适用于Microsoft Defender for Endpoint客户的任何移动设备管理工具

可以使用任何 MDM 将 macOS 设备载入到 Microsoft Purview 解决方案中。

重要

如果已将Microsoft Defender for Endpoint (MDE) 部署到 macOS 设备，请使用此过程

适用于：

• 已将MDE部署到其 macOS 设备的客户。
• 终结点数据丢失防护 (DLP)

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

• 可选：在 macOS 设备上安装 v95+ Microsoft Edge 浏览器，以在 Microsoft Edge 上提供本机终结点 DLP 支持。

注意

支持 macOS 的三个最新主要版本。

使用任何 MDM 解决方案将设备载入 Microsoft Purview 解决方案

将 macOS 设备载入 Purview 解决方案是一个多阶段过程。

1. 通过将 设置为com.microsoft.wdav首选项域来更新任何现有的MDE首选项域配置文件，以启用数据丢失防护。 请参阅 更新首选项域配置文件。
2. 启用完整磁盘访问
3. 启用对Microsoft Purview 数据丢失防护的辅助功能访问
4. 注册标识
5. 检查 macOS 设备

先决条件

• 设备必须安装Microsoft Defender反恶意软件客户端版本 101.25012.0005 或更高版本。
• 下载以下文件：

文件	说明
accessibility.mobileconfig	辅助功能
fulldisk.mobileconfig	完全磁盘访问 (FDA)
schema.json	MDE首选项

如果更新了其中任何单个文件，则必须下载已更新的捆绑文件并按所述重新部署。

提示

建议下载捆绑的 mdatp.mobileconfig 文件，而不是 individual.mobileconfig 文件。 捆绑文件包括以下必需文件：

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

如果其中任何文件已更新，则需要下载更新的捆绑包，或单独下载每个更新的文件。

更新现有MDE首选项域配置文件

1. 将 MDE 部署中的 schema.json 文件替换为刚下载的更新版本。 有关如何将 MDE 部署中的 schema.json 文件替换为更新的版本，以及如何在 MDM 解决方案中配置设置的信息，请参阅 MDM 解决方案文档。

启用完整磁盘访问

若要使用 fulldisk.mobileconfig 文件更新现有完整磁盘访问配置文件，请上传到 fulldisk.mobileconfig MDM 解决方案，以启用数据丢失防护的完全磁盘访问。

启用对Microsoft Purview 数据丢失防护的辅助功能访问

若要授予对 DLP 的辅助功能访问权限，请将 accessibility.mobileconfig 之前下载的文件上传到 MDM 解决方案。 这应类似于 部署系统配置文件中所述的内容。

注册标识

根据配置，你将使用这两种方法之一注册 Microsoft Entra 标识。

方法 1：在没有Microsoft Intune 公司门户的情况下注册

1. 安装任何Microsoft应用程序，例如 Microsoft Office、Teams 或 Microsoft Edge。 当用户使用有效的 Microsoft Entra 帐户登录时，该帐户将注册为用于 DLP 策略评估的 UPN。 个人Microsoft帐户不被视为有效帐户。

方法 2：向 Microsoft Intune 公司门户注册

此方法适用于 macOS 设备不使用 Microsoft 应用的用户。

如果尚未获取Microsoft Intune 公司门户，则可以获取它。

1. 使用 MDM 解决方案 将适用于 Apple 设备的 Microsoft Enterprise SSO 插件 部署到其托管的 macOS 设备。 适用于 macOS 的Microsoft Intune 公司门户提供 SSO 插件，以便获得流畅的用户体验。 因此，必须在 macOS 设备上安装Microsoft Intune 公司门户，但用户无需登录到 Intune 公司门户。 当用户登录到任何非Microsoft身份验证库 (MSAL) 应用程序（如 Safari 浏览器）时，SSO 插件将启用来注册 UPN。

有关对 Microsoft Enterprise SSO 扩展进行故障排除的信息，请转到 对 Apple 设备上的 Microsoft Enterprise SSO 扩展插件进行故障排除。

检查 macOS 设备

1. 重启 macOS 设备。
2. 验证以下配置文件是否在“系统设置”中的“配置文件”下列出：
   • 辅助功能
   • 茂
   • MDATP 载入
   • MDE首选项
   • 管理配置文件
   • 网络筛选器
   • 通知
   • 系统扩展配置文件

卸载 macOS 设备

重要

卸载会导致设备停止向门户发送传感器数据。 但是，来自设备的数据（包括对其已发出的任何警报的引用）将保留长达六个月。

有关如何使用任何 MDM 解决方案卸载 macOS 的信息，请参阅 MDM 解决方案的 documetentation。