Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 con Microsoft Configuration Manager

  • Articolo

Si applica a:

Eseguire l'onboarding dei dispositivi usando Configuration Manager

  1. Ottenere il file di .zip del pacchetto di configurazione (DeviceComplianceOnboardingPackage.zip) da Portale di conformità di Microsoft Purview.

  2. Nel riquadro di spostamento selezionare Impostazioni>Onboarding dispositivo>.

  3. Nel campo Metodo di distribuzione selezionare Microsoft Configuration Manager.

  4. Selezionare Scarica pacchetto e salvare il file .zip.

  5. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto. È necessario disporre di un file denominato DeviceCompliance.onboarding.

  6. Distribuire il pacchetto seguendo la procedura descritta nell'articolo Pacchetti e programmi - Configuration Manager.

  7. Scegliere una raccolta di dispositivi predefinita in cui distribuire il pacchetto.

Nota

Microsoft 365 Information Protection non supporta l'onboarding durante la fase di Configurazione guidata. Assicurarsi che gli utenti completino la Configurazione guidata dopo l'installazione o l'aggiornamento di Windows.

Consiglio

È possibile creare una regola di rilevamento in un'applicazione Configuration Manager per verificare continuamente se è stato eseguito l'onboarding di un dispositivo. Un'applicazione è un tipo di oggetto diverso da un pacchetto e un programma. Se non è ancora stato eseguito l'onboarding di un dispositivo (a causa del completamento della Configurazione guidata in sospeso o di qualsiasi altro motivo), Configuration Manager ritenterà l'onboarding del dispositivo fino a quando la regola non rileva la modifica dello stato.

Questo comportamento può essere eseguito creando una regola di rilevamento per determinare se il OnboardingState valore del Registro di sistema (di tipo REG_DWORD) = 1. Questo valore del Registro di sistema si trova in HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Per altre informazioni, vedere Opzioni del metodo di rilevamento del tipo di distribuzione.

Configurare le impostazioni della raccolta di esempi

Per ogni dispositivo, è possibile impostare un valore di configurazione per indicare se gli esempi possono essere raccolti dal dispositivo quando viene effettuata una richiesta tramite Microsoft Defender Security Center per inviare un file per un'analisi approfondita.

Nota

Queste impostazioni di configurazione vengono in genere eseguite tramite Configuration Manager.

È possibile impostare una regola di conformità per l'elemento di configurazione in Configuration Manager per modificare l'impostazione della condivisione di esempio in un dispositivo.

Questa regola deve essere un elemento di configurazione delle regole di conformità correttivo che imposta il valore di una chiave del Registro di sistema nei dispositivi di destinazione per assicurarsi che siano reclami.

La configurazione viene impostata tramite la voce della chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Dove:

Il tipo di chiave è D-WORD.

I valori possibili sono:

  • 0 : non consente la condivisione di esempi da questo dispositivo
  • 1 : consente la condivisione di tutti i tipi di file da questo dispositivo

Il valore predefinito nel caso in cui la chiave del Registro di sistema non esista è 1. Configuration Manager vedere Create elementi di configurazione personalizzati per i computer desktop e server Windows gestiti con il client Configuration Manager.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Dopo l'onboarding dei dispositivi nel servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.

Configurazione della protezione di nuova generazione

Sono consigliate le impostazioni di configurazione seguenti:

Analisi

  • Analizzare i dispositivi di archiviazione rimovibili, ad esempio le unità USB: Sì

Protezione in tempo reale

  • Abilitare il monitoraggio comportamentale: Sì
  • Abilitare la protezione dalle applicazioni potenzialmente indesiderate durante il download e prima dell'installazione: Sì

Servizio Cloud Protection

  • Tipo di appartenenza al servizio Cloud Protection: appartenenza avanzata

Riduzione della superficie di attacco Configurare tutte le regole disponibili in Controllo.

Nota

Il blocco di queste attività può interrompere i processi aziendali legittimi. L'approccio migliore consiste nell'impostare tutto su controllo, identificare quali sono sicuri da attivare e quindi abilitare tali impostazioni negli endpoint che non hanno rilevamenti falsi positivi.

Protezione di rete

Prima di abilitare la protezione di rete in modalità di controllo o blocco, assicurarsi di aver installato l'aggiornamento della piattaforma antimalware, che può essere ottenuto dalla pagina di supporto.

Accesso controllato alle cartelle

Abilitare la funzionalità in modalità di controllo per almeno 30 giorni. Dopo questo periodo, esaminare i rilevamenti e creare un elenco di applicazioni che possono scrivere in directory protette.

Per altre informazioni, vedere Valutare l'accesso controllato alle cartelle.

Dispositivi offboard con Configuration Manager

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Quando si scarica un pacchetto di offboarding, si riceverà una notifica della data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà conflitti imprevedibili.

Dispositivi offboard che usano Microsoft Configuration Manager current branch

Se si usa Microsoft Configuration Manager current branch, vedere Create un file di configurazione di offboarding.

Monitorare la configurazione del dispositivo

Con Microsoft Configuration Manager current branch, usare il dashboard Microsoft Defender per endpoint predefinito nella console di Configuration Manager. Per altre informazioni, vedere Microsoft Defender Advanced Threat Protection - Monitor.

Verificare che i dispositivi siano conformi al servizio di prevenzione della perdita di dati degli endpoint

È possibile impostare una regola di conformità per l'elemento di configurazione in Configuration Manager per monitorare la distribuzione.

Nota

Questa procedura e la voce del Registro di sistema si applicano alla prevenzione della perdita dei dati dell'endpoint e a Defender per endpoint.

Questa regola deve essere un elemento di configurazione delle regole di conformità non correttivo che monitora il valore di una chiave del Registro di sistema nei dispositivi di destinazione.

Monitorare la voce di chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Per altre informazioni, vedere Pianificare e configurare le impostazioni di conformità.