Share via

Onboarding und Offboarding von macOS-Geräten in Compliancelösungen mithilfe von JAMF Pro für Microsoft Defender für Endpunkt-Kunden

  • Artikel

Sie können JAMF Pro verwenden, um macOS-Geräte in Microsoft Purview-Lösungen zu integrieren.

Wichtig

Verwenden Sie dieses Verfahren, wenn Sie Microsoft Defender for Endpoint (MDE) auf Ihren macOS-Geräten bereitgestellt haben.

Gilt für:

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen:

  • Stellen Sie sicher, dass Ihre macOS-Geräte über JAMF Pro verwaltet werden und über JAMF Connect oder Microsoft Intune einer Identität (Microsoft Entra verbundenen UPN) zugeordnet sind.
  • OPTIONAL: Installieren Sie den Edge-Browser v95+ auf Ihren macOS-Geräten, um native Endpunkt-DLP-Unterstützung auf Edge zu erhalten.

Hinweis

Die drei neuesten Hauptversionen von macOS werden unterstützt.

Integrieren von Geräten in Microsoft Purview-Lösungen mithilfe von JAMF Pro

Das Onboarding eines macOS-Geräts in Compliancelösungen ist ein mehrstufiger Prozess.

  1. Aktualisieren des vorhandenen MDE Einstellungsdomänenprofils mithilfe der JAMF PRO-Konsole
  2. Aktivieren des vollständigen Datenträgerzugriffs
  3. Aktivieren des Zugriffs auf Barrierefreiheit für die Verhinderung von Datenverlust in Microsoft Purview
  4. Überprüfen des macOS-Geräts

Voraussetzungen

Laden Sie die folgenden Dateien herunter:

Datei Beschreibung
accessibility.mobileconfig Barrierefreiheit
fulldisk.mobileconfig Vollständiger Datenträgerzugriff (FDA)
schema.json MDE Einstellung

Wenn eine dieser einzelnen Dateien aktualisiert wird, müssen Sie die aktualisierte gebündelte Datei herunterladen und wie beschrieben erneut bereitstellen.

Tipp

Es wird empfohlen, die gebündelte Datei (mdatp-nokext.mobileconfig) anstelle der individual.mobileconfig-Dateien herunterzuladen. Die gebündelte Datei enthält die folgenden erforderlichen Dateien:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Wenn eine dieser Dateien aktualisiert wird, müssen Sie entweder das aktualisierte Paket herunterladen oder jede aktualisierte Datei einzeln herunterladen.

Hinweis

So laden Sie die Dateien herunter:

  1. Klicken Sie mit der rechten Maustaste auf den Link, und wählen Sie Link speichern unter... aus.
  2. Wählen Sie einen Ordner aus, und speichern Sie die Datei.

Aktualisieren des vorhandenen MDE Einstellungsdomänenprofils mithilfe der JAMF PRO-Konsole

  1. Aktualisieren Sie das schema.xml-Profil mit der schema.json-Datei, die Sie gerade heruntergeladen haben.

  2. Wählen Sie unter MDE Einstellungen Domäneneigenschaften die folgenden Einstellungen aus:

    • Features
      • Verwenden Sie die Verhinderung von Datenverlust: enabled
    • Verhinderung von Datenverlust
      • Features
        • Legen Sie DLP_browser_only_cloud_egress auf fest enabled , wenn Sie nur unterstützte Browser für Cloudausgangsvorgänge überwachen möchten.
        • Legen Sie DLP_ax_only_cloud_egress auf fest enabled , wenn Sie nur die URL in der Adressleiste des Browsers (anstelle von Netzwerkverbindungen) für Cloudausgangsvorgänge überwachen möchten.

  3. Wählen Sie die Registerkarte Bereich aus.

  4. Wählen Sie die Gruppen aus, in denen dieses Konfigurationsprofil bereitgestellt werden soll.

  5. Wählen Sie Speichern aus.

Aktivieren des vollständigen Datenträgerzugriffs

Um das vorhandene Profil für den vollständigen Datenträgerzugriff mit der fulldisk.mobileconfig Datei zu aktualisieren, laden Sie in JAMF hoch fulldisk.mobileconfig . Weitere Informationen finden Sie unter Einrichten der Microsoft Defender for Endpoint unter macOS-Richtlinien in Jamf Pro.

