Intégrer des appareils et des Windows 11 Windows 10 à l’aide de stratégie de groupe

S’applique à :

Remarque

Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.

Pour Windows Server 2019, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence stratégie de groupe.

Cet article explique comment utiliser stratégie de groupe pour déployer le package de configuration d’appareil Microsoft Purview sur des appareils Windows 10 et Windows 11. Après l’intégration, les appareils peuvent être surveillés par des fonctionnalités de protection contre la perte de données de point de terminaison et de gestion des risques internes. Les procédures couvrent à la fois les scénarios d’intégration et de retrait. Ces conseils sont destinés aux administrateurs informatiques qui gèrent les stratégies d’appareil via stratégie de groupe Objects (GPO).

Intégrer des appareils à l’aide d’une stratégie de groupe

Procédez comme suit pour télécharger et déployer le package d’intégration stratégie de groupe :

  1. Ouvrez le portail Purview.

  2. Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil.

  3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

  4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  5. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier DeviceComplianceLocalOnboardingScript.cmd.

  6. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  7. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  8. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  9. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  10. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  11. Accédez à l’onglet Actions , puis cliquez sur Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le nom de fichier et l’emplacement du fichier WindowsDefenderATPOnboardingScript.cmd partagé.

  12. Cliquez sur OK et fermez les fenêtres de la console GPMC ouvertes.

Désintégner des appareils à l’aide de stratégie de groupe

Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintégrage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.

Importante

La désintégration entraîne l’arrêt de l’envoi de données de capteur au portail. Toutefois, les données de l’appareil, y compris les références aux alertes qu’il a eues, seront conservées pendant six mois maximum.

Remarque

Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps. Le déploiement des deux stratégies entraîne simultanément des collisions imprévisibles.

  1. Obtenez le package de désintéglage à partir du portail Microsoft Purview.

  2. Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil>Offboarding.

  3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

  4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  5. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un fichier nommé DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  6. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  7. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  8. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.

  9. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Choisissez le compte d’utilisateur SYSTEM local (BUILTIN\SYSTEM) sous Options de sécurité.

  10. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  11. Accédez à l’onglet Actions , puis cliquez sur Nouveau.... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le nom de fichier et l’emplacement du fichier DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd partagé.

  12. Cliquez sur OK et fermez les fenêtres de la console GPMC ouvertes.

Surveiller la configuration de l’appareil

Avec stratégie de groupe il n’existe aucune option permettant de surveiller le déploiement des stratégies sur les appareils. La surveillance peut être effectuée directement dans le portail Microsoft Purview ou à l’aide d’autres outils de déploiement tels que Microsoft Endpoint Configuration Manager ou mobile Gestion des appareils.

Surveiller les appareils à l’aide du portail

Pour vérifier que les appareils intégrés sont correctement signalés, procédez comme suit :

  1. Accédez au portail Microsoft Purview.
  2. Cliquez sur Liste des appareils .
  3. Vérifiez que les appareils apparaissent.

Remarque

L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire pour que les stratégies soient distribuées à l’appareil, le temps nécessaire avant que l’utilisateur se connecte et le temps nécessaire pour que le point de terminaison commence à créer des rapports.

Pour connaître les méthodes d’intégration et les tâches de suivi associées, consultez les articles suivants :