Onboardare Windows 10 dispositivi con Criteri di gruppoOnboard Windows 10 devices using Group Policy

Si applica a:Applies to:

Nota

Per utilizzare gli aggiornamenti di Criteri di gruppo per distribuire il pacchetto, è necessario essere in Windows Server 2008 R2 o versione successiva.To use Group Policy (GP) updates to deploy the package, you must be on Windows Server 2008 R2 or later.

Per Windows Server 2019, potrebbe essere necessario sostituire NT AUTHORITY\Well-Known-System-Account con NT AUTHORITY\SYSTEM del file XML creato dalla preferenza di Criteri di gruppo.For Windows Server 2019, you may need to replace NT AUTHORITY\Well-Known-System-Account with NT AUTHORITY\SYSTEM of the XML file that the Group Policy preference creates.

Aggiungere dispositivi con Criteri di gruppoOnboard devices using Group Policy

  1. Aprire il file del pacchetto .zip criteri di gruppo (DeviceComplianceOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio.Open the GP configuration package .zip file (DeviceComplianceOnboardingPackage.zip) that you downloaded from the service onboarding wizard. È anche possibile ottenere il pacchetto dal Centro conformità MicrosoftYou can also get the package from Microsoft Compliance center

  2. Nel riquadro di spostamento seleziona Impostazioni > onboarding del dispositivo.In the navigation pane, select Settings > Device Onboarding.

  3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.In the Deployment method field, select Group policy.

  4. Fai clic su Scarica pacchetto e salva il file .zip file.Click Download package and save the .zip file.

  5. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. Dovresti avere una cartella denominata OptionalParamsPolicy e il file DeviceComplianceLocalOnboardingScript.cmd.You should have a folder called OptionalParamsPolicy and the file DeviceComplianceLocalOnboardingScript.cmd.

  6. Aprire console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  7. Nell'Editor Gestione Criteri di gruppo vai a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  8. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi Fare clic su Attività immediata (almeno Windows 7). Right-click Scheduled tasks, point to New, and then click Immediate Task (At least Windows 7).

  9. Nella finestra Attività visualizzata passare alla scheda Generale. In Opzioni di sicurezza fare clic su Cambia utente o gruppo e digitare SISTEMA e quindi fare clic su Controlla nomi e quindi su OK.In the Task window that opens, go to the General tab. Under Security options click Change User or Group and type SYSTEM and then click Check Names then OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.NT AUTHORITY\SYSTEM appears as the user account the task will run as.

  10. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con privilegi più elevati.Select Run whether user is logged on or not and check the Run with highest privileges check box.

  11. Vai alla scheda Azioni e fai clic su Nuovo... Verificare che l'opzione Avvia un programma sia selezionata nel campo Azione.Go to the Actions tab and click New... Ensure that Start a program is selected in the Action field. Immettere il nome e il percorso del file WindowsDefenderATPOnboardingScript.cmd condiviso.Enter the file name and location of the shared WindowsDefenderATPOnboardingScript.cmd file.

  12. Fare clic su OK e chiudere tutte le finestre della Console Gestione Criteri di gruppo aperte.Click OK and close any open GPMC windows.

Dispositivi offboard con Criteri di gruppoOffboard devices using Group Policy

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data di download.For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati.Expired offboarding packages sent to a device will be rejected. Durante il download di un pacchetto di offboarding, ti verrà notificata la data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.When downloading an offboarding package you will be notified of the packages expiry date and it will also be included in the package name.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà collisioni imprevedibili.Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

  1. Ottenere il pacchetto di offboarding dal Centro conformità Microsoft.Get the offboarding package from Microsoft Compliance center.

  2. Nel riquadro di spostamento, selezionare Impostazioni > //Onboarding del dispositivo > Offboarding.In the navigation pane, select Settings > //Device onboarding > Offboarding.

  3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.In the Deployment method field, select Group policy.

  4. Fai clic su Scarica pacchetto e salva il file .zip file.Click Download package and save the .zip file.

  5. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. Dovresti avere un file denominato DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.You should have a file named DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  6. Aprire console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  7. Nell'Editor Gestione Criteri di gruppo vai a Configurazione computer, Quindi Preferenze e quindi Impostazioni pannello di controllo.In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  8. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi Fare clic su Attività immediata.Right-click Scheduled tasks, point to New, and then click Immediate task.

  9. Nella finestra Attività visualizzata passare alla scheda Generale. Scegliere l'account utente SYSTEM locale (BUILTIN\SYSTEM) in Opzioni di sicurezza.In the Task window that opens, go to the General tab. Choose the local SYSTEM user account (BUILTIN\SYSTEM) under Security options.

  10. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con privilegi più elevati.Select Run whether user is logged on or not and check the Run with highest privileges check-box.

  11. Passare alla scheda Azioni e fare clic su Nuovo.... Verificare che l'opzione Avvia un programma sia selezionata nel campo Azione.Go to the Actions tab and click New.... Ensure that Start a program is selected in the Action field. Immettere il nome e il percorso del file DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.Enter the file name and location of the shared DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd file.

  12. Fare clic su OK e chiudere tutte le finestre della Console Gestione Criteri di gruppo aperte.Click OK and close any open GPMC windows.

Importante

L'offboarding fa sì che il dispositivo interrompi l'invio dei dati del sensore al portale, ma i dati dal dispositivo.Offboarding causes the device to stop sending sensor data to the portal but data from the device.

Monitorare la configurazione del dispositivoMonitor device configuration

Con Criteri di gruppo non è disponibile un'opzione per monitorare la distribuzione dei criteri nei dispositivi.With Group Policy there isn’t an option to monitor deployment of policies on the devices. Il monitoraggio può essere eseguito direttamente nel portale o utilizzando i diversi strumenti di distribuzione.Monitoring can be done directly on the portal, or by using the different deployment tools.

Monitorare i dispositivi tramite il portaleMonitor devices using the portal

  1. Passare al Centro conformità Microsoft.Go to Microsoft Compliance center.
  2. Fai clic su Elenco dispositivi.Click Devices list.
  3. Verificare che i dispositivi siano visualizzati.Verify that devices are appearing.

Nota

L'inizio della visualizzazione dei dispositivi nell'elenco Dispositivi può richiedere diversi giorni.It can take several days for devices to start showing on the Devices list. Ciò include il tempo necessario per la distribuzione dei criteri al dispositivo, il tempo necessario prima che l'utente e il tempo necessario per l'avvio dei report da parte dell'endpoint.This includes the time it takes for the policies to be distributed to the device, the time it takes before the user logs on, and the time it takes for the endpoint to start reporting.