التحكم في الجهاز في Microsoft Defender لنقطة النهاية
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
تمكن قدرات التحكم في الجهاز في Microsoft Defender لنقطة النهاية فريق الأمان لديك من التحكم فيما إذا كان بإمكان المستخدمين تثبيت الأجهزة الطرفية واستخدامها، مثل التخزين القابل للإزالة (محركات أقراص USB الإبهام أو الأقراص المضمنة أو الأقراص وما إلى ذلك) أو الطابعات أو أجهزة Bluetooth أو أجهزة أخرى مع أجهزة الكمبيوتر الخاصة بهم. يمكن لفريق الأمان تكوين نهج التحكم في الجهاز لتكوين قواعد مثل هذه:
- منع المستخدمين من تثبيت أجهزة معينة واستخدامها (مثل محركات أقراص USB)
- منع المستخدمين من تثبيت واستخدام أي أجهزة خارجية مع استثناءات محددة
- السماح للمستخدمين بتثبيت أجهزة معينة واستخدامها
- السماح للمستخدمين بتثبيت واستخدام الأجهزة المشفرة من BitLocker فقط مع أجهزة كمبيوتر Windows
تهدف هذه القائمة إلى تقديم بعض الأمثلة. إنها ليست قائمة شاملة؛ بل قائمة شاملة. هناك أمثلة أخرى يجب مراعاتها (راجع قسم التحكم في الجهاز في Windows في هذه المقالة).
يساعد التحكم في الجهاز على حماية مؤسستك من فقدان البيانات المحتمل أو البرامج الضارة أو التهديدات الإلكترونية الأخرى من خلال السماح لبعض الأجهزة بالاتصال بأجهزة الكمبيوتر الخاصة بالمستخدمين أو منعها. باستخدام التحكم في الجهاز، يمكن لفريق الأمان تحديد ما إذا كان يمكن للمستخدمين تثبيت الأجهزة الطرفية واستخدامها على أجهزة الكمبيوتر الخاصة بهم وما هي الأجهزة الطرفية التي يمكن للمستخدمين تثبيتها واستخدامها على أجهزة الكمبيوتر الخاصة بهم.
تلميح
بصفتك مصاحبا لهذه المقالة، نوصي باستخدام دليل الإعداد التلقائي Microsoft Defender لنقطة النهاية عند تسجيل الدخول إلى مركز مسؤولي Microsoft 365. سيقوم هذا الدليل بتخصيص تجربتك استنادا إلى بيئتك. لمراجعة أفضل الممارسات دون تسجيل الدخول وتنشيط ميزات الإعداد التلقائي، انتقل إلى دليل إعداد Microsoft 365.
التحكم في الجهاز في Windows
يسرد هذا القسم سيناريوهات التحكم في الجهاز في Windows.
تلميح
إذا كنت تستخدم Mac، يمكن للتحكم في الجهاز التحكم في الوصول إلى Bluetooth وأجهزة iOS والأجهزة المحمولة مثل الكاميرات والوسائط القابلة للإزالة مثل أجهزة USB. راجع التحكم في الجهاز لنظام التشغيل macOS.
حدد علامة تبويب، وراجع السيناريوهات، ثم حدد نوع نهج التحكم في الجهاز المراد إنشاؤه.
