Intégrer et désactiver des appareils macOS dans des solutions Microsoft Purview à l’aide de JAMF Pro

  • Article

Vous pouvez utiliser JAMF Pro pour intégrer des appareils macOS dans des solutions Microsoft Purview telles que la protection contre la perte de données de point de terminaison (DLP).

Importante

Utilisez cette procédure si vous n’avez pas déployé Microsoft Defender pour point de terminaison (MDE) sur vos appareils macOS.

S’applique à :

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

  • Assurez-vous que vos appareils macOS sont gérés via JAMF pro et qu’ils sont associés à une identité (Microsoft Entra upn joint) via JAMF Connect ou Microsoft Intune.
  • FACULTATIF : installez le navigateur Microsoft Edge v95+ sur vos appareils macOS pour la prise en charge DLP de point de terminaison native sur Microsoft Edge.

Remarque

Les trois versions majeures les plus récentes de macOS sont prises en charge.

Intégrer des appareils dans des solutions Microsoft Purview à l’aide de JAMF Pro

L’intégration d’un appareil macOS dans des solutions Microsoft Purview est un processus en plusieurs phases :

  1. Déployer des packages d’intégration
  2. Configurer les préférences de l’application
  3. Charger le package d’installation
  4. Déployer des profils de configuration système

Configuration requise

Téléchargez les fichiers suivants.

Fichier Description
mdatp-nokext.mobileconfig Il s’agit du fichier groupé.
schema.json Il s’agit du fichier de préférence MDE.

Conseil

Nous vous recommandons de télécharger le fichier groupé (mdatp-nokext.mobileconfig), plutôt que les fichiers individual.mobileconfig. Le fichier groupé inclut les fichiers obligatoires suivants :

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Si l’un de ces fichiers est mis à jour, vous devez télécharger le bundle mis à jour ou télécharger chaque fichier mis à jour individuellement.

Remarque

Pour télécharger les fichiers :

  1. Cliquez avec le bouton droit sur le lien, puis sélectionnez Enregistrer le lien sous.
  2. Choisissez un dossier et enregistrez le fichier.

Obtenir les packages d’intégration et d’installation des appareils

Capture d’écran de l’onglet Paramètres de configuration Microsoft Intune avec tous les champs remplis.

  1. Dans le portail de conformité, ouvrez Paramètres>Intégration de l’appareil , puis choisissez Intégration.

  2. Pour la valeur Sélectionner le système d’exploitation pour démarrer le processus d’intégration , choisissez macOS.

  3. Pour Méthode de déploiement, choisissez Mobile Gestion des appareils/Microsoft Intune.

  4. Choisissez Télécharger le package d’intégration , puis extrayez le contenu du package d’intégration de l’appareil. Le fichier DeviceComplianceOnboarding.plist est téléchargé dans le dossier JAMF.

  5. Choisissez Télécharger le package d’installation.

Déployer des packages d’intégration

  1. Créez un profil de configuration dans JAMF Pro. Reportez-vous à la documentation JAMF Pro. Utilisez les valeurs suivantes :

    • Nom :Intégration MDATP pour macOS
    • Description: *Intégration EDR MDATP pour macOS
    • Category :none
    • Méthode de distribution : *`installer automatiquement
    • Niveau :niveau ordinateur

  2. Dans le volet de navigation, sélectionnez Application et Paramètres personnalisés , puis choisissez Charger.

  3. Sélectionnez Ajouter. Pour Domaine de préférence, entrez com.microsoft.wdav.atp

  4. Choisissez Charger, puis DeviceComplianceOnboarding.plist.

  5. Cliquez sur Enregistrer.

Configurer les préférences de l’application

Importante

Vous devez utiliser com.microsoft.wdav comme valeur de domaine de préférence . Microsoft Defender pour point de terminaison utilise ce nom et com.microsoft.wdav.ext pour charger les paramètres managés.

  1. Connectez-vous à JAMF Pro pour créer un profil de configuration dans JAMF Pro. Pour plus d’informations, reportez-vous à la documentation JAMF Pro . Utilisez ces valeurs :

    • Nom :Paramètres de configuration MDAV MDATP
    • Description :Laissez ce champ vide
    • Category :none
    • Méthode de distribution :installer automatiquement
    • Niveau :niveau ordinateur

  2. Dans le volet de navigation, sélectionnez Application et Paramètres personnalisés , puis choisissez Applications externes.

  3. Choisissez Ajouter , puis schéma personnalisé. Pour Domaine de préférence, entrez com.microsoft.wdav.

    Capture d’écran de la page Applications externes.

