Прочитать на английском

Поделиться через


Подключение устройств Windows 10 и Windows 11 с помощью Microsoft Configuration Manager

Область применения:

Подключение устройств с помощью Configuration Manager

  1. Получите файл .zip пакета конфигурации (DeviceComplianceOnboardingPackage.zip) из Портал соответствия требованиям Microsoft Purview.

  2. В области навигации выберите Параметры>Подключение устройства>Подключение.

  3. В поле Метод развертывания выберите Microsoft Configuration Manager.

  4. Выберите Скачать пакет и сохраните файл .zip.

  5. Извлеките содержимое файла .zip в общее расположение только для чтения, к которому могут обращаться сетевые администраторы, которые будут развертывать пакет. У вас должен быть файл с именем DeviceCompliance.onboarding.

  6. Разверните пакет, выполнив действия, описанные в статье Пакеты и программы — Configuration Manager.

  7. Выберите предопределенную коллекцию устройств для развертывания пакета.

Примечание

Защита информации Microsoft 365 не поддерживает подключение на этапе запуска при первом включении (OOBE). Убедитесь, что пользователи завершают OOBE после установки или обновления Windows.

Совет

Можно создать правило обнаружения в приложении Configuration Manager, чтобы непрерывно проверка, если устройство было подключено. Приложение — это другой тип объекта, чем пакет и программа. Если устройство еще не подключено (из-за ожидания завершения OOBE или по какой-либо другой причине), Configuration Manager будет повторять подключение устройства до тех пор, пока правило не обнаружит изменение состояния.

Это можно сделать, создав правило обнаружения, чтобы определить, равно ли OnboardingState значение реестра (типа REG_DWORD) 1. Это значение реестра находится в разделе HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Дополнительные сведения см. в разделе Параметры метода обнаружения типа развертывания.

Настройка параметров коллекции примеров

Для каждого устройства можно задать значение конфигурации, указывающее, можно ли собирать образцы с устройства при выполнении запроса через Центр безопасности в Microsoft Defender для отправки файла для глубокого анализа.

Примечание

Эти параметры конфигурации обычно выполняются с помощью Configuration Manager.

Вы можете задать правило соответствия для элемента конфигурации в Configuration Manager, чтобы изменить параметр примера общей папки на устройстве.

Это правило должно быть элементом конфигурации правила соответствия требованиям, который задает значение раздела реестра на целевых устройствах, чтобы убедиться, что они являются жалобами.

Конфигурация задается с помощью следующей записи раздела реестра:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Где:

Тип ключа — D-WORD.

Возможные значения:

  • 0 — не разрешает общий доступ к примерам с этого устройства.
  • 1 — разрешает общий доступ к файлам всех типов с этого устройства.

Значение по умолчанию, если раздел реестра не существует, равно 1. Configuration Manager см. статью Создание пользовательских элементов конфигурации для настольных компьютеров и серверных компьютеров Windows, управляемых с помощью клиента Configuration Manager.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

После подключения устройств к службе важно воспользоваться включенными возможностями защиты от угроз, включив их со следующими рекомендуемыми параметрами конфигурации.

Конфигурация защиты следующего поколения

Рекомендуется использовать следующие параметры конфигурации:

Сканирование

  • Проверка съемных запоминающих устройств, таких как USB-накопители: Да

Защита в режиме реального времени

  • Включить мониторинг поведения: Да
  • Включить защиту от потенциально нежелательных приложений при скачивании и перед установкой: Да

Облачная служба защиты

  • Тип членства в службе Cloud Protection: расширенное членство

Сокращение направлений атак Настройте все доступные правила для параметра Аудит.

Примечание

Блокировка этих действий может привести к прерыванию допустимых бизнес-процессов. Лучший подход — настроить все для аудита, определить, какие из них безопасно включить, а затем включить эти параметры на конечных точках, которые не имеют ложноположительных обнаружений.

Защита сети

Перед включением защиты сети в режиме аудита или блокировки убедитесь, что установлено обновление платформы защиты от вредоносных программ, которое можно получить на странице поддержки.

Контролируемый доступ к папкам

Включите функцию в режиме аудита не менее 30 дней. По истечении этого периода проверьте обнаружения и создайте список приложений, которым разрешено записывать данные в защищенные каталоги.

Дополнительные сведения см. в разделе Оценка управляемого доступа к папкам.

Отключение устройств с помощью Configuration Manager

По соображениям безопасности срок действия пакета, используемого для отключенных устройств, истекает через 30 дней после даты загрузки. Пакеты отключения с истекшим сроком действия, отправленные на устройство, будут отклонены. При скачивании пакета offboarding вы получите уведомление о дате окончания срока действия пакетов, и он также будет включен в имя пакета.

Примечание

Политики подключения и отключения не должны развертываться на одном устройстве одновременно, в противном случае это приведет к непредсказуемым конфликтам.

Отключение устройств с помощью Microsoft Configuration Manager текущей ветви

Если вы используете Microsoft Configuration Manager текущей ветви, см. статью Создание файла конфигурации отключения.

Мониторинг конфигурации устройства

При использовании Microsoft Configuration Manager текущей ветви используйте встроенную панель мониторинга Microsoft Defender для конечной точки в консоли Configuration Manager. Дополнительные сведения см. в разделе Microsoft Defender Advanced Threat Protection — Monitor.

Убедитесь, что устройства соответствуют службе защиты от потери данных конечной точки.

Вы можете задать правило соответствия для элемента конфигурации в Configuration Manager для мониторинга развертывания.

Примечание

Эта процедура и запись реестра применяются к защите от потери данных в конечной точке, а также к Defender для конечной точки.

Это правило должно быть неправляющим элементом конфигурации правила соответствия, который отслеживает значение раздела реестра на целевых устройствах.

Отслеживайте следующую запись раздела реестра:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Дополнительные сведения см. в статье Планирование и настройка параметров соответствия требованиям.