نهج التحكم في الجهاز في Microsoft Defender لنقطة النهاية

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender for Business

توضح هذه المقالة نهج التحكم في الجهاز والقواعد والإدخالات والمجموعات والشروط المتقدمة. بشكل أساسي، تحدد نهج التحكم في الجهاز الوصول لمجموعة من الأجهزة. يتم تحديد الأجهزة الموجودة في النطاق من خلال قائمة بمجموعات الأجهزة المضمنة وقائمة بمجموعات الأجهزة المستبعدة. ينطبق النهج إذا كان الجهاز في جميع مجموعات الأجهزة المضمنة ولا توجد أي من مجموعات الأجهزة المستبعدة. إذا لم يتم تطبيق أي نهج، تطبيق الإنفاذ الافتراضي.

بشكل افتراضي، يتم تعطيل التحكم في الجهاز، لذلك يسمح بالوصول إلى جميع أنواع الأجهزة. لمعرفة المزيد حول التحكم في الجهاز، راجع التحكم في الجهاز في Microsoft Defender لنقطة النهاية.

التحكم في السلوك الافتراضي

عند تمكين التحكم في الجهاز، يتم تمكينه لجميع أنواع الأجهزة بشكل افتراضي. يمكن أيضا تغيير الإنفاذ الافتراضي من السماح إلى الرفض. يمكن لفريق الأمان أيضا تكوين أنواع الأجهزة التي يحميها التحكم في الجهاز. يوضح الجدول التالي أدناه كيفية تغيير مجموعات مختلفة من الإعدادات قرار التحكم في الوصول.

هل تم تمكين التحكم في الجهاز؟	السلوك الافتراضي	أنواع الأجهزة
لا	يسمح بالوصول	- محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة
نعم	(غير محدد) يسمح بالوصول	- محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة
نعم	أنكر	- محركات أقراص CD/DVD -الطابعات - أجهزة الوسائط القابلة للإزالة - أجهزة Windows المحمولة
نعم	رفض أجهزة الوسائط والطابعات القابلة للإزالة	- الطابعات وأجهزة الوسائط القابلة للإزالة (محظورة) - محركات أقراص مضغوطة/أقراص DVD وأجهزة Windows المحمولة (مسموح بها)

عند تكوين أنواع الأجهزة، يتجاهل التحكم في الجهاز في Defender لنقطة النهاية الطلبات إلى عائلات الأجهزة الأخرى.

لمزيد من المعلومات، راجع المقالات التالية:

• توزيع التحكم في الجهاز وإدارته باستخدام Intune
• نشر التحكم في الجهاز وإدارته باستخدام نهج المجموعة

السياسات

لتحسين الوصول إلى الأجهزة بشكل أكبر، يستخدم التحكم في الجهاز النهج. النهج هو مجموعة من القواعد والمجموعات. تختلف كيفية تعريف القواعد والمجموعات قليلا بين تجارب الإدارة وأنظمة التشغيل، كما هو موضح في الجدول التالي.

أداة الإدارة	نظام التشغيل	كيفية إدارة القواعد والمجموعات
Intune – نهج التحكم في الجهاز	بالنسبة لنظام التشغيل	يمكن إدارة مجموعات الأجهزة والطابعات كإعدادات قابلة لإعادة الاستخدام وتضمينها في القواعد. لا تتوفر جميع الميزات في نهج التحكم في الجهاز (راجع نشر التحكم في الجهاز وإدارته باستخدام Microsoft Intune)
Intune – مخصص	بالنسبة لنظام التشغيل	يتم تخزين كل مجموعة/قاعدة كسلسلة XML في نهج التكوين المخصص. يحتوي OMA-URI على GUID للمجموعة/القاعدة. يجب إنشاء GUID.
نهج المجموعة	بالنسبة لنظام التشغيل	يتم تعريف المجموعات والقواعد في إعدادات XML منفصلة في عنصر نهج المجموعة (راجع نشر التحكم في الجهاز وإدارته باستخدام نهج المجموعة).
Intune	Mac	يتم دمج القواعد والنهج في JSON واحد وتضمينها في mobileconfig الملف الذي يتم توزيعه باستخدام Intune
JAMF	Mac	يتم دمج القواعد والنهج في JSON واحد وتكوينها باستخدام JAMF كنهج التحكم في الجهاز (راجع التحكم في الجهاز لنظام التشغيل macOS)

يتم تحديد القواعد والمجموعات بواسطة المعرف الفريد العمومي (GUIDs). إذا تم نشر نهج التحكم في الجهاز باستخدام أداة إدارة غير Intune، يجب إنشاء معرفات المستخدم الرسومية. يمكنك إنشاء معرفات المستخدم الرسومية باستخدام PowerShell.

للحصول على تفاصيل المخطط، راجع مخطط JSON لنظام التشغيل Mac.

المستخدمون

يمكن تطبيق نهج التحكم في الجهاز على المستخدمين و/أو مجموعات المستخدمين.

ملاحظة

في المقالات المتعلقة بالتحكم في الجهاز، يشار إلى مجموعات المستخدمين باسم مجموعات المستخدمين. تشير مجموعات المصطلحات إلى المجموعات المحددة في نهج التحكم في الجهاز.

