Onboarding von Windows 10-Geräten und Windows 11 mithilfe von Gruppenrichtlinie
Gilt für:
- Verhinderung von Datenverlust am Endpunkt (Data Loss Prevention, DLP)
- Insider-Risikomanagement
- Gruppenrichtlinien
Hinweis
Um Gruppenrichtlinie (GP)-Updates zum Bereitstellen des Pakets verwenden zu können, müssen Sie Windows Server 2008 R2 oder höher verwenden.
Für Windows Server 2019 müssen Sie möglicherweise NT AUTHORITY\Well-Known-System-Account durch NT AUTHORITY\SYSTEM der XML-Datei ersetzen, die von der Gruppenrichtlinie Einstellung erstellt wird.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Onboarding von Geräten mithilfe von Gruppenrichtlinien
Öffnen Sie das Compliance Center.
Wählen Sie im Navigationsbereich Einstellungen>Geräte-Onboarding aus.
Wählen Sie im Feld Bereitstellungsmethodedie Option Gruppenrichtlinie aus.
Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.
Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen schreibgeschützten Speicherort, auf den das Gerät zugreifen kann. Sie sollten über einen Ordner namens OptionalParamsPolicy und die Datei DeviceComplianceLocalOnboardingScript.cmd verfügen.
Öffnen Sie die Gruppenrichtlinie Management Console (GPMC), klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Object (GPO), das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.
Wechseln Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfiguration, dann Einstellungen und dann Systemsteuerungseinstellungen.
Klicken Sie mit der rechten Maustaste auf Geplante Aufgaben, zeigen Sie auf Neu, und klicken Sie dann auf Sofortaufgabe (mindestens Windows 7).
Wechseln Sie im daraufhin geöffneten Aufgabenfenster zur Registerkarte Allgemein . Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern , geben Sie SYSTEM ein, und klicken Sie dann auf Namen überprüfen und dann auf OK. NT AUTHORITY\SYSTEM wird als Benutzerkonto angezeigt, unter dem die Aufgabe ausgeführt wird.
Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht , und aktivieren Sie das Kontrollkästchen Mit den höchsten Berechtigungen ausführen .
Wechseln Sie zur Registerkarte Aktionen, und klicken Sie auf Neu... Stellen Sie sicher, dass Programm starten im Feld Aktion ausgewählt ist. Geben Sie den Dateinamen und den Speicherort der freigegebenen Datei WindowsDefenderATPOnboardingScript.cmd ein.
Klicken Sie auf OK , und schließen Sie alle geöffneten GPMC-Fenster.
Offboarden von Geräten mit Gruppenrichtlinie
Aus Sicherheitsgründen läuft das Paket, das zum Offboarden von Geräten verwendet wird, 30 Tage nach dem Datum ab, an dem es heruntergeladen wurde. Abgelaufene Offboardingpakete, die an ein Gerät gesendet werden, werden abgelehnt. Wenn Sie ein Offboarding-Paket herunterladen, werden Sie über das Ablaufdatum der Pakete benachrichtigt und es wird auch im Paketnamen enthalten sein.
Hinweis
Onboarding- und Offboardingrichtlinien dürfen nicht gleichzeitig auf demselben Gerät bereitgestellt werden, da dies andernfalls zu unvorhersehbaren Kollisionen führt.
Rufen Sie das Offboardingpaket von Microsoft Purview-Complianceportal ab.
Wählen Sie im Navigationsbereich Einstellungen>///Device onboarding>Offboarding aus.
Wählen Sie im Feld Bereitstellungsmethodedie Option Gruppenrichtlinie aus.
Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.
Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen schreibgeschützten Speicherort, auf den das Gerät zugreifen kann. Sie sollten über eine Datei namens DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd verfügen.
Öffnen Sie die Gruppenrichtlinie Management Console (GPMC), klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Object (GPO), das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.
Wechseln Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfiguration, dann zu Einstellungen und dann einstellungen der Systemsteuerung.
Klicken Sie mit der rechten Maustaste auf Geplante Vorgänge, zeigen Sie auf Neu, und klicken Sie dann auf Direktvorgang.
Wechseln Sie im daraufhin geöffneten Aufgabenfenster zur Registerkarte Allgemein . Wählen Sie unter Sicherheitsoptionen das lokale SYSTEM-Benutzerkonto (BUILTIN\SYSTEM) aus.
Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht , und aktivieren Sie das Kontrollkästchen Mit den höchsten Berechtigungen ausführen .
Wechseln Sie zur Registerkarte Aktionen, und klicken Sie auf Neu.... Stellen Sie sicher, dass Programm starten im Feld Aktion ausgewählt ist. Geben Sie den Dateinamen und den Speicherort der freigegebenen datei DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd ein.
Klicken Sie auf OK , und schließen Sie alle geöffneten GPMC-Fenster.
Wichtig
Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an das Portal sendet, aber Daten vom Gerät.
Überwachen der Gerätekonfiguration
Mit Gruppenrichtlinie gibt es keine Option zum Überwachen der Bereitstellung von Richtlinien auf den Geräten. Die Überwachung kann direkt im Portal oder mithilfe der verschiedenen Bereitstellungstools erfolgen.
Überwachen von Geräten über das Portal
- Gehen Sie zum Compliance-Portal von Microsoft Purview.
- Klicken Sie auf Geräteliste .
- Überprüfen Sie, ob Geräte angezeigt werden.
Hinweis
Es kann mehrere Tage dauern, bis Geräte in der Geräteliste angezeigt werden. Dies umfasst die Zeit, die benötigt wird, bis die Richtlinien auf das Gerät verteilt werden, die Zeit, die der Benutzer benötigt, bevor sich der Benutzer anmeldet, und die Zeit, die benötigt wird, bis der Endpunkt mit der Berichterstellung beginnt.
Verwandte Themen
- Integrieren von Windows 10- und Windows 11-Geräten mithilfe von Microsoft Endpoint Configuration Manager
- Onboarding von Windows 10- oder Windows 11-Geräten mithilfe von MDM-Tools (Mobile Device Management)
- Onboarding von Windows 10- oder Windows 11-Geräten mithilfe eines lokalen Skripts
- Onboarding von nicht-persistenten Geräten einer VD-Infrastruktur (Virtual Desktop)
- Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender for Endpoint Geräten
- Behandeln von Problemen beim Onboarding von Microsoft Defender Advanced Threat Protection