使用群組原則將 Windows 10 裝置和 Windows 11 裝置上線
適用於:
- 端點資料外洩防護 (DLP)
- 內部風險管理
- 群組原則
注意
若要使用群組原則 (GP) 更新來部署套件,您必須使用 Windows Server 2008 R2 或更新版本。
對於 Windows Server 2019,您可能需要將群組原則喜好設定所建立 XML 檔案的 NT AUTHORITY\Well-Known-System-Account 取代為 NT AUTHORITY\SYSTEM。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
開啟合規性中心。
在瀏覽窗格中,選取 [設定]>[裝置上線]。
在 [部署方法] 欄位中,選取 [群組原則]。
按一下 [下載套件],然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。 您應該有一個稱為 OptionalParamsPolicy 的資料夾,和一個稱為 DeviceComplianceLocalOnboardingScript.cmd 的檔案。
開啟群組原則管理主控台 (GPMC),以滑鼠右鍵按一下您要設定的群組原則物件 (GPO),然後按一下 [編輯]。
在群組原則管理編輯器中,依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作],指向 [新增],然後按一下 [立即工作 (至少 Windows 7)]。
在 [工作] 視窗中,移至 [一般] 索引標籤。在 [安全性選項] 底下按一下 [變更使用者或群組] 並且輸入 SYSTEM,然後依序按一下 [檢查名稱]、[確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。
選取 [不論使用者登入與否均執行],然後勾選 [以最高權限執行] 核取方塊。
前往 [動作] 索引標籤,然後按一下 [新增...],確定已在 [動作] 欄位中選取 [啟動程式]。 輸入共用 WindowsDefenderATPOnboardingScript.cmd 檔案的檔案名稱和位置。
按一下 [確定] 並關閉任何開啟的 GPMC 視窗。
為了安全起見,用來將裝置下架的套件將會在下載日期的 30 天之後到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載下架套件時,您會收到套件到期日的通知,且也會將日期包含在套件名稱中。
注意
上線和下架原則不能同時部署在相同裝置上,否則會造成無法預期的衝突。
從 Microsoft Purview 合規性入口網站 取得離線套件。
在瀏覽窗格中,選取 [設定]>[//裝置上線]>[下架]。
在 [部署方法] 欄位中,選取 [群組原則]。
按一下 [下載套件],然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。 您應該有一個名為 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。
開啟群組原則管理主控台 (GPMC),以滑鼠右鍵按一下您要設定的群組原則物件 (GPO),然後按一下 [編輯]。
在群組原則管理編輯器中,依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作],指向 [新增],然後按一下 [立即工作]。
在開啟的 [工作] 視窗中,前往 [一般] 索引標籤。在 [安全性選項] 底下選擇本機 SYSTEM 使用者帳戶 (BUILTIN\SYSTEM)。
選取 [不論使用者登入與否均執行],然後勾選 [以最高權限執行] 核取方塊。
前往 [動作] 索引標籤,然後按一下 [新增...],確定已在 [動作] 欄位中選取 [啟動程式]。 輸入 共用DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 檔的檔名和位置。
按一下 [確定] 並關閉任何開啟的 GPMC 視窗。
重要
下架會導致裝置停止將感應器資料傳送至入口網站,而只有裝置的資料。
使用群組原則時,沒有選項可監視裝置上原則的部署。 監視可以直接在入口網站上完成,或使用不同的部署工具。
- 移至 Microsoft Purview 合規性入口網站。
- 按一下 [裝置] 清單。
- 確認裝置已顯示。
注意
裝置可能需要數天的時間,才能開始顯示在 [裝置清單] 上。 這包括將原則發佈至裝置所花的時間、使用者登入前所花的時間,以及端點開始報告所花的時間。