將 Windows 裝置上線至 Microsoft 365 概觀
適用於:
端點資料外洩防護 (端點 DLP) 和內部風險管理要求 Windows 10 Windows 和 Windows 11 裝置上線到服務,才能將監視資料傳送至服務。
端點 DLP 可讓您監視 Windows 10 或 Windows 11 裝置,並偵測敏感性項目使用和共用的時間。 這可提供您所需的可見度和控制,以確保它們已正確使用和保護,並協助防止可能會危害它們的風險行為。 如需所有 Microsoft DLP 供應項目的詳細資訊,請參閱了解資料外洩防護。 若要深入了解端點 DLP,請參閱 深入了解端點資料外洩防護。
端點 DLP 也可讓您將執行下列 Windows Server 版本的裝置上線:
Windows Server 2019 (2023 年 11 月 14 日 — KB5032196 (OS 組建 17763.5122) - Microsoft 支援服務)
Windows Server 2022 (2023 年 11 月 14 日 安全性更新 (KB5032198) - Microsoft 支援服務)
注意事項
安裝支援的 Windows Server KB 會停用伺服器上的分類功能。 這表示端點 DLP 不會分類伺服器上的檔案。 不過,端點 DLP 仍會保護伺服器上那些在伺服器上安裝這些 KB 之前分類的檔案。 若要確保此保護,請 (2023 年 10 月) 或更新版本安裝 Microsoft Defender 4.18.23100 版。
根據預設,一開始上線時,Windows 伺服器不會啟用端點 DLP。 您必須先開啟已上線伺服器的端點 DLP 支援,才能在 [活動總管] 中查看 伺服器的端點 DLP 事件。
正確設定之後,相同的數據遺失保護原則就可以自動套用至 Windows 計算機和 Windows 伺服器。
內部風險管理採用完整的服務和第三方指標,可協助您快速發現、分級有風險的使用者活動,並採取行動。 透過使用 Microsoft 365 和 Microsoft Graph 中的記錄,內部風險管理可讓您定義用於識別風險指標的特定原則,並且採取動作以緩解這些風險。 如需詳細資訊,請參閱 深入了解內部風險管理。
裝置上線在 Microsoft 365 和適用於端點的 Microsoft Defender (MDE) 之間共用。 如果您已將裝置上線以 MDE,它們會出現在受管理的裝置清單中,而且不需要採取任何進一步的步驟,即可將這些特定裝置上線。 在合規性入口網站中將裝置上線也會將其上線至 MDE。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
開始之前
SKU/訂閱授權
在這裡檢查授權需求。
權限
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。
若要啟用裝置管理,您使用的帳戶必須屬於下列任一角色的成員:
- 安全性系統管理員
- 合規性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來查看 [裝置管理] 設定,則必須具有下列其中一種角色:
- 合規性系統管理員
- 合規性資料系統管理員
- 全域讀取者
- 安全性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來存取上線/離線頁面,則必須具有下列其中一種角色:
- 合規性系統管理員
- 安全性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來開啟/關閉裝置監控,則必須具有下列其中一種角色:
- 合規性系統管理員
- 安全性系統管理員
- 全域系統管理員
準備您的 Windows 裝置
請確認您需要上線的 Windows 裝置符合這些需求。
必須執行下列其中一個 Windows 或 Windows Server 組建:
Windows (X64) :
Windows (ARM64) :
Windows Server 2019 操作系統:1809 版或 2022 #DEBABB5EA4E074B7B917F2FD5FA581C93 操作系統:21H2 之後。
反惡意程式碼用戶端版本為 4.18.2110 或更新版本。 開啟 Windows 安全性應用程式,選取 [設定] 圖示,然後選取 [關於],以查看您目前的版本。 版本號碼會列在 [反惡意程式碼用戶端版本] 底下。 安裝 Windows Update KB4052623 以更新至最新的反惡意程式碼用戶端版本。 如需詳細資訊,請參閱:Microsoft Defender Windows 中的防病毒軟體。
重要事項
Windows 安全性元件都不需要作用中,但必須啟用即時保護和行為監視器。
所有裝置都必須為下列其中一項:
已安裝支援的 Microsoft 365 Apps 版本,且為最新版本。 如需最強大的保護和用戶體驗,請確定已安裝 Microsoft 365 Apps 16.0.14701.0 版或更新版本。
注意事項
- 如果您執行的是 Office 365,則 KB 4577063 是必要項目。
- 如果您使用的是 Microsoft 365 Apps 版本 2004-2008 的每月企業頻道,您需要更新到版本 2009 或更高版本。 請參閲目前版本的 Microsoft 365 Apps 的更新歷程記錄 (依日期列出)。 若要深入了解已知問題,請參閱 2020 年目前通道版本的版本資訊 中的 Office 套件一節。
如果您有使用裝置 Proxy 連線至網際網路的端點,請按照為資訊保護設定裝置 Proxy 和網際網路連線設定中的程序。
重要事項
請確定您允許 MpDlpService.exe 通過防火牆、第三方防病毒軟體或應用程控。
將 Windows 10 或 Windows 11 裝置上線
您必須先啟用裝置監控與上線端點,才能監視與防護裝置上的敏感性項目。 這兩個動作都是在 Microsoft Purview 合規性入口網站中完成。
當您想要將尚未上線的裝置上線時,請下載適當的腳本,並將其部署至這些裝置。 請遵循下列裝置上線程序。
如果您已經將裝置上線到 適用於端點的 Microsoft Defender,它們就會出現在受控裝置清單中。
在此部署案例中,您會將 Windows 10 或 Windows 11 尚未上線的裝置上線。
開啟 Microsoft Purview 合規性入口網站。 選擇 [設定]>[裝置上線]>[裝置]。
注意事項
如果您先前已部署適用於端點的 Microsoft Defender,該程序期間上線的所有裝置都會列在 [裝置] 清單中。 不需要再次上線。 通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。
選擇 [開啟裝置上線]。
選擇 [上線] 開始上線程序。
從 [ 部署方法 ] 列表中選擇您想要部署到這些其他裝置的方式,然後 下載套件。
從下表選擇要遵循的適當程序:
文章 描述 Intune 使用行動裝置管理工具或 Microsoft Intune 在裝置上部署組態套件。 Configuration Manager 您可以使用 Microsoft Endpoint Configuration Manager (最新分支) 版本 1606 或 Microsoft Endpoint Configuration Manager (最新分支) 版本 1602 或更早版本,在裝置上部署組態套件。 群組原則 使用群組原則在裝置上部署組態套件。 本機指令碼 深入了解如何使用本機指令碼在端點上部署組態套件。 虛擬桌面基礎結構 (VDI) 裝置 深入了解如何使用組態套件來設定 VDI 裝置。
檢查裝置狀態
將裝置上線之後,您可以在 [裝置 ] 列表中 檢查裝置的狀態。 請先檢查組 態狀態 。 設定狀態 會顯示裝置是否已正確設定、正在傳送活動訊號給 Purview,以及上次驗證設定的時間。 針對 Windows 裝置設定,包括檢查 Microsoft Defender 防病毒軟體一律開啟保護和行為監視的狀態。
如果沒有任何 DLP 原則限定在 [ 裝置 ] 位置,您就不會在 [原則 同步狀態] 字 段中看到有效的資訊。
注意事項
在裝置脫機之後,已上線的裝置會繼續出現180天。
如需如何針對裝置設定 狀態 和原則 同步狀態 問題進行疑難解答的資訊,請參閱: 針對端點數據外泄防護設定和原則同步進行疑難解答