Übersicht über das Onboarding von Windows-Geräten in Microsoft 365
Gilt für:
Die Verhinderung von Datenverlust am Endpunkt und das Insider-Risikomanagement erfordern, dass Windows 10- und Windows 11-Geräte in den Dienst eingebunden werden, damit sie Überwachungsdaten an die Dienste senden können.
Endpunkt-DLP ermöglicht es Ihnen, Windows 10- oder Windows 11-Geräte zu überwachen und zu erkennen, wenn vertrauliche Elemente verwendet und freigegeben werden. Dadurch erhalten Sie die Sichtbarkeit und Kontrolle, die Sie benötigen, um sicherzustellen, dass sie ordnungsgemäß verwendet und geschützt werden, und um riskantes Verhalten zu verhindern, das sie gefährden könnte. Weitere Informationen zu allen Microsoft-DLP-Angeboten finden Sie unter Informationen zur Verhinderung von Datenverlust. Weitere Informationen zur Verhinderung von Datenverlust am Endpunkt finden Sie unter Informationen zu Endpunkt-DLP.
Endpunkt-DLP ermöglicht ihnen auch das Onboarding von Geräten, auf denen die folgenden Versionen von Windows Server ausgeführt werden:
Windows Server 2019 (14. November 2023 – KB5032196 (BS-Build 17763.5122) – Microsoft-Support)
Windows Server 2022 (14. November 2023 Sicherheitsupdate (KB5032198) – Microsoft-Support)
Hinweis
Durch die Installation der unterstützten Windows Server KBs wird das Klassifizierungsfeature auf dem Server deaktiviert. Dies bedeutet, dass Endpunkt-DLP dateien auf dem Server nicht klassifizieren wird. Endpunkt-DLP schützt jedoch weiterhin die Dateien auf dem Server, die klassifiziert wurden, bevor diese KBs auf dem Server installiert wurden. Um diesen Schutz sicherzustellen, installieren Sie Microsoft Defender Version 4.18.23100 (Oktober 2023) oder höher.
Standardmäßig ist Endpunkt-DLP für Windows-Server beim ersten Onboarding nicht aktiviert. Bevor Sie Endpunkt-DLP-Ereignisse für Ihre Server in Activity Explorer anzeigen können, müssen Sie zuerst die Endpunkt-DLP-Unterstützung für integrierte Server aktivieren.
Nach der ordnungsgemäßen Konfiguration können die gleichen Richtlinien zum Schutz vor Datenverlust automatisch sowohl auf Windows-PCs als auch auf Windows-Server angewendet werden.
Das Insider-Risikomanagement nutzt die gesamte Bandbreite von Dienst- und Drittanbieterindikatoren, um Ihnen zu helfen, riskante Benutzeraktivitäten schnell zu erkennen, zu selektieren und darauf zu reagieren. Dank der Nutzung von Protokollen aus Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements spezifische Richtlinien definieren, um Risikoindikatoren zu identifizieren und Maßnahmen zur Verringerung dieser Risiken zu ergreifen. Weitere Informationen finden Sie unter Informationen zum Insider-Risikomanagement.
Das Geräte-Onboarding wird von Microsoft 365 und Microsoft Defender für Endpunkt (MDE) gemeinsam genutzt. Wenn Sie bereits Geräte in MDE integriert haben, werden diese in der Liste der verwalteten Geräte angezeigt, und es sind keine weiteren Schritte erforderlich, um diese spezifischen Geräte zu integrieren. Beim Onboarding von Geräten im Complianceportal werden diese auch in MDE integriert.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vorabinformationen
SKU/Abonnement-Lizenzierung
Überprüfen Sie hier die Lizenzierungsanforderungen.
Berechtigungen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die nur in Szenarien verwendet werden sollte, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.
