Подключение и отключение устройств macOS в решениях для обеспечения соответствия требованиям с помощью JAMF Pro для Microsoft Defender для клиентов конечной точки.

Вы можете использовать JAMF Pro для подключения устройств macOS к решениям Microsoft Purview.

Важно!

Используйте эту процедуру, если вы развернули Microsoft Defender для конечной точки (MDE) на устройствах macOS

Область применения:

• Клиенты, которые MDE развернуты на своих устройствах macOS.
• Защита от потери данных в конечной точке
• Управление внутренними рисками

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

• Убедитесь, что устройства macOS управляются через JAMF Pro и связаны с удостоверением (Microsoft Entra присоединенным к имени участника-пользователя) через JAMF Connect или Microsoft Intune.
• НЕОБЯЗАТЕЛЬНО. Установите браузер v95+ Edge на устройствах macOS, чтобы обеспечить встроенную поддержку защиты от потери данных конечной точки в Edge.

Примечание.

Поддерживаются три последних основных выпуска macOS.

Подключение устройств к решениям Microsoft Purview с помощью JAMF Pro

Подключение устройства macOS к решениям соответствия требованиям является многоэтапным процессом.

1. Обновление существующего профиля домена MDE Preferr с помощью консоли JAMF PRO
2. Включение полного доступа к диску
3. Включение специальных возможностей для защиты от потери данных в Microsoft Purview
4. Проверка устройства macOS

Предварительные условия

Скачайте следующие файлы:

Файл	Описание
accessibility.mobileconfig	Специальные возможности
fulldisk.mobileconfig	Полный доступ к диску (FDA)
schema.json	MDE предпочтения

Если какой-либо из этих отдельных файлов обновляется, необходимо скачать обновленный пакетный файл и повторно развернуть его, как описано выше.

Совет

Рекомендуется скачать пакетный файл (mdatp-nokext.mobileconfig), а не файлы individual.mobileconfig. Пакетный файл содержит следующие обязательные файлы:

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

Если какой-либо из этих файлов обновляется, необходимо либо скачать обновленный пакет, либо скачать каждый обновленный файл по отдельности.

Примечание.

Чтобы скачать файлы, выполните следующие действия:

1. Щелкните ссылку правой кнопкой мыши и выберите Сохранить ссылку как....
2. Выберите папку и сохраните файл.

Обновление существующего профиля домена MDE Preferr с помощью консоли JAMF PRO

1. Обновите профиль schema.xml, указав только что скачанный файл schema.json .

2. В разделе Свойства домена предпочтения MDE выберите следующие параметры:

   • Компоненты
     • Использование защиты от потери данных: enabled
   • Защита от потери данных
     • Компоненты
       • Задайте для DLP_browser_only_cloud_egress значение , enabled если вы хотите отслеживать только поддерживаемые браузеры для операций исходящего трафика в облаке.
       • Задайте для DLP_ax_only_cloud_egress значение , enabled если вы хотите отслеживать только URL-адрес в адресной строке браузера (вместо сетевых подключений) для операций исходящего трафика в облако.

3. Перейдите на вкладку Область .

4. Выберите группы для развертывания этого профиля конфигурации.

5. Выберите Сохранить.

Включение полного доступа к диску

Чтобы обновить существующий профиль полного доступа к диску fulldisk.mobileconfig с помощью файла, отправьте в fulldisk.mobileconfig JAMF. Дополнительные сведения см. в статье Настройка Microsoft Defender для конечной точки в политиках macOS в Jamf Pro.

Включение специальных возможностей для защиты от потери данных в Microsoft Purview

Чтобы предоставить специальные возможности для защиты от потери данных, отправьте скачанный accessibility.mobileconfig ранее файл в JAMF, как описано в разделе Развертывание профилей конфигурации системы.

НЕОБЯЗАТЕЛЬНО. Разрешить передачу конфиденциальных данных через запрещенные домены

Microsoft Purview DLP проверяет наличие конфиденциальных данных на всех этапах их перемещения. Таким образом, если конфиденциальные данные публикуются или отправляются в разрешенный домен, но перемещаются через запрещенный домен, они блокируются. Давайте посмотрим поближе.

Предположим, что отправка конфиденциальных данных через Outlook Live (outlook.live.com) разрешена, но конфиденциальные данные не должны подвергаться microsoft.com. Однако при доступе пользователя к Outlook Live данные проходят через microsoft.com в фоновом режиме, как показано ниже.

По умолчанию, так как конфиденциальные данные проходят через microsoft.com на пути к outlook.live.com, защита от потери данных автоматически блокирует общий доступ к данным.

Однако в некоторых случаях вы можете не беспокоиться о доменах, через которые данные проходят на серверной части. Вместо этого вы можете быть обеспокоены только тем, где в конечном итоге попадают данные, о чем свидетельствует URL-адрес, отображаемый в адресной строке. В этом случае outlook.live.com. Чтобы предотвратить блокировку конфиденциальных данных в нашем примере, необходимо специально изменить параметр по умолчанию.

Таким образом, если вы хотите отслеживать только браузер и конечное назначение данных (URL-адрес в адресной строке браузера), можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress. Ниже приведено описание процедуры.

Чтобы изменить параметры, чтобы разрешить передачу конфиденциальных данных через запрещенные домены на пути к разрешенному домену, выполните следующие действия:

1. Откройте файл com.microsoft.wdav.mobileconfig .

2. В разделе dlp Задайте значение DLP_browser_only_cloud_egressвключено и задайте значение DLP_ax_only_cloud_egressвключено , как показано в следующем примере.

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

Проверка устройства macOS

1. Перезапустите устройство macOS.

2. Откройтепрофилисистемных параметров>.

3. Теперь перечислены следующие профили:

   • Специальные возможности
   • Полный доступ к диску
   • Профиль расширения ядра
   • МАУ
   • Подключение MDATP
   • Параметры MDE
   • Профиль управления
   • Сетевой фильтр
   • Уведомления
   • Профиль расширения системы

Отключение устройств macOS с помощью JAMF Pro

Важно!

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.

Чтобы отключить устройство macOS, выполните следующие действия.

1. В разделе Свойства домена предпочтения MDE удалите значения для этих параметров.

   • Компоненты
     • Использование системных расширений
     • Использование защиты от потери данных

2. Выберите Сохранить.