Zásady řízení zařízení v Microsoft Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Tento článek popisuje zásady řízení zařízení, pravidla, položky, skupiny a upřesňující podmínky. Zásady řízení zařízení v podstatě definují přístup pro sadu zařízení. Zařízení, která jsou v oboru, jsou určena seznamem zahrnutých skupin zařízení a seznamem vyloučených skupin zařízení. Zásada se použije, pokud je zařízení ve všech zahrnutých skupinách zařízení a žádné z vyloučených skupin zařízení. Pokud se nepoužijí žádné zásady, použije se výchozí vynucení.

Ve výchozím nastavení je řízení zařízení zakázané, takže je povolený přístup ke všem typům zařízení. Další informace o ovládání zařízení najdete v tématu Řízení zařízení v Microsoft Defender for Endpoint.

Řízení výchozího chování

Pokud je ovládací prvek zařízení povolený, je ve výchozím nastavení povolený pro všechny typy zařízení. Výchozí vynucování je také možné změnit z Povolit na Zamítnout. Váš bezpečnostní tým může také nakonfigurovat typy zařízení, která ovládací prvek zařízení chrání. Následující tabulka ukazuje, jak různé kombinace nastavení mění rozhodnutí o řízení přístupu.

Je povolené řízení zařízení?	Výchozí chování	Typy zařízení
Ne	Přístup je povolený.	- JEDNOTKY CD/DVD -Tiskárny - Vyměnitelná média zařízení - Přenosná zařízení s Windows
Ano	(Neurčené) Přístup je povolený.	- JEDNOTKY CD/DVD -Tiskárny - Vyměnitelná média zařízení - Přenosná zařízení s Windows
Ano	Odepřít	- JEDNOTKY CD/DVD -Tiskárny - Vyměnitelná média zařízení - Přenosná zařízení s Windows
Ano	Odepřít vyměnitelná mediální zařízení a tiskárny	- Tiskárny a vyměnitelná mediální zařízení (blokované) – jednotky CD/DVD a přenosná zařízení s Windows (povolená)

Když jsou nakonfigurované typy zařízení, řízení zařízení v Defenderu for Endpoint ignoruje požadavky na jiné rodiny zařízení.

Další informace najdete v následujících článcích:

• Nasazení a správa řízení zařízení pomocí Intune
• Nasazení a správa řízení zařízení pomocí Zásady skupiny

Zásady

K dalšímu upřesnění přístupu k zařízením používá řízení zařízení zásady. Zásada je sada pravidel a skupin. Způsob definování pravidel a skupin se mírně liší podle prostředí správy a operačních systémů, jak je popsáno v následující tabulce.

Nástroj pro správu	Operační systém	Jak se spravují pravidla a skupiny
Intune – Zásady řízení zařízení	Windows	Skupiny zařízení a tiskáren je možné spravovat jako opakovaně použitelná nastavení a zahrnout je do pravidel. V zásadách řízení zařízení nejsou dostupné všechny funkce (viz Nasazení a správa řízení zařízení pomocí Microsoft Intune).
Intune – vlastní	Windows	Každá skupina nebo pravidlo se uloží jako řetězec XML ve vlastních zásadách konfigurace. OMA-URI obsahuje identifikátor GUID skupiny nebo pravidla. Musí se vygenerovat identifikátor GUID.
Zásady skupiny	Windows	Skupiny a pravidla jsou definovány v samostatném nastavení XML v objektu Zásady skupiny (viz Nasazení a správa řízení zařízení pomocí Zásady skupiny).
Intune	Mac	Pravidla a zásady se zkombinují do jednoho formátu JSON a zahrnou se do mobileconfig souboru nasazeného pomocí Intune
JAMF	Mac	Pravidla a zásady se zkombinují do jednoho formátu JSON a konfigurují se pomocí JAMF jako zásad řízení zařízení (viz Správa zařízení pro macOS).

Pravidla a skupiny jsou identifikovány pomocí identifikátorů GUID (Global Unique ID). Pokud se zásady řízení zařízení nasazují pomocí jiného nástroje pro správu než Intune, musí se vygenerovat identifikátory GUID. Identifikátory GUID můžete vygenerovat pomocí PowerShellu.

