Eseguire l'onboarding di dispositivi e Windows 11 Windows 10 usando Criteri di gruppo
Si applica a:
- Prevenzione della perdita di dati (DLP) degli endpoint
- Gestione dei rischi Insider
- Criteri di gruppo
Nota
Per usare gli aggiornamenti di Criteri di gruppo (GP) per distribuire il pacchetto, devi essere in Windows Server 2008 R2 o versioni successive.
Per Windows Server 2019, potrebbe essere necessario sostituire NT AUTHORITY\Well-Known-System-Account con NT AUTHORITY\SYSTEM del file XML creato dalla preferenza Criteri di gruppo.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Aggiungere dispositivi con Criteri di gruppo
Aprire il Centro conformità.
Nel riquadro di spostamento selezionare Impostazioni>Onboarding dispositivo.
Nel campo Metodo di distribuzione selezionare Criteri di gruppo.
Fare clic su Scarica pacchetto e salvare il file .zip.
Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. È necessario avere una cartella denominata OptionalParamsPolicy e il file DeviceComplianceLocalOnboardingScript.cmd.
Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.
Nell'editor di gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.
Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata (almeno Windows 7).
Nella finestra Attività visualizzata passare alla scheda Generale . In Opzioni di sicurezza fare clic su Modifica utente o gruppo e digitare SISTEMA, quindi fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.
Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .
Passare alla scheda Azioni e fare clic su Nuovo... Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Immettere il nome e il percorso del file WindowsDefenderATPOnboardingScript.cmd condiviso.
Fare clic su OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.
Dispositivi offboard con Criteri di gruppo
Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data in cui è stato scaricato. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Quando si scarica un pacchetto di offboarding, si riceverà una notifica della data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.
Nota
I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà conflitti imprevedibili.
Ottenere il pacchetto di offboarding da Portale di conformità di Microsoft Purview.
Nel riquadro di spostamento selezionare Impostazioni>//Onboarding del> dispositivoOffboarding.
Nel campo Metodo di distribuzione selezionare Criteri di gruppo.
Fare clic su Scarica pacchetto e salvare il file .zip.
Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. È necessario disporre di un file denominato DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.
Nell'editor di gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.
Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata.
Nella finestra Attività visualizzata passare alla scheda Generale . Scegliere l'account utente SYSTEM locale (BUILTIN\SYSTEM) in Opzioni di sicurezza.
Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .
Passare alla scheda Azioni e fare clic su Nuovo.... Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Immettere il nome e il percorso del file DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd condiviso.
Fare clic su OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.
Importante
L'offboarding fa sì che il dispositivo interrompa l'invio dei dati del sensore al portale, ma i dati dal dispositivo.
Monitorare la configurazione del dispositivo
Con Criteri di gruppo non è disponibile un'opzione per monitorare la distribuzione dei criteri nei dispositivi. Il monitoraggio può essere eseguito direttamente nel portale o usando i diversi strumenti di distribuzione.
Monitorare i dispositivi tramite il portale
- Andare al portale di conformità di Microsoft Purview.
- Fare clic su Elenco dispositivi .
- Verificare che i dispositivi vengano visualizzati.
Nota
L'avvio della visualizzazione dei dispositivi nell'elenco Dispositivi può richiedere diversi giorni. Ciò include il tempo necessario per distribuire i criteri al dispositivo, il tempo necessario prima che l'utente accerchi e il tempo necessario all'endpoint per avviare la creazione di report.
Argomenti correlati
- Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 con Microsoft Endpoint Configuration Manager
- Eseguire l'onboarding dei dispositivi Windows 10 e Windows 11 con gli strumenti di Gestione di dispositivi mobili
- Eseguire l'onboarding dei dispositivi Windows 10 e Windows 11 con uno script locale
- Aggiungere dispositivi VDI (Virtual Desktop Infrastructure) non persistenti
- Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato
- Risolvere i problemi di onboarding di Microsoft Defender Advanced Threat Protection