Übersicht über das Onboarding von Windows-Geräten in Microsoft 365

Gilt für:

Die Verhinderung von Datenverlust am Endpunkt und das Insider-Risikomanagement erfordern, dass Windows 10- und Windows 11-Geräte in den Dienst eingebunden werden, damit sie Überwachungsdaten an die Dienste senden können.

Endpunkt-DLP ermöglicht es Ihnen, Windows 10- oder Windows 11-Geräte zu überwachen und zu erkennen, wenn vertrauliche Elemente verwendet und freigegeben werden. Auf diese Weise erhalten Sie die nötige Übersicht und Kontrolle, um sicherzustellen, dass sie ordnungsgemäß verwendet und geschützt werden, und um ihre Gefährdung durch riskantes Verhalten zu verhindern. Weitere Informationen zu allen Microsoft-DLP-Angeboten finden Sie unter Informationen zur Verhinderung von Datenverlust. Weitere Informationen zur Verhinderung von Datenverlust am Endpunkt finden Sie unter Informationen zu Endpunkt-DLP.

Endpunkt-DLP ermöglicht ihnen auch das Onboarding von Geräten, auf denen die folgenden Versionen von Windows Server ausgeführt werden:

Hinweis

Durch die Installation der unterstützten Windows Server-KBs wird das Klassifizierungsfeature auf dem Server deaktiviert. Dies bedeutet, dass Endpunkt-DLP dateien auf dem Server nicht klassifizieren wird. Endpunkt-DLP schützt jedoch weiterhin die Dateien auf dem Server, die klassifiziert wurden, bevor diese KBs auf dem Server installiert wurden. Um diesen Schutz sicherzustellen, installieren Sie Microsoft Defender Version 4.18.23100 (Oktober 2023) oder höher.

Standardmäßig ist Endpunkt-DLP für Windows-Server beim ersten Onboarding nicht aktiviert. Bevor Sie Endpunkt-DLP-Ereignisse für Ihre Server in Activity Explorer anzeigen können, müssen Sie zuerst die Endpunkt-DLP-Unterstützung für integrierte Server aktivieren.

Nach der ordnungsgemäßen Konfiguration können die gleichen Richtlinien zum Schutz vor Datenverlust automatisch sowohl auf Windows-PCs als auch auf Windows-Server angewendet werden.

Das Insider-Risikomanagement nutzt die gesamte Bandbreite von Dienst- und Drittanbieterindikatoren, um Ihnen zu helfen, riskante Benutzeraktivitäten schnell zu erkennen, zu selektieren und darauf zu reagieren. Dank der Nutzung von Protokollen aus Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements spezifische Richtlinien definieren, um Risikoindikatoren zu identifizieren und Maßnahmen zur Verringerung dieser Risiken zu ergreifen. Weitere Informationen finden Sie unter Informationen zum Insider-Risikomanagement.

Das Geräte-Onboarding wird von Microsoft 365 und Microsoft Defender für Endpunkt (MDE) gemeinsam genutzt. Wenn Sie bereits Geräte in MDE integriert haben, werden diese in der Liste der verwalteten Geräte angezeigt, und es sind keine weiteren Schritte erforderlich, um diese spezifischen Geräte zu integrieren. Durch das Onboarding von Geräten im Complianceportal werden diese auch in MDE integriert.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Vorabinformationen

SKU/Abonnement-Lizenzierung

Überprüfen Sie hier die Lizenzierungsanforderungen.

Berechtigungen

Zum Aktivieren der Geräteverwaltung muss das von Ihnen verwendete Konto eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator

Wenn Sie ein benutzerdefiniertes Konto verwenden möchten, um die Einstellungen für die Geräteverwaltung anzuzeigen, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator
  • Compliancedaten-Administrator
  • Globale Leseberechtigung

Wenn Sie ein benutzerdefiniertes Konto für den Zugriff auf die Seite für das Onboarding/Offboarding verwenden möchten, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator

Wenn Sie ein benutzerdefiniertes Konto zum Aktivieren/Deaktivieren der Geräteüberwachung verwenden möchten, muss es eine der folgenden Rollen aufweisen:

  • Globaler Administrator
  • Compliance-Administrator

Vorbereiten Ihrer Windows-Geräte

Stellen Sie sicher, dass die Windows Geräte, die Sie integrieren müssen, diese Anforderungen erfüllen.