Podrobnosti o schématu najdete v tématu Schéma JSON pro Mac.

Uživatelé

Zásady řízení zařízení je možné použít pro uživatele nebo skupiny uživatelů.

Poznámka

V článcích týkajících se řízení zařízení se skupiny uživatelů označují jako skupiny uživatelů. Termíny skupiny označují skupiny definované v zásadách řízení zařízení.

Pomocí Intune můžou být zásady řízení zařízení na Macu i ve Windows cílené na skupiny uživatelů definované v Entra ID.

Ve Windows může být uživatel nebo skupina uživatelů podmínkou pro záznam v zásadách.

Položky se skupinami uživatelů nebo uživatelů můžou odkazovat na objekty z Id Entra nebo z místní služby Active Directory.

Osvědčené postupy pro používání řízení zařízení s uživateli a skupinami uživatelů

• Pokud chcete vytvořit pravidlo pro jednotlivého uživatele ve Windows, vytvořte v pravidle položku s podmínkou Sid foreach uživatele.

• Pokud chcete vytvořit pravidlo pro skupinu uživatelů ve Windows a Intune, vytvořte položku s podmínkou Sid pro každou skupinu uživatelů v [rule] a zacílujte zásady na skupinu počítačů v Intune nebo vytvořte pravidlo bez podmínek a zaměřte zásady Intune na skupinu uživatelů.

• Na Macu použijte Intune a zaměřte zásady na skupinu uživatelů v ID Entra.

Upozornění

Nepoužívejte podmínky pro uživatele a skupiny uživatelů v pravidlech ani cílení na skupiny uživatelů v Intune.

Poznámka

Pokud je problém s připojením k síti, použijte Intune cílení na skupiny uživatelů nebo místní skupiny Služby Active Directory. Podmínky skupiny uživatelů, které odkazují na ID Entra, by se měly používat pouze v prostředích, která mají spolehlivé připojení k Id Entra.

Pravidla

Pravidlo definuje seznam zahrnutých skupin a seznam vyloučených skupin. Aby se pravidlo použilo, musí být zařízení ve všech zahrnutých skupinách a žádné z vyloučených skupin. Pokud zařízení odpovídá pravidlu, vyhodnocují se položky pro toto pravidlo. Položka definuje použité možnosti akce a oznámení, pokud požadavek splňuje podmínky. Pokud neplatí žádná pravidla nebo se žádosti neodpovídají žádné položky, použije se výchozí vynucování.

Pokud chcete například povolit přístup k zápisu pro některá zařízení USB a přístup ke čtení pro všechna ostatní zařízení USB, použijte následující zásady, skupiny a položky s výchozím vynucováním nastaveným na odepřít.

Skupina	Popis
Všechna vyměnitelná zařízení úložiště	Vyměnitelná zařízení úložiště
Zapisovatelné soubory USB	Seznam usb, kde je povolený přístup k zápisu

Pravidlo	Zahrnuté skupiny zařízení	Vyloučené skupiny zařízení	Položka
Přístup jen pro čtení pro soubory USB	Všechna vyměnitelná úložná zařízení	Zapisovatelné soubory USB	Přístup jen pro čtení
Přístup k zápisu pro soubory USB	Zapisovatelné soubory USB		Přístup k zápisu

Název pravidla se zobrazí na portálu pro vytváření sestav a v informačním oznámení pro uživatele, proto nezapomeňte pravidla pojmenovat popisně.

Pravidla můžete nakonfigurovat tak, že upravíte zásady v Intune, použijete soubor XML ve Windows nebo použijete soubor JSON na Macu. Výběrem jednotlivých karet zobrazíte další podrobnosti.

Intune

Následující obrázek znázorňuje nastavení konfigurace pro zásady řízení zařízení v Intune:

Na snímku obrazovky jsou zahrnuté ID a Vyloučené ID odkazy na zahrnuté a vyloučené opakovaně použitelné skupiny nastavení. Zásada může mít více pravidel.

