macOS 裝置可透過 Intune、JAMF Pro 或其他 MDM 解決方案導入 Microsoft Purview 解決方案。 入職程序會依你使用的管理解決方案而異。 如果你的 macOS 裝置已經接入 適用於端點的 Microsoft Defender (MDE) ,步驟會比較少。 請參閱 「下一步」 以取得適合您的相關程序連結。
適用於:
開始之前
在你開始在 macOS 裝置上 (最新版本的 Endpoint DLP) ,先熟悉以下文章:
如果你對DLP完全不熟悉,也應該熟悉以下文章:
如果你不熟悉《內幕風險》,請閱讀以下文章:
你的 macOS 裝置必須已經透過 Intune、JAMF Pro 或其他任何 MDM 解決方案來管理。
- 要進入 Intune,請參閱部署指南:在 Microsoft Intune 管理 macOS 裝置,並透過 Intune 公司入口網站註冊您的 Mac。
- 要正式啟用 JAMF Pro,請參閱 JAMF Pro 管理員指南 及 Mac 版 JAMF Pro 安裝與設定指南
- 要導入其他 MDM 解決方案,請參考,
為了利用 macOS 裝置中檔案讀取權限的分類改進,路線圖 ID 476099,裝置必須安裝Microsoft Defender反惡意軟體用戶端版本 101.25012.008 或更新版本。
支援的處理器
支援搭載 x64 與 M1、M2 和 M3 (ARM64) 處理器的 macOS 裝置。
支援的瀏覽器
Endpoint DLP 在 macOS 上支援這些瀏覽器 (三個最新版本) :
- Microsoft Edge (最新版本)
- Safari (最新版本,僅支援 macOS)
- Chrome (最新版本)
- Firefox (最新版本)
執照指引
請參閱 Microsoft 365 關於資訊保護的授權指引。
各功能前置條件
以下是每個功能的先決條件。
| 功能 | 前置條件 |
|---|---|
| 裝置及基於裝置群組的政策範圍支援端點 DLP (路線圖 ID 526792) | 需要 101.25072 或更新版本 |
macOS 支援的條件
一旦 macOS 裝置接入 Microsoft Purview 解決方案,您可以使用以下條件搭配資料遺失防護 (DLP) 政策:
內容包含 – 適用於包含敏感資訊類型及敏感標籤的文件。
內容未標註 - 適用於未依 DLP) 政策定義的任何敏感性標籤的文件Microsoft Purview 資料外洩防護 (。
注意事項
「內容未標註」條件僅適用於 Endpoint DLP 的 doc/docx、xls/xlsx、ppt/pptx 以及 pdf 檔案。
檔案類型為 - 此條件允許您指定想要監控、限制或套用特定規則的檔案類型,依據其格式。
檔案副檔名是 - 這個條件允許你根據檔案副檔名(如 pdf、docx 等)建立針對檔案的政策。
文件名稱包含詞彙 - 偵測檔名中包含特定詞彙或片語(如「credit」)的文件。
文件無法被掃描 - 適用於文件內容未被掃描時。 例如密碼保護檔案、文字解壓失敗的檔案、超過檔案大小限制的檔案 (非壓縮檔為 64 MB,壓縮檔為 256 MB)
文件或附件有密碼保護 ——偵測受密碼保護的文件。
文件無法完成掃描 - 適用於文件內容被掃描但整份文件未被掃描時。 例如擷取的文字超過限制/閾值的檔案。
文件大小等於或大於 - 偵測檔案大小大於或等於指定值的文件。
macOS 上可被稽核與限制的活動
一旦 macOS 裝置接入 Microsoft Purview 解決方案,你可以利用資料遺失防護 (DLP) 政策監控並限制以下操作。
複製至USB可移除媒體 ——當強制執行時,此動作會阻擋、警告或稽核從終端裝置複製或移動受保護檔案至USB可移除媒體的行為。
複製至網路共享 ——當執行時,此動作會阻擋、警告或稽核終端裝置複製或移動受保護檔案至任何網路共享。
列印 – 當執行時,此動作會在受保護檔案從終端裝置列印時阻擋、警告或稽核。
複製到剪貼簿 – 當執行時,此動作會阻擋、警告或稽核正在複製到端點裝置剪貼簿的受保護檔案中的資料。
上傳至雲端 – 此動作會在受保護檔案上傳或根據全域設定中允許/不允許網域清單被阻止上傳至雲端服務時,封鎖、警告或稽核。 當此動作設定為警告或封鎖時,其他瀏覽器 (在全域設定下的不允許瀏覽器列表中) 被禁止存取該檔案。
未被允許的應用程式存取 ——當執行時,此動作會阻止未允許應用程式清單 (依全域設定) 存取受保護的終端裝置上的檔案。
