceportal Einstellungen>Geräte-Onboarding , und wählen Sie dann Onboarding aus.
Wählen Sie für den Wert Betriebssystem zum Starten des Onboardingprozesses auswählendie Option macOS aus.
Wählen Sie unter Bereitstellungsmethodedie Option Mobile Geräteverwaltung/Microsoft Intune aus.
Wählen Sie Onboardingpaket herunterladen aus, und extrahieren Sie dann den Inhalt des Geräte-Onboardingpakets. Die Datei DeviceComplianceOnboarding.plist wird in den Ordner JAMF heruntergeladen.
Wählen Sie Installationspaket herunterladen aus.
Bereitstellen von Onboardingpaketen
Erstellen Sie ein neues Konfigurationsprofil in JAMF Pro. Weitere Informationen finden Sie in der JAMF Pro-Dokumentation. Verwenden Sie die folgenden Werte:
- Name:MDATP-Onboarding für macOS
- Beschreibung: *MDATP-EDR-Onboarding für macOS
- Category:none
- Verteilungsmethode: *`Automatische Installation
- Ebene:Computerebene
Wählen Sie im Navigationsbereich Anwendung und Benutzerdefinierte Einstellungen und dann Hochladen aus.
Wählen Sie Hinzufügen aus. Geben Sie unter Einstellungsdomäne die Zeichenfolge ein.
com.microsoft.wdav.atp
Wählen Sie Hochladen und dann DeviceComplianceOnboarding.plist aus.
Wählen Sie Speichern aus.
Konfigurieren von Anwendungseinstellungen
Wichtig
Sie müssen com.microsoft.wdav als Wert für einstellungsdomäne verwenden. Microsoft Defender for Endpoint verwendet diesen Namen und com.microsoft.wdav.ext, um die verwalteten Einstellungen zu laden.
Melden Sie sich bei JAMF Pro an, um ein neues Konfigurationsprofil in JAMF Pro zu erstellen. Weitere Informationen finden Sie in der JAMF Pro-Dokumentation . Verwenden Sie die folgenden Werte:
- Name:MDATP MDAV-Konfigurationseinstellungen
- Beschreibung:Lassen Sie dieses Feld leer.
- Category:none
- Verteilungsmethode:automatisch installieren
- Ebene:Computerebene
Wählen Sie im Navigationsbereich Anwendung und Benutzerdefinierte Einstellungen und dann Externe Anwendungen aus.
Wählen Sie Hinzufügen und dann Benutzerdefiniertes Schema aus. Geben Sie für Einstellungsdomäne ein
com.microsoft.wdav
.Wählen Sie Schema hinzufügen und dann die Datei aus, die
schema.json
Sie von GitHub heruntergeladen haben.Wählen Sie Speichern aus.
Aktualisieren Sie die Einstellungen unter Einstellungsdomäneneigenschaften manuell wie folgt:
Features
- Wählen Sie unter Verhinderung von Datenverlust die Option
enabled
und dann Speichern aus.
- Wählen Sie unter Verhinderung von Datenverlust die Option
Verhinderung von Datenverlust
- Features
- Legen Sie DLP_browser_only_cloud_egress auf fest
enabled
, wenn Sie nur unterstützte Browser für Cloudausgangsvorgänge überwachen möchten. - Legen Sie DLP_ax_only_cloud_egress auf fest
enabled
, wenn Sie nur die URL in der Adressleiste des Browsers (anstelle von Netzwerkverbindungen) für Cloudausgangsvorgänge überwachen möchten.
- Legen Sie DLP_browser_only_cloud_egress auf fest
- Features
Antivirus-Engine
Wenn Sie nur die Verhinderung von Datenverlust und nicht MDE bereitstellen, führen Sie die folgenden Schritte aus:- Wählen Sie Echtzeitschutz aus.
- Wählen Sie passiven Modus aus.
- Wählen Sie Anwenden aus.
Geben Sie einen Namen für das Konfigurationsprofil ein, und wählen Sie dann Speichern aus.
Wählen Sie auf der nächsten Seite die Registerkarte Bereich aus, wählen Sie die entsprechenden Ziele für dieses Konfigurationsprofil aus, und wählen Sie dann Speichern aus.
OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden
Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.
Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:
Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.
In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.
Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:
So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:
Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .
Legen Sie
DLP_browser_only_cloud_egress
unter demdlp
Schlüssel auf aktiviert und auf aktiviert festDLP_ax_only_cloud_egress
, wie im folgenden Beispiel gezeigt.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Bereitstellen von Systemkonfigurationsprofilen
Wählen Sie in der JAMF Pro-Konsole auf der Seite Konfigurationsprofile die Option Hochladen und dann Datei aus.
Wählen Sie die
mdatp-nokext.mobileconfig
Datei aus, wählen Sie Öffnen und dann Hochladen aus.
Hochladen des Installationspakets
Navigieren Sie in der JAMF Pro-Konsole zu Verwaltungseinstellungen>Pakete , und wählen Sie dann Neu aus.
Geben Sie einen Anzeigenamen für das Paket ein, und wählen Sie (optional) eine Kategorie aus.
Wählen Sie unter Dateiname die Option Datei auswählen aus.
Wählen Sie die
wdav.pkg
Installationspaketdatei und dann Speichern aus.Navigieren Sie zu Computerrichtlinien>, und wählen Sie Neu aus.
Wählen Sie im linken Navigationsbereich Pakete aus.
Wählen Sie in der Liste Pakete das Installationspaket aus Schritt 4 aus.
Wählen Sie für die AktionInstallieren aus.
Wählen Sie die Registerkarte Bereich und dann Zielcomputer aus, bevor Sie Speichern auswählen.
Geben Sie auf der Seite Allgemein einen Namen für die neue Richtlinie ein.
Offboarden von macOS-Geräten mit JAMF Pro
Wichtig
Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich Verweise auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.
Wenn Sie MDE nicht verwenden, deinstallieren Sie die Anwendung. Weitere Informationen finden Sie im Abschnitt Paketbereitstellung in der JAMF Pro-Dokumentation.
Starten Sie das macOS-Gerät neu. (Einige Anwendungen verlieren möglicherweise die Druckfunktionalität, bis sie neu gestartet werden.)
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für