Intune nedodržuje pořadí pravidel. Pravidla je možné vyhodnotit v libovolném pořadí, proto nezapomeňte explicitně vyloučit skupiny zařízení, která nejsou v rozsahu pravidla.

XML (Windows)

Následující fragment kódu ukazuje syntaxi pravidla zásad ovládacího prvku zařízení v JAZYCE XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

Následující tabulka obsahuje další kontext pro fragment kódu XML:

Název vlastnosti	Popis	Možnosti
PolicyRule Id	Identifikátor GUID, jedinečné ID, představuje zásady a používá se při vytváření sestav a odstraňování potíží.	ID můžete vygenerovat prostřednictvím PowerShellu.
Name	Řetězec, název zásady a zobrazí se v informačním přehledu na základě nastavení zásad.
IncludedIdList	Skupiny, na které se zásady vztahují. Pokud je přidáno více skupin, média musí být členem každé skupiny v seznamu, která se má zahrnout.	V této instanci se musí použít ID nebo GUID skupiny. Následující příklad ukazuje použití GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	Skupiny, na které se zásady nevztahují. Pokud je přidáno více skupin, média musí být členem skupiny v seznamu, aby byla vyloučena.	V této instanci se musí použít ID nebo GUID skupiny.
Entry	Jeden policyRule může mít více položek; každá položka s jedinečným identifikátorem GUID informuje o jednom omezení, které řídí zařízení.	Podrobnosti najdete v následující tabulce vlastností položky.

JSON (Mac)

Následující fragment kódu ukazuje syntaxi pravidla zásad řízení zařízení ve formátu JSON pro macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

Následující tabulka obsahuje další kontext pro fragment kódu XML:

Název vlastnosti	Popis	Možnosti
id	Guid, jedinečné ID, představuje pravidlo a používá se v zásadách.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Řetězec, název zásady a zobrazí se v informačním přehledu na základě nastavení zásad.
includeGroups	Skupiny, pro které se zásady použijí. Pokud je zadáno více skupin, zásady se vztahují na všechna média ve všech těchto skupinách. Pokud není zadané, pravidlo se použije pro všechna zařízení.	V tomto případě se musí použít hodnota ID uvnitř skupiny. Pokud je v includeGroups více skupin, je ANDto . "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Skupina, na kterou se zásada nevztahuje.	V id tomto případě musí být použita hodnota uvnitř skupiny. Pokud je v excludeGroups více skupin, je ORto .
entries	Jedno pravidlo může mít více položek; Každá položka s jedinečným identifikátorem GUID informuje Ovládací prvek zařízení o jednom omezení.	Podrobnosti najdete v tabulce vlastností položek dále v tomto článku.

Položky

Zásady řízení zařízení definují přístup (označovaný jako položka) pro sadu zařízení. Položky definují možnosti akce a oznámení pro zařízení, která odpovídají zásadám a podmínkám definovaným v položce.

Nastavení položky	Možnosti
AccessMask	Použije akci pouze v případě, že operace přístupu odpovídají masce přístupu – Maska přístupu je bitová hodnota OR přístupových hodnot: 1 – Čtení ze zařízení 2. Zápis zařízení 4. Provedení zařízení 8 . Čtení souboru 16. Zápis souboru 32. Spuštění souboru 64 - Tisk Příklady: Čtení, zápis a spuštění zařízení = 7 (1+2+4) Čtení ze zařízení, čtení z disku = 9 (1+8)
Akce	Povolit Odepřít AuditAllow AuditDeny
Oznámení	Žádné (výchozí) Vygeneruje se událost. Uživateli se zobrazí oznámení. Evidence souborů je zachycena

Upozornění

Verze z února 2024 způsobuje nekonzistentní výsledky pro zákazníky, kteří používají zásady vyměnitelných médií pouze s přístupem na úrovni disku nebo zařízení (masky, které jsou menší nebo rovné 7). Vynucení nemusí fungovat podle očekávání. Pokud chcete tento problém zmírnit, doporučujeme vrátit se k předchozí verzi.

Pokud je nakonfigurované řízení zařízení a uživatel se pokusí použít zařízení, které není povolené, zobrazí se uživateli oznámení obsahující název zásady řízení zařízení a název zařízení. Oznámení se zobrazí jednou za hodinu po odepření počátečního přístupu.

Položka podporuje následující volitelné podmínky:

• Podmínka skupiny uživatelů nebo uživatelů: Akce se použije jenom na uživatele nebo skupinu uživatelů identifikované identifikátorem SID.

Poznámka

Pro skupiny uživatelů a uživatele, kteří jsou uloženi ve Microsoft Entra ID, použijte ID objektu v podmínce. Pro skupiny uživatelů a uživatele, kteří jsou uloženi v místním prostředí, použijte identifikátor zabezpečení (SID).

Poznámka

Ve Windows můžete identifikátor SID přihlášeného uživatele načíst spuštěním příkazu whoami /userPowerShellu .

• Podmínka počítače: Použije akci pouze na zařízení nebo skupinu identifikovanou identifikátorem SID.
• Podmínka parametrů: Použije akci pouze v případě, že se parametry shodují (viz Upřesňující podmínky).

Položky je možné dále omezit na konkrétní uživatele a zařízení. Například povolit přístup pro čtení k těmto souborům USB pro tohoto uživatele pouze na tomto zařízení.

Zásad	Zahrnuté skupiny zařízení	Vyloučené skupiny zařízení	Položky
Přístup jen pro čtení pro soubory USB	Všechna vyměnitelná úložná zařízení	Zapisovatelné soubory USB	Přístup jen pro čtení
Přístup k zápisu pro soubory USB	Zapisovatelné soubory USB		Přístup k zápisu pro uživatele 1 Přístup k zápisu pro uživatele 2 ve skupině zařízení A

Aby se akce použila, musí být splněné všechny podmínky v položce.

Položky můžete nakonfigurovat pomocí Intune, souboru XML ve Windows nebo souboru JSON na Macu. Výběrem jednotlivých karet zobrazíte další podrobnosti.

Intune

V Intune má pole Maska přístupu možnosti, například:

• Čtení (čtení na úrovni disku = 1)
• Zápis (zápis na úrovni disku = 2)
• Spustit (spuštění na úrovni disku = 4)
• Tisk (tisk = 64)

V uživatelském rozhraní Intune se nezobrazují všechny funkce. Další informace najdete v tématu Nasazení a správa řízení zařízení pomocí Intune.

XML (Windows)

Následující fragment kódu ukazuje syntaxi pro položku ovládacího prvku zařízení v JAZYCE XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

Následující tabulka obsahuje další kontext pro fragment kódu XML:

Název vlastnosti	Popis	Možnost
Entry Id	Identifikátor GUID, jedinečné ID, představuje položku a používá se při vytváření sestav a odstraňování potíží.	Identifikátor GUID můžete vygenerovat pomocí PowerShellu.
Type	Definuje akci pro vyměnitelné skupiny úložišť v nástroji IncludedIDList. - Allow - Deny - AuditAllowed: Definuje oznámení a událost, kdy je povolený přístup. - AuditDenied: Definuje oznámení a událost při odepření přístupu; spolupracuje se záznamem Deny . Pokud existují typy konfliktů pro stejné médium, systém použije první typ v zásadě. Příkladem typu konfliktu je Allow a Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Pokud je typ Allow	- 0:Nic - 4: zakažte AuditAllowed a AuditDenied pro tuto položku. Pokud Allow dojde a AuditAllowed nastavení je nakonfigurované, události se negenerují. - 8: Vytvořte kopii souboru jako důkaz a vygenerujte RemovableStorageFileEvent událost. Toto nastavení se musí použít společně s nastavením Nastavit umístění kopie souboru v Intune nebo Zásady skupiny.
Option	Pokud je typ Deny	- 0:Nic - 4: zakázat AuditDenied pro tuto položku. Pokud dojde k blokování a AuditDenied je nakonfigurované nastavení, systém nezobrazí oznámení.
Option	Pokud je typ AuditAllowed	- 0:Nic - 1:Nic - 2: odeslat událost
Option	Pokud je typ AuditDenied	- 0:Nic - 1: zobrazit oznámení - 2: odeslat událost - 3: zobrazit oznámení a odeslat událost
AccessMask	Definuje přístup.	Přečtěte si následující část Vysvětlení přístupu k masce.
Sid	Identifikátor SID místního uživatele nebo skupinu SID uživatele, identifikátor SID Microsoft Entra objektu nebo ID objektu. Definuje, jestli se má tato zásada použít u konkrétního uživatele nebo skupiny uživatelů. Jedna položka může mít maximálně jeden identifikátor SID a položku bez jakýchkoliv prostředků SID, které by mohly zásady použít na zařízení.	SID
ComputerSid	Identifikátor SID místního počítače nebo skupinu SID počítače, identifikátor SID Microsoft Entra objektu nebo ID objektu. Definuje, jestli se má tato zásada použít u konkrétního zařízení nebo skupiny zařízení. Jedna položka může mít maximálně jeden Identifikátor ComputerSID a jedna položka bez id počítače znamená, že se zásada použije na zařízení. Pokud chcete položku použít pro konkrétního uživatele a konkrétní zařízení, přidejte do stejné položky identifikátor SID i ComputerSID.	SID
Parameters	Podmínka pro položku, například stav sítě.	Může přidávat skupiny (jiné než typy zařízení) nebo dokonce zakládat parametry do parametrů. Další informace najdete v části Upřesňující podmínky (v tomto článku).

