Onboardare i dispositivi Windows 10 usando Configuration Manager

Si applica a:

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

Sistemi operativi client supportati

In base alla versione di Configuration Manager in esecuzione, è possibile eseguire l'onboarded dei seguenti sistemi operativi client:

  • Configuration Manager versione 1910 e precedenti:

    • Client computer che eseguono Windows 10
  • Configuration Manager versione 2002 e successive:

    A partire da Configuration Manager versione 2002, è possibile eseguire l'onboardboard dei sistemi operativi seguenti:

    • Windows 8.1
    • Windows 10
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2016 versione 1803 o successiva
    • Windows Server 2019

Nota

Per ulteriori informazioni su come eseguire l'onboard Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019, vedere Onboard Windows servers.

Onboardare i dispositivi System Center Configuration Manager

Consulta il PDF o il Visio per vedere i vari percorsi nella distribuzione di Microsoft Defender per Endpoint.

  1. Aprire il file del pacchetto di .zip configuration manager (WindowsDefenderATPOnboardingPackage.zip) scaricato dalla procedura guidata di onboarding del servizio. Puoi anche ottenere il pacchetto da Microsoft 365 Defender portale:

    1. Nel riquadro di spostamento seleziona Impostazioni > > > Onboarding gestione dispositivi endpoint.
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Seleziona Scarica pacchetto e salva il file .zip file.
  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto. Dovresti avere un file denominato WindowsDefenderATPOnboardingScript.cmd.

  3. Distribuire il pacchetto seguendo la procedura descritta nell'articolo Packages and Programs in System Center 2012 R2 Configuration Manager.

    Scegli una raccolta di dispositivi predefinita in cui distribuire il pacchetto.

Nota

Defender for Endpoint non supporta l'onboarding durante la fase out-of-box experience (OOBE). Assicurarsi che gli utenti completino la Procedura guidata dopo l'Windows o l'aggiornamento.

Tieni presente che è possibile creare una regola di rilevamento in un'applicazione di Configuration Manager per verificare continuamente se è stato eseguito l'onboarded di un dispositivo. Un'applicazione è un tipo di oggetto diverso rispetto a un pacchetto e a un programma. Se un dispositivo non è ancora stato onboarded (a causa del completamento della Configurazione guidata in sospeso o di qualsiasi altro motivo), Configuration Manager ritenterà di eseguire l'onboarded del dispositivo fino a quando la regola non rileva la modifica dello stato.

Questo comportamento può essere ottenuto creando una regola di rilevamento che controlla se il valore del Registro di sistema "OnboardingState" (di tipo REG_DWORD) = 1. Questo valore del Registro di sistema si trova in "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Per ulteriori informazioni, vedere Configure Detection Methods in System Center 2012 R2 Configuration Manager.

Configurare le impostazioni della raccolta di esempio

Per ogni dispositivo, puoi impostare un valore di configurazione per indicare se è possibile raccogliere campioni dal dispositivo quando viene effettuata una richiesta tramite Microsoft 365 Defender per inviare un file per l'analisi approfondita.

Nota

Queste impostazioni di configurazione vengono in genere eseguite tramite Configuration Manager.

Puoi impostare una regola di conformità per l'elemento di configurazione in Configuration Manager per modificare l'impostazione della condivisione di esempio in un dispositivo.

Questa regola deve essere un elemento di configurazione della regola di conformità che imposta il valore di una chiave del Registro di sistema nei dispositivi di destinazione per assicurarsi che siano reclami.

La configurazione viene impostata tramite la voce della chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Dove Tipo di chiave è D-WORD. I valori possibili sono:

  • 0: non consente la condivisione di esempi da questo dispositivo
  • 1: consente la condivisione di tutti i tipi di file da questo dispositivo

Il valore predefinito nel caso in cui la chiave del Registro di sistema non esista è 1.

Per ulteriori informazioni sulla System Center Configuration Manager conformità, vedere Introduzione alle impostazioni di conformità in System Center 2012 R2 Configuration Manager.

Dopo l'onboarding dei dispositivi al servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.

Configurazione raccolta dispositivi

Se si usa Endpoint Configuration Manager, versione 2002 o successiva, è possibile scegliere di ampliare la distribuzione per includere server o client di livello inferiore.

