Dispositivos macOS integrados e não integrados em soluções Microsoft Purview usando o Intune

  • Artigo

Você pode usar Microsoft Intune para integrar dispositivos macOS em soluções do Microsoft Purview.

Importante

Use esse procedimento se você não tiver Microsoft Defender para Ponto de Extremidade (MDE) implantado em seus dispositivos macOS

Aplica-se a:

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Observação

Há suporte para as três versões principais mais recentes do macOS.

Integrar dispositivos macOS em soluções do Microsoft Purview usando Microsoft Intune

Integrar um dispositivo macOS em soluções de conformidade é um processo de várias fases.

  1. Obter o pacote de integração do dispositivo
  2. Implantar os pacotes de configuração móvel e integração
  3. Publicar o aplicativo

Pré-requisitos

Baixe os seguintes arquivos:

Arquivo Descrição
mdatp-nokext.mobileconfig Arquivo de configuração móvel do sistema
com.microsoft.wdav.mobileconfig. Preferências de MDE

Dica

Recomendamos baixar o arquivo empacotado (mdatp-nokext.mobileconfig), em vez dos arquivos individual.mobileconfig. O arquivo empacotado inclui os seguintes arquivos necessários:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Se algum desses arquivos for atualizado, você precisará baixar o pacote atualizado ou baixar cada arquivo atualizado individualmente.

Obter o pacote de integração do dispositivo

Captura de tela da guia configuração Microsoft Intune com todos os campos preenchidos.

  1. No Centro de Conformidade do Microsoft Purview , abra Configurações>Integração de Dispositivo e escolha Integração.

  2. Para que o sistema operacional Selecionar inicie o processo de integração , escolha macOS.

  3. Para o método Deployment, escolha Mobile Gerenciamento de Dispositivos/Microsoft Intune.

  4. Escolha Baixar pacote de integração.

  5. Extraia o arquivo .ZIP e abra a pasta Do Intune . Isso contém o código de integração no arquivo DeviceComplianceOnboarding.xml .

Implantar os pacotes de configuração móvel e integração

  1. Abra o centro de administração Microsoft Intune e navegue até perfis>de configuração de dispositivos.

  2. Escolha: Criar perfil.

  3. Selecione os seguintes valores:

    1. Plataforma = macOS
    2. Tipo de perfil = Modelos
    3. Nome do modelo = Personalizado

  4. Escolha Criar.

  5. Insira um nome para o perfil, como Microsoft Purview System MobileConfig e escolha Avançar.

  6. Escolha o mdatp-nokext.mobileconfig arquivo baixado na Etapa 1 como o arquivo de perfil de configuração.

  7. Escolha Avançar.

  8. Na guia Atribuições , adicione o grupo ao qual você deseja implantar essas configurações e escolha Avançar.

  9. Examine suas configurações e escolha Criar para implantar a configuração.

  10. Repita as etapas 2-9 para criar perfis para:

    1. DeviceComplianceOnboarding.xml arquivo. Nomeie-o pacote de integração de dispositivo do Microsoft Purview
    2. arquivo com.microsoft.wdav.mobileconfig. Nomeie-o Preferências de Dispositivo do Ponto de Extremidade da Microsoft

  11. Abra perfis>de configuração de dispositivos. Os perfis que você criou agora são exibidos.

  12. Na página Perfis de configuração , escolha o perfil que você acabou de criar. Em seguida, escolha Dispositivo status para ver uma lista de dispositivos e o status de implantação do perfil de configuração.

Observação

Para carregar na atividade de serviço de nuvem , se você quiser apenas monitorar o navegador e a URL na barra de endereços do navegador, você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress.

Aqui está um exemplo com.microsoft.wdav.mobileconfig.

Publicar o aplicativo

A proteção contra perda de dados do Microsoft Endpoint é instalada como um componente do Microsoft Defender para Ponto de Extremidade no macOS. Esse procedimento se aplica à integração de dispositivos em soluções do Microsoft Purview

  1. No centro de administração Microsoft Intune, abra Aplicativos.

  2. Selecione Por plataforma>macOS>Adicionar.

  3. Escolha o tipo=de aplicativo macOS e escolha Selecionar. Escolha Microsoft Defender para Ponto de Extremidade.

  4. Mantenha os valores padrão e escolha Avançar.

  5. Adicione atribuições e escolha Avançar.

  6. Examine as configurações escolhidas e escolha Criar.

  7. Você pode visitar Aplicativos>por plataforma>macOS para ver o novo aplicativo na lista de todos os aplicativos.

OPCIONAL: permitir que dados confidenciais passem por domínios proibidos

O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.

Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:

Captura de tela mostrando o fluxo de dados da URL de origem para o destino.

Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.

Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.

Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.

Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:

  1. Abra o arquivo com.microsoft.wdav.mobileconfig .

  2. dlp Na chave, Defina DLP_browser_only_cloud_egress como habilitado e definido DLP_ax_only_cloud_egress como habilitado, conforme mostrado no exemplo a seguir.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Desativar dispositivos macOS usando o Intune

Observação

O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados do dispositivo, incluindo referência a todos os alertas que ele teve, serão mantidos por até seis meses.

  1. No centro de administração Microsoft Intune, abraperfis> de configuração de dispositivos. Os perfis que você criou estão listados.

  2. Na página Perfis de configuração , escolha o perfil wdav.pkg.intunemac .

  3. Escolha Dispositivo status para ver uma lista de dispositivos e o status de implantação do perfil de configuração.

  4. Abra Propriedades e, em seguida, Atribuições.

  5. Remova o grupo da atribuição. Isso desinstalará o pacote wdav.pkg.intunemac e removerá o dispositivo macOS das soluções de conformidade.