نشر التحكم في الجهاز وإدارته في Microsoft Defender لنقطة النهاية باستخدام Microsoft Intune
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
إذا كنت تستخدم Intune لإدارة إعدادات Defender لنقطة النهاية، يمكنك استخدامه لنشر إمكانات التحكم في الجهاز وإدارتها. تتم إدارة الجوانب المختلفة للتحكم في الجهاز بشكل مختلف في Intune، كما هو موضح في الأقسام التالية.
تكوين التحكم في الجهاز وإدارته في Intune
انتقل إلى مركز إدارة Intune وسجل الدخول.
انتقل إلى Endpoint security>Attack surface reduction.
ضمن نهج تقليل الأجزاء المعرضة للهجوم، حدد إما نهج موجود، أو حدد + Create Policy لإعداد نهج جديد، باستخدام هذه الإعدادات:
- في قائمة النظام الأساسي ، حدد Windows 10 وWindows 11 وWindows Server. (التحكم في الجهاز غير مدعوم حاليا على Windows Server، على الرغم من تحديد ملف التعريف هذا لنهج التحكم في الجهاز.)
- في قائمة ملف التعريف ، حدد Device Control.
في علامة التبويب Basics ، حدد اسما ووصفا للنهج الخاص بك.
في علامة التبويب إعدادات التكوين ، سترى قائمة بالإعدادات. لا يتعين عليك تكوين كل هذه الإعدادات في وقت واحد. ضع في اعتبارك البدء بالتحكم في الجهاز.
- ضمن القوالب الإدارية، لديك إعدادات تثبيت الجهازوالوصول إلى التخزين القابل للإزالة .
- ضمن Defender، راجع السماح بمسح إعدادات فحص محرك الأقراص القابل للإزالة بالكامل .
- ضمن حماية البيانات، راجع السماح بإعدادات الوصول المباشر إلى الذاكرة .
- ضمن Dma Guard، راجع إعدادات نهج تعداد الأجهزة .
- ضمن التخزين، راجع إعدادات رفض الوصول للكتابة للقرص القابل للإزالة .
- ضمن الاتصال، راجع السماح باتصال USB** والسماح بإعدادات Bluetooth .
- ضمن Bluetooth، راجع قائمة بالإعدادات المتعلقة باتصالات وخدمات Bluetooth. لمزيد من التفاصيل، راجع نهج CSP - Bluetooth.
- ضمن Device Control، يمكنك تكوين نهج مخصصة مع إعدادات قابلة لإعادة الاستخدام. لمزيد من التفاصيل، راجع نظرة عامة على التحكم في الجهاز: القواعد.
- ضمن النظام، راجع السماح بإعدادات بطاقة التخزين .
بعد تكوين الإعدادات، انتقل إلى علامة التبويب علامات النطاق ، حيث يمكنك تحديد علامات النطاق للنهج.
في علامة التبويب الواجبات ، حدد مجموعات من المستخدمين أو الأجهزة لتلقي النهج الخاص بك. لمزيد من التفاصيل، راجع تعيين النهج في Intune.
في علامة التبويب مراجعة + إنشاء ، راجع الإعدادات الخاصة بك، وقم بإجراء أي تغييرات مطلوبة.
عندما تكون جاهزا، حدد إنشاء لإنشاء نهج التحكم في جهازك.
ملفات تعريف التحكم في الجهاز
في Intune، يمثل كل صف نهج التحكم في الجهاز. المعرف المضمن هو الإعداد القابل لإعادة الاستخدام الذي ينطبق عليه النهج. المعرف المستبعد هو الإعداد القابل لإعادة الاستخدام المستبعد من النهج. يحتوي إدخال النهج على الأذونات المسموح بها وسلوك التحكم في الجهاز الذي يدخل حيز التنفيذ عند تطبيق النهج.
للحصول على معلومات حول كيفية إضافة مجموعات الإعدادات القابلة لإعادة الاستخدام المضمنة في صف كل نهج تحكم في الجهاز، راجع قسم إضافة مجموعات قابلة لإعادة الاستخدام إلى ملف تعريف التحكم في الجهاز في استخدام مجموعات الإعدادات القابلة لإعادة الاستخدام مع نهج Intune.
يمكن إضافة النهج وإزالتها باستخدام الأيقونتين + و. يظهر اسم النهج في التحذير للمستخدمين، وفي التتبع والتقارير المتقدمة.
يمكنك إضافة نهج التدقيق، ويمكنك إضافة نهج السماح/الرفض. يوصى دائما بإضافة نهج السماح و/أو الرفض عند إضافة نهج تدقيق بحيث لا تواجه نتائج غير متوقعة.
هام
إذا قمت بتكوين نهج التدقيق فقط، يتم توريث الأذونات من إعداد الإنفاذ الافتراضي.
ملاحظة
- لا يتم الاحتفاظ بالترتيب الذي يتم به سرد النهج في واجهة المستخدم لفرض النهج. أفضل ممارسة هي استخدام نهج السماح/الرفض. تأكد من أن خيار نهج السماح/الرفض غير يتقاطع عن طريق إضافة أجهزة بشكل صريح ليتم استبعادها. باستخدام واجهة Intune الرسومية، لا يمكنك تغيير الإنفاذ الافتراضي. إذا قمت بتغيير الإنفاذ الافتراضي إلى
Deny
، وقمت بإنشاء نهجAllow
ليتم تطبيقه على أجهزة معينة، حظر جميع الأجهزة باستثناء أي أجهزة تم تعيينها فيAllow
النهج.
