نهج التحكم في الجهاز في Microsoft Defender لنقطة النهاية
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
توضح هذه المقالة نهج التحكم في الجهاز والقواعد والإدخالات والمجموعات والشروط المتقدمة. بشكل أساسي، تحدد نهج التحكم في الجهاز الوصول لمجموعة من الأجهزة. يتم تحديد الأجهزة الموجودة في النطاق من خلال قائمة بمجموعات الأجهزة المضمنة وقائمة بمجموعات الأجهزة المستبعدة. ينطبق النهج إذا كان الجهاز في جميع مجموعات الأجهزة المضمنة ولا توجد أي من مجموعات الأجهزة المستبعدة. إذا لم يتم تطبيق أي نهج، فسيتم تطبيق الإنفاذ الافتراضي.
بشكل افتراضي، يتم تعطيل التحكم في الجهاز، لذلك يسمح بالوصول إلى جميع أنواع الأجهزة. لمعرفة المزيد حول التحكم في الجهاز، راجع التحكم في الجهاز في Microsoft Defender لنقطة النهاية.
التحكم في السلوك الافتراضي
عند تمكين التحكم في الجهاز، يتم تمكينه لجميع أنواع الأجهزة بشكل افتراضي. يمكن أيضا تغيير الإنفاذ الافتراضي من السماح إلى الرفض. يمكن لفريق الأمان أيضا تكوين أنواع الأجهزة التي يحميها التحكم في الجهاز. يوضح الجدول التالي أدناه كيفية تغيير مجموعات مختلفة من الإعدادات قرار التحكم في الوصول.
هل تم تمكين التحكم في الجهاز؟ | السلوك الافتراضي | أنواع الأجهزة |
---|---|---|
لا | يسمح بالوصول | - محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة |
نعم | (غير محدد) يسمح بالوصول |
- محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة |
نعم | رفض | - محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة |
نعم | رفض أجهزة الوسائط والطابعات القابلة للإزالة | - الطابعات وأجهزة الوسائط القابلة للإزالة (محظورة) - محركات أقراص مضغوطة/أقراص DVD وأجهزة Windows المحمولة (مسموح بها) |
عند تكوين أنواع الأجهزة، يتجاهل التحكم في الجهاز في Defender لنقطة النهاية الطلبات إلى عائلات الأجهزة الأخرى.
لمزيد من المعلومات، راجع المقالات التالية:
السياسات
لتحسين الوصول إلى الأجهزة بشكل أكبر، يستخدم التحكم في الجهاز النهج. النهج هو مجموعة من القواعد والمجموعات. تختلف كيفية تعريف القواعد والمجموعات قليلا بين تجارب الإدارة وأنظمة التشغيل، كما هو موضح في الجدول التالي.
أداة الإدارة | نظام التشغيل | كيفية إدارة القواعد والمجموعات |
---|---|---|
Intune – نهج التحكم في الجهاز | بالنسبة لنظام التشغيل | يمكن إدارة مجموعات الأجهزة والطابعات كإعدادات قابلة لإعادة الاستخدام وتضمينها في القواعد. لا تتوفر جميع الميزات في نهج التحكم في الجهاز (راجع نشر التحكم في الجهاز وإدارته باستخدام Microsoft Intune) |
Intune – مخصص | بالنسبة لنظام التشغيل | يتم تخزين كل مجموعة/قاعدة كسلسلة XML في نهج التكوين المخصص. يحتوي OMA-URI على GUID للمجموعة/القاعدة. يجب إنشاء GUID. |
نهج المجموعة | بالنسبة لنظام التشغيل | يتم تعريف المجموعات والقواعد في إعدادات XML منفصلة في عنصر نهج المجموعة (راجع نشر التحكم في الجهاز وإدارته باستخدام نهج المجموعة). |
Intune | Mac | يتم دمج القواعد والنهج في JSON واحد وتضمينها في mobileconfig الملف الذي يتم نشره باستخدام Intune |
JAMF | Mac | يتم دمج القواعد والنهج في JSON واحد وتكوينها باستخدام JAMF كنهج التحكم في الجهاز (راجع التحكم في الجهاز لنظام التشغيل macOS) |
يتم تحديد القواعد والمجموعات بواسطة المعرف الفريد العمومي (GUIDs). إذا تم نشر نهج التحكم في الجهاز باستخدام أداة إدارة أخرى غير Intune، يجب إنشاء معرفات المستخدم الرسومية. يمكنك إنشاء معرفات المستخدم الرسومية باستخدام PowerShell.
