Aggiungere dispositivi con Criteri di gruppo

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche del prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Si applica a:

• Criteri di gruppo
• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Nota

Per usare gli aggiornamenti di Criteri di gruppo (GP) per distribuire il pacchetto, devi essere in Windows Server 2008 R2 o versioni successive.

Per Windows Server 2019 e Windows Server 2022, potrebbe essere necessario sostituire NT AUTHORITY\Well-Known-System-Account con NT AUTHORITY\SYSTEM del file XML creato dalla preferenza Criteri di gruppo.

Nota

Se si usa la nuova soluzione di Microsoft Defender per endpoint unificata per Windows Server 2012 R2 e 2016, assicurarsi di usare i file ADMX più recenti nell'archivio centrale per ottenere l'accesso alle opzioni corrette dei criteri di Microsoft Defender per endpoint. Fare riferimento a Come creare e gestire l'archivio centrale per Criteri di gruppo modelli amministrativi in Windows e scaricare i file più recenti da usare con Windows 10.

Vedere Identificare l'architettura e il metodo di distribuzione di Defender per endpoint per visualizzare i vari percorsi nella distribuzione di Defender per endpoint.

1. Aprire il file del pacchetto di configurazione criteri di gruppo (WindowsDefenderATPOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio. È anche possibile ottenere il pacchetto dal portale di Microsoft Defender:

   1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOnboarding.

   2. Selezionare il sistema operativo.

   3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.

   4. Fare clic su Scarica pacchetto e salvare il file .zip.

2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. È necessario avere una cartella denominata OptionalParamsPolicy e il file WindowsDefenderATPOnboardingScript.cmd.

3. Per creare un nuovo oggetto Criteri di gruppo, aprire la console di gestione Criteri di gruppo, fare clic con il pulsante destro del mouse su Criteri di gruppo Oggetti da configurare e scegliere Nuovo. Immettere il nome del nuovo oggetto Criteri di gruppo nella finestra di dialogo visualizzata e fare clic su OK.

4. Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

5. Nella Editor gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.

6. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata (almeno Windows 7).

7. Nella finestra Attività visualizzata passare alla scheda Generale . In Opzioni di sicurezza fare clic su Modifica utente o gruppo e digitare SISTEMA, quindi fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.

8. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .

9. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender per la distribuzione di endpoint.

10. Passare alla scheda Azioni e selezionare Nuovo... Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Immettere il percorso UNC, usando il nome di dominio completo (FQDN) del file di WindowsDefenderATPOnboardingScript.cmd condiviso del file.

11. Selezionare OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.

12. Per collegare l'oggetto Criteri di gruppo a un'unità organizzativa (OU), fare clic con il pulsante destro del mouse e scegliere Collega un oggetto Criteri di gruppo esistente. Nella finestra di dialogo visualizzata selezionare l'oggetto Criteri di gruppo da collegare. Fare clic su OK.

Consiglio

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che il dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Defender per endpoint appena caricato.

Impostazioni di configurazione aggiuntive di Defender per endpoint

Per ogni dispositivo, è possibile indicare se è possibile raccogliere campioni dal dispositivo quando viene effettuata una richiesta tramite Microsoft Defender XDR per inviare un file per un'analisi approfondita.

È possibile usare Criteri di gruppo (Gp) per configurare le impostazioni, ad esempio le impostazioni per la condivisione di esempi usata nella funzionalità di analisi approfondita.

Configurare le impostazioni della raccolta di esempi

1. Nel dispositivo di gestione criteri di gruppo copiare i file seguenti dal pacchetto di configurazione:

   • Copiare AtpConfiguration.admx in C:\Windows\PolicyDefinitions

   • Copiare AtpConfiguration.adml in C:\Windows\PolicyDefinitions\en-US

   Se si usa un archivio centrale per Criteri di gruppo modelli amministrativi, copiare i file seguenti dal pacchetto di configurazione:

   • Copiare AtpConfiguration.admx in \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

   • Copiare AtpConfiguration.adml in \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

2. Aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

3. Nella Editor gestione Criteri di gruppo passare a Configurazione computer.

4. Fare clic su Criteri, quindi su Modelli amministrativi.

5. Fare clic su Componenti di Windows e quindi Windows Defender ATP.

6. Scegliere di abilitare o disabilitare la condivisione di esempi dai dispositivi.

Nota

Se non si imposta un valore, il valore predefinito consiste nell'abilitare la raccolta di esempi.

