将 Windows 设备载入 Microsoft 365 概述
适用于:
终结点数据丢失防护 (Endpoint DLP) 和内部风险管理要求将Windows 10 Windows 和 Windows 11 设备载入服务,以便它们将监视数据发送到服务。
终结点 DLP 允许监视 Windows 10 或 Windows 11 设备,并检测何时使用和共享敏感项目。 这为你提供了所需的可见性和控制力,以确保正确使用和保护它们,并帮助防止可能危害它们的危险行为。 有关 Microsoft 所有 DLP 产品/服务的更多信息,请参阅数据丢失防护概述。 若要了解有关终结点 DLP 的详细信息,请参阅 了解终结点数据丢失防护。
内部风险管理使用全面的服务和第三方指示器来帮助你快速识别、会审和处理有风险的用户活动。 通过使用来自Microsoft 365和Microsoft Graph的日志,内部风险管理允许你定义特定策略来识别风险指示器并采取措施来缓解这些风险。 有关详细信息,请参阅 了解内部风险管理。
设备载入在 Microsoft 365 和 Microsoft Defender for Endpoint (MDE) 之间共享。 如果已将设备载入 MDE,它们将显示在托管设备列表中,无需执行进一步步骤即可载入这些特定设备。 在合规性门户中加入设备还会将它们载入到 MDE 中。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
准备工作
SKU/订阅许可
请查看此处许可要求。
权限
若要启用设备管理,你使用的帐户必须是以下任何一个角色的成员:
- 全局管理员
- 安全管理员
- 合规性管理员
如果要使用自定义帐户查看设备管理设置,该帐户必须具有以下角色之一:
- 全局管理员
- 合规性管理员
- 合规性数据管理员
- 全局读取者
如果要使用自定义帐户访问载入/载出页面,该帐户必须具有以下角色之一:
- 全局管理员
- 合规性管理员
如果要使用自定义帐户打开/关闭设备监视,该帐户必须具有以下角色之一:
- 全局管理员
- 合规性管理员
准备 Windows 设备
确保需要载入的 Windows 设备满足这些要求。
必须运行以下 Windows 或 Windows Server 版本之一:
- Windows 10 x64 内部版本 1809 或更高版本或Windows 11。 (请参阅 2023 年 4 月 11 日 - KB5025221 (操作系统内部版本 19042.2846、19044.2846 和 19045.2846) - Microsoft 支持部门所需的最低 Windows 操作系统版本。)
- Windows Server 2019 OS:1809 更高版本或 Windows Server 2022 OS:21H2 起。
反恶意软件客户端的版本为 4.18.2110 或更高版本。 若要查看当前版本,请打开“Windows 安全中心”应用,选择“设置”图标,然后选择“关于”。 “反恶意软件客户端版本”下列出了版本号。 通过安装 Windows 更新 KB4052623,更新到最新的反恶意软件客户端版本。
注意
Windows 安全组件都不需要处于活动状态,但必须启用实时保护和行为监视器。
以下适用于Windows 10的 Windows 更新适用于将监视的设备。
注意
这些更新不是载入设备的先决条件,但包含重要问题的修补程序,因此在使用产品之前必须安装这些更新。
- 对于 Windows 10 1809 - KB4559003、KB4577069、KB4580390
- 对于 Windows 10 1903 或 1909 - KB4559004、KB4577062、KB4580386
- 对于 Windows 10 2004 - KB4568831、KB4577063
所有设备必须是以下设备之一:
已安装受支持的 Microsoft 365 应用版 版本并处于最新状态。 为了获得最可靠的保护和用户体验,请确保已安装Microsoft 365 应用版版本 16.0.14701.0 或更高版本。
注意
- 如果运行的是 Office 365 - 需要 KB 4577063。
- 如果你使用 Microsoft 365 应用版 2004-2008 的月度企业频道,则需要更新到版本 2009 或更高版本。 参见 Microsoft 365 应用版的更新历史记录(按日期列出)。 要了解有关此问题的更多信息,请参阅有关 2020 年当前频道发行的发行说明。
如果终结点使用设备代理连接到 Internet,请按照 配置信息保护的设备代理和 Internet 连接设置中的过程进行操作。
载入Windows 10或 Windows 11 设备
必须先启用设备监视功能并载入终结点,然后才能监视和保护设备上的敏感项目。 这两项操作都在 Microsoft Purview 合规门户中完成。
当你想载入尚未载入的设备时,你需要下载适当的脚本并将其部署到那些设备上。 按照下面的设备载入过程进行操作。
已载入到 Microsoft Defender for Endpoint 的设备将显示在“托管设备”列表中。
在此部署方案中,你将载入Windows 10或尚未载入的 Windows 11 设备。
打开 Microsoft Purview 合规性门户。 选择 “设置”“>设备载入>设备”。
注意
如果以前部署了 Microsoft Defender for Endpoint,则在该过程中载入的所有设备都将列在 设备 列表中。 无需再次载入它们。 设备载入通常需要大约 60 秒才能启用,请先等待 30 分钟,然后再与 Microsoft 支持人员接洽。
选择 “启用设备载入”。
选择“载入”以开始载入流程。
从“部署方法”列表中选择要部署到这些额外设备的方式,然后下载程序包。
从下表中选择要遵循的适当过程:
主题 说明 Intune 使用移动设备管理工具或 Microsoft Intune 在设备上部署配置包。 配置管理器 可以使用 Microsoft Endpoint Configuration Manager(当前分支)版本 1606 或 Microsoft Endpoint Configuration Manager(当前分支)版本 1602 或更早版本在设备上部署配置包。 组策略 使用组策略在设备上部署配置包。 本地脚本 了解如何使用本地脚本在终结点上部署配置包。 虚拟桌面基础结构 (VDI) 设备 了解如何使用配置包配置 VDI 设备。
设备配置和策略同步状态
可以在“设备”列表中检查所有已载入设备的配置状态和策略同步状态。 有关配置和策略状态的详细信息,请选择已载入的设备以打开详细信息窗格。
配置状态 显示设备配置是否正确、是否向 Purview 发送检测信号,以及上次验证配置的时间。 对于 Windows 设备配置,包括检查Microsoft Defender防病毒始终启用保护和行为监视的状态。
策略同步状态 显示设备是否收到最新策略版本,或相应策略是否已成功同步到设备。
字段值 | 配置状态 | 策略同步状态 |
---|---|---|
更新日期 | 设备运行状况参数已启用并正确设置。 | 设备已使用当前版本的策略进行了更新。 |
未更新 | 需要为此设备启用配置设置。 按照 Microsoft Defender 防病毒始终启用保护中的过程操作 | 此设备尚未同步最新的策略更新。 如果策略更新是在最近 2 小时内进行的,请等待策略到达设备。 |
不可用 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 | 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本或配置,或者设备刚刚加入。 |
同步状态最多可能需要 2 小时才能反映在仪表板上。 设备必须联机才能进行策略更新。 如果状态未更新,检查上次看到设备的时间。