Få Windows 10 och Windows 11 enheter med Konfigurationshanteraren

Gäller för:

Onboard-enheter med System Center Configuration Manager

  1. Hämta konfigurationspaketfilen ( .zip (DeviceComplianceOnboardingPackage.zip) från Microsofts efterlevnadscenter.

  2. I navigeringsfönstret väljer du Inställningar > Onboarding > Onboarding för enheter.

  3. I fältet Distributionsmetod väljer du Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  4. Välj Ladda ned paket och spara .zip filen.

  5. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av de nätverksadministratörer som ska distribuera paketet. Du bör ha en fil med namnet DeviceComplianceOnboardingScript.cmd.

  6. Distribuera paketet genom att följa stegen i artikeln Paket och program i System Center 2012 R2 Configuration Manager.

  7. Välj en fördefinierad enhetssamling att distribuera paketet till.

Anteckning

Microsoft 365 informationsskydd inte har stöd för onboarding under fas OOBE (Out-Box Experience). Se till att användarna slutför OOBE när de har Windows installationen eller uppgraderingen.

Tips

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att en enhet är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.

Observera att det är möjligt att skapa en identifieringsregel i ett Configuration Manager-program för att kontinuerligt kontrollera om en enhet har introducerats. Ett program är en annan typ av objekt än ett paket och ett program. Om en enhet ännu inte är igång (på grund av att OOBE har slutförts eller av någon annan anledning) försöker Konfigurationshanteraren att registrera enheten igen tills regeln identifierar statusändringen.

Det här kan du åstadkomma genom att skapa en kontroll för identifieringsregel om registervärdet "OnboardingState" (av typen REG_DWORD) = 1. Registervärdet finns under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Mer information finns i Konfigurera identifieringsmetoder i System Center 2012 R2 Configuration Manager.

Konfigurera exempelsamlingsinställningar

För varje enhet kan du ange ett konfigurationsvärde för att ange om exempel kan samlas in från enheten när en begäran görs via Microsoft Defender Säkerhetscenter att skicka en fil för djupanalys.

Anteckning

De här konfigurationsinställningarna görs vanligtvis via Konfigurationshanteraren.

Du kan ange en regel för efterlevnad för konfigurationsobjektet i Konfigurationshanteraren om du vill ändra inställningen för exempelresursen på en enhet.

Den här regeln bör vara ett konfigurationsobjekt för efterlevnadsregel som anger värdet på en registernyckel på riktade enheter för att säkerställa att de är klagomål.

Konfigurationen anges via följande registernyckelpost:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

Var:
Nyckeltyp är en D-WORD.
Möjliga värden är:

  • 0 – tillåter inte exempeldelning från den här enheten
  • 1 – tillåter delning av alla filtyper från den här enheten

Standardvärdet är 1 om registernyckeln inte finns.

Mer information om hur System Center Configuration Manager efterlevnad finns i Introduktion till efterlevnadsinställningar i System Center 2012 R2 Configuration Manager.

Efter att du har introducerat enheter för tjänsten är det viktigt att du utnyttjar de skyddsfunktioner som ingår i tjänsten genom att aktivera dem med följande rekommenderade konfigurationsinställningar.

Konfiguration av enhetssamling

Om du använder Endpoint Configuration Manager, version 2002 eller senare kan du välja att bredda distributionen så att den omfattar servrar eller klienter på nednivå.

Nästa generations skyddskonfiguration

Följande konfigurationsinställningar rekommenderas:

Skanna

  • Skanna flyttbara lagringsenheter, till exempel USB-enheter: Ja

Realtidsskydd

  • Aktivera beteendeuppföljning: Ja
  • Aktivera skydd mot potentiellt oönskade program vid nedladdning och före installationen: Ja

Molnskyddstjänst

  • Molnskyddstjänsttyp: Avancerat medlemskap

Minskning av attackytan Konfigurera alla tillgängliga regler för granskning.

Anteckning

Att blockera dessa aktiviteter kan avbryta legitima affärsprocesser. Det bästa sättet är att ange allt som ska granskas, identifiera vilka som är säkra att aktivera och sedan aktivera inställningarna på slutpunkter som inte har falsk positiv identifiering.

