Auf Englisch lesen

Teilen über


Integrieren von Windows 10- und Windows 11-Geräten mithilfe von Microsoft Configuration Manager

Gilt für:

Unterstützte Clientbetriebssysteme

Sie können das Onboarding der folgenden Betriebssysteme mithilfe von Configuration Manager durchführen:

  • Windows 11

  • Windows 10, Version 1709 oder höher

Wichtig

Beim Onboarding von Systemen in Microsoft Purview für endpunkte werden sie auch an Defender für Endpunkt gemeldet, selbst wenn eine andere Antiviren- oder Antischadsoftwarelösung verwendet wird. In solchen Fällen melden diese Systeme Defender für Endpunkt im passiven Modus, um sicherzustellen, dass keine Beeinträchtigung der vorhandenen Antiviren- oder Antischadsoftwarelösung vorliegt.

Onboarding in Microsoft Purview for Endpoint mit Configuration Manager

Konfigurieren Sie in Configuration Manager die Endpoint Protection-Einstellungen wie folgt, um sicherzustellen, dass der Client die Konfigurationsdatei erkennt.

  • Legen Sie Endpoint Protection-Client auf den Computern verwalten aufJa fest.

  • Die Option Endpoint Protection-Client auf Clientcomputern installieren kann auf Nein festgelegt werden.

Hinweis

Dadurch können Clients die Konfigurationsdatei von Configuration Manager empfangen. Wenn Sie dies nicht aktivieren, wird die Konfigurationsdatei möglicherweise nicht auf den Clients bereitgestellt.

  • Legen Sie den Microsoft Defender for Endpoint-Client unter Windows Server 2012 R2 fest und Windows Server 2016 auf MDE Client (empfohlen) fest.

Stellen Sie diese Clienteinstellungskonfiguration für die Sammlungen bereit, die zum Onboarding von Systemen verwendet werden.

Integrieren von Geräten mithilfe von Configuration Manager

  1. Rufen Sie das Konfigurationspaket .zip Datei (DeviceComplianceOnboardingPackage.zip) aus dem Microsoft Purview-Portal ab.

  2. Wählen Sie im Navigationsbereich Einstellungen>Geräte onboarding Onboarding>aus.

  3. Wählen Sie unter Betriebssystem auswählen, um den Onboardingprozess zu starten: wählen Sie Windows 10 und dann im Feld Bereitstellungsmethode die Option Microsoft Endpoint Configuration Manager aus.

  4. Wählen Sie Paket herunterladen aus, und speichern Sie die .zip Datei.

  5. Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen, schreibgeschützten Speicherort, auf den die Configuration Manager-Konsole für die Bereitstellung zugreifen kann. Stellen Sie sicher, dass die Datei deviceCompliance.onboarding vorhanden ist.

Onboarding der Geräte

  1. Navigieren Sie in der Configuration Manager-Konsole zu Assets and Compliance>Endpoint Protection>Microsoft Defender for Endpoint Policies.

    Hinweis

    Microsoft Purview und Microsoft Defender for Endpoint die gleiche Methode verwenden, um eine Verbindung mit Microsoft-Cloudsicherheitsumgebungen herzustellen.

  2. Wählen Sie Microsoft Defender for Endpoint Richtlinie erstellen aus, um den Richtlinien-Assistenten zu öffnen.

  3. Wählen Sie Ich stimme diesen Lizenzbedingungen und automatischen Updates beider Agents zu. Geben Sie dann den Namen und die Beschreibung für die Microsoft Defender for Endpoint-Richtlinie ein, und wählen Sie Onboarding aus.

  4. Wählen Sie Durchsuchen aus, und navigieren Sie zu der Konfigurationsdatei, die Sie aus der heruntergeladenen .zip-Datei extrahiert haben.

    Hinweis

    Sie benötigen den Arbeitsbereichsschlüssel und die Arbeitsbereichs-ID für Windows 10 und 11 nicht.

    Wählen Sie Weiter aus.

  5. Geben Sie die Dateibeispiele an, die von verwalteten Geräten zur Analyse gesammelt und freigegeben werden.

    • Keine

    • Alle Dateitypen

  6. Überprüfen Sie die Zusammenfassung, und schließen Sie den Assistenten ab.

  7. Klicken Sie mit der rechten Maustaste auf die erstellte Richtlinie, wählen Sie Bereitstellen aus, und wählen Sie dann eine Sammlung aus, für die Sie die Microsoft Defender for Endpoint Richtlinie bereitstellen möchten.

