Integrar dispositivo Windows 10 usando o Configuration Manager

Aplica-se a:

Dispositivos de integração usando System Center Configuration Manager

  1. Abra o arquivo de pacote de configuração do Configuration Manager .zip (DeviceComplianceOnboardingPackage.zip) que você baixou do assistente de integração do serviço. Você também pode obter o pacote do Centro de Conformidade da Microsoft.

  2. No painel de navegação, selecione Configurações > integração de > dispositivos.

  3. No campo método Deployment, selecione Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  4. Selecione Baixar pacote e salve o arquivo .zip.

  5. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote. Você deve ter um arquivo chamado DeviceComplianceOnboardingScript.cmd.

  6. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.

  7. Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.

Observação

Microsoft 365 A prevenção contra perda de dados do ponto de extremidade não dá suporte à integração durante a fase OOBE (Experiência Inicial). Certifique-se de que os usuários concluam o OOBE após Windows instalação ou atualização.

Dica

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Execute a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Observe que é possível criar uma regra de detecção em um aplicativo do Configuration Manager para verificar continuamente se um dispositivo foi internado. Um aplicativo é um tipo diferente de objeto do que um pacote e um programa. Se um dispositivo ainda não estiver conectado (devido à conclusão pendente do OOBE ou qualquer outro motivo), o Configuration Manager repetirá a integração do dispositivo até que a regra detecte a alteração de status.

Esse comportamento pode ser realizado criando uma verificação de regra de detecção se o valor do Registro "OnboardingState" (do tipo REG_DWORD) = 1. Esse valor do Registro está localizado em "HKLM\SOFTWARE\Microsoft\Windows Proteção Avançada contra Ameaças\Status". Para obter mais informações, consulte Configure Detection Methods in System Center 2012 R2 Configuration Manager.

Configurar configurações de coleção de exemplos

Para cada dispositivo, você pode definir um valor de configuração para determinar se amostras podem ser coletadas do dispositivo quando uma solicitação é feita por meio do Central de Segurança do Microsoft Defender enviar um arquivo para análise profunda.

Observação

Essas configurações geralmente são feitas por meio do Configuration Manager.

Você pode definir uma regra de conformidade para o item de configuração no Configuration Manager para alterar a configuração de compartilhamento de exemplo em um dispositivo.

Essa regra deve ser um item de configuração de regra de conformidade de correção que define o valor de uma chave do Registro em dispositivos direcionados para garantir que eles sejam reclamações.

A configuração é definida por meio da seguinte entrada de chave do Registro:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

Onde:
Tipo de chave é um D-WORD.
Os valores possíveis são:

  • 0 - não permite o compartilhamento de exemplo deste dispositivo
  • 1 - permite o compartilhamento de todos os tipos de arquivo deste dispositivo

O valor padrão caso a chave do Registro não exista é 1.

Para obter mais informações sobre System Center Configuration Manager Conformidade, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.

Após a integração de dispositivos ao serviço, é importante aproveitar os recursos de proteção contra ameaças incluídos, habilitando-os com as seguintes configurações recomendadas.

Configuração do conjunto de dispositivos

Se você estiver usando o Endpoint Configuration Manager, versão 2002 ou posterior, poderá optar por ampliar a implantação para incluir servidores ou clientes de nível inferior.

Configuração de proteção de próxima geração

As seguintes configurações são recomendadas:

Examinar

  • Examinar dispositivos de armazenamento removíveis, como unidades USB: Sim

Proteção em tempo real

  • Habilitar o Monitoramento Comportamental: Sim
  • Habilitar a proteção contra aplicativos potencialmente indesejados no download e antes da instalação: Sim

Serviço de Proteção na Nuvem

  • Tipo de associação do Serviço de Proteção na Nuvem: Associação avançada

Redução de superfície de ataque Configure todas as regras disponíveis para Auditoria.