Altre impostazioni di configurazione consigliate

Aggiornare la configurazione di Endpoint Protection

Dopo aver configurato lo script di onboarding, continuare a modificare gli stessi criteri di gruppo per aggiungere configurazioni di Endpoint Protection. Eseguire modifiche ai criteri di gruppo da un sistema che esegue Windows 10 o Server 2019, Windows 11 o Windows Server 2022 per assicurarsi di disporre di tutte le funzionalità necessarie Microsoft Defender Antivirus. Potrebbe essere necessario chiudere e riaprire l'oggetto Criteri di gruppo per registrare le impostazioni di configurazione di Defender ATP.

Tutti i criteri si trovano in Computer Configuration\Policies\Administrative Templates.

Percorso dei criteri: \Componenti di Windows\Windows Defender ATP

Criteri	Impostazione
Abilitare\Disabilitare la raccolta di esempi	Abilitato - "Abilita raccolta di esempi nei computer" selezionata

Percorso dei criteri: \Componenti di Windows\Microsoft Defender Antivirus

Criteri	Impostazione
Configurare il rilevamento per le applicazioni potenzialmente indesiderate	Abilitato, Blocca

Percorso dei criteri: \Componenti di Windows\Microsoft Defender Antivirus\MAPS

Criteri	Impostazione
Partecipare a Microsoft MAPS	Abilitato, Mappe avanzate
Inviare esempi di file quando è necessaria un'ulteriore analisi	Abilitato, Inviare esempi sicuri

Percorso dei criteri: \Componenti di Windows\Microsoft Defender Antivirus\Protezione in tempo reale

Criteri	Impostazione
Disattivare la protezione in tempo reale	Disabilitato
Attivare il monitoraggio del comportamento	Abilitato
Analizzare tutti i file e gli allegati scaricati	Abilitato
Monitorare l'attività di file e programmi nel computer	Abilitato

Percorso dei criteri: \Componenti di Windows\Microsoft Defender Antivirus\Scan

Queste impostazioni configurano analisi periodiche dell'endpoint. È consigliabile eseguire un'analisi rapida settimanale, consentendo le prestazioni.

Criteri	Impostazione
Prima di eseguire un'analisi pianificata, verificare la disponibilità di informazioni di sicurezza di virus e spyware più recenti	Abilitato

Percorso dei criteri: \Componenti di Windows\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Riduzione della superficie di attacco

Ottenere l'elenco corrente delle regole di riduzione della superficie di attacco GUID dalla distribuzione delle regole di riduzione della superficie di attacco Passaggio 3: Implementare le regole asr. Per altre informazioni dettagliate sulle regole, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco

1. Aprire il criterio Configura riduzione superficie di attacco .

2. Selezionare Abilitato.

3. Selezionare il pulsante Mostra .

4. Aggiungere ogni GUID nel campo Nome valore con valore 2.

   In questo modo, ognuna verrà configurata solo per il controllo.

   

Criteri	Posizione	Impostazione
Configurare l'accesso controllato alle cartelle	\Componenti di Windows\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Accesso controllato alle cartelle	Abilitato, modalità di controllo

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato.

Dispositivi offboard con Criteri di gruppo

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Quando si scarica un pacchetto di offboarding, si riceverà una notifica della data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà conflitti imprevedibili.

1. Ottenere il pacchetto di offboarding dal portale di Microsoft Defender:

   1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOffboarding.

   2. Selezionare il sistema operativo.

   3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.

   4. Fare clic su Scarica pacchetto e salvare il file .zip.

2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. È necessario disporre di un file denominato WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

4. Nella Editor gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.

5. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata.