للحصول على تفاصيل المخطط، راجع مخطط JSON لنظام التشغيل Mac.
المستخدمون
يمكن تطبيق نهج التحكم في الجهاز على المستخدمين و/أو مجموعات المستخدمين.
ملاحظة
في المقالات المتعلقة بالتحكم في الجهاز، يشار إلى مجموعات المستخدمين باسم مجموعات المستخدمين. تشير مجموعات المصطلحات إلى المجموعات المحددة في نهج التحكم في الجهاز.
باستخدام Intune، على Mac وWindows، يمكن استهداف نهج التحكم في الجهاز لمجموعات المستخدمين المحددة في معرف Entra.
في Windows، يمكن أن يكون المستخدم أو مجموعة المستخدمين شرطا لإدخال في نهج .
يمكن للإدخالات مع مجموعات المستخدمين أو المستخدمين الرجوع إلى الكائنات من معرف Entra أو Active Directory محلي.
أفضل الممارسات لاستخدام التحكم في الجهاز مع المستخدمين ومجموعات المستخدمين
لإنشاء قاعدة لمستخدم فردي على Windows، قم بإنشاء إدخال بشرط
Sid
foreach المستخدم في قاعدةلإنشاء قاعدة لمجموعة مستخدمين على Windows وIntune، قم إما بإنشاء إدخال بشرط
Sid
لكل مجموعة مستخدمين في [قاعدة] واستهداف النهج إلى مجموعة أجهزة في Intune أو إنشاء قاعدة دون شروط واستهداف النهج مع Intune لمجموعة المستخدمين.على Mac، استخدم Intune واستهدف النهج لمجموعة مستخدمين في Entra Id.
تحذير
لا تستخدم كلا من شروط مجموعة المستخدم/المستخدم في القواعد واستهداف مجموعة المستخدمين في Intune.
ملاحظة
إذا كان اتصال الشبكة مشكلة، فاستخدم استهداف مجموعة مستخدمي Intune أو مجموعات Active Directory محلية. يجب استخدام شروط مجموعة المستخدم/المستخدم التي تشير إلى معرف Entra فقط في البيئات التي لها اتصال موثوق بمعرف Entra.
القواعد
تحدد القاعدة قائمة المجموعات المضمنة وقائمة المجموعات المستبعدة. لكي يتم تطبيق القاعدة، يجب أن يكون الجهاز في جميع المجموعات المضمنة ولا أحد من المجموعات المستبعدة. إذا كان الجهاز يطابق القاعدة، فسيتم تقييم إدخالات تلك القاعدة. يحدد الإدخال خيارات الإجراء والإعلام المطبقة، إذا كان الطلب يطابق الشروط. إذا لم يتم تطبيق أي قواعد أو لم تتطابق أي إدخالات مع الطلب، فسيتم تطبيق الإنفاذ الافتراضي.
على سبيل المثال، للسماح بالوصول للكتابة لبعض أجهزة USB، والوصول للقراءة لجميع أجهزة USB الأخرى، استخدم النهج والمجموعات والإدخالات التالية مع تعيين الإنفاذ الافتراضي للرفض.
