将 Windows 设备载入 Microsoft 365 概述
适用于:
终结点数据丢失防护 (Endpoint DLP) 和内部风险管理要求将Windows 10 Windows 和 Windows 11 设备载入服务,以便它们将监视数据发送到服务。
终结点 DLP 允许监视 Windows 10 或 Windows 11 设备,并检测何时使用和共享敏感项目。 这为你提供了所需的可见性和控制,以确保正确使用和保护它们,并帮助防止可能危及它们的风险行为。 有关 Microsoft 所有 DLP 产品/服务的更多信息,请参阅数据丢失防护概述。 若要了解有关终结点 DLP 的详细信息,请参阅 了解终结点数据丢失防护。
终结点 DLP 还允许载入运行以下版本的Windows Server的设备:
Windows Server 2019 (2023 年 11 月 14 日 — KB5032196 (OS 内部版本 17763.5122) - Microsoft 支持部门)
Windows Server 2022 (2023 年 11 月 14 日安全更新 (KB5032198) - Microsoft 支持部门)
注意
安装支持的 Windows Server KB 会在服务器上禁用分类功能。 这意味着终结点 DLP 不会对服务器上的文件进行分类。 但是,终结点 DLP 仍将保护服务器上那些在服务器上安装这些 KB 之前分类的文件。 若要确保此保护,请安装Microsoft Defender版本 4.18.23100 (2023 年 10 月) 或更高版本。
默认情况下,最初载入 Windows 服务器时,不会为它们启用终结点 DLP。 在活动资源管理器中查看服务器的终结点 DLP 事件之前,必须先打开 已载入服务器的终结点 DLP 支持。
正确配置后,相同的数据丢失保护策略可以自动应用于 Windows 电脑和 Windows 服务器。
内部风险管理使用全面的服务和第三方指示器来帮助你快速识别、会审和处理有风险的用户活动。 通过使用来自Microsoft 365和Microsoft Graph的日志,内部风险管理允许你定义特定策略来识别风险指示器并采取措施来缓解这些风险。 有关详细信息,请参阅 了解内部风险管理。
设备载入在 Microsoft 365 和 Microsoft Defender for Endpoint (MDE) 之间共享。 如果已将设备载入到MDE,则它们将显示在托管设备列表中,无需进一步步骤即可载入这些特定设备。 在 Microsoft Purview 合规门户 中加入设备还会将它们载入到MDE。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
准备工作
SKU/订阅许可
请查看此处许可要求。
权限
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。
若要启用设备管理,你使用的帐户必须是以下任何一个角色的成员:
- 安全管理员
- 合规性管理员
- 全局管理员
如果要使用自定义帐户查看设备管理设置,该帐户必须具有以下角色之一:
- 合规性管理员
- 合规性数据管理员
- 全局读取者
- 安全管理员
- 全局管理员
如果要使用自定义帐户访问载入/载出页面,该帐户必须具有以下角色之一:
- 合规性管理员
- 安全管理员
- 全局管理员
如果要使用自定义帐户打开/关闭设备监视,该帐户必须具有以下角色之一:
- 合规性管理员
- 安全管理员
- 全局管理员
准备 Windows 设备
确保需要载入的 Windows 设备满足这些要求。
必须运行以下版本之一的 Windows 或 Windows Server:
Windows (X64) :
Windows (ARM64) :
Windows Server 2019作系统:1809 以后或 Windows Server 2022 OS: 21H2 起。
反恶意软件客户端的版本为 4.18.2110 或更高版本。 若要查看当前版本,请打开“Windows 安全中心”应用,选择“设置”图标,然后选择“关于”。 “反恶意软件客户端版本”下列出了版本号。 通过安装 Windows 更新 KB4052623,更新到最新的反恶意软件客户端版本。 有关详细信息,请参阅:在 Windows 中Microsoft Defender防病毒。
重要
Windows 安全中心组件都不需要处于活动状态,但必须启用实时保护和行为监视器。
所有设备必须是以下设备之一:
已安装受支持的 Microsoft 365 应用版 版本并处于最新状态。 为了获得最可靠的保护和用户体验,请确保已安装Microsoft 365 应用版版本 16.0.14701.0 或更高版本。
注意
- 如果正在运行Office 365 - 需要 KB 4577063。
- 如果你使用 Microsoft 365 应用版 2004-2008 的月度企业频道,则需要更新到版本 2009 或更高版本。 参见 Microsoft 365 应用版的更新历史记录(按日期列出)。 要了解有关此问题的更多信息,请参阅有关 2020 年当前频道发行的发行说明。
如果终结点使用设备代理连接到 Internet,请按照 配置信息保护的设备代理和 Internet 连接设置中的过程进行操作。
重要
请确保允许 MpDlpService.exe 通过防火墙、第三方防病毒软件或应用程序控制。
以下是特定功能的先决条件。
| 功能 | 先决条件 |
|---|---|
| 策略中的允许和关闭模式 (路线图 ID 481356) | 需要反恶意软件客户端版本 4.18.25010 或更高版本。 |
载入Windows 10或 Windows 11 设备
必须先启用设备监视功能并载入终结点,然后才能监视和保护设备上的敏感项目。 这两个作都在 Microsoft Purview 门户中完成。
如果要载入尚未载入的设备,请下载相应的脚本并将其部署到这些设备。 按照下面的设备载入过程进行操作。
如果已将设备载入Microsoft Defender for Endpoint,则它们已显示在托管设备列表中。
在此部署方案中,将载入Windows 10或Windows 11尚未载入的设备。
打开 Microsoft Purview 门户。 选择 “设置”“>设备载入>设备”。
注意
如果以前部署了 Microsoft Defender for Endpoint,则在该过程中载入的所有设备都将列在 设备 列表中。 无需再次加入它们。 设备载入通常需要大约 60 秒才能启用,请先等待 30 分钟,然后再与 Microsoft 支持人员接洽。
选择 “启用设备载入”。
选择“载入”以开始载入流程。
从“ 部署方法 ”列表中选择要部署到这些其他设备的方式,然后 下载包。
从下表中选择要遵循的适当过程:
文章 说明 Intune 使用移动设备管理工具或 Microsoft Intune 在设备上部署配置包。 配置管理器 可以使用 Microsoft Endpoint Configuration Manager(当前分支)版本 1606 或 Microsoft Endpoint Configuration Manager(当前分支)版本 1602 或更早版本在设备上部署配置包。 组策略 使用组策略在设备上部署配置包。 本地脚本 了解如何使用本地脚本在终结点上部署配置包。 虚拟桌面基础结构 (VDI) 设备 了解如何使用配置包配置 VDI 设备。
检查设备状态
载入设备后,可以在“设备”列表中检查设备的状态。 首先检查 配置状态 。 配置状态 显示设备配置是否正确、是否向 Purview 发送检测信号,以及上次验证配置的时间。 对于 Windows 设备配置,包括检查Microsoft Defender防病毒始终启用保护和行为监视的状态。
如果没有任何 DLP 策略限定于 设备 位置,则不会在 “策略同步状态 ”字段中看到有效信息。
注意
载入的设备将在设备脱机后 180 天内继续显示。
有关如何排查设备配置状态和策略同步状态问题的信息,请参阅:排查终结点数据丢失防护配置和策略同步问题