閱讀英文

共用方式為

使用 Microsoft Configuration Manager 將 Windows 10和 Windows 11 裝置上線

  • 發行項

適用於:

支援的用戶端作系統

您可以使用下列作系統 Configuration Manager:

  • Windows 11

  • Windows 10 版本 1709 或更新版本

重要

將系統上線以Microsoft端點的 Purview 時,它們也會向適用於端點的 Defender 報告,即使正在使用不同的防病毒軟體或反惡意代碼解決方案也一樣。 在這種情況下,這些系統會以 被動模式向適用於端點的 Defender 回報,以確保不會干擾現有的防病毒軟體或反惡意代碼解決方案。

使用 Configuration Manager 上線至適用於端點的 Microsoft Purview

在 Configuration Manager 中,如下所示設定 Endpoint Protection 設定,以確保用戶端能辨識組態檔。

  • 計算機上的 [管理 Endpoint Protection 用戶端 ] 設定為 [是]

  • 用戶端電腦上安裝 Endpoint Protection 客戶 端可以設定為 [否]

注意

這是為了讓客戶端從 Configuration Manager 接收組態檔。 如果您未在 [組態檔] 上開啟此功能,則可能無法部署至用戶端。

  • 在 Windows Server 2012 R2 上設定 適用於端點的 Microsoft Defender 用戶端,並將 Windows Server 2016 設定為 MDE 建議 () 的用戶端

將此客戶端設定組態部署至用來將系統上線的集合。

使用 Configuration Manager 將裝置上線

  1. 從 Microsoft Purview 入口網站取得組態套件 .zip 檔案 (DeviceComplianceOnboardingPackage.zip)

  2. 在瀏覽窗格中,選取 [設定]>[裝置上線]>[上線]

  3. 在 [選取作系統以開始上架] 程式中:選取 [Windows 10],然後在 [部署方法] 字段中,選取 [Microsoft端點 Configuration Manager]。

  4. 取 [下載套件 ] 並儲存 .zip 檔。

  5. 將 .zip 檔案的內容解壓縮到 Configuration Manager 主控台可存取的共用唯讀位置以進行部署。 確定名為 DeviceCompliance.onboarding 的 檔案存在。

將裝置上線

  1. 在 Configuration Manager 控制台中,流覽至 [資產與合規性>Endpoint Protection>適用於端點的 Microsoft Defender 原則]

    注意

    Microsoft Purview 和 適用於端點的 Microsoft Defender 使用相同的方法來連線到Microsoft雲端安全性環境。

  2. 取 [建立 適用於端點的 Microsoft Defender 原則] 以開啟原則精靈。

  3. 取 [我接受這兩個代理程序的授權條款和自動更新]。 然後輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述],然後選取 [上線]

  4. 取 [流覽 ] 並瀏覽至您從下載的 .zip 檔中擷取的組態檔。

    注意

    Windows 10和 11 不需要工作區金鑰和工作區識別碼。

    選取 [下一步]

  5. 指定從受控裝置收集並共用以進行分析的檔案範例。

    • 所有檔案類型

  6. 檢閱摘要並完成精靈。

  7. 以滑鼠右鍵按下您建立的原則,選取 [部署],然後選擇要部署 適用於端點的 Microsoft Defender 原則的集合。

監視

  1. 在 Configuration Manager 控制台中,流覽 [監視>部署],然後選取您為適用於端點的Defender原則部署建立的部署。

  2. 按兩下 [ 檢視狀態 ] 以檢閱資訊。 在 [ 符合規範 ] 下,您可以看到已上線系統的狀態。 尚未上線的系統可能會出現在 [ 未知 ] 索引標籤下方。

注意

此程式可能需要一些時間,而且系統可能需要重新啟動,變更才會生效。

使用 Configuration Manager 下線裝置

為了安全起見,用來將裝置下架的套件將會在下載日期的 30 天之後到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載離線套件時,您會收到套件到期日的通知,而且也會包含在套件名稱中。

注意

上線和離線原則不能同時部署在相同的裝置上,否則會造成無法預期的衝突。

使用最新分支 Microsoft Configuration Manager 裝置離線

如果您使用最新分支 Microsoft Configuration Manager,請參閱建立離線配置檔

建立下架組態檔

  1. 登入 Microsoft 控制台

  2. 取 [設定],然後選取 [ 裝置上 線],然後選取 [上線] 標題下的 [ 機]。

  3. 針對作系統選取 Windows 10,然後針對部署方法Microsoft端點 Configuration Manager

    • 使用 [Windows 10] 選項可確保集合中的所有裝置都已脫機,並視需要卸載 MMA。

  4. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。 下架檔案的有效期為 30 天。

  5. 在 Configuration Manager 控制台中,流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender [針對端點原則],然後選取 [建立 適用於端點的 Microsoft Defender 原則]。 原則精靈隨即開啟。

  6. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述],然後選取 [下架]

  7. 流覽 至您從下載的 .zip 檔中擷取的組態檔。

  8. 檢閱摘要並完成精靈。

  9. 選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為您想要從 Purview 下架的用戶端。

重要

Microsoft端點的 Purview 組態檔包含應該保持安全的敏感性資訊。

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

監視裝置設定

透過 Microsoft Configuration Manager 最新分支,請使用 Configuration Manager 控制台中的內建 適用於端點的 Microsoft Defender 儀錶板。 如需詳細資訊,請參閱 Microsoft Defender 進階威脅防護 - 監視

檢查裝置是否符合端點數據外泄防護服務的規範

您可以在 Configuration Manager 中設定設定專案的合規性規則,以監視您的部署。

注意

此程式和登錄專案適用於端點 DLP 和適用於端點的 Defender。

此規則應該是一種 [非修正] 規則設定項目,該項目會監視目標裝置上之登錄機碼的值。

監視下列登錄機碼項目:

主控台 
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

如需詳細資訊,請參閱 規劃和設定合規性設定