Aktivieren des Zugriffs auf Barrierefreiheit für die Verhinderung von Datenverlust in Microsoft Purview

Um Barrierefreiheitszugriff auf DLP zu gewähren, laden Sie die accessibility.mobileconfig zuvor heruntergeladene Datei in JAMF hoch, wie unter Bereitstellen von Systemkonfigurationsprofilen beschrieben.

OPTIONAL: Zulassen, dass vertrauliche Daten durch verbotene Domänen übergeben werden

Microsoft Purview DLP sucht während aller Reisephasen nach vertraulichen Daten. Wenn also vertrauliche Daten gepostet oder an eine zulässige Domäne gesendet werden, aber durch eine verbotene Domäne übertragen werden, werden sie blockiert. Lassen Sie uns näher darauf eingehen.

Angenommen, das Senden vertraulicher Daten über Outlook Live (outlook.live.com) ist zulässig, aber vertrauliche Daten dürfen nicht für microsoft.com verfügbar gemacht werden. Wenn ein Benutzer jedoch auf Outlook Live zugreift, durchlaufen die Daten microsoft.com im Hintergrund, wie gezeigt:

Screenshot: Datenfluss von der Quelle zur Ziel-URL

Da die vertraulichen Daten auf dem Weg zur outlook.live.com standardmäßig microsoft.com durchlaufen, blockiert DLP automatisch die Freigabe der Daten.

In einigen Fällen sind Sie jedoch möglicherweise nicht mit den Domänen beschäftigt, die Daten auf dem Back-End durchlaufen. Stattdessen können Sie sich nur Sorgen darüber machen, wo die Daten letztendlich enden, wie durch die URL in der Adressleiste angegeben. In diesem Fall outlook.live.com. Um zu verhindern, dass vertrauliche Daten in unserem Beispielfall blockiert werden, müssen Sie die Standardeinstellung speziell ändern.

Wenn Sie also nur den Browser und das endgültige Ziel der Daten (die URL in der Adressleiste des Browsers) überwachen möchten, können Sie DLP_browser_only_cloud_egress und DLP_ax_only_cloud_egress aktivieren. Die gehen so:

So ändern Sie die Einstellungen, damit vertrauliche Daten auf dem Weg zu einer zulässigen Domäne durch verbotene Domänen übergeben werden können:

  1. Öffnen Sie die Datei com.microsoft.wdav.mobileconfig .

  2. Legen Sie DLP_browser_only_cloud_egress unter dem dlp Schlüssel auf aktiviert und auf aktiviert fest DLP_ax_only_cloud_egress, wie im folgenden Beispiel gezeigt.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Überprüfen des macOS-Geräts

  1. Starten Sie das macOS-Gerät neu.

  2. Öffnen Sie Systemeinstellungsprofile>.

  3. Die folgenden Profile sind jetzt aufgeführt:

    • Barrierefreiheit
    • Vollständiger Datenträgerzugriff
    • Kernelerweiterungsprofil
    • MAU
    • MDATP-Onboarding
    • MDE Einstellungen
    • Verwaltungsprofil
    • Netzwerkfilter
    • Benachrichtigungen
    • Systemerweiterungsprofil

Offboarden von macOS-Geräten mit JAMF Pro

Wichtig

Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet. Daten vom Gerät, einschließlich Verweise auf warnungen, werden jedoch bis zu sechs Monate lang aufbewahrt.

Führen Sie zum Offboarden eines macOS-Geräts die folgenden Schritte aus:

  1. Entfernen Sie unter MDE Einstellung Domäneneigenschaften die Werte für diese Einstellungen.

    • Features
      • Verwenden von Systemerweiterungen
      • Verwenden der Verhinderung von Datenverlust

  2. Wählen Sie Speichern aus.