Sdílet prostřednictvím

Nasazení a správa řízení zařízení v Microsoft Defenderu for Endpoint pomocí Microsoft Intune

  • Článek

Platí pro:

Pokud ke správě nastavení Defenderu for Endpoint používáte Intune, můžete ji použít k nasazení a správě možností řízení zařízení. Různé aspekty řízení zařízení se v Intune spravují odlišně, jak je popsáno v následujících částech.

Konfigurace a správa řízení zařízení v Intune

  1. Přejděte do Centra pro správu Intune a přihlaste se.

  2. Přejděte naOmezení potenciální oblasti útokuzabezpečení> koncových bodů.

  3. V části Zásady omezení potenciální oblasti útoku vyberte existující zásadu nebo vyberte + Vytvořit zásadu a nastavte novou zásadu pomocí těchto nastavení:

    • V seznamu Platforma vyberte Windows 10, Windows 11 a Windows Server. (Řízení zařízení není aktuálně podporováno na Windows Serveru, i když tento profil vyberete pro zásady řízení zařízení.)
    • V seznamu Profil vyberte Ovládací prvek zařízení.

  4. Na kartě Základy zadejte název a popis zásad.

  5. Na kartě Nastavení konfigurace se zobrazí seznam nastavení. Nemusíte konfigurovat všechna tato nastavení najednou. Zvažte, že začnete s řízením zařízení.

    Snímek obrazovky s uživatelským rozhraním Intune pro zásady řízení zařízení

  6. Po nakonfigurování nastavení přejděte na kartu Značky oboru , kde můžete pro zásadu zadat značky oboru .

  7. Na kartě Přiřazení zadejte skupiny uživatelů nebo zařízení, které mají zásady přijímat. Další podrobnosti najdete v tématu Přiřazení zásad v Intune.

  8. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a proveďte potřebné změny.

  9. Až budete připravení, vyberte Vytvořit a vytvořte zásadu řízení zařízení.

Profily ovládacích prvků zařízení

Každý řádek v Intune představuje zásadu řízení zařízení. Zahrnuté ID je opakovaně použitelné nastavení, na které se zásady vztahují. Vyloučené ID je opakovaně použitelné nastavení, které je vyloučené ze zásady. Položka pro zásadu obsahuje povolená oprávnění a chování pro řízení zařízení, které začne platit, když se zásada použije.

Snímek obrazovky se stránkou, na které můžete nakonfigurovat nastavení funkce Řízení zařízení.

Informace o tom, jak přidat opakovaně použitelné skupiny nastavení, které jsou součástí řádku jednotlivých zásad řízení zařízení, najdete v části Přidání opakovaně použitelných skupin do profilu řízení zařízení v tématu Použití opakovaně použitelných skupin nastavení se zásadami Intune.

Zásady je možné přidávat a odebírat pomocí + ikon a . Název zásady se zobrazí v upozornění pro uživatele a v rozšířeném proaktivním vyhledávání a sestavách.

Můžete přidat zásady auditu a můžete přidat zásady povolit/odepřít. Při přidávání zásad auditu doporučujeme vždy přidat zásadu Povolit nebo Odepřít, abyste neměli neočekávané výsledky.

Důležité

Pokud konfigurujete jenom zásady auditu, zdědí se oprávnění z výchozího nastavení vynucení.

Poznámka

  • Pořadí, ve kterém jsou zásady uvedené v uživatelském rozhraní, se pro vynucení zásad nezachová. Osvědčeným postupem je použít zásady povolit/odepřít. Explicitním přidáním zařízení, která mají být vyloučena, se ujistěte, že se možnost zásad povolit/odepřít neprotíná. Pomocí grafického rozhraní Intune nemůžete změnit výchozí vynucování. Pokud výchozí vynucování změníte na Odepřít, všechny zásady povolení budou obsahovat blokující akce.

Definování nastavení pomocí OMA-URI

Důležité

Použití Intune OMA-URI ke konfiguraci řízení zařízení vyžaduje, aby byla úloha Konfigurace zařízení spravovaná službou Intune, pokud je zařízení spoluspravované pomocí Configuration Manageru. Další informace najdete v tématu Jak přepnout úlohy Configuration Manageru do Intune.

