将 macOS 设备载入 Microsoft 365 概述
可以使用 Intune 或 JAMF Pro 将 MacOS 设备载入到 Microsoft Purview 解决方案中。 载入过程因使用哪种管理解决方案而异。 如果 macOS 设备已载入Microsoft Defender for Endpoint (MDE) ,则步骤会更少。 有关指向相应过程的链接,请参阅 后续步骤 。
适用于:
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
开始之前
在 macOS 设备上开始使用 Endpoint DLP (最新发布的三个版本) 之前,请先熟悉以下文章:
如果根本不熟悉 DLP,还应熟悉以下文章:
如果不熟悉内部风险,请阅读以下文章:
你的 macOS 设备必须已通过 Intune 或 JAMF Pro 进行管理。
- 若要载入Intune,请参阅部署指南:在 Microsoft Intune 中管理 macOS 设备和使用 Intune 公司门户 注册 Mac。
- 若要载入 JAMF Pro,请参阅 JAMF Pro 管理员指南 和 适用于 Mac 的 JAMF Pro 安装和配置指南
支持的处理器
支持具有 x64 和 M1、M2 和 M3 (ARM64) 处理器的 macOS 设备。
支持的浏览器
终结点 DLP 在 macOS 上支持这些浏览器, (三个最新发布的版本) :
- Microsoft Edge(最新版本)
- Safari (最新版本,仅 macOS)
- Chrome(最新版本)
- Firefox(最新版本)
许可指南
有关 信息保护,请参阅Microsoft 365 许可指南。
macOS 上支持的条件
将 macOS 设备载入到 Microsoft Purview 解决方案后,可以将以下条件用于数据丢失防护 (DLP) 策略:
内容包含 - 适用于包含敏感信息类型和敏感度标签的文档。
内容未标记 - 适用于不包含Microsoft Purview 数据丢失防护 (DLP) 策略定义的任何敏感度标签的文档。
文件类型为 - 此条件允许根据特定规则的格式指定要监视、限制或应用某些规则的文件类型。
文件扩展名为 - 此条件允许创建策略,以基于文件的扩展名(如 pdf、docx 等)为目标。
可在 macOS 上审核和限制的活动
将 macOS 设备载入到 Microsoft Purview 解决方案后,可以使用数据丢失防护 (DLP) 策略来监视和限制以下操作。
复制到 USB 可移动媒体 – 强制实施后,此操作会阻止、警告或审核从终结点设备复制或移动到 USB 可移动媒体的受保护文件。
复制到网络共享 – 强制实施后,此操作会阻止、警告或审核从终结点设备复制或移动到任何网络共享的受保护文件。
打印 – 强制实施时,当从终结点设备打印受保护的文件时,此操作会阻止、警告或审核。
复制到剪贴板 – 强制实施后,此操作会阻止、警告或审核受保护文件中正在复制到终结点设备上的剪贴板中的数据。
上传到云 – 此操作会基于全局设置中的允许/不允许域列表阻止、警告或审核上传受保护的文件或阻止上传到云服务。 如果此操作设置为“警告”或“阻止”, (“全局设置”下的“未启用的浏览器列表”上定义其他浏览器,) 将阻止访问该文件。
由未启用的应用访问 – 强制实施后,此操作将阻止未启用的应用列表中的应用程序 ((如全局设置) )访问终结点设备上的受保护文件。
将设备载入设备管理
必须先启用设备监视功能并载入终结点,然后才能监视和保护设备上的敏感项目。 这两项操作都在 Microsoft Purview 合规门户中完成。
如果要载入尚未载入的设备,请下载相应的脚本并将其部署到这些设备。
打开“Microsoft Purview 合规门户设置”页,然后选择“启用设备监视”。
注意
设备载入通常需要大约 60 秒才能启用,请先等待 30 分钟,然后再与 Microsoft 支持人员接洽。
打开Microsoft Purview 合规性门户设置页,然后选择 “启用 macOS 设备监视”。
后续步骤
若要接收 DLP 传感器遥测并强制实施数据丢失防护策略,需要将设备载入 Microsoft Purview 解决方案。 如上所述,可以使用 Intune 或 JAMF Pro 将 macOS 设备载入到 Microsoft Purview 解决方案中。 以下文章介绍了适合你的情况的过程。
主题 | 说明 |
---|---|
Intune | 适用于通过 Intune 管理的 macOS 设备 |
面向Microsoft Defender for Endpoint客户的Intune | 适用于通过 Intune 管理并且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备 |
JAMF Pro | 适用于通过 JAMF Pro 管理的 macOS |
JAMF Pro for Microsoft Defender for Endpoint | 适用于通过 JAMF Pro 管理且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备 |
设备配置和策略同步状态
可以在“设备”列表中检查所有已载入设备的配置状态和策略同步状态。 对于 macOS 设备,最低版本为 101.95.07。 有关配置和策略状态的详细信息,请选择已载入的设备,然后打开详细信息窗格。
配置状态 显示设备配置是否正确、满足 DLP 配置要求以及上次验证配置的时间。 对于 macOS 设备,配置包括:
策略同步状态 显示终结点 DLP 策略的最新版本是否已同步到设备,以及上次发生策略同步的时间。
字段值 | 配置状态 | 策略同步状态 |
---|---|---|
更新日期 | 设备运行状况参数已启用并正确设置。 | 设备已使用当前版本的策略进行了更新。 |
未更新 | 需要为此设备启用配置设置。 遵循适用于你的环境的过程: - 使用 Intune Onboard 和 offboard macOS 设备将 macOS 设备载入到 Microsoft - Purview 解决方案中,使用 Microsoft Defender for Endpoint 客户的 Intune - 使用 JAMF Pro 板载 macOS 设备将 macOS 设备载入到 Microsoft Purview 解决方案中,使用 JAMF Pro - 将 macOS 设备载入到适用于 Microsoft Defender for Endpoint 客户的合规性解决方案中 |
此设备尚未同步最新的策略更新。 如果策略更新是在最近 2 小时内进行的,请等待策略到达设备。 |
不可用 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 |
重要
macOS 15/Sequoia 的用户可能会看到此对话框 “com.microsoft.dlp.daemon”想要在本地网络上查找设备。 管理员可以告知其用户选择“ 允许” 以允许终结点 DLP 正确执行打印机保护。