Подключение и отключение устройств с macOS в решениях Microsoft Purview с помощью Intune

  • Статья

Вы можете использовать Microsoft Intune для подключения устройств macOS к решениям Microsoft Purview.

Важно!

Используйте эту процедуру, если на устройствах macOS не развернута Microsoft Defender для конечной точки (MDE)

Область применения:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Примечание.

Поддерживаются три последних основных выпуска macOS.

Подключение устройств macOS к решениям Microsoft Purview с помощью Microsoft Intune

Подключение устройства macOS к решениям соответствия требованиям является многоэтапным процессом.

  1. Получение пакета подключения устройства
  2. Развертывание пакетов mobileconfig и подключения
  3. Публикация приложения

Предварительные требования

Скачайте следующие файлы:

Файл Описание
mdatp-nokext.mobileconfig Файл конфигурации system mobile
com.microsoft.wdav.mobileconfig. Параметры MDE

Совет

Рекомендуется скачать пакетный файл (mdatp-nokext.mobileconfig), а не файлы individual.mobileconfig. Пакетный файл содержит следующие обязательные файлы:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

Если какой-либо из этих файлов обновляется, необходимо либо скачать обновленный пакет, либо скачать каждый обновленный файл по отдельности.

Получение пакета подключения устройства

Снимок экрана: вкладка

  1. В Центре соответствия требованиям Microsoft Purview откройте Параметры>Подключение устройства , а затем выберите Подключение.

  2. Для параметра Выбрать операционную систему для запуска процесса подключения выберите macOS.

  3. В поле Метод развертывания выберите Мобильные Управление устройствами/Microsoft Intune.

  4. Выберите Скачать пакет подключения.

  5. Извлеките файл .ZIP и откройте папку Intune . Он содержит код подключения в файлеDeviceComplianceOnboarding.xml .

Развертывание пакетов mobileconfig и подключения

  1. Откройте Центр администрирования Microsoft Intune и перейдите враздел Профили конфигурацииустройств>.

  2. Выберите : Создать профиль.

  3. Выберите следующие значения:

    1. Platform = macOS
    2. Тип профиля = Шаблоны
    3. Имя шаблона = Пользовательский

  4. Выберите пункт Создать.

  5. Введите имя профиля, например Microsoft Purview System MobileConfig, а затем нажмите кнопку Далее.

  6. Выберите файл, скачанный mdatp-nokext.mobileconfig на шаге 1, в качестве файла профиля конфигурации.

  7. Нажмите кнопку Далее.

  8. На вкладке Назначения добавьте группу, в которой нужно развернуть эти конфигурации, и нажмите кнопку Далее.

  9. Просмотрите параметры и нажмите кнопку Создать , чтобы развернуть конфигурацию.

  10. Повторите шаги 2–9, чтобы создать профили для:

    1. DeviceComplianceOnboarding.xml файл. Назовите его Пакет подключения устройств Microsoft Purview
    2. файл com.microsoft.wdav.mobileconfig. Присвойтите ему имя Параметры устройства конечной точки Майкрософт

  11. Откройтепрофили конфигурацииустройств>. Теперь отображаются созданные профили.

  12. На странице Профили конфигурации выберите только что созданный профиль. Затем выберите Состояние устройства , чтобы просмотреть список устройств и состояние развертывания профиля конфигурации.

Примечание.

Для действия отправки в облачную службу , если вы хотите отслеживать только браузер и URL-адрес в адресной строке браузера, можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress.

Ниже приведен пример com.microsoft.wdav.mobileconfig.

Публикация приложения

Защита от потери данных конечной точки Майкрософт устанавливается в качестве компонента Microsoft Defender для конечной точки в macOS. Эта процедура применяется к подключению устройств к решениям Microsoft Purview

  1. В Центре администрирования Microsoft Intune откройте Приложения.

  2. Выберите По платформе>macOS>Добавить.

  3. Выберите Тип= приложенияmacOS и нажмите кнопку Выбрать. Выберите Microsoft Defender для конечной точки.

  4. Оставьте значения по умолчанию и нажмите кнопку Далее.

  5. Добавьте назначения и нажмите кнопку Далее.

  6. Просмотрите выбранные параметры и нажмите кнопку Создать.

  7. Вы можете перейти настраницу Приложения >по платформе>macOS, чтобы увидеть новое приложение в списке всех приложений.

НЕОБЯЗАТЕЛЬНО. Разрешить передачу конфиденциальных данных через запрещенные домены

Microsoft Purview DLP проверяет наличие конфиденциальных данных на всех этапах их перемещения. Таким образом, если конфиденциальные данные публикуются или отправляются в разрешенный домен, но перемещаются через запрещенный домен, они блокируются. Давайте посмотрим поближе.

Предположим, что отправка конфиденциальных данных через Outlook Live (outlook.live.com) разрешена, но конфиденциальные данные не должны подвергаться microsoft.com. Однако при доступе пользователя к Outlook Live данные проходят через microsoft.com в фоновом режиме, как показано ниже.

Снимок экрана: поток данных из источника в URL-адрес назначения.

По умолчанию, так как конфиденциальные данные проходят через microsoft.com на пути к outlook.live.com, защита от потери данных автоматически блокирует общий доступ к данным.

Однако в некоторых случаях вы можете не беспокоиться о доменах, через которые данные проходят на серверной части. Вместо этого вы можете быть обеспокоены только тем, где в конечном итоге попадают данные, о чем свидетельствует URL-адрес, отображаемый в адресной строке. В этом случае outlook.live.com. Чтобы предотвратить блокировку конфиденциальных данных в нашем примере, необходимо специально изменить параметр по умолчанию.

Таким образом, если вы хотите отслеживать только браузер и конечное назначение данных (URL-адрес в адресной строке браузера), можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress. Ниже приведено описание процедуры.

Чтобы изменить параметры, чтобы разрешить передачу конфиденциальных данных через запрещенные домены на пути к разрешенному домену, выполните следующие действия:

  1. Откройте файл com.microsoft.wdav.mobileconfig .

  2. В разделе dlp Задайте значение DLP_browser_only_cloud_egressвключено и задайте значение DLP_ax_only_cloud_egressвключено , как показано в следующем примере.

    <key>dlp</key>
     <dict>
         <key>features</key>
         <array>
            <dict>
                <key>name</key>
                <string>DLP_browser_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
            <dict>
                <key>name</key>
                <string>DLP_ax_only_cloud_egress</string>
                <key>state</key>
                <string>enabled</string>
            </dict>
         </array>
     </dict>

Отключение устройств macOS с помощью Intune

Примечание.

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.

  1. В Центре администрирования Microsoft Intune откройтепрофили конфигурацииустройств>. Будут перечислены созданные профили.

  2. На странице Профили конфигурации выберите профиль wdav.pkg.intunemac .

  3. Выберите Состояние устройства , чтобы просмотреть список устройств и состояние развертывания профиля конфигурации.

  4. Откройте свойства , а затем — Назначения.

  5. Удалите группу из назначения. Это приведет к удалению пакета wdav.pkg.intunemac и отключению устройства macOS из решений по соответствию.