Подключение Windows 10 устройств и Windows 11 с помощью групповая политика

Область применения:

Примечание.

Чтобы использовать обновления групповая политика (GP) для развертывания пакета, необходимо использовать Windows Server 2008 R2 или более поздней версии.

Для Windows Server 2019 может потребоваться заменить NT AUTHORITY\Well-Known-System-Account на NT AUTHORITY\SYSTEM XML-файла, создаваемого групповая политика предпочтения.

В этой статье объясняется, как использовать групповая политика для развертывания пакета конфигурации устройств Microsoft Purview на Windows 10 и Windows 11 устройствах. После подключения устройства можно отслеживать с помощью функций защиты от потери данных конечных точек и управления внутренними рисками. Эти процедуры охватывают сценарии подключения и отключения. Это руководство предназначено для ИТ-администраторов, управляющих политиками устройств с помощью объектов групповая политика .

Подключение устройств с помощью групповой политики

Чтобы скачать и развернуть пакет подключения групповая политика, выполните следующие действия.

  1. Откройте портал Purview.

  2. В области навигации выберите Параметры> Подключениеустройства.

  3. В поле Метод развертывания выберите Групповая политика.

  4. Щелкните Скачать пакет и сохраните файл .zip.

  5. Извлеките содержимое файла .zip в общее расположение только для чтения, к которому устройство может получить доступ. У вас должна быть папка OptionalParamsPolicy , а файл DeviceComplianceLocalOnboardingScript.cmd.

  6. Откройте консоль управления групповая политика (GPMC), щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

  7. В редакторе управления групповая политикаперейдите в раздел Конфигурация компьютера, Параметры и Параметры панели управления.

  8. Щелкните правой кнопкой мыши запланированные задачи, наведите указатель мыши на пункт Создать, а затем выберите пункт Немедленная задача (по крайней мере Windows 7).

  9. В открывавшемся окне Задача перейдите на вкладку Общие . В разделе Параметры безопасности щелкните Изменить пользователя или группу и введите SYSTEM, а затем нажмите кнопку Проверить имена , а затем ОК. NT AUTHORITY\SYSTEM отображается как учетная запись пользователя, от имени задачи будет выполняться.

  10. Выберите Выполнить независимо от того, вошел ли пользователь в систему или нет, и проверка поле Запуск с самыми высокими привилегиями проверка.

  11. Перейдите на вкладку Действия и нажмите кнопку Создать... Убедитесь, что в поле Действие выбран пункт Запустить программу. Введите имя файла и расположение общего файла WindowsDefenderATPOnboardingScript.cmd .

  12. Нажмите кнопку ОК и закройте все открытые окна GPMC.

Отключение устройств с помощью групповая политика

По соображениям безопасности срок действия пакета, используемого для отключения устройств, истекает через 30 дней после даты загрузки. Пакеты отключения с истекшим сроком действия, отправленные на устройство, будут отклонены. При скачивании пакета offboarding вы получите уведомление о дате окончания срока действия пакетов, и он также будет включен в имя пакета.

Важно!

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал. Однако данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться в течение шести месяцев.

Примечание.

Политики подключения и отключения не должны развертываться на одном устройстве одновременно. Одновременное развертывание обеих политик приводит к непредсказуемым конфликтам.

  1. Получите пакет offboarding на портале Microsoft Purview.

  2. В области навигации выберите Параметры>Подключение устройства>отключение.

  3. В поле Метод развертывания выберите Групповая политика.

  4. Щелкните Скачать пакет и сохраните файл .zip.

  5. Извлеките содержимое файла .zip в общее расположение только для чтения, к которому устройство может получить доступ. У вас должен быть файл с именем DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  6. Откройте консоль управления групповая политика (GPMC), щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

  7. В редакторе управления групповая политика выберите Конфигурация компьютера,Параметры и Параметры панели управления.

  8. Щелкните правой кнопкой мыши пункт Запланированные задачи, наведите указатель мыши на пункт Создать, а затем выберите команду Немедленная задача.

  9. В открывавшемся окне Задача перейдите на вкладку Общие . Выберите локальную учетную запись пользователя SYSTEM (BUILTIN\SYSTEM) в разделе Параметры безопасности.

  10. Выберите Выполнить независимо от того, вошел ли пользователь в систему или нет, и проверка поле Запустить с самыми высокими привилегиями проверка.

  11. Перейдите на вкладку Действия и нажмите кнопку Создать.... Убедитесь, что в поле Действие выбран пункт Запустить программу. Введите имя файла и расположение файла общей DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd .

  12. Нажмите кнопку ОК и закройте все открытые окна GPMC.

Мониторинг конфигурации устройства

При использовании групповая политика нет возможности отслеживать развертывание политик на устройствах. Мониторинг можно выполнять непосредственно на портале Microsoft Purview или с помощью других средств развертывания, таких как Microsoft Endpoint Configuration Manager или средства мобильной Управление устройствами.

Мониторинг устройств с помощью портала

Чтобы убедиться, что подключенные устройства правильно отчеты, выполните следующие действия.

  1. Перейдите на портал Microsoft Purview.
  2. Щелкните Список устройств .
  3. Убедитесь, что отображаются устройства.

Примечание.

Отображение устройств в списке Устройств может занять несколько дней. Это включает в себя время, необходимое для распространения политик на устройстве, время, необходимое для входа пользователя в систему, а также время, необходимое для запуска отчетов конечной точки.

Связанные методы подключения и дальнейшие задачи см. в следующих статьях: