JAMF Pro を使用して macOS デバイスを Microsoft Purview ソリューションにオンボードおよびオフボードする

  • [アーティクル]

JAMF Pro を使用して、macOS デバイスをエンドポイント データ損失防止 (DLP) などの Microsoft Purview ソリューションにオンボードできます。

重要

macOS デバイスにMicrosoft Defender for Endpoint (MDE) がデプロイされていない場合は、この手順を使用します。

適用対象:

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

  • macOS デバイスが JAMF pro を介して管理され、JAMF Connect または Microsoft Intune を介して ID (Microsoft Entra参加済み UPN) に関連付けられていることを確認します。
  • 省略可能: Microsoft Edge でのネイティブ エンドポイント DLP サポートのために、macOS デバイスに v95+ Microsoft Edge ブラウザーをインストールします。

注:

macOS の最新の 3 つのメジャー リリースがサポートされています。

JAMF Pro を使用してデバイスを Microsoft Purview ソリューションにオンボードする

macOS デバイスを Microsoft Purview ソリューションにオンボードすることは、マルチフェーズ プロセスです。

  1. オンボード パッケージをデプロイする
  2. アプリケーションの基本設定を構成する
  3. インストール パッケージをアップロードする
  4. システム構成プロファイルの展開

前提条件

次のファイルをダウンロードします。

ファイル 説明
mdatp-nokext.mobileconfig これはバンドルされたファイルです。
schema.json これは MDE 基本設定ファイルです。

ヒント

個々の.mobileconfig ファイルではなく、バンドルされた (mdatp-nokext.mobileconfig) ファイルをダウンロードすることをお勧めします。 バンドルされたファイルには、次の必須ファイルが含まれています。

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

これらのファイルのいずれかが更新された場合は、更新されたバンドルをダウンロードするか、更新された各ファイルを個別にダウンロードする必要があります。

注:

ファイルをダウンロードするには:

  1. リンクを右クリックし、[リンクを 名前を付けて保存]を選択します。
  2. フォルダーを選択し、ファイルを保存します。

デバイスのオンボードとインストール パッケージを取得する

すべてのフィールドが設定されている [Microsoft Intune構成設定] タブのスクリーンショット。

  1. コンプライアンス ポータルで、[設定] [デバイス のオンボード]> を開き、[オンボード] を選択します。

  2. [ オペレーティング システムを選択してオンボード プロセスを開始する ] の値 として、[macOS] を選択します。

  3. [デプロイ方法] で、[Mobile デバイス管理/Microsoft Intune] を選択します。

  4. [ オンボード パッケージのダウンロード ] を選択し、デバイス オンボード パッケージの内容を抽出します。 DeviceComplianceOnboarding.plist ファイルが JAMF フォルダーにダウンロードされます。

  5. [ インストール パッケージのダウンロード] を選択します。

オンボード パッケージをデプロイする

  1. JAMF Pro で新しい構成プロファイルを作成します。 JAMF Pro のドキュメントを参照してください。 次の値を使用します。

    • 名前:macOS の MDATP オンボード
    • 説明: *macOS 用 MDATP EDR オンボード
    • Category:none
    • 配布方法: *`自動的にインストールする
    • Level:computer level

  2. ナビゲーション ウィンドウで、[ アプリケーションとカスタム設定] を選択し、[ アップロード] を選択します。

  3. [追加] を選択します。 [ 基本設定ドメイン] に「」と入力します。 com.microsoft.wdav.atp

  4. [ アップロード] を選択し、[ DeviceComplianceOnboarding.plist] を選択します。

  5. 保存] を選択します。

アプリケーションの基本設定を構成する

重要

優先ドメインの値として com.microsoft.wdav を使用する必要があります。 Microsoft Defender for Endpointでは、この名前と com.microsoft.wdav.ext を使用してマネージド設定を読み込みます。

  1. JAMF Pro にサインインして、JAMF Pro で新しい構成プロファイルを作成します。 詳細については、 JAMF Pro のドキュメント を参照してください。 次の値を使用します。

    • 名前:MDATP MDAV 構成設定
    • 説明:空白のままにします
    • Category:none
    • 配布方法:自動的にインストールする
    • Level:computer level

