Подключение и отключение устройств macOS в решениях для обеспечения соответствия требованиям с помощью JAMF Pro для Microsoft Defender для клиентов конечной точки.
Вы можете использовать JAMF Pro для подключения устройств macOS к решениям Microsoft Purview.
Важно!
Используйте эту процедуру, если вы развернули Microsoft Defender для конечной точки (MDE) на устройствах macOS
Область применения:
- Клиенты, которые MDE развернуты на своих устройствах macOS.
- Защита от потери данных в конечной точке
- Управление внутренними рисками
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Подготовка к работе
- Убедитесь, что устройства macOS управляются через JAMF Pro и связаны с удостоверением (Microsoft Entra присоединенным к имени участника-пользователя) через JAMF Connect или Microsoft Intune.
- НЕОБЯЗАТЕЛЬНО. Установите браузер v95+ Edge на устройствах macOS, чтобы обеспечить встроенную поддержку защиты от потери данных конечной точки в Edge.
Примечание.
Поддерживаются три последних основных выпуска macOS.
Подключение устройств к решениям Microsoft Purview с помощью JAMF Pro
Подключение устройства macOS к решениям соответствия требованиям является многоэтапным процессом.
- Обновление существующего профиля домена MDE Preferr с помощью консоли JAMF PRO
- Включение полного доступа к диску
- Включение специальных возможностей для защиты от потери данных в Microsoft Purview
- Проверка устройства macOS
Предварительные условия
Скачайте следующие файлы:
Файл | Описание |
---|---|
accessibility.mobileconfig | Специальные возможности |
fulldisk.mobileconfig | Полный доступ к диску (FDA) |
schema.json | MDE предпочтения |
Если какой-либо из этих отдельных файлов обновляется, необходимо скачать обновленный пакетный файл и повторно развернуть его, как описано выше.
Совет
Рекомендуется скачать пакетный файл (mdatp-nokext.mobileconfig), а не файлы individual.mobileconfig. Пакетный файл содержит следующие обязательные файлы:
- accessibility.mobileconfig
- fulldisk.mobileconfig
- netfilter.mobileconfig
- sysext.mobileconfig
Если какой-либо из этих файлов обновляется, необходимо либо скачать обновленный пакет, либо скачать каждый обновленный файл по отдельности.
Примечание.
Чтобы скачать файлы, выполните следующие действия:
- Щелкните ссылку правой кнопкой мыши и выберите Сохранить ссылку как....
- Выберите папку и сохраните файл.
Обновление существующего профиля домена MDE Preferr с помощью консоли JAMF PRO
Обновите профиль schema.xml, указав только что скачанный файл schema.json .
В разделе Свойства домена предпочтения MDE выберите следующие параметры:
- Компоненты
- Использование защиты от потери данных:
enabled
- Использование защиты от потери данных:
- Защита от потери данных
- Компоненты
- Задайте для DLP_browser_only_cloud_egress значение ,
enabled
если вы хотите отслеживать только поддерживаемые браузеры для операций исходящего трафика в облаке. - Задайте для DLP_ax_only_cloud_egress значение ,
enabled
если вы хотите отслеживать только URL-адрес в адресной строке браузера (вместо сетевых подключений) для операций исходящего трафика в облако.
- Задайте для DLP_browser_only_cloud_egress значение ,
- Компоненты
- Компоненты
Перейдите на вкладку Область .
Выберите группы для развертывания этого профиля конфигурации.
Выберите Сохранить.
Включение полного доступа к диску
Чтобы обновить существующий профиль полного доступа к диску fulldisk.mobileconfig
с помощью файла, отправьте в fulldisk.mobileconfig
JAMF. Дополнительные сведения см. в статье Настройка Microsoft Defender для конечной точки в политиках macOS в Jamf Pro.
Включение специальных возможностей для защиты от потери данных в Microsoft Purview
Чтобы предоставить специальные возможности для защиты от потери данных, отправьте скачанный accessibility.mobileconfig
ранее файл в JAMF, как описано в разделе Развертывание профилей конфигурации системы.
НЕОБЯЗАТЕЛЬНО. Разрешить передачу конфиденциальных данных через запрещенные домены
Microsoft Purview DLP проверяет наличие конфиденциальных данных на всех этапах их перемещения. Таким образом, если конфиденциальные данные публикуются или отправляются в разрешенный домен, но перемещаются через запрещенный домен, они блокируются. Давайте посмотрим поближе.
Предположим, что отправка конфиденциальных данных через Outlook Live (outlook.live.com) разрешена, но конфиденциальные данные не должны подвергаться microsoft.com. Однако при доступе пользователя к Outlook Live данные проходят через microsoft.com в фоновом режиме, как показано ниже.
По умолчанию, так как конфиденциальные данные проходят через microsoft.com на пути к outlook.live.com, защита от потери данных автоматически блокирует общий доступ к данным.
Однако в некоторых случаях вы можете не беспокоиться о доменах, через которые данные проходят на серверной части. Вместо этого вы можете быть обеспокоены только тем, где в конечном итоге попадают данные, о чем свидетельствует URL-адрес, отображаемый в адресной строке. В этом случае outlook.live.com. Чтобы предотвратить блокировку конфиденциальных данных в нашем примере, необходимо специально изменить параметр по умолчанию.
Таким образом, если вы хотите отслеживать только браузер и конечное назначение данных (URL-адрес в адресной строке браузера), можно включить DLP_browser_only_cloud_egress и DLP_ax_only_cloud_egress. Ниже приведено описание процедуры.
Чтобы изменить параметры, чтобы разрешить передачу конфиденциальных данных через запрещенные домены на пути к разрешенному домену, выполните следующие действия:
Откройте файл com.microsoft.wdav.mobileconfig .
В разделе
dlp
Задайте значениеDLP_browser_only_cloud_egress
включено и задайте значениеDLP_ax_only_cloud_egress
включено , как показано в следующем примере.<key>dlp</key> <dict> <key>features</key> <array> <dict> <key>name</key> <string>DLP_browser_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> <dict> <key>name</key> <string>DLP_ax_only_cloud_egress</string> <key>state</key> <string>enabled</string> </dict> </array> </dict>
Проверка устройства macOS
Перезапустите устройство macOS.
Откройтепрофилисистемных параметров>.
Теперь перечислены следующие профили:
- Специальные возможности
- Полный доступ к диску
- Профиль расширения ядра
- МАУ
- Подключение MDATP
- Параметры MDE
- Профиль управления
- Сетевой фильтр
- Уведомления
- Профиль расширения системы
Отключение устройств macOS с помощью JAMF Pro
Важно!
Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.
Чтобы отключить устройство macOS, выполните следующие действия.
В разделе Свойства домена предпочтения MDE удалите значения для этих параметров.
- Компоненты
- Использование системных расширений
- Использование защиты от потери данных
- Компоненты
Выберите Сохранить.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по