MacOS デバイスは、Intune、JAMF Pro、またはその他の MDM ソリューションを使用して、Microsoft Purview ソリューションにオンボードできます。 オンボード手順は、使用する管理ソリューションによって異なります。 macOS デバイスが既に Microsoft Defender for Endpoint (MDE) にオンボードされている場合は、手順が少なくなります。 適切な手順へのリンクについては、「 次の手順 」を参照してください。
適用対象:
開始する前に
macOS デバイス (3 つの最新バージョン) でエンドポイント DLP を使用する前に、次の記事を理解しておいてください。
DLP にまったく慣れていない場合は、次の記事についても理解しておく必要があります。
Insider Risk に詳しくない場合は、次の記事を参照してください。
macOS デバイスは、Intune、JAMF Pro、またはその他の MDM ソリューションを使用して既に管理されている必要があります。
- Intune にオンボードするには、「展開ガイド: Microsoft Intune で macOS デバイスを管理する」および「Intune ポータル サイトを使用して Mac を登録する」を参照してください。
- JAMF Pro にオンボードするには、「JAMF Pro 管理者ガイド」と「JAMF Pro のインストールと構成ガイド for Mac」を参照してください。
- 他の MDM ソリューションにオンボードするには、
macOS デバイスのファイル読み取りアクセス、ロードマップ ID 476099での分類の改善を利用するには、デバイスにマルウェア対策クライアント バージョン 101.25012.008 以降Microsoft Defenderインストールされている必要があります。
サポートされているプロセッサ
x64 および M1、M2、M3 (ARM64) プロセッサを搭載した macOS デバイスがサポートされています。
サポートされるブラウザー
エンドポイント DLP では、macOS (3 つの最新リリースバージョン) でこれらのブラウザーがサポートされています。
- Microsoft Edge (最新バージョン)
- Safari (最新バージョン、macOS のみ)
- Chrome (最新バージョン)
- Firefox (最新バージョン)
ライセンス ガイダンス
情報保護については、「Microsoft 365 ライセンス ガイダンス」を参照してください。
macOS でサポートされる条件
macOS デバイスが Microsoft Purview ソリューションにオンボードされたら、データ損失防止 (DLP) ポリシーで次の条件を使用できます。
Content Contains – 機密情報の種類と秘密度ラベルを含むドキュメントに適用されます。
コンテンツにラベルが付かない - Microsoft Purview データ損失防止 (DLP) ポリシーで定義されている秘密度ラベルが含まれていないドキュメントに適用されます。
注:
'Content is not labeled' condition works only for doc/docx, xls/xlsx, ppt/pptx, and pdf file for Endpoint DLP.
[ファイルの種類] は - この条件を使用すると、特定の規則を監視、制限、または適用するファイルの種類を、その形式に基づいて指定できます。
ファイル拡張子は 、 - この条件を使用すると、pdf、docx などの拡張子に基づいてファイルを対象とするポリシーを作成できます。
ドキュメント名に単語が含まれている - ファイル名に特定の単語や語句 ("クレジット" など) が含まれているドキュメントを検出します。
ドキュメントをスキャンできませんでした - コンテンツがスキャンされなかった場合にドキュメントに適用されます。 たとえば、パスワードで保護されたファイル、テキスト抽出に失敗したファイル、ファイル サイズ制限を超えるファイル (非アーカイブの場合は 64 MB、アーカイブの場合は 256 MB) などです。
ドキュメントまたは添付ファイルがパスワードで保護されている - パスワードで保護 されているドキュメントを検出します。
ドキュメントのスキャンを完了できませんでした - コンテンツがスキャンされたときにドキュメントに適用されますが、ドキュメント全体がスキャンされませんでした。 たとえば、抽出されたテキストが制限/しきい値を超えたファイルが含まれます。
ドキュメント サイズが等しいか、より大きい - 指定した値以上のファイル サイズを持つドキュメントを検出します。
macOS で監査および制限できるアクティビティ
macOS デバイスが Microsoft Purview ソリューションにオンボードされたら、データ損失防止 (DLP) ポリシーを使用して次のアクションを監視および制限できます。
USB リムーバブル メディアへのコピー – 適用されると、このアクションは、エンドポイント デバイスから USB リムーバブル メディアへの保護されたファイルのコピーまたは移動をブロック、警告、または監査します。
ネットワーク共有へのコピー – 適用されると、このアクションは、エンドポイント デバイスから任意のネットワーク共有への保護されたファイルのコピーまたは移動をブロック、警告、または監査します。
印刷 – 適用されると、保護されたファイルがエンドポイント デバイスから印刷されるときに、このアクションによってブロック、警告、または監査が行われます。
クリップボードへのコピー – 適用されると、このアクションは、エンドポイント デバイス上のクリップボードにコピーされる保護されたファイル内のデータをブロック、警告、または監査します。
クラウドへのアップロード – このアクションは、保護されたファイルがグローバル設定の許可/未許可ドメイン リストに基づいてクラウド サービスにアップロードまたはアップロードされないようにするときにブロック、警告、監査を行います。 このアクションが警告またはブロックに設定されている場合、他のブラウザー ([グローバル設定] の [未適用のブラウザー] の一覧で定義されている) は、ファイルへのアクセスをブロックされます。