Principy přístupu k masce (Windows)

Ovládací prvek zařízení použije masku přístupu k určení, jestli požadavek odpovídá položce. Pro , RemovableMediaDevicesa WpdDevicesjsou k dispozici CdRomDevicesnásledující akce:

Přístup	Maska
Čtení na úrovni disku	1
Zápis na úrovni disku	2
Spuštění na úrovni disku	4
Čtení systému souborů	8
Zápis do systému souborů	16
Spuštění systému souborů	32

Na zařízeních PrinterDevices jsou k dispozici následující akce:

• Access: Tisk
• Maska: 64

Provedením binární operace OR můžete mít více nastavení přístupu. Tady je příklad:

• AccessMask pro čtení, zápis a spuštění je 7.
• AccessMask pro čtení a zápis je 3.

JSON (Mac)

Následující fragment kódu ukazuje syntaxi pro položku ovládacího prvku zařízení ve formátu JSON pro macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

Následující tabulka obsahuje další kontext pro fragment kódu JSON:

Název vlastnosti	Popis	Možnosti
id	Identifikátor GUID, jedinečné ID, představuje položku a používá se při vytváření sestav a odstraňování potíží.	ID můžete vygenerovat pomocí PowerShellu.
enforcement $type	Definuje akci pro vyměnitelné skupiny úložišť v nástroji includedGroups. - allow - deny - auditAllow: Definuje oznámení a událost, kdy je povolený přístup. - AuditDeny: Definuje oznámení a událost při odepření přístupu; musí spolupracovat s položkou Odepřít. Pokud existují typy konfliktů pro stejné médium, systém použije první typ v zásadě. Příkladem typu konfliktu je Povolit a Odepřít.	Atributem enforcement $type může být jedna z následujících hodnot: - allow - deny - auditAllow - auditDeny
enforcement $options	Pokud je $type vynucení povoleno	disable_audit_allow: Pokud dojde k nastavení Povolit a nastavení auditAllow je nakonfigurované, systém události neodesílá.
enforcement $options	Pokud je $type vynucení odepřeno	disable_audit_deny: Pokud dojde k blokování a nastavení auditDeny je nakonfigurované, systém nezobrazí oznámení ani neodesílá události.
enforcement $options	Pokud je $type vynucení auditPovolit	send_event: Odesílá telemetrii.
enforcement $options	Pokud je $type vynucení auditDeny	- send_event: Odesílá telemetrii. - show_notification: Zobrazí uživateli zprávu o blokování.
$type	Typ položky. Typ určuje operace, které je možné chránit pomocí řízení zařízení.	Atributy $type mohou být některé z následujících hodnot: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	Seznam operací, které tato položka uděluje	Přečtěte si další část Principy přístupu na Macu.

Principy přístupu (Mac)

Pro položku existují dva typy přístupu: obecný a specifický typ zařízení.

