使用组策略加入Windows 10设备和Windows 11
适用于:
注意
若要使用 组策略 (GP) 更新来部署包,必须使用 Windows Server 2008 R2 或更高版本。
对于 2019 Windows Server,可能需要将 NT AUTHORITY\Well-Known-System-Account 替换为组策略首选项创建的 XML 文件的 NT AUTHORITY\SYSTEM。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
使用组策略载入设备
打开 合规性中心。
在导航窗格中,选择 “设置>设备载入”。
在 “部署方法 ”字段中,选择“ 组策略”。
单击“ 下载包 ”并保存 .zip 文件。
将 .zip 文件的内容提取到可供设备访问的共享只读位置。 应有一个名为 OptionalParamsPolicy 的文件夹,该文件 DeviceComplianceLocalOnboardingScript.cmd。
(GPMC) 打开组策略管理控制台,右键单击要配置的组策略对象 (GPO) ,然后单击“编辑”。
在组策略管理编辑器,依次转到“计算机配置”、“首选项”和“控制面板设置”。
右键单击“ 计划的任务”,指向“ 新建”,然后单击“ 立即任务 (至少 Windows 7) ”。
在打开 的“任务” 窗口中,转到“ 常规 ”选项卡。在 “安全选项” 下,单击“ 更改用户或组 ”并键入“SYSTEM”,然后单击“ 检查名称 ”,然后单击 “确定”。 NT AUTHORITY\SYSTEM 显示为任务运行方式的用户帐户。
选择“无论用户是否登录,都运行”,并检查“以最高特权检查运行”框。
转到“操作”选项卡,然后单击“新建...”确保在“操作”字段中选择了“启动程序”。 输入共享 WindowsDefenderATPOnboardingScript.cmd 文件的文件名和位置。
单击“ 确定” 并关闭任何打开的 GPMC 窗口。
使用 组策略 的卸载设备
出于安全原因,用于卸载设备的程序包将在下载之日起 30 天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时,你将收到程序包到期日期的通知,并且包名称中也会包含该包。
注意
载入和卸载策略不得同时部署在同一台设备上,否则将导致不可预知的冲突。
从 Microsoft Purview 合规门户 获取卸载包。
在导航窗格中,选择 “设置>设备载入>卸载”。
在 “部署方法 ”字段中,选择“ 组策略”。
单击“ 下载包 ”并保存 .zip 文件。
将 .zip 文件的内容提取到可供设备访问的共享只读位置。 应有一个名为 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 的文件。
(GPMC) 打开组策略管理控制台,右键单击要配置的组策略对象 (GPO) ,然后单击“编辑”。
在“组策略管理”编辑器,依次转到“计算机配置”、“首选项”和“控制面板设置”。
右键单击“ 计划的任务”,指向 “新建”,然后单击“ 即时任务”。
在打开 的“任务” 窗口中,转到“ 常规 ”选项卡。在“ 安全选项”下,选择本地 SYSTEM 用户帐户 (BUILTIN\SYSTEM) 。
选择“运行”(无论用户是否已登录)并检查“以最高特权运行”检查框。
转到“操作”选项卡,然后单击“新建...”。确保在“操作”字段中选择了“启动程序”。 输入共享 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd 文件的文件名和位置。
单击“ 确定” 并关闭任何打开的 GPMC 窗口。
重要
卸载会导致设备停止向门户发送传感器数据,而是从设备发送数据。
监视设备配置
使用 组策略无法监视设备上策略的部署。 可以直接在门户上或通过使用不同的部署工具进行监视。
使用门户监视设备
- 转到 Microsoft Purview 合规性门户。
- 单击“ 设备 列表”。
- 验证设备是否显示。
注意
设备可能需要几天时间才能开始显示在 “设备”列表中。 这包括将策略分发到设备所需的时间、用户登录之前所需的时间以及终结点开始报告所需的时间。