Incorporación y retirada de dispositivos macOS en soluciones de cumplimiento mediante JAMF Pro para clientes de Microsoft Defender para punto de conexión

Puede usar JAMF Pro para incorporar dispositivos macOS a soluciones de Microsoft Purview.

Importante

Use este procedimiento si ha implementado Microsoft Defender para punto de conexión (MDE) en los dispositivos macOS.

Se aplica a:

• Los clientes que MDE han implementado en sus dispositivos macOS.
• Prevención de perdida de datos en el punto de conexión (DLP)
• Administración de riesgos internos

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Antes de empezar

• Asegúrese de que los dispositivos macOS se administran a través de JAMF Pro y que están asociados a una identidad (UPN Microsoft Entra unida) a través de JAMF Connect o Microsoft Intune.
• OPCIONAL: instale el explorador v95+ Edge en los dispositivos macOS para tener compatibilidad nativa con DLP de punto de conexión en Edge.

Nota:

Se admiten las tres versiones principales más recientes de macOS.

Incorporación de dispositivos a soluciones de Microsoft Purview mediante JAMF Pro

La incorporación de un dispositivo macOS a las soluciones de cumplimiento es un proceso de varias fases.

1. Actualizar el perfil de dominio de preferencia de MDE existente mediante la consola de JAMF PRO
2. Habilitación del acceso al disco completo
3. Habilitación del acceso de accesibilidad a la prevención de pérdida de datos de Microsoft Purview
4. Comprobación del dispositivo macOS

Requisitos previos

Descargue los siguientes archivos:

Archivo	Descripción
accessibility.mobileconfig	Accesibilidad
fulldisk.mobileconfig	Acceso completo al disco (FDA)
schema.json	preferencia de MDE

Si alguno de estos archivos individuales se actualiza, debe descargar el archivo agrupado actualizado y volver a implementarlo como se describe.

Sugerencia

Se recomienda descargar el archivo agrupado (mdatp-nokext.mobileconfig), en lugar de los archivos individual.mobileconfig. El archivo agrupado incluye los siguientes archivos necesarios:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Si alguno de estos archivos se actualiza, debe descargar la agrupación actualizada o descargar cada archivo actualizado individualmente.

Nota:

Para descargar los archivos:

1. Haga clic con el botón derecho en el vínculo y seleccione Guardar vínculo como....
2. Elija una carpeta y guarde el archivo.

Actualizar el perfil de dominio de preferencia de MDE existente mediante la consola de JAMF PRO

1. Actualice el perfil de schema.xml con el archivo de schema.json que acaba de descargar.

2. En MDE Propiedades del dominio de preferencia, elija esta configuración:

   • Funciones
     • Usar la prevención de pérdida de datos: enabled
   • Prevención de pérdida de datos
     • Funciones
       • Establezca DLP_browser_only_cloud_egressenabled en si desea supervisar solo los exploradores admitidos para las operaciones de salida en la nube.
       • Establezca DLP_ax_only_cloud_egressenabled en si desea supervisar solo la dirección URL de la barra de direcciones del explorador (en lugar de las conexiones de red) para las operaciones de salida en la nube.

3. Elija la pestaña Ámbito .

4. Elija los grupos en los que implementar este perfil de configuración.

5. Seleccione Guardar.

Habilitación del acceso al disco completo

Para actualizar el perfil de acceso al disco completo existente con el fulldisk.mobileconfig archivo, cargue fulldisk.mobileconfig en JAMF. Para obtener más información, consulte Configuración de la Microsoft Defender para punto de conexión en directivas de macOS en Jamf Pro.

Habilitación del acceso de accesibilidad a la prevención de pérdida de datos de Microsoft Purview

Para conceder acceso de accesibilidad a DLP, cargue el accessibility.mobileconfig archivo que descargó anteriormente en JAMF, como se describe en Implementación de perfiles de configuración del sistema.

OPCIONAL: Permitir que los datos confidenciales pasen por dominios prohibidos

Dlp de Microsoft Purview comprueba si hay datos confidenciales en todas las fases de sus viajes. Por lo tanto, si los datos confidenciales se publican o envían a un dominio permitido, pero viajan a través de un dominio prohibido, se bloquean. Vamos a echar un vistazo.

Supongamos que el envío de datos confidenciales a través de Outlook Live (outlook.live.com) es permisible, pero que los datos confidenciales no deben exponerse a microsoft.com. Sin embargo, cuando un usuario accede a Outlook Live, los datos pasan a través de microsoft.com en segundo plano, como se muestra:

De forma predeterminada, dado que los datos confidenciales pasan a través de microsoft.com en su camino a outlook.live.com, DLP bloquea automáticamente el uso compartido de los datos.

En algunos casos, sin embargo, es posible que no le interesen los dominios que los datos pasan en el back-end. En su lugar, solo puede preocuparse por dónde terminan los datos en última instancia, como se indica en la dirección URL que aparece en la barra de direcciones. En este caso, outlook.live.com. Para evitar que se bloquee la información confidencial en nuestro caso de ejemplo, debe cambiar específicamente la configuración predeterminada.

Por lo tanto, si solo desea supervisar el explorador y el destino final de los datos (la dirección URL de la barra de direcciones del explorador), puede habilitar DLP_browser_only_cloud_egress y DLP_ax_only_cloud_egress. Aquí se muestra cómo hacerlo.

Para cambiar la configuración para permitir que los datos confidenciales pasen a través de dominios prohibidos en su camino a un dominio permitido:

1. Abra el archivo com.microsoft.wdav.mobileconfig .

2. En la dlp clave , establezca DLP_browser_only_cloud_egress en habilitado y establézcalo DLP_ax_only_cloud_egress en habilitado , como se muestra en el ejemplo siguiente.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Comprobación del dispositivo macOS

1. Reinicie el dispositivo macOS.

2. Abra Perfiles de preferencias del> sistema.

3. Ahora se muestran los perfiles siguientes:

   • Accesibilidad
   • Acceso completo al disco
   • Perfil de extensión del kernel
   • MAU
   • Incorporación de MDATP
   • preferencias de MDE
   • Perfil de administración
   • Filtro de red
   • Notificaciones
   • Perfil de extensión del sistema

Dispositivos macOS fuera del panel con JAMF Pro

Importante

La retirada hace que el dispositivo deje de enviar datos del sensor al portal. Sin embargo, los datos del dispositivo, incluidas las referencias a las alertas que haya tenido, se conservarán durante un máximo de seis meses.

Para desconectar un dispositivo macOS, siga estos pasos.

1. En propiedades de dominio de MDE preferencia, quite los valores de esta configuración.

   • Funciones
     • Uso de extensiones del sistema
     • Uso de la prevención de pérdida de datos

2. Seleccione Guardar.