Überwachen

  1. Navigieren Sie in der Configuration Manager-Konsole zuÜberwachungsbereitstellungen>, und wählen Sie dann die Bereitstellung aus, die Sie für die Defender für Endpunkt-Richtlinienbereitstellung erstellt haben.

  2. Klicken Sie auf Status anzeigen , um die Informationen zu überprüfen. Unter Konform sehen Sie die status der integrierten Systeme. Systeme, die noch nicht integriert wurden, werden möglicherweise auf der Registerkarte Unbekannt angezeigt.

Hinweis

Dieser Vorgang kann einige Zeit in Anspruch nehmen, und das System muss möglicherweise neu gestartet werden, damit die Änderungen wirksam werden.

Offboarden von Geräten mit Configuration Manager

Aus Sicherheitsgründen läuft das für offboard-Geräte verwendete Paket 30 Tage nach dem Downloaddatum ab. Abgelaufene Offboardingpakete, die an ein Gerät gesendet werden, werden abgelehnt. Wenn Sie ein Offboarding-Paket herunterladen, werden Sie über das Ablaufdatum der Pakete benachrichtigt, und es wird auch im Paketnamen enthalten sein.

Hinweis

Onboarding- und Offboarding-Richtlinien dürfen nicht gleichzeitig auf demselben Gerät bereitgestellt werden, da dies andernfalls zu unvorhersehbaren Kollisionen führt.

Offboarden von Geräten mit Microsoft Configuration Manager Current Branch

Wenn Sie Microsoft Configuration Manager current branch verwenden, finden Sie weitere Informationen unter Erstellen einer Offboarding-Konfigurationsdatei.

Erstellen einer Offboarding-Konfigurationsdatei

  1. Melden Sie sich bei der Microsoft Purview-Konsole an.

  2. Wählen Sie Einstellungen, dann Geräte-Onboarding und dann Offboarding unter der Überschrift Onboarding aus.

  3. Wählen Sie Windows 10 für das Betriebssystem und Microsoft Endpoint Configuration Manager für die Bereitstellungsmethode aus.

    • Wenn Sie die Option Windows 10 verwenden, wird sichergestellt, dass alle Geräte in der Sammlung außer Board sind und der MMA bei Bedarf deinstalliert wird.
  4. Laden Sie die komprimierte Archivdatei (.zip) herunter, und extrahieren Sie den Inhalt. Offboarding-Dateien sind 30 Tage lang gültig.

  5. Navigieren Sie in der Configuration Manager-Konsole zu Bestand und Konformität>Endpoint Protection>Microsoft Defender Für Endpunktrichtlinien, und wählen Sie Microsoft Defender for Endpoint-Richtlinie erstellen aus. Der Richtlinienassistent wird geöffnet.

  6. Geben Sie den Namen und die Beschreibung für die Microsoft Defender for Endpoint-Richtlinie ein, und wählen Sie Offboarding aus.

  7. Navigieren Sie zu der Konfigurationsdatei, die Sie aus der heruntergeladenen .zip-Datei extrahiert haben.

  8. Überprüfen Sie die Zusammenfassung, und schließen Sie den Assistenten ab.

  9. Wählen Sie Bereitstellen aus, um die Microsoft Defender for Endpoint Richtlinie für Clients festzulegen, die Sie aus Purview offboarden möchten.

Wichtig

Die Microsoft Purview für Endpunkt-Konfigurationsdateien enthalten vertrauliche Informationen, die geschützt werden sollten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Überwachen der Gerätekonfiguration

Verwenden Sie bei Microsoft Configuration Manager Current Branch die integrierte Microsoft Defender for Endpoint Dashboard in der Configuration Manager-Konsole. Weitere Informationen finden Sie unter Microsoft Defender Advanced Threat Protection – Monitor.

Überprüfen Sie, ob die Geräte mit dem Endpunkt-Dienst zur Verhinderung von Datenverlust kompatibel sind.

Sie können eine Konformitätsregel für das Konfigurationselement in Configuration Manager festlegen, um Ihre Bereitstellung zu überwachen.

Hinweis

Dieses Verfahren und der Registrierungseintrag gelten für Endpunkt-DLP und Defender für Endpunkt.

Bei dieser Regel sollte es sich um ein Konfigurationselement für nicht korrigierende Konformitätsregel handeln, das den Wert eines Registrierungsschlüssels auf Zielgeräten überwacht.

Überwachen Sie den folgenden Registrierungsschlüsseleintrag:

Konsole
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Weitere Informationen finden Sie unter Planen und Konfigurieren von Konformitätseinstellungen.