將 Windows 裝置上線至 Microsoft 365 概觀
適用於:
端點資料外洩防護 (端點 DLP) 和內部風險管理要求 Windows 10 Windows 和 Windows 11 裝置上線到服務,才能將監視資料傳送至服務。
端點 DLP 可讓您監視 Windows 10 或 Windows 11 裝置,並偵測敏感性項目使用和共用的時間。 這可提供您所需的可見度和控制,以確保它們得到正確的使用與保護,並協助防治可能導致威脅入侵的風險行為。 如需所有 Microsoft DLP 供應項目的詳細資訊,請參閱了解資料外洩防護。 若要深入了解端點 DLP,請參閱 深入了解端點資料外洩防護。
端點 DLP 也可讓您將執行下列 Windows Server 版本的裝置上線:
Windows Server 2019 (2023 年 11 月 14 日 — KB5032196 (OS 組建 17763.5122) - Microsoft 支援服務)
Windows Server 2022 (2023 年 11 月 14 日 安全性更新 (KB5032198) - Microsoft 支援服務)
注意事項
安裝支援的 Windows Server KB 會停用伺服器上的 分類 功能。 這表示端點 DLP 不會分類伺服器上的檔案。 不過,端點 DLP 仍會保護伺服器上那些在伺服器上安裝這些 KB 之前分類的檔案。 若要確保此保護,請在 2023 年 10 月) 或更新版本 (安裝 Microsoft Defender 4.18.23100 版。
根據預設,一開始上線時,Windows 伺服器不會啟用端點 DLP。 您必須先開啟已上線伺服器的端點 DLP 支援,才能在 [活動總管] 中查看 伺服器的端點 DLP 事件。
正確設定之後,相同的數據遺失保護原則就可以自動套用至 Windows 計算機和 Windows 伺服器。
內部風險管理採用完整的服務和第三方指標,可協助您快速發現、分級有風險的使用者活動,並採取行動。 透過使用 Microsoft 365 和 Microsoft Graph 中的記錄,內部風險管理可讓您定義用於識別風險指標的特定原則,並且採取動作以緩解這些風險。 如需詳細資訊,請參閱 深入了解內部風險管理。
裝置上線在 Microsoft 365 和適用於端點的 Microsoft Defender (MDE) 之間共用。 如果您已將裝置上線以 MDE,它們會出現在受管理的裝置清單中,而且不需要進行任何進一步的步驟,即可將這些特定裝置上線。 在合規性入口網站中將裝置上線也會將其上線至 MDE。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
開始之前
SKU/訂閱授權
在這裡檢查授權需求。
權限
若要啟用裝置管理,您使用的帳戶必須屬於下列任一角色的成員:
- 全域系統管理員
- 安全性系統管理員
- 合規性系統管理員
如果想要使用自訂帳戶來查看 [裝置管理] 設定,則必須具有下列其中一種角色:
- 全域系統管理員
- 合規性系統管理員
- 合規性資料系統管理員
- 全域讀取者
如果想要使用自訂帳戶來存取上線/離線頁面,則必須具有下列其中一種角色:
- 全域系統管理員
- 合規性系統管理員
如果想要使用自訂帳戶來開啟/關閉裝置監控,則必須具有下列其中一種角色:
- 全域系統管理員
- 合規性系統管理員
準備您的 Windows 裝置
請確認您需要上線的 Windows 裝置符合這些需求。
必須執行下列其中一個 Windows 或 Windows Server 組建:
反惡意程式碼用戶端版本為 4.18.2110 或更新版本。 開啟 Windows 安全性應用程式,選取 [設定] 圖示,然後選取 [關於],以查看您目前的版本。 版本號碼會列在 [反惡意程式碼用戶端版本] 底下。 安裝 Windows Update KB4052623 以更新至最新的反惡意程式碼用戶端版本。 如需詳細資訊,請參閱:Microsoft Defender Windows 中的防病毒軟體。
重要事項
沒有任何 Windows 安全性元件需要作用中,但必須啟用即時保護和行為監視器。
所有裝置都必須為下列其中一項:
已安裝支援的 Microsoft 365 Apps 版本,並處於最新狀態。 如需最強大的保護和用戶體驗,請確定已安裝 Microsoft 365 Apps 16.0.14701.0 版或更新版本。
