Panoramica dell'onboarding dei dispositivi Windows in Microsoft 365

Articolo
04/15/2024

Si applica a:

La prevenzione della perdita di dati degli endpoint (DLP degli endpoint) e la gestione dei rischi Insider richiedono che i dispositivi Windows 10 e Windows 11 vengano caricati nel servizio in modo che possano inviare i dati di monitoraggio ai servizi.

La prevenzione della perdita di dati degli endpoint consente di monitorare i dispositivi Windows 10 o 11 e rilevare l'uso e la condivisione di elementi sensibili. In questo modo si ottengono la visibilità e il controllo necessari per assicurarsi che vengano usati e protetti correttamente e per evitare comportamenti rischiosi che potrebbero comprometterli. Per altre informazioni su tutte le offerte DLP di Microsoft, vedere Panoramica sulla prevenzione della perdita dei dati. Per ulteriori informazioni su Endpoint DLP, vedere Informazioni sulla prevenzione della perdita dei dati degli endpoint.

La prevenzione della perdita dei dati degli endpoint consente anche di eseguire l'onboarding dei dispositivi che eseguono le versioni seguenti di Windows Server:

Windows Server 2019 (14 novembre 2023— KB5032196 (build del sistema operativo 17763.5122) - supporto tecnico Microsoft)
Windows Server 2022 (aggiornamento della sicurezza del 14 novembre 2023 (KB5032198) - supporto tecnico Microsoft)

Nota

L'installazione dei KB di Windows Server supportati disabilita la funzionalità classificazione nel server. Ciò significa che la prevenzione della perdita dei dati dell'endpoint non classifica i file nel server. Tuttavia, la prevenzione della perdita dei dati degli endpoint proteggerà comunque i file nel server classificati prima dell'installazione di tali KB nel server. Per garantire questa protezione, installare Microsoft Defender versione 4.18.23100 (ottobre 2023) o versione successiva.

Per impostazione predefinita, la prevenzione della perdita dei dati degli endpoint non è abilitata per i server Windows quando viene inizialmente eseguito l'onboarding. Prima di visualizzare gli eventi di prevenzione della perdita dei dati degli endpoint per i server in Esplora attività, è necessario attivare il supporto DLP degli endpoint per i server di cui è stato eseguito l'onboarding.

Una volta configurati correttamente, gli stessi criteri di protezione dalla perdita di dati possono essere applicati automaticamente sia ai PC Windows che ai server Windows.

La gestione dei rischi insider usa l'intera gamma di indicatori di servizio e di terze parti per aiutare a identificare rapidamente, eseguire la valutazione e agire su attività rischiose degli utenti. Utilizzando i log di Microsoft 365 e Microsoft Graph, la gestione dei rischi insider consente di definire criteri specifici per identificare gli indicatori di rischio e di intervenire per mitigare questi rischi. Per ulteriori informazioni, vedere Informazioni sulla gestione dei rischi Insider.

L'onboarding dei dispositivi viene condiviso tra Microsoft 365 e Microsoft Defender for Endpoint (MDE). Se sono già stati caricati i dispositivi in MDE, verranno visualizzati nell'elenco dei dispositivi gestiti e non sono necessari altri passaggi per eseguire l'onboarding di tali dispositivi specifici. Anche l'onboarding dei dispositivi nel portale di conformità li esegue l'onboarding in MDE.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Informazioni preliminari

Licenze per SKU/abbonamenti

Controllare i requisiti di licenza qui.

Autorizzazioni

Per abilitare la gestione dei dispositivi, l'account in uso deve essere membro di uno di questi ruoli:

Amministratore globale
Amministratore della sicurezza
Amministratore di conformità

Se si vuole usare un account personalizzato per vedere le impostazioni di gestione dei dispositivi, deve essere in uno dei ruoli seguenti:

Amministratore globale
Amministratore di conformità
Amministratore dati di conformità
Ruolo con autorizzazioni di lettura globali

Se si vuole usare un account personalizzato per accedere alla pagina di onboarding/offboarding, deve essere in uno dei ruoli seguenti:

Amministratore globale
Amministratore di conformità

Se si vuole usare un account personalizzato per attivare o disattivare il monitoraggio dei dispositivi, deve essere in uno dei ruoli seguenti:

Amministratore globale
Amministratore di conformità

Preparare i dispositivi Windows

Assicurarsi che i dispositivi Windows di cui è necessario eseguire l'onboarding soddisfino questi requisiti.