باستخدام Intune، على Mac وWindows، يمكن استهداف نهج التحكم في الجهاز لمجموعات المستخدمين المحددة في معرف Entra.

في Windows، يمكن أن يكون المستخدم أو مجموعة المستخدمين شرطا لإدخال في نهج .

يمكن للإدخالات مع مجموعات المستخدمين أو المستخدمين الرجوع إلى الكائنات من معرف Entra أو Active Directory محلي.

أفضل الممارسات لاستخدام التحكم في الجهاز مع المستخدمين ومجموعات المستخدمين

• لإنشاء قاعدة لمستخدم فردي على Windows، قم بإنشاء إدخال بشرط Sid foreach المستخدم في قاعدة

• لإنشاء قاعدة لمجموعة مستخدمين على Windows Intune، قم إما بإنشاء إدخال بشرط Sid لكل مجموعة مستخدمين في [قاعدة] واستهداف النهج إلى مجموعة أجهزة في Intune أو إنشاء قاعدة دون شروط واستهداف النهج مع Intune لمجموعة المستخدمين.

• على Mac، استخدم Intune واستهدف النهج لمجموعة مستخدمين في Entra Id.

تحذير

لا تستخدم كلا من شروط مجموعة المستخدم/المستخدم في القواعد واستهداف مجموعة المستخدمين في Intune.

ملاحظة

إذا كان اتصال الشبكة مشكلة، فاستخدم Intune استهداف مجموعة المستخدمين أو مجموعات Active Directory محلية. يجب استخدام شروط مجموعة المستخدم/المستخدم التي تشير إلى معرف Entra فقط في البيئات التي لها اتصال موثوق بمعرف Entra.

القواعد

تحدد القاعدة قائمة المجموعات المضمنة وقائمة المجموعات المستبعدة. لكي يتم تطبيق القاعدة، يجب أن يكون الجهاز في جميع المجموعات المضمنة ولا أحد من المجموعات المستبعدة. إذا كان الجهاز يطابق القاعدة، تقييم إدخالات تلك القاعدة. يحدد الإدخال خيارات الإجراء والإعلام المطبقة، إذا كان الطلب يطابق الشروط. إذا لم يتم تطبيق أي قواعد أو لم تتطابق أي إدخالات مع الطلب، تطبيق الإنفاذ الافتراضي.

على سبيل المثال، للسماح بالوصول للكتابة لبعض أجهزة USB، والوصول للقراءة لجميع أجهزة USB الأخرى، استخدم النهج والمجموعات والإدخالات التالية مع تعيين الإنفاذ الافتراضي للرفض.

مجموعة	الوصف
جميع أجهزة التخزين القابلة للإزالة	أجهزة التخزين القابلة للإزالة
USBs قابل للكتابة	قائمة USBs حيث يسمح بالوصول إلى الكتابة

حكم	مجموعات الجهاز المضمنة	مجموعات الجهاز المستبعد	ادخال
قراءة الوصول فقط ل USBs	جميع أجهزة التخزين القابلة للإزالة	USBs قابل للكتابة	الوصول للقراءة فقط
الوصول للكتابة ل USBs	USBs قابل للكتابة		الوصول للكتابة

يظهر اسم القاعدة في المدخل لإعداد التقارير وفي الإعلام المنبثق للمستخدمين، لذا تأكد من إعطاء القواعد أسماء وصفية.

يمكنك تكوين القواعد عن طريق تحرير النهج في Intune، أو باستخدام ملف XML في Windows، أو باستخدام ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.

Intune

تصور الصورة التالية إعدادات التكوين لنهج التحكم في الجهاز في Intune:

في لقطة الشاشة، المعرف المضمن والمعرف المستبعد هما مراجع لمجموعات الإعدادات المضمنة والمستبعدة القابلة لإعادة الاستخدام. يمكن أن يكون للنهج قواعد متعددة.

Intune لا يحترم ترتيب القواعد. يمكن تقييم القواعد بأي ترتيب، لذا تأكد من استبعاد مجموعات من الأجهزة غير الموجودة في نطاق القاعدة بشكل صريح.

XML (Windows)

تعرض القصاصة البرمجية التالية بناء الجملة لقاعدة نهج التحكم في الجهاز في XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule> 

يوفر الجدول التالي المزيد من السياق لمقتطف التعليمات البرمجية XML:

اسم الخاصية	الوصف	خيارات
PolicyRule Id	يمثل GUID، وهو معرف فريد، النهج ويستخدم في إعداد التقارير واستكشاف الأخطاء وإصلاحها.	يمكنك إنشاء المعرف من خلال PowerShell.
Name	سلسلة، اسم النهج ويعرض على الإعلام المنبثق استنادا إلى إعداد النهج.
IncludedIdList	المجموعات التي ينطبق عليها النهج. إذا تمت إضافة مجموعات متعددة، يجب أن تكون الوسائط عضوا في كل مجموعة في القائمة ليتم تضمينها.	يجب استخدام معرف المجموعة/GUID في هذا المثيل. يوضح المثال التالي استخدام GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	المجموعات التي لا ينطبق عليها النهج. إذا تمت إضافة مجموعات متعددة، يجب أن تكون الوسائط عضوا في مجموعة في القائمة ليتم استبعادها.	يجب استخدام معرف المجموعة/GUID في هذا المثيل.
Entry	يمكن أن يكون ل PolicyRule واحد إدخالات متعددة؛ يخبر كل إدخال مع GUID فريد التحكم في الجهاز بقيد واحد.	راجع جدول خصائص الإدخال أدناه للحصول على التفاصيل.