Zum Aktivieren der Geräteverwaltung muss das von Ihnen verwendete Konto eine der folgenden Rollen aufweisen:
- Sicherheitsadministrator
- Compliance-Administrator
- Globaler Administrator
Wenn Sie ein benutzerdefiniertes Konto verwenden möchten, um die Einstellungen für die Geräteverwaltung anzuzeigen, muss es eine der folgenden Rollen aufweisen:
- Compliance-Administrator
- Compliancedaten-Administrator
- Globale Leseberechtigung
- Sicherheitsadministrator
- Globaler Administrator
Wenn Sie ein benutzerdefiniertes Konto für den Zugriff auf die Seite für das Onboarding/Offboarding verwenden möchten, muss es eine der folgenden Rollen aufweisen:
- Compliance-Administrator
- Sicherheitsadministrator
- Globaler Administrator
Wenn Sie ein benutzerdefiniertes Konto zum Aktivieren/Deaktivieren der Geräteüberwachung verwenden möchten, muss es eine der folgenden Rollen aufweisen:
- Compliance-Administrator
- Sicherheitsadministrator
- Globaler Administrator
Vorbereiten Ihrer Windows-Geräte
Stellen Sie sicher, dass die Windows Geräte, die Sie integrieren müssen, diese Anforderungen erfüllen.
Muss einen der folgenden Builds von Windows oder Windows Server ausführen:
Windows (X64):
- Windows 11 24H2 (Siehe Updatedetails)
- Windows 11 23H2 (Siehe Updatedetails)
- Windows 11 22H2-Update (siehe Updatedetails)
- Windows 11 21H2 (Siehe Updatedetails)
- Windows 10 22H2-Update (siehe Updatedetails)
Windows (ARM64):
- Windows 11 24H2 (Siehe Updatedetails)
- Windows 11 23H2 (Siehe Updatedetails)
- Windows 11 22H2-Update (siehe Updatedetails)
- Windows 11 21H2 (Siehe Updatedetails)
Windows Server 2019 Betriebssystem: 1809 oder Windows Server 2022 Betriebssystem: 21H2 höher.
Die Antimalware-Clientversion ist 4.18.2110 oder neuer. Überprüfen Sie die aktuelle Version, indem Sie die Windows-Sicherheits-App öffnen, das Symbol Einstellungen und dann Info auswählen. Die Versionsnummer wird unter Antimalware-Clientversion aufgeführt. Aktualisieren Sie auf die neueste Antimalware-Clientversion, indem Sie Windows Update KB4052623 installieren. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in Windows.
Wichtig
Keine der Windows-Sicherheit Komponenten muss aktiv sein, aber der Echtzeitschutz und der Verhaltensmonitor müssen aktiviert sein.
Alle Geräte müssen eines der Folgenden sein:
Eine unterstützte Version von Microsoft 365 Apps ist installiert und auf dem neuesten Stand. Stellen Sie sicher, dass Microsoft 365 Apps Version 16.0.14701.0 oder höher installiert ist, um einen möglichst stabilen Schutz und eine möglichst stabile Benutzererfahrung zu erzielen.
Hinweis
- Wenn Sie Office 365 ausführen, ist KB 4577063 erforderlich.
- Wenn Sie den monatlichen Enterprise Channel von Microsoft 365 Apps der Versionen 2004-2008 nutzen, müssen Sie auf Version 2009 oder höher aktualisieren. Mehr zu den aktuellen Versionen unter Updateverlauf für Microsoft 365 Apps (nach Datum). Weitere Informationen zu einem bekannten Problem finden Sie im Abschnitt von Office Suite Versionshinweise für aktuelle Kanalversionen im Jahr 2020.
Wenn Sie Endpunkte besitzen, die einen Geräteproxy zum Herstellen einer Internetverbindung verwenden, befolgen Sie die Verfahren unter Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen für Information Protection.
Wichtig
Stellen Sie sicher, dass Sie MpDlpService.exe über Ihre Firewall, Antivirensoftware von Drittanbietern oder die Anwendungssteuerung zulassen.
Onboarding von Windows 10- oder Windows 11-Geräten
Sie müssen die Geräteüberwachung aktivieren und die Endpunkte einbinden, bevor vertrauliche Elemente auf einem Gerät überwacht und geschützt werden können. Beide Aktionen werden im Microsoft Purview-Complianceportal ausgeführt.
