Integrar dispositivo Windows 10 usando o Configuration ManagerOnboard Windows 10 devices using Configuration Manager

Aplica-se a:Applies to:

Dispositivos de integração usando System Center Configuration ManagerOnboard devices using System Center Configuration Manager

  1. Abra o arquivo de pacote de configuração do Configuration Manager .zip (DeviceComplianceOnboardingPackage.zip) que você baixou do assistente de integração do serviço.Open the Configuration Manager configuration package .zip file (DeviceComplianceOnboardingPackage.zip) that you downloaded from the service onboarding wizard. Você também pode obter o pacote do Centro de Conformidade da Microsoft.You can also get the package from Microsoft Compliance center.

  2. No painel de navegação, selecione Configurações > integração de > dispositivos.In the navigation pane, select Settings > Device Onboarding > Onboarding.

  3. No campo método Deployment, selecione Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.In the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  4. Selecione Baixar pacote e salve o arquivo .zip.Select Download package, and save the .zip file.

  5. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. Você deve ter um arquivo chamado DeviceComplianceOnboardingScript.cmd.You should have a file named DeviceComplianceOnboardingScript.cmd.

  6. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  7. Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.Choose a predefined device collection to deploy the package to.

Observação

Microsoft 365 A prevenção contra perda de dados do ponto de extremidade não dá suporte à integração durante a fase OOBE (Experiência Inicial).Microsoft 365 Endpoint data loss prevention doesn't support onboarding during the Out-Of-Box Experience (OOBE) phase. Certifique-se de que os usuários concluam o OOBE após Windows instalação ou atualização.Make sure users complete OOBE after running Windows installation or upgrading.

Dica

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço.After onboarding the device, you can choose to run a detection test to verify that an device is properly onboarded to the service. Para obter mais informações, consulte Execute a detection test on a newly onboarded Microsoft Defender for Endpoint device.For more information, see Run a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Observe que é possível criar uma regra de detecção em um aplicativo do Configuration Manager para verificar continuamente se um dispositivo foi internado.Note that it is possible to create a detection rule on a Configuration Manager application to continuously check if a device has been onboarded. Um aplicativo é um tipo diferente de objeto do que um pacote e um programa.An application is a different type of object than a package and program. Se um dispositivo ainda não estiver conectado (devido à conclusão pendente do OOBE ou qualquer outro motivo), o Configuration Manager repetirá a integração do dispositivo até que a regra detecte a alteração de status.If a device is not yet onboarded (due to pending OOBE completion or any other reason), Configuration Manager will retry to onboard the device until the rule detects the status change.

Esse comportamento pode ser realizado criando uma verificação de regra de detecção se o valor do Registro "OnboardingState" (do tipo REG_DWORD) = 1.This behavior can be accomplished by creating a detection rule checking if the "OnboardingState" registry value (of type REG_DWORD) = 1. Esse valor do Registro está localizado em "HKLM\SOFTWARE\Microsoft\Windows Proteção Avançada contra Ameaças\Status".This registry value is located under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Para obter mais informações, consulte Configure Detection Methods in System Center 2012 R2 Configuration Manager.For more information, see Configure Detection Methods in System Center 2012 R2 Configuration Manager.

Configurar configurações de coleção de exemplosConfigure sample collection settings

Para cada dispositivo, você pode definir um valor de configuração para determinar se amostras podem ser coletadas do dispositivo quando uma solicitação é feita por meio do Central de Segurança do Microsoft Defender enviar um arquivo para análise profunda.For each device, you can set a configuration value to state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

Observação

Essas configurações geralmente são feitas por meio do Configuration Manager.These configuration settings are typically done through Configuration Manager.

Você pode definir uma regra de conformidade para o item de configuração no Configuration Manager para alterar a configuração de compartilhamento de exemplo em um dispositivo.You can set a compliance rule for configuration item in Configuration Manager to change the sample share setting on a device.

Essa regra deve ser um item de configuração de regra de conformidade de correção que define o valor de uma chave do Registro em dispositivos direcionados para garantir que eles sejam reclamações.This rule should be a remediating compliance rule configuration item that sets the value of a registry key on targeted devices to make sure they’re complaint.

A configuração é definida por meio da seguinte entrada de chave do Registro:The configuration is set through the following registry key entry:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

Onde:Where:
Tipo de chave é um D-WORD.Key type is a D-WORD.
Os valores possíveis são:Possible values are:

  • 0 - não permite o compartilhamento de exemplo deste dispositivo0 - doesn't allow sample sharing from this device
  • 1 - permite o compartilhamento de todos os tipos de arquivo deste dispositivo1 - allows sharing of all file types from this device

O valor padrão caso a chave do Registro não exista é 1.The default value in case the registry key doesn’t exist is 1.

Para obter mais informações sobre System Center Configuration Manager Conformidade, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.For more information about System Center Configuration Manager Compliance, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.

Após a integração de dispositivos ao serviço, é importante aproveitar os recursos de proteção contra ameaças incluídos, habilitando-os com as seguintes configurações recomendadas.After onboarding devices to the service, it's important to take advantage of the included threat protection capabilities by enabling them with the following recommended configuration settings.

Configuração do conjunto de dispositivosDevice collection configuration

Se você estiver usando o Endpoint Configuration Manager, versão 2002 ou posterior, poderá optar por ampliar a implantação para incluir servidores ou clientes de nível inferior.If you're using Endpoint Configuration Manager, version 2002 or later, you can choose to broaden the deployment to include servers or down-level clients.

Configuração de proteção de próxima geraçãoNext generation protection configuration

As seguintes configurações são recomendadas:The following configuration settings are recommended:

ExaminarScan

  • Examinar dispositivos de armazenamento removíveis, como unidades USB: SimScan removable storage devices such as USB drives: Yes

Proteção em tempo realReal-time Protection

  • Habilitar o Monitoramento Comportamental: SimEnable Behavioral Monitoring: Yes
  • Habilitar a proteção contra aplicativos potencialmente indesejados no download e antes da instalação: SimEnable protection against Potentially Unwanted Applications at download and prior to installation: Yes

Serviço de Proteção na NuvemCloud Protection Service

  • Tipo de associação do Serviço de Proteção na Nuvem: Associação avançadaCloud Protection Service membership type: Advanced membership

Redução de superfície de ataque Configure todas as regras disponíveis para Auditoria.Attack surface reduction Configure all available rules to Audit.

Observação

O bloqueio dessas atividades pode interromper processos comerciais legítimos.Blocking these activities may interrupt legitimate business processes. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e, em seguida, ativar essas configurações em pontos de extremidade que não têm detecções de falsos positivos.The best approach is setting everything to audit, identifying which ones are safe to turn on, and then enabling those settings on endpoints which do not have false positive detections.

Proteção de redeNetwork protection

Antes de ativar a proteção de rede no modo de auditoria ou bloqueio, verifique se você instalou a atualização da plataforma antimalware, que pode ser obtida na página de suporte.Prior to enabling network protection in audit or block mode, ensure that you've installed the antimalware platform update, which can be obtained from the support page.

Acesso controlado a pastasControlled folder access

Habilita o recurso no modo de auditoria por pelo menos 30 dias.Enable the feature in audit mode for at least 30 days. Após esse período, revise as detecções e crie uma lista de aplicativos que têm permissão para gravar em diretórios protegidos.After this period, review detections and create a list of applications that are allowed to write to protected directories.

Para obter mais informações, consulte Evaluate controlled folder access.For more information, see Evaluate controlled folder access.

Dispositivos offboard usando o Configuration ManagerOffboard devices using Configuration Manager

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado.For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. Os pacotes de offboard expirados enviados para um dispositivo serão rejeitados.Expired offboarding packages sent to a device will be rejected. Ao baixar um pacote de offboard, você será notificado sobre a data de expiração dos pacotes e ele também será incluído no nome do pacote.When downloading an offboarding package, you will be notified of the packages expiry date and it will also be included in the package name.

Observação

As políticas de integração e de offboard não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

Dispositivos de offboard usando Microsoft Endpoint Configuration Manager ramificação atualOffboard devices using Microsoft Endpoint Configuration Manager current branch

Se você usar Microsoft Endpoint Configuration Manager branch atual, consulte Create an offboarding configuration file.If you use Microsoft Endpoint Configuration Manager current branch, see Create an offboarding configuration file.