Deve essere in esecuzione una delle build seguenti di Windows o Windows Server:
1. Windows (X64):
  1. Windows 10 21H2 (vedere i dettagli dell'aggiornamento)
  2. Windows 10 aggiornamento 22H2 (vedere i dettagli dell'aggiornamento)
2. Windows (ARM64):
  1. Windows 11 21H2 (vedere i dettagli dell'aggiornamento)
  2. Windows 11 22H2 (vedere i dettagli dell'aggiornamento)
3. Sistema operativo Windows Server 2019: dal 1809 in poi o dal sistema operativo Windows Server 2022: 21H2 in poi.
La versione del client antimalware deve essere 4.18.2110 o successiva. Controllare la versione corrente aprendo l'app Sicurezza di Windows e facendo clic sull'icona impostazioni e quindi su Informazioni. Il numero di versione è elencato in Versione client antimalware. Eseguire l'aggiornamento all'ultima versione del client antimalware installando l'aggiornamento di Windows KB4052623. Per altre informazioni, vedere: Microsoft Defender Antivirus in Windows.

Importante

Nessuno dei componenti Sicurezza di Windows deve essere attivo, ma è necessario abilitare la protezione in tempo reale e il monitoraggio del comportamento.
Tutti i dispositivi devono essere uno dei seguenti:
Viene installata e aggiornata una versione supportata di Microsoft 365 Apps. Per una protezione e un'esperienza utente più affidabili, assicurarsi che sia installata Microsoft 365 Apps versione 16.0.14701.0 o successiva.
Nota
- Se stai usando Office 365 - è necessario KB 4577063.
- Se sei sul Canale Enterprise mensile di Microsoft 365 Apps versioni 2004-2008, è necessario aggiornare alla versione 2009 o successiva. Vedere Cronologia degli aggiornamenti per Microsoft 365 Apps (elencati in ordine cronologico) per le versioni correnti. Per altre informazioni sul problema noto, vedere la sezione relativa alle famiglia di prodotti di Office di Note sulla versione del Canale corrente nel 2020.
Se si dispone di endpoint che utilizzano un proxy del dispositivo per connettersi a Internet, seguire le procedure descritte in Configurazione del proxy del dispositivo e delle impostazioni di connessione internet per Information Protection.

Importante

Assicurarsi di consentire MpDlpService.exe tramite il firewall, il software antivirus di terze parti o il controllo dell'applicazione.

Onboarding dei dispositivi Windows 10 o Windows 11

Per poter monitorare e proteggere gli elementi sensibili in un dispositivo, è necessario abilitare il monitoraggio dei dispositivi ed eseguire l'onboarding degli endpoint. Entrambe queste azioni vengono eseguite nel portale di conformità di Microsoft Purview.

Quando si vuole eseguire l'onboarding dei dispositivi che non sono ancora stati caricati, scaricare lo script appropriato e distribuirlo in tali dispositivi. Seguire le procedure di onboarding dei dispositivi riportate di seguito.

Se si dispone già di dispositivi di cui è già stato eseguito l'onboarding in Microsoft Defender per endpoint, questi verranno già visualizzati nell'elenco dei dispositivi gestiti.

In questo scenario di distribuzione si esegue l'onboarding di Windows 10 o dispositivi Windows 11 non ancora caricati.

Aprire il portale di conformità di Microsoft Purview. Scegliere Impostazioni>Dispositivi di onboarding del>dispositivo.

