Condividi tramite

Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 con Microsoft Configuration Manager

  • Articolo

Si applica a:

Sistemi operativi client supportati

È possibile eseguire l'onboarding dei sistemi operativi seguenti usando Configuration Manager:

  • Windows 11

  • Windows 10, versione 1709 o successiva

Importante

Quando si esegue l'onboarding di sistemi in Microsoft Purview per endpoint, segnalano anche a Defender per endpoint, anche se è in uso una soluzione antivirus o antimalware diversa. In questi casi, questi sistemi segnaleranno a Defender per endpoint in modalità passiva, assicurandosi che non vi siano interferenze con la soluzione antivirus o antimalware esistente.

Onboarding in Microsoft Purview per endpoint con Configuration Manager

In Configuration Manager configurare le impostazioni di Endpoint Protection come indicato di seguito per assicurarsi che il client riconosca il file di configurazione.

  • Impostare Gestisci client di Endpoint Protection nei computer su.

  • Il client Install Endpoint Protection nei computer client può essere impostato su No.

Nota

Ciò consente ai client di ricevere il file di configurazione da Configuration Manager. Se non si attiva questo comando, il file di configurazione potrebbe non essere distribuito nei client.

  • Impostare il client Microsoft Defender per endpoint in Windows Server 2012 R2 e Windows Server 2016 su MDE client (scelta consigliata).

Distribuire questa configurazione delle impostazioni client nelle raccolte usate per eseguire l'onboarding dei sistemi.

Eseguire l'onboarding dei dispositivi usando Configuration Manager

  1. Ottenere il pacchetto di configurazione .zip file (DeviceComplianceOnboardingPackage.zip) dal portale di Microsoft Purview.

  2. Nel riquadro di spostamento selezionare Impostazioni>Onboarding dispositivo>.

  3. Nel campo Seleziona sistema operativo per avviare il processo di onboarding selezionare Windows 10 e quindi nel campo Metodo di distribuzione selezionare Microsoft Endpoint Configuration Manager.

  4. Selezionare Scarica pacchetto e salvare il file .zip.

  5. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dalla console di Configuration Manager per la distribuzione. Verificare che il file denominato DeviceCompliance.onboarding sia presente.

Eseguire l'onboarding dei dispositivi

  1. Nella console Configuration Manager passare ad Asset e criteridi endpoint> di conformità >Microsoft Defender per endpoint.

    Nota

    Microsoft Purview e Microsoft Defender per endpoint usano lo stesso metodo per connettersi agli ambienti di sicurezza cloud Microsoft.

  2. Selezionare Crea criteri Microsoft Defender per endpoint per aprire la procedura guidata dei criteri.

  3. Selezionare Accetto queste condizioni di licenza e gli aggiornamenti automatici di entrambi gli agenti. Digitare quindi nome e descrizione per i criteri di Microsoft Defender per endpoint e selezionare Onboarding.

  4. Selezionare Sfoglia e passare al file di configurazione estratto dal file di .zip scaricato.

    Nota

    Non sono necessari la chiave dell'area di lavoro e l'ID area di lavoro per Windows 10 e 11.

    Seleziona Avanti.

  5. Specificare gli esempi di file raccolti e condivisi dai dispositivi gestiti per l'analisi.

    • Nessuna

    • Tutti i tipi di file

  6. Esaminare il riepilogo e completare la procedura guidata.

  7. Fare clic con il pulsante destro del mouse sui criteri creati, scegliere Distribuisci e quindi scegliere una raccolta in cui distribuire il criterio Microsoft Defender per endpoint.

Monitoraggio

  1. Nella console Configuration Manager passare a Monitoraggio>delle distribuzioni e quindi selezionare la distribuzione creata per la distribuzione dei criteri di Defender per endpoint.

  2. Fare clic su Visualizza stato per esaminare le informazioni. In Conforme è possibile visualizzare lo stato dei sistemi di onboarding. I sistemi non ancora caricati possono essere visualizzati nella scheda Sconosciuto .

Nota

Questo processo potrebbe richiedere del tempo e potrebbe essere necessario riavviare il sistema per rendere effettive le modifiche.

Dispositivi offboard con Configuration Manager

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Quando si scarica un pacchetto di offboarding, si riceverà una notifica della data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causa conflitti imprevedibili.

Dispositivi offboard che usano Microsoft Configuration Manager current branch

Se si usa Microsoft Configuration Manager current branch, vedere Creare un file di configurazione offboarding.

Creare un file di configurazione di offboarding

  1. Accedere alla console di Microsoft Purview.

  2. Selezionare Impostazioni, quindi Device onboarding (Onboarding del dispositivo ) e quindi Offboarding (Offboarding ) sotto l'intestazione onboarding .

  3. Selezionare Windows 10 per il sistema operativo e Microsoft Endpoint Configuration Manager per il metodo di distribuzione.

    • L'uso dell'opzione Windows 10 garantisce che tutti i dispositivi nella raccolta siano disattivati e che l'MMA venga disinstallato quando necessario.

  4. Scaricare il file di archivio compresso (.zip) ed estrarre il contenuto. I file di offboarding sono validi per 30 giorni.

  5. Nella console Configuration Manager passare ad Asset e Conformità>Endpoint Protection>Microsoft Defender Per criteri endpoint e selezionare Crea criteri di Microsoft Defender per endpoint. Viene aperta la creazione guidata criteri.

  6. Digitare il nome e la descrizione per i criteri di Microsoft Defender per endpoint e selezionare Offboarding.

  7. Passare al file di configurazione estratto dal file di .zip scaricato.

  8. Esaminare il riepilogo e completare la procedura guidata.

  9. Selezionare Distribuisci per impostare come destinazione i criteri di Microsoft Defender per endpoint ai client che si desidera eseguire l'offboarding da Purview.

Importante

I file di configurazione di Microsoft Purview per endpoint contengono informazioni riservate che devono essere mantenute sicure.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Monitorare la configurazione del dispositivo

Con Microsoft Configuration Manager current branch, usare il dashboard Microsoft Defender per endpoint predefinito nella console di Configuration Manager. Per altre informazioni, vedere Microsoft Defender Advanced Threat Protection - Monitor.

Verificare che i dispositivi siano conformi al servizio di prevenzione della perdita di dati degli endpoint

È possibile impostare una regola di conformità per l'elemento di configurazione in Configuration Manager per monitorare la distribuzione.

Nota

Questa procedura e la voce del Registro di sistema si applicano a Endpoint DLP e Defender per endpoint.

Questa regola deve essere un elemento di configurazione delle regole di conformità non correttivo che monitora il valore di una chiave del Registro di sistema nei dispositivi di destinazione.

Monitorare la voce di chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Per altre informazioni, vedere Pianificare e configurare le impostazioni di conformità.