JSON (Mac)

تعرض القصاصة البرمجية التالية بناء الجملة لقاعدة نهج التحكم في الجهاز في JSON لنظام التشغيل macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    } 

يوفر الجدول التالي المزيد من السياق لمقتطف التعليمات البرمجية XML:

اسم الخاصية	الوصف	خيارات
id	GUID، معرف فريد، يمثل القاعدة ويستخدم في النهج.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	سلسلة واسم النهج ويعرض على الإعلام المنبثق استنادا إلى إعداد النهج.
includeGroups	المجموعات التي يتم تطبيق النهج عليها. إذا تم تحديد مجموعات متعددة، فإن النهج ينطبق على أي وسائط في جميع هذه المجموعات. إذا لم يتم تحديدها، تنطبق القاعدة على جميع الأجهزة.	يجب استخدام قيمة المعرف داخل المجموعة في هذا المثيل. إذا كانت مجموعات متعددة في includeGroups، فهي AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	المجموعة التي لا ينطبق عليها النهج.	id يجب استخدام القيمة داخل المجموعة في هذا المثيل. إذا كانت مجموعات متعددة في excludeGroups، فهي OR.
entries	يمكن أن تحتوي قاعدة واحدة على إدخالات متعددة؛ يخبر كل إدخال مع GUID فريد التحكم في الجهاز بتقييد واحد.	راجع جدول خصائص الإدخال لاحقا في هذه المقالة للحصول على التفاصيل.

ادخالات

تحدد نهج التحكم في الجهاز الوصول (يسمى إدخال) لمجموعة من الأجهزة. تحدد الإدخالات خيارات الإجراء والإعلام للأجهزة التي تطابق النهج والشروط المحددة في الإدخال.

إعداد الإدخال	خيارات
AccessMask	يطبق الإجراء فقط إذا تطابقت عمليات الوصول مع قناع الوصول - قناع الوصول هو OR البت لقيم الوصول: 1 - قراءة الجهاز 2 - كتابة الجهاز 4 - تنفيذ الجهاز 8 - قراءة الملف 16 - كتابة الملف 32 - تنفيذ الملف 64 - طباعة على سبيل المثال: قراءة الجهاز وكتابته وتنفيذه = 7 (1+2+4) قراءة الجهاز، قراءة القرص = 9 (1+8)
فعل	سماح أنكر AuditAllow AuditDeny
اخطار	بلا (افتراضي) يتم إنشاء حدث يتلقى المستخدم إعلاما

تقييم الإدخال

هناك نوعان من الإدخالات: إدخالات الإنفاذ (السماح/الرفض) وإدخالات التدقيق (AuditAllow/AuditDeny).

يتم تقييم إدخالات الإنفاذ لقاعدة بالترتيب حتى تتم مطابقة جميع الأذونات المطلوبة. إذا لم تتطابق أي إدخالات مع قاعدة، تقييم القاعدة التالية. إذا لم تتطابق أي قواعد، تطبيق الإعداد الافتراضي.

إدخالات التدقيق

تتحكم أحداث التدقيق في السلوك عندما يفرض التحكم في الجهاز قاعدة (السماح/الرفض). يمكن أن يعرض التحكم في الجهاز إعلاما للمستخدم النهائي. يحصل المستخدم على إعلام يحتوي على اسم نهج التحكم في الجهاز واسم الجهاز. يظهر الإعلام مرة واحدة كل ساعة بعد رفض الوصول الأولي.

يمكن للتحكم في الجهاز أيضا إنشاء حدث متوفر في التتبع المتقدم.

هام

هناك حد أقصى يبلغ 300 حدث لكل جهاز يوميا. تتم معالجة إدخالات التدقيق بعد اتخاذ قرار الإنفاذ. يتم تقييم جميع إدخالات التدقيق المقابلة.

شروط

يدعم الإدخال الشروط الاختيارية التالية:

• حالة مجموعة المستخدم/المستخدم: يطبق الإجراء فقط على مجموعة المستخدم/المستخدم المحددة بواسطة SID

ملاحظة

بالنسبة لمجموعات المستخدمين والمستخدمين المخزنين في معرف Microsoft Entra، استخدم معرف العنصر في الشرط. بالنسبة لمجموعات المستخدمين والمستخدمين المخزنين محليا، استخدم معرف الأمان (SID)

ملاحظة

في Windows، يمكن استرداد SID للمستخدم الذي قام بتسجيل الدخول عن طريق تشغيل أمر whoami /userPowerShell .

• حالة الجهاز: يطبق الإجراء فقط على الجهاز/المجموعة المحددة بواسطة SID
• شرط المعلمات: يطبق الإجراء فقط إذا تطابقت المعلمات (راجع الشروط المتقدمة)

يمكن تحديد نطاق الإدخالات بشكل أكبر لمستخدمين وأجهزة محددة. على سبيل المثال، السماح بالوصول للقراءة إلى USBs هذا لهذا المستخدم فقط على هذا الجهاز.

