Eseguire l'onboarding e l'offboarding dei dispositivi macOS nelle soluzioni Microsoft Purview con Intune

È possibile usare Microsoft Intune per eseguire l'onboarding dei dispositivi macOS nelle soluzioni Microsoft Purview.

Importante

Usare questa procedura se non è stato distribuito Microsoft Defender per endpoint (MDE) nei dispositivi macOS

Si applica a:

• Prevenzione della perdita di dati (DLP) degli endpoint
• Gestione dei rischi Insider

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

• Assicurarsi che i dispositivi macOS siano caricati in Intune e siano registrati nell'app Portale aziendale.
• Assicurarsi di avere accesso all'interfaccia di amministrazione Microsoft Intune.
• Creare i gruppi di utenti a cui si intende assegnare gli aggiornamenti di configurazione.
• FACOLTATIVO: installare il browser Microsoft Edge v95+ nei dispositivi macOS per avere il supporto nativo di Endpoint DLP in Microsoft Edge.

Nota

Sono supportate le tre versioni principali più recenti di macOS.

Eseguire l'onboarding di dispositivi macOS nelle soluzioni Microsoft Purview usando Microsoft Intune

L'onboarding di un dispositivo macOS nelle soluzioni di conformità è un processo in più fasi.

1. Ottenere il pacchetto di onboarding del dispositivo
2. Distribuire i pacchetti mobileconfig e onboarding
3. Pubblicare l'applicazione

Prerequisiti

Scaricare i file seguenti:

File	Descrizione
mdatp-nokext.mobileconfig	File di configurazione per dispositivi mobili di sistema
com.microsoft.wdav.mobileconfig.	Preferenze MDE

Consiglio

È consigliabile scaricare il file in bundle (mdatp-nokext.mobileconfig) anziché i file individual.mobileconfig. Il file in bundle include i file obbligatori seguenti:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Se uno di questi file viene aggiornato, è necessario scaricare il bundle aggiornato o scaricare ogni file aggiornato singolarmente.

Ottenere il pacchetto di onboarding del dispositivo

1. Nel Centro conformità Microsoft Purview aprire Impostazioni>Onboarding del dispositivo e quindi scegliere Onboarding.

2. Per l'opzione Selezionare il sistema operativo per avviare il processo di onboarding scegliere macOS.

3. Per Metodo di distribuzione scegliere Mobile Gestione dispositivi/Microsoft Intune.

4. Scegliere Scarica pacchetto di onboarding.

5. Estrarre il file .ZIP e aprire la cartella Intune . Contiene il codice di onboarding nel file DeviceComplianceOnboarding.xml .

Distribuire i pacchetti mobileconfig e onboarding

1. Aprire l'interfaccia di amministrazione Microsoft Intune e passare aProfili di configurazionedei dispositivi>.

2. Scegliere: Crea profilo.

3. Selezionare i valori seguenti:

   1. Piattaforma = macOS
   2. Tipo di profilo = Modelli
   3. Nome modello = Personalizzato

4. Scegliere Crea.

5. Immettere un nome per il profilo, ad esempio Microsoft Purview System MobileConfig, quindi scegliere Avanti.

6. Scegliere il mdatp-nokext.mobileconfig file scaricato nel passaggio 1 come file del profilo di configurazione.

7. Scegliere Avanti.

8. Nella scheda Assegnazioni aggiungere il gruppo in cui si desidera distribuire queste configurazioni e quindi scegliere Avanti.

9. Esaminare le impostazioni e quindi scegliere Crea per distribuire la configurazione.

10. Ripetere i passaggi da 2 a 9 per creare profili per:

    1. DeviceComplianceOnboarding.xml file. Assegnarle il nome Microsoft Purview Device Onboarding Package
    2. File com.microsoft.wdav.mobileconfig . Assegnare un nome a Microsoft Endpoint Device Preferences

11. Aprire Profilidi configurazionedei dispositivi>. Vengono visualizzati i profili creati.

12. Nella pagina Profili di configurazione scegliere il profilo appena creato. Scegliere Quindi Stato dispositivo per visualizzare un elenco di dispositivi e lo stato della distribuzione del profilo di configurazione.