• Mezi obecné možnosti přístupu patří generic_read, generic_writea generic_execute.
• Přístup specifický pro typ zařízení poskytuje jemnější úroveň řízení, protože přístupové hodnoty specifické pro konkrétní typ zařízení jsou zahrnuty v obecných typech přístupu.

Následující tabulka popisuje přístup specifický pro typ zařízení a způsob jejich mapování na obecné typy přístupu.

Typ zařízení ($type)	Přístup specifický pro typ zařízení	Popis	Číst	Zápis	Provést
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	stažení fotek z konkrétního zařízení s iOSem do místního zařízení	X
appleDevice	download_files_from_device	stažení souborů z konkrétního zařízení s iOSem do místního zařízení	X
appleDevice	sync_content_to_device	synchronizace obsahu z místního zařízení do konkrétního zařízení s iOSem		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	Ovládací prvek nástroje ADB			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Skupiny

Skupiny definují kritéria pro filtrování objektů podle jejich vlastností. Objekt je přiřazen ke skupině, pokud jeho vlastnosti odpovídají vlastnostem definovaným pro skupinu.

Poznámka

Skupiny v této části neodkazují na skupiny uživatelů.

Příklady:

• Povolené soubory USB jsou všechna zařízení, která odpovídají některému z těchto výrobců.
• Ztracená databáze USB jsou všechna zařízení, která odpovídají některému z těchto sériových čísel.
• Povolené tiskárny jsou všechna zařízení, která odpovídají některému z těchto vid/PID.

Vlastnosti lze spárovat čtyřmi způsoby: MatchAll, MatchAny, MatchExcludeAlla MatchExcludeAny

• MatchAll: Vlastnosti jsou relace "And"; Například pokud správce vloží DeviceID a InstancePathIDpro každý připojený USB, systém zkontroluje, jestli USB splňuje obě hodnoty.
• MatchAny: Vlastnosti jsou relace "Or"; Pokud například správce pro každý připojený USB zadá DeviceID a InstancePathID, systém se vynutí, pokud má port USB identickou DeviceID hodnotu nebo InstanceID hodnotu.
• MatchExcludeAll: Vlastnosti jsou relace "A", všechny položky, které nesplňují, jsou pokryty. Pokud například správce vloží DeviceID a InstancePathID použije MatchExcludeAllpro každý připojený USB , systém vynutí, pokud usb nebude mít stejnou DeviceID hodnotu i InstanceID hodnotu.
• MatchExcludeAny: Vlastnosti jsou relace "Or", všechny položky, které nesplňují, jsou pokryty. Pokud například správce vloží DeviceID a InstancePathID použije MatchExcludeAnypro každý připojený USB , systém vynutí, dokud usb nebude mít identickou DeviceID hodnotu nebo InstanceID hodnotu.

Skupiny se používají dvěma způsoby: k výběru zařízení pro zahrnutí/vyloučení v pravidlech a k filtrování přístupu pro upřesňující podmínky. Tato tabulka shrnuje typy skupin a způsob jejich použití.

Typ	Popis	O/S	Pravidla zahrnutí a vyloučení	Upřesňující podmínky
Zařízení (výchozí)	Filtrování zařízení a tiskáren	Windows/Mac	X
Síťové	Filtrování podmínek sítě	Windows		X
Připojení VPN	Filtrování podmínek sítě VPN	Windows		X
Soubor	Filtrování vlastností souboru	Windows		X
Tisková úloha	Vlastnosti filtru tištěného souboru	Windows		X

Zařízení, která jsou v rozsahu zásad, jsou určená seznamem zahrnutých skupin a seznamem vyloučených skupin. Pravidlo se použije, pokud je zařízení ve všech zahrnutých skupinách a žádné z vyloučených skupin. Skupiny se můžou skládat z vlastností zařízení. Můžete použít následující vlastnosti:

