Incorporación de dispositivos Windows 10 y Windows 11 mediante directiva de grupo
Se aplica a:
- Prevención de perdida de datos en el punto de conexión (DLP)
- Administración de riesgos internos
- Directiva de grupo
Nota:
Para usar las actualizaciones de directiva de grupo (GP) para implementar el paquete, debes estar en Windows Server 2008 R2 o posterior.
Para Windows Server 2019, es posible que deba reemplazar NT AUTHORITY\Well-Known-System-Account por NT AUTHORITY\SYSTEM del archivo XML que crea la preferencia de directiva de grupo.
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Incorporar dispositivos con la directiva de grupo
Abra el Centro de cumplimiento.
En el panel de navegación, seleccione Configuración>Incorporación de dispositivos.
En el campo Método de implementación , seleccione Directiva de grupo.
Haga clic en Descargar paquete y guarde el archivo .zip.
Extraiga el contenido del archivo .zip en una ubicación compartida de solo lectura a la que pueda acceder el dispositivo. Debe tener una carpeta denominada OptionalParamsPolicy y el archivo DeviceComplianceLocalOnboardingScript.cmd.
Abra la consola de administración de directiva de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que desea configurar y haga clic en Editar.
En el Editor de administración de directiva de grupo, vaya a Configuración del equipo, Preferencias y, a continuación, Configuración del panel de control.
Haga clic con el botón derecho en Tareas programadas, seleccione Nuevo y, a continuación, haga clic en Tarea inmediata (al menos Windows 7).
En la ventana Tarea que se abre, vaya a la pestaña General . En Opciones de seguridad , haga clic en Cambiar usuario o grupo y escriba SYSTEM y, a continuación, haga clic en Comprobar nombres y, a continuación, en Aceptar. NT AUTHORITY\SYSTEM aparece como la cuenta de usuario como se ejecutará la tarea.
Seleccione Ejecutar si el usuario ha iniciado sesión o no y active la casilla Ejecutar con los privilegios más altos .
Vaya a la pestaña Acciones y haga clic en Nuevo... Asegúrese de que Iniciar un programa está seleccionado en el campo Acción . Escriba el nombre de archivo y la ubicación del archivo Compartido WindowsDefenderATPOnboardingScript.cmd .
Haga clic en Aceptar y cierre las ventanas de GPMC abiertas.
Dispositivos fuera del panel que usan directiva de grupo
Por motivos de seguridad, el paquete usado para dispositivos fuera del panel expirará 30 días después de la fecha en que se descargó. Se rechazarán los paquetes de offboarding expirados enviados a un dispositivo. Al descargar un paquete de offboarding, se le notificará la fecha de expiración de los paquetes y también se incluirá en el nombre del paquete.
Nota:
Las directivas de incorporación y retirada no deben implementarse en el mismo dispositivo al mismo tiempo; de lo contrario, esto provocará colisiones imprevisibles.
Obtenga el paquete de offboarding de portal de cumplimiento Microsoft Purview.
En el panel de navegación, seleccione Configuración>//Incorporación de> dispositivosOffboarding.
En el campo Método de implementación , seleccione Directiva de grupo.
Haga clic en Descargar paquete y guarde el archivo .zip.
Extraiga el contenido del archivo .zip en una ubicación compartida de solo lectura a la que pueda acceder el dispositivo. Debe tener un archivo denominado DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Abra la consola de administración de directiva de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que desea configurar y haga clic en Editar.
En el Editor de administración de directiva de grupo, vaya a Configuración del equipo,Preferencias y, a continuación, Configuración del panel de control.
Haga clic con el botón derecho en Tareas programadas, seleccione Nuevo y, a continuación, haga clic en Tarea inmediata.
En la ventana Tarea que se abre, vaya a la pestaña General . Elija la cuenta de usuario de SYSTEM local (BUILTIN\SYSTEM) en Opciones de seguridad.
Seleccione Ejecutar si el usuario ha iniciado sesión o no y active la casilla Ejecutar con los privilegios más altos .
Vaya a la pestaña Acciones y haga clic en Nuevo.... Asegúrese de que Iniciar un programa está seleccionado en el campo Acción . Escriba el nombre de archivo y la ubicación del archivo compartido DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd .
Haga clic en Aceptar y cierre las ventanas de GPMC abiertas.
Importante
La eliminación hace que el dispositivo deje de enviar datos del sensor al portal, pero los datos del dispositivo.
Supervisión de la configuración del dispositivo
Con directiva de grupo no hay una opción para supervisar la implementación de directivas en los dispositivos. La supervisión se puede realizar directamente en el portal o mediante las distintas herramientas de implementación.
Supervisión de dispositivos mediante el portal
- Vaya al portal de cumplimiento de Microsoft Purview.
- Haga clic en Lista de dispositivos .
- Compruebe que aparecen los dispositivos.
Nota:
Los dispositivos pueden tardar varios días en aparecer en la lista Dispositivos. Esto incluye el tiempo que tardan las directivas en distribuirse al dispositivo, el tiempo que tarda el usuario en iniciar sesión y el tiempo que tarda el punto de conexión en iniciar la generación de informes.
Temas relacionados
- Incorporación de dispositivos Windows 10 y Windows 11 mediante Microsoft Endpoint Configuration Manager
- Incorporar dispositivos Windows 10 y Windows 11 con herramientas de Administración de dispositivos móviles
- Incorporar dispositivos Windows 10 y Windows 11 mediante un script local
- Incorporar dispositivos de infraestructura de escritorio virtual (VDI) no persistente
- Ejecución de una prueba de detección en dispositivos Microsoft Defender para punto de conexión recién incorporados
- Solución de problemas de incorporación de Microsoft Defender Advanced Threat Protection