مجموعة | الوصف |
---|---|
جميع أجهزة التخزين القابلة للإزالة | أجهزة التخزين القابلة للإزالة |
USBs قابل للكتابة | قائمة USBs حيث يسمح بالوصول إلى الكتابة |
القاعده | مجموعات الأجهزة المضمنة | مجموعات الأجهزة المستبعدة | ادخال |
---|---|---|---|
قراءة الوصول فقط ل USBs | جميع أجهزة التخزين القابلة للإزالة | USBs قابل للكتابة | الوصول للقراءة فقط |
الوصول للكتابة ل USBs | USBs قابل للكتابة | الوصول للكتابة |
يظهر اسم القاعدة في المدخل لإعداد التقارير وفي الإعلام المنبثق للمستخدمين، لذا تأكد من إعطاء القواعد أسماء وصفية.
يمكنك تكوين القواعد عن طريق تحرير النهج في Intune، أو باستخدام ملف XML في Windows، أو باستخدام ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.
تصور الصورة التالية إعدادات التكوين لنهج التحكم في الجهاز في Intune:
في لقطة الشاشة، المعرف المضمن والمعرف المستبعد هما مراجع لمجموعات الإعدادات المضمنة والمستبعدة القابلة لإعادة الاستخدام. يمكن أن يكون للنهج قواعد متعددة.
إنتون لا يحترم ترتيب القواعد. يمكن تقييم القواعد بأي ترتيب، لذا تأكد من استبعاد مجموعات من الأجهزة غير الموجودة في نطاق القاعدة بشكل صريح.
ادخالات
تحدد نهج التحكم في الجهاز الوصول (يسمى إدخال) لمجموعة من الأجهزة. تحدد الإدخالات خيارات الإجراء والإعلام للأجهزة التي تطابق النهج والشروط المحددة في الإدخال.
إعداد الإدخال | خيارات |
---|---|
AccessMask | يطبق الإجراء فقط إذا تطابقت عمليات الوصول مع قناع الوصول - قناع الوصول هو OR البت لقيم الوصول: 1 - قراءة الجهاز 2 - كتابة الجهاز 4 - تنفيذ الجهاز 8 - قراءة الملف 16 - كتابة الملف 32 - تنفيذ الملف 64 - طباعة على سبيل المثال: قراءة الجهاز وكتابته وتنفيذه = 7 (1+2+4) قراءة الجهاز، قراءة القرص = 9 (1+8) |
العمل | سماح رفض AuditAllow AuditDeny |
الاعلام | بلا (افتراضي) يتم إنشاء حدث يتلقى المستخدم إعلاما يتم التقاط دليل الملف |
إذا تم تكوين التحكم في الجهاز، وحاول المستخدم استخدام جهاز غير مسموح به، يحصل المستخدم على إعلام يحتوي على اسم نهج التحكم في الجهاز واسم الجهاز. يظهر الإعلام مرة واحدة كل ساعة بعد رفض الوصول الأولي.
يدعم الإدخال الشروط الاختيارية التالية:
- حالة مجموعة المستخدم/المستخدم: يطبق الإجراء فقط على مجموعة المستخدم/المستخدم المحددة بواسطة SID
ملاحظة
بالنسبة لمجموعات المستخدمين والمستخدمين المخزنين في معرف Microsoft Entra، استخدم معرف العنصر في الشرط. بالنسبة لمجموعات المستخدمين والمستخدمين المخزنين محليا، استخدم معرف الأمان (SID)
ملاحظة
في Windows، يمكن استرداد SID للمستخدم الذي قام بتسجيل الدخول عن طريق تشغيل أمر whoami /user
PowerShell .
- حالة الجهاز: يطبق الإجراء فقط على الجهاز/المجموعة المحددة بواسطة SID
- شرط المعلمات: يطبق الإجراء فقط إذا تطابقت المعلمات (راجع الشروط المتقدمة)
يمكن تحديد نطاق الإدخالات بشكل أكبر لمستخدمين وأجهزة محددة. على سبيل المثال، السماح بالوصول للقراءة إلى USBs هذا لهذا المستخدم فقط على هذا الجهاز.