  4. Choisissez Ajouter un schéma , puis sélectionnez le schema.json fichier que vous avez téléchargé à partir de GitHub.

  5. Cliquez sur Enregistrer.

  6. Sous Propriétés du domaine de préférence , mettez à jour manuellement les paramètres comme suit :

    • Composants

      • Pour Protection contre la perte de données, sélectionnez enabled , puis choisissez Enregistrer.

    • Protection contre la perte de données

      • Composants
        • Définissez DLP_browser_only_cloud_egress sur enabled si vous souhaitez surveiller uniquement les navigateurs pris en charge pour les opérations de sortie cloud.
        • Définissez DLP_ax_only_cloud_egress sur enabled si vous souhaitez surveiller uniquement l’URL dans la barre d’adresse du navigateur (au lieu des connexions réseau) pour les opérations de sortie cloud.

    • Moteur antivirus
      Si vous déployez uniquement la protection contre la perte de données, et non MDE, procédez comme suit :

      • Choisissez Protection en temps réel.
      • Choisissez Mode passif.
      • Choisissez Appliquer.

  7. Entrez un nom pour le profil de configuration, puis choisissez Enregistrer.

  8. Dans la page suivante, choisissez l’onglet Étendue , sélectionnez les cibles appropriées pour ce profil de configuration, puis choisissez Enregistrer.

FACULTATIF : Autoriser les données sensibles à passer par des domaines interdits

Microsoft Purview DLP vérifie les données sensibles à toutes les étapes de ses voyages. Par conséquent, si des données sensibles sont publiées ou envoyées à un domaine autorisé, mais transitent par un domaine interdit, elles sont bloquées. Voyons cela plus en détail.

Supposons que l’envoi de données sensibles via Outlook Live (outlook.live.com) est autorisé, mais que les données sensibles ne doivent pas être exposées à microsoft.com. Toutefois, lorsqu’un utilisateur accède à Outlook Live, les données passent par microsoft.com en arrière-plan, comme indiqué :

Capture d’écran montrant le flux de données de la source vers l’URL de destination.

Par défaut, étant donné que les données sensibles transitent par microsoft.com sur leur chemin vers outlook.live.com, DLP bloque automatiquement le partage des données.

Toutefois, dans certains cas, il se peut que vous ne vous souciiez pas des domaines que les données passent sur le back-end. Au lieu de cela, vous pouvez uniquement vous soucier de l’emplacement final des données, comme indiqué par l’URL qui s’affiche dans la barre d’adresses. Dans ce cas, outlook.live.com. Pour empêcher le blocage des données sensibles dans notre exemple, vous devez modifier spécifiquement le paramètre par défaut.

Par conséquent, si vous souhaitez uniquement surveiller le navigateur et la destination finale des données (l’URL dans la barre d’adresse du navigateur), vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress. Voici comment procéder.

Pour modifier les paramètres afin d’autoriser les données sensibles à passer par des domaines interdits sur leur chemin vers un domaine autorisé :

  1. Ouvrez le fichier com.microsoft.wdav.mobileconfig .

  2. Sous la dlp clé, définissez sur DLP_browser_only_cloud_egressactivé et définissez sur DLP_ax_only_cloud_egressactivé , comme illustré dans l’exemple suivant.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Déployer des profils de configuration système

  1. Dans la page Profils de configuration de la console JAMF Pro, sélectionnez Charger , puis Fichier.

  2. Sélectionnez le mdatp-nokext.mobileconfig fichier, choisissez Ouvrir, puis Charger.

Charger le package d’installation

  1. Dans la console JAMF Pro, accédez à Paramètres de gestion>Packages , puis choisissez Nouveau.

  2. Entrez un nom d’affichage pour le package, puis (éventuellement) sélectionnez une catégorie.

  3. Sous Nom de fichier , sélectionnez Choisir un fichier.

  4. Sélectionnez le fichier de wdav.pkg package d’installation, puis choisissez Enregistrer.

  5. Accédez à Stratégies des ordinateurs> et choisissez Nouveau.

  6. Dans le volet de navigation gauche, choisissez Packages.

  7. Dans la liste Packages , sélectionnez le package d’installation de l’étape 4.

  8. Pour action, choisissez Installer.

  9. Choisissez l’onglet Étendue , puis ciblez les ordinateurs avant de choisir Enregistrer.

  10. Dans la page Général , entrez un nom pour la nouvelle stratégie.

Désintégner des appareils macOS à l’aide de JAMF Pro

Importante

La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données de l’appareil, y compris les références aux alertes qu’il a eues, seront conservées pendant six mois maximum.

  1. Si vous n’utilisez pas MDE, désinstallez l’application. Consultez la section Déploiement de package dans la documentation JAMF Pro.

  2. Redémarrez l’appareil macOS. (Certaines applications peuvent perdre la fonctionnalité d’impression jusqu’à ce qu’elles soient redémarrées.)