客户无需Microsoft Defender for Endpoint的任何移动设备管理工具

可以使用任何移动设备管理 (MDM) 解决方案将 macOS 设备载入 Microsoft Purview 解决方案,例如终结点数据丢失防护 (DLP) 。

重要

如果尚未将Microsoft Defender for Endpoint (MDE) 部署到 macOS 设备,请使用此过程。

适用于:

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

  • 可选:在 macOS 设备上安装 v95+ Microsoft Edge 浏览器,以便在 Microsoft Edge 上支持本机终结点 DLP。

注意

支持 macOS 的三个最新主要版本。

使用任何 MDM 将设备载入Microsoft Purview 解决方案

先决条件

  • 必须在设备上安装Microsoft Defender反恶意软件客户端版本 101.25012.0005 或更高版本。
  • 下载以下文件。
文件 说明
mdatp.mobileconfig 这是捆绑文件。
schema.json 这是MDE首选项文件。

提示

建议下载捆绑的 mdatp.mobileconfig 文件,而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件:

  • accessibility.mobileconfig
  • fulldisk.mobileconfig
  • netfilter.mobileconfig
  • sysext.mobileconfig

如果其中任何文件已更新,则需要下载更新的捆绑包,或单独下载每个更新的文件。

获取设备载入和安装包

“Microsoft Intune配置设置”选项卡的屏幕截图,其中填充了所有字段。

  1. 在 Microsoft Purview 门户中,打开“设置设备载入”>,然后选择“载入”。

  2. 对于 “选择作系统以开始载入进程 ”值,请选择 “macOS”。

  3. 对于“部署方法”,请选择“移动设备管理/Microsoft Intune”。

  4. 选择 “下载载入包 ”,然后提取设备载入包的内容。 DeviceComplianceOnboarding.plist 文件将下载到 JAMF 文件夹。

  5. 选择 “下载安装包”。

部署载入包

  1. 在 MDM 中创建新的配置文件。 如果适用) , (使用以下值:
  • 名称:适用于 macOS 的 MDATP 载入
  • 描述: *适用于 macOS 的 MDATP EDR 载入
  • Category:none
  • 分发方法: *`自动安装
  • 级别:计算机级别
  1. DeviceComplianceOnboarding.plist 作为自定义设置上传
  2. 输入 com.microsoft.wdav.atp 作为 首选项域
  3. 选择“保存”。 有关创建配置文件,请参阅 MDM 文档。

配置应用程序首选项

重要

必须使用 com.microsoft.wdav 作为 首选项域 值。 Microsoft Defender for Endpoint使用此名称和 com.microsoft.wdav.ext 来加载托管设置。

有关如何创建新的配置文件的信息,请参阅 MDM 文档。

  1. 创建新的配置文件。 ) (使用这些值(如果适用):
  • 名称:MDATP MDAV 配置设置
  • 说明:将此留空
  • Category:none
  • 分发方法:自动安装
  • 级别:计算机级别
  1. schema.json 添加为配置文件中的自定义架构。

  2. “首选项域属性”下,找到“数据丢失防护”并选择。enabled

  3. 根据需要) 调整其他MDE设置后, (保存配置文件。

部署系统配置文件

有关如何部署系统配置文件的信息,请参阅 MDM 文档。

  1. 通过将文件上传到 mdatp.mobileconfig MDM 来创建新的配置文件。

注册标识

根据配置,请使用这两种方法之一注册 Microsoft Entra 标识。

方法 1:在没有Microsoft Intune 公司门户的情况下注册

  1. 安装任何Microsoft应用程序,例如 Microsoft Office、Teams 或 Microsoft Edge。 当用户使用有效的 Microsoft Entra 帐户登录时,该帐户将注册为用于 DLP 策略评估的 UPN。 个人Microsoft帐户不被视为有效帐户。 设备可能需要重启才能完成注册。

方法 2:向 Microsoft Intune 公司门户注册

此方法适用于 macOS 设备不使用 Microsoft 应用的用户。

如果尚未获取Microsoft Intune 公司门户,则可以获取它。

  1. 使用 MDM 解决方案 将适用于 Apple 设备的 Microsoft Enterprise SSO 插件 部署到其托管的 macOS 设备。 适用于 macOS 的Microsoft Intune 公司门户提供 SSO 插件,以便获得流畅的用户体验。 因此,必须在 macOS 设备上安装Microsoft Intune 公司门户,但用户无需登录到 Intune 公司门户。 当用户登录到任何非Microsoft身份验证库 (MSAL) 应用程序(如 Safari 浏览器)时,SSO 插件将启用来注册 UPN。 设备可能需要重启才能完成注册。

有关对 Microsoft Enterprise SSO 扩展进行故障排除的信息,请转到 对 Apple 设备上的 Microsoft Enterprise SSO 扩展插件进行故障排除

使用任何 MDM 卸载 macOS 设备

重要

卸载会导致设备停止向门户发送传感器数据。 但是,来自设备的数据(包括对其已发出的任何警报的引用)将保留长达六个月。

  1. 如果未使用 MDE,请卸载应用程序。 有关卸载的任何特定于 MDM 的说明,请参阅 MDM 文档。

  2. 重启 macOS 设备。 (某些应用程序在重新启动之前可能会丢失打印功能。)