Vlastnost	Popis	Zařízení s Windows	Zařízení Mac	Tiskárny
FriendlyNameId	Popisný název ve Windows Správce zařízení	A	N	A
PrimaryId	Typ zařízení	A	A	A
VID_PID	ID dodavatele je čtyřmístný kód dodavatele, který výbor USB přiřadí dodavateli. ID produktu je čtyřmístný kód produktu, který dodavatel přiřadí k zařízení. Podporují se zástupné é znakůch Například 0751_55E0	A	N	A
PrinterConnectionId	Typ připojení tiskárny: -USB -Firemní -Síťové -Univerzální -Soubor -Vlastní -Místní	N	N	A
BusId	Informace o zařízení (další informace najdete v částech, které následují po této tabulce)	A	N	N
DeviceId	Informace o zařízení (další informace najdete v částech, které následují po této tabulce)	A	N	N
HardwareId	Informace o zařízení (další informace najdete v částech, které následují po této tabulce)	A	N	N
InstancePathId	Informace o zařízení (další informace najdete v částech, které následují po této tabulce)	A	N	N
SerialNumberId	Informace o zařízení (další informace najdete v částech, které následují po této tabulce)	A	A	N
PID	ID produktu je čtyřmístný kód produktu, který dodavatel přiřadí k zařízení.	A	A	N
VID	ID dodavatele je čtyřmístný kód dodavatele, který výbor USB přiřadí dodavateli.	A	A	N
APFS Encrypted	Pokud je zařízení šifrované APFS	N	A	N

Určení vlastností zařízení pomocí windows Správce zařízení

U zařízení s Windows můžete pomocí Správce zařízení porozumět vlastnostem zařízení.

1. Otevřete Správce zařízení, vyhledejte zařízení, klikněte pravým tlačítkem na Vlastnosti a pak vyberte kartu Podrobnosti.

2. V seznamu Vlastnost vyberte Cesta k instanci zařízení.

   Hodnota zobrazená pro cestu k instanci zařízení je InstancePathId, ale obsahuje také další vlastnosti:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   Vlastnosti ve správci zařízení se mapuje na ovládací prvek zařízení, jak je znázorněno v následující tabulce:

   Správce zařízení	Řízení zařízení
   ID hardwaru	HardwareId
   Popisný název	FriendlyNameId
   Nadřazené	VID_PID
   DeviceInstancePath	InstancePathId

Použití sestav a rozšířeného proaktivního vyhledávání k určení vlastností zařízení

Vlastnosti zařízení mají v rozšířeném proaktivním vyhledávání mírně odlišné popisky. Následující tabulka mapuje popisky na portálu propertyId na zásady řízení zařízení.

Vlastnost portálu Microsoft Defender	ID vlastnosti ovládacího prvku zařízení
Název média	FriendlyNameId
ID dodavatele	HardwareId
Deviceid	InstancePathId
Sériové číslo	SerialNumberId

Poznámka

Ujistěte se, že vybraný objekt má správnou třídu médií pro danou zásadu. Obecně platí, že pro vyměnitelné úložiště použijte Class Name == USB.

Konfigurace skupin v Intune, XML ve Windows nebo JSON na Macu

Skupiny v Intune můžete nakonfigurovat pomocí souboru XML pro Windows nebo pomocí souboru JSON na Macu. Výběrem jednotlivých karet zobrazíte další podrobnosti.

Poznámka

Objekty Group Id ve formátu XML a id JSON slouží k identifikaci skupiny v rámci řízení zařízení. Nejedná se o odkaz na žádnou jinou skupinu, například skupinu uživatelů v Id Entra.

Intune

Opakovaně použitelná nastavení v Intune mapovat na skupiny zařízení. Opakovaně použitelná nastavení můžete nakonfigurovat v Intune.

Existují dva typy skupin: Tiskové zařízení a Vyměnitelné úložiště. Následující tabulka uvádí vlastnosti těchto skupin.

Typ skupiny	Vlastnosti
Tiskové zařízení	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Vyměnitelné úložiště	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

Následující fragment kódu XML ukazuje syntaxi odpovídajících skupin:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

Následující tabulka popisuje vlastnosti skupin.

Název vlastnosti	Popis	Možnosti
Group Id	Jedinečný identifikátor GUID představuje skupinu a, která se má použít v zásadách.	ID můžete vygenerovat prostřednictvím PowerShellu.
Type	Typ skupