MacOS 裝置可以使用 Intune、JAMF Pro 或任何其他 MDM 解決方案,將 MacOS 裝置上線至 Microsoft Purview 解決方案。 上線程序會因您使用的管理解決方案而異。 如果您的 macOS 裝置已上線適用於端點的 Microsoft Defender (MDE) ,則步驟較少。 請參閱 後續步驟 ,以取得適合您適當程序的連結。
適用於:
開始之前
在開始在 macOS 裝置上使用端點 DLP 之前, (三個最新版本) ,請熟悉以下文章:
如果您完全不熟悉 DLP,也應該熟悉以下文章:
如果您不熟悉測試人員風險,請閱讀下列文章:
您的 macOS 裝置必須已透過 Intune、JAMF Pro 或任何其他 MDM 解決方案進行管理。
- 若要上線至 Intune,請參閱部署指南:在 Microsoft Intune 中管理 macOS 裝置,並使用 Intune 公司入口網站註冊 Mac。
- 若要上線 JAMF Pro,請參閱 JAMF Pro 管理員指南 和 Mac 版 JAMF Pro 安裝與設定指南
- 若要上線至其他 MDM 解決方案,請參閱:
若要利用 macOS 裝置上檔案讀取存取的分類改進,藍圖識別碼476099,裝置必須安裝Microsoft Defender反惡意程式碼用戶端版本 101.25012.008 或更新版本。
支援的處理器
支援配備 x64 和 M1、M2 和 M3 (ARM64) 處理器的 macOS 裝置。
支援的瀏覽器
端點 DLP 在 macOS 上支援這些瀏覽器 (三個最新發行版本) :
- Microsoft Edge (最新版本)
- Safari (最新版本,僅限 macOS)
- Chrome (最新版本)
- Firefox (最新版本)
授權指引
macOS 支援的條件
將 macOS 裝置上線至 Microsoft Purview 解決方案之後,您可以搭配資料外洩防護 (DLP) 原則使用下列條件:
內容包含 – 適用於包含敏感性資訊類型和敏感度標籤的文件。
內容未標記 - 適用於不包含 Microsoft Purview 資料外洩防護 (DLP) 原則所定義的任何敏感度標籤的文件。
注意事項
「內容未標記」條件僅適用於端點 DLP 的 doc/docx、xls/xlsx、ppt/pptx 和 pdf 檔案。
檔案類型為 - 此條件可讓您根據檔案的格式,指定要監視、限制或套用特定規則的檔案類型。
副檔名是 - 此條件可讓您根據副檔名(例如pdf、docx等)建立以檔案為目標的原則。
文件名稱包含單字 - 偵測檔案名稱包含特定單字或片語(例如「信用」)的文件。
無法掃描文件 - 套用至未掃描文件內容時的文件。 範例包括受密碼保護的檔案、文字擷取失敗的檔案、超過檔案大小限制的檔案 (64 MB (非封存)、256 MB (封存) )
文件或附件受密碼保護 - 偵測受密碼保護的文件。
文件無法完成掃描 - 適用於掃描文件內容時的文件,但未掃描整個文件。 範例包括擷取的文字超過限制/臨界值的檔案。
文件大小等於或大於 - 偵測檔案大小大於或等於指定值的文件。
可在 macOS 上稽核和限制的活動
將 macOS 裝置上線至 Microsoft Purview 解決方案之後,您可以使用資料外洩防護 (DLP) 原則來監視和限制下列動作。
複製到 USB 抽取式媒體 — 強制執行時,此動作會封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動到 USB 抽取式媒體。
複製到網路共用 — 強制執行時,此動作會封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動到任何網路共用。
列印 — 強制執行時,此動作會在從端點裝置列印受保護的檔案時封鎖、警告或稽核。
複製到剪貼簿 — 強制執行時,此動作會封鎖、警告或稽核受保護檔案中複製到端點裝置上剪貼簿的資料。
上傳至雲端 — 此動作會在受保護的檔案上傳或根據全域設定中的允許/不允許網域清單阻止上傳至雲端服務時,會封鎖、警告或稽核。 當此動作設定為警告或封鎖時, (在全域設定下的不允許的瀏覽器清單中定義的其他瀏覽器) 被封鎖存取檔案。
由不允許的應用程式存取 — 強制執行時,此動作會防止全域設定) 中定義的不允許應用程式清單 (上的應用程式存取端點裝置上的受保護檔案。
將裝置上線至裝置管理