Observação

O bloqueio dessas atividades pode interromper processos comerciais legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e, em seguida, ativar essas configurações em pontos de extremidade que não têm detecções de falsos positivos.

Proteção de rede

Antes de ativar a proteção de rede no modo de auditoria ou bloqueio, verifique se você instalou a atualização da plataforma antimalware, que pode ser obtida na página de suporte.

Acesso controlado a pastas

Habilita o recurso no modo de auditoria por pelo menos 30 dias. Após esse período, revise as detecções e crie uma lista de aplicativos que têm permissão para gravar em diretórios protegidos.

Para obter mais informações, consulte Evaluate controlled folder access.

Dispositivos offboard usando o Configuration Manager

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado. Os pacotes de offboard expirados enviados para um dispositivo serão rejeitados. Ao baixar um pacote de offboard, você será notificado sobre a data de expiração dos pacotes e ele também será incluído no nome do pacote.

Observação

As políticas de integração e de offboard não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.

Dispositivos de offboard usando Microsoft Endpoint Configuration Manager ramificação atual

Se você usar Microsoft Endpoint Configuration Manager branch atual, consulte Create an offboarding configuration file.

Dispositivos de offboard usando System Center 2012 R2 Configuration Manager

  1. Obter o pacote de offboard do Centro de Conformidade da Microsoft:

  2. No painel de navegação, selecione Configurações > Offboarding de integração do > dispositivo.

  3. Selecione Windows 10 como o sistema operacional.

  4. No campo método Deployment, selecione Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  5. Selecione Baixar pacote e salve o arquivo .zip.

  6. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote. Você deve ter um arquivo chamado DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  7. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.

  8. Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.

Importante

O offboard faz com que o dispositivo pare de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a todos os alertas que ele teve, serão mantidos por até 6 meses.

Monitorar a configuração do dispositivo

Se você estiver usando Microsoft Endpoint Configuration Manager branch atual, use o painel integrado do Microsoft Defender para Ponto de Extremidade no console do Configuration Manager. Para obter mais informações, consulte Proteção Avançada contra Ameaças do Microsoft Defender - Monitor.

Se você estiver usando o System Center 2012 R2 Configuration Manager, o monitoramento consiste em duas partes:

  1. Confirmar se o pacote de configuração foi implantado corretamente e está sendo executado (ou executado com êxito) nos dispositivos em sua rede.

  2. Verificar se os dispositivos estão em conformidade com o serviço de prevenção contra perda de dados do ponto de extremidade do Microsoft 365 (isso garante que o dispositivo possa concluir o processo de integração e pode continuar a relatar dados ao serviço).

Confirme se o pacote de configuração foi implantado corretamente

  1. No console do Configuration Manager, clique em Monitoramento na parte inferior do painel de navegação.

  2. Selecione Visão geral e implantações.

  3. Selecione na implantação com o nome do pacote.

  4. Revise os indicadores de status em Estatísticas de Conclusão e Status de Conteúdo.

    Se houver implantações com falha (dispositivos com status Error, Requirements Not Met, ou Failed), talvez seja necessário solucionar problemas dos dispositivos. Para obter mais informações, consulte Solução de problemas de integração da Proteção Avançada contra Ameaças do Microsoft Defender.

    Gerenciador de Configurações mostrando implantação bem-sucedida sem erros

Verifique se os dispositivos estão em conformidade com o serviço Microsoft 365 de prevenção contra perda de dados do ponto de extremidade

Você pode definir uma regra de conformidade para o item de configuração no System Center 2012 R2 Configuration Manager para monitorar sua implantação.

Observação

Este procedimento e a entrada do Registro se aplica à DLP do ponto de extremidade, bem como à Proteção Avançada contra Ameaças.

Essa regra deve ser um item de configuração de regra de conformidade não corretivo que monitora o valor de uma chave do Registro em dispositivos direcionados.

Monitore a seguinte entrada da chave do Registro:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

Para obter mais informações, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.