Microsoft Defender for Endpoint のお客様向け Intune を使用したコンプライアンス ソリューションへの macOS デバイスのオンボードとオフボード
Microsoft Intuneを使用して、macOS デバイスを Microsoft Purview ソリューションにオンボードできます。
重要
Microsoft Defender for Endpoint (MDE) を macOS デバイスに既にデプロイしている場合は、この手順を使用します。
適用対象:
- macOS デバイスにMDE展開しているお客様。
- エンドポイントのデータ損失防止
- インサイダー リスク管理
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに
- macOS デバイスがIntuneにオンボードされ、ポータル サイト アプリに登録されていることを確認します。
- Microsoft Intune管理センターにアクセスできることを確認します。
- 省略可能: macOS デバイスに v95+ Microsoft Edge ブラウザーをインストールします。
注:
macOS の最新の 3 つのメジャー リリースがサポートされています。
Microsoft Intuneを使用して macOS デバイスを Microsoft Purview ソリューションにオンボードする
エンドポイント (MDE) のMicrosoft Defenderが既に macOS デバイスにデプロイされている場合でも、そのデバイスをコンプライアンス ソリューションにオンボードできます。 これを行うことは、マルチフェーズ プロセスです。
前提条件
次のファイルをダウンロードします。
| ファイル | 説明 |
|---|---|
| accessibility.mobileconfig | アクセシビリティに使用 |
| fulldisk.mobileconfig | フル ディスク アクセス (FDA) を付与するために使用されます。 |
注:
ファイルをダウンロードするには:
- リンクを右クリックし、[リンクを 名前を付けて保存]を選択します。
- フォルダーを選択し、ファイルを保存します。
システム構成プロファイルを作成する
Microsoft Intune管理センターを開き、[デバイス>構成プロファイル] に移動します。
[プロファイルの作成] を選択 します。
次の値を選択します。
- プロファイルの種類 = テンプレート
- テンプレート名 = カスタム
[作成] を選択します。
たとえば、プロファイルの名前 ( Microsoft Purview アクセシビリティアクセス許可) を入力し、[ 次へ] を選択します。
構成プロファイル ファイルとして を
accessibility.mobileconfig選択し (前提条件の一部としてダウンロード)、[ 次へ] を選択します。[ 割り当て ] タブで、この構成をデプロイするグループを追加し、[ 次へ] を選択します。
設定を確認し、[ 作成 ] を選択して構成をデプロイします。
[デバイス] を開き、macOS>構成プロファイルに移動します。 作成したプロファイルが表示されます。
[ 構成プロファイル] ページで、新しいプロファイルを選択します。 次に、[ デバイスの状態 ] を選択して、デバイスの一覧と構成プロファイルの展開状態を表示します。
既存のシステム構成プロファイルを更新する
完全ディスク アクセス (FDA) 構成プロファイルは、MDE用に以前に作成してデプロイしておく必要があります。 (詳細については、「mac でのMicrosoft Defender for EndpointのIntune ベースのデプロイ」を参照してください)。 エンドポイント データ損失防止 (DLP) には、新しいアプリケーション (
com.microsoft.dlp.daemon) に対する追加の FDA アクセス許可が必要です。ダウンロードした
fulldisk.mobileconfigファイルで既存の FDA 構成プロファイルを更新します。
MDE設定を更新する
既存のMDE基本設定の構成プロファイルを見つけます。 詳細については、「mac でのMicrosoft Defender for Endpoint Intuneベースのデプロイ」を参照してください。
.mobileconfig ファイルに次のキーを追加し、ファイルを保存します。
<key>features</key> <dict> <key>dataLossPrevention</key> <string>enabled</string> </dict>
省略可能: 機密データが禁止されたドメインを通過することを許可する
Microsoft Purview DLP は、旅行のすべての段階で機密データをチェックします。 そのため、機密データが許可されたドメインに投稿または送信されても、禁止されたドメインを通過すると、ブロックされます。 詳しく見てみましょう。
Outlook Live (outlook.live.com) を介した機密データの送信は許可されますが、機密データを microsoft.com に公開してはならないとします。 ただし、ユーザーが Outlook Live にアクセスすると、次に示すように、データはバックグラウンドで microsoft.com を通過します。
既定では、機密データは outlook.live.com する途中で microsoft.com を通過するため、DLP はデータの共有を自動的にブロックします。
ただし、場合によっては、データがバックエンドで通過するドメインに関心がない場合があります。 代わりに、アドレス バーに表示される URL によって示されるように、最終的にデータが最終的にどこに表示されるのかを心配する必要があります。 この場合は、 outlook.live.com。 この例のケースで機密データがブロックされないようにするには、既定の設定を具体的に変更する必要があります。
そのため、ブラウザーとデータの最終的な宛先 (ブラウザー アドレス バーの URL) のみを監視する場合は、 DLP_browser_only_cloud_egress と DLP_ax_only_cloud_egressを有効にすることができます。 これを行うには、次の操作を実行します。
許可されたドメインにアクセスする際に、機密データが禁止されているドメインを通過できるように設定を変更するには:
com.microsoft.wdav.mobileconfig ファイルを開きます。
次の例に示すように、
DLP_browser_only_cloud_egressキーのdlp下の [有効] に設定し、 を [有効] に設定DLP_ax_only_cloud_egressします。<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Microsoft Intuneを使用したオフボード macOS デバイス
重要
オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスから受信したデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。
Microsoft Intune管理センターで、[デバイス>構成プロファイル] を開きます。 作成したプロファイルが表示されます。
[構成プロファイル] ページで、MDE基本設定プロファイルを選択します。
次の設定を削除します。
<key>features</key> <dict> <key>dataLossPrevention</key> <string>enabled</string> </dict>[保存] を選択します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示