Panoramica dell'onboarding dei dispositivi Windows in Microsoft 365

Si applica a:

• Prevenzione della perdita di dati (DLP) degli endpoint
• Gestione dei rischi Insider

La prevenzione della perdita di dati degli endpoint (DLP degli endpoint) e la gestione dei rischi Insider richiedono che i dispositivi Windows 10 e Windows 11 vengano caricati nel servizio in modo che possano inviare i dati di monitoraggio ai servizi.

La prevenzione della perdita di dati degli endpoint consente di monitorare i dispositivi Windows 10 o 11 e rilevare l'uso e la condivisione di elementi sensibili. In questo modo è possibile ottenere la visibilità e il controllo necessari per assicurarsi che vengano usati e protetti correttamente e per evitare comportamenti rischiosi che potrebbero comprometterli. Per altre informazioni su tutte le offerte DLP di Microsoft, vedere Panoramica sulla prevenzione della perdita dei dati. Per ulteriori informazioni su Endpoint DLP, vedere Informazioni sulla prevenzione della perdita dei dati degli endpoint.

La prevenzione della perdita dei dati degli endpoint consente anche di eseguire l'onboarding dei dispositivi che eseguono le versioni seguenti di Windows Server:

• Windows Server 2019 (14 novembre 2023— KB5032196 (build del sistema operativo 17763.5122) - Supporto tecnico Microsoft)

• Windows Server 2022 (aggiornamento della sicurezza del 14 novembre 2023 (KB5032198) - Supporto tecnico Microsoft)

Nota

L'installazione dei KB di Windows Server supportati disabilita la funzionalità classificazione nel server. Ciò significa che la prevenzione della perdita dei dati dell'endpoint non classifica i file nel server. Tuttavia, la prevenzione della perdita dei dati degli endpoint proteggerà comunque i file nel server classificati prima dell'installazione di tali KB nel server. Per garantire questa protezione, installare Microsoft Defender versione 4.18.23100 (ottobre 2023) o versione successiva.

Per impostazione predefinita, la prevenzione della perdita dei dati degli endpoint non è abilitata per i server Windows quando viene inizialmente eseguito l'onboarding. Prima di visualizzare gli eventi di prevenzione della perdita dei dati degli endpoint per i server in Esplora attività, è necessario attivare il supporto DLP degli endpoint per i server di cui è stato eseguito l'onboarding.

Una volta configurati correttamente, gli stessi criteri di protezione dalla perdita di dati possono essere applicati automaticamente sia ai PC Windows che ai server Windows.

La gestione dei rischi insider usa l'intera gamma di indicatori di servizio e di terze parti per aiutare a identificare rapidamente, eseguire la valutazione e agire su attività rischiose degli utenti. Utilizzando i log di Microsoft 365 e Microsoft Graph, la gestione dei rischi insider consente di definire criteri specifici per identificare gli indicatori di rischio e di intervenire per mitigare questi rischi. Per ulteriori informazioni, vedere Informazioni sulla gestione dei rischi Insider.

L'onboarding dei dispositivi viene condiviso tra Microsoft 365 e Microsoft Defender for Endpoint (MDE). Se sono già stati caricati i dispositivi in MDE, vengono visualizzati nell'elenco dei dispositivi gestiti e non sono necessari altri passaggi per eseguire l'onboarding di tali dispositivi specifici. Anche l'onboarding dei dispositivi nel portale di conformità li esegue l'onboarding in MDE.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione del portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Informazioni preliminari

Licenze per SKU/abbonamenti

Controllare i requisiti di licenza qui.

Autorizzazioni

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere usato solo negli scenari in cui non è possibile usare un ruolo con privilegi inferiori.

Per abilitare la gestione dei dispositivi, l'account in uso deve essere membro di uno di questi ruoli:

• Amministratore globale
• Amministratore della sicurezza
• Amministratore di conformità

Se si vuole usare un account personalizzato per vedere le impostazioni di gestione dei dispositivi, deve essere in uno dei ruoli seguenti:

• Amministratore globale
• Amministratore di conformità
• Amministratore dati di conformità
• Ruolo con autorizzazioni di lettura globali

Se si vuole usare un account personalizzato per accedere alla pagina di onboarding/offboarding, deve essere in uno dei ruoli seguenti:

• Amministratore globale
• Amministratore di conformità

Se si vuole usare un account personalizzato per attivare o disattivare il monitoraggio dei dispositivi, deve essere in uno dei ruoli seguenti:

• Amministratore globale
• Amministratore di conformità

Preparare i dispositivi Windows

Assicurarsi che i dispositivi Windows di cui è necessario eseguire l'onboarding soddisfino questi requisiti.

1. Deve essere in esecuzione una delle build seguenti di Windows o Windows Server:

   1. Windows (X64):
      1. Windows 10 21H2 (vedere i dettagli dell'aggiornamento)
      2. Aggiornamento di Windows 10 22H2 (vedere i dettagli dell'aggiornamento)
   2. Windows (ARM64):
      1. Windows 11 21H2 (vedere i dettagli dell'aggiornamento)
      2. Windows 11 22H2 (vedere i dettagli dell'aggiornamento)
   3. Sistema operativo Windows Server 2019: dal 1809 in poi o dal sistema operativo Windows Server 2022: 21H2 in poi.

2. La versione del client antimalware deve essere 4.18.2110 o successiva. Controllare la versione corrente aprendo l'app Sicurezza di Windows e facendo clic sull'icona impostazioni e quindi su Informazioni. Il numero di versione è elencato in Versione client antimalware. Eseguire l'aggiornamento all'ultima versione del client antimalware installando l'aggiornamento di Windows KB4052623. Per altre informazioni, vedere: Microsoft Defender Antivirus in Windows.

