Integrar e desativar dispositivos macOS em soluções do Microsoft Purview usando o JAMF Pro

  • Artigo

Você pode usar o JAMF Pro para integrar dispositivos macOS em soluções do Microsoft Purview, como DLP (prevenção contra perda de dados do Ponto de Extremidade).

Importante

Use esse procedimento se você não tiver Microsoft Defender para Ponto de Extremidade (MDE) implantado em seus dispositivos macOS.

Aplica-se a:

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

  • Verifique se seus dispositivos macOS são gerenciados por meio do JAMF pro e estão associados a uma identidade (Microsoft Entra UPN ingressada) por meio do JAMF Connect ou Microsoft Intune.
  • OPCIONAL: instale o navegador do Microsoft Edge v95+ em seus dispositivos macOS para suporte ao DLP do Ponto de Extremidade nativo no Microsoft Edge.

Observação

Há suporte para as três versões principais mais recentes do macOS.

Integrar dispositivos em soluções do Microsoft Purview usando o JAMF Pro

Integrar um dispositivo macOS às soluções do Microsoft Purview é um processo de várias fases:

  1. Implantar pacotes de integração
  2. Configurar preferências de aplicativo
  3. Carregar o pacote de instalação
  4. Implantar perfis de configuração do sistema

Pré-requisitos

Baixe os arquivos a seguir.

Arquivo Descrição
mdatp-nokext.mobileconfig Este é o arquivo empacotado.
schema.json Este é o arquivo de preferência MDE.

Dica

Recomendamos baixar o arquivo empacotado (mdatp-nokext.mobileconfig), em vez dos arquivos individual.mobileconfig. O arquivo empacotado inclui os seguintes arquivos necessários:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Se algum desses arquivos for atualizado, você precisará baixar o pacote atualizado ou baixar cada arquivo atualizado individualmente.

Observação

Para baixar os arquivos:

  1. Clique com o botão direito do mouse no link e selecione Salvar link como....
  2. Escolha uma pasta e salve o arquivo.

Obter os pacotes de integração e instalação do dispositivo

Captura de tela da guia configuração Microsoft Intune com todos os campos preenchidos.

  1. No portal de conformidade, abra Configurações>Integração de Dispositivo e escolha Integração.

  2. Para que o sistema operacional Selecionar comece a integrar o valor do processo , escolha macOS.

  3. Para o método Deployment, escolha Mobile Gerenciamento de Dispositivos/Microsoft Intune.

  4. Escolha Baixar pacote de integração e, em seguida, extrair o conteúdo do pacote de integração do dispositivo. o arquivo DeviceComplianceOnboarding.plist é baixado para a pasta JAMF.

  5. Escolha Baixar pacote de instalação.

Implantar pacotes de integração

  1. Crie um novo perfil de configuração no JAMF Pro. Consulte a documentação do JAMF Pro. Use os seguintes valores:

    • Integração name:MDATP para macOS
    • Descrição: *Integração do MDATP EDR para macOS
    • Category:none
    • Método de distribuição: *`instalar automaticamente
    • Nível:nível do computador

  2. No painel de navegação, selecione Configurações personalizadas e aplicativo e, em seguida, escolha Carregar.

  3. Escolha Adicionar. Para Domínio de Preferência, insira com.microsoft.wdav.atp

  4. Escolha Carregar e selecione DeviceComplianceOnboarding.plist.

  5. Escolha Salvar.

Configurar preferências de aplicativo

Importante

Você deve usar com.microsoft.wdav como o valor domínio de preferência . Microsoft Defender para Ponto de Extremidade usa esse nome e com.microsoft.wdav.ext para carregar as configurações gerenciadas.

  1. Entre no JAMF Pro para criar um novo perfil de configuração no JAMF Pro. Consulte a documentação do JAMF Pro para obter mais informações. Use esses valores:

    • Configurações deMDATP MDAV name:MDATP
    • Description:Deixe isso em branco
    • Category:none
    • Método de distribuição:instalar automaticamente
    • Nível:nível do computador

  2. No painel de navegação, selecione Configurações personalizadas e de aplicativo e escolha Aplicativos Externos.

  3. Escolha Adicionar e escolha Esquema Personalizado. Para domínio Preferência, insira com.microsoft.wdav.

    Captura de tela da página Aplicativos Externos.

  4. Escolha Adicionar Esquema e selecione o schema.json arquivo que você baixou no GitHub.

  5. Escolha Salvar.

  6. Em Propriedades de Domínio de Preferência , atualize manualmente as configurações da seguinte maneira:

    • Recursos

      • Para Prevenção de Perda de Dados, selecione enabled e escolha Salvar.