السياسات	مجموعات الجهاز المضمنة	مجموعات الجهاز المستبعد	إدخال (ies)
قراءة الوصول فقط ل USBs	جميع أجهزة التخزين القابلة للإزالة	USBs قابل للكتابة	الوصول للقراءة فقط
الوصول للكتابة ل USBs	USBs قابل للكتابة		الوصول للكتابة للمستخدم 1 الوصول للكتابة للمستخدم 2 على مجموعة الأجهزة A

يجب أن تكون جميع الشروط في الإدخال صحيحة حتى يتم تطبيق الإجراء.

يمكنك تكوين الإدخالات باستخدام Intune أو ملف XML في Windows أو ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.

Intune

في Intune، يحتوي حقل قناع Access على خيارات، مثل:

• قراءة (قراءة على مستوى القرص = 1)
• الكتابة (كتابة على مستوى القرص = 2)
• تنفيذ (تنفيذ مستوى القرص = 4)
• طباعة (طباعة = 64).

لا تظهر جميع الميزات في واجهة المستخدم Intune. لمزيد من المعلومات، راجع نشر التحكم في الجهاز وإدارته باستخدام Intune.

XML (Windows)

تعرض القصاصة البرمجية التالية بناء الجملة لإدخال عنصر تحكم الجهاز في XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry> 

يوفر الجدول التالي المزيد من السياق لمقتطف التعليمات البرمجية XML:

اسم الخاصية	الوصف	خيار
Entry Id	يمثل GUID، وهو معرف فريد، الإدخال ويستخدم في إعداد التقارير واستكشاف الأخطاء وإصلاحها.	يمكنك إنشاء GUID باستخدام PowerShell.
Type	يحدد الإجراء لمجموعات التخزين القابلة للإزالة في IncludedIDList. - Allow - Deny - AuditAllowed: يحدد الإعلام والحدث عند السماح بالوصول - AuditDenied: يحدد الإعلام والحدث عند رفض الوصول؛ يعمل مع إدخال Deny . عند وجود أنواع تعارض لنفس الوسائط، يطبق النظام النوع الأول في النهج. مثال على نوع تعارض هو Allow و Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	إذا كان النوع هو Allow	- 0:شيء - 4: تعطيل AuditAllowed و AuditDenied لهذا الإدخال. إذا Allow حدث وتم AuditAllowed تكوين الإعداد، فلن يتم إنشاء الأحداث.
Option	إذا كان النوع هو Deny	- 0:شيء - 4: تعطيل AuditDenied لهذا الإدخال. إذا حدث حظر وتم AuditDenied تكوين الإعداد، فلن يعرض النظام الإعلامات.
Option	إذا كان النوع هو AuditAllowed	- 0:شيء - 1:شيء - 2: إرسال حدث
Option	إذا كان النوع هو AuditDenied	- 0:شيء - 1: إظهار الإعلام - 2: إرسال حدث - 3: إظهار الإعلام وإرسال الحدث
AccessMask	يحدد الوصول	راجع القسم التالي فهم الوصول إلى القناع
Sid	SID للمستخدم المحلي أو مجموعة SID للمستخدم، أو SID للكائن Microsoft Entra أو معرف الكائن. يحدد ما إذا كان يجب تطبيق هذا النهج على مستخدم معين أو مجموعة مستخدمين معينة. يمكن أن يحتوي إدخال واحد على معرف أمان واحد كحد أقصى وإدخال دون أي وسيلة SID لتطبيق النهج على الجهاز.	معرف الأمان
ComputerSid	معرف الأمان للكمبيوتر المحلي أو مجموعة معرف الأمان للكمبيوتر، أو SID للكائن Microsoft Entra أو معرف الكائن. يحدد ما إذا كان يجب تطبيق هذا النهج على جهاز معين أو مجموعة أجهزة معينة. يمكن أن يحتوي إدخال واحد على ComputerSID واحد كحد أقصى وإدخال بدون أي ComputerSID يعني تطبيق النهج على الجهاز. إذا كنت تريد تطبيق إدخال على مستخدم معين وجهاز معين، أضف كل من SID و ComputerSID إلى نفس الإدخال.	معرف الأمان
Parameters	شرط إدخال، مثل شرط الشبكة.	يمكن إضافة مجموعات (أنواع غير الأجهزة) أو حتى وضع المعلمات في المعلمات. لمزيد من المعلومات، راجع قسم الشروط المتقدمة (في هذه المقالة).

