Intégration et retrait des appareils macOS dans les solutions de conformité à l'aide d'Intune pour les clients de Microsoft Defender pour point de terminaison

Vous pouvez utiliser Microsoft Intune pour intégrer des appareils macOS aux solutions Microsoft Purview.

Importante

Utilisez cette procédure si vous avez déjà déployé Microsoft Defender pour point de terminaison (MDE) sur vos appareils macOS.

S’applique à :

• Les clients qui ont MDE déployés sur leurs appareils macOS.
• Protection contre la perte de données (DLP) de point de terminaison
• Gestion des risques internes

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

• Assurez-vous que vos appareils macOS sont intégrés à Intune et inscrits dans l’application Portail d'entreprise.
• Vérifiez que vous avez accès au centre d’administration Microsoft Intune.
• FACULTATIF : installez le navigateur Microsoft Edge v95+ sur vos appareils macOS.

Remarque

Les trois versions majeures les plus récentes de macOS sont prises en charge.

Intégrer des appareils macOS dans des solutions Microsoft Purview à l’aide de Microsoft Intune

Si Microsoft Defender pour points de terminaison (MDE) a déjà été déployé sur votre appareil macOS, vous pouvez toujours intégrer cet appareil aux solutions de conformité. Il s’agit d’un processus en plusieurs phases :

1. Create profils de configuration système
2. Mettre à jour les profils de configuration système existants
3. Mettre à jour les préférences MDE

Configuration requise

Téléchargez les fichiers suivants :

Fichier	Description
accessibility.mobileconfig	Utilisé pour l’accessibilité
fulldisk.mobileconfig	Permet d’accorder un accès complet au disque (FDA).

Remarque

Pour télécharger les fichiers :

1. Cliquez avec le bouton droit sur le lien, puis sélectionnez Enregistrer le lien sous.
2. Choisissez un dossier et enregistrez le fichier.

Create profils de configuration système

1. Ouvrez le centre d’administration Microsoft Intune et accédez à Appareils>Profils de configuration.

2. Choisissez : Create profil.

3. Sélectionnez les valeurs suivantes :

   1. Type de profil = Modèles
   2. Nom du modèle = Personnalisé

4. Sélectionnez Créer.

5. Entrez un nom pour le profil, pour instance : Autorisation d’accessibilité Microsoft Purview, puis choisissez Suivant.

6. Choisissez comme accessibility.mobileconfig fichier de profil de configuration (téléchargé dans le cadre des conditions préalables), puis choisissez Suivant.

7. Sous l’onglet Affectations , ajoutez le groupe dans lequel vous souhaitez déployer cette configuration, puis choisissez Suivant.

8. Passez en revue vos paramètres, puis choisissez Create pour déployer la configuration.

9. Ouvrez Appareils et accédez auxprofils de configurationmacOS>. Les profils que vous avez créés s’affichent.

10. Dans la page Profils de configuration , choisissez le nouveau profil. Ensuite, choisissez Appareil status pour afficher la liste des appareils et les status de déploiement du profil de configuration.

Mettre à jour les profils de configuration système existants

1. Un profil de configuration d’accès au disque complet (FDA) doit avoir été créé et déployé précédemment pour MDE. (Pour plus d’informations, consultez déploiement basé sur Intune pour Microsoft Defender pour point de terminaison sur Mac). La protection contre la perte de données de point de terminaison (DLP) nécessite une autorisation FDA supplémentaire pour la nouvelle application (com.microsoft.dlp.daemon).

2. Mettez à jour le profil de configuration FDA existant avec le fichier téléchargé fulldisk.mobileconfig .

Mettre à jour les préférences MDE

1. Recherchez le profil de configuration MDE Préférences existant. Pour plus d’informations, consultez Déploiement basé sur Intune pour Microsoft Defender pour point de terminaison sur Mac.

2. Ajoutez la clé suivante au fichier .mobileconfig, puis enregistrez le fichier.

   <key>features</key> 
       <dict> 
           <key>dataLossPrevention</key> 
           <string>enabled</string> 
       </dict> 
   

FACULTATIF : Autoriser les données sensibles à passer par des domaines interdits

Microsoft Purview DLP vérifie les données sensibles à toutes les étapes de ses voyages. Par conséquent, si des données sensibles sont publiées ou envoyées à un domaine autorisé, mais transitent par un domaine interdit, elles sont bloquées. Voyons cela plus en détail.

Supposons que l’envoi de données sensibles via Outlook Live (outlook.live.com) est autorisé, mais que les données sensibles ne doivent pas être exposées à microsoft.com. Toutefois, lorsqu’un utilisateur accède à Outlook Live, les données passent par microsoft.com en arrière-plan, comme indiqué :

Par défaut, étant donné que les données sensibles transitent par microsoft.com sur leur chemin vers outlook.live.com, DLP bloque automatiquement le partage des données.

Toutefois, dans certains cas, il se peut que vous ne vous souciiez pas des domaines que les données passent sur le back-end. Au lieu de cela, vous pouvez uniquement vous soucier de l’emplacement final des données, comme indiqué par l’URL qui s’affiche dans la barre d’adresses. Dans ce cas, outlook.live.com. Pour empêcher le blocage des données sensibles dans notre exemple, vous devez modifier spécifiquement le paramètre par défaut.

Par conséquent, si vous souhaitez uniquement surveiller le navigateur et la destination finale des données (l’URL dans la barre d’adresse du navigateur), vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress. Voici comment procéder.

Pour modifier les paramètres afin d’autoriser les données sensibles à passer par des domaines interdits sur leur chemin vers un domaine autorisé :

1. Ouvrez le fichier com.microsoft.wdav.mobileconfig .

2. Sous la dlp clé, définissez sur DLP_browser_only_cloud_egressactivé et définissez sur DLP_ax_only_cloud_egressactivé , comme illustré dans l’exemple suivant.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Désintégner des appareils macOS à l’aide de Microsoft Intune

Importante

La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données reçues de l’appareil, y compris les références aux alertes qu’il a eues, seront conservées pendant six mois maximum.

1. Dans le Centre d’administration Microsoft Intune, ouvrezProfils de configurationdes appareils>. Les profils que vous avez créés s’affichent.

2. Dans la page Profils de configuration, choisissez le profil de préférences MDE.

3. Supprimez ces paramètres :

    <key>features</key>
        <dict>
            <key>dataLossPrevention</key>
            <string>enabled</string>
        </dict>
   

4. Cliquez sur Enregistrer.