    • Prevenção contra a perda de dados

      • Recursos
        • Defina DLP_browser_only_cloud_egress para enabled se você quiser monitorar apenas navegadores com suporte para operações de saída de nuvem.
        • Defina DLP_ax_only_cloud_egress para enabled se você quiser monitorar apenas a URL na barra de endereços do navegador (em vez de conexões de rede) para operações de saída de nuvem.

    • Mecanismo antivírus
      Se você estiver implantando apenas a prevenção contra perda de dados e não o MDE, siga as seguintes etapas:

      • Escolha Proteção em tempo real.
      • Escolha Modo passivo.
      • Escolha Aplicar.

  7. Insira um nome para o perfil de configuração e escolha Salvar.

  8. Na próxima página, escolha a guia Escopo , selecione os destinos apropriados para este perfil de configuração e escolha Salvar.

OPCIONAL: permitir que dados confidenciais passem por domínios proibidos

O Microsoft Purview DLP verifica se há dados confidenciais em todas as etapas de suas viagens. Portanto, se dados confidenciais forem postados ou enviados para um domínio permitido, mas percorrerem um domínio proibido, eles serão bloqueados. Vamos dar uma olhada mais de perto.

Digamos que o envio de dados confidenciais por meio do Outlook Live (outlook.live.com) é permitido, mas que dados confidenciais não devem ser expostos a microsoft.com. No entanto, quando um usuário acessa o Outlook Live, os dados passam por microsoft.com em segundo plano, conforme mostrado:

Captura de tela mostrando o fluxo de dados da URL de origem para o destino.

Por padrão, como os dados confidenciais passam por microsoft.com em seu caminho para outlook.live.com, o DLP bloqueia automaticamente que os dados sejam compartilhados.

Em alguns casos, no entanto, talvez você não esteja preocupado com os domínios pelos quais os dados passam no back-end. Em vez disso, você só pode se preocupar com o local em que os dados acabam, conforme indicado pela URL que aparece na barra de endereços. Nesse caso, outlook.live.com. Para evitar que dados confidenciais sejam bloqueados em nosso caso de exemplo, você precisa alterar especificamente a configuração padrão.

Portanto, se você quiser apenas monitorar o navegador e o destino final dos dados (a URL na barra de endereços do navegador), você poderá habilitar DLP_browser_only_cloud_egress e DLP_ax_only_cloud_egress. Veja como.

Para alterar as configurações para permitir que dados confidenciais passem por domínios proibidos em seu caminho para um domínio permitido:

  1. Abra o arquivo com.microsoft.wdav.mobileconfig .

  2. dlp Na chave, Defina DLP_browser_only_cloud_egress como habilitado e definido DLP_ax_only_cloud_egress como habilitado, conforme mostrado no exemplo a seguir.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Implantar perfis de configuração do sistema

  1. Na página Perfis de Configuração do console do JAMF Pro, selecione Carregar e escolha Arquivo.

  2. Selecione o mdatp-nokext.mobileconfig arquivo, escolha Abrir e escolha Carregar.

Carregar o pacote de instalação

  1. No console do JAMF Pro, navegue até Pacotes de Configurações> de Gerenciamento e escolha Novo.

  2. Insira um nome de exibição para o pacote e (opcionalmente) selecione uma categoria.

  3. Em Nome do Arquivo , selecione Escolher Arquivo.

  4. Selecione o arquivo do wdav.pkg pacote de instalação e escolha Salvar.

  5. Navegue até Políticas de Computadores> e escolha Novo.

  6. No painel de navegação esquerdo, escolha Pacotes.

  7. Na lista Pacotes , selecione o pacote de instalação na Etapa 4.

  8. Para a ação , escolha Instalar.

  9. Escolha a guia Escopo e, em seguida, direcione computadores antes de escolher Salvar.

  10. Na página Geral , insira um nome para a nova política.

Desativar dispositivos macOS usando o JAMF Pro

Importante

O offboarding faz com que o dispositivo pare de enviar dados do sensor para o portal. No entanto, os dados do dispositivo, incluindo referências a quaisquer alertas que ele teve, serão mantidos por até seis meses.

  1. Se você não estiver usando o MDE, desinstale o aplicativo. Consulte a seção Implantação de Pacotes na documentação do JAMF Pro.

  2. Reinicie o dispositivo macOS. (Alguns aplicativos podem perder a funcionalidade de impressão até serem reiniciados.)