未適用のアプリによってアクセス – このアクションを適用すると、(グローバル設定で定義されている) 未適用のアプリ の一覧にあるアプリケーションがエンドポイント デバイス上の保護されたファイルにアクセスできなくなります。
デバイス管理へのデバイスのオンボーディング
デバイス上の機密アイテムを監視および保護する前に、デバイスの監視を有効にし、エンドポイントをオンボードしなければなりません。 どちらの操作も、Microsoft Purview ポータルで実行されます。
まだオンボードされていないデバイスをオンボードする場合は、適切なスクリプトをダウンロードして、それらのデバイスにデプロイします。
- Microsoft Purview ポータルの [設定] ページを開き、[デバイスのオンボード] を展開し、[デバイス] を選択して、[デバイスの監視を有効にする] を選択します。
注:
通常、デバイスのオンボーディングが有効になるまで約60秒かかりますが、Microsoft サポートに連絡するまでに最大 30 分かかります。
- デバイスの監視が有効になったら、[ macOS デバイスの監視を有効にする] を選択します。
次の手順
DLP センサー テレメトリを受信し、データ損失防止ポリシーを適用するには、デバイスを Microsoft Purview ソリューションにオンボードする必要があります。 前述のように、macOS デバイスは、Intune、JAMF Pro、またはその他の MDM ソリューションを使用して Microsoft Purview ソリューションにオンボードできます。 状況に適した手順については、次の記事を参照してください。
| トピック | 説明 |
|---|---|
| Intune | Intune を通じて管理される macOS デバイスの場合 |
| Microsoft Defender for Endpointのお客様向けの Intune | Intune を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
| JAMF Pro | JAMF Pro を通じて管理される macOS デバイスの場合 |
| JAMF Pro for Microsoft Defender for Endpoint | JAMF Pro を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
| 任意の MDM | 任意の MDM を使用して管理される macOS デバイスの場合 |
| Microsoft Defender for Endpoint用の任意の MDM | Microsoft Defender for Endpoint (MDE) が展開されている MDM を介して管理される macOS デバイスの場合 |
デバイスの構成とポリシー同期の状態
[デバイス] ボックスの一覧で、オンボードされているすべてのデバイスの構成状態とポリシー同期状態をチェックできます。 macOS デバイスの場合、Microsoft Defender for Endpoint (MDE) の最小バージョンは 101.95.07 です。 構成とポリシーの状態の詳細については、オンボードされたデバイスを選択し、詳細ウィンドウを開きます。
構成状態 は、デバイスが正しく構成されているかどうか、DLP 構成要件を満たしているかどうか、および構成が最後に検証された時刻を示します。 macOS デバイスの場合、構成には次のものが含まれます。
- Intune を使用する場合は、デバイスが Intune にオンボードされていることを確認して、UPN 構成をチェックします。
- Intune を使用する場合は、デバイスが ポータル サイトに登録されていることを確認します
- JAMF Pro を使用する場合は、UPN 構成を確認する前に 、デバイスがオンボードされていることを確認してください 。
- 他の MDM ソリューションを使用する場合は、UPN 構成を確認する前に、デバイスがソリューションにオンボードされていることを確認してください。
詳細については、次を参照してください。 https://learn.microsoft.com/en-us/entra/identity-platform/apple-sso-plugin
ポリシー同期の状態 は、エンドポイント DLP ポリシーの最新バージョンがデバイスに同期されているかどうか、およびポリシー同期が最後に行われた時刻を示します。
| フィールド値 | 構成の状態 | ポリシー同期の状態 |
|---|---|---|
| 更新あり | デバイス正常性パラメーターが有効になり、正しく設定されます。 | デバイスは、現在のバージョンのポリシーで更新されました。 |
| 更新されない | このデバイスの構成設定を有効にする必要があります。 環境の手順に従います。 - Onboard および offboard macOS デバイスを Microsoft Purview ソリューションに Intune - Onboard および offboard macOS デバイスを使用して、intune を使用して Purview ソリューションにMicrosoft Defender for Endpoint顧客 - Onboard および offboard macOS デバイスを JAMF Pro を使用した Microsoft Purview ソリューションに移行します - MICROSOFT DEFENDER FOR ENDPOINT のお客様向けに JAMF Pro を使用して MacOS デバイスを Purview ソリューションにMicrosoft Defender for Endpoint |
このデバイスは、最新のポリシー更新プログラムを同期していません。 過去 2 時間以内にポリシーの更新が行われた場合は、ポリシーがデバイスに到達するまで待ちます。 |
| 使用不可 | デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンまたは構成を満たしていないか、デバイスがオンボードされたばかりである可能性があります。 | デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンまたは構成を満たしていないか、デバイスがオンボードされたばかりである可能性があります。 |