فهم الوصول إلى القناع (Windows)

يطبق عنصر تحكم الجهاز قناع وصول لتحديد ما إذا كان الطلب يطابق الإدخال. تتوفر الإجراءات التالية على CdRomDevicesو RemovableMediaDevicesو:WpdDevices

وصول	قناع
قراءة مستوى القرص	1
كتابة على مستوى القرص	2
تنفيذ مستوى القرص	4
قراءة نظام الملفات	8
كتابة نظام الملفات	16
تنفيذ نظام الملفات	32

تتوفر الإجراءات التالية على PrinterDevices:

• Access: طباعة
• قناع: 64

يمكنك الحصول على إعدادات وصول متعددة عن طريق تنفيذ عملية OR ثنائية. فيما يلي مثال:

• AccessMask للقراءة والكتابة والتنفيذ هو 7
• AccessMask للقراءة والكتابة هو 3

JSON (Mac)

تعرض القصاصة البرمجية التالية بناء الجملة لإدخال عنصر تحكم الجهاز في JSON لنظام التشغيل macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
} 

يوفر الجدول التالي المزيد من السياق لمقتطف التعليمات البرمجية JSON:

اسم الخاصية	الوصف	خيارات
id	يمثل GUID، وهو معرف فريد، الإدخال ويستخدم في إعداد التقارير واستكشاف الأخطاء وإصلاحها.	يمكنك إنشاء المعرف باستخدام PowerShell.
enforcement $type	يحدد الإجراء لمجموعات التخزين القابلة للإزالة في includedGroups. - allow - deny - auditAllow: يحدد الإعلام والحدث عند السماح بالوصول - AuditDeny: يحدد الإعلام والحدث عند رفض الوصول؛ يجب أن تعمل مع إدخال الرفض. عند وجود أنواع تعارض لنفس الوسائط، يطبق النظام النوع الأول في النهج. مثال على نوع التعارض هو السماح والرفض.	enforcement $type يمكن أن تكون السمة إحدى القيم التالية: - allow - deny - auditAllow - auditDeny
enforcement $options	إذا كان $type الإنفاذ مسموحا به	disable_audit_allow: إذا حدث السماح وتم تكوين auditAllow، فلن يرسل النظام الأحداث.
enforcement $options	إذا تم رفض $type الإنفاذ	disable_audit_deny: إذا حدث الحظر وتم تكوين auditDeny، فلن يعرض النظام الإعلامات أو يرسل الأحداث.
enforcement $options	إذا كان $type الإنفاذ هو auditAllow	send_event: يرسل بيانات تتبع الاستخدام
enforcement $options	إذا كان $type الإنفاذ هو auditDeny	- send_event: يرسل بيانات تتبع الاستخدام - show_notification: عرض رسالة الحظر للمستخدم
$type	نوع الإدخال. يحدد النوع العمليات التي يمكن حمايتها بواسطة التحكم في الجهاز	$type يمكن أن تكون السمات أي من القيم التالية: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	قائمة العمليات التي يمنحها هذا الإدخال	راجع القسم التالي، "فهم الوصول على Mac"

فهم الوصول (Mac)

هناك نوعان من الوصول لإدخال: عام ونوع الجهاز محدد.

• تتضمن generic_readخيارات الوصول العامة و generic_writeو.generic_execute
• يوفر الوصول المحدد لنوع الجهاز دقة أفضل للتحكم، لأن نوع الجهاز يتم تضمين قيم وصول محددة في أنواع الوصول العامة.

يصف الجدول التالي الوصول المحدد لنوع الجهاز وكيفية تعيينه إلى أنواع الوصول العامة.

نوع الجهاز ($type)	وصول محدد لنوع الجهاز	الوصف	قرأ	يكتب	أعدم
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	تنزيل الصور (الصور) من جهاز iOS المحدد إلى الجهاز المحلي	X
appleDevice	download_files_from_device	تنزيل الملف (الملفات) من جهاز iOS المحدد إلى الجهاز المحلي	X
appleDevice	sync_content_to_device	مزامنة المحتوى من الجهاز المحلي إلى جهاز iOS محدد		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	عنصر تحكم أداة ADB			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

المجموعات

مجموعات تحديد معايير لتصفية العناصر حسب خصائصها. يتم تعيين العنصر إلى المجموعة إذا كانت خصائصه تطابق الخصائص المحددة للمجموعة.

ملاحظة

لا تشير مجموعات في هذا القسم إلى مجموعات المستخدمين.

على سبيل المثال:

• USBs المسموح بها هي جميع الأجهزة التي تطابق أي من هذه الشركات المصنعة
• USBs المفقودة هي جميع الأجهزة التي تطابق أي من هذه الأرقام التسلسلية
• الطابعات المسموح بها هي جميع الأجهزة التي تتطابق مع أي من هذه VID/PID

يمكن مطابقة الخصائص بأربع طرق: MatchAllو MatchAnyو MatchExcludeAllو MatchExcludeAny

• MatchAll: الخصائص هي علاقة "و"؛ على سبيل المثال، إذا قام المسؤول بوضع DeviceID و InstancePathID، لكل USB متصل، يتحقق النظام لمعرفة ما إذا كان USB يفي بكلتا القيمتين.
• MatchAny: الخصائص هي علاقة "أو"؛ على سبيل المثال، إذا وضع المسؤول DeviceID وInstancePathID، لكل USB متصل، يفرض النظام طالما أن USB له قيمة أو InstanceID متطابقةDeviceID.
• MatchExcludeAll: الخصائص هي علاقة "و"، يتم تغطية أي عناصر لا تفي بها. على سبيل المثال، إذا قام المسؤول بوضع DeviceID واستخدام InstancePathIDMatchExcludeAll، لكل USB متصل، يفرض النظام طالما أن USB لا يحتوي على قيمة DeviceID متطابقة وقيمة InstanceID .
• MatchExcludeAny: الخصائص هي علاقة "أو"، يتم تغطية أي عناصر لا تفي بها. على سبيل المثال، إذا قام المسؤول بوضع DeviceID واستخدام InstancePathIDMatchExcludeAny، لكل USB متصل، يفرض النظام طالما أن USB لا يحتوي على قيمة متطابقة DeviceID أو InstanceID متطابقة.