   Importante

   Nessuno dei componenti di sicurezza di Windows deve essere attivo, ma è necessario abilitare la protezione in tempo reale e il monitoraggio del comportamento .

3. Tutti i dispositivi devono essere uno dei seguenti:

   • Microsoft Entra è stato aggiunto
   • Microsoft Entra ibrido aggiunto
   • Microsoft Entra registrato

4. Viene installata e aggiornata una versione supportata di Microsoft 365 Apps. Per una protezione e un'esperienza utente più affidabili, assicurarsi che microsoft 365 Apps versione 16.0.14701.0 o successiva sia installato.

   Nota

   • Se stai usando Office 365 - è necessario KB 4577063.
   • Se sei sul Canale Enterprise mensile di Microsoft 365 Apps versioni 2004-2008, è necessario aggiornare alla versione 2009 o successiva. Vedere Cronologia degli aggiornamenti per Microsoft 365 Apps (elencati in ordine cronologico) per le versioni correnti. Per altre informazioni sul problema noto, vedere la sezione relativa alle famiglia di prodotti di Office di Note sulla versione del Canale corrente nel 2020.

5. Se si dispone di endpoint che utilizzano un proxy del dispositivo per connettersi a Internet, seguire le procedure descritte in Configurazione del proxy del dispositivo e delle impostazioni di connessione internet per Information Protection.

   Importante

   Assicurarsi di consentire MpDlpService.exe tramite il firewall, il software antivirus di terze parti o il controllo dell'applicazione.

Onboarding dei dispositivi Windows 10 o Windows 11

Per poter monitorare e proteggere gli elementi sensibili in un dispositivo, è necessario abilitare il monitoraggio dei dispositivi ed eseguire l'onboarding degli endpoint. Entrambe queste azioni vengono eseguite nel portale di conformità di Microsoft Purview.

Quando si vuole eseguire l'onboarding dei dispositivi che non sono ancora stati caricati, scaricare lo script appropriato e distribuirlo in tali dispositivi. Seguire le procedure di onboarding dei dispositivi riportate di seguito.

Se si dispone già di dispositivi di cui è già stato eseguito l'onboarding in Microsoft Defender per endpoint, questi verranno già visualizzati nell'elenco dei dispositivi gestiti.

In questo scenario di distribuzione si esegue l'onboarding di dispositivi Windows 10 o Windows 11 non ancora caricati.

1. Aprire il portale di conformità di Microsoft Purview. Scegliere Impostazioni>Dispositivi di onboarding del>dispositivo.

   Nota

   Se Microsoft Defender per endpoint è stato distribuito in precedenza, tutti i dispositivi di cui è stato eseguito l'onboarding durante il processo verranno elencati nell'elenco Dispositivi di . Non è necessario eseguirne di nuovo l'onboarding. Anche se in genere sono necessari circa 60 secondi perché l'onboarding dei dispositivi sia abilitato, attendere fino a 30 minuti prima di contattare il supporto tecnico Microsoft.

2. Scegliere Attiva onboarding del dispositivo.

3. Scegliere Onboarding per avviare il processo di onboarding.

4. Scegliere il modo in cui si vuole eseguire la distribuzione in questi altri dispositivi dall'elenco Dei metodi di distribuzione e quindi scaricare il pacchetto.

5. Scegliere la procedura appropriata da seguire nella tabella seguente:

   Articolo	Descrizione
   Intune	Usa gli strumenti di Gestione dei dispositivi mobili o Microsoft Intune per distribuire il pacchetto di configurazione nel dispositivo.
   Configuration Manager	È possibile usare Microsoft Endpoint Configuration Manager (current branch) versione 1606 o Microsoft Endpoint Configuration Manager (current branch) versione 1602 o precedente per distribuire il pacchetto di configurazione nei dispositivi.
   Criteri di gruppo	Usare Criteri di gruppo per distribuire il pacchetto di configurazione nei dispositivi.
   Script locale	Scopri come usare lo script locale per distribuire il pacchetto di configurazione sugli endpoint.
   Dispositivi VDI (Virtual Desktop Infrastructure)	Scopri come usare il pacchetto di configurazione per configurare i dispositivi VDI.

Controllo dello stato del dispositivo

Dopo aver eseguito l'onboarding dei dispositivi, è possibile controllare lo stato dei dispositivi nell'elenco Dispositivi . Controllare prima lo stato della configurazione . Lo stato di configurazione mostra se il dispositivo è configurato correttamente, invia un segnale di heartbeat a Purview e l'ultima volta che la configurazione è stata convalidata. Per i dispositivi Windows, la configurazione include la verifica dello stato della protezione e del monitoraggio del comportamento always-on di Microsoft Defender Antivirus.

Se non sono presenti criteri di prevenzione della perdita dei dati con ambito per il percorso Dispositivi , non verranno visualizzate informazioni valide nel campo Stato sincronizzazione criteri .

Importante

Per informazioni su come risolvere i problemi relativi allo stato di configurazione del dispositivo e allo stato di sincronizzazione dei criteri, vedere Risoluzione dei problemi relativi alla configurazione e alla sincronizzazione dei criteri per la prevenzione della perdita dei dati degli endpoint

Vedere anche

• Informazioni sulla gestione dei rischi Insider
• Informazioni sulla prevenzione della perdita di dati degli endpoint
• Uso della prevenzione della perdita di dati degli endpoint
• Informazioni sulla prevenzione della perdita di dati
• Creare e distribuire criteri di prevenzione della perdita dei dati
• Introduzione a Esplora attività
• Microsoft Defender ATP
• Strumenti e metodi di onboarding per i dispositivi Windows 10
• Abbonamento a Microsoft 365
• Dispositivi aggiunti a Microsoft Entra
• Scaricare il nuovo Microsoft Edge basato su Chromium