您必須先啟用裝置監控與上線端點,才能監視與防護裝置上的敏感性項目。 這兩個動作都是在 Microsoft Purview 入口網站中完成。
當您想要將尚未上線的裝置上線時,請下載適當的腳本並將其部署到這些裝置。
- 開啟 Microsoft Purview 入口網站 [設定] 頁面,展開 [裝置上線],選取 [裝置],然後選擇 [啟用裝置監視]。
注意事項
通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。
- 啟用裝置監控後,選擇 開啟 macOS 裝置監控。
後續步驟
必須將裝置上線至 Microsoft Purview 解決方案,才能接收 DLP 感應器遙測,並強制執行數據外洩防護原則。 如前所述,macOS 裝置可以使用 Intune、JAMF Pro 或任何其他 MDM 解決方案將 macOS 裝置上線至 Microsoft Purview 解決方案。 請檢閱下列文章,以取得適合您情況的程序。
| 主題 | 描述 |
|---|---|
| Intune | 針對透過 Intune 管理的 macOS 裝置 |
| 適用於適用於端點的 Microsoft Defender 客戶的 Intune | 針對透過 Intune 管理,且已將適用於端點的 Microsoft Defender (MDE) 部署到其中的 macOS 裝置 |
| JAMF Pro | 針對透過 JAMF Pro 管理的 macOS 裝置 |
| 適用於適用於端點的 Microsoft Defender 的 JAMF Pro | 針對透過 JAMF Pro 管理,且已將適用於端點的 Microsoft Defender (MDE) 部署到其中的 macOS 裝置 |
| 任何 MDM | 對於透過「任何 MDM」管理的 macOS 裝置 |
| 適用於適用於端點的 Microsoft Defender 的任何 MDM | 對於透過任何已部署 MDE) 的任何 MDM 管理的 macOS 裝置適用於端點的 Microsoft Defender ( |
裝置設定和原則同步狀態
您可以在「裝置」清單中檢查所有已上線裝置的「設定」狀態和「原則同步」狀態。 對於 macOS 裝置,適用於端點的 Microsoft Defender (MDE) 最低版本為 101.95.07。 如需設定和原則狀態的詳細資訊,請選取已上線的裝置,然後開啟詳細資料窗格。
設定狀態 會顯示裝置是否正確設定、符合 DLP 設定需求,以及上次驗證設定的時間。 對於 macOS 裝置,設定包括:
- 如果您使用 Intune,請確定您的裝置已 上線至 Intune,以檢查 UPN 設定。
- 如果您使用 Intune,請確定您的裝置已在公司入口網站
- 如果您使用 JAMF Pro,請在檢查 UPN 設定之前確定 您的裝置已上線 。
- 如果您使用其他 MDM 解決方案,請確定您的裝置已上線到解決方案中,再檢查 UPN 設定。
如需詳細資訊,請參閱: https://learn.microsoft.com/en-us/entra/identity-platform/apple-sso-plugin
原則同步狀態 會顯示端點 DLP 原則的最新版本是否已同步至裝置,以及上次發生原則同步的時間。
| 欄位值 | 設定狀態 | 原則同步狀態 |
|---|---|---|
| 已更新 | 裝置健康情況參數已啟用並正確設定。 | 裝置已更新為目前版本的原則。 |
| 未更新 | 您需要啟用此裝置的組態設定。 請遵循您環境的程式: - 使用 Intune - 將 macOS 裝置上線和下線至 Microsoft Purview 解決方案使用 Intune 將 macOS 裝置上線和下線至 Purview 解決方案,適用於 適用於端點的 Microsoft Defender 客戶 - 使用 JAMF Pro - 將 macOS 裝置上線和下線至 Microsoft Purview 解決方案使用 JAMF Pro 將 macOS 裝置上線和卸載至 Purview 解決方案,適用於 適用於端點的 Microsoft Defender 客戶 |
此裝置尚未同步處理最新的原則更新。 如果原則更新是在過去 2 小時內進行的,請等候原則到達您的裝置。 |
| 無 | 裝置屬性在裝置清單中不可用。 這可能是因為裝置不符合最低 OS 版本或設定,或因為裝置剛上線。 | 裝置屬性在裝置清單中不可用。 這可能是因為裝置不符合最低 OS 版本或設定,或因為裝置剛上線。 |