Integrar dispositivos Windows 10 e Windows 11 com Microsoft Configuration Manager

Aplica-se a:

• Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)
• Gerenciamento de risco interno

Integrar dispositivos com Configuration Manager

1. Obtenha o ficheiro de .zip do pacote de configuração (DeviceComplianceOnboardingPackage.zip) do portal de conformidade do Microsoft Purview.

2. No painel de navegação, selecione Definições>Inclusão do Dispositivo Integração>.

3. No campo Método de implementação, selecione Microsoft Configuration Manager.

4. Selecione Transferir pacote e guarde o ficheiro .zip.

5. Extraia o conteúdo do ficheiro .zip para uma localização partilhada e só de leitura que possa ser acedida pelos administradores de rede que irão implementar o pacote. Deverá ter um ficheiro com o nome DeviceCompliance.onboarding.

6. Implemente o pacote ao seguir os passos no artigo Pacotes e programas - Configuration Manager.

7. Escolha uma coleção de dispositivos predefinida para implementar o pacote.

Observação

A proteção de informações do Microsoft 365 não suporta a integração durante a fase Experiência Inicial (OOBE). Certifique-se de que os utilizadores completam o OOBE após executar a instalação ou atualização do Windows.

Dica

É possível criar uma regra de deteção numa aplicação Configuration Manager para marcar continuamente se um dispositivo tiver sido integrado. Uma aplicação é um tipo de objeto diferente de um pacote e programa. Se um dispositivo ainda não estiver integrado (devido à conclusão pendente do OOBE ou a qualquer outro motivo), Configuration Manager tentará novamente integrar o dispositivo até que a regra detete o status alteração.

Este comportamento pode ser realizado ao criar uma regra de deteção para determinar se o OnboardingState valor do registo (do tipo REG_DWORD) = 1. Este valor de registo está localizado em HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Para obter mais informações, veja Opções do Método de Deteção do tipo de implementação.

Configurar definições de recolha de exemplo

Para cada dispositivo, pode definir um valor de configuração para indicar se os exemplos podem ser recolhidos a partir do dispositivo quando um pedido é feito através de Central de Segurança do Microsoft Defender para submeter um ficheiro para análise aprofundada.

Observação

Normalmente, estas definições de configuração são efetuadas através de Configuration Manager.

Pode definir uma regra de conformidade para o item de configuração no Configuration Manager para alterar a definição de partilha de exemplo num dispositivo.

Esta regra deve ser um item de configuração da regra de conformidade de remediação que define o valor de uma chave de registo em dispositivos visados para se certificar de que são reclamados.

A configuração é definida através da seguinte entrada de chave de registo:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Onde:

O tipo de chave é D-WORD.

Os valores possíveis são:

• 0 - não permite a partilha de exemplo a partir deste dispositivo
• 1 - permite a partilha de todos os tipos de ficheiro a partir deste dispositivo

O valor predefinido no caso de a chave de registo não existir é 1. Configuration Manager, veja Criar itens de configuração personalizados para computadores de secretária e servidores Windows geridos com o cliente Configuration Manager.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Outras definições de configuração recomendadas

Depois de integrar dispositivos no serviço, é importante tirar partido das capacidades de proteção contra ameaças incluídas ao ativar os mesmos com as seguintes definições de configuração recomendadas.

Configuração da proteção da próxima geração

São recomendadas as seguintes definições de configuração:

Examinar

• Analisar dispositivos de armazenamento amovíveis, como unidades USB: Sim

Proteção em tempo real

• Ativar Monitorização Comportamental: Sim
• Ativar a proteção contra Aplicações Potencialmente Indesejadas durante a transferência e antes da instalação: Sim

Serviço de Proteção da Cloud

• Tipo de associação do Serviço de Proteção cloud: Associação avançada

Redução da superfície de ataque Configure todas as regras disponíveis para Auditoria.

Observação

Bloquear estas atividades pode interromper processos de negócio legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e, em seguida, ativar essas definições em pontos finais que não têm deteções de falsos positivos.

Proteção de rede

Antes de ativar a proteção de rede no modo de auditoria ou de bloqueio, certifique-se de que instalou a atualização da plataforma antimalware, que pode ser obtida a partir da página de suporte.

Acesso controlado a pastas

Ative a funcionalidade no modo de auditoria durante, pelo menos, 30 dias. Após este período, reveja as deteções e crie uma lista de aplicações que têm permissão para escrever em diretórios protegidos.

Para obter mais informações, veja Avaliar o acesso controlado a pastas.

Exclusão de dispositivos com Configuration Manager

Por motivos de segurança, o pacote utilizado em Dispositivos Offboard irá expirar 30 dias após a data em que foi transferido. Os pacotes de exclusão expirados enviados para um dispositivo serão rejeitados. Ao transferir um pacote de exclusão, será notificado da data de expiração dos pacotes e este também será incluído no nome do pacote.

Observação

As políticas de inclusão e exclusão não devem ser implementadas no mesmo dispositivo ao mesmo tempo, caso contrário, isto causará colisões imprevisíveis.

Exclusão de dispositivos com Microsoft Configuration Manager ramo atual

Se utilizar Microsoft Configuration Manager ramo atual, veja Criar um ficheiro de configuração de exclusão.

Monitorizar a configuração do dispositivo

Com Microsoft Configuration Manager ramo atual, utilize o Microsoft Defender para Ponto de Extremidade dashboard incorporado na consola do Configuration Manager. Para obter mais informações, veja Microsoft Defender Advanced Threat Protection – Monitor.

Verifique se os dispositivos estão em conformidade com o serviço de prevenção de perda de dados do Ponto final

Pode definir uma regra de compatibilidade para o item de configuração no Configuration Manager para monitorizar a implementação.

Observação

Este procedimento e a entrada de registo aplicam-se ao DLP do Ponto Final, bem como ao Defender para Ponto Final.

Esta regra deve ser um item de configuração de regra de conformidade não remediador que monitorize o valor de uma chave de registo em dispositivos visados.

Monitorize a seguinte entrada de chave de registo:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Para obter mais informações, veja Planear e configurar as definições de compatibilidade.

Tópicos relacionados

• Integrar dispositivos Windows 10 e Windows 11 com Política de Grupo
• Integrar dispositivos Windows 10 e Windows 11 usando ferramentas de Gerenciamento de Dispositivo Móvel
• Integrar dispositivos Windows 10 e Windows 11 usando um script local
• Dispositivos integrados de VDI (Virtual Desktop Infrastructure) não persistente
• Executar um teste de deteção num dispositivo de Microsoft Defender para Ponto de Extremidade recentemente integrado
• Resolver problemas de inclusão de Microsoft Defender para Ponto de Extremidade