グループ ポリシーを使用してWindows 10デバイスとWindows 11をオンボードする
適用対象:
- エンドポイントのデータ損失防止
- インサイダー リスク管理
- グループ ポリシー
注:
グループ ポリシー (GP) 更新プログラムを使用してパッケージを展開するには、Windows Server 2008 R2 以降である必要があります。
2019 Windows Serverでは、NT AUTHORITY\Well-Known-System-Account を、グループ ポリシー基本設定で作成する XML ファイルの NT AUTHORITY\SYSTEM に置き換える必要がある場合があります。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
グループ ポリシーを使用してデバイスをオンボードする
コンプライアンス センターを開きます。
ナビゲーション ウィンドウで、 設定>Device Onboarding を選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy という名前のフォルダーとファイル DeviceComplianceLocalOnboardingScript.cmdが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
[グループ ポリシー管理エディター] で、[コンピューター構成] に移動します。そして [ユーザー設定] をし、[コントロール パネルの設定] を行ないます。
[スケジュールされたタスク] を右クリックします。[新規作成] をポイントし、[イミディエイト タスク] (Windows 7 以上) をクリックします。
[タスク] ウィンドウが開いたら、[一般] タブに移動します。[セキュリティ オプション] で、[ユーザーまたはグループを変更] をクリックし、「SYSTEM」と入力します。[名前を確認] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 WindowsDefenderATPOnboardingScript.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
グループ ポリシーを使用してデバイスをオフボードする
セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 30 日後に有効期限が切れます。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。
注:
オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。
Microsoft Purview コンプライアンス ポータルからオフボード パッケージを取得します。
ナビゲーション ウィンドウで、 設定>Device オンボード>Offboarding を選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
[グループ ポリシー管理] エディターで、[コンピューターの構成]、[基本設定]、[コントロール パネルの設定] の順に移動します。
[ スケジュールされたタスク] を右クリックし、[ 新規] をポイントし、[ イミディエイト タスク] をクリックします。
開いた [タスク ] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション] でローカル SYSTEM ユーザー アカウント (BUILTIN\SYSTEM) を選択します。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の特権を持つ実行] チェックボックスをチェックします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
重要
オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータは停止します。
デバイスの構成を監視する
グループ ポリシーでは、デバイス上のポリシーの展開を監視するオプションはありません。 監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。
ポータルを使用してデバイスを監視する
- Microsoft Purview コンプライアンス ポータルに移動します。
- [ デバイス の一覧] をクリックします。
- デバイスが表示されていることを確認します。
注:
デバイスの 一覧への表示が開始されるまでに数日かかる場合があります。 これには、ポリシーがデバイスに配布されるまでにかかる時間、ユーザーがログオンするまでにかかる時間、エンドポイントがレポートを開始するのにかかる時間が含まれます。
関連項目
- Microsoft Endpoint Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
- モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
- ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
- 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
- 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
- Advanced Threat Protection のオンボードに関する問題Microsoft Defenderトラブルシューティングする