Integrieren von Windows 10- und Windows 11-Geräten mithilfe von Microsoft Configuration Manager

  • Artikel

Gilt für:

Integrieren von Geräten mithilfe von Configuration Manager

  1. Rufen Sie das Konfigurationspaket .zip Datei (DeviceComplianceOnboardingPackage.zip) aus Microsoft Purview-Complianceportal ab.

  2. Wählen Sie im Navigationsbereich Einstellungen>Geräte onboarding Onboarding>aus.

  3. Wählen Sie im Feld Bereitstellungsmethodedie Option Microsoft Configuration Manager aus.

  4. Wählen Sie Paket herunterladen aus, und speichern Sie die .zip Datei.

  5. Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen, schreibgeschützten Speicherort, auf den die Netzwerkadministratoren zugreifen können, die das Paket bereitstellen. Sie sollten über eine Datei mit dem Namen DeviceCompliance.onboarding verfügen.

  6. Stellen Sie das Paket bereit, indem Sie die Schritte im Artikel Pakete und Programme Configuration Manager ausführen.

  7. Wählen Sie eine vordefinierte Gerätesammlung aus, in der das Paket bereitgestellt werden soll.

Hinweis

Microsoft 365 Information Protection unterstützt das Onboarding während der Out-Of-Box Experience(OOBE)-Phase nicht. Stellen Sie sicher, dass Benutzer die Windows-Willkommensseite nach dem Ausführen der Windows-Installation oder des Upgrades abschließen.

Tipp

Es ist möglich, eine Erkennungsregel für eine Configuration Manager-Anwendung zu erstellen, um kontinuierlich zu überprüfen, ob ein Gerät integriert wurde. Eine Anwendung ist ein anderer Objekttyp als ein Paket und Programm. Wenn ein Gerät noch nicht integriert ist (aufgrund eines ausstehenden OOBE-Abschlusses oder eines anderen Grunds), versucht Configuration Manager erneut, das Gerät zu integrieren, bis die Regel die status Änderung erkennt.

Dieses Verhalten kann erreicht werden, indem eine Erkennungsregel erstellt wird, um zu bestimmen, ob der OnboardingState Registrierungswert (vom Typ REG_DWORD) 1 ist. Dieser Registrierungswert befindet sich unter HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Weitere Informationen finden Sie unter Optionen für die Erkennungsmethode für Bereitstellungstypen.

Konfigurieren von Beispielsammlungseinstellungen

Für jedes Gerät können Sie einen Konfigurationswert festlegen, der angibt, ob Proben vom Gerät gesammelt werden können, wenn eine Anforderung über Microsoft Defender Security Center erfolgt, um eine Datei zur eingehenden Analyse zu übermitteln.

Hinweis

Diese Konfigurationseinstellungen erfolgen in der Regel über Configuration Manager.

Sie können eine Konformitätsregel für das Konfigurationselement in Configuration Manager festlegen, um die Beispielfreigabeeinstellung auf einem Gerät zu ändern.

Diese Regel sollte ein Konfigurationselement zur Korrektur der Konformitätsregel sein, das den Wert eines Registrierungsschlüssels auf Zielgeräten festlegt, um sicherzustellen, dass sie beanstanden werden.

Die Konfiguration wird über den folgenden Registrierungsschlüsseleintrag festgelegt:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Dabei gilt:

Der Schlüsseltyp ist ein D-WORD.

Die folgenden Werte sind möglich:

  • 0: Lässt keine Beispielfreigabe von diesem Gerät zu
  • 1 – Ermöglicht die Freigabe aller Dateitypen von diesem Gerät

Der Standardwert für den Fall, dass der Registrierungsschlüssel nicht vorhanden ist, ist 1. Configuration Manager finden Sie unter Erstellen benutzerdefinierter Konfigurationselemente für Windows-Desktop- und Servercomputer, die mit dem Configuration Manager-Client verwaltet werden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Nach dem Onboarding von Geräten in den Dienst ist es wichtig, die enthaltenen Bedrohungsschutzfunktionen zu nutzen, indem Sie sie mit den folgenden empfohlenen Konfigurationseinstellungen aktivieren.

