Eseguire l'onboarding e l'offboarding dei dispositivi macOS nelle soluzioni di conformità usando JAMF Pro per i clienti di Microsoft Defender per endpoint

È possibile usare JAMF Pro per eseguire l'onboarding dei dispositivi macOS nelle soluzioni Microsoft Purview.

Importante

Usare questa procedura se è stato distribuito Microsoft Defender per endpoint (MDE) nei dispositivi macOS

Si applica a:

• I clienti che hanno MDE distribuito nei propri dispositivi macOS.
• Prevenzione della perdita di dati (DLP) degli endpoint
• Gestione dei rischi Insider

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

• Assicurarsi che i dispositivi macOS siano gestiti tramite JAMF Pro e siano associati a un'identità (Microsoft Entra UPN aggiunto) tramite JAMF Connect o Microsoft Intune.
• FACOLTATIVO: installare il browser Edge v95+ nei dispositivi macOS per avere il supporto nativo di Endpoint DLP in Edge.

Nota

Sono supportate le tre versioni principali più recenti di macOS.

Eseguire l'onboarding dei dispositivi nelle soluzioni Microsoft Purview tramite JAMF Pro

L'onboarding di un dispositivo macOS nelle soluzioni di conformità è un processo in più fasi.

1. Aggiornare il profilo di dominio MDE Preference esistente usando la console JAMF PRO
2. Abilitare l'accesso su disco completo
3. Abilitare l'accesso all'accessibilità per la prevenzione della perdita di dati di Microsoft Purview
4. Controllare il dispositivo macOS

Prerequisiti

Scaricare i file seguenti:

File	Descrizione
accessibility.mobileconfig	Accessibilità
fulldisk.mobileconfig	Accesso completo al disco (FDA)
schema.json	MDE preferenza

Se uno di questi singoli file viene aggiornato, è necessario scaricare il file bundle aggiornato e ridistribuirlo come descritto.

Consiglio

È consigliabile scaricare il file in bundle (mdatp-nokext.mobileconfig) anziché i file individual.mobileconfig. Il file in bundle include i file obbligatori seguenti:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Se uno di questi file viene aggiornato, è necessario scaricare il bundle aggiornato o scaricare ogni file aggiornato singolarmente.

Nota

Per scaricare i file:

1. Fare clic con il pulsante destro del mouse sul collegamento e scegliere Salva collegamento con nome.
2. Scegliere una cartella e salvare il file.

Aggiornare il profilo di dominio MDE Preference esistente usando la console JAMF PRO

1. Aggiornare il profilo schema.xml con il file schema.json appena scaricato.

2. In MDE Proprietà dominio preferenza scegliere queste impostazioni:

   • Funzionalità
     • Usare la prevenzione della perdita dei dati: enabled
   • Prevenzione della perdita dei dati
     • Funzionalità
       • Impostare DLP_browser_only_cloud_egress su enabled se si desidera monitorare solo i browser supportati per le operazioni in uscita nel cloud.
       • Impostare DLP_ax_only_cloud_egress su enabled se si vuole monitorare solo l'URL nella barra degli indirizzi del browser (anziché le connessioni di rete) per le operazioni di uscita cloud.

3. Scegliere la scheda Ambito .

4. Scegliere i gruppi in cui distribuire questo profilo di configurazione.

5. Scegliere Salva.

Abilitare l'accesso su disco completo

Per aggiornare il profilo di accesso completo del disco esistente con il fulldisk.mobileconfig file, caricare fulldisk.mobileconfig in JAMF. Per altre informazioni, vedere Configurare il Microsoft Defender per endpoint nei criteri macOS in Jamf Pro.

Abilitare l'accesso all'accessibilità per la prevenzione della perdita di dati di Microsoft Purview

Per concedere l'accesso all'accessibilità a DLP, caricare il accessibility.mobileconfig file scaricato in precedenza in JAMF, come descritto in Distribuire i profili di configurazione del sistema.

FACOLTATIVO: consentire ai dati sensibili di passare attraverso domini non consentiti

Microsoft Purview DLP verifica la presenza di dati sensibili in tutte le fasi del viaggio. Pertanto, se i dati sensibili vengono inviati o inviati a un dominio consentito, ma viaggiano attraverso un dominio non consentito, vengono bloccati. Contenuto della sezione:

Supponiamo che l'invio di dati sensibili tramite Outlook Live (outlook.live.com) sia consentito, ma che i dati sensibili non devono essere esposti a microsoft.com. Tuttavia, quando un utente accede a Outlook Live, i dati passano attraverso microsoft.com in background, come illustrato di seguito:

Per impostazione predefinita, poiché i dati sensibili passano attraverso microsoft.com sulla strada per outlook.live.com, la prevenzione della perdita dei dati blocca automaticamente la condivisione dei dati.

In alcuni casi, tuttavia, potrebbe non essere interessato ai domini passati dai dati nel back-end. È invece possibile preoccuparsi solo della posizione in cui finiscono i dati, come indicato dall'URL visualizzato nella barra degli indirizzi. In questo caso, outlook.live.com. Per evitare che i dati sensibili vengano bloccati nel caso di esempio, è necessario modificare in modo specifico l'impostazione predefinita.

Pertanto, se si vuole monitorare solo il browser e la destinazione finale dei dati (l'URL nella barra degli indirizzi del browser), è possibile abilitare DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Ecco come fare.

Per modificare le impostazioni per consentire ai dati sensibili di passare i domini non consentiti nel percorso verso un dominio consentito:

1. Aprire il file com.microsoft.wdav.mobileconfig .

2. Sotto la dlp chiave Impostare su DLP_browser_only_cloud_egressabilitato e impostare su DLP_ax_only_cloud_egressabilitato come illustrato nell'esempio seguente.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Controllare il dispositivo macOS

1. Riavviare il dispositivo macOS.

2. AprireProfilipreferenze> di sistema.

3. Sono ora elencati i profili seguenti:

   • Accessibilità
   • Accesso completo al disco
   • Profilo estensione kernel
   • MAU
   • MDATP Onboarding
   • preferenze MDE
   • Profilo di gestione
   • Filtro di rete
   • Notifiche
   • Profilo di estensione di sistema

Dispositivi macOS offboard con JAMF Pro

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale. Tuttavia, i dati del dispositivo, inclusi i riferimenti agli avvisi che ha avuto, verranno conservati per un massimo di sei mesi.

Per eseguire l'offboarding di un dispositivo macOS, seguire questa procedura

1. In MDE Proprietà dominio preferenza rimuovere i valori per queste impostazioni

   • Funzionalità
     • Usare le estensioni di sistema
     • Usare la prevenzione della perdita dei dati

2. Scegliere Salva.