グループ ポリシーを使用してWindows 10デバイスとWindows 11をオンボードする

適用対象:

• エンドポイントのデータ損失防止
• インサイダー リスク管理
• グループ ポリシー

注:

グループ ポリシー (GP) 更新プログラムを使用してパッケージを展開するには、Windows Server 2008 R2 以降を使用している必要があります。

Windows Server 2019 の場合、NT AUTHORITY\Well-Known-System-Account を、グループ ポリシー基本設定で作成される XML ファイルの NT AUTHORITY\SYSTEM に置き換える必要がある場合があります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

グループ ポリシーを使用してデバイスをオンボードする

1. コンプライアンス センターを開きます。

2. ナビゲーション ウィンドウで、[デバイスのオンボードの設定]> を選択します。

3. [ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。

4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

5. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy というフォルダーと DeviceComplianceLocalOnboardingScript.cmd ファイルが必要です。

6. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、［編集］ をクリックします。

7. ［グループ ポリシー管理エディター］ で、［コンピューター構成］ に移動します。そして ［ユーザー設定］ をし、［コントロール パネルの設定］ を行ないます。

8. ［スケジュールされたタスク］ を右クリックします。［新規作成］ をポイントし、［イミディエイト タスク］ (Windows 7 以上) をクリックします。

9. ［タスク］ ウィンドウが開いたら、［一般］ タブに移動します。［セキュリティ オプション］ で、［ユーザーまたはグループを変更］ をクリックし、「SYSTEM」と入力します。［名前を確認］ をクリックし、［OK］ をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

10. ［ユーザーがログオンしているかどうかに関係なく実行する］ を選択し、［最高の権限で実行する］ チェックボックスをオンにします。

11. [アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 WindowsDefenderATPOnboardingScript.cmd ファイルのファイル名と場所を入力します。

12. [ OK] を クリックし、開いている GPMC ウィンドウを閉じます。

グループ ポリシーを使用してデバイスをオフボードする

セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 30 日後に有効期限が切れます。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。

注:

オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。

1. Microsoft Purview コンプライアンス ポータルからオフボード パッケージを取得します。

2. ナビゲーション ウィンドウで、[設定>]、[デバイス オンボード][オフボード] の順に>選択します。

3. [ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。

4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

5. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。

6. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、［編集］ をクリックします。

7. グループ ポリシー管理エディターで、[コンピューターの構成]、[基本設定]、[コントロール パネルの設定] の順に移動します。

8. [ スケジュールされたタスク] を右クリックし、[ 新規] をポイントし、[ イミディエイト タスク] をクリックします。

9. 開いた [タスク ] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション] でローカル SYSTEM ユーザー アカウント (BUILTIN\SYSTEM) を選択します。

10. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の特権を持つ実行] チェックボックスをチェックします。

11. [アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 DeviceComplianceOffboardingScript_valid_until_YYYY MM-DD.cmd ファイルのファイル名と場所を入力します。

12. [ OK] を クリックし、開いている GPMC ウィンドウを閉じます。

重要

オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータは停止します。

デバイスの構成を監視する

グループ ポリシーでは、デバイス上のポリシーの展開を監視するオプションはありません。 監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。

ポータルを使用してデバイスを監視する

1. Microsoft Purview コンプライアンス ポータルに移動します。
2. [ デバイス の一覧] をクリックします。
3. デバイスが表示されていることを確認します。

注:

デバイスの 一覧への表示が開始されるまでに数日かかる場合があります。 これには、ポリシーがデバイスに配布されるまでにかかる時間、ユーザーがログオンするまでにかかる時間、エンドポイントがレポートを開始するのにかかる時間が含まれます。

関連項目

• Microsoft Endpoint Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
• モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
• ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
• 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
• 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
• Advanced Threat Protection のオンボードに関する問題Microsoft Defenderトラブルシューティングする