供客戶使用適用於端點的 Microsoft Defender JAMF Pro 將 macOS 裝置上線和離線至合規性解決方案

您可以使用 JAMF Pro 將 macOS 裝置上線至 Microsoft Purview 解決方案。

重要事項

如果您已將 適用於端點的 Microsoft Defender (MDE) 部署到 macOS 裝置，請使用此程式

適用於：

• 已 MDE 部署至 macOS 裝置的客戶。
• 端點資料外洩防護 (DLP)
• 內部風險管理

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

開始之前

• 請確定您的 macOS 裝置是透過 JAMF pro 管理，並與透過 JAMF Connect 或 Microsoft Intune 加入 UPN) (Microsoft Entra 身分識別相關聯。
• 選擇性：在macOS裝置上安裝 v95+ Edge 瀏覽器，以在Edge上支援原生端點 DLP。

注意事項

支援三個主要版本的 macOS。

使用 JAMF Pro 將裝置上線至 Microsoft Purview 解決方案

將 macOS 裝置上線至合規性解決方案是一個多階段程式。

1. 使用 JAMF PRO 控制台更新現有的 MDE 喜好設定網域配置檔
2. 啟用全磁碟存取
3. 啟用 Microsoft Purview 數據外洩防護的輔助功能存取
4. 檢查macOS裝置

必要條件

下載下列檔案：

檔案	描述
accessibility.mobileconfig	協助工具
fulldisk.mobileconfig	完整磁碟存取 (的)
schema.json	MDE 喜好設定

如果上述任何個別檔案已更新，您必須下載已更新的配套檔案，並如所述重新部署。

提示

建議您下載 mdatp-nokext.mobileconfig) 檔案，而不是 individual.mobileconfig 檔案 (套件組合。 配套的檔案包含下列必要檔案：

• accessibility.mobileconfig
• fulldisk.mobileconfig
• netfilter.mobileconfig
• sysext.mobileconfig

如果其中任何一個檔案已更新，您必須下載更新的套件組合，或個別下載每個更新的檔案。

注意事項

若要下載檔案：

1. 以滑鼠右鍵按兩下連結，然後選取 [另 存連結為...]。
2. 選擇資料夾並儲存盤案。

使用 JAMF PRO 控制台更新現有的 MDE 喜好設定網域配置檔

1. 使用您剛下載的schema.json檔案來更新 schema.xml 配置檔。

2. 在 [MDE 喜好設定網域屬性] 底下，選擇下列設定：

   • 功能
     • 使用資料外洩防護： enabled
   • 資料外洩防護
     • 功能
       • 如果您只想要監視支援的瀏覽器進行雲端輸出作業，請將DLP_browser_only_cloud_egressenabled設定為 。
       • 如果您只想要監視瀏覽器網址列 (中的 URL，而不是雲端輸出作業的網路連線) ，請將DLP_ax_only_cloud_egress設定為enabled

3. 選擇 [ 範圍] 索引標籤 。

4. 選擇要部署此組態配置檔的群組。

5. 選擇 [儲存]。

啟用全磁碟存取

若要使用 fulldisk.mobileconfig 檔案更新現有的完整磁碟存取配置檔，請上傳 fulldisk.mobileconfig 至 JAMF。 如需詳細資訊，請參閱在 Jamf Pro 中設定 macOS 原則的 適用於端點的 Microsoft Defender。

啟用 Microsoft Purview 數據外洩防護的輔助功能存取

若要授與 DLP 的輔助功能存取權，請將您先前下載的檔案上傳 accessibility.mobileconfig 至 JAMF，如 部署系統組態配置檔中所述。

選擇性：允許敏感數據通過禁止網域

Microsoft Purview DLP 會在其行進的所有階段中檢查敏感數據。 因此，如果敏感數據被張貼或傳送至允許的網域，但通過禁止的網域，則會遭到封鎖。 接下來讓我們詳細探討。

假設允許透過 Outlook Live (傳送敏感數據 outlook.live.com) ，但該敏感數據不得公開給 microsoft.com。 不過，當使用者存取 Outlook Live 時，數據會在背景 中通過 microsoft.com ，如下所示：

根據預設，由於敏感數據會在 outlook.live.com 時通過 microsoft.com，因此 DLP 會自動封鎖數據，使其無法共用。

不過，在某些情況下，您可能不在意數據在後端通過的網域。 相反地，您可能只在意數據最終的結束位置，如網址列中顯示的URL所示。 在此情況下， outlook.live.com。 若要防止在我們的範例案例中封鎖敏感數據，您需要特別變更預設設定。

因此，如果您只想要監視瀏覽器和數據的最終目的地， (瀏覽器網址列) 中的 URL，您可以啟用 DLP_browser_only_cloud_egress 和 DLP_ax_only_cloud_egress。 方法如下。

若要變更設定以允許敏感數據在其前往允許的網域時通過禁止的網域：

1. 開啟 com.microsoft.wdav.mobileconfig 檔案。

2. 在機dlp碼下，將 設DLP_browser_only_cloud_egress為 enabled，並設定為 DLP_ax_only_cloud_egress已啟用，如下列範例所示。

   <key>dlp</key>
        <dict>
            <key>features</key>
            <array>
               <dict>
                   <key>name</key>
                   <string>DLP_browser_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
               <dict>
                   <key>name</key>
                   <string>DLP_ax_only_cloud_egress</string>
                   <key>state</key>
                   <string>enabled</string>
               </dict>
            </array>
        </dict>
   

檢查macOS裝置

1. 重新啟動macOS裝置。

2. 開 啟 [系統喜好設定>配置檔]。

3. 現在會列出下列設定檔：

   • 協助工具
   • 完整磁碟存取
   • 核心延伸模組配置檔
   • 茂
   • MDATP 上線
   • MDE 喜好設定
   • 管理配置檔
   • 網路篩選
   • 通知
   • 系統擴充功能配置檔

使用 JAMF Pro 將 macOS 裝置離線

重要事項

下架會導致裝置停止將感應器資料傳送至入口網站。 不過，來自裝置的數據，包括其擁有的任何警示參考，將會保留最多六個月。

若要將macOS裝置離線，請遵循下列步驟

1. 在 [MDE 喜好設定網域屬性] 底下，移除這些設定的值

   • 功能
     • 使用系統延伸模組
     • 使用數據外洩防護

2. 選擇 [儲存]。