يتم استخدام مجموعات بطريقتين: لتحديد الأجهزة للتضمين/الاستبعاد في القواعد، وتصفية الوصول للشروط المتقدمة. يلخص هذا الجدول أنواع المجموعات وكيفية استخدامها.

نوع	الوصف	O/S	تضمين/استبعاد القواعد	الشروط المتقدمة
الجهاز (افتراضي)	تصفية الأجهزة والطابعات	Windows/Mac	X
شبكة	تصفية شروط الشبكة	بالنسبة لنظام التشغيل		X
اتصال VPN	تصفية شروط VPN	بالنسبة لنظام التشغيل		X
ملف	تصفية خصائص الملف	بالنسبة لنظام التشغيل		X
مهمة الطباعة	تصفية خصائص الملف الذي تتم طباعته	بالنسبة لنظام التشغيل		X

الأجهزة الموجودة في نطاق النهج التي تحددها قائمة بالمجموعات المضمنة وقائمة بالمجموعات المستبعدة. تنطبق قاعدة إذا كان الجهاز في جميع المجموعات المضمنة ولم يكن أي من المجموعات المستبعدة. يمكن إنشاء مجموعات من خصائص الأجهزة. يمكن استخدام الخصائص التالية:

مال	الوصف	أجهزة Windows	أجهزة Mac	الطابعات
FriendlyNameId	الاسم المألوف في Windows إدارة الأجهزة	Y	N	Y
PrimaryId	نوع الجهاز	Y	Y	Y
VID_PID	معرف المورد هو رمز المورد المكون من أربعة أرقام الذي تعينه لجنة USB للمورد. معرف المنتج هو رمز المنتج المكون من أربعة أرقام الذي يعينه المورد للجهاز. يتم دعم أحرف البدل. على سبيل المثال 0751_55E0	Y	N	Y
PrinterConnectionId	نوع اتصال الطابعة: - USB: طابعة متصلة من خلال منفذ USB للكمبيوتر. - Network: طابعة الشبكة هي طابعة يمكن الوصول إليها عن طريق اتصال الشبكة، ما يجعلها قابلة للاستخدام من قبل أجهزة الكمبيوتر الأخرى المتصلة بالشبكة. - Corporate: طابعة الشركة هي قائمة انتظار طباعة مشتركة من خلال Windows Print Server المحلي. - Universal: الطباعة العالمية هي حل طباعة حديث يمكن للمؤسسات استخدامه لإدارة البنية الأساسية للطباعة من خلال الخدمات السحابية من Microsoft. ما المقصود بالطباعة العالمية؟ - الطباعة العالمية | Microsoft Docs - File: "طباعة Microsoft إلى PDF" و"كاتب مستندات Microsoft XPS" أو طابعات أخرى باستخدام ملف: أو PORTPROMPT: منفذ - Custom: طابعة لا تتصل من خلال منفذ طباعة Microsoft - Local: طابعة ليست من النوع أعلاه، على سبيل المثال الطباعة من خلال RDP أو إعادة توجيه الطابعات	N	N	Y
BusId	معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول)	Y	N	N
DeviceId	معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول)	Y	N	N
HardwareId	معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول)	Y	N	N
InstancePathId	معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول)	Y	N	N
SerialNumberId	معلومات حول الجهاز (لمزيد من المعلومات، راجع الأقسام التي تتبع هذا الجدول)	Y	Y	N
PID	معرف المنتج هو رمز المنتج المكون من أربعة أرقام الذي يعينه المورد للجهاز	Y	Y	N
VID	معرف المورد هو رمز المورد المكون من أربعة أرقام الذي تعينه لجنة USB للمورد.	Y	Y	N
DeviceEncryptionStateId	(معاينة) حالة تشفير BitLocker لجهاز. القيم الصالحة هي BitlockerEncrypted أو Plain	Y	N	N
APFS Encrypted	إذا كان الجهاز مشفرا من APFS	N	Y	N

استخدام Windows إدارة الأجهزة لتحديد خصائص الجهاز

بالنسبة لأجهزة Windows، يمكنك استخدام إدارة الأجهزة لفهم خصائص الأجهزة.

1. افتح إدارة الأجهزة، وحدد موقع الجهاز، وانقر بزر الماوس الأيمن فوق خصائص، ثم حدد علامة التبويب تفاصيل.

2. في قائمة الخصائص، حدد مسار مثيل الجهاز.

   القيمة المعروضة لمسار مثيل الجهاز هي InstancePathId، ولكنها تحتوي أيضا على خصائص أخرى:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   يتم تعيين الخصائص الموجودة في إدارة الأجهزة إلى عنصر تحكم الجهاز كما هو موضح في الجدول التالي:

   إدارة الأجهزة	التحكم في الجهاز
   معرفات الأجهزة	HardwareId
   اسم مألوف	FriendlyNameId
   الوالد	VID_PID
   DeviceInstancePath	InstancePathId

استخدام التقارير والتتبع المتقدم لتحديد خصائص الأجهزة

خصائص الجهاز لها تسميات مختلفة قليلا في التتبع المتقدم. يعين الجدول أدناه التسميات في المدخل إلى propertyId في نهج التحكم في الجهاز.