Nätverksskydd

Innan du aktiverar nätverksskydd i gransknings- eller blockeringsläge bör du kontrollera att du har installerat uppdateringen för plattformsuppdateringen mot skadlig kod som du kan få från supportsidan.

Kontrollerad mappåtkomst

Aktivera funktionen i granskningsläge i minst 30 dagar. Granska identifieringar och skapa en lista över program som får skriva i skyddade kataloger efter den här perioden.

Mer information finns i Utvärdera reglerad mappåtkomst.

Offboard-enheter med Konfigurationshanteraren

Av säkerhetsskäl upphör paketet som används till Offboard-enheter 30 dagar efter det datum då det laddades ned. Utgångna offboarding-paket som skickats till en enhet kommer att avvisas. När du laddar ned ett offboarding-paket meddelas du om paketens utgångsdatum och det inkluderas också i paketets namn.

Anteckning

Principer för onboarding och offboarding får inte distribueras på samma enhet samtidigt, annars kan det orsaka oförutsägbara tavlor.

Offboard-enheter som Microsoft Endpoint Configuration Manager current branch

Om du använder Microsoft Endpoint Configuration Manager current branch, se Skapa en konfigurationsfil för offboarding.

Offboard-enheter med System Center 2012 R2 Configuration Manager

  1. Hämta offboarding-paketet från Microsoft 365 Efterlevnadscenter:

  2. I navigeringsfönstret väljer du Inställningar > Avboarding av > enheten.

  3. Välj Windows 10 som operativsystem.

  4. I fältet Distributionsmetod väljer du Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  5. Välj Ladda ned paket och spara .zip filen.

  6. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av de nätverksadministratörer som ska distribuera paketet. Du bör ha en fil med namnet DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  7. Distribuera paketet genom att följa stegen i artikeln Paket och program i System Center 2012 R2 Configuration Manager.

  8. Välj en fördefinierad enhetssamling att distribuera paketet till.

Viktigt

Offboarding gör att enheten slutar skicka sensordata till portalen men data från enheten, inklusive referens till aviseringar som den haft kommer att behållas i upp till 6 månader.

Övervaka enhetskonfiguration

Om du använder en Microsoft Endpoint Configuration Manager gren använder du den inbyggda Microsoft Defender för slutpunkt-instrumentpanelen i konfigurationshanterarens konsol. Mer information finns i Microsoft Defender Avancerat skydd – Bildskärm.

Om du använder konfigurationshanteraren System Center 2012 R2 består övervakning av två delar:

  1. Bekräfta att konfigurationspaketet har distribuerats korrekt och körs (eller har körts) på enheterna i nätverket.

  2. Kontrollera att enheterna är kompatibla med registreringstjänsten för Microsoft 365 -enheter (det säkerställer att enheten kan slutföra onboarding-processen och kan fortsätta rapportera data till tjänsten).

Bekräfta att konfigurationspaketet har distribuerats korrekt

  1. Klicka på Övervakning längst ned i navigeringsfönstret i konfigurationshanterarens konsol.

  2. Välj Översikt och sedan Distributioner.

  3. Välj på distributionen med paketets namn.

  4. Granska statusindikatorerna under Slutstatistik och Innehållsstatus.

    Om distributionen misslyckades (enheter med fel- och krav som inte uppfylls eller statusen Misslyckades) kan du behöva felsöka enheterna. Mer information finns i Felsöka onboarding-problem med Microsoft Defender Advanced Threat Protection.

    Konfigurationshanteraren visar en lyckad distribution utan fel.

Kontrollera att enheterna är kompatibla med Microsoft 365 ändpunktstjänst för dataförlustskydd

Du kan ange en regel för efterlevnad för konfigurationsobjekt i System Center 2012 R2 Configuration Manager för att övervaka distributionen.

Anteckning

Den här proceduren och registerposten gäller för Slutpunkt DLP samt Defender för Endpoint.

Den här regeln bör vara ett konfigurationsobjekt som inte åtgärdar konfigurationsobjekt för efterlevnadsregel som övervakar värdet för en registernyckel på riktade enheter.

Övervaka följande registernyckelpost:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

Mer information finns i Introduktion till efterlevnadsinställningar i System Center 2012 R2 Configuration Manager.