Configurazione di protezione di nuova generazione

Sono consigliate le impostazioni di configurazione seguenti:

Analisi

  • Analizzare i dispositivi di archiviazione rimovibili, ad esempio le unità USB: Sì

Protezione in tempo reale

  • Abilita monitoraggio comportamentale: Sì
  • Abilitare la protezione da applicazioni potenzialmente indesiderate al download e prima dell'installazione: Sì

Servizio di protezione cloud

  • Tipo di appartenenza al servizio di protezione cloud: appartenenza avanzata

Riduzione della superficie d'attacco

Configurare tutte le regole disponibili su Controllo.

Nota

Il blocco di queste attività può interrompere i processi aziendali legittimi. L'approccio migliore consiste nell'impostare tutti i controlli, identificare quelli sicuri da attivare e quindi abilitare tali impostazioni sugli endpoint che non dispongono di rilevamenti falsi positivi.

Protezione della rete

Prima di abilitare la protezione di rete in modalità di controllo o blocco, assicurati di aver installato l'aggiornamento della piattaforma antimalware, che può essere ottenuto dalla pagina di supporto.

Accesso controllato alle cartelle

Abilita la funzionalità in modalità di controllo per almeno 30 giorni. Dopo questo periodo, esaminare i rilevamenti e creare un elenco di applicazioni che possono scrivere nelle directory protette.

Per ulteriori informazioni, vedere Evaluate controlled folder access.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente onboarding nel servizio. Per altre informazioni, vedi Eseguire un test di rilevamento su un dispositivo Microsoft Defender for Endpoint appena onboarded.

Dispositivi offboard con Configuration Manager

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data di download. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Durante il download di un pacchetto di offboarding, ti verrà notificata la data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà collisioni imprevedibili.

Offboard devices using Microsoft Endpoint Manager current branch

Se usi il ramo Microsoft Endpoint Manager corrente, vedi Creare un file di configurazione di offboarding.

Offboard devices using System Center 2012 R2 Configuration Manager

  1. Ottenere il pacchetto di offboarding da Microsoft 365 Defender portale:

    1. Nel riquadro di spostamento seleziona Impostazioni > > > Offboarding gestione dispositivi endpoint.
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Seleziona Scarica pacchetto e salva il file .zip file.
  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto. Dovresti avere un file denominato WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Distribuire il pacchetto seguendo la procedura descritta nell'articolo Packages and Programs in System Center 2012 R2 Configuration Manager.

    Scegli una raccolta di dispositivi predefinita in cui distribuire il pacchetto.

Importante

L'offboarding fa sì che il dispositivo interrompi l'invio dei dati del sensore al portale, ma i dati del dispositivo, incluso il riferimento a eventuali avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.

Monitorare la configurazione del dispositivo

Se usi il ramo Microsoft Endpoint Manager corrente, usa il dashboard predefinito di Defender for Endpoint nella console di Configuration Manager. Per altre informazioni, vedi Defender for Endpoint - Monitor.

Se si usa System Center 2012 R2 Configuration Manager, il monitoraggio è costituito da due parti:

  1. Verificare che il pacchetto di configurazione sia stato distribuito correttamente e che sia in esecuzione (o sia stato eseguito correttamente) nei dispositivi della rete.

  2. Verifica che i dispositivi siano conformi al servizio Defender for Endpoint (in questo modo il dispositivo può completare il processo di onboarding e può continuare a segnalare i dati al servizio).

Verificare che il pacchetto di configurazione sia stato distribuito correttamente

  1. Nella console di Configuration Manager fare clic su Monitoraggio nella parte inferiore del riquadro di spostamento.

  2. Selezionare Panoramica e quindi Distribuzioni.

  3. Selezionare nella distribuzione con il nome del pacchetto.

  4. Esaminare gli indicatori di stato in Statistiche di completamento e Stato contenuto.

    Se sono presenti distribuzioni non riuscite (dispositivi con stato Errore, Requisiti non soddisfatti o Non riusciti), potrebbe essere necessario risolvere i problemi relativi ai dispositivi. Per altre informazioni, vedi Risoluzione dei problemi di onboardingdi Microsoft Defender for Endpoint.

    Configuration Manager che mostra la distribuzione completata senza errori.

Verificare che i dispositivi siano conformi al servizio Microsoft Defender for Endpoint

È possibile impostare una regola di conformità per l'elemento di configurazione in System Center 2012 R2 Configuration Manager per monitorare la distribuzione.

Questa regola deve essere un elemento di configurazione della regola di conformità non correttiva che monitora il valore di una chiave del Registro di sistema nei dispositivi di destinazione.

Monitorare la seguente voce della chiave del Registro di sistema:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Per ulteriori informazioni, vedere Introduction to compliance settings in System Center 2012 R2 Configuration Manager.