تعريف الإعدادات باستخدام OMA-URI
هام
يتطلب استخدام Intune OMA-URI لتكوين التحكم في الجهاز إدارة حمل عمل تكوين الجهاز بواسطة Intune، إذا كان الجهاز مدارا بشكل مشترك مع Configuration Manager. لمزيد من المعلومات، راجع كيفية تبديل أحمال عمل Configuration Manager إلى Intune.
في الجدول التالي، حدد الإعداد الذي تريد تكوينه، ثم استخدم المعلومات الموجودة في OMA-URI ونوع البيانات & أعمدة القيم. يتم سرد الإعدادات بترتيب أبجدي.
اعداد | OMA-URI، نوع البيانات، قيم & |
---|---|
فرض التحكم في الجهاز الافتراضي يحدد الإنفاذ الافتراضي القرارات التي يتم اتخاذها أثناء عمليات التحقق من الوصول إلى التحكم في الجهاز عندما لا تتطابق أي من قواعد النهج |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement العدد الصحيح: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
أنواع الأجهزة أنواع الأجهزة، التي تم تحديدها بواسطة معرفاتها الأساسية، مع تشغيل حماية التحكم في الجهاز |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration خيط: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
تمكين التحكم في الجهاز تمكين التحكم في الجهاز أو تعطيله على الجهاز |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled العدد الصحيح: - تعطيل = 0 - تمكين = 1 |
إنشاء نهج باستخدام OMA-URI
عند إنشاء نهج باستخدام OMA-URI في Intune، قم بإنشاء ملف XML واحد لكل نهج. كأفضل ممارسة، استخدم ملف تعريف التحكم في الجهاز أو ملف تعريف قواعد التحكم في الجهاز لتأليف نهج مخصصة.
في جزء إضافة صف ، حدد الإعدادات التالية:
- في حقل الاسم ، اكتب
Allow Read Activity
. - في حقل OMA-URI ، اكتب
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
. (يمكنك استخدام الأمرNew-Guid
PowerShell لإنشاء Guid جديد، واستبدال[PolicyRule Id]
.) - في الحقل نوع البيانات ، حدد سلسلة (ملف XML)، واستخدم XML المخصص.
يمكنك استخدام المعلمات لتعيين شروط لإدخالات معينة. فيما يلي مثال مجموعة لملف XML للسماح بالوصول للقراءة لكل تخزين قابل للإزالة.
ملاحظة
يمكن استخدام التعليقات التي تستخدم تدوين <!-- COMMENT -->
تعليق XML في ملفات Rule وGroup XML، ولكن يجب أن تكون داخل علامة XML الأولى، وليس السطر الأول من ملف XML.
إنشاء مجموعات باستخدام OMA-URI
عند إنشاء مجموعات باستخدام OMA-URI في Intune، قم بإنشاء ملف XML واحد لكل مجموعة. كأفضل ممارسة، استخدم الإعدادات القابلة لإعادة الاستخدام لتعريف المجموعات.
في جزء إضافة صف ، حدد الإعدادات التالية:
- في حقل الاسم ، اكتب
Any Removable Storage Group
. - في حقل OMA-URI ، اكتب
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
. (للحصول على معرف المجموعة، في مركز إدارة Intune، انتقل إلى المجموعات، ثم حدد نسخ معرف الكائن. أو يمكنك استخدام أمرNew-Guid
PowerShell لإنشاء Guid جديد واستبدال[GroupId]
.) - في الحقل نوع البيانات ، حدد سلسلة (ملف XML)، واستخدم XML المخصص.
ملاحظة
يمكن استخدام التعليقات التي تستخدم تدوين <!-- COMMENT -- >
تعليق XML في ملفات Rule وGroup XML، ولكن يجب أن تكون داخل علامة XML الأولى، وليس السطر الأول من ملف XML.
تكوين التحكم في الوصول إلى التخزين القابل للإزالة باستخدام OMA-URI
انتقل إلى مركز إدارة Microsoft Intune وسجل الدخول.
اخترملفات تعريف تكوينالأجهزة>. تظهر صفحة ملفات تعريف التكوين .
ضمن علامة التبويب Policies (محددة افتراضيا)، حدد + Create، واختر + New policy من القائمة المنسدلة التي تظهر. تظهر صفحة إنشاء ملف تعريف .
في قائمة النظام الأساسي ، حدد Windows 10 وWindows 11 وWindows Server من القائمة المنسدلة النظام الأساسي ، واختر قوالب من القائمة المنسدلة نوع ملف التعريف .
بمجرد اختيار القوالب من القائمة المنسدلة نوع ملف التعريف ، يتم عرض جزء اسم القالب ، جنبا إلى جنب مع مربع بحث (للبحث في اسم ملف التعريف).
حدد مخصص من جزء اسم القالب ، وحدد إنشاء.
إنشاء صف لكل إعداد أو مجموعة أو نهج من خلال تنفيذ الخطوات من 1 إلى 5.
عرض مجموعات التحكم في الجهاز (الإعدادات القابلة لإعادة الاستخدام)
في Intune، تظهر مجموعات التحكم في الجهاز كإعدادات قابلة لإعادة الاستخدام.
انتقل إلى مركز إدارة Microsoft Intune وسجل الدخول.
انتقل إلى Endpoint Security>Attack Surface Reduction.
حدد علامة التبويب إعدادات قابلة لإعادة الاستخدام .