Integrar e remover dispositivos macOS em Soluções de conformidade usando o Intune para clientes do Microsoft Defender para Ponto de Extremidade

Você pode usar Microsoft Intune para integrar dispositivos macOS em soluções do Microsoft Purview.

Importante

Use esse procedimento se você já tiver implantado Microsoft Defender para Ponto de Extremidade (MDPE) em seus dispositivos macOS.

Aplica-se a:

• Clientes que MDPE implantados em seus dispositivos macOS.
• Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)
• Gerenciamento de risco interno

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

• Verifique se seus dispositivos macOS estão integrados a Intune e registrados no aplicativo Portal da Empresa.
• Verifique se você tem acesso ao centro de administração Microsoft Intune.
• OPCIONAL: instale o navegador v95+ do Microsoft Edge em seus dispositivos macOS.

Observação

Há suporte para as três versões principais mais recentes do macOS.

Integrar dispositivos macOS em soluções do Microsoft Purview usando Microsoft Intune

Se Microsoft Defender para pontos de extremidade (MDPE) já tiver sido implantado em seu dispositivo macOS, você ainda poderá integrar esse dispositivo em soluções de conformidade. Fazer isso é um processo de várias fases:

1. Criar perfis de configuração do sistema
2. Atualizar perfis de configuração de sistema existentes
3. Atualizar MDPE preferências

Pré-requisitos

Baixe os seguintes arquivos:

Arquivo	Descrição
accessibility.mobileconfig	Usado para acessibilidade
fulldisk.mobileconfig	Usado para conceder acesso completo ao disco (FDA).

Observação

Para baixar os arquivos:

1. Clique com o botão direito do mouse no link e selecione Salvar link como....
2. Escolha uma pasta e salve o arquivo.

Criar perfis de configuração do sistema

1. Abra o centro de administração Microsoft Intune e navegue até perfis>de configuração de dispositivos.

2. Escolha: Criar perfil.

3. Selecione os seguintes valores:

   1. Tipo de perfil = Modelos
   2. Nome do modelo = Personalizado

4. Escolha Criar.

5. Insira um nome para o perfil, por exemplo: Permissão de Acessibilidade do Microsoft Purview e escolha Avançar.

6. Escolha o accessibility.mobileconfig como o arquivo de perfil de configuração (baixado como parte dos pré-requisitos) e escolha Avançar.

7. Na guia Atribuições , adicione o grupo ao qual você deseja implantar essa configuração e escolha Avançar.

8. Examine suas configurações e escolha Criar para implantar a configuração.

9. Abra Dispositivos e navegue atéperfis de configuraçãodo macOS>. Os perfis que você criou exibem.

10. Na página Perfis de configuração , escolha o novo perfil. Em seguida, escolha Dispositivo status para ver uma lista de dispositivos e o status de implantação do perfil de configuração.

Atualizar perfis de configuração de sistema existentes

1. Um perfil de configuração do FDA (acesso completo ao disco) deveria ter sido criado e implantado anteriormente para MDPE. (Para obter detalhes, consulte implantação baseada em Intune para Microsoft Defender para Ponto de Extremidade no Mac). A DLP (prevenção contra perda de dados) do ponto de extremidade requer permissão adicional da FDA para o novo aplicativo ().com.microsoft.dlp.daemon

2. Atualize o perfil de configuração do FDA existente com o arquivo baixado fulldisk.mobileconfig .

Atualizar MDPE preferências

1. Localize o perfil de configuração de preferências de MDPE existente. Consulte implantação baseada em Intune para Microsoft Defender para Ponto de Extremidade no Mac para obter detalhes.

2. Adicione a seguinte chave ao arquivo .mobileconfig e salve o arquivo.

   <key>features</key> 
       <dict> 
           <key>dataLossPrevention</key> 
           <string>enabled</string> 
       </dict> 
   

OPCIONAL: permitir que dados confidenciais passem por domínios proibidos

O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.

Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:

Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.

Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.

Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.

Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:

1. Abra o arquivo com.microsoft.wdav.mobileconfig .

2. dlp Na chave, Defina DLP_browser_only_cloud_egress como habilitado e definido DLP_ax_only_cloud_egress como habilitado, conforme mostrado no exemplo a seguir.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Desativar dispositivos macOS usando Microsoft Intune

Importante

O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados recebidos do dispositivo, incluindo referências a quaisquer alertas que ele teve, serão mantidos por até seis meses.

1. No centro de administração Microsoft Intune, abraperfis> de configuração de dispositivos. Os perfis que você criou exibem.

2. Na página Perfis de configuração, escolha o perfil de preferências MDPE.

3. Remova estas configurações:

    <key>features</key>
        <dict>
            <key>dataLossPrevention</key>
            <string>enabled</string>
        </dict>
   

4. Escolha Salvar.