Onboarding di dispositivi Windows 10 con Configuration ManagerOnboard Windows 10 devices using Configuration Manager

Si applica a:Applies to:

Onboard dei dispositivi con System Center Configuration ManagerOnboard devices using System Center Configuration Manager

  1. Aprire il file del pacchetto di .zip configuration manager (DeviceComplianceOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio.Open the Configuration Manager configuration package .zip file (DeviceComplianceOnboardingPackage.zip) that you downloaded from the service onboarding wizard. È anche possibile ottenere il pacchetto dal Centro conformità Microsoft.You can also get the package from Microsoft Compliance center.

  2. Nel riquadro di spostamento seleziona Impostazioni > > Onboarding del dispositivo .In the navigation pane, select Settings > Device Onboarding > Onboarding.

  3. Nel campo Metodo di distribuzione selezionare Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.In the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  4. Seleziona Scarica pacchetto e salva il file .zip file.Select Download package, and save the .zip file.

  5. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. Dovresti avere un file denominato DeviceComplianceOnboardingScript.cmd.You should have a file named DeviceComplianceOnboardingScript.cmd.

  6. Distribuire il pacchetto seguendo la procedura descritta nell'articolo Packages and Programs in System Center 2012 R2 Configuration Manager.Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  7. Scegli una raccolta di dispositivi predefinita in cui distribuire il pacchetto.Choose a predefined device collection to deploy the package to.

Nota

Microsoft 365 La prevenzione della perdita dei dati degli endpoint non supporta l'onboarding durante la fase di Configurazione fuori rete.Microsoft 365 Endpoint data loss prevention doesn't support onboarding during the Out-Of-Box Experience (OOBE) phase. Assicurarsi che gli utenti completino la Procedura guidata dopo l'Windows o l'aggiornamento.Make sure users complete OOBE after running Windows installation or upgrading.

Suggerimento

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente onboarding nel servizio.After onboarding the device, you can choose to run a detection test to verify that an device is properly onboarded to the service. Per altre informazioni, vedi Eseguire un test di rilevamento su un dispositivo Microsoft Defender for Endpoint appena onboarded.For more information, see Run a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Tieni presente che è possibile creare una regola di rilevamento in un'applicazione di Configuration Manager per verificare continuamente se è stato eseguito l'onboarded di un dispositivo.Note that it is possible to create a detection rule on a Configuration Manager application to continuously check if a device has been onboarded. Un'applicazione è un tipo di oggetto diverso rispetto a un pacchetto e a un programma.An application is a different type of object than a package and program. Se un dispositivo non è ancora stato onboarded (a causa del completamento della Configurazione guidata in sospeso o di qualsiasi altro motivo), Configuration Manager ritenterà di eseguire l'onboarded del dispositivo fino a quando la regola non rileva la modifica dello stato.If a device is not yet onboarded (due to pending OOBE completion or any other reason), Configuration Manager will retry to onboard the device until the rule detects the status change.

Questo comportamento può essere ottenuto creando una regola di rilevamento che controlla se il valore del Registro di sistema "OnboardingState" (di tipo REG_DWORD) = 1.This behavior can be accomplished by creating a detection rule checking if the "OnboardingState" registry value (of type REG_DWORD) = 1. Questo valore del Registro di sistema si trova in "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".This registry value is located under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Per ulteriori informazioni, vedere Configure Detection Methods in System Center 2012 R2 Configuration Manager.For more information, see Configure Detection Methods in System Center 2012 R2 Configuration Manager.

Configurare le impostazioni della raccolta di esempioConfigure sample collection settings

Per ogni dispositivo, puoi impostare un valore di configurazione per indicare se è possibile raccogliere campioni dal dispositivo quando viene effettuata una richiesta tramite Microsoft Defender Security Center per inviare un file per l'analisi approfondita.For each device, you can set a configuration value to state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

Nota

Queste impostazioni di configurazione vengono in genere eseguite tramite Configuration Manager.These configuration settings are typically done through Configuration Manager.

Puoi impostare una regola di conformità per l'elemento di configurazione in Configuration Manager per modificare l'impostazione della condivisione di esempio in un dispositivo.You can set a compliance rule for configuration item in Configuration Manager to change the sample share setting on a device.

Questa regola deve essere un elemento di configurazione della regola di conformità che imposta il valore di una chiave del Registro di sistema nei dispositivi di destinazione per assicurarsi che siano reclami.This rule should be a remediating compliance rule configuration item that sets the value of a registry key on targeted devices to make sure they’re complaint.

