Microsoft 365 への macOS デバイスのオンボードに関する概要

MacOS デバイスは、Intuneまたは JAMF Pro を使用して Microsoft Purview ソリューションにオンボードできます。 オンボード手順は、使用する管理ソリューションによって異なります。 macOS デバイスが既にMicrosoft Defender for Endpoint (MDE) にオンボードされている場合は、手順が少なくなります。 適切な手順へのリンクについては、「 次の手順 」を参照してください。

適用対象:

• エンドポイントのデータ損失防止
• インサイダー リスク管理

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

macOS デバイス (最新の 3 つのリリースバージョン) でエンドポイント DLP を使用する前に、次の記事を理解しておいてください。

• エンドポイント データ損失防止について
• エンドポイント データ損失防止を開始する

DLP にまったく慣れていない場合は、次の記事についても理解しておく必要があります。

• データ損失防止について
• データ損失防止ポリシー (DLP) のサポート
• データ損失防止ポリシーリファレンス

Insider Risk に詳しくない場合は、次の記事を参照してください。

• インサイダー リスク管理
• インサイダー リスク管理のための計画

macOS デバイスは、Intuneまたは JAMF Pro を使用して既に管理されている必要があります。

• Intuneにオンボードするには、「展開ガイド: Microsoft Intuneで macOS デバイスを管理する」および「Intune ポータル サイトを使用して Mac を登録する」を参照してください。
• JAMF Pro にオンボードするには、「JAMF Pro 管理者ガイド」と「JAMF Pro のインストールと構成ガイド for Mac」を参照してください。

サポートされているプロセッサ

x64 および M1、M2、M3 (ARM64) プロセッサを搭載した macOS デバイスがサポートされています。

サポートされるブラウザー

エンドポイント DLP では、macOS (3 つの最新リリースバージョン) でこれらのブラウザーがサポートされています。

• Microsoft Edge (最新バージョン)
• Safari (最新バージョン、macOS のみ)
• Chrome (最新バージョン)
• Firefox (最新バージョン)

ライセンス ガイダンス

情報保護については、「Microsoft 365 ライセンス ガイダンス」を参照してください。

macOS でサポートされる条件

macOS デバイスが Microsoft Purview ソリューションにオンボードされたら、データ損失防止 (DLP) ポリシーで次の条件を使用できます。

Content Contains – 機密情報の種類と秘密度ラベルを含むドキュメントに適用されます。

コンテンツにラベルが付かない - Microsoft Purview データ損失防止 (DLP) ポリシーで定義されている秘密度ラベルが含まれていないドキュメントに適用されます。

[ファイルの種類] は - この条件を使用すると、特定の規則を監視、制限、または適用するファイルの種類を、その形式に基づいて指定できます。

ファイル拡張子は 、 - この条件を使用すると、pdf、docx などの拡張子に基づいてファイルを対象とするポリシーを作成できます。

macOS で監査および制限できるアクティビティ

macOS デバイスが Microsoft Purview ソリューションにオンボードされたら、データ損失防止 (DLP) ポリシーを使用して次のアクションを監視および制限できます。

USB リムーバブル メディアへのコピー – 適用されると、このアクションは、エンドポイント デバイスから USB リムーバブル メディアへの保護されたファイルのコピーまたは移動をブロック、警告、または監査します。

ネットワーク共有へのコピー – 適用されると、このアクションは、エンドポイント デバイスから任意のネットワーク共有への保護されたファイルのコピーまたは移動をブロック、警告、または監査します。

印刷 – 適用されると、保護されたファイルがエンドポイント デバイスから印刷されるときに、このアクションによってブロック、警告、または監査が行われます。

クリップボードへのコピー – 適用されると、このアクションは、エンドポイント デバイス上のクリップボードにコピーされる保護されたファイル内のデータをブロック、警告、または監査します。

クラウドへのアップロード – このアクションは、保護されたファイルがグローバル設定の許可/未許可ドメイン リストに基づいてクラウド サービスにアップロードまたはアップロードされないようにするときにブロック、警告、監査を行います。 このアクションが警告またはブロックに設定されている場合、他のブラウザー ([グローバル設定] の [未適用のブラウザー] の一覧で定義されている) は、ファイルへのアクセスをブロックされます。

未適用のアプリによってアクセス – このアクションを適用すると、(グローバル設定で定義されている) 未適用のアプリ の一覧にあるアプリケーションがエンドポイント デバイス上の保護されたファイルにアクセスできなくなります。

デバイス管理へのデバイスのオンボーディング

デバイス上の機密アイテムを監視および保護する前に、デバイスの監視を有効にし、エンドポイントをオンボードしなければなりません。 これらのアクションはどちらも Microsoft Purview コンプライアンスポータルで行われます。

まだオンボードされていないデバイスをオンボードする場合は、適切なスクリプトをダウンロードして、それらのデバイスにデプロイします。

1. [Microsoft Purview コンプライアンス ポータル設定] ページを開き、[デバイスの監視を有効にする] を選択します。

   注:

   通常、デバイスのオンボーディングが有効になるまで約60秒かかりますが、Microsoft サポートに連絡するまでに最大 30 分かかります。

2. [Microsoft Purview コンプライアンス ポータルの設定] ページを開き、[ macOS デバイスの監視を有効にする] を選択します。

次の手順

DLP センサー テレメトリを受信し、データ損失防止ポリシーを適用するには、デバイスを Microsoft Purview ソリューションにオンボードする必要があります。 前述のように、macOS デバイスは、Intuneまたは JAMF Pro を使用して Microsoft Purview ソリューションにオンボードできます。 お客様の状況に適した手順については、次の記事を参照してください。

トピック	説明
Intune	Intune を通じて管理される macOS デバイスの場合
Microsoft Defender for Endpointのお客様向けのIntune	Intune を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合
JAMF Pro	JAMF Pro を通じて管理される macOS デバイスの場合
JAMF Pro for Microsoft Defender for Endpoint	JAMF Pro を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合

デバイスの構成とポリシー同期の状態

[デバイス] ボックスの一覧で、オンボードされているすべてのデバイスの構成状態とポリシー同期状態をチェックできます。 macOS デバイスの場合、最小バージョンは 101.95.07 です。 構成とポリシーの状態の詳細については、オンボードされたデバイスを選択し、詳細ウィンドウを開きます。

構成状態 は、デバイスが正しく構成されているかどうか、DLP 構成要件を満たしているかどうか、および構成が最後に検証された時刻を示します。 macOS デバイスの場合、構成には次のものが含まれます。

• Intuneを使用する場合は、デバイスがIntuneにオンボードされていることを確認して、UPN 構成をチェックします。
• Intuneを使用する場合は、デバイスが ポータル サイト に登録されていることを確認します
• JAMF Pro を使用する場合は、UPN 構成を確認する前に 、デバイスがオンボードされていることを確認してください 。

ポリシー同期の状態 は、エンドポイント DLP ポリシーの最新バージョンがデバイスに同期されているかどうか、およびポリシー同期が最後に行われた時刻を示します。

フィールド値	構成の状態	ポリシー同期の状態
更新あり	デバイス正常性パラメーターが有効になり、正しく設定されます。	デバイスは、現在のバージョンのポリシーで更新されました。
更新されない	このデバイスの構成設定を有効にする必要があります。 環境の手順に従います: - オンボードおよびオフボード macOS デバイスを、Intune - Onboard および offboard macOS デバイスを使用して Microsoft Purview ソリューションに取り込み、Microsoft Defender for Endpointのお客様にIntuneを使用したコンプライアンス ソリューションに移行します - JAMF Pro を使用した Microsoft Purview ソリューションへの macOS デバイスのオンボードとオフボード - オンボードおよびオフボード macOS デバイスを、Microsoft Defender for Endpointのお客様向けの JAMF Pro を使用したコンプライアンス ソリューションへの移行	このデバイスは、最新のポリシー更新プログラムを同期していません。 過去 2 時間以内にポリシーの更新が行われた場合は、ポリシーがデバイスに到達するまで待ちます。
使用不可	デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンまたは構成を満たしていないか、デバイスがオンボードされたばかりである可能性があります。	デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンまたは構成を満たしていないか、デバイスがオンボードされたばかりである可能性があります。

重要

macOS 15/Sequoia のユーザーには、このダイアログ "com.microsoft.dlp.daemon" がローカル ネットワーク上のデバイスを見つけたい 場合があります。管理者は、[ 許可] を選択してエンドポイント DLP がプリンター保護を正しく実行することを許可するようにユーザーに指示できます。

関連記事

• エンドポイントのデータ損失防止を使用する
• Microsoft アプリ全体の DLP ポリシーヒントのサポート マトリックス