6. Nella finestra Attività visualizzata passare alla scheda Generale in Opzioni di sicurezza e selezionare Modifica utente o gruppo, immettere SISTEMA, quindi selezionare Controlla nomi e quindi OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.

7. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .

8. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender per la distribuzione di endpoint.

9. Passare alla scheda Azioni e selezionare Nuovo. Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Immettere il percorso UNC, usando il nome di dominio completo (FQDN) del file di WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd condiviso del file.

10. Selezionare OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale, ma i dati dal dispositivo, incluso il riferimento agli avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.

Monitorare la configurazione del dispositivo

Con Criteri di gruppo non è disponibile un'opzione per monitorare la distribuzione dei criteri nei dispositivi. Il monitoraggio può essere eseguito direttamente nel portale o usando i diversi strumenti di distribuzione.

Monitorare i dispositivi tramite il portale

1. Passare al portale di Microsoft Defender.
2. Fare clic su Inventario dispositivi.
3. Verificare che i dispositivi vengano visualizzati.

Nota

L'avvio della visualizzazione dei dispositivi nell'elenco Dispositivi può richiedere diversi giorni. Ciò include il tempo necessario per distribuire i criteri al dispositivo, il tempo necessario prima che l'utente accerchi e il tempo necessario all'endpoint per avviare la creazione di report.

Configurare i criteri di Defender AV

Creare un nuovo Criteri di gruppo o raggruppare queste impostazioni in con gli altri criteri. Ciò dipende dall'ambiente del cliente e dal modo in cui vuole implementare il servizio indirizzando unità organizzative (OU) diverse.

1. Dopo aver scelto il Criteri di gruppo o averne creato uno nuovo, modificare il Criteri di gruppo.

2. Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Protezione antivirus>in tempo reale.

   

3. Nella cartella Quarantena configurare la rimozione degli elementi dalla cartella Quarantena.

   

   

4. Nella cartella Analisi configurare le impostazioni di analisi.

   

Monitorare tutti i file in protezione in tempo reale

Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Protezione antivirus>in tempo reale.

Configurare Windows Defender impostazioni SmartScreen

1. Passare aCriteri>di configurazione> computerModelli> amministrativiComponenti> di Windows Windows Defender Esplora smartscreen>.

   

2. Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti> di Windows Windows DefenderMicrosoft EdgeSmartScreen>.

   

Configurare applicazioni potenzialmente indesiderate

Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus.

Configurare Cloud Deliver Protection e inviare automaticamente gli esempi

Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Mappe antivirus>.

Nota

L'opzione Invia tutti gli esempi fornirà la maggior parte dell'analisi di file binari/script/documenti che aumenta il comportamento di sicurezza. L'opzione Invia esempi sicuri limita il tipo di file binari/script/documenti da analizzare e riduce il comportamento di sicurezza.

Per altre informazioni, vedere Attivare la protezione cloud in Microsoft Defender Antivirus e Protezione cloud e invio di esempi in Microsoft Defender Antivirus.

Verificare la presenza di un aggiornamento della firma

Passare a Computer ConfigurationPolicies Administrative Templates Windows Components Microsoft Defender AntivirusSecurity Intelligence Aggiornamenti.Browse to Computer Configuration >Policies>Administrative Templates>Windows Components>Microsoft Defender Antivirus> Security Intelligence Aggiornamenti.

Configurare il timeout e il livello di protezione per la distribuzione cloud

Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Antivirus>MpEngine. Quando si configurano i criteri a livello di protezione cloud su Criteri di blocco predefinito Microsoft Defender Antivirus, il criterio verrà disabilitato. Questo è ciò che è necessario per impostare il livello di protezione sul valore predefinito di Windows.

Argomenti correlati

• Aggiungere dispositivi con Microsoft Endpoint Configuration Manager
• Onboarding di dispositivi Windows 10 con gli strumenti di Gestione dispositivi mobili
• Onboarding di dispositivi Windows 10 con uno script locale
• Aggiungere dispositivi VDI (Virtual Desktop Infrastructure) non persistenti
• Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato
• Risolvere i problemi di onboarding Microsoft Defender per endpoint

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.