Teilen über


Übersicht über das Onboarding von Windows-Geräten in Microsoft 365

Gilt für:

Die Verhinderung von Datenverlust am Endpunkt und das Insider-Risikomanagement erfordern, dass Windows 10- und Windows 11-Geräte in den Dienst eingebunden werden, damit sie Überwachungsdaten an die Dienste senden können.

Endpunkt-DLP ermöglicht es Ihnen, Windows 10- oder Windows 11-Geräte zu überwachen und zu erkennen, wenn vertrauliche Elemente verwendet und freigegeben werden. Dadurch erhalten Sie die Sichtbarkeit und Kontrolle, die Sie benötigen, um sicherzustellen, dass sie ordnungsgemäß verwendet und geschützt werden, und um riskantes Verhalten zu verhindern, das sie gefährden könnte. Weitere Informationen zu allen Microsoft-DLP-Angeboten finden Sie unter Informationen zur Verhinderung von Datenverlust. Weitere Informationen zur Verhinderung von Datenverlust am Endpunkt finden Sie unter Informationen zu Endpunkt-DLP.

Endpunkt-DLP ermöglicht ihnen auch das Onboarding von Geräten, auf denen die folgenden Versionen von Windows Server ausgeführt werden:

Hinweis

Durch die Installation der unterstützten Windows Server-KBs wird das Klassifizierungsfeature auf dem Server deaktiviert. Dies bedeutet, dass Endpunkt-DLP dateien auf dem Server nicht klassifizieren wird. Endpunkt-DLP schützt jedoch weiterhin die Dateien auf dem Server, die klassifiziert wurden, bevor diese KBs auf dem Server installiert wurden. Um diesen Schutz sicherzustellen, installieren Sie Microsoft Defender Version 4.18.23100 (Oktober 2023) oder höher.

Standardmäßig ist Endpunkt-DLP für Windows-Server beim ersten Onboarding nicht aktiviert. Bevor Sie Endpunkt-DLP-Ereignisse für Ihre Server in Activity Explorer anzeigen können, müssen Sie zuerst die Endpunkt-DLP-Unterstützung für integrierte Server aktivieren.

Nach der ordnungsgemäßen Konfiguration können die gleichen Richtlinien zum Schutz vor Datenverlust automatisch sowohl auf Windows-PCs als auch auf Windows-Server angewendet werden.

Das Insider-Risikomanagement nutzt die gesamte Bandbreite von Dienst- und Drittanbieterindikatoren, um Ihnen zu helfen, riskante Benutzeraktivitäten schnell zu erkennen, zu selektieren und darauf zu reagieren. Dank der Nutzung von Protokollen aus Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements spezifische Richtlinien definieren, um Risikoindikatoren zu identifizieren und Maßnahmen zur Verringerung dieser Risiken zu ergreifen. Weitere Informationen finden Sie unter Informationen zum Insider-Risikomanagement.

Das Geräte-Onboarding wird von Microsoft 365 und Microsoft Defender für Endpunkt (MDE) gemeinsam genutzt. Wenn Sie bereits Geräte in MDE integriert haben, werden diese in der Liste der verwalteten Geräte angezeigt, und es sind keine weiteren Schritte erforderlich, um diese spezifischen Geräte zu integrieren. Beim Onboarding von Geräten im Complianceportal werden diese auch in MDE integriert.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Vorabinformationen

SKU/Abonnement-Lizenzierung

Überprüfen Sie hier die Lizenzierungsanforderungen.

Berechtigungen

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die nur in Szenarien verwendet werden sollte, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.

Zum Aktivieren der Geräteverwaltung muss das von Ihnen verwendete Konto eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator

Wenn Sie ein benutzerdefiniertes Konto verwenden möchten, um die Einstellungen für die Geräteverwaltung anzuzeigen, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator
  • Compliancedaten-Administrator
  • Globale Leseberechtigung

Wenn Sie ein benutzerdefiniertes Konto für den Zugriff auf die Seite für das Onboarding/Offboarding verwenden möchten, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator

Wenn Sie ein benutzerdefiniertes Konto zum Aktivieren/Deaktivieren der Geräteüberwachung verwenden möchten, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator

Vorbereiten Ihrer Windows-Geräte

Stellen Sie sicher, dass die Windows Geräte, die Sie integrieren müssen, diese Anforderungen erfüllen.

  1. Muss einen der folgenden Builds von Windows oder Windows Server ausführen:

    1. Windows (X64):

      1. Windows 11 24H2 (Siehe Updatedetails)
      2. Windows 11 23H2 (Siehe Updatedetails)
      3. Windows 11 22H2-Update (siehe Updatedetails)
      4. Windows 11 21H2 (Siehe Updatedetails)
      5. Windows 10 22H2-Update (siehe Updatedetails)
    2. Windows (ARM64):

      1. Windows 11 24H2 (Siehe Updatedetails)
      2. Windows 11 23H2 (Siehe Updatedetails)
      3. Windows 11 22H2-Update (siehe Updatedetails)
      4. Windows 11 21H2 (Siehe Updatedetails)
    3. Windows Server 2019 Os: 1809 oder Windows Server 2022 OS: 21H2 und höher.