خاصية مدخل Microsoft Defender	معرف خاصية التحكم في الجهاز
اسم الوسائط	FriendlyNameId
معرف المورد	HardwareId
معرف الجهاز	InstancePathId
الرقم التسلسلي	SerialNumberId

ملاحظة

تأكد من أن العنصر المحدد يحتوي على فئة الوسائط الصحيحة للنهج. بشكل عام، للتخزين القابل للإزالة، استخدم Class Name == USB.

تكوين المجموعات في Intune أو XML في Windows أو JSON على Mac

يمكنك تكوين المجموعات في Intune، باستخدام ملف XML لنظام التشغيل Windows، أو باستخدام ملف JSON على Mac. حدد كل علامة تبويب لمزيد من التفاصيل.

ملاحظة

Group Id يتم استخدام في XML وفي id JSON لتحديد المجموعة داخل التحكم في الجهاز. ليس مرجعا لأي جهة أخرى مثل مجموعة مستخدمين في Entra Id.

Intune

الإعدادات القابلة لإعادة الاستخدام في Intune تعيين إلى مجموعات الأجهزة. يمكنك تكوين الإعدادات القابلة لإعادة الاستخدام في Intune.

هناك نوعان من المجموعات: جهاز الطابعة والتخزين القابل للإزالة. يسرد الجدول التالي خصائص هذه المجموعات.

نوع المجموعة	الخصائص
جهاز الطابعة	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
التخزين القابل للإزالة	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

تعرض القصاصة البرمجية XML التالية بناء الجملة للمجموعات المطابقة:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group> 

يصف الجدول التالي خصائص المجموعات.

اسم الخاصية	الوصف	خيارات
Group Id	GUID، معرف فريد، يمثل المجموعة ويستخدم في النهج.	يمكنك إنشاء المعرف من خلال PowerShell.
Type	نوع المجموعة	الجهاز (افتراضي) يمكن استخدام الأنواع الأخرى من المجموعات (File، VPNConnection، PrintJob، ) Networkللشروط المتقدمة. نوع المجموعات المستخدمة مع القواعد هو Device، وهو الافتراضي.
MatchType	الخوارزمية المطابقة المستخدمة	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	قائمة الخصائص التي تم تقييمها للتضمين في المجموعة	راجع خصائص DescriptionIdList (مقطع بعد هذا الجدول)

خصائص DescriptionIdList

يمكن تضمين الخصائص الموضحة في الجدول التالي في DescriptionIdList:

مال	الوصف
PrimaryId	يتضمن RemovableMediaDevicesو CdRomDevicesWpdDevicesو وPrinterDevices.
InstancePathId	السلسلة التي تعرف الجهاز في النظام بشكل فريد، على سبيل المثال، USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0. وهو يتوافق مع مسار مثيل الجهاز في إدارة الأجهزة في Windows. يمثل الرقم الموجود في النهاية (على سبيل المثال &0) الفتحة المتوفرة وقد يتغير من جهاز إلى آخر. للحصول على أفضل النتائج، استخدم حرف بدل في النهاية. على سبيل المثال، USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	لتحويل مسار مثيل الجهاز إلى تنسيق معرف الجهاز، استخدم معرفات USB القياسية، مثل هذا المثال: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	السلسلة التي تعرف الجهاز في النظام، مثل USBSTOR\DiskGeneric_Flash_Disk___8.07. وهو يتوافق مع معرف الأجهزة في إدارة الأجهزة في Windows. ضع في اعتبارك أن هذا HardwareId ليس فريدا؛ قد تشترك أجهزة مختلفة في نفس القيمة.
FriendlyNameId	سلسلة متصلة بالجهاز، مثل Generic Flash Disk USB Device. وهو يتوافق مع الاسم المألوف في إدارة الأجهزة في Windows.
BusId	على سبيل المثال، ، USBSCSI
SerialNumberId	يمكنك العثور على SerialNumberId من مسار مثيل الجهاز في إدارة الأجهزة في Windows. على سبيل المثال، 03003324080520232521 في SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- معرف المورد هو رمز المورد المكون من أربعة أرقام الذي تعينه لجنة USB للمورد. - معرف المنتج هو رمز المنتج المكون من أربعة أرقام الذي يعينه المورد للجهاز. وهو يدعم أحرف البدل. - لتحويل مسار مثيل الجهاز إلى تنسيق معرف المورد ومعرف المنتج، استخدم معرفات USB القياسية. فيما يلي بعض الأمثلة: 0751_55E0: مطابقة هذا الزوج الدقيق VID/PID _55E0: مطابقة أي وسائط مع PID=55E0 0751_: مطابقة أي وسائط مع VID=0751
DeviceEncryptionStateId	حالة تشفير BitLocker - Plain أو BitlockerEncrpted

فيما يلي بعض الأمثلة على تعريفات مجموعة الأجهزة في مستودع عينات التحكم في الجهاز:

• مجموعة من الأجهزة حسب معرف مسار المثيل
• مجموعة من الأجهزة حسب VID_PID
• مجموعة من الأجهزة حسب المعرف الأساسي

JSON (Mac)

تعرض القصاصة البرمجية JSON التالية بناء الجملة لتعريف المجموعات على Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    } 

يصف الجدول التالي خصائص المجموعات:

مال	الوصف	خيارات
$type	نوع المجموعة	جهاز
id	يمثل GUID، وهو معرف فريد، المجموعة التي سيتم استخدامها في النهج.	يمكنك إنشاء المعرف باستخدام Windows PowerShell New-Guid cmdlet أو uuidgen الأمر على macOS
name	اسم مألوف للمجموعة.	خيط
query	التغطية الإعلامية ضمن هذه المجموعة	راجع جداول خصائص الاستعلام أدناه للحصول على التفاصيل.