  1. Muss einen der folgenden Builds von Windows oder Windows Server ausführen:

    1. Windows (X64):
      1. Windows 10 21H2 (Siehe Updatedetails)
      2. Windows 10 22H2-Update (siehe Updatedetails)
    2. Windows (ARM64):
      1. Windows 11 21H2 (Siehe Updatedetails)
      2. Windows 11 22H2 (Siehe Updatedetails)
    3. Windows Server 2019 Os: 1809 oder Windows Server 2022 OS: 21H2 und höher.
  2. Die Antimalware-Clientversion ist 4.18.2110 oder neuer. Überprüfen Sie die aktuelle Version, indem Sie die Windows-Sicherheits-App öffnen, das Symbol Einstellungen und dann Info auswählen. Die Versionsnummer wird unter Antimalware-Clientversion aufgeführt. Aktualisieren Sie auf die neueste Antimalware-Clientversion, indem Sie Windows Update KB4052623 installieren. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in Windows.

    Wichtig

    Keine der Windows-Sicherheit Komponenten muss aktiv sein, aber der Echtzeitschutz und der Verhaltensmonitor müssen aktiviert sein.

    • Microsoft Defender Core Service – MdCoreSvc – MpDefenderCoreService.exe muss auf dem Gerät ausgeführt werden
    • Microsoft Data Loss Prevention Service – MDDlpSvc – MpDlpService.exe muss auf dem Gerät ausgeführt werden.
  3. Alle Geräte müssen eines der Folgenden sein:

  4. Eine unterstützte Version von Microsoft 365 Apps ist installiert und auf dem neuesten Stand. Stellen Sie sicher, dass Microsoft 365 Apps Version 16.0.14701.0 oder höher installiert ist, um einen möglichst stabilen Schutz und eine möglichst stabile Benutzererfahrung zu erzielen.

    Hinweis

  5. Wenn Sie Endpunkte besitzen, die einen Geräteproxy zum Herstellen einer Internetverbindung verwenden, befolgen Sie die Verfahren unter Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen für Information Protection.

Onboarding von Windows 10- oder Windows 11-Geräten

Sie müssen die Geräteüberwachung aktivieren und die Endpunkte einbinden, bevor vertrauliche Elemente auf einem Gerät überwacht und geschützt werden können. Beide Aktionen werden im Microsoft Purview-Complianceportal ausgeführt.

Wenn Sie Geräte integrieren möchten, die noch nicht integriert wurden, laden Sie das entsprechende Skript herunter und stellen es auf diesen Geräten bereit. Befolgen Sie die nachstehenden Verfahren für das Onboarding von Geräten.

Wenn Sie bereits Geräte in Microsoft Defender for Endpoint integriert haben, werden diese bereits in der Liste der verwalteten Geräte angezeigt.

In diesem Bereitstellungsszenario integrieren Sie Windows 10 oder Windows 11 Geräte, die noch nicht integriert wurden.

  1. Öffnen Sie das Microsoft Purview Complianceportal. Wählen Sie Einstellungen>Geräte integrieren>Geräte aus.

    Hinweis

    Wenn Sie zuvor Microsoft Defender für Endpunkt bereitgestellt haben, werden alle Geräte, die während dieses Vorgangs integriert wurden, in der Geräteliste aufgeführt. Es ist nicht erforderlich, sie erneut zu integrieren. In der Regel dauert es zwar nur ungefähr eine Minute, bis das Geräte-Onboarding aktiviert ist, warten Sie aber mindestens 30 Minuten, bevor Sie sich an den Microsoft-Support wenden.

