Intégrer des appareils et des Windows 11 Windows 10 à l’aide de stratégie de groupe
S’applique à :
- Protection contre la perte de données (DLP) de point de terminaison
- Gestion des risques internes
- Stratégie de groupe
Remarque
Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.
Pour Windows Server 2019, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence stratégie de groupe.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Intégrer des appareils à l’aide d’une stratégie de groupe
Ouvrez le Centre de conformité.
Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier DeviceComplianceLocalOnboardingScript.cmd.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Accédez à l’onglet Actions , puis cliquez sur Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le nom de fichier et l’emplacement du fichier WindowsDefenderATPOnboardingScript.cmd partagé.
Cliquez sur OK et fermez les fenêtres de la console GPMC ouvertes.
Désintégner des appareils à l’aide de stratégie de groupe
Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintégrage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.
Remarque
Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.
Obtenez le package de désintéglage à partir de portail de conformité Microsoft Purview.
Dans le volet de navigation, sélectionnez Paramètres>//Désintégration de l’intégration de l’appareil>.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez disposer d’un fichier nommé DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Choisissez le compte d’utilisateur SYSTEM local (BUILTIN\SYSTEM) sous Options de sécurité.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Accédez à l’onglet Actions , puis cliquez sur Nouveau.... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le nom de fichier et l’emplacement du fichier DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd partagé.
Cliquez sur OK et fermez les fenêtres de la console GPMC ouvertes.
Importante
La désintégration entraîne l’arrêt de l’envoi des données de capteur au portail, mais des données provenant de l’appareil.
Surveiller la configuration de l’appareil
Avec stratégie de groupe il n’existe aucune option permettant de surveiller le déploiement des stratégies sur les appareils. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.
Surveiller les appareils à l’aide du portail
- Accédez au portail de conformité Microsoft Purview.
- Cliquez sur Liste des appareils .
- Vérifiez que les appareils apparaissent.
Remarque
L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire pour que les stratégies soient distribuées à l’appareil, le temps nécessaire avant que l’utilisateur se connecte et le temps nécessaire pour que le point de terminaison commence à créer des rapports.
Voir aussi
- Intégrer des appareils Windows 10 et Windows 11 à l’aide de Microsoft Endpoint Configuration Manager
- Intégrer les appareils Windows 10 et Windows 11 à l’aide des outils de gestion des périphériques mobiles
- Intégrer les appareils Windows 10 et Windows 11 en utilisant un script local
- Intégrer les ordinateurs virtuels d’infrastructure de bureau (VDI) non persistants
- Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré
- Résoudre les problèmes d’intégration Microsoft Defender Advanced Threat Protection