يدعم الاستعلام جميع الأنواع و(مثل الكل) أو أي أنواع أو (مثل أي أنواع). هذا هو المنطق المستخدم لدمج الخصائص في العبارات.

يتم دعم القيم التالية كجمل:

بند $type	قيمة	الوصف
primaryId	أحد: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	سلسلة سداسية عشرية مكونة من أربعة أرقام	يطابق معرف مورد الجهاز
productId	سلسلة سداسية عشرية مكونة من أربعة أرقام	يطابق معرف منتج الجهاز
serialNumber	خيط	يطابق الرقم التسلسلي للجهاز. لا يتطابق إذا لم يكن الجهاز يحتوي على رقم تسلسلي.
encryption	apfs	مطابقة إذا كان الجهاز مشفرا ب apfs.
groupId	سلسلة UUID	مطابقة إذا كان الجهاز عضوا في مجموعة أخرى. تمثل القيمة UUID للمجموعة المراد مطابقتها. يجب تعريف المجموعة ضمن النهج قبل العبارة .

فيما يلي مثال على الاستعلام:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      } 

يمكن تحرير استعلام المثال للحصول على سلوك مكافئ ل ExcludedMatchAll و ExcludedMatchAny باستخدام النوع "not"، كما يلي:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

} 

يطابق هذا الاستعلام جميع الأجهزة التي لا تحتوي على الرقم التسلسلي المحدد.

الشروط المتقدمة

يمكن تقييد الإدخالات بشكل أكبر استنادا إلى المعلمات. تطبق المعلمات شروطا متقدمة تتجاوز الجهاز. تسمح الشروط المتقدمة بالتحكم الدقيق استنادا إلى الشبكة أو اتصال VPN أو مهمة الملف أو الطباعة التي يتم تقييمها.

ملاحظة

الشروط المتقدمة مدعومة فقط بتنسيق XML.

شروط الشبكة

يصف الجدول التالي خصائص مجموعة الشبكة:

مال	الوصف
NameId	اسم الشبكة. يتم دعم أحرف البدل.
NetworkCategoryId	الخيارات الصالحة هي Publicأو Privateأو DomainAuthenticated.
NetworkDomainId	الخيارات الصالحة هي NonDomain، ، Domain. DomainAuthenticated

تتم إضافة هذه الخصائص إلى DescriptorIdList لمجموعة من نوع الشبكة. فيما يلي مثال على القصاصة البرمجية:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

ثم يشار إلى المجموعة كمعلمات في الإدخال، كما هو موضح في القصاصة البرمجية التالية:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

شروط اتصال VPN

يصف الجدول التالي شروط اتصال VPN:

الاسم	الوصف
NameId	اسم اتصال VPN. يتم دعم أحرف البدل.
VPNConnectionStatusId	القيم الصالحة هي Connected أو Disconnected.
VPNServerAddressId	قيمة السلسلة ل VPNServerAddress. يتم دعم أحرف البدل.
VPNDnsSuffixId	قيمة السلسلة ل VPNDnsSuffix. يتم دعم أحرف البدل.

تتم إضافة هذه الخصائص إلى DescriptorIdList لمجموعة من نوع VPNConnection، كما هو موضح في القصاصة البرمجية التالية:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

شروط مهمة الطباعة

يصف PrintJob الجدول التالي خصائص المجموعة:

الاسم	الوصف
PrintOutputFileNameId	مسار ملف وجهة الإخراج للطباعة إلى ملف. يتم دعم أحرف البدل. على سبيل المثال C:\*\Test.pdf
PrintDocumentNameId	مسار الملف المصدر. يتم دعم أحرف البدل. قد لا يكون هذا المسار موجودا. على سبيل المثال، أضف نصا إلى ملف جديد في المفكرة، ثم اطبع دون حفظ الملف.

تتم إضافة هذه الخصائص DescriptorIdList إلى مجموعة من النوع PrintJob، كما هو موضح في القصاصة البرمجية التالية:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

ثم تتم الإشارة إلى المجموعة كمعلمات في إدخال، كما هو موضح في القصاصة البرمجية التالية:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

الخطوات التالية

• عرض أحداث ومعلومات التحكم في الجهاز في Microsoft Defender لنقطة النهاية
• توزيع التحكم في الجهاز وإدارته في Microsoft Defender لنقطة النهاية باستخدام Microsoft Intune
• نشر التحكم في الجهاز وإدارته في Microsoft Defender لنقطة النهاية باستخدام نهج المجموعة
• التحكم في الجهاز لنظام التشغيل macOS