Intégrer et déconnecter des appareils macOS dans les solutions Microsoft Purview à l’aide d’Intune

Vous pouvez utiliser Microsoft Intune pour intégrer des appareils macOS aux solutions Microsoft Purview.

Importante

Utilisez cette procédure si vous n’avez pas déployé Microsoft Defender pour point de terminaison (MDE) sur vos appareils macOS

S’applique à :

• Protection contre la perte de données (DLP) de point de terminaison
• Gestion des risques internes

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

• Assurez-vous que vos appareils macOS sont intégrés à Intune et inscrits dans l’application Portail d'entreprise.
• Vérifiez que vous avez accès au centre d’administration Microsoft Intune.
• Créez les groupes d’utilisateurs auxquels vous allez affecter les mises à jour de configuration.
• FACULTATIF : installez le navigateur Microsoft Edge v95+ sur vos appareils macOS pour avoir une prise en charge native de la protection contre la perte de données de point de terminaison sur Microsoft Edge.

Remarque

Les trois versions majeures les plus récentes de macOS sont prises en charge.

Intégrer des appareils macOS dans des solutions Microsoft Purview à l’aide de Microsoft Intune

L’intégration d’un appareil macOS dans des solutions de conformité est un processus en plusieurs phases.

1. Obtenir le package d’intégration de l’appareil
2. Déployer les packages mobileconfig et d’intégration
3. Publier l’application

Configuration requise

Téléchargez les fichiers suivants :

Fichier	Description
mdatp-nokext.mobileconfig	Fichier de configuration mobile système
com.microsoft.wdav.mobileconfig.	Préférences MDE

Conseil

Nous vous recommandons de télécharger le fichier groupé (mdatp-nokext.mobileconfig), plutôt que les fichiers individual.mobileconfig. Le fichier groupé inclut les fichiers obligatoires suivants :

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Si l’un de ces fichiers est mis à jour, vous devez télécharger le bundle mis à jour ou télécharger chaque fichier mis à jour individuellement.

Obtenir le package d’intégration de l’appareil

1. Dans le Centre de conformité Microsoft Purview , ouvrez Paramètres>Intégration de l’appareil , puis choisissez Intégration.

2. Pour l’option Sélectionner le système d’exploitation pour démarrer le processus d’intégration , choisissez macOS.

3. Pour Méthode de déploiement, choisissez Mobile Gestion des appareils/Microsoft Intune.

4. Choisissez Télécharger le package d’intégration.

5. Extrayez le fichier .ZIP et ouvrez le dossier Intune . Il contient le code d’intégration dans le fichier DeviceComplianceOnboarding.xml .

Déployer les packages mobileconfig et d’intégration

1. Ouvrez le centre d’administration Microsoft Intune et accédez à Appareils>Profils de configuration.

2. Choisissez : Créer un profil.

3. Sélectionnez les valeurs suivantes :

   1. Plateforme = macOS
   2. Type de profil = Modèles
   3. Nom du modèle = Personnalisé

4. Sélectionnez Créer.

5. Entrez un nom pour le profil, par exemple Microsoft Purview System MobileConfig, puis choisissez Suivant.

6. Choisissez le mdatp-nokext.mobileconfig fichier que vous avez téléchargé à l’étape 1 comme fichier de profil de configuration.

7. Cliquez sur Suivant.

8. Sous l’onglet Affectations , ajoutez le groupe dans lequel vous souhaitez déployer ces configurations, puis choisissez Suivant.

9. Passez en revue vos paramètres, puis choisissez Créer pour déployer la configuration.

10. Répétez les étapes 2 à 9 pour créer des profils pour :

    1. DeviceComplianceOnboarding.xml fichier. Nommez-le Package d’intégration d’appareil Microsoft Purview
    2. fichier com.microsoft.wdav.mobileconfig . Nommez-le Préférences d’appareil de point de terminaison Microsoft

11. Ouvrez Profilsde configurationdes appareils>. Les profils que vous avez créés s’affichent maintenant.

12. Dans la page Profils de configuration , choisissez le profil que vous venez de créer. Ensuite, choisissez Appareil status pour afficher la liste des appareils et les status de déploiement du profil de configuration.

