Onboarding und Offboarding von macOS-Geräten in Compliancelösungen mithilfe von JAMF Pro für Microsoft Defender für Endpunkt-Kunden
Sie können JAMF Pro verwenden, um macOS-Geräte in Microsoft Purview-Lösungen zu integrieren.
Wichtig
Verwenden Sie dieses Verfahren, wenn Sie Microsoft Defender for Endpoint (MDE) auf Ihren macOS-Geräten bereitgestellt haben.
Gilt für:
- Kunden, die MDE auf ihren macOS-Geräten bereitgestellt haben.
- Verhinderung von Datenverlust am Endpunkt (Data Loss Prevention, DLP)
- Insider-Risikomanagement
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Bevor Sie beginnen:
- Stellen Sie sicher, dass Ihre macOS-Geräte über JAMF Pro verwaltet werden und über JAMF Connect oder Microsoft Intune einer Identität (Microsoft Entra verbundenen UPN) zugeordnet sind.
- OPTIONAL: Installieren Sie den Edge-Browser v95+ auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung auf Edge zu erhalten.
Hinweis
Die drei neuesten Hauptversionen von macOS werden unterstützt.
Integrieren von Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro
Das Onboarding eines macOS-Geräts in Compliancelösungen ist ein mehrstufiger Prozess.
- Aktualisieren des vorhandenen MDE Einstellungsdomänenprofils mithilfe der JAMF PRO-Konsole
- Aktivieren des vollständigen Datenträgerzugriffs
- Aktivieren des Zugriffs auf Barrierefreiheit für die Verhinderung von Datenverlust in Microsoft Purview
- Überprüfen des macOS-Geräts
Voraussetzungen
Laden Sie die folgenden Dateien herunter:
Datei | Beschreibung |
---|---|
accessibility.mobileconfig | Barrierefreiheit |
fulldisk.mobileconfig | Vollständiger Datenträgerzugriff (FDA) |
schema.json | MDE Einstellung |
Wenn eine dieser einzelnen Dateien aktualisiert wird, müssen Sie die aktualisierte gebündelte Datei herunterladen und wie beschrieben erneut bereitstellen.
Tipp
Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.
Hinweis
So laden Sie die Dateien herunter:
- Klicken Sie mit der rechten Maustaste auf den Link, und wählen Sie Link speichern unter... aus.
- Wählen Sie einen Ordner aus, und speichern Sie die Datei.
Aktualisieren des vorhandenen MDE Einstellungsdomänenprofils mithilfe der JAMF PRO-Konsole
Aktualisieren Sie das schema.xml-Profil mit der schema.json-Datei, die Sie gerade heruntergeladen haben.
Wählen Sie unter MDE Einstellungen Domäneneigenschaften die folgenden Einstellungen aus:
- Features
- Verwenden Sie die Verhinderung von Datenverlust:
enabled
- Verwenden Sie die Verhinderung von Datenverlust:
- Verhinderung von Datenverlust
- Features
- Legen Sie DLP_browser_only_cloud_egress auf fest
enabled
, wenn Sie nur unterstützte Browser für Cloudausgangsvorgänge überwachen möchten. - Legen Sie DLP_ax_only_cloud_egress auf fest
enabled
, wenn Sie nur die URL in der Adressleiste des Browsers (anstelle von Netzwerkverbindungen) für Cloudausgangsvorgänge überwachen möchten.
- Legen Sie DLP_browser_only_cloud_egress auf fest
- Features
- Features
Wählen Sie die Registerkarte Bereich aus.
Wählen Sie die Gruppen aus, in denen dieses Konfigurationsprofil bereitgestellt werden soll.
Wählen Sie Speichern aus.
Aktivieren des vollständigen Datenträgerzugriffs
Um das vorhandene Profil für den vollständigen Datenträgerzugriff mit der fulldisk.mobileconfig
Datei zu aktualisieren, laden Sie in JAMF hoch fulldisk.mobileconfig
. Weitere Informationen finden Sie unter Einrichten der Microsoft Defender for Endpoint unter macOS-Richtlinien in Jamf Pro.
Aktivieren des Zugriffs auf Barrierefreiheit für die Verhinderung von Datenverlust in Microsoft Purview
Um Barrierefreiheitszugriff auf DLP zu gewähren, laden Sie die accessibility.mobileconfig
zuvor heruntergeladene Datei in JAMF hoch, wie unter Bereitstellen von Systemkonfigurationsprofilen beschrieben.
OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden
Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.
Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:
Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.
In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.
Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:
So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:
Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .
Legen Sie
DLP_browser_only_cloud_egress
unter demdlp
Schlüssel auf aktiviert und auf aktiviert festDLP_ax_only_cloud_egress
, wie im folgenden Beispiel gezeigt.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Überprüfen des macOS-Geräts
Starten Sie das macOS-Gerät neu.
Öffnen Sie Systemeinstellungsprofile>.
Die folgenden Profile sind jetzt aufgeführt:
- Barrierefreiheit
- Vollständiger Datenträgerzugriff
- Kernelerweiterungsprofil
- MAU
- MDATP-Onboarding
- MDE Einstellungen
- Verwaltungsprofil
- Netzwerkfilter
- Benachrichtigungen
- Systemerweiterungsprofil
Offboarden von macOS-Geräten mit JAMF Pro
Wichtig
Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich Verweise auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.
Führen Sie zum Offboarden eines macOS-Geräts die folgenden Schritte aus:
Entfernen Sie unter MDE Einstellung Domäneneigenschaften die Werte für diese Einstellungen.
- Features
- Verwenden von Systemerweiterungen
- Verwenden der Verhinderung von Datenverlust
- Features
Wählen Sie Speichern aus.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für