注意事項
- 如果您執行的是 Office 365,則 KB 4577063 是必要項目。
- 如果您使用的是 Microsoft 365 Apps 版本 2004-2008 的每月企業頻道,您需要更新到版本 2009 或更高版本。 請參閲目前版本的 Microsoft 365 Apps 的更新歷程記錄 (依日期列出)。 若要深入了解已知問題,請參閱 2020 年目前通道版本的版本資訊 中的 Office 套件一節。
如果您有使用裝置 Proxy 連線至網際網路的端點,請按照為資訊保護設定裝置 Proxy 和網際網路連線設定中的程序。
重要事項
請確定您允許 MpDlpService.exe 通過防火牆、第三方防病毒軟體或應用程控。
將 Windows 10 或 Windows 11 裝置上線
您必須先啟用裝置監控與上線端點,才能監視與防護裝置上的敏感性項目。 這兩個動作都是在 Microsoft Purview 合規性入口網站中完成。
當您想要將尚未上線的裝置上線時,請下載適當的腳本,並將其部署至這些裝置。 請遵循下列裝置上線程序。
如果您已將裝置上線到 適用於端點的 Microsoft Defender,它們就會出現在受控裝置清單中。
在此部署案例中,您會將 Windows 10 或 Windows 11 尚未上線的裝置上線。
開啟 Microsoft Purview 合規性入口網站。 選擇 [設定]>[裝置上線]>[裝置]。
注意事項
如果您先前已部署適用於端點的 Microsoft Defender,該程序期間上線的所有裝置都會列在 [裝置] 清單中。 不需要再次上線。 通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。
選擇 [開啟裝置上線]。
選擇 [上線] 開始上線程序。
從 [ 部署方法 ] 列表中選擇您想要部署到這些其他裝置的方式,然後 下載套件。
從下表選擇要遵循的適當程序:
文章 描述 Intune 使用行動裝置管理工具或 Microsoft Intune 在裝置上部署組態套件。 Configuration Manager 您可以使用 Microsoft Endpoint Configuration Manager (最新分支) 版本 1606 或 Microsoft Endpoint Configuration Manager (最新分支) 版本 1602 或更早版本,在裝置上部署組態套件。 群組原則 使用群組原則在裝置上部署組態套件。 本機指令碼 深入了解如何使用本機指令碼在端點上部署組態套件。 虛擬桌面基礎結構 (VDI) 裝置 深入了解如何使用組態套件來設定 VDI 裝置。
裝置設定和原則同步處理狀態
您可以在 [裝置] 清單中,檢查所有已上線裝置的設定狀態和原則同步處理狀態。 如需設定和原則狀態的詳細資訊,請選取已上線的裝置以開啟詳細數據窗格。
設定狀態 會顯示裝置是否已正確設定、正在傳送活動訊號給 Purview,以及上次驗證設定的時間。 針對 Windows 裝置設定,包括檢查 Microsoft Defender 防病毒軟體一律開啟保護和行為監視的狀態。
原則同步狀態會顯示裝置是否收到最新的原則版本,或對應的原則是否已成功同步至裝置。
| 欄位值 | 組態狀態 | 原則同步處理狀態 |
|---|---|---|
| 已更新 | 已啟用並正確設定裝置健康情況參數。 | 裝置已更新為目前的原則版本。 |
| 未更新 | 您必須啟用此裝置的組態設定。 遵循 Microsoft Defender 防病毒軟體永遠開啟保護中的程式 | 此裝置尚未同步處理最新的原則更新。 如果在過去 2 小時內更新原則,請等候原則連線到您的裝置。 |
| 無 | 裝置清單中無法使用裝置屬性。 這可能是因為裝置不符合最低 OS 版本或設定,或裝置剛上線。 | 裝置清單中無法使用裝置屬性。 這可能是因為裝置不符合最低 OS 版本或設定,或裝置剛上線。 |
同步處理狀態最多可能需要 2 小時才會反映在儀錶板上。 裝置必須上線,原則更新才會發生。 如果狀態未更新,請檢查上次看到裝置的時間。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應