使用群組原則將 Windows 10 裝置和 Windows 11 裝置上線

適用於：

注意事項

若要使用群組原則 (GP) 更新來部署套件，您必須使用 Windows Server 2008 R2 或更新版本。

對於 Windows Server 2019，您可能需要將群組原則喜好設定所建立 XML 檔案的 NT AUTHORITY\Well-Known-System-Account 取代為 NT AUTHORITY\SYSTEM。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。立即從 Microsoft Purview 合規性入口網站試用中樞開始。瞭解有關註冊和試用版條款的詳細數據。

使用群組原則將裝置上線

開啟合規性中心。
在瀏覽窗格中，選取 [設定]>[裝置上線]。
在 [部署方法] 欄位中，選取 [群組原則]。
按一下 [下載套件]，然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。您應該有一個稱為 OptionalParamsPolicy 的資料夾，和一個稱為 DeviceComplianceLocalOnboardingScript.cmd 的檔案。
開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。
在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作 (至少 Windows 7)]。
在 [工作] 視窗中，移至 [一般] 索引標籤。在 [安全性選項] 底下按一下 [變更使用者或群組] 並且輸入 SYSTEM，然後依序按一下 [檢查名稱]、[確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。
選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。
前往 [動作] 索引標籤，然後按一下 [新增...]，確定已在 [動作] 欄位中選取 [啟動程式]。輸入共用 WindowsDefenderATPOnboardingScript.cmd 檔案的檔案名稱和位置。
按一下 [確定] 並關閉任何開啟的 GPMC 視窗。

為了安全起見，用來將裝置下架的套件將會在下載日期的 30 天之後到期。傳送到裝置的已過期下架套件將會遭到拒絕。下載下架套件時，您會收到套件到期日的通知，且也會將日期包含在套件名稱中。

注意事項

上線和下架原則不能同時部署在相同裝置上，否則會造成無法預期的衝突。

從 Microsoft Purview 合規性入口網站取得離線套件。
在瀏覽窗格中，選取 [設定]>[//裝置上線]>[下架]。
在 [部署方法] 欄位中，選取 [群組原則]。
按一下 [下載套件]，然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。您應該有一個名為 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。
開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。
在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作]。
在開啟的 [工作] 視窗中，前往 [一般] 索引標籤。在 [安全性選項] 底下選擇本機 SYSTEM 使用者帳戶 (BUILTIN\SYSTEM)。
選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。
前往 [動作] 索引標籤，然後按一下 [新增...]，確定已在 [動作] 欄位中選取 [啟動程式]。輸入共用 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 檔案的檔名和位置。
按一下 [確定] 並關閉任何開啟的 GPMC 視窗。

重要事項

下架會導致裝置停止將感應器資料傳送至入口網站，而只有裝置的資料。

使用群組原則時，沒有選項可監視裝置上原則的部署。監視可以直接在入口網站上完成，或使用不同的部署工具。

注意事項

裝置可能需要數天的時間，才能開始顯示在 [裝置清單] 上。這包括將原則發佈至裝置所花的時間、使用者登入前所花的時間，以及端點開始報告所花的時間。