Eseguire l'onboarding e l'offboard dei dispositivi macOS nelle soluzioni Microsoft Purview usando JAMF Pro

  • Articolo

È possibile usare JAMF Pro per eseguire l'onboarding di dispositivi macOS in soluzioni Microsoft Purview, ad esempio prevenzione della perdita dei dati degli endpoint.

Importante

Usare questa procedura se non è stato distribuito Microsoft Defender per endpoint (MDE) nei dispositivi macOS.

Si applica a:

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

  • Assicurarsi che i dispositivi macOS siano gestiti tramite JAMF Pro e siano associati a un'identità (Microsoft Entra UPN aggiunto) tramite JAMF Connect o Microsoft Intune.
  • FACOLTATIVO: installare il browser Microsoft Edge v95+ nei dispositivi macOS per il supporto nativo di Endpoint DLP in Microsoft Edge.

Nota

Sono supportate le tre versioni principali più recenti di macOS.

Eseguire l'onboarding dei dispositivi nelle soluzioni Microsoft Purview tramite JAMF Pro

L'onboarding di un dispositivo macOS nelle soluzioni Microsoft Purview è un processo in più fasi:

  1. Distribuire pacchetti di onboarding
  2. Configurare le preferenze dell'applicazione
  3. Caricare il pacchetto di installazione
  4. Distribuire profili di configurazione di sistema

Prerequisiti

Scaricare i file seguenti.

File Descrizione
mdatp-nokext.mobileconfig Questo è il file in bundle.
schema.json Si tratta del file delle preferenze MDE.

Consiglio

È consigliabile scaricare il file in bundle (mdatp-nokext.mobileconfig) anziché i file individual.mobileconfig. Il file in bundle include i file obbligatori seguenti:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Se uno di questi file viene aggiornato, è necessario scaricare il bundle aggiornato o scaricare ogni file aggiornato singolarmente.

Nota

Per scaricare i file:

  1. Fare clic con il pulsante destro del mouse sul collegamento e scegliere Salva collegamento con nome.
  2. Scegliere una cartella e salvare il file.

Ottenere i pacchetti di onboarding e installazione dei dispositivi

Screenshot della scheda Impostazioni di configurazione Microsoft Intune con tutti i campi popolati.

  1. Nel portale di conformità aprire Impostazioni>Onboarding del dispositivo e quindi scegliere Onboarding.

  2. Per il valore Select operating system to start onboarding process (Selezionare il sistema operativo per avviare il processo di onboarding ), scegliere macOS.

  3. Per Metodo di distribuzione scegliere Mobile Gestione dispositivi/Microsoft Intune.

  4. Scegliere Scarica pacchetto di onboarding ed estrarre il contenuto del pacchetto di onboarding del dispositivo. Il file DeviceComplianceOnboarding.plist viene scaricato nella cartella JAMF.

  5. Scegliere Scarica pacchetto di installazione.

Distribuire pacchetti di onboarding

  1. Creare un nuovo profilo di configurazione in JAMF Pro. Fare riferimento alla documentazione di JAMF Pro. Usare i valori seguenti:

    • Nome:Onboarding MDATP per macOS
    • Descrizione: *Onboarding edr MDATP per macOS
    • Category:none
    • Metodo di distribuzione: *`installare automaticamente
    • Livello:livello computer

  2. Nel riquadro di spostamento selezionare Applicazione e Impostazioni personalizzate e quindi scegliere Carica.

  3. Scegliere Aggiungi. Per Dominio preferenza immettere com.microsoft.wdav.atp

  4. Scegliere Carica e selezionare DeviceComplianceOnboarding.plist.

  5. Scegliere Salva.

Configurare le preferenze dell'applicazione

Importante

È necessario usare com.microsoft.wdav come valore di Dominio preferenza . Microsoft Defender per endpoint usa questo nome e com.microsoft.wdav.ext per caricare le impostazioni gestite.

  1. Accedere a JAMF Pro per creare un nuovo profilo di configurazione in JAMF Pro. Per altre informazioni, vedere la documentazione di JAMF Pro . Usare questi valori:

    • Nome:Impostazioni di configurazione MDAV MDATP
    • Descrizione:Lasciare vuoto questo valore
    • Category:none
    • Metodo di distribuzione:installare automaticamente
    • Livello:livello computer

  2. Nel riquadro di spostamento selezionare Applicazione e impostazioni personalizzate e quindi scegliere Applicazioni esterne.

  3. Scegliere Aggiungi e quindi schema personalizzato. Per Dominio preferenza immettere com.microsoft.wdav.

    Screenshot della pagina Applicazioni esterne.

