Ler em inglês

Compartilhar via


Integrar dispositivos Windows 10 e Windows 11 usando Microsoft Configuration Manager

Aplica-se a:

Integrar dispositivos usando Configuration Manager

  1. Obtenha o arquivo de .zip de pacote de configuração (DeviceComplianceOnboardingPackage.zip) de portal de conformidade do Microsoft Purview.

  2. No painel de navegação, selecione Configurações>Integração de> Dispositivo.

  3. No campo Método de implantação, selecione Microsoft Configuration Manager.

  4. Selecione Baixar pacote e salve o arquivo .zip.

  5. Extraia o conteúdo do arquivo .zip para um local compartilhado e somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote. Você deve ter um arquivo chamado DeviceCompliance.onboarding.

  6. Implante o pacote seguindo as etapas no artigo Pacotes e programas – Configuration Manager.

  7. Escolha uma coleção de dispositivos predefinida para implantar o pacote.

Observação

A proteção de informações do Microsoft 365 não dá suporte à integração durante a fase OOBE (Experiência Fora da Caixa). Verifique se os usuários completam o OOBE depois de executar a instalação ou atualização do Windows.

Dica

É possível criar uma regra de detecção em um aplicativo Configuration Manager para marcar continuamente se um dispositivo tiver sido integrado. Um aplicativo é um tipo de objeto diferente de um pacote e um programa. Se um dispositivo ainda não estiver integrado (devido à conclusão pendente do OOBE ou qualquer outro motivo), Configuration Manager tentará novamente integrar o dispositivo até que a regra detecte a alteração status.

Esse comportamento pode ser realizado criando uma regra de detecção para determinar se o valor do OnboardingState registro (do tipo REG_DWORD) = 1. Esse valor de registro está localizado em HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Para obter mais informações, consulte Opções de método de detecção de tipo de implantação.

Configurar configurações de coleção de exemplo

Para cada dispositivo, você pode definir um valor de configuração para afirmar se os exemplos podem ser coletados do dispositivo quando uma solicitação é feita por meio de Central de Segurança do Microsoft Defender enviar um arquivo para análise profunda.

Observação

Normalmente, essas configurações são feitas por meio de Configuration Manager.

Você pode definir uma regra de conformidade para o item de configuração no Configuration Manager para alterar a configuração de compartilhamento de exemplo em um dispositivo.

Essa regra deve ser um item de configuração de regra de conformidade de correção que define o valor de uma chave de registro em dispositivos de destino para garantir que eles estejam reclamando.

A configuração é definida por meio da seguinte entrada de chave do registro:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Onde:

O tipo de chave é um D-WORD.

Os valores possíveis são:

  • 0 – não permite o compartilhamento de exemplo deste dispositivo
  • 1 – permite o compartilhamento de todos os tipos de arquivo deste dispositivo

O valor padrão caso a chave do registro não exista é 1. Configuration Manager, consulte Create itens de configuração personalizados para computadores windows desktop e servidor gerenciados com o cliente Configuration Manager.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Depois de integrar dispositivos ao serviço, é importante aproveitar os recursos de proteção contra ameaças incluídos, habilitando-os com as seguintes configurações recomendadas.

Configuração de proteção de próxima geração

As seguintes configurações são recomendadas:

Examinar

  • Examinar dispositivos de armazenamento removíveis, como unidades USB: Sim

Proteção em tempo real

  • Habilitar monitoramento comportamental: sim
  • Habilitar a proteção contra aplicativos potencialmente indesejados no download e antes da instalação: Sim

Serviço de Proteção de Nuvem

  • Tipo de associação do Serviço de Proteção na Nuvem: Associação avançada

Redução da superfície de ataque Configure todas as regras disponíveis para Auditoria.

Observação

Bloquear essas atividades pode interromper processos comerciais legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e habilitar essas configurações em pontos de extremidade que não têm detecções falsas positivas.

Proteção de rede

Antes de habilitar a proteção de rede no modo de auditoria ou bloco, verifique se você instalou a atualização da plataforma antimalware, que pode ser obtida na página de suporte.

Acesso controlado a pastas

Habilite o recurso no modo de auditoria por pelo menos 30 dias. Após esse período, examine as detecções e crie uma lista de aplicativos que podem ser gravados em diretórios protegidos.

Para obter mais informações, consulte Avaliar o acesso controlado à pasta.

Dispositivos de offboard usando Configuration Manager

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado. Pacotes de offboard expirados enviados para um dispositivo serão rejeitados. Ao baixar um pacote de offboarding, você será notificado sobre a data de validade dos pacotes e ele também será incluído no nome do pacote.

Observação

As políticas de integração e de integração não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.

Dispositivos de offboard usando Microsoft Configuration Manager branch atual

Se você usar Microsoft Configuration Manager branch atual, consulte Create um arquivo de configuração de offboarding.

Monitorar a configuração do dispositivo

Com Microsoft Configuration Manager branch atual, use o Microsoft Defender para Ponto de Extremidade dashboard interno no console Configuration Manager. Para obter mais informações, consulte Microsoft Defender Proteção Avançada contra Ameaças – Monitor.

Verifique se os dispositivos estão em conformidade com o serviço de prevenção de perda de dados do Ponto de Extremidade

Você pode definir uma regra de conformidade para o item de configuração no Configuration Manager para monitorar sua implantação.

Observação

Esse procedimento e a entrada do registro se aplicam ao DLP do Ponto de Extremidade, bem como ao Defender para Ponto de Extremidade.

Essa regra deve ser um item de configuração de regra de conformidade não corretiva que monitora o valor de uma chave de registro em dispositivos de destino.

Monitore a seguinte entrada de chave do registro:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Para obter mais informações, consulte Planejar e configurar configurações de conformidade.