Wenn Sie Geräte integrieren möchten, die noch nicht integriert wurden, laden Sie das entsprechende Skript herunter und stellen es auf diesen Geräten bereit. Befolgen Sie die nachstehenden Verfahren für das Onboarding von Geräten.
Wenn Sie bereits Geräte in Microsoft Defender for Endpoint integriert haben, werden diese bereits in der Liste der verwalteten Geräte angezeigt.
In diesem Bereitstellungsszenario integrieren Sie Windows 10 oder Windows 11 Geräte, die noch nicht integriert wurden.
Öffnen Sie das Microsoft Purview Complianceportal. Wählen Sie Einstellungen>Geräte integrieren>Geräte aus.
Hinweis
Wenn Sie zuvor Microsoft Defender für Endpunkt bereitgestellt haben, werden alle Geräte, die während dieses Vorgangs integriert wurden, in der Geräteliste aufgeführt. Es ist nicht erforderlich, sie erneut zu integrieren. In der Regel dauert es zwar nur ungefähr eine Minute, bis das Geräte-Onboarding aktiviert ist, warten Sie aber mindestens 30 Minuten, bevor Sie sich an den Microsoft-Support wenden.
Wählen Sie Onboarding für Geräte aktivieren aus.
Wählen Sie Onboarding aus, um mit dem Onboarding-Prozess zu beginnen.
Wählen Sie in der Liste Bereitstellungsmethode die Art und Weise aus, wie Sie auf diesen anderen Geräten bereitstellen möchten, und laden Sie dann das Paket herunter.
Wählen Sie das entsprechende Verfahren aus der folgenden Tabelle aus:
Artikel Beschreibung Intune Verwenden Sie MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) oder Microsoft Intune, um das Konfigurationspaket auf Geräten bereitzustellen. Configuration Manager Sie können entweder Microsoft Endpoint Configuration Manager (Current Branch), Version 1606, oder Microsoft Endpoint Configuration Manager (Current Branch), Version 1602 oder älter, zum Bereitstellen des Konfigurationspakets auf Geräten verwenden. Gruppenrichtlinie Verwenden Sie eine Gruppenrichtlinie, um das Konfigurationspaket auf Geräten bereitzustellen. Lokales Skript Erfahren Sie, wie Sie das Konfigurationspaket mithilfe des lokalen Skripts auf Endpunkten bereitstellen. VDI-Geräte (Virtual Desktop Infrastructure) Erfahren Sie, wie Sie das Konfigurationspaket zum Konfigurieren von VDI-Geräten verwenden.
Überprüfen der geräte status
Nachdem Sie Ihr Gerät integriert haben, können Sie die status der Geräte in der Geräteliste überprüfen. Überprüfen Sie zuerst die status Konfiguration. Configuration status zeigt an, ob das Gerät ordnungsgemäß konfiguriert ist, ein Heartbeatsignal an Purview sendet und der Zeitpunkt der letzten Überprüfung der Konfiguration ist. Für Windows-Geräte umfasst die Konfiguration die Überprüfung der status von Microsoft Defender Antivirus Always-On-Schutz und Verhaltensüberwachung.
Wenn keine DLP-Richtlinien für den Standort Geräte gelten, werden im Feld Richtliniensynchronisierungs-status keine gültigen Informationen angezeigt.
Hinweis
Integrierte Geräte werden 180 Tage lang angezeigt, nachdem das Gerät offline ist.
Informationen zur Behandlung von Problemen mit der Gerätekonfiguration status und Richtliniensynchronisierung status finden Sie unter Problembehandlung bei der Konfiguration von Endpunktdatenverlust und Richtliniensynchronisierung.
Siehe auch
- Informationen zum Insider-Risikomanagement
- Informationen zu Endpunkt-DLP
- Nutzen der Verhinderung von Datenverlust am Endpunkt
- Informationen zur Verhinderung von Datenverlust
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust
- Erste Schritte mit dem Aktivitäten-Explorer
- Microsoft Defender für Endpunkt
- Onboarding-Tools und -Methoden für Windows 10-Computer
- Microsoft 365-Abonnement
- In Microsoft Entra eingebundene Geräte
- Herunterladen des auf Chromium basierenden neuen Microsoft Edge