Intégration et retrait des appareils macOS dans les solutions de conformité à l'aide de JAMF Pro pour les clients de Microsoft Defender pour point de terminaison
Vous pouvez utiliser JAMF Pro pour intégrer des appareils macOS aux solutions Microsoft Purview.
Importante
Utilisez cette procédure si vous avez déployé Microsoft Defender pour point de terminaison (MDE) sur vos appareils macOS
S’applique à :
- Les clients qui ont MDE déployés sur leurs appareils macOS.
- Protection contre la perte de données (DLP) de point de terminaison
- Gestion des risques internes
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Avant de commencer
- Assurez-vous que vos appareils macOS sont gérés via JAMF pro et qu’ils sont associés à une identité (upn Microsoft Entra joint) via JAMF Connect ou Microsoft Intune.
- FACULTATIF : installez le navigateur Edge v95+ sur vos appareils macOS pour avoir la prise en charge native de la protection contre la perte de données de point de terminaison sur Edge.
Remarque
Les trois versions majeures les plus récentes de macOS sont prises en charge.
Intégrer des appareils dans des solutions Microsoft Purview à l’aide de JAMF Pro
L’intégration d’un appareil macOS dans des solutions de conformité est un processus en plusieurs phases.
- Mettre à jour le profil de domaine de préférence MDE existant à l’aide de la console JAMF PRO
- Activer l’accès au disque complet
- Activer l’accès à l’accessibilité à la protection contre la perte de données Microsoft Purview
- Vérifier l’appareil macOS
Configuration requise
Téléchargez les fichiers suivants :
Fichier | Description |
---|---|
accessibility.mobileconfig | Accessibilité |
fulldisk.mobileconfig | Accès au disque complet (FDA) |
schema.json | MDE préférence |
Si l’un de ces fichiers individuels est mis à jour, vous devez télécharger le fichier groupé mis à jour et redéployer comme décrit.
Conseil
Nous vous recommandons de télécharger le fichier groupé (mdatp-nokext.mobileconfig), plutôt que les fichiers individual.mobileconfig. Le fichier groupé inclut les fichiers obligatoires suivants :
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Si l’un de ces fichiers est mis à jour, vous devez télécharger le bundle mis à jour ou télécharger chaque fichier mis à jour individuellement.
Remarque
Pour télécharger les fichiers :
- Cliquez avec le bouton droit sur le lien, puis sélectionnez Enregistrer le lien sous.
- Choisissez un dossier et enregistrez le fichier.
Mettre à jour le profil de domaine de préférence MDE existant à l’aide de la console JAMF PRO
Mettez à jour le profil schema.xml avec le fichier schema.json que vous venez de télécharger.
Sous propriétés de domaine de préférence MDE, choisissez les paramètres suivants :
- Composants
- Utiliser la protection contre la perte de données :
enabled
- Utiliser la protection contre la perte de données :
- Protection contre la perte de données
- Composants
- Définissez DLP_browser_only_cloud_egress sur
enabled
si vous souhaitez surveiller uniquement les navigateurs pris en charge pour les opérations de sortie cloud. - Définissez DLP_ax_only_cloud_egress sur
enabled
si vous souhaitez surveiller uniquement l’URL dans la barre d’adresse du navigateur (au lieu des connexions réseau) pour les opérations de sortie cloud.
- Définissez DLP_browser_only_cloud_egress sur
- Composants
- Composants
Choisissez l’onglet Étendue .
Choisissez les groupes sur lesquels déployer ce profil de configuration.
Cliquez sur Enregistrer.
Activer l’accès au disque complet
Pour mettre à jour le profil d’accès au disque complet existant avec le fulldisk.mobileconfig
fichier, chargez sur fulldisk.mobileconfig
JAMF. Pour plus d’informations, consultez Configurer le Microsoft Defender pour point de terminaison sur les stratégies macOS dans Jamf Pro.
Activer l’accès à l’accessibilité à la protection contre la perte de données Microsoft Purview
Pour accorder l’accès d’accessibilité à DLP, chargez le accessibility.mobileconfig
fichier que vous avez téléchargé précédemment dans JAMF, comme décrit dans Déployer des profils de configuration système.
FACULTATIF : Autoriser les données sensibles à passer par des domaines interdits
Microsoft Purview DLP vérifie les données sensibles à toutes les étapes de ses voyages. Par conséquent, si des données sensibles sont publiées ou envoyées à un domaine autorisé, mais transitent par un domaine interdit, elles sont bloquées. Voyons cela plus en détail.
Supposons que l’envoi de données sensibles via Outlook Live (outlook.live.com) est autorisé, mais que les données sensibles ne doivent pas être exposées à microsoft.com. Toutefois, lorsqu’un utilisateur accède à Outlook Live, les données passent par microsoft.com en arrière-plan, comme indiqué :
Par défaut, étant donné que les données sensibles transitent par microsoft.com sur leur chemin vers outlook.live.com, DLP bloque automatiquement le partage des données.
Toutefois, dans certains cas, il se peut que vous ne vous souciiez pas des domaines que les données passent sur le back-end. Au lieu de cela, vous pouvez uniquement vous soucier de l’emplacement final des données, comme indiqué par l’URL qui s’affiche dans la barre d’adresses. Dans ce cas, outlook.live.com. Pour empêcher le blocage des données sensibles dans notre exemple, vous devez modifier spécifiquement le paramètre par défaut.
Par conséquent, si vous souhaitez uniquement surveiller le navigateur et la destination finale des données (l’URL dans la barre d’adresse du navigateur), vous pouvez activer DLP_browser_only_cloud_egress et DLP_ax_only_cloud_egress. Voici comment procéder.
Pour modifier les paramètres afin d’autoriser les données sensibles à passer par des domaines interdits sur leur chemin vers un domaine autorisé :
Ouvrez le fichier com.microsoft.wdav.mobileconfig .
Sous la
dlp
clé, définissez surDLP_browser_only_cloud_egress
activé et définissez surDLP_ax_only_cloud_egress
activé , comme illustré dans l’exemple suivant.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Vérifier l’appareil macOS
Redémarrez l’appareil macOS.
Ouvrez Profils des préférences> système.
Les profils suivants sont désormais répertoriés :
- Accessibilité
- Accès complet au disque
- Profil d’extension du noyau
- MAU
- Intégration de MDATP
- préférences MDE
- Profil de gestion
- Filtre réseau
- Notifications
- Profil d’extension système
Désintégner des appareils macOS à l’aide de JAMF Pro
Importante
La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données de l’appareil, y compris les références aux alertes qu’il a eues, seront conservées pendant six mois maximum.
Pour désactiver un appareil macOS, procédez comme suit
Sous propriétés de domaine de préférence MDE, supprimez les valeurs de ces paramètres.
- Composants
- Utiliser des extensions système
- Utiliser la protection contre la perte de données
- Composants
Cliquez sur Enregistrer.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour