使用Microsoft Configuration Manager加入Windows 10和Windows 11设备

适用于:

使用Configuration Manager载入设备

  1. 从 Microsoft Purview 合规门户 获取配置包 .zip 文件 (DeviceComplianceOnboardingPackage.zip)

  2. 在导航窗格中,选择“设置>设备载入>”。

  3. “部署方法”字段中,选择“Microsoft Configuration Manager”。

  4. 选择“ 下载包”,并保存 .zip 文件。

  5. 将 .zip 文件的内容提取到一个共享的只读位置,将部署包的网络管理员可以访问该位置。 你应该有一个名为 DeviceCompliance.onboarding 的文件

  6. 按照包和程序 - Configuration Manager一文中的步骤部署包。

  7. 选择要将包部署到的预定义设备集合。

注意

Microsoft 365 信息保护不支持在 OOBE) 阶段的现装体验 (加入。 确保用户在运行 Windows 安装或升级后完成 OOBE。

提示

可以在Configuration Manager应用程序上创建检测规则,以持续检查设备是否已载入。 应用程序是与包和程序不同的对象类型。 如果设备由于等待 OOBE 完成或) 的任何其他原因而尚未载入 (,Configuration Manager将重试载入设备,直到规则检测到状态更改。

可以通过创建检测规则来确定注册表值是否 OnboardingState (类型为 REG_DWORD) = 1 来实现此行为。 此注册表值位于 下 HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"

有关详细信息,请参阅 部署类型检测方法选项

配置示例集合设置

对于每个设备,可以设置一个配置值来说明当通过 Microsoft Defender 安全中心 提交文件以进行深入分析的请求时,是否可以从设备收集样本。

注意

这些配置设置通常通过Configuration Manager完成。

可以在 Configuration Manager 中为配置项目设置符合性规则,以更改设备上的示例共享设置。

此规则应该是一个 修正 符合性规则配置项目,用于设置目标设备上的注册表项的值,以确保它们受到投诉。

通过以下注册表项设置配置:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中:

键类型为 D-WORD。

可能的值是:

  • 0 - 不允许从此设备共享示例
  • 1 - 允许从此设备共享所有文件类型

注册表项不存在的默认值为 1。 Configuration Manager,请参阅Create使用 Configuration Manager 客户端管理的 Windows 桌面和服务器计算机的自定义配置项目

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

将设备加入服务后,请务必使用以下建议的配置设置启用设备,从而利用包含的威胁防护功能。

下一代保护配置

建议使用以下配置设置:

扫描

  • 扫描可移动存储设备(如 U 盘):是

实时保护

  • 启用行为监视:是
  • 在下载时和安装之前启用针对可能不需要的应用程序的保护:是

云保护服务

  • 云保护服务成员身份类型:高级成员身份

攻击面减少 将所有可用规则配置为“审核”。

注意

阻止这些活动可能会中断合法的业务流程。 最佳方法是将所有内容设置为审核,确定哪些设置可以安全打开,然后在没有误报检测的终结点上启用这些设置。

网络保护

在审核或阻止模式下启用网络保护之前,请确保已安装反恶意软件平台更新,可从 支持页面获取该更新。

受控文件夹访问

在审核模式下启用该功能至少 30 天。 在此时间段后,查看检测并创建允许写入受保护目录的应用程序列表。

有关详细信息,请参阅 评估受控文件夹访问权限

使用Configuration Manager的机外设备

出于安全原因,用于卸载设备的程序包将在下载之日起 30 天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时,系统会通知包到期日期,并且包名称中也会包含该包。

注意

载入和卸载策略不得同时部署在同一台设备上,否则将导致不可预知的冲突。

使用当前分支Microsoft Configuration Manager卸载设备

如果使用当前分支Microsoft Configuration Manager,请参阅Create卸载配置文件

监视设备配置

使用当前分支Microsoft Configuration Manager,使用Configuration Manager控制台中的内置Microsoft Defender for Endpoint 仪表板。 有关详细信息,请参阅Microsoft Defender高级威胁防护 - 监视

检查设备是否符合终结点数据丢失防护服务

可以在 Configuration Manager 中为配置项目设置符合性规则,以监视部署。

注意

此过程和注册表项适用于 Endpoint DLP 以及 Defender for Endpoint。

此规则应该是一个 非修正 符合性规则配置项目,用于监视目标设备上的注册表项的值。

监视以下注册表项项:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

有关详细信息,请参阅 规划和配置符合性设置