  2. Wählen Sie Onboarding für Geräte aktivieren aus.

  3. Wählen Sie Onboarding aus, um mit dem Onboarding-Prozess zu beginnen.

  4. Wählen Sie in der Liste Bereitstellungsmethode die Art und Weise aus, wie Sie auf diesen anderen Geräten bereitstellen möchten, und laden Sie dann das Paket herunter.

  5. Wählen Sie das entsprechende Verfahren aus der folgenden Tabelle aus:

    Artikel Beschreibung
    Intune Verwenden Sie MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) oder Microsoft Intune, um das Konfigurationspaket auf Geräten bereitzustellen.
    Configuration Manager Sie können entweder Microsoft Endpoint Configuration Manager (Current Branch), Version 1606, oder Microsoft Endpoint Configuration Manager (Current Branch), Version 1602 oder älter, zum Bereitstellen des Konfigurationspakets auf Geräten verwenden.
    Gruppenrichtlinie Verwenden Sie eine Gruppenrichtlinie, um das Konfigurationspaket auf Geräten bereitzustellen.
    Lokales Skript Erfahren Sie, wie Sie das Konfigurationspaket mithilfe des lokalen Skripts auf Endpunkten bereitstellen.
    VDI-Geräte (Virtual Desktop Infrastructure) Erfahren Sie, wie Sie das Konfigurationspaket zum Konfigurieren von VDI-Geräten verwenden.

Gerätekonfiguration und richtliniensynchronisierung status

Sie können die status konfiguration und die richtliniensynchronisierungs-status aller integrierten Geräte in der Liste Geräte überprüfen. Wenn Sie weitere Informationen zur Konfiguration und richtlinie status, wählen Sie ein integriertes Gerät aus, um den Detailbereich zu öffnen.

Configuration status zeigt an, ob das Gerät ordnungsgemäß konfiguriert ist, ein Heartbeatsignal an Purview sendet und der Zeitpunkt der letzten Überprüfung der Konfiguration ist. Für Windows-Geräte umfasst die Konfiguration die Überprüfung der status von Microsoft Defender Antivirus Always-On-Schutz und Verhaltensüberwachung.

Richtliniensynchronisierung status zeigt an, ob das Gerät die neueste Richtlinienversion erhalten hat oder ob die entsprechenden Richtlinien erfolgreich mit dem Gerät synchronisiert wurden.

Feldwert Konfigurations-status Richtliniensynchronisierungs-status
Aktualisiert Geräteintegritätsparameter sind aktiviert und ordnungsgemäß festgelegt. Das Gerät wurde mit den aktuellen Versionen der Richtlinien aktualisiert.
Nicht aktualisiert Sie müssen die Konfigurationseinstellungen für dieses Gerät aktivieren. Befolgen Sie die Verfahren unter Microsoft Defender Antivirus Always-On-Schutz Dieses Gerät hat die neuesten Richtlinienupdates nicht synchronisiert. Wenn die Richtlinienaktualisierung innerhalb der letzten zwei Stunden vorgenommen wurde, warten Sie, bis die Richtlinie Ihr Gerät erreicht hat.
Nicht verfügbar Geräteeigenschaften sind in der Geräteliste nicht verfügbar. Dies kann daran zurückzuführen sein, dass das Gerät nicht die Mindestversion oder Konfiguration des Betriebssystems erfüllt oder das Gerät nur integriert wurde. Geräteeigenschaften sind in der Geräteliste nicht verfügbar. Dies kann daran zurückzuführen sein, dass das Gerät nicht die Mindestversion oder Konfiguration des Betriebssystems erfüllt oder das Gerät nur integriert wurde.

Es kann bis zu 2 Stunden dauern, bis die Synchronisierungs-status auf dem Dashboard reflektiert wird. Geräte müssen online sein, damit die Richtlinienaktualisierung erfolgt. Wenn die status nicht aktualisiert wird, überprüfen Sie den Zeitpunkt, zu dem das Gerät zuletzt angezeigt wurde.

Siehe auch