可以使用 Intune、JAMF Pro 或任何其他 MDM 解决方案将 MacOS 设备载入到 Microsoft Purview 解决方案中。 载入过程因使用哪种管理解决方案而异。 如果 macOS 设备已载入 Microsoft Defender for Endpoint (MDE) ,则步骤会更少。 有关指向相应过程的链接,请参阅 后续步骤 。
适用于:
开始之前
在 macOS 设备上开始使用 Endpoint DLP (三个最新版本) 之前,请先熟悉以下文章:
如果根本不熟悉 DLP,还应熟悉以下文章:
如果不熟悉内部风险,请阅读以下文章:
macOS 设备必须已通过 Intune、JAMF Pro 或任何其他 MDM 解决方案进行管理。
- 若要载入 Intune,请参阅部署指南:在 Microsoft Intune 中管理 macOS 设备和使用 Intune 公司门户 注册 Mac。
- 若要载入 JAMF Pro,请参阅 JAMF Pro 管理员指南 和 适用于 Mac 的 JAMF Pro 安装和配置指南
- 若要加入其他 MDM 解决方案,请参阅,
若要利用 macOS 设备上的文件读取访问的分类改进,路线图 ID 476099,设备必须安装Microsoft Defender反恶意软件客户端版本 101.25012.008 或更高版本。
支持的处理器
支持具有 x64 和 M1、M2 和 M3 (ARM64) 处理器的 macOS 设备。
支持的浏览器
终结点 DLP 在 macOS 上支持这些浏览器, (三个最新发布的版本) :
- Microsoft Edge(最新版本)
- Safari (最新版本,仅 macOS)
- Chrome(最新版本)
- Firefox(最新版本)
许可指南
有关 信息保护,请参阅Microsoft 365 许可指南。
macOS 上支持的条件
将 macOS 设备载入到 Microsoft Purview 解决方案后,可以将以下条件用于数据丢失防护 (DLP) 策略:
内容包含 - 适用于包含敏感信息类型和敏感度标签的文档。
内容未标记 - 适用于不包含Microsoft Purview 数据丢失防护 (DLP) 策略定义的任何敏感度标签的文档。
注意
“内容未标记”条件仅适用于 Endpoint DLP 的 doc/docx、xls/xlsx、ppt/pptx 和 pdf 文件。
文件类型为 - 此条件允许根据特定规则的格式指定要监视、限制或应用某些规则的文件类型。
文件扩展名为 - 此条件允许创建策略,以基于文件的扩展名(如 pdf、docx 等)为目标。
文档名称包含字词 - 检测文件名包含特定字词或短语(如“credit”)的文档。
无法扫描文档 - 在文档内容未扫描时应用于文档。 示例包括受密码保护的文件、文本提取失败的文件、超过文件大小限制 (64 MB(对于非存档文件)和 256 MB(存档)
文档或附件受密码保护 - 检测受密码保护的文档。
文档无法完成扫描 - 在扫描文档内容时应用于文档,但未扫描整个文档。 示例包括提取的文本超出限制/阈值的文件。
文档大小等于或大于 - 检测文件大小大于或等于指定值的文档。
可在 macOS 上审核和限制的活动
将 macOS 设备载入到 Microsoft Purview 解决方案后,可以使用数据丢失防护 (DLP) 策略来监视和限制以下作。
复制到 USB 可移动媒体 – 强制实施后,此作会阻止、警告或审核从终结点设备复制或移动到 USB 可移动媒体的受保护文件。
复制到网络共享 – 强制实施后,此作会阻止、警告或审核从终结点设备复制或移动到任何网络共享的受保护文件。
打印 – 强制实施时,当从终结点设备打印受保护的文件时,此作会阻止、警告或审核。
复制到剪贴板 – 强制实施后,此作会阻止、警告或审核受保护文件中正在复制到终结点设备上的剪贴板中的数据。
上传到云 – 此作会基于全局设置中的允许/不允许域列表阻止、警告或审核上传受保护的文件或阻止上传到云服务。 如果此作设置为“警告”或“阻止”, (“全局设置”下的“未启用的浏览器列表”上定义其他浏览器,) 将阻止访问该文件。
由未启用的应用访问 – 强制实施后,此作将阻止未启用的应用列表中的应用程序 ((如全局设置) )访问终结点设备上的受保护文件。
将设备载入设备管理
必须先启用设备监视功能并载入终结点,然后才能监视和保护设备上的敏感项目。 这两个作都在 Microsoft Purview 门户中完成。