السيناريو | نهج التحكم في الجهاز |
---|---|
منع تثبيت جهاز USB معين | التحكم في الجهاز في Windows. راجع نهج التحكم في الجهاز. |
منع تثبيت جميع أجهزة USB مع السماح بتثبيت USB مصرح به فقط | التحكم في الجهاز في Windows. راجع نهج التحكم في الجهاز. |
منع الوصول للكتابة والتنفيذ إلى الكل ولكن السماح ب USBs معينة معتمدة | التحكم في الجهاز في Defender لنقطة النهاية. راجع نهج التحكم في الجهاز. |
تدقيق الكتابة والتنفيذ للوصول إلى جميع USBs المحظورة باستثناء حظرها | التحكم في الجهاز في Defender لنقطة النهاية. راجع نهج التحكم في الجهاز. |
حظر الوصول للقراءة والتنفيذ إلى ملحق ملف معين | التحكم في الجهاز في Microsoft Defender. راجع نهج التحكم في الجهاز. |
حظر الأشخاص من الوصول إلى التخزين القابل للإزالة عندما لا يقوم الجهاز بتوصيل شبكة الشركة | التحكم في الجهاز في Microsoft Defender. راجع نهج التحكم في الجهاز. |
حظر الوصول للكتابة إلى محركات أقراص البيانات القابلة للإزالة غير المحمية بواسطة BitLocker | التحكم في الجهاز في Windows. راجع BitLocker. |
حظر الوصول للكتابة إلى الأجهزة التي تم تكوينها في مؤسسة أخرى | التحكم في الجهاز في Windows. راجع BitLocker. |
منع نسخ الملفات الحساسة إلى USB | نقطة النهاية DLP |
الأجهزة المدعومة
يدعم التحكم في الجهاز أجهزة Bluetooth والأقراص المضغوطة/ROMs وأجهزة DVD والطابعات وأجهزة USB وأنواع أخرى من الأجهزة المحمولة. على جهاز Windows، استنادا إلى برنامج التشغيل، يتم وضع علامة على بعض الأجهزة الطرفية على أنها قابلة للإزالة. يسرد الجدول التالي أمثلة للأجهزة التي يدعمها التحكم في الجهاز بقيمها وأسماء فئات الوسائط الخاصة بها primary_id
:
نوع الجهاز | PrimaryId في Windows |
primary_id في macOS |
اسم فئة الوسائط |
---|---|---|---|
أجهزة Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs، أقراص DVD | CdRomDevices |
CD-Roms |
|
أجهزة iOS | appleDevice |
||
الأجهزة المحمولة (مثل الكاميرات) | portableDevice |
||
الطابعات | PrinterDevices |
Printers |
|
أجهزة USB (وسائط قابلة للإزالة) | RemovableMediaDevices |
removableMedia |
USB |
أجهزة Windows المحمولة | WpdDevices |
Windows Portable Devices (WPD) |
فئات قدرات التحكم في جهاز Microsoft
يمكن تنظيم قدرات التحكم في الجهاز من Microsoft في ثلاث فئات رئيسية: التحكم في الجهاز في Windows، والتحكم في الجهاز في Defender لنقطة النهاية، ومنع فقدان بيانات نقطة النهاية (نقطة النهاية DLP).
التحكم في الجهاز في Windows. يحتوي نظام التشغيل Windows على قدرات التحكم في الجهاز المضمنة. يمكن لفريق الأمان تكوين إعدادات تثبيت الجهاز لمنع (أو السماح) للمستخدمين بتثبيت أجهزة معينة على أجهزة الكمبيوتر الخاصة بهم. يتم تطبيق النهج على مستوى الجهاز، وتستخدم خصائص مختلفة للجهاز لتحديد ما إذا كان يمكن للمستخدم تثبيت/استخدام جهاز أم لا. يعمل التحكم في الجهاز في Windows مع قوالب BitLocker و ADMX، ويمكن إدارته باستخدام Intune.
BitLocker و Intune. BitLocker هي ميزة أمان Windows توفر تشفيرا لوحدات التخزين بأكملها. جنبا إلى جنب مع Intune، يمكن تكوين النهج لفرض التشفير على الأجهزة باستخدام BitLocker لنظام التشغيل Windows (وFileVault for Mac). لمزيد من المعلومات، راجع إعدادات نهج تشفير القرص لأمان نقطة النهاية في Intune.
القوالب الإدارية (ADMX) Intune. يمكنك استخدام قوالب ADMX لإنشاء نهج تقيد أو تسمح باستخدام أنواع معينة من أجهزة USB مع أجهزة الكمبيوتر. لمزيد من المعلومات، راجع تقييد أجهزة USB والسماح لأجهزة USB معينة باستخدام قوالب ADMX في Intune.