السياسات | مجموعات الأجهزة المضمنة | مجموعات الأجهزة المستبعدة | إدخال (ies) |
---|---|---|---|
قراءة الوصول فقط ل USBs | جميع أجهزة التخزين القابلة للإزالة | USBs قابل للكتابة | الوصول للقراءة فقط |
الوصول للكتابة ل USBs | USBs قابل للكتابة | الوصول للكتابة للمستخدم 1 الوصول للكتابة للمستخدم 2 على مجموعة الأجهزة A |
يجب أن تكون جميع الشروط في الإدخال صحيحة حتى يتم تطبيق الإجراء.
يمكنك تكوين الإدخالات باستخدام Intune أو ملف XML في Windows أو ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.
في Intune، يحتوي حقل قناع Access على خيارات، مثل:
- قراءة (قراءة على مستوى القرص = 1)
- الكتابة (كتابة على مستوى القرص = 2)
- تنفيذ (تنفيذ مستوى القرص = 4)
- طباعة (طباعة = 64).
لا تظهر جميع الميزات في واجهة مستخدم Intune. لمزيد من المعلومات، راجع نشر التحكم في الجهاز وإدارته باستخدام Intune.
المجموعات
تحدد المجموعات معايير تصفية العناصر حسب خصائصها. يتم تعيين العنصر إلى المجموعة إذا كانت خصائصه تطابق الخصائص المحددة للمجموعة.
ملاحظة
لا تشير المجموعات الموجودة في هذا القسم إلى مجموعات المستخدمين.
على سبيل المثال:
- USBs المسموح بها هي جميع الأجهزة التي تطابق أي من هذه الشركات المصنعة
- USBs المفقودة هي جميع الأجهزة التي تطابق أي من هذه الأرقام التسلسلية
- الطابعات المسموح بها هي جميع الأجهزة التي تتطابق مع أي من هذه VID/PID
يمكن مطابقة الخصائص بأربع طرق: MatchAll
و MatchAny
و MatchExcludeAll
و MatchExcludeAny
MatchAll
: الخصائص هي علاقة "و"؛ على سبيل المثال، إذا قام المسؤول بوضعDeviceID
وInstancePathID
، لكل USB متصل، يتحقق النظام لمعرفة ما إذا كان USB يفي بكلتا القيمتين.MatchAny
: الخصائص هي علاقة "أو"؛ على سبيل المثال، إذا وضع المسؤول DeviceID وInstancePathID
، لكل USB متصل، يفرض النظام طالما أن USB له قيمة أوInstanceID
متطابقةDeviceID
.MatchExcludeAll
: الخصائص هي علاقة "و"، يتم تغطية أي عناصر لا تفي بها. على سبيل المثال، إذا قام المسؤول بوضعDeviceID
واستخدامInstancePathID
MatchExcludeAll
، لكل USB متصل، يفرض النظام طالما أن USB لا يحتوي على قيمةDeviceID
متطابقة وقيمةInstanceID
.MatchExcludeAny
: الخصائص هي علاقة "أو"، يتم تغطية أي عناصر لا تفي بها. على سبيل المثال، إذا قام المسؤول بوضعDeviceID
واستخدامInstancePathID
MatchExcludeAny
، لكل USB متصل، يفرض النظام طالما أن USB لا يحتوي على قيمة متطابقةDeviceID
أوInstanceID
متطابقة.
تستخدم المجموعات بطريقتين: لتحديد الأجهزة للتضمين/الاستبعاد في القواعد، وتصفية الوصول للشروط المتقدمة. يلخص هذا الجدول أنواع المجموعات وكيفية استخدامها.
