Intégration et retrait des appareils macOS dans les solutions de conformité à l'aide de JAMF Pro pour les clients de Microsoft Defender pour point de terminaison

Vous pouvez utiliser JAMF Pro pour intégrer des appareils macOS aux solutions Microsoft Purview.

Importante

Utilisez cette procédure si vous avez déployé Microsoft Defender pour point de terminaison (MDE) sur vos appareils macOS

S’applique à :

• Les clients qui ont MDE déployés sur leurs appareils macOS.
• Protection contre la perte de données (DLP) de point de terminaison
• Gestion des risques internes

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

• Assurez-vous que vos appareils macOS sont gérés via JAMF pro et qu’ils sont associés à une identité (upn Microsoft Entra joint) via JAMF Connect ou Microsoft Intune.
• FACULTATIF : installez le navigateur Edge v95+ sur vos appareils macOS pour avoir la prise en charge native de la protection contre la perte de données de point de terminaison sur Edge.

Remarque

Les trois versions majeures les plus récentes de macOS sont prises en charge.

Intégrer des appareils dans des solutions Microsoft Purview à l’aide de JAMF Pro

L’intégration d’un appareil macOS dans des solutions de conformité est un processus en plusieurs phases.

1. Mettre à jour le profil de domaine de préférence MDE existant à l’aide de la console JAMF PRO
2. Activer l’accès au disque complet
3. Activer l’accès à l’accessibilité à la protection contre la perte de données Microsoft Purview
4. Vérifier l’appareil macOS

Configuration requise

Téléchargez les fichiers suivants :

Fichier	Description
accessibility.mobileconfig	Accessibilité
fulldisk.mobileconfig	Accès au disque complet (FDA)
schema.json	MDE préférence

Si l’un de ces fichiers individuels est mis à jour, vous devez télécharger le fichier groupé mis à jour et redéployer comme décrit.

Conseil

Nous vous recommandons de télécharger le fichier groupé (mdatp-nokext.mobileconfig), plutôt que les fichiers individual.mobileconfig. Le fichier groupé inclut les fichiers obligatoires suivants :

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Si l’un de ces fichiers est mis à jour, vous devez télécharger le bundle mis à jour ou télécharger chaque fichier mis à jour individuellement.

Remarque

Pour télécharger les fichiers :

1. Cliquez avec le bouton droit sur le lien, puis sélectionnez Enregistrer le lien sous.
2. Choisissez un dossier et enregistrez le fichier.

Mettre à jour le profil de domaine de préférence MDE existant à l’aide de la console JAMF PRO

1. Mettez à jour le profil schema.xml avec le fichier schema.json que vous venez de télécharger.

2. Sous propriétés de domaine de préférence MDE, choisissez les paramètres suivants :

   • Composants
     • Utiliser la protection contre la perte de données : enabled
   • Protection contre la perte de données
     • Composants
       • Définissez DLP_browser_only_cloud_egress sur enabled si vous souhaitez surveiller uniquement les navigateurs pris en charge pour les opérations de sortie cloud.
       • Définissez DLP_ax_only_cloud_egress sur enabled si vous souhaitez surveiller uniquement l’URL dans la barre d’adresse du navigateur (au lieu des connexions réseau) pour les opérations de sortie cloud.

3. Choisissez l’onglet Étendue .

4. Choisissez les groupes sur lesquels déployer ce profil de configuration.

5. Cliquez sur Enregistrer.

Activer l’accès au disque complet

Pour mettre à jour le profil d’accès au disque complet existant avec le fulldisk.mobileconfig fichier, chargez sur fulldisk.mobileconfig JAMF. Pour plus d’informations, consultez Configurer le Microsoft Defender pour point de terminaison sur les stratégies macOS dans Jamf Pro.

Activer l’accès à l’accessibilité à la protection contre la perte de données Microsoft Purview

Pour accorder l’accès d’accessibilité à DLP, chargez le accessibility.mobileconfig fichier que vous avez téléchargé précédemment dans JAMF, comme décrit dans Déployer des profils de configuration système.

FACULTATIF : Autoriser les données sensibles à passer par des domaines interdits

Microsoft Purview DLP vérifie les données sensibles à toutes les étapes de ses voyages. Par conséquent, si des données sensibles sont publiées ou envoyées à un domaine autorisé, mais transitent par un domaine interdit, elles sont bloquées. Voyons cela plus en détail.

Supposons que l’envoi de données sensibles via Outlook Live (outlook.live.com) est autorisé, mais que les données sensibles ne doivent pas être exposées à microsoft.com. Toutefois, lorsqu’un utilisateur accède à Outlook Live, les données passent par microsoft.com en arrière-plan, comme indiqué :

Par défaut, étant donné que les données sensibles transitent par microsoft.com sur leur chemin vers outlook.live.com, DLP bloque automatiquement le partage des données.

Toutefois, dans certains cas, il se peut que vous ne vous souciiez pas des domaines que les données passent sur le back-end. Au lieu de cela, vous pouvez uniquement vous soucier de l’emplacement final des données, comme indiqué par l’URL qui s’affiche dans la barre d’adresses. Dans ce cas, outlook.live.com. Pour empêcher le blocage des données sensibles dans notre exemple, vous devez modifier spécifiquement le paramètre par défaut.

Par conséquent, si vous souhaitez uniquement surveiller le navigateur et la destination finale des données (l’URL dans la barre d’adresse du navigateur), vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress. Voici comment procéder.

Pour modifier les paramètres afin d’autoriser les données sensibles à passer par des domaines interdits sur leur chemin vers un domaine autorisé :

1. Ouvrez le fichier com.microsoft.wdav.mobileconfig .

2. Sous la dlp clé, définissez sur DLP_browser_only_cloud_egressactivé et définissez sur DLP_ax_only_cloud_egressactivé , comme illustré dans l’exemple suivant.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Vérifier l’appareil macOS

1. Redémarrez l’appareil macOS.

2. Ouvrez Profils des préférences> système.

3. Les profils suivants sont désormais répertoriés :

   • Accessibilité
   • Accès complet au disque
   • Profil d’extension du noyau
   • MAU
   • Intégration de MDATP
   • préférences MDE
   • Profil de gestion
   • Filtre réseau
   • Notifications
   • Profil d’extension système

Désintégner des appareils macOS à l’aide de JAMF Pro

Importante

La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données de l’appareil, y compris les références aux alertes qu’il a eues, seront conservées pendant six mois maximum.

Pour désactiver un appareil macOS, procédez comme suit

1. Sous propriétés de domaine de préférence MDE, supprimez les valeurs de ces paramètres.

   • Composants
     • Utiliser des extensions système
     • Utiliser la protection contre la perte de données

2. Cliquez sur Enregistrer.