  2. ナビゲーション ウィンドウで、[ アプリケーション] と [カスタム設定] を選択し、[ 外部アプリケーション] を選択します。

  3. [ 追加] を選択し、[ カスタム スキーマ] を選択します。 [ 基本設定ドメイン] に「」と入力します com.microsoft.wdav

    [外部アプリケーション] ページのスクリーンショット。

  4. [ スキーマの追加] を選択し、GitHub からダウンロードしたファイルを選択 schema.json します。

  5. 保存] を選択します。

  6. [ 基本設定ドメインのプロパティ] で 、次のように設定を手動で更新します。

    • 機能

      • [ データ損失防止] で、[保存] を選択 enabled して選択 します

    • データ損失防止

      • 機能
        • クラウドエグレス操作でサポートされているブラウザーのみを監視する場合は、 DLP_browser_only_cloud_egress を に enabled 設定します。
        • クラウドエグレス操作のブラウザー アドレス バー (ネットワーク接続ではなく) の URL のみを監視する場合は、 DLP_ax_only_cloud_egressenabled を に設定します。

    • ウイルス対策エンジン
      MDE ではなくデータ損失防止 のみを デプロイする場合は、次の手順を実行します。

      • [ リアルタイム保護] を選択します。
      • [パッシブ モード] を選択します。
      • [適用] を選択します。

  7. 構成プロファイルの名前を入力し、[保存] を選択 します

  8. 次のページで、[ スコープ ] タブを選択し、この構成プロファイルの適切なターゲットを選択し、[保存] を選択 します

省略可能: 機密データが禁止されたドメインを通過することを許可する

Microsoft Purview DLP は、旅行のすべての段階で機密データをチェックします。 そのため、機密データが許可されたドメインに投稿または送信されても、禁止されたドメインを通過すると、ブロックされます。 詳しく見てみましょう。

Outlook Live (outlook.live.com) を介した機密データの送信は許可されますが、機密データを microsoft.com に公開してはならないとします。 ただし、ユーザーが Outlook Live にアクセスすると、次に示すように、データはバックグラウンドで microsoft.com を通過します。

ソースから宛先 URL へのデータフローを示すスクリーンショット。

既定では、機密データは outlook.live.com する途中で microsoft.com を通過するため、DLP はデータの共有を自動的にブロックします。

ただし、場合によっては、データがバックエンドで通過するドメインに関心がない場合があります。 代わりに、アドレス バーに表示される URL によって示されるように、最終的にデータが最終的にどこに表示されるのかを心配する必要があります。 この場合は、 outlook.live.com。 この例のケースで機密データがブロックされないようにするには、既定の設定を具体的に変更する必要があります。

そのため、ブラウザーとデータの最終的な宛先 (ブラウザー アドレス バーの URL) のみを監視する場合は、 DLP_browser_only_cloud_egressDLP_ax_only_cloud_egressを有効にすることができます。 これを行うには、次の操作を実行します。

許可されたドメインにアクセスする際に、機密データが禁止されているドメインを通過できるように設定を変更するには:

  1. com.microsoft.wdav.mobileconfig ファイルを開きます。

  2. 次の例に示すように、DLP_browser_only_cloud_egressキーのdlp下の [有効] に設定し、 を [有効] に設定 DLP_ax_only_cloud_egressします。

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

システム構成プロファイルをデプロイする

  1. JAMF Pro コンソールの [構成プロファイル] ページで、[ アップロード ] を選択し、[ファイル] を選択 します

  2. ファイルを選択し mdatp-nokext.mobileconfig 、[ 開く] を選択し、[ アップロード] を選択します。

インストール パッケージをアップロードする

  1. JAMF Pro コンソールで、[管理設定パッケージ]> に移動し、[新規] を選択します。

  2. パッケージの表示名を入力し、(必要に応じて) カテゴリを選択します。

  3. [ ファイル名] で 、[ ファイルの選択] を選択します

  4. インストール パッケージ ファイルを wdav.pkg 選択し、[保存] を選択 します

  5. [コンピューターポリシー]> に移動し、[新規] を選択します。

  6. 左側のナビゲーション ウィンドウで、[パッケージ] を選択 します

  7. [ パッケージ ] ボックスの一覧から、手順 4. からインストール パッケージを選択します。

  8. [アクション] で [インストール] を選択します

  9. [ スコープ ] タブを選択し、[ 保存] を選択する前にコンピューターをターゲットにします。

  10. [ 全般 ] ページで、新しいポリシーの名前を入力します。

JAMF Pro を使用したオフボード macOS デバイス

重要

オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。

  1. MDE を使用していない場合は、アプリケーションをアンインストールします。 JAMF Pro ドキュメントの「パッケージ展開」セクションを参照してください。

  2. macOS デバイスを再起動します。 (一部のアプリケーションでは、再起動されるまで印刷機能が失われる可能性があります)。