適用対象:
- エンドポイントのデータ損失防止
- インサイダー リスク管理
- グループ ポリシー
注:
グループ ポリシー (GP) 更新プログラムを使用してパッケージを展開するには、Windows Server 2008 R2 以降である必要があります。
2019 Windows Serverでは、NT AUTHORITY\Well-Known-System-Account を、グループ ポリシー基本設定で作成する XML ファイルの NT AUTHORITY\SYSTEM に置き換える必要がある場合があります。
この記事では、グループ ポリシーを使用して、microsoft Purview デバイス構成パッケージを Windows 10 および Windows 11 デバイスに展開する方法について説明します。 オンボード後は、エンドポイント データ損失防止機能とインサイダー リスク管理機能によってデバイスを監視できます。 この手順では、オンボードとオフボードの両方のシナリオについて説明します。 このガイダンスは、グループ ポリシー オブジェクト (GPO) を使用してデバイス ポリシーを管理する IT 管理者を対象としています。
グループ ポリシーを使用してデバイスをオンボードする
グループ ポリシー オンボード パッケージをダウンロードしてデプロイするには、次の手順に従います。
Purview ポータルを開きます。
ナビゲーション ウィンドウで、 設定>Device Onboarding を選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy という名前のフォルダーとファイル DeviceComplianceLocalOnboardingScript.cmdが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
[グループ ポリシー管理エディター] で、[コンピューター構成] に移動します。そして [ユーザー設定] をし、[コントロール パネルの設定] を行ないます。
[スケジュールされたタスク] を右クリックします。[新規作成] をポイントし、[イミディエイト タスク] (Windows 7 以上) をクリックします。
[タスク] ウィンドウが開いたら、[一般] タブに移動します。[セキュリティ オプション] で、[ユーザーまたはグループを変更] をクリックし、「SYSTEM」と入力します。[名前を確認] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 WindowsDefenderATPOnboardingScript.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
グループ ポリシーを使用してデバイスをオフボードする
セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 30 日後に有効期限が切れます。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。
重要
オフボードすると、デバイスがポータルへのセンサー データの送信を停止します。 ただし、デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。
注:
オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開することはできません。 両方のポリシーを同時にデプロイすると、予期しない競合が発生します。
Microsoft Purview ポータルからオフボード パッケージを取得します。
ナビゲーション ウィンドウで、 設定>Device オンボード>Offboarding を選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
グループ ポリシー管理エディターで、[コンピューターの構成]、[基本設定]、[コントロール パネルの設定] の順に移動します。
[ スケジュールされたタスク] を右クリックし、[ 新規] をポイントし、[ イミディエイト タスク] をクリックします。
開いた [タスク ] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション] でローカル SYSTEM ユーザー アカウント (BUILTIN\SYSTEM) を選択します。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の特権を持つ実行] チェックボックスをチェックします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
デバイスの構成を監視する
グループ ポリシーでは、デバイス上のポリシーの展開を監視するオプションはありません。 監視は、Microsoft Purview ポータルで直接実行することも、Microsoft Endpoint Configuration Manager や Mobile デバイス管理 ツールなどの他の展開ツールを使用して行うこともできます。
ポータルを使用してデバイスを監視する
オンボードされたデバイスが正しくレポートされていることを確認するには、次の手順を使用します。
- Microsoft Purview ポータルに移動します。
- [ デバイス の一覧] をクリックします。
- デバイスが表示されていることを確認します。
注:
デバイスの 一覧への表示が開始されるまでに数日かかる場合があります。 これには、ポリシーがデバイスに配布されるまでにかかる時間、ユーザーがログオンするまでにかかる時間、エンドポイントがレポートを開始するのにかかる時間が含まれます。
関連コンテンツ
関連するオンボード方法とフォローアップ タスクについては、次の記事を参照してください。
- Microsoft Endpoint Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
- モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
- ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
- 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
- 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
- 高度な脅威保護 のオンボードに関する問題Microsoft Defenderトラブルシューティングする