MDATP for Macを使ってmacOSのリムーバブルメディアを制限する
最終更新日:2021/5/18
会社でIntuneを導入しておりWindowsは以前からポリシー設定でリムーバブルメディアを制限出来たんですがmacは機能がなくてどうしようかなと思っていたところMDATP for mac(Microsoft Defender ATP for mac)がベータ版ですが最近機能を実装したとの記事を見て早速試してみました。
1.機能概要
これをやると以下のようなことが出来ます。
- リムーバブルメディアの禁止
- リムーバブルメディアを読み取り専用にする
- 特定のメディアだけ許可する
2.利用条件
- macOS: 10.15.14以降
- MDATP for mac: Ver 101.24.59 以降
- MDATP for mac: インストール&ライセンス付与済
- MDATP for mac: 更新サイクルがBataであること
3.設定手順
今回は以下条件での手順を記載します
- MDM(ポリシーの配布)はIntuneを使用(Jamfでも出来ます)
- ポリシーは全てのリムーバブルメディアを禁止
1) 制御ポリシー(XMLファイル)作成
- 以下をコピーしてxml(ファイル名は任意)を作成
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender ATP settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender ATP configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender ATP configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>deviceControl</key>
<dict>
<key>removableMediaPolicy</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>permission</key>
<array>
<string>none</string>
</array>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
2) Microsoft AutoUpdateの更新チャンネルポリシー(XMLファイル)作成
- 以下をコピーしてxml(ファイル名は任意)を作成
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>B762FF60-6ACB-4A72-9E72-459D00C936F3</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadDisplayName</key>
<string>Microsoft AutoUpdate settings</string>
<key>PayloadDescription</key>
<string>Microsoft AutoUpdate configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>5A6F350A-CC2C-440B-A074-68E3F34EBAE9</string>
<key>PayloadType</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadDisplayName</key>
<string>Microsoft AutoUpdate configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>ChannelName</key>
<string>Beta</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</array>
</dict>
</plist>
3) ポリシー配布
- 作成した2つのXMLファイルを設定する
①Microsoft Endpoint Manager admin centerを開く
②デバイス > macOS > 構成プロファイル を開く
③「+プロファイルの作成」クリック
④プロファイルの作成画面にて「テンプレート」選択> ”カスタム” クリック
⑤基本設定画面にて名前(任意)を入力して ”次へ” クリック
⑥構成設定画面にて構成プロファイル名(任意)を入力して
作成したXMLファイルを読み込ませて ”次へ” クリック
⑦適用したいグループを設定して ”次へ” クリック
⑧全て問題なければ ”作成” クリック
4.動作確認
ポリシーが適用された後にリムーバブルメディアを接続してみましょう。以下の様なメッセージが表示されるはずです。
5.公式マニュアル
こちらがMS公式マニュアルなので実装する方はあわせて確認下さい。
ポリシー用のXMLはこちらを参考にしています。
この記事が気に入ったらサポートをしてみませんか?