共用方式為

使用 Microsoft Configuration Manager 安裝 Windows 10 與 Windows 11 裝置

適用於:

支援的用戶端作業系統

您可以使用 Configuration Manager 來接入以下作業系統:

  • Windows 11

  • Windows 10,版本 1709 或更新版本

重要事項

當系統導入 Microsoft Purview 端點時,即使使用的是不同的防毒或防惡意軟體解決方案,系統也會向 Defender for Endpoint 報告。 在這種情況下,這些系統會以 被動模式向 Defender for Endpoint 報告,確保不會干擾現有的防毒或防惡意軟體解決方案。

使用 Configuration Manager 導入 Microsoft Purview for Endpoint

在 Configuration Manager 中,請依照以下方式配置端點保護設定,以確保用戶端能辨識該組態檔案。

  • 將電腦上的「管理終端保護用戶端」設為「是」。

  • 用戶端 電腦上的安裝端點保護用戶端 可設定為 「編號」。

注意事項

這是為了讓用戶端能從 Configuration Manager 接收設定檔。 如果你沒有開啟這個設定,設定檔可能無法部署到用戶端。

  • 在 Windows Server 2012 R2 上設定適用於端點的 Microsoft Defender客戶端,並Windows Server 2016 MDE推薦) 的客戶端 (

將此用戶端設定配置部署到用於系統內建的集合中。

使用 Configuration Manager 的機載裝置

  1. Purview 入口網站取得設定套件 .zip 檔案 (DeviceComplianceOnboardingPackage.zip) Microsoft。

  2. 在瀏覽窗格中,選取 [設定]>[裝置上線]>[上線]

  3. 「選擇作業系統開始新手」流程中:選擇 Windows 10,然後在部署方法欄位中選擇 Microsoft Endpoint Configuration Manager

  4. 選擇 下載套件 並儲存 .zip 檔案。

  5. 將 .zip 檔案內容解壓到一個共用且唯讀的位置,Configuration Manager主控台可存取以便部署。 請確保有名為 DeviceCompliance.onboarding 的檔案存在。

裝置上

  1. 在 Configuration Manager 主控台中,導覽至 Assets and Compliance>端點保護>適用於端點的 Microsoft Defender 政策

    注意事項

    Microsoft Purview 和 適用於端點的 Microsoft Defender 使用相同的方法連接Microsoft雲端安全環境。

  2. 選擇「建立 適用於端點的 Microsoft Defender 政策」以開啟政策精靈。

  3. 選擇 我接受這些授權條款,並自動更新兩位代理人。 接著輸入 適用於端點的 Microsoft Defender 政策的名稱描述,並選擇「入職」選項。

  4. 選擇瀏覽,然後瀏覽你從下載的 .zip 檔案中解壓的設定檔。

    注意事項

    你不需要 Windows 10 和 11 的 Workspace 金鑰和 Workspace ID。

    選取 [下一步]

  5. 指定從受管理裝置收集並分享用於分析的檔案樣本。

    • 所有檔案類型

  6. 檢視摘要並完成精靈。

  7. 右鍵點擊你建立的政策,選擇部署,然後選擇你想部署 適用於端點的 Microsoft Defender 政策的集合。

監視

  1. 在 Configuration Manager 主控台中,瀏覽「監控>部署」,然後選擇你為 Defender for Endpoint 政策部署所建立的部署。

  2. 點擊 「檢視狀態 」以查看相關資訊。 在 合規 狀態下,你可以看到已啟用系統的狀態。 尚未啟用的系統可能會出現在 未知 標籤下。

注意事項

這個過程可能需要一些時間,系統可能需要重新啟動才能生效變更。

使用 Configuration Manager 下線裝置

為了安全起見,用來將裝置下架的套件將會在下載日期的 30 天之後到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載離職套件時,你會收到該套件的有效期限通知,且包裹名稱中也會包含該日期。

注意事項

入職與離職政策不得同時部署於同一裝置,否則會導致不可預測的碰撞。

使用 Microsoft Configuration Manager 目前分支的離線裝置

如果你使用 Microsoft Configuration Manager 目前分支,請參見建立離板設定檔

建立離職設定檔

  1. 登入 Microsoft Purview 主控台

  2. 選擇 設定,然後選擇 裝置入職 ,接著在入職標題下選擇 離職

  3. 選擇作業系統為 Windows 10,部署方式為 Microsoft Endpoint Configuration Manager

    • 使用 Windows 10 選項可確保集合中所有裝置都已卸載,且 MMA 在需要時會被卸載。

  4. 下載壓縮後的 archive (.zip) 檔案並解壓內容。 離職申請的有效期為30天。

  5. 在 Configuration Manager 主控台中,進入資產與合規>端點保護>Microsoft Defender For Endpoint 政策,選擇建立 適用於端點的 Microsoft Defender 政策。 原則精靈隨即開啟。

  6. 輸入 適用於端點的 Microsoft Defender 政策的名稱描述,並選擇離職。

  7. 瀏覽 你從下載的 .zip 檔案解壓的設定檔。

  8. 檢視摘要並完成精靈。

  9. 選擇部署,將 適用於端點的 Microsoft Defender 政策針對你想從 Purview 外接的客戶端。

重要事項

Microsoft Purview for Endpoint 的設定檔包含敏感資訊,應予以保護。

提示

如果您不是 E5 客戶,請利用 90 天的 Microsoft Purview 套件試用期,探索額外的 Purview 功能如何幫助您組織管理資料安全與合規需求。 立即從 Microsoft Purview 試用中心開始。 了解報 名及試用期限的詳細資訊。

監視裝置設定

使用目前Microsoft Configuration Manager分支,請使用Configuration Manager主控台內建的適用於端點的 Microsoft Defender儀表板。 如需詳細資訊,請參閱 Microsoft Defender 進階威脅防護 - 監視

請檢查這些裝置是否符合端點資料遺失防護服務的規範

你可以在 Configuration Manager 中為配置項目設定合規規則來監控你的部署。

注意事項

此程序與登錄檔條目適用於 Endpoint DLP 及 Defender for Endpoint。

此規則應該是一種 [非修正] 規則設定項目,該項目會監視目標裝置上之登錄機碼的值。

監視下列登錄機碼項目:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

欲了解更多資訊,請參閱 「規劃與配置合規設定」。

  • Last updated on