次の方法で共有

Microsoft Defender for Endpointを使用しないお客様向けのモバイル デバイス管理ツール

任意のモバイル デバイス管理 (MDM) ソリューションを使用して、macOS デバイスをエンドポイント データ損失防止 (DLP) などの Microsoft Purview ソリューションにオンボードできます。

重要

macOS デバイスに展開Microsoft Defender for Endpoint (MDE) がない場合は、この手順を使用します。

適用対象:

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

  • 省略可能: Microsoft Edge でのネイティブ エンドポイント DLP サポートのために、macOS デバイスに v95+ Microsoft Edge ブラウザーをインストールします。

注:

macOS の最新の 3 つのメジャー リリースがサポートされています。

任意の MDM を使用してデバイスを Microsoft Purview ソリューションにオンボードする

前提条件

  • Microsoft Defenderマルウェア対策クライアント バージョン 101.25012.0005 以降がデバイスにインストールされている必要があります。
  • 次のファイルをダウンロードします。
ファイル 説明
mdatp.mobileconfig これはバンドルされたファイルです。
schema.json これは、MDE設定ファイルです。

ヒント

個々の.mobileconfig ファイルではなく、バンドルされた mdatp.mobileconfig ファイルをダウンロードすることをお勧めします。 バンドルされたファイルには、次の必須ファイルが含まれています。

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

これらのファイルのいずれかが更新された場合は、更新されたバンドルをダウンロードするか、更新された各ファイルを個別にダウンロードする必要があります。

デバイスのオンボードとインストール パッケージを取得する

すべてのフィールドが設定されている [Microsoft Intune構成設定] タブのスクリーンショット。

  1. Microsoft Purview ポータルで、[設定] >[デバイスオンボード] を開き、[オンボード] を選択します。

  2. [ オペレーティング システムを選択してオンボード プロセスを開始する ] の値 として、[macOS] を選択します。

  3. [デプロイ方法] で、[Mobile デバイス管理/Microsoft Intune] を選択します。

  4. [ オンボード パッケージのダウンロード ] を選択し、デバイス オンボード パッケージの内容を抽出します。 DeviceComplianceOnboarding.plist ファイルが JAMF フォルダーにダウンロードされます。

  5. [ インストール パッケージのダウンロード] を選択します。

オンボード パッケージをデプロイする

  1. MDM で新しい構成プロファイルを作成します。 次の値を使用します (該当する場合)。
  • 名前:macOS の MDATP オンボード
  • 説明: *macOS 用 MDATP EDR オンボード
  • Category:none
  • 配布方法: *`自動的にインストールする
  • Level:computer level
  1. DeviceComplianceOnboarding.plist をカスタム設定としてアップロードする
  2. 基本設定ドメインとして「com.microsoft.wdav.atp」と入力します。
  3. 保存] を選択します。 構成プロファイルの作成に関する MDM ドキュメントを参照してください。

アプリケーションの基本設定を構成する

重要

優先ドメインの値として com.microsoft.wdav を使用する必要があります。 Microsoft Defender for Endpointでは、この名前と com.microsoft.wdav.ext を使用してマネージド設定を読み込みます。

新しい構成プロファイルを作成する方法については、MDM のドキュメントを参照してください。

  1. 新しい構成プロファイルを作成します。 次の値を使用します (該当する場合)。
  • 名前:MDATP MDAV 構成設定
  • 説明:空白のままにします
  • Category:none
  • 配布方法:自動的にインストールする
  • Level:computer level

  1. schema.jsonをカスタム スキーマとして構成プロファイルに追加します。

  2. [ 基本設定ドメインのプロパティ] で、[ データ損失防止 ] を見つけて、[ enabled] を選択します。

  3. その他のMDE設定 (必要な場合) を調整した後、プロファイルを保存します。

システム構成プロファイルをデプロイする

システム構成プロファイルを展開する方法については、MDM のドキュメントを参照してください。

  1. mdatp.mobileconfig ファイルを MDM にアップロードして、新しい構成プロファイルを作成します。

ID の登録

構成に応じて、これら 2 つの方法のいずれかを使用して の Microsoft Entra ID を登録します。

方法 1: Microsoft Intune ポータル サイトなしで登録する

  1. Microsoft Office、Teams、Microsoft Edge などの Microsoft アプリケーションをインストールします。 ユーザーが有効なMicrosoft Entra アカウントを使用してログインすると、そのアカウントは DLP ポリシー評価の UPN として登録されます。 個人の Microsoft アカウントは有効と見なされません。 登録を完了するには、デバイスの再起動が必要な場合があります。

方法 2: Microsoft Intune ポータル サイトに登録する

この方法は、macOS デバイスが Microsoft アプリを使用していないユーザーを対象としています。

まだ持っていない場合は、Microsoft Intune ポータル サイトを取得できます。

  1. MDM ソリューションを使用して 、Apple デバイス用の Microsoft Enterprise SSO プラグイン をマネージド macOS デバイスにデプロイします。 macOS 用のMicrosoft Intune ポータル サイトは、スムーズなユーザー エクスペリエンスのための SSO プラグインを提供します。 そのため、Microsoft Intune ポータル サイトは macOS デバイスにインストールする必要がありますが、ユーザーはIntuneポータル サイトにサインインする必要はありません。 ユーザーが Safari ブラウザーなどの Microsoft 以外の認証ライブラリ (MSAL) アプリケーションにサインインすると、SSO プラグインが有効になって UPN が登録されます。 登録を完了するには、デバイスの再起動が必要な場合があります。

Microsoft Enterprise SSO 拡張機能のトラブルシューティングについては、「 Apple デバイスでの Microsoft Enterprise SSO 拡張機能プラグインのトラブルシューティング」を参照してください。

任意の MDM を使用したオフボード macOS デバイス

重要

オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。

  1. MDEを使用していない場合は、アプリケーションをアンインストールします。 アンインストールに関する MDM 固有の手順については、MDM のドキュメントを参照してください。

  2. macOS デバイスを再起動します。 (一部のアプリケーションでは、再起動されるまで印刷機能が失われる可能性があります)。