Dispositivos de offboard usando System Center 2012 R2 Configuration ManagerOffboard devices using System Center 2012 R2 Configuration Manager

  1. Obter o pacote de offboard do Centro de Conformidade da Microsoft:Get the offboarding package from Microsoft Compliance center:

  2. No painel de navegação, selecione Configurações > Offboarding de integração do > dispositivo.In the navigation pane, select Settings > Device onboarding> Offboarding.

  3. Selecione Windows 10 como o sistema operacional.Select Windows 10 as the operating system.

  4. No campo método Deployment, selecione Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.In the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  5. Selecione Baixar pacote e salve o arquivo .zip.Select Download package, and save the .zip file.

  6. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. Você deve ter um arquivo chamado DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.You should have a file named DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  7. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  8. Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.Choose a predefined device collection to deploy the package to.

Importante

O offboard faz com que o dispositivo pare de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a todos os alertas que ele teve, serão mantidos por até 6 meses.Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

Monitorar a configuração do dispositivoMonitor device configuration

Se você estiver usando Microsoft Endpoint Configuration Manager branch atual, use o painel integrado do Microsoft Defender para Ponto de Extremidade no console do Configuration Manager.If you're using Microsoft Endpoint Configuration Manager current branch, use the built-in Microsoft Defender for Endpoint dashboard in the Configuration Manager console. Para obter mais informações, consulte Proteção Avançada contra Ameaças do Microsoft Defender - Monitor.For more information, see Microsoft Defender Advanced Threat Protection - Monitor.

Se você estiver usando o System Center 2012 R2 Configuration Manager, o monitoramento consiste em duas partes:If you're using System Center 2012 R2 Configuration Manager, monitoring consists of two parts:

  1. Confirmar se o pacote de configuração foi implantado corretamente e está sendo executado (ou executado com êxito) nos dispositivos em sua rede.Confirming the configuration package has been correctly deployed and is running (or has successfully run) on the devices in your network.

  2. Verificar se os dispositivos estão em conformidade com o serviço de prevenção contra perda de dados do ponto de extremidade do Microsoft 365 (isso garante que o dispositivo possa concluir o processo de integração e pode continuar a relatar dados ao serviço).Checking that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service (this ensures the device can complete the onboarding process and can continue to report data to the service).

Confirme se o pacote de configuração foi implantado corretamenteConfirm the configuration package has been correctly deployed

  1. No console do Configuration Manager, clique em Monitoramento na parte inferior do painel de navegação.In the Configuration Manager console, click Monitoring at the bottom of the navigation pane.

  2. Selecione Visão geral e implantações.Select Overview and then Deployments.

  3. Selecione na implantação com o nome do pacote.Select on the deployment with the package name.

  4. Revise os indicadores de status em Estatísticas de Conclusão e Status de Conteúdo.Review the status indicators under Completion Statistics and Content Status.

    Se houver implantações com falha (dispositivos com status Error, Requirements Not Met, ou Failed), talvez seja necessário solucionar problemas dos dispositivos.If there are failed deployments (devices with Error, Requirements Not Met, or Failed statuses), you may need to troubleshoot the devices. Para obter mais informações, consulte, Solucionar Proteção Avançada contra Ameaças do Microsoft Defender problemas de integração.For more information, see, Troubleshoot Microsoft Defender Advanced Threat Protection onboarding issues.

    Gerenciador de Configurações mostrando implantação bem-sucedida sem erros

Verifique se os dispositivos estão em conformidade com o serviço Microsoft 365 de prevenção contra perda de dados do ponto de extremidadeCheck that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service

Você pode definir uma regra de conformidade para o item de configuração no System Center 2012 R2 Configuration Manager para monitorar sua implantação.You can set a compliance rule for configuration item in System Center 2012 R2 Configuration Manager to monitor your deployment.

Observação

Este procedimento e a entrada do Registro se aplica à DLP do ponto de extremidade, bem como à Proteção Avançada contra Ameaças.This procedure and registry entry applies to Endpoint DLP as well as Advanced Threat Protection.

Essa regra deve ser um item de configuração de regra de conformidade não corretivo que monitora o valor de uma chave do Registro em dispositivos direcionados.This rule should be a non-remediating compliance rule configuration item that monitors the value of a registry key on targeted devices.

Monitore a seguinte entrada da chave do Registro:Monitor the following registry key entry:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

Para obter mais informações, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.For more information, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.