نوع | الوصف | O/S | تضمين/استبعاد القواعد | الشروط المتقدمة |
---|---|---|---|---|
الجهاز (افتراضي) | تصفية الأجهزة والطابعات | Windows/Mac | X | |
الشبكه | تصفية شروط الشبكة | بالنسبة لنظام التشغيل | X | |
اتصال VPN | تصفية شروط VPN | بالنسبة لنظام التشغيل | X | |
ملف | تصفية خصائص الملف | بالنسبة لنظام التشغيل | X | |
مهمة الطباعة | تصفية خصائص الملف الذي تتم طباعته | بالنسبة لنظام التشغيل | X |
الأجهزة الموجودة في نطاق النهج التي تحددها قائمة بالمجموعات المضمنة وقائمة بالمجموعات المستبعدة. تنطبق قاعدة إذا كان الجهاز في جميع المجموعات المضمنة ولم يكن أي من المجموعات المستبعدة. يمكن إنشاء المجموعات من خصائص الأجهزة. يمكن استخدام الخصائص التالية:
الخاصيه | الوصف | أجهزة Windows | أجهزة Mac | الطابعات |
---|---|---|---|---|
FriendlyNameId |
الاسم المألوف في Windows Device Manager | Y | N | Y |
PrimaryId |
نوع الجهاز | Y | Y | Y |
VID_PID |
معرف المورد هو رمز المورد المكون من أربعة أرقام الذي تعينه لجنة USB للمورد. معرف المنتج هو رمز المنتج المكون من أربعة أرقام الذي يعينه المورد للجهاز. يتم دعم أحرف البدل. على سبيل المثال 0751_55E0 |
Y | N | Y |
PrinterConnectionId |
نوع اتصال الطابعة: -Usb -الشركات -الشبكه -العالمي -ملف -المخصصه -المحليه |
N | N | Y |
BusId |
معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول) | Y | N | N |
DeviceId |
معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول) | Y | N | N |
HardwareId |
معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول) | Y | N | N |
InstancePathId |
معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول) | Y | N | N |
SerialNumberId |
معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول) | Y | Y | N |
PID |
معرف المنتج هو رمز المنتج المكون من أربعة أرقام الذي يعينه المورد للجهاز | Y | Y | N |
VID |
معرف المورد هو رمز المورد المكون من أربعة أرقام الذي تعينه لجنة USB للمورد. | Y | Y | N |
DeviceEncryptionStateId |
(معاينة) حالة تشفير BitLocker لجهاز. القيم الصالحة هي BitlockerEncrypted أو Plain |
Y | N | N |
APFS Encrypted |
إذا كان الجهاز مشفرا من APFS | N | Y | N |
استخدام Windows Device Manager لتحديد خصائص الجهاز
بالنسبة لأجهزة Windows، يمكنك استخدام إدارة الأجهزة لفهم خصائص الأجهزة.
افتح إدارة الأجهزة، وحدد موقع الجهاز، وانقر بزر الماوس الأيمن فوق خصائص، ثم حدد علامة التبويب تفاصيل .
في قائمة الخصائص، حدد مسار مثيل الجهاز.
القيمة المعروضة لمسار مثيل الجهاز هي
InstancePathId
، ولكنها تحتوي أيضا على خصائص أخرى:USB\VID_090C&PID_1000\FBH1111183300721
{BusId}\{DeviceId}\{SerialNumberId}
يتم تعيين الخصائص الموجودة في إدارة الأجهزة إلى عنصر تحكم الجهاز كما هو موضح في الجدول التالي:
إدارة الأجهزة التحكم في الجهاز معرفات الأجهزة HardwareId
اسم مألوف FriendlyNameId
الاصل VID_PID
DeviceInstancePath InstancePathId
استخدام التقارير والتتبع المتقدم لتحديد خصائص الأجهزة
خصائص الجهاز لها تسميات مختلفة قليلا في التتبع المتقدم. يعين الجدول أدناه التسميات في المدخل إلى propertyId
في نهج التحكم في الجهاز.
