Eseguire l'onboarding dei dispositivi Windows in Defender per endpoint usando Intune

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

È possibile usare soluzioni di gestione dei dispositivi mobili (MDM) per configurare i dispositivi Windows 10. Defender per endpoint supporta gli MDM fornendo OMA-URIs per creare criteri per gestire i dispositivi.

Per altre informazioni sull'uso di Defender per endpoint CSP, vedi File DDF WindowsAdvancedThreatProtection e WindowsAdvancedThreatProtection.

Prima di iniziare

I dispositivi devono essere registrati con Intune come soluzione MDM (Mobile Gestione dispositivi).

Per altre informazioni sull'abilitazione di MDM con Microsoft Intune, vedere Registrazione del dispositivo (Microsoft Intune).

Eseguire l'onboarding dei dispositivi usando Microsoft Intune

Vedere Identificare l'architettura e il metodo di distribuzione di Defender per endpoint per visualizzare i vari percorsi nella distribuzione di Defender per endpoint.

Seguire le istruzioni fornite da Intune.

Per altre informazioni sull'uso di Defender per endpoint CSP, vedi File DDF WindowsAdvancedThreatProtection e WindowsAdvancedThreatProtection.

Nota

  • Il criterio Stato integrità per i dispositivi di cui è stato eseguito l'onboarding usa proprietà di sola lettura e non può essere corretto.
  • La configurazione della frequenza di segnalazione dei dati di diagnostica è disponibile solo per i dispositivi in Windows 10 versione 1703.
  • L'onboarding in Defender per endpoint eseguirà l'onboarding del dispositivo in Data Loss Prevention (DLP), che fa anche parte della conformità a Microsoft 365.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato.

Dispositivi offboard con strumenti di Gestione dispositivi per dispositivi mobili

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scade sette giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo vengono rifiutati. Quando si scarica un pacchetto di offboarding, si riceve una notifica della data di scadenza del pacchetto e la data viene inclusa nel nome del pacchetto.

Nota

Per evitare conflitti di criteri imprevedibili, i criteri di onboarding e offboarding non devono essere distribuiti contemporaneamente in un dispositivo.

  1. Ottenere il pacchetto di offboarding dal portale di Microsoft Defender come indicato di seguito:

    1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOffboarding.

    2. Selezionare Windows 10 o Windows 11 come sistema operativo.

    3. Nel campo Metodo di distribuzione selezionare Mobile Gestione dispositivi/Microsoft Intune.

    4. Selezionare Scarica pacchetto e salvare il file .zip.

  2. Estrarre il contenuto del .zip file in un percorso condiviso di sola lettura accessibile dagli amministratori di rete che distribuiranno il pacchetto. È necessario disporre di un file denominato WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding.

  3. Nell'interfaccia di amministrazione Microsoft Intune è possibile usare un criterio di configurazione personalizzato o un criterio EDR.

    Metodo Procedura
    Criteri di configurazione personalizzati 1. Nel riquadro di spostamento selezionare Dispositivi>per piattaforma>Windows>Gestisci configurazione dispositivi>.

    2. In Criteri selezionare Crea>nuovo criterio.

    3. Nella diapositiva Crea un profilo selezionare Windows 10 e versioni successive come Piattaforma e Modelli come tipo di profilo.

    4. In Nome modello selezionare il modello personalizzato e selezionare Crea.

    5. Immettere un valore per Nome e selezionare Avanti.

    6. In Impostazioni di configurazione selezionare Aggiungi e usare le impostazioni URI OMA seguenti:
    - Nome: specificare un nome
    - URI OMA: ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding
    - Tipo di data: String
    - Valore: copiare e incollare il valore dal contenuto del WindowsDefenderATP_valid_until_YYYY-MM-DD file di offboarding.

    7. Impostare le assegnazioni di gruppo, le regole di applicabilità appropriate e nel passaggio Rivedi e crea selezionare Crea.
    Criteri EDR 1. Nel riquadro di spostamento selezionare Endpoint security>ManageEndpoint detection and response (Gestisci > rilevamento endpoint e risposta).

    2. In Criteri di rilevamento e risposta degli endpoint selezionareCrea criterio.

    3. Nella diapositiva Crea un profilo selezionare Windows come rilevamento e risposta della piattaformae degli endpoint e selezionare Crea.

    5. Immettere un valore per Nome e selezionare Avanti.

    6. In Impostazioni di configurazione selezionare Offboard per l'impostazione Microsoft Defender per endpoint tipo di pacchetto di configurazione client.

    7. Copiare il valore dal contenuto del file di WindowsDefenderATP_valid_until_YYYY-MM-DD offboarding e incollarlo nell'impostazione Offboarding (Device). Quindi, scegliere Avanti.

    8. Specificare eventuali tag di ambito, se necessario, eseguire le assegnazioni di gruppo appropriate e nel passaggio Rivedi e crea selezionare Crea.

    Per altre informazioni sulle impostazioni dei criteri Microsoft Intune, vedere Windows 10 impostazioni dei criteri in Microsoft Intune.

Nota

Il criterio Stato integrità per i dispositivi offboarded usa proprietà di sola lettura e non può essere corretto.

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore a Defender per endpoint, ma i dati del dispositivo, inclusi i riferimenti a eventuali avvisi, vengono conservati per un massimo di 6 mesi.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.