如果要载入尚未载入的设备,请下载相应的脚本并将其部署到这些设备。
- 打开 “Microsoft Purview 门户设置” 页,展开 “设备载入”,选择“ 设备”,然后选择 “启用设备监视”。
注意
设备载入通常需要大约 60 秒才能启用,请先等待 30 分钟,然后再与 Microsoft 支持人员接洽。
- 启用设备监视后,选择 “打开 macOS 设备监视”。
后续步骤
若要接收 DLP 传感器遥测并强制实施数据丢失防护策略,需要将设备载入 Microsoft Purview 解决方案。 如上所述,可以使用 Intune、JAMF Pro 或任何其他 MDM 解决方案将 macOS 设备载入到 Microsoft Purview 解决方案中。 查看以下文章,了解适合你的情况的过程。
| 主题 | 说明 |
|---|---|
| Intune | 适用于通过 Intune 管理的 macOS 设备 |
| 适用于Microsoft Defender for Endpoint客户的 Intune | 适用于通过 Intune 管理并且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备 |
| JAMF Pro | 适用于通过 JAMF Pro 管理的 macOS |
| JAMF Pro for Microsoft Defender for Endpoint | 适用于通过 JAMF Pro 管理且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备 |
| 任何 MDM | 对于通过任何 MDM 管理的 macOS 设备 |
| 用于Microsoft Defender for Endpoint的任何 MDM | 对于通过任何 MDM 管理的 macOS 设备,这些设备Microsoft Defender for Endpoint (MDE) 部署到它们 |
设备配置和策略同步状态
可以在“设备”列表中检查所有已载入设备的配置状态和策略同步状态。 对于 macOS 设备,Microsoft Defender for Endpoint (MDE) 最低版本为 101.95.07。 有关配置和策略状态的详细信息,请选择已载入的设备,然后打开详细信息窗格。
配置状态 显示设备配置是否正确、满足 DLP 配置要求以及上次验证配置的时间。 对于 macOS 设备,配置包括:
- 如果使用 Intune,请确保设备已载入 Intune,检查 UPN 配置。
- 如果使用 Intune,请确保设备已在 公司门户
- 如果使用 JAMF Pro,请确保在检查 UPN 配置之前 已载入设备 。
- 如果使用其他 MDM 解决方案,请确保在检查 UPN 配置之前,设备已载入解决方案。
有关详细信息,请参阅: https://learn.microsoft.com/en-us/entra/identity-platform/apple-sso-plugin
策略同步状态 显示终结点 DLP 策略的最新版本是否已同步到设备,以及上次发生策略同步的时间。
| 字段值 | 配置状态 | 策略同步状态 |
|---|---|---|
| 更新日期 | 设备运行状况参数已启用并正确设置。 | 设备已使用当前版本的策略进行了更新。 |
| 未更新 | 需要为此设备启用配置设置。 遵循适用于你的环境的过程: 使用 Intune Onboard 将 macOS 设备和板外 macOS 设备载入到 Microsoft Purview 解决方案,使用 Intune - 将 macOS 设备载入到 Purview 解决方案中,Microsoft Defender for Endpoint客户 - 使用 JAMF Pro 将 macOS 设备载入到 Microsoft Purview 解决方案中 - - 使用适用于Microsoft Defender for Endpoint客户的 JAMF Pro 将 macOS 设备载入和卸载到 Purview 解决方案 |
此设备尚未同步最新的策略更新。 如果策略更新是在最近 2 小时内进行的,请等待策略到达设备。 |
| 不可用 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 |