Nota

Se Microsoft Defender per endpoint è stato distribuito in precedenza, tutti i dispositivi di cui è stato eseguito l'onboarding durante il processo verranno elencati nell'elenco Dispositivi di . Non è necessario eseguirne di nuovo l'onboarding. Anche se in genere sono necessari circa 60 secondi perché l'onboarding dei dispositivi sia abilitato, attendere fino a 30 minuti prima di contattare il supporto tecnico Microsoft.
Scegliere Attiva onboarding del dispositivo.
Scegliere Onboarding per avviare il processo di onboarding.
Scegliere il modo in cui si vuole eseguire la distribuzione in questi altri dispositivi dall'elenco Dei metodi di distribuzione e quindi scaricare il pacchetto.

Scegliere la procedura appropriata da seguire nella tabella seguente:

Articolo	Descrizione
Intune	Usa gli strumenti di Gestione dei dispositivi mobili o Microsoft Intune per distribuire il pacchetto di configurazione nel dispositivo.
Configuration Manager	È possibile usare Microsoft Endpoint Configuration Manager (current branch) versione 1606 o Microsoft Endpoint Configuration Manager (current branch) versione 1602 o precedente per distribuire il pacchetto di configurazione nei dispositivi.
Criteri di gruppo	Usare Criteri di gruppo per distribuire il pacchetto di configurazione nei dispositivi.
Script locale	Scopri come usare lo script locale per distribuire il pacchetto di configurazione sugli endpoint.
Dispositivi VDI (Virtual Desktop Infrastructure)	Scopri come usare il pacchetto di configurazione per configurare i dispositivi VDI.

Configurazione del dispositivo e stato di sincronizzazione dei criteri

È possibile controllare lo stato di configurazione e lo stato di sincronizzazione dei criteri di tutti i dispositivi di cui è stato eseguito l'onboarding nell'elenco Dispositivi . Per altre informazioni sulla configurazione e sullo stato dei criteri, selezionare un dispositivo di cui è stato eseguito l'onboarding per aprire il riquadro dei dettagli.

Lo stato di configurazione mostra se il dispositivo è configurato correttamente, invia un segnale di heartbeat a Purview e l'ultima volta che la configurazione è stata convalidata. Per i dispositivi Windows, la configurazione include il controllo dello stato di Microsoft Defender la protezione e il monitoraggio del comportamento always-on antivirus.

Lo stato di sincronizzazione dei criteri mostra se il dispositivo ha ricevuto la versione più recente dei criteri o se i criteri corrispondenti sono stati sincronizzati correttamente con il dispositivo.

Valore del campo	Stato della configurazione	Stato di sincronizzazione dei criteri
Aggiornato	I parametri di integrità del dispositivo sono abilitati e impostati correttamente.	Il dispositivo è stato aggiornato con le versioni correnti dei criteri.
Non aggiornato	È necessario abilitare le impostazioni di configurazione per questo dispositivo. Seguire le procedure in Microsoft Defender protezione antivirus always-on	Questo dispositivo non ha sincronizzato gli aggiornamenti dei criteri più recenti. Se l'aggiornamento dei criteri è stato eseguito nelle ultime 2 ore, attendere che i criteri raggiungano il dispositivo.
Non disponibile	Le proprietà del dispositivo non sono disponibili nell'elenco dei dispositivi. Questo potrebbe essere dovuto al fatto che il dispositivo non soddisfa la versione minima del sistema operativo o la configurazione o se il dispositivo è stato appena caricato.	Le proprietà del dispositivo non sono disponibili nell'elenco dei dispositivi. Questo potrebbe essere dovuto al fatto che il dispositivo non soddisfa la versione minima del sistema operativo o la configurazione o se il dispositivo è stato appena caricato.

Il riflesso dello stato di sincronizzazione nel dashboard può richiedere fino a 2 ore. I dispositivi devono essere online per consentire l'aggiornamento dei criteri. Se lo stato non viene aggiornato, controllare l'ultima volta che il dispositivo è stato visualizzato.