Remarque

Pour l’activité de chargement vers le service cloud , si vous souhaitez uniquement surveiller le navigateur et l’URL dans la barre d’adresse du navigateur, vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress.

Voici un exemple com.microsoft.wdav.mobileconfig.

Publier l’application

La protection contre la perte de données de point de terminaison Microsoft est installée en tant que composant de Microsoft Defender pour point de terminaison sur macOS. Cette procédure s’applique à l’intégration d’appareils dans des solutions Microsoft Purview

1. Dans le Centre d’administration Microsoft Intune, ouvrez Applications.

2. Sélectionnez Par plateforme>macOS>Ajouter.

3. Choisissez Type d’application=macOS, puis sélectionnez Sélectionner. Choisissez Microsoft Defender pour point de terminaison.

4. Conservez les valeurs par défaut, puis choisissez Suivant.

5. Ajoutez des affectations, puis choisissez Suivant.

6. Passez en revue les paramètres que vous avez choisis, puis choisissez Créer.

7. Vous pouvez visiter Applications>par plateforme>macOS pour voir la nouvelle application dans la liste de toutes les applications.

FACULTATIF : Autoriser les données sensibles à passer par des domaines interdits

Microsoft Purview DLP vérifie les données sensibles à toutes les étapes de ses voyages. Par conséquent, si des données sensibles sont publiées ou envoyées à un domaine autorisé, mais transitent par un domaine interdit, elles sont bloquées. Voyons cela plus en détail.

Supposons que l’envoi de données sensibles via Outlook Live (outlook.live.com) est autorisé, mais que les données sensibles ne doivent pas être exposées à microsoft.com. Toutefois, lorsqu’un utilisateur accède à Outlook Live, les données passent par microsoft.com en arrière-plan, comme indiqué :

Par défaut, étant donné que les données sensibles transitent par microsoft.com sur leur chemin vers outlook.live.com, DLP bloque automatiquement le partage des données.

Toutefois, dans certains cas, il se peut que vous ne vous souciiez pas des domaines que les données passent sur le back-end. Au lieu de cela, vous pouvez uniquement vous soucier de l’emplacement final des données, comme indiqué par l’URL qui s’affiche dans la barre d’adresses. Dans ce cas, outlook.live.com. Pour empêcher le blocage des données sensibles dans notre exemple, vous devez modifier spécifiquement le paramètre par défaut.

Par conséquent, si vous souhaitez uniquement surveiller le navigateur et la destination finale des données (l’URL dans la barre d’adresse du navigateur), vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress. Voici comment procéder.

Pour modifier les paramètres afin d’autoriser les données sensibles à passer par des domaines interdits sur leur chemin vers un domaine autorisé :

1. Ouvrez le fichier com.microsoft.wdav.mobileconfig .

2. Sous la dlp clé, définissez sur DLP_browser_only_cloud_egressactivé et définissez sur DLP_ax_only_cloud_egressactivé , comme illustré dans l’exemple suivant.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Désactiver les appareils macOS à l’aide d’Intune

Remarque

La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant six mois maximum.

1. Dans le Centre d’administration Microsoft Intune, ouvrezProfils de configurationdes appareils>. Les profils que vous avez créés sont répertoriés.

2. Dans la page Profils de configuration , choisissez le profil wdav.pkg.intunemac .

3. Choisissez Appareil status pour afficher la liste des appareils et les status de déploiement du profil de configuration.

4. Ouvrez Propriétés , puis Affectations.

5. Supprimez le groupe de l’affectation. Cela désinstalle le package wdav.pkg.intunemac et désintégra l’appareil macOS des solutions de conformité.