使用Microsoft Configuration Manager加入Windows 10和Windows 11设备

适用于：

• 终结点数据丢失防护 (DLP)
• 内部风险管理

支持的客户端作系统

可以使用 Configuration Manager 加入以下作系统：

• Windows 11

• Windows 10版本 1709 或更高版本

重要

将系统载入到 Microsoft Purview for endpoint 时，它们也会向 Defender for Endpoint 报告，即使正在使用其他防病毒或反恶意软件解决方案也是如此。 在这种情况下，这些系统将在 被动模式下向 Defender for Endpoint 报告，确保不会干扰现有的防病毒或反恶意软件解决方案。

使用 Configuration Manager 加入 Microsoft Purview for Endpoint

在 Configuration Manager中，按如下所示配置 Endpoint Protection 设置，以确保客户端识别配置文件。

• 将 计算机上的“管理终结点保护客户端” 设置为 “是”。

• “ 在客户端计算机上安装 Endpoint Protection 客户端 ”可以设置为 “否”。

注意

这是为了允许客户端从 Configuration Manager 接收配置文件。 如果不启用此设置，配置文件可能无法部署到客户端。

• 将 Windows Server 2012 R2 和 Windows Server 2016 上的Microsoft Defender for Endpoint客户端设置为MDE客户端 (建议) 。

将此客户端设置配置部署到用于载入系统的集合。

使用Configuration Manager载入设备

1. 从 Microsoft Purview 门户获取配置包 .zip 文件 (DeviceComplianceOnboardingPackage.zip) 。

2. 在导航窗格中，选择“设置>设备载入>”。

3. 在“选择作系统以启动载入过程”中：选择“Windows 10”，然后在“部署方法”字段中，选择“Microsoft终结点Configuration Manager”。

4. 选择“ 下载包 ”并保存 .zip 文件。

5. 将 .zip 文件的内容提取到Configuration Manager控制台可访问的共享只读位置进行部署。 确保存在名为 DeviceCompliance.onboarding 的文件 。

载入设备

1. 在Configuration Manager控制台中，导航到“资产和符合性>终结点保护>Microsoft Defender for Endpoint策略”。

   注意

   Microsoft Purview 和 Microsoft Defender for Endpoint 使用相同的方法来连接到 Microsoft 云安全环境。

2. 选择“创建Microsoft Defender for Endpoint策略”以打开策略向导。

3. 选择“ 我接受这两个代理的许可条款和自动更新”。 然后键入Microsoft Defender for Endpoint策略的“名称”和“说明”，然后选择“载入”。

4. 选择“ 浏览 ”并浏览到从下载的 .zip 文件中提取的配置文件。

   注意

   不需要 Windows 10 和 11 的工作区密钥和工作区 ID。

   选择 下一步。

5. 指定从托管设备收集和共享的文件示例以供分析。

   • 无

   • 所有文件类型

6. 查看摘要并完成向导。

7. 右键单击创建的策略，选择“部署”，然后选择要将Microsoft Defender for Endpoint策略部署到的集合。

监视

1. 在Configuration Manager控制台中，导航“监视>部署”，然后选择为 Defender for Endpoint 策略部署创建的部署。

2. 单击“ 查看状态” 以查看信息。 在 “符合” 下，可以看到已载入系统的状态。 尚未载入的系统可能会显示在“ 未知 ”选项卡下。

注意

此过程可能需要一些时间，系统可能需要重新启动才能使更改生效。

使用Configuration Manager的机外设备

出于安全原因，用于卸载设备的程序包将在下载之日起 30 天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时，你将收到程序包到期日期的通知，并且包名称中也会包含该包。

注意

载入和卸载策略不得同时部署在同一台设备上，否则会导致不可预知的冲突。

使用当前分支Microsoft Configuration Manager卸载设备

如果使用当前分支Microsoft Configuration Manager，请参阅创建卸载配置文件。

创建卸载配置文件

1. 登录到 Microsoft Purview 控制台。

2. 依次选择“设置”、“设备载入”和“载入”标题下的“卸载”。

3. 为作系统选择Windows 10，为部署方法选择Microsoft终结点Configuration Manager。

   • 使用 Windows 10 选项可确保集合中的所有设备都已登出，并在需要时卸载 MMA。

4. 下载压缩的存档 (.zip) 文件并提取内容。 卸载文件的有效期为 30 天。

5. 在Configuration Manager控制台中，导航到“资产和符合性>终结点保护>Microsoft Defender”对于终结点策略“，然后选择”创建Microsoft Defender for Endpoint策略”。 将打开策略向导。

6. 键入Microsoft Defender for Endpoint策略的“名称”和“说明”，然后选择“卸载”。

7. 浏览 到从下载的 .zip 文件中提取的配置文件。

8. 查看摘要并完成向导。

9. 选择“部署”，将Microsoft Defender for Endpoint策略定向到要从 Purview 卸载的客户端。

重要

Microsoft Purview for Endpoint 配置文件包含应保持安全的敏感信息。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

监视设备配置

使用当前分支Microsoft Configuration Manager，使用Configuration Manager控制台中的内置Microsoft Defender for Endpoint 仪表板。 有关详细信息，请参阅Microsoft Defender高级威胁防护 - 监视。

检查设备是否符合终结点数据丢失防护服务

可以在 Configuration Manager 中为配置项目设置符合性规则，以监视部署。

注意

此过程和注册表项适用于 Endpoint DLP 和 Defender for Endpoint。

此规则应该是一个 非修正 符合性规则配置项目，用于监视目标设备上的注册表项的值。

监视以下注册表项项：

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

有关详细信息，请参阅 规划和配置符合性设置。

相关文章

• 使用组策略加入Windows 10和Windows 11设备

• 使用移动设备管理工具载入 Windows 10 和 Windows 11 设备

• 使用本地脚本载入 Windows 10 和 Windows 11 设备

• 载入非永久虚拟桌面基础结构 （VDI） 设备

• 在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试

• 排查Microsoft Defender for Endpoint载入问题