التحكم في الجهاز في Defender لنقطة النهاية. يوفر التحكم في الجهاز في Defender لنقطة النهاية قدرات أكثر تقدما وهو عبر النظام الأساسي. يمكنك تكوين إعدادات التحكم في الجهاز لمنع (أو السماح) للمستخدمين بالوصول للقراءة أو الكتابة أو التنفيذ إلى المحتوى على أجهزة التخزين القابلة للإزالة. يمكنك تحديد الاستثناءات، ويمكنك اختيار استخدام نهج التدقيق التي تكشف عن المستخدمين ولكن لا تمنعهم من الوصول إلى أجهزة التخزين القابلة للإزالة الخاصة بهم. يتم تطبيق النهج على مستوى الجهاز أو مستوى المستخدم أو كليهما. يمكن إدارة التحكم في الجهاز في Microsoft Defender باستخدام Intune.
- التحكم في الجهاز في Microsoft Defender Intune. يوفر Intune تجربة غنية لإدارة نهج التحكم المعقدة في الأجهزة للمؤسسات. يمكنك تكوين إعدادات تقييد الجهاز ونشرها في Defender لنقطة النهاية، على سبيل المثال. راجع تكوين إعدادات تقييد الجهاز في Microsoft Intune.
منع فقدان بيانات نقطة النهاية (نقطة النهاية DLP). تراقب نقطة النهاية DLP المعلومات الحساسة على الأجهزة المضمنة في حلول Microsoft Purview. يمكن لنهج DLP فرض إجراءات وقائية على المعلومات الحساسة ومكان تخزينها أو استخدامها. تعرف على نقطة النهاية DLP.
راجع قسم سيناريوهات التحكم في الجهاز (في هذه المقالة) لمزيد من التفاصيل حول هذه الإمكانات.
عينات وسيناريوهات التحكم في الجهاز
يوفر التحكم في الجهاز في Defender لنقطة النهاية لفريق الأمان نموذج تحكم وصول قوي يتيح مجموعة واسعة من السيناريوهات (راجع نهج التحكم في الجهاز). لقد وضعنا مستودع GitHub يحتوي على عينات وسيناريوهات يمكنك استكشافها. راجع الموارد التالية:
- عينات التحكم في الجهاز README
- بدء استخدام عينات التحكم في الجهاز على أجهزة Windows
- التحكم في الجهاز لعينات macOS
إذا كنت جديدا على التحكم في الجهاز، فشاهد إرشادات التحكم في الجهاز.
المتطلبات الأساسية
يمكن تطبيق التحكم في الجهاز في Defender لنقطة النهاية على الأجهزة التي تعمل Windows 10 أو Windows 11 التي تحتوي على إصدار عميل مكافحة البرامج الضارة أو إصدار 4.18.2103.3
أحدث. (حاليا، الخوادم غير مدعومة.)
4.18.2104
أو أحدث: إضافةSerialNumberId
ودعمVID_PID
GPO المستند إلى مسار الملف وComputerSid
4.18.2105
أو في وقت لاحق: إضافة دعم حرف بدل لHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
، وهو مزيج من مستخدم معين على جهاز معين، SSD قابل للإزالة (SSD المدقع SanDisk)/دعم SCSI المرفق USB (UAS)4.18.2107
أو أحدث: إضافة دعم Windows Portable Device (WPD) (للأجهزة المحمولة، مثل الأجهزة اللوحية)؛ إضافةAccountName
إلى التتبع المتقدم4.18.2205
أو أحدث: قم بتوسيع الإنفاذ الافتراضي إلى الطابعة. إذا قمت بتعيينه إلى رفض، فإنه يحظر الطابعة أيضا، لذلك إذا كنت تريد فقط إدارة التخزين، فتأكد من إنشاء نهج مخصص للسماح للطابعة4.18.2207
أو أحدث: إضافة دعم الملف؛ يمكن أن تكون حالة الاستخدام الشائعة: حظر الأشخاص من الوصول للقراءة/الكتابة/التنفيذ إلى ملف معين على التخزين القابل للإزالة. إضافة دعم اتصال الشبكة وVPN؛ يمكن أن تكون حالة الاستخدام الشائعة: حظر الأشخاص من الوصول إلى التخزين القابل للإزالة عندما لا يقوم الجهاز بتوصيل شبكة الشركة.
بالنسبة إلى Mac، راجع التحكم في الجهاز لنظام التشغيل macOS.
حاليا، التحكم في الجهاز غير مدعوم على الخوادم.
الخطوات التالية
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