Eseguire l'onboarding dei dispositivi in Microsoft Defender per le aziende

Questo articolo descrive come eseguire l'onboarding dei dispositivi in Defender per le aziende.

Oggetto visivo che illustra il passaggio 5: onboarding dei dispositivi in Defender per le aziende.

Caricare i dispositivi aziendali per proteggerli immediatamente. È possibile scegliere tra diverse opzioni per eseguire l'onboarding dei dispositivi aziendali. Questo articolo illustra le opzioni e descrive il funzionamento dell'onboarding.

Soluzione

  1. Selezionare una scheda:
    • Windows 10 e 11
    • Mac
    • Dispositivi mobili (sono disponibili nuove funzionalità per i dispositivi iOS e Android!)
    • Server (Server Windows o Linux)
  2. Visualizzare le opzioni di onboarding e seguire le indicazioni nella scheda selezionata.
  3. Visualizzare un elenco di dispositivi di cui è stato caricato l'onboarding.
  4. Eseguire un test di phishing in un dispositivo.
  5. Procedere con i passaggi successivi.

Windows 10 e 11

Nota

I dispositivi Windows devono eseguire uno dei sistemi operativi seguenti:

  • Windows 10 o 11 Business
  • Windows 10 o 11 Professional
  • Windows 10 o 11 Enterprise

Per altre informazioni, vedere Requisiti di Microsoft Defender per le aziende.

Scegliere una delle opzioni seguenti per eseguire l'onboarding dei dispositivi client Windows in Defender for Business:

Script locale per Windows 10 e 11

È possibile usare uno script locale per eseguire l'onboarding dei dispositivi client Windows. Quando si esegue lo script di onboarding in un dispositivo, crea un trust con l'ID Microsoft Entra (se tale attendibilità non esiste già), registra il dispositivo in Microsoft Intune (se non è già registrato) e quindi esegue l'onboarding del dispositivo in Defender for Business. Se attualmente non si usa Intune, il metodo di script locale è il metodo di onboarding consigliato per i clienti di Defender for Business.

Consiglio

È consigliabile eseguire l'onboarding di un massimo di 10 dispositivi alla volta quando si usa il metodo di script locale.

  1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

  2. Nel riquadro di spostamento scegliere Impostazioni>Endpoints e quindi in Gestione dei dispositivi scegliere Onboarding.

  3. Selezionare Windows 10 e 11.

  4. In Tipo di connettività selezionare Semplificata.

  5. Nella sezione Metodo di distribuzione scegliere Script locale e quindi selezionare Scarica pacchetto di onboarding. È consigliabile salvare il pacchetto di onboarding in un'unità rimovibile.

  6. In un dispositivo Windows estrarre il contenuto del pacchetto di configurazione in un percorso, ad esempio la cartella Desktop. È necessario disporre di un file denominato WindowsDefenderATPLocalOnboardingScript.cmd.

  7. Aprire una finestra del prompt dei comandi come amministratore.

  8. Digitare il percorso del file di script. Ad esempio, se il file è stato copiato nella cartella Desktop, digitare %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmde quindi premere INVIO (o selezionare OK).

  9. Dopo l'esecuzione dello script, eseguire un test di rilevamento.

Criteri di gruppo per Windows 10 e 11

Se si preferisce usare Criteri di gruppo per eseguire l'onboarding dei client Windows, seguire le indicazioni riportate in Onboarding dei dispositivi Windows tramite Criteri di gruppo. Questo articolo descrive i passaggi per l'onboarding in Microsoft Defender per endpoint. I passaggi per l'onboarding in Defender for Business sono simili.

Intune per Windows 10 e 11

È possibile eseguire l'onboarding dei client Windows e di altri dispositivi in Intune usando l'interfaccia di amministrazione di Intune (https://intune.microsoft.com). Sono disponibili diversi metodi per registrare i dispositivi in Intune. È consigliabile usare uno dei metodi seguenti:

Abilitare la registrazione automatica per Windows 10 e 11

Quando si configura la registrazione automatica, gli utenti aggiungono il proprio account aziendale al dispositivo. In background, il dispositivo registra e aggiunge Microsoft Entra ID ed è registrato in Intune.

  1. Passare al portale di Azure (https://portal.azure.com/) e accedere.

  2. Selezionare Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

  3. Configurare l'ambito utente MDM e l'ambito utente MAM.

    Screenshot dell'impostazione dell'ambito utente MDM e dell'ambito utente MAM in Intune.

    • Per L'ambito utente MDM, è consigliabile selezionare Tutto in modo che tutti gli utenti possano registrare automaticamente i propri dispositivi Windows.

    • Nella sezione ambito utente MAM è consigliabile usare i valori predefiniti seguenti per gli URL:

      • URL delle condizioni per l'uso di MDM
      • URL individuazione MDM
      • URL conformità MDM
  4. Selezionare Salva.

  5. Dopo la registrazione di un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi in Defender per le aziende. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Consiglio

Per altre informazioni, vedere Abilitare la registrazione automatica di Windows.

Chiedere agli utenti di registrare i dispositivi Windows 10 e 11

  1. Guardare il video seguente per vedere come funziona la registrazione:

  2. Condividere questo articolo con gli utenti dell'organizzazione: Registrare i dispositivi Windows 10/11 in Intune.

  3. Dopo la registrazione di un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi in Defender per le aziende. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Eseguire un test di rilevamento in un dispositivo Windows 10 o 11

Dopo aver eseguito l'onboarding dei dispositivi Windows in Defender per le aziende, è possibile eseguire un test di rilevamento nel dispositivo per assicurarsi che tutto funzioni correttamente.

  1. Nel dispositivo Windows creare una cartella: C:\test-MDATP-test.

  2. Aprire il prompt dei comandi come amministratore e quindi eseguire il comando seguente:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

Dopo l'esecuzione del comando, la finestra del prompt dei comandi viene chiusa automaticamente. In caso di esito positivo, il test di rilevamento viene contrassegnato come completato e viene visualizzato un nuovo avviso nel portale di Microsoft Defender (https://security.microsoft.com) per il dispositivo appena caricato entro circa 10 minuti.

Visualizzare un elenco di dispositivi caricati

  1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

  2. Nel riquadro di spostamento passare a Dispositivi asset>. Verrà visualizzata la visualizzazione Inventario dispositivi .

Eseguire un test di phishing in un dispositivo

Dopo aver eseguito l'onboarding di un dispositivo, è possibile eseguire un test di phishing rapido per assicurarsi che il dispositivo sia connesso e che gli avvisi vengano generati come previsto.

  1. In un dispositivo passare a https://smartscreentestratings2.net. Defender for Business deve bloccare l'URL nel dispositivo dell'utente.

  2. Come membro del team di sicurezza dell'organizzazione, passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

  3. Nel riquadro di spostamento passare a Eventi imprevisti. Verrà visualizzato un avviso informativo che indica che un dispositivo ha tentato di accedere a un sito di phishing.

Passaggi successivi