Onboarding di dispositivi Windows 10 con uno script locale

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

È anche possibile eseguire manualmente l'onboarding di singoli dispositivi in Defender per endpoint. È possibile eseguire l'onboarding di alcuni dispositivi durante il test del servizio prima di eseguire il commit dell'onboarding di tutti i dispositivi nella rete.

Importante

Lo script descritto in questo articolo è consigliato per l'onboarding manuale dei dispositivi in Defender per endpoint. Deve essere usato solo su un numero limitato di dispositivi. Se si esegue la distribuzione in un ambiente di produzione, vedere altre opzioni di distribuzione, ad esempio Intune, Criteri di gruppo o Configuration Manager.

Vedere Identificare l'architettura e il metodo di distribuzione di Defender per endpoint per visualizzare i vari percorsi nella distribuzione di Defender per endpoint.

Eseguire l'onboarding dei dispositivi

  1. Aprire il pacchetto di configurazione .zip file (WindowsDefenderATPOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio. È anche possibile ottenere il pacchetto dal portale di Microsoft Defender:

    1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOnboarding.

    2. Selezionare Windows 10 o Windows 11 come sistema operativo.

    3. Nel campo Metodo di distribuzione selezionare Script locale.

    4. Selezionare Scarica pacchetto e salvare il file .zip.

  2. Estrarre il contenuto del pacchetto di configurazione in una posizione nel dispositivo di cui si vuole eseguire l'onboarding, ad esempio desktop. È necessario disporre di un file denominato WindowsDefenderATPLocalOnboardingScript.cmd.

  3. Aprire un prompt della riga di comando con privilegi elevati nel dispositivo ed eseguire lo script:

    1. Passare a Start e digitare cmd.

    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

    Menu Start della finestra che punta a Esegui come amministratore

  4. Digitare il percorso del file di script. Se il file è stato copiato sul desktop, digitare: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Premere INVIO o selezionare OK.

  6. Digitare "Y" e immettere quando richiesto.

  7. Al termine dello script, verrà visualizzato "Premere qualsiasi tasto per continuare...". Premere un tasto qualsiasi per completare i passaggi nel dispositivo.

Per informazioni su come verificare manualmente che il dispositivo sia conforme e segnala correttamente i dati del sensore, vedere Risolvere i problemi di onboarding Microsoft Defender per endpoint.

Consiglio

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un endpoint di Microsoft Defender per endpoint appena caricato.

Configurare le impostazioni della raccolta di esempi

Per ogni dispositivo, è possibile impostare un valore di configurazione per indicare se gli esempi possono essere raccolti dal dispositivo quando viene effettuata una richiesta tramite Microsoft Defender XDR per inviare un file per un'analisi approfondita.

È possibile configurare manualmente l'impostazione di condivisione degli esempi nel dispositivo usando regedit o creando ed eseguendo un .reg file.

La configurazione viene impostata tramite la voce della chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Dove Tipo di nome è un D-WORD. I valori possibili sono:

  • 0 : non consente la condivisione di esempi da questo dispositivo
  • 1 : consente la condivisione di tutti i tipi di file da questo dispositivo

Il valore predefinito nel caso in cui la chiave del Registro di sistema non esista è 1.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato.

Dispositivi offboard con uno script locale

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scade tre giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo vengono rifiutati. Quando si scarica un pacchetto di offboarding, si riceve una notifica della data di scadenza del pacchetto e tale data viene inclusa nel nome del file del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente. In caso contrario, potrebbero verificarsi collisioni imprevedibili.

  1. Ottenere il pacchetto di offboarding dal portale di Microsoft Defender:

    1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOffboarding.

    2. Selezionare Windows 10 o Windows 11 come sistema operativo.

    3. Nel campo Metodo di distribuzione selezionare Script locale.

    4. Selezionare Scarica pacchetto e salvare il file .zip.

  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura a cui i dispositivi possono accedere. È necessario disporre di un file denominato WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Aprire un prompt della riga di comando con privilegi elevati nel dispositivo ed eseguire lo script:

    1. Passare a Start e digitare cmd.

    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

      Menu Start di Windows che punta all'opzione Esegui come amministratore

  4. Digitare il percorso del file di script. Se il file è stato copiato sul desktop, digitare: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Premere INVIO o selezionare OK.

Importante

L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale, ma i dati dal dispositivo, incluso il riferimento agli avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.

Monitorare la configurazione del dispositivo

È possibile seguire i diversi passaggi di verifica descritti in Risolvere i problemi di onboarding per verificare che lo script sia stato completato correttamente e che l'agente sia in esecuzione.

Il monitoraggio può essere eseguito anche direttamente nel portale o usando i diversi strumenti di distribuzione.

Monitorare i dispositivi tramite il portale

  1. Passare al portale di Microsoft Defender.

  2. Selezionare Inventario dispositivi.

  3. Verificare che i dispositivi vengano visualizzati.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.