  2. Die Antimalware-Clientversion ist 4.18.2110 oder neuer. Überprüfen Sie die aktuelle Version, indem Sie die Windows-Sicherheits-App öffnen, das Symbol Einstellungen und dann Info auswählen. Die Versionsnummer wird unter Antimalware-Clientversion aufgeführt. Aktualisieren Sie auf die neueste Antimalware-Clientversion, indem Sie Windows Update KB4052623 installieren. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in Windows.

    Wichtig

    Keine der Windows-Sicherheit Komponenten muss aktiv sein, aber der Echtzeitschutz und der Verhaltensmonitor müssen aktiviert sein.

  3. Alle Geräte müssen eines der Folgenden sein:

  4. Eine unterstützte Version von Microsoft 365 Apps ist installiert und auf dem neuesten Stand. Stellen Sie sicher, dass Microsoft 365 Apps Version 16.0.14701.0 oder höher installiert ist, um einen möglichst stabilen Schutz und eine möglichst stabile Benutzererfahrung zu erzielen.

    Hinweis

  5. Wenn Sie Endpunkte besitzen, die einen Geräteproxy zum Herstellen einer Internetverbindung verwenden, befolgen Sie die Verfahren unter Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen für Information Protection.

    Wichtig

    Stellen Sie sicher, dass Sie MpDlpService.exe über Ihre Firewall, Antivirensoftware von Drittanbietern oder die Anwendungssteuerung zulassen.

Onboarding von Windows 10- oder Windows 11-Geräten

Sie müssen die Geräteüberwachung aktivieren und die Endpunkte einbinden, bevor vertrauliche Elemente auf einem Gerät überwacht und geschützt werden können. Beide Aktionen werden im Microsoft Purview-Complianceportal ausgeführt.

Wenn Sie Geräte integrieren möchten, die noch nicht integriert wurden, laden Sie das entsprechende Skript herunter und stellen es auf diesen Geräten bereit. Befolgen Sie die nachstehenden Verfahren für das Onboarding von Geräten.

Wenn Sie bereits Geräte in Microsoft Defender for Endpoint integriert haben, werden diese bereits in der Liste der verwalteten Geräte angezeigt.

In diesem Bereitstellungsszenario integrieren Sie Windows 10 oder Windows 11 Geräte, die noch nicht integriert wurden.

  1. Öffnen Sie das Microsoft Purview Complianceportal. Wählen Sie Einstellungen>Geräte integrieren>Geräte aus.

    Hinweis

    Wenn Sie zuvor Microsoft Defender für Endpunkt bereitgestellt haben, werden alle Geräte, die während dieses Vorgangs integriert wurden, in der Geräteliste aufgeführt. Es ist nicht erforderlich, sie erneut zu integrieren. In der Regel dauert es zwar nur ungefähr eine Minute, bis das Geräte-Onboarding aktiviert ist, warten Sie aber mindestens 30 Minuten, bevor Sie sich an den Microsoft-Support wenden.

  2. Wählen Sie Onboarding für Geräte aktivieren aus.

  3. Wählen Sie Onboarding aus, um mit dem Onboarding-Prozess zu beginnen.

  4. Wählen Sie in der Liste Bereitstellungsmethode die Art und Weise aus, wie Sie auf diesen anderen Geräten bereitstellen möchten, und laden Sie dann das Paket herunter.

  5. Wählen Sie das entsprechende Verfahren aus der folgenden Tabelle aus:

    Artikel Beschreibung
    Intune Verwenden Sie MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) oder Microsoft Intune, um das Konfigurationspaket auf Geräten bereitzustellen.
    Configuration Manager Sie können entweder Microsoft Endpoint Configuration Manager (Current Branch), Version 1606, oder Microsoft Endpoint Configuration Manager (Current Branch), Version 1602 oder älter, zum Bereitstellen des Konfigurationspakets auf Geräten verwenden.
    Gruppenrichtlinie Verwenden Sie eine Gruppenrichtlinie, um das Konfigurationspaket auf Geräten bereitzustellen.
    Lokales Skript Erfahren Sie, wie Sie das Konfigurationspaket mithilfe des lokalen Skripts auf Endpunkten bereitstellen.
    VDI-Geräte (Virtual Desktop Infrastructure) Erfahren Sie, wie Sie das Konfigurationspaket zum Konfigurieren von VDI-Geräten verwenden.

Überprüfen der geräte status

Nachdem Sie Ihr Gerät integriert haben, können Sie die status der Geräte in der Geräteliste überprüfen. Überprüfen Sie zuerst die status Konfiguration. Configuration status zeigt an, ob das Gerät ordnungsgemäß konfiguriert ist, ein Heartbeatsignal an Purview sendet und der Zeitpunkt der letzten Überprüfung der Konfiguration ist. Für Windows-Geräte umfasst die Konfiguration die Überprüfung der status von Microsoft Defender Antivirus Always-On-Schutz und Verhaltensüberwachung.

Wenn keine DLP-Richtlinien für den Standort Geräte gelten, werden im Feld Richtliniensynchronisierungs-status keine gültigen Informationen angezeigt.

Wichtig

Informationen zur Behandlung von Problemen mit der Gerätekonfiguration status und Richtliniensynchronisierung status finden Sie unter Problembehandlung bei der Konfiguration von Endpunktdatenverlust und Richtliniensynchronisierung.

Siehe auch