V následující tabulce určete nastavení, které chcete nakonfigurovat, a pak použijte informace v OMA-URI a datovém typu & sloupcích hodnot. Nastavení jsou uvedena v abecedním pořadí.

Nastavení OMA-URI, datový typ, & hodnoty
Výchozí vynucování ovládacích prvků zařízení
Výchozí vynucování určuje, jaká rozhodnutí se provádějí při kontrolách přístupu k řízení zařízení, když se žádná pravidla zásad neshodují.		 ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Celé číslo:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Typy zařízení
Typy zařízení, identifikované jejich primárními ID, se zapnutou ochranou řízení zařízení		 ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Řetězec:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Povolení řízení zařízení
Povolení nebo zakázání řízení zařízení na zařízení		 ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Celé číslo:
- Disable = 0
- Enable = 1

Vytváření zásad pomocí OMA-URI

Snímek obrazovky se stránkou, na které můžete vytvořit zásadu pomocí OMA-URI

Při vytváření zásad pomocí OMA-URI v Intune vytvořte pro každou zásadu jeden soubor XML. K vytváření vlastních zásad se doporučuje použít profil ovládacího prvku zařízení nebo profil pravidel řízení zařízení.

V podokně Přidat řádek zadejte následující nastavení:

  • Do pole Název zadejte Allow Read Activity.
  • Do pole OMA-URI zadejte /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData.
  • V poli Datový typ vyberte Řetězec (soubor XML) a použijte Vlastní XML.

Pomocí parametrů můžete nastavit podmínky pro konkrétní položky. Tady je ukázkový soubor XML skupiny pro možnost Povolit přístup ke čtení pro každé vyměnitelné úložiště.

Poznámka

Komentáře používající zápis komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Vytváření skupin pomocí OMA-URI

Snímek obrazovky se stránkou, na které můžete vytvořit skupinu pomocí OMA-URI

Při vytváření skupin pomocí OMA-URI v Intune vytvořte pro každou skupinu jeden soubor XML. Osvědčeným postupem je definovat skupiny pomocí opakovaně použitelných nastavení.

V podokně Přidat řádek zadejte následující nastavení:

  • Do pole Název zadejte Any Removable Storage Group.
  • Do pole OMA-URI zadejte ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (Id skupiny získáte tak, že v Centru pro správu Intune přejdete na Skupiny a pak vyberete Zkopírovat ID objektu.)
  • V poli Datový typ vyberte Řetězec (soubor XML) a použijte Vlastní XML.

Poznámka

Komentáře používající zápis <!-- COMMENT -- > komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Konfigurace vyměnitelného řízení přístupu k úložišti pomocí OMA-URI

  1. Přejděte do Centra pro správu Microsoft Intune a přihlaste se.

  2. ZvolteProfily konfiguracezařízení>. Zobrazí se stránka Konfigurační profily .

  3. Na kartě Zásady (vybraná ve výchozím nastavení) vyberte + Vytvořit a v rozevíracím seznamu, který se zobrazí, zvolte + Nová zásada . Zobrazí se stránka Vytvořit profil .

  4. V seznamu Platforma vyberte Windows 10, Windows 11 a Windows Server z rozevíracího seznamu Platforma a v rozevíracím seznamu Typ profilu zvolte Šablony.

    Jakmile v rozevíracím seznamu Typ profilu zvolíte Šablony, zobrazí se podokno Název šablony spolu s vyhledávacím polem (pro vyhledání názvu profilu).

  5. V podokně Název šablony vyberte Vlastní a vyberte Vytvořit.

  6. Vytvořte řádek pro každé nastavení, skupinu nebo zásady implementací kroků 1 až 5.

Zobrazení skupin ovládacích prvků zařízení (opakovaně použitelná nastavení)

V Intune se skupiny ovládacích prvků zařízení zobrazují jako opakovaně použitelná nastavení.

  1. Přejděte do Centra pro správu Microsoft Intune a přihlaste se.

  2. Přejděte naOmezení potenciální oblasti útoku zabezpečení >koncového bodu.

  3. Vyberte kartu Opakovaně použitelné nastavení .

Viz také