  4. Scegliere Aggiungi schema e quindi selezionare il schema.json file scaricato da GitHub.

  5. Scegliere Salva.

  6. In Proprietà dominio preferenza aggiornare manualmente le impostazioni come indicato di seguito:

    • Funzionalità

      • Per Prevenzione della perdita dei dati selezionare enabled e quindi scegliere Salva.

    • Prevenzione della perdita dei dati

      • Funzionalità
        • Impostare DLP_browser_only_cloud_egress su enabled se si desidera monitorare solo i browser supportati per le operazioni in uscita nel cloud.
        • Impostare DLP_ax_only_cloud_egress su enabled se si vuole monitorare solo l'URL nella barra degli indirizzi del browser (anziché le connessioni di rete) per le operazioni di uscita cloud.

    • Motore antivirus
      Se si distribuisce solo la prevenzione della perdita dei dati e non MDE, seguire questa procedura:

      • Scegliere Protezione in tempo reale.
      • Scegliere Modalità passiva.
      • Scegliere Applica.

  7. Immettere un nome per il profilo di configurazione e quindi scegliere Salva.

  8. Nella pagina successiva scegliere la scheda Ambito , selezionare le destinazioni appropriate per questo profilo di configurazione e quindi scegliere Salva.

FACOLTATIVO: consentire ai dati sensibili di passare attraverso domini non consentiti

Microsoft Purview DLP verifica la presenza di dati sensibili in tutte le fasi del viaggio. Pertanto, se i dati sensibili vengono inviati o inviati a un dominio consentito, ma viaggiano attraverso un dominio non consentito, vengono bloccati. Contenuto della sezione:

Supponiamo che l'invio di dati sensibili tramite Outlook Live (outlook.live.com) sia consentito, ma che i dati sensibili non devono essere esposti a microsoft.com. Tuttavia, quando un utente accede a Outlook Live, i dati passano attraverso microsoft.com in background, come illustrato di seguito:

Screenshot che mostra il flusso di dati dall'origine all'URL di destinazione.

Per impostazione predefinita, poiché i dati sensibili passano attraverso microsoft.com sulla strada per outlook.live.com, la prevenzione della perdita dei dati blocca automaticamente la condivisione dei dati.

In alcuni casi, tuttavia, potrebbe non essere interessato ai domini passati dai dati nel back-end. È invece possibile preoccuparsi solo della posizione in cui finiscono i dati, come indicato dall'URL visualizzato nella barra degli indirizzi. In questo caso, outlook.live.com. Per evitare che i dati sensibili vengano bloccati nel caso di esempio, è necessario modificare in modo specifico l'impostazione predefinita.

Pertanto, se si vuole monitorare solo il browser e la destinazione finale dei dati (l'URL nella barra degli indirizzi del browser), è possibile abilitare DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Ecco come fare.

Per modificare le impostazioni per consentire ai dati sensibili di passare i domini non consentiti nel percorso verso un dominio consentito:

  1. Aprire il file com.microsoft.wdav.mobileconfig .

  2. Sotto la dlp chiave Impostare su DLP_browser_only_cloud_egressabilitato e impostare su DLP_ax_only_cloud_egressabilitato come illustrato nell'esempio seguente.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Distribuire i profili di configurazione del sistema

  1. Nella pagina Profili di configurazione della console di JAMF Pro selezionare Carica e quindi scegliere File.

  2. Selezionare il mdatp-nokext.mobileconfig file, scegliere Apri e quindi scegliere Carica.

Caricare il pacchetto di installazione

  1. Nella console di JAMF Pro passare a Pacchetti di impostazioni> di gestione e quindi scegliere Nuovo.

  2. Immettere un nome visualizzato per il pacchetto e (facoltativamente) selezionare una categoria.

  3. In Nome file selezionare Scegli file.

  4. Selezionare il file del wdav.pkg pacchetto di installazione e quindi scegliere Salva.

  5. Passare a Criteri computer> e scegliere Nuovo.

  6. Nel riquadro di spostamento a sinistra scegliere Pacchetti.

  7. Nell'elenco Pacchetti selezionare il pacchetto di installazione nel passaggio 4.

  8. Per l'azione scegliere Installa.

  9. Scegliere la scheda Ambito e quindi i computer di destinazione prima di scegliere Salva.

  10. Nella pagina Generale immettere un nome per il nuovo criterio.

Dispositivi macOS offboard con JAMF Pro

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale. Tuttavia, i dati del dispositivo, inclusi i riferimenti agli avvisi che ha avuto, verranno conservati per un massimo di sei mesi.

  1. Se non si usa MDE, disinstallare l'applicazione. Vedere la sezione Distribuzione pacchetti nella documentazione di JAMF Pro.

  2. Riavviare il dispositivo macOS. Alcune applicazioni potrebbero perdere la funzionalità di stampa fino al riavvio.