將裝置上線至裝置管理
您必須先啟用裝置監控與上線端點,才能監視與防護裝置上的敏感性項目。 這兩項操作都在 Microsoft Purview 入口網站上完成。
當你想啟動尚未上線的裝置時,先下載相應的腳本並部署到這些裝置上。
- 打開 Microsoft Purview 入口網站設定 頁面,展開 裝置上線,選擇 裝置,並選擇 啟用裝置監控。
注意事項
通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。
- 啟用裝置監控後,選擇 開啟 macOS 裝置監控。
後續步驟
必須讓裝置接入 Microsoft Purview 解決方案,才能接收 DLP 感測器遙測並執行資料遺失防護政策。 如前所述,macOS 裝置可透過 Intune、JAMF Pro 或其他 MDM 解決方案導入 Microsoft Purview 解決方案。 請參考以下文章,了解適合您情況的程序。
| 主題 | 描述 |
|---|---|
| Intune | 針對透過 Intune 管理的 macOS 裝置 |
| Intune for 適用於端點的 Microsoft Defender 客戶 | 針對透過 Intune 管理,且已將適用於端點的 Microsoft Defender (MDE) 部署到其中的 macOS 裝置 |
| JAMF Pro | 針對透過 JAMF Pro 管理的 macOS 裝置 |
| JAMF Pro for 適用於端點的 Microsoft Defender | 針對透過 JAMF Pro 管理,且已將適用於端點的 Microsoft Defender (MDE) 部署到其中的 macOS 裝置 |
| 任何 MDM | 針對透過任何 MDM 管理的 macOS 裝置 |
| 任何 適用於端點的 Microsoft Defender 的 MDM | 對於由任何已部署適用於端點的 Microsoft Defender (MDE) 的 MDM 管理的 macOS 裝置 |
裝置設定與政策同步狀態
你可以在裝置清單中查看所有已接入裝置的設定狀態和政策同步狀態。 macOS 裝置的適用於端點的 Microsoft Defender (MDE) 最低版本是 101.95.07。 如需更多關於設定與政策狀態的資訊,請選擇已接入的裝置,然後開啟詳細資料窗格。
組態狀態 會顯示裝置是否正確設定、是否符合 DLP 設定要求,以及最後一次驗證設定的時間。 對於 macOS 裝置,設定內容包括:
- 如果你用 Intune,請檢查 UPN 設定,確保你的裝置已經接入 Intune。
- 如果你使用 Intune,請確保你的裝置已註冊在公司入口網站
- 如果你使用 JAMF Pro,請 先確認裝置已接入 ,再檢查 UPN 設定。
- 如果你使用其他 MDM 解決方案,請先確認你的裝置已在你的方案中接入,再檢查 UPN 設定。
更多資訊請參閱: https://learn.microsoft.com/en-us/entra/identity-platform/apple-sso-plugin
政策同步狀態 會顯示端點 DLP 政策的最新版本是否已同步到裝置,以及上一次政策同步的時間。
| 欄位值 | 配置狀態 | 政策同步狀態 |
|---|---|---|
| 已更新 | 裝置健康參數已啟用並正確設定。 | 裝置已依最新版本的政策更新。 |
| 未更新 | 你需要啟用這台裝置的設定。 請依照您的環境流程操作: - 透過 Intune - 將 macOS 裝置接入 Microsoft Purview 解決方案,並用 Intune 將 macOS 裝置接入 Purview 解決方案,適用於端點的 Microsoft Defender 客戶 - 使用 JAMF Pro - 將 macOS 裝置接入 Microsoft Purview 解決方案,並透過 JAMF Pro 將 macOS 裝置接入 Purview 解決方案,適用於端點的 Microsoft Defender 客戶 |
這台裝置沒有同步最新的政策更新。 如果政策更新在過去兩小時內完成,請等待政策抵達你的裝置。 |
| 無 | 裝置屬性在裝置清單中找不到。 這可能是因為裝置未達到最低作業系統版本或設定,或是裝置剛剛被接入。 | 裝置屬性在裝置清單中找不到。 這可能是因為裝置未達到最低作業系統版本或設定,或是裝置剛剛被接入。 |