خاصية مدخل Microsoft Defender | معرف خاصية التحكم في الجهاز |
---|---|
اسم الوسائط | FriendlyNameId |
معرف المورد | HardwareId |
معرف الجهاز | InstancePathId |
الرقم التسلسلي | SerialNumberId |
ملاحظة
تأكد من أن العنصر المحدد يحتوي على فئة الوسائط الصحيحة للنهج. بشكل عام، للتخزين القابل للإزالة، استخدم Class Name == USB
.
تكوين المجموعات في Intune أو XML في Windows أو JSON على Mac
يمكنك تكوين المجموعات في Intune، باستخدام ملف XML لنظام التشغيل Windows، أو باستخدام ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.
ملاحظة
Group Id
يتم استخدام في XML وفي id
JSON لتحديد المجموعة داخل التحكم في الجهاز. ليس مرجعا لأي جهة أخرى مثل مجموعة مستخدمين في Entra Id.
يتم تعيين الإعدادات القابلة لإعادة الاستخدام في Intune إلى مجموعات الأجهزة. يمكنك تكوين الإعدادات القابلة لإعادة الاستخدام في Intune.
هناك نوعان من المجموعات: جهاز الطابعة والتخزين القابل للإزالة. يسرد الجدول التالي خصائص هذه المجموعات.
نوع المجموعة | خصائص |
---|---|
جهاز الطابعة | - FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID |
التخزين القابل للإزالة | - BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID |
الشروط المتقدمة
يمكن تقييد الإدخالات بشكل أكبر استنادا إلى المعلمات. تطبق المعلمات شروطا متقدمة تتجاوز الجهاز. تسمح الشروط المتقدمة بالتحكم الدقيق استنادا إلى الشبكة أو اتصال VPN أو مهمة الملف أو الطباعة التي يتم تقييمها.
ملاحظة
الشروط المتقدمة مدعومة فقط بتنسيق XML.
شروط الشبكة
يصف الجدول التالي خصائص مجموعة الشبكة:
الخاصيه | الوصف |
---|---|
NameId |
اسم الشبكة. يتم دعم أحرف البدل. |
NetworkCategoryId |
الخيارات الصالحة هي Public أو Private أو DomainAuthenticated . |
NetworkDomainId |
الخيارات الصالحة هي NonDomain ، ، Domain . DomainAuthenticated |
تتم إضافة هذه الخصائص إلى DescriptorIdList لمجموعة من نوع الشبكة. فيما يلي مثال على القصاصة البرمجية:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
<DescriptorIdList>
<NetworkCategoryId>Public</PathId>
<NetworkDomainId>NonDomain</PathId>
</DescriptorIdList>
</Group>
ثم يشار إلى المجموعة كمعلمات في الإدخال، كما هو موضح في القصاصة البرمجية التالية:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<Network MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
</Network>
</Parameters>
</Entry>
شروط اتصال VPN
يصف الجدول التالي شروط اتصال VPN:
الاسم | الوصف |
---|---|
NameId |
اسم اتصال VPN. يتم دعم أحرف البدل. |
VPNConnectionStatusId |
القيم الصالحة هي Connected أو Disconnected . |
VPNServerAddressId |
قيمة السلسلة ل VPNServerAddress . يتم دعم أحرف البدل. |
VPNDnsSuffixId |
قيمة السلسلة ل VPNDnsSuffix . يتم دعم أحرف البدل. |
تتم إضافة هذه الخصائص إلى DescriptorIdList لمجموعة من نوع VPNConnection، كما هو موضح في القصاصة البرمجية التالية:
<Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
<Name>Corporate VPN</Name>
<MatchType>MatchAll</MatchType>
<DescriptorIdList>
<NameId>ContosoVPN</NameId>
<VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
<VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
<VPNConnectionStatusId>Connected</VPNConnectionStatusId>
</DescriptorIdList>
</Group>
ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:
<Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
<Type>Allow</Type>
<Options>0</Options>
<AccessMask>64</AccessMask>
<Parameters MatchType="MatchAny">
<VPNConnection>
<GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
</VPNConnection>
</Parameters>
</Entry>
شروط الملف
يصف الجدول التالي خصائص مجموعة الملفات:
الاسم | الوصف |
---|---|
PathId |
سلسلة، قيمة مسار الملف أو الاسم. يتم دعم أحرف البدل. ينطبق فقط على مجموعات أنواع الملفات. |
يوضح الجدول التالي كيفية إضافة الخصائص إلى مجموعة الملفات DescriptorIdList
:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
<DescriptorIdList>
<PathId>*.exe</PathId>
<PathId>*.dll</PathId>
</DescriptorIdList>
</Group>
ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<File MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
</File>
</Parameters>
</Entry>
شروط مهمة الطباعة
يصف PrintJob
الجدول التالي خصائص المجموعة:
الاسم | الوصف |
---|---|
PrintOutputFileNameId |
مسار ملف وجهة الإخراج للطباعة إلى ملف. يتم دعم أحرف البدل. على سبيل المثال C:\*\Test.pdf |
PrintDocumentNameId |
مسار الملف المصدر. يتم دعم أحرف البدل. قد لا يكون هذا المسار موجودا. على سبيل المثال، أضف نصا إلى ملف جديد في المفكرة، ثم اطبع دون حفظ الملف. |
تتم إضافة هذه الخصائص DescriptorIdList
إلى مجموعة من النوع PrintJob
، كما هو موضح في القصاصة البرمجية التالية:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
<DescriptorIdList>
<PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
<PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
</DescriptorIdList>
</Group>
ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<PrintJob MatchType="MatchAny">
<GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
</PrintJob>
</Parameters>
</Entry>
دليل الملف
باستخدام التحكم في الجهاز، يمكنك تخزين أدلة على الملفات التي تم نسخها إلى أجهزة قابلة للإزالة أو تمت طباعتها. عند تمكين دليل الملف، RemovableStorageFileEvent
يتم إنشاء . يتم التحكم في سلوك دليل الملف بواسطة خيارات في الإجراء السماح، كما هو موضح في الجدول التالي:
الخيار | الوصف |
---|---|
8 |
RemovableStorageFileEvent إنشاء حدث باستخدامFileEvidenceLocation |
16 |
إنشاء بدون RemovableStorageFileEvent FileEvidenceLocation |
FileEvidenceLocation
يحتوي حقل على موقع ملف الأدلة، إذا تم إنشاء ملف. يحتوي ملف الأدلة على اسم ينتهي ب ، ويتم التحكم في .dup
موقعه بواسطة DataDuplicationFolder
الإعداد .
تخزين أدلة الملفات في Azure Blob Storage
إنشاء حساب وحاوية Azure Blob Storage.
إنشاء دور مخصص يسمى
Device Control Evidence Data Provider
للوصول إلى الحاوية. يجب أن يكون للدور الأذونات التالية:"permissions": [ { "actions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/blobServices/containers/write", "Microsoft.Storage/storageAccounts/blobServices/read" ], "notActions": [], "dataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action", "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write" ], "notDataActions": [] } ]
يمكن إنشاء أدوار مخصصة عبر CLI أو PowerShell
تلميح
الدور المضمن، Storage Blob Data Contributor لديه أذونات حذف للحاوية، وهو غير مطلوب لتخزين أدلة ميزة التحكم في الجهاز. يفتقر دور Storage Blob Data Reader المضمن إلى أذونات الكتابة المطلوبة. هذا هو السبب في أنه يوصى بدور مخصص.
هام
للتأكد من أن تكامل دليل الملف يستخدم Azure Immutable Storage
تعيين مستخدمي عنصر تحكم الجهاز إلى
Device Control Evidence Data Provider
الدور.RemoteStorageFileEvent
قم بتعيين إلى عنوان URL لحاوية Azure Blob Storage.
الخطوات التالية
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