Schutzkonfiguration der nächsten Generation

Die folgenden Konfigurationseinstellungen werden empfohlen:

Überprüfung

  • Überprüfen von Wechselmedien wie USB-Laufwerken: Ja

Echtzeitschutz

  • Aktivieren der Verhaltensüberwachung: Ja
  • Aktivieren des Schutzes vor potenziell unerwünschten Anwendungen beim Download und vor der Installation: Ja

Cloud Protection-Dienst

  • Cloud Protection Service-Mitgliedschaftstyp: Erweiterte Mitgliedschaft

Verringerung der Angriffsfläche Konfigurieren Sie alle verfügbaren Regeln für Die Überwachung.

Hinweis

Das Blockieren dieser Aktivitäten kann legitime Geschäftsprozesse unterbrechen. Der beste Ansatz besteht darin, alles auf die Überwachung festzulegen, zu identifizieren, welche sicher aktiviert werden können, und dann diese Einstellungen auf Endpunkten zu aktivieren, die keine falsch positiven Erkennungen aufweisen.

Netzwerkschutz

Stellen Sie vor dem Aktivieren des Netzwerkschutzes im Überwachungs- oder Blockmodus sicher, dass Sie das Antischadsoftware-Plattformupdate installiert haben, das auf der Supportseite abgerufen werden kann.

Kontrollierter Ordnerzugriff

Aktivieren Sie das Feature im Überwachungsmodus für mindestens 30 Tage. Überprüfen Sie nach diesem Zeitraum die Erkennungen, und erstellen Sie eine Liste der Anwendungen, die in geschützte Verzeichnisse schreiben dürfen.

Weitere Informationen finden Sie unter Auswerten des kontrollierten Ordnerzugriffs.

Offboarden von Geräten mit Configuration Manager

Aus Sicherheitsgründen läuft das für offboard-Geräte verwendete Paket 30 Tage nach dem Downloaddatum ab. Abgelaufene Offboardingpakete, die an ein Gerät gesendet werden, werden abgelehnt. Wenn Sie ein Offboarding-Paket herunterladen, werden Sie über das Ablaufdatum des Pakets benachrichtigt, und es wird auch im Paketnamen enthalten sein.

Hinweis

Onboarding- und Offboardingrichtlinien dürfen nicht gleichzeitig auf demselben Gerät bereitgestellt werden, da dies andernfalls zu unvorhersehbaren Kollisionen führt.

Offboarden von Geräten mit Microsoft Configuration Manager Current Branch

Wenn Sie Microsoft Configuration Manager current branch verwenden, finden Sie weitere Informationen unter Erstellen einer Offboarding-Konfigurationsdatei.

Überwachen der Gerätekonfiguration

Verwenden Sie bei Microsoft Configuration Manager Current Branch die integrierte Microsoft Defender for Endpoint Dashboard in der Configuration Manager-Konsole. Weitere Informationen finden Sie unter Microsoft Defender Advanced Threat Protection – Monitor.

Überprüfen Sie, ob die Geräte mit dem Endpunkt-Dienst zur Verhinderung von Datenverlust kompatibel sind.

Sie können eine Konformitätsregel für das Konfigurationselement in Configuration Manager festlegen, um Ihre Bereitstellung zu überwachen.

Hinweis

Dieses Verfahren und der Registrierungseintrag gelten sowohl für Endpunkt-DLP als auch für Defender für Endpunkt.

Bei dieser Regel sollte es sich um ein Konfigurationselement für nicht korrigierende Konformitätsregel handeln, das den Wert eines Registrierungsschlüssels auf Zielgeräten überwacht.

Überwachen Sie den folgenden Registrierungsschlüsseleintrag:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Weitere Informationen finden Sie unter Planen und Konfigurieren von Konformitätseinstellungen.