共用方式為


使用 Microsoft Configuration Manager 將 Windows 10和 Windows 11 裝置上線

適用於:

使用 Configuration Manager 將裝置上線

  1. 從 Microsoft Purview 合規性入口網站 取得元件 .zip 檔案 (DeviceComplianceOnboardingPackage.zip)

  2. 在瀏覽窗格中,選取 [設定]>[裝置上線]>[上線]

  3. 在 [部署方法] 欄位中,選取 [Microsoft Configuration Manager]。

  4. 選取 [下載套件],然後儲存 .zip 檔案。

  5. 將 .zip 檔案的內容解壓縮到將部署該套件的網路系統管理員可存取的共用唯讀位置。 您應該會有名為 DeviceCompliance.onboarding 的檔案。

  6. 依照套件和程式 - Configuration Manager 一文中的步驟部署套件。

  7. 選擇要部署套件的預先定義裝置集合。

注意事項

Microsoft 365 資訊保護不支援在 Out-Of-Box 體驗 (OOBE) 階段中進行的上線程序。 確認使用者在執行 Windows 安裝或升級後,完成 OOBE。

提示

您可以在 Configuration Manager 應用程式上建立偵測規則,以持續檢查裝置是否已上線。 應用程式是不同于套件與程式的物件類型。 如果裝置尚未上線 (由於等待 OOBE 完成或其他任何原因),Configuration Manager 會重試將裝置上線,直到規則偵測到狀態變更。

建立偵測規則來判斷類型為 (的登錄值是否 OnboardingState REG_DWORD) = 1,即可完成此行為。 此登錄值位於 之下 HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"

如需詳細資訊,請 參閱部署類型偵測方法選項

設定範例集合設定

針對每個裝置,您可以設定設定值,以指出當透過 Microsoft Defender 資訊安全中心提交檔案進行深度分析的要求時,是否可以從裝置收集樣本。

注意事項

這些組態設定通常是透過 Configuration Manager 完成。

您可以在 Configuration Manager 中設定設定項目的合規性規則,以變更裝置上的範例共用設定。

此規則應該是 補救 合規性規則設定專案,以設定目標裝置上登錄機碼的值,以確保它們受到抱怨。

透過下列的登錄機碼項目進行設定:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中:

金鑰類型是 D-WORD。

可能的值為:

  • 0 - 不允許從此裝置共用範例
  • 1 - 允許從此裝置共用所有檔案類型

如果登錄機碼不存在,預設值為1。 Configuration Manager,請參閱 Create 使用 Configuration Manager 用戶端管理之 Windows 桌面電腦和伺服器電腦的自定義設定專案

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

將裝置上線到服務之後,使用下列建議的組態設來以啟用裝置,以善用包含的威脅防護功能非常重要。

新一代保護設定

建議使用下列組態設定:

掃描

  • 掃描卸除式儲存裝置 (例如 USB 磁碟機):是

即時保護

  • 啟用行為監視:是
  • 在下載時和安裝之前啟用對潛在垃圾應用程式的保護:是

雲端保護服務

  • 雲端保護服務成員資格類型:進階成員資格

受攻擊面縮小 設定所有可用的規則以稽核。

注意事項

封鎖這些活動可能會中斷合法的商業程序。 最佳做法是設定所有項目進行稽核、識別哪些項目可以安全開啟,然後在沒有誤判的端點上啟用這些設定。

網路保護

在稽核或封鎖模式中啟用網路保護之前,請確定您已安裝反惡意軟體平臺更新,這可以從 [支援頁面] 取得。

受控資料夾存取權

在稽核模式中啟用該功能至少 30 天。 在此期間後,請檢閱偵測,並建立允許寫入受保護目錄的應用程式清單。

如需詳細資訊,請參閱 評估受控資料夾存取權

使用 Configuration Manager 下線裝置

為了安全起見,用來將裝置下架的套件將會在下載日期的 30 天之後到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載下架套件時,您會收到套件到期日的通知,也會包含在套件名稱中。

注意事項

上線和下架原則不能同時部署在相同裝置上,否則會造成無法預期的衝突。

使用最新分支 Microsoft Configuration Manager 裝置離線

如果您使用最新分支 Microsoft Configuration Manager,請參閱 Create 下架組態檔

監視裝置設定

透過 Microsoft Configuration Manager 最新分支,請使用 Configuration Manager 控制台中的內建 適用於端點的 Microsoft Defender 儀錶板。 如需詳細資訊,請參閱 Microsoft Defender 進階威脅防護 - 監視

檢查裝置是否符合端點數據外泄防護服務的規範

您可以在 Configuration Manager 中設定設定專案的合規性規則,以監視您的部署。

注意事項

此程式和登錄項目適用于端點 DLP 和適用于端點的 Defender。

此規則應該是一種 [非修正] 規則設定項目,該項目會監視目標裝置上之登錄機碼的值。

監視下列登錄機碼項目:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

如需詳細資訊,請參閱 規劃和設定合規性設定