La configurazione viene impostata tramite la voce della chiave del Registro di sistema seguente:The configuration is set through the following registry key entry:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

Dove:Where:
Il tipo di chiave è D-WORD.Key type is a D-WORD.
I valori possibili sono:Possible values are:

  • 0 - Non consente la condivisione di esempi da questo dispositivo0 - doesn't allow sample sharing from this device
  • 1 - Consente la condivisione di tutti i tipi di file da questo dispositivo1 - allows sharing of all file types from this device

Il valore predefinito nel caso in cui la chiave del Registro di sistema non esista è 1.The default value in case the registry key doesn’t exist is 1.

Per ulteriori informazioni sulla System Center Configuration Manager conformità, vedere Introduzione alle impostazioni di conformità in System Center 2012 R2 Configuration Manager.For more information about System Center Configuration Manager Compliance, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.

Dopo l'onboarding dei dispositivi al servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.After onboarding devices to the service, it's important to take advantage of the included threat protection capabilities by enabling them with the following recommended configuration settings.

Configurazione raccolta dispositiviDevice collection configuration

Se si usa Endpoint Configuration Manager, versione 2002 o successiva, è possibile scegliere di ampliare la distribuzione per includere server o client di livello inferiore.If you're using Endpoint Configuration Manager, version 2002 or later, you can choose to broaden the deployment to include servers or down-level clients.

Configurazione di protezione di nuova generazioneNext generation protection configuration

Sono consigliate le impostazioni di configurazione seguenti:The following configuration settings are recommended:

AnalisiScan

  • Analizzare i dispositivi di archiviazione rimovibili, ad esempio le unità USB: SìScan removable storage devices such as USB drives: Yes

Protezione in tempo realeReal-time Protection

  • Abilita monitoraggio comportamentale: SìEnable Behavioral Monitoring: Yes
  • Abilitare la protezione da applicazioni potenzialmente indesiderate durante il download e prima dell'installazione: SìEnable protection against Potentially Unwanted Applications at download and prior to installation: Yes

Servizio di protezione cloudCloud Protection Service

  • Tipo di appartenenza al servizio di protezione cloud: appartenenza avanzataCloud Protection Service membership type: Advanced membership

Riduzione della superficie di attacco Configurare tutte le regole disponibili su Controllo.Attack surface reduction Configure all available rules to Audit.

Nota

Il blocco di queste attività può interrompere i processi aziendali legittimi.Blocking these activities may interrupt legitimate business processes. L'approccio migliore consiste nell'impostare tutti i controlli, identificare quelli sicuri da attivare e quindi abilitare tali impostazioni sugli endpoint che non dispongono di rilevamenti falsi positivi.The best approach is setting everything to audit, identifying which ones are safe to turn on, and then enabling those settings on endpoints which do not have false positive detections.

Protezione di reteNetwork protection

Prima di abilitare la protezione di rete in modalità di controllo o blocco, assicurati di aver installato l'aggiornamento della piattaforma antimalware, che può essere ottenuto dalla pagina di supporto.Prior to enabling network protection in audit or block mode, ensure that you've installed the antimalware platform update, which can be obtained from the support page.

Accesso controllato alle cartelleControlled folder access

Abilita la funzionalità in modalità di controllo per almeno 30 giorni.Enable the feature in audit mode for at least 30 days. Dopo questo periodo, esaminare i rilevamenti e creare un elenco di applicazioni che possono scrivere nelle directory protette.After this period, review detections and create a list of applications that are allowed to write to protected directories.

Per ulteriori informazioni, vedere Evaluate controlled folder access.For more information, see Evaluate controlled folder access.

Dispositivi offboard con Configuration ManagerOffboard devices using Configuration Manager

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data di download.For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati.Expired offboarding packages sent to a device will be rejected. Durante il download di un pacchetto di offboarding, ti verrà notificata la data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.When downloading an offboarding package, you will be notified of the packages expiry date and it will also be included in the package name.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà collisioni imprevedibili.Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

Offboard devices using Microsoft Endpoint Configuration Manager current branchOffboard devices using Microsoft Endpoint Configuration Manager current branch

Se usi il Microsoft Endpoint Configuration Manager corrente, vedi Creare un file di configurazione di offboarding.If you use Microsoft Endpoint Configuration Manager current branch, see Create an offboarding configuration file.

Offboard devices using System Center 2012 R2 Configuration ManagerOffboard devices using System Center 2012 R2 Configuration Manager

  1. Ottenere il pacchetto di offboarding dal Centro conformità Microsoft:Get the offboarding package from Microsoft Compliance center:

  2. Nel riquadro di spostamento seleziona Impostazioni > onboarding del > dispositivo.In the navigation pane, select Settings > Device onboarding> Offboarding.