Nota

Per l'attività di caricamento nel servizio cloud , se si vuole monitorare solo il browser e l'URL nella barra degli indirizzi del browser, è possibile abilitare DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress.

Ecco un esempio di com.microsoft.wdav.mobileconfig.

Pubblicare l'applicazione

Microsoft Endpoint Data Loss Protection viene installato come componente di Microsoft Defender per endpoint in macOS. Questa procedura si applica all'onboarding dei dispositivi nelle soluzioni Microsoft Purview

1. Nell'interfaccia di amministrazione Microsoft Intune aprire App.

2. Selezionare By platform macOS Add ( In base alla piattaforma>macOS>Add).

3. Scegliere Tipo di=app macOS e quindi selezionare Seleziona. Scegliere Microsoft Defender per endpoint.

4. Mantenere i valori predefiniti e quindi scegliere Avanti.

5. Aggiungere assegnazioni e quindi scegliere Avanti.

6. Esaminare le impostazioni selezionate e quindi scegliere Crea.

7. È possibile visitare Apps>By platform>macOS per visualizzare la nuova applicazione nell'elenco di tutte le applicazioni.

FACOLTATIVO: consentire ai dati sensibili di passare attraverso domini non consentiti

Microsoft Purview DLP verifica la presenza di dati sensibili in tutte le fasi del viaggio. Pertanto, se i dati sensibili vengono inviati o inviati a un dominio consentito, ma viaggiano attraverso un dominio non consentito, vengono bloccati. Contenuto della sezione:

Supponiamo che l'invio di dati sensibili tramite Outlook Live (outlook.live.com) sia consentito, ma che i dati sensibili non devono essere esposti a microsoft.com. Tuttavia, quando un utente accede a Outlook Live, i dati passano attraverso microsoft.com in background, come illustrato di seguito:

Per impostazione predefinita, poiché i dati sensibili passano attraverso microsoft.com sulla strada per outlook.live.com, la prevenzione della perdita dei dati blocca automaticamente la condivisione dei dati.

In alcuni casi, tuttavia, potrebbe non essere interessato ai domini passati dai dati nel back-end. È invece possibile preoccuparsi solo della posizione in cui finiscono i dati, come indicato dall'URL visualizzato nella barra degli indirizzi. In questo caso, outlook.live.com. Per evitare che i dati sensibili vengano bloccati nel caso di esempio, è necessario modificare in modo specifico l'impostazione predefinita.

Pertanto, se si vuole monitorare solo il browser e la destinazione finale dei dati (l'URL nella barra degli indirizzi del browser), è possibile abilitare DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Ecco come fare.

Per modificare le impostazioni per consentire ai dati sensibili di passare i domini non consentiti nel percorso verso un dominio consentito:

1. Aprire il file com.microsoft.wdav.mobileconfig .

2. Sotto la dlp chiave Impostare su DLP_browser_only_cloud_egressabilitato e impostare su DLP_ax_only_cloud_egressabilitato come illustrato nell'esempio seguente.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Dispositivi macOS offboard con Intune

Nota

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale. Tuttavia, i dati del dispositivo, incluso il riferimento agli avvisi che ha avuto, verranno conservati per un massimo di sei mesi.

1. Nell'interfaccia di amministrazione Microsoft Intune aprireProfili di configurazionedei dispositivi>. I profili creati sono elencati.

2. Nella pagina Profili di configurazione scegliere il profilo wdav.pkg.intunemac .

3. Scegliere Stato del dispositivo per visualizzare un elenco di dispositivi e lo stato della distribuzione del profilo di configurazione.

4. Aprire Proprietà e quindi Assegnazioni.

5. Rimuovere il gruppo dall'assegnazione. Verrà disinstallato il pacchetto wdav.pkg.intunemac e verrà disattivato il dispositivo macOS dalle soluzioni di conformità.