Onboarding und Offboarding von macOS-Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro

  • Artikel

Sie können JAMF Pro verwenden, um macOS-Geräte in Microsoft Purview-Lösungen wie Endpoint Data Loss Prevention (DLP) zu integrieren.

Wichtig

Verwenden Sie dieses Verfahren, wenn Sie Microsoft Defender for Endpoint (MDE) nicht auf Ihren macOS-Geräten bereitgestellt haben.

Gilt für:

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Bevor Sie beginnen

  • Stellen Sie sicher, dass Ihre macOS-Geräte über JAMF Pro verwaltet werden und über JAMF Connect oder Microsoft Intune einer Identität (Microsoft Entra verknüpften UPN) zugeordnet sind.
  • OPTIONAL: Installieren Sie den Microsoft Edge-Browser v95 und höher auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung in Microsoft Edge zu ermöglichen.

Hinweis

Die drei neuesten Hauptversionen von macOS werden unterstützt.

Integrieren von Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro

Das Onboarding eines macOS-Geräts in Microsoft Purview-Lösungen ist ein mehrstufiger Prozess:

  1. Bereitstellen von Onboardingpaketen
  2. Konfigurieren von Anwendungseinstellungen
  3. Hochladen des Installationspakets
  4. Bereitstellen von Systemkonfigurationsprofilen

Voraussetzungen

Laden Sie die folgenden Dateien herunter.

Datei Beschreibung
mdatp-nokext.mobileconfig Dies ist die gebündelte Datei.
schema.json Dies ist die MDE-Einstellungsdatei.

Tipp

Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.

Hinweis

So laden Sie die Dateien herunter:

  1. Klicken Sie mit der rechten Maustaste auf den Link, und wählen Sie Link speichern unter... aus.
  2. Wählen Sie einen Ordner aus, und speichern Sie die Datei.

Abrufen der Geräte-Onboarding- und Installationspakete

Screenshot der Registerkarte

  1. Öffnen Sie im Complianceportal Einstellungen>Geräte-Onboarding , und wählen Sie dann Onboarding aus.

  2. Wählen Sie für den Wert Betriebssystem zum Starten des Onboardingprozesses auswählendie Option macOS aus.

  3. Wählen Sie unter Bereitstellungsmethodedie Option Mobile Geräteverwaltung/Microsoft Intune aus.

  4. Wählen Sie Onboardingpaket herunterladen aus, und extrahieren Sie dann den Inhalt des Geräte-Onboardingpakets. Die Datei DeviceComplianceOnboarding.plist wird in den Ordner JAMF heruntergeladen.

  5. Wählen Sie Installationspaket herunterladen aus.

Bereitstellen von Onboardingpaketen

  1. Erstellen Sie ein neues Konfigurationsprofil in JAMF Pro. Weitere Informationen finden Sie in der JAMF Pro-Dokumentation. Verwenden Sie die folgenden Werte:

    • Name:MDATP-Onboarding für macOS
    • Beschreibung: *MDATP-EDR-Onboarding für macOS
    • Category:none
    • Verteilungsmethode: *`Automatische Installation
    • Ebene:Computerebene

  2. Wählen Sie im Navigationsbereich Anwendung und Benutzerdefinierte Einstellungen und dann Hochladen aus.

  3. Wählen Sie Hinzufügen aus. Geben Sie unter Einstellungsdomäne die Zeichenfolge ein. com.microsoft.wdav.atp

  4. Wählen Sie Hochladen und dann DeviceComplianceOnboarding.plist aus.

  5. Wählen Sie Speichern aus.

Konfigurieren von Anwendungseinstellungen

Wichtig

Sie müssen com.microsoft.wdav als Wert für einstellungsdomäne verwenden. Microsoft Defender for Endpoint verwendet diesen Namen und com.microsoft.wdav.ext, um die verwalteten Einstellungen zu laden.

  1. Melden Sie sich bei JAMF Pro an, um ein neues Konfigurationsprofil in JAMF Pro zu erstellen. Weitere Informationen finden Sie in der JAMF Pro-Dokumentation . Verwenden Sie die folgenden Werte:

    • Name:MDATP MDAV-Konfigurationseinstellungen
    • Beschreibung:Lassen Sie dieses Feld leer.
    • Category:none
    • Verteilungsmethode:automatisch installieren
    • Ebene:Computerebene

  2. Wählen Sie im Navigationsbereich Anwendung und Benutzerdefinierte Einstellungen und dann Externe Anwendungen aus.

  3. Wählen Sie Hinzufügen und dann Benutzerdefiniertes Schema aus. Geben Sie für Einstellungsdomäne ein com.microsoft.wdav.

    Screenshot der Seite

  4. Wählen Sie Schema hinzufügen und dann die Datei aus, die schema.json Sie von GitHub heruntergeladen haben.

  5. Wählen Sie Speichern aus.

  6. Aktualisieren Sie die Einstellungen unter Einstellungsdomäneneigenschaften manuell wie folgt:

    • Features

      • Wählen Sie unter Verhinderung von Datenverlust die Option enabled und dann Speichern aus.

    • Verhinderung von Datenverlust

      • Features
        • Legen Sie DLP_browser_only_cloud_egress auf fest enabled , wenn Sie nur unterstützte Browser für Cloudausgangsvorgänge überwachen möchten.
        • Legen Sie DLP_ax_only_cloud_egress auf fest enabled , wenn Sie nur die URL in der Adressleiste des Browsers (anstelle von Netzwerkverbindungen) für Cloudausgangsvorgänge überwachen möchten.

    • Antivirus-Engine
      Wenn Sie nur die Verhinderung von Datenverlust und nicht MDE bereitstellen, führen Sie die folgenden Schritte aus:

      • Wählen Sie Echtzeitschutz aus.
      • Wählen Sie passiven Modus aus.
      • Wählen Sie Anwenden aus.

  7. Geben Sie einen Namen für das Konfigurationsprofil ein, und wählen Sie dann Speichern aus.

  8. Wählen Sie auf der nächsten Seite die Registerkarte Bereich aus, wählen Sie die entsprechenden Ziele für dieses Konfigurationsprofil aus, und wählen Sie dann Speichern aus.

OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden

Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.

Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:

Screenshot: Datenfluss von der Quelle zur Ziel-URL

Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.

In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.

Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:

So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:

  1. Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .

  2. Legen Sie DLP_browser_only_cloud_egress unter dem dlp Schlüssel auf aktiviert und auf aktiviert fest DLP_ax_only_cloud_egress, wie im folgenden Beispiel gezeigt.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Bereitstellen von Systemkonfigurationsprofilen

  1. Wählen Sie in der JAMF Pro-Konsole auf der Seite Konfigurationsprofile die Option Hochladen und dann Datei aus.

  2. Wählen Sie die mdatp-nokext.mobileconfig Datei aus, wählen Sie Öffnen und dann Hochladen aus.

Hochladen des Installationspakets

  1. Navigieren Sie in der JAMF Pro-Konsole zu Verwaltungseinstellungen>Pakete , und wählen Sie dann Neu aus.

  2. Geben Sie einen Anzeigenamen für das Paket ein, und wählen Sie (optional) eine Kategorie aus.

  3. Wählen Sie unter Dateiname die Option Datei auswählen aus.

  4. Wählen Sie die wdav.pkg Installationspaketdatei und dann Speichern aus.

  5. Navigieren Sie zu Computerrichtlinien>, und wählen Sie Neu aus.

  6. Wählen Sie im linken Navigationsbereich Pakete aus.

  7. Wählen Sie in der Liste Pakete das Installationspaket aus Schritt 4 aus.

  8. Wählen Sie für die AktionInstallieren aus.

  9. Wählen Sie die Registerkarte Bereich und dann Zielcomputer aus, bevor Sie Speichern auswählen.

  10. Geben Sie auf der Seite Allgemein einen Namen für die neue Richtlinie ein.

Offboarden von macOS-Geräten mit JAMF Pro

Wichtig

Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich Verweise auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.

  1. Wenn Sie MDE nicht verwenden, deinstallieren Sie die Anwendung. Weitere Informationen finden Sie im Abschnitt Paketbereitstellung in der JAMF Pro-Dokumentation.

  2. Starten Sie das macOS-Gerät neu. (Einige Anwendungen verlieren möglicherweise die Druckfunktionalität, bis sie neu gestartet werden.)