  3. Seleziona Windows 10 come sistema operativo.Select Windows 10 as the operating system.

  4. Nel campo Metodo di distribuzione selezionare Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.In the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  5. Seleziona Scarica pacchetto e salva il file .zip file.Select Download package, and save the .zip file.

  6. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. Dovresti avere un file denominato DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.You should have a file named DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  7. Distribuire il pacchetto seguendo la procedura descritta nell'articolo Packages and Programs in System Center 2012 R2 Configuration Manager.Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  8. Scegli una raccolta di dispositivi predefinita in cui distribuire il pacchetto.Choose a predefined device collection to deploy the package to.

Importante

L'offboarding fa sì che il dispositivo interrompi l'invio dei dati del sensore al portale, ma i dati dal dispositivo, incluso il riferimento a eventuali avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

Monitorare la configurazione del dispositivoMonitor device configuration

Se usi il ramo Microsoft Endpoint Configuration Manager corrente, usa il dashboard predefinito di Microsoft Defender for Endpoint nella console di Configuration Manager.If you're using Microsoft Endpoint Configuration Manager current branch, use the built-in Microsoft Defender for Endpoint dashboard in the Configuration Manager console. Per ulteriori informazioni, vedere Microsoft Defender Advanced Threat Protection - Monitor.For more information, see Microsoft Defender Advanced Threat Protection - Monitor.

Se si usa System Center 2012 R2 Configuration Manager, il monitoraggio è costituito da due parti:If you're using System Center 2012 R2 Configuration Manager, monitoring consists of two parts:

  1. Verificare che il pacchetto di configurazione sia stato distribuito correttamente e che sia in esecuzione (o sia stato eseguito correttamente) nei dispositivi della rete.Confirming the configuration package has been correctly deployed and is running (or has successfully run) on the devices in your network.

  2. Verifica che i dispositivi siano conformi al servizio di prevenzione della perdita dei dati dell'endpoint di Microsoft 365 (in questo modo il dispositivo può completare il processo di onboarding e può continuare a segnalare i dati al servizio).Checking that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service (this ensures the device can complete the onboarding process and can continue to report data to the service).

Verificare che il pacchetto di configurazione sia stato distribuito correttamenteConfirm the configuration package has been correctly deployed

  1. Nella console di Configuration Manager fare clic su Monitoraggio nella parte inferiore del riquadro di spostamento.In the Configuration Manager console, click Monitoring at the bottom of the navigation pane.

  2. Selezionare Panoramica e quindi Distribuzioni.Select Overview and then Deployments.

  3. Selezionare nella distribuzione con il nome del pacchetto.Select on the deployment with the package name.

  4. Esaminare gli indicatori di stato in Statistiche di completamento e Stato contenuto.Review the status indicators under Completion Statistics and Content Status.

    Se sono presenti distribuzioni non riuscite (dispositivi con stato Errore, Requisiti non soddisfatti o Non riusciti), potrebbe essere necessario risolvere i problemi relativi ai dispositivi.If there are failed deployments (devices with Error, Requirements Not Met, or Failed statuses), you may need to troubleshoot the devices. Per ulteriori informazioni, vedere Risoluzione dei Microsoft Defender Advanced Threat Protection di onboarding.For more information, see, Troubleshoot Microsoft Defender Advanced Threat Protection onboarding issues.

    Configuration Manager che mostra la corretta distribuzione senza errori

Verificare che i dispositivi siano conformi al servizio di prevenzione della perdita Microsoft 365 endpointCheck that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service

È possibile impostare una regola di conformità per l'elemento di configurazione in System Center 2012 R2 Configuration Manager per monitorare la distribuzione.You can set a compliance rule for configuration item in System Center 2012 R2 Configuration Manager to monitor your deployment.

Nota

Questa procedura e voce del Registro di sistema si applica a Endpoint DLP e Advanced Threat Protection.This procedure and registry entry applies to Endpoint DLP as well as Advanced Threat Protection.

Questa regola deve essere un elemento di configurazione della regola di conformità non correttiva che monitori il valore di una chiave del Registro di sistema nei dispositivi di destinazione.This rule should be a non-remediating compliance rule configuration item that monitors the value of a registry key on targeted devices.

Monitorare la seguente voce della chiave del Registro di sistema:Monitor the following registry key entry:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

Per ulteriori informazioni, vedere Introduction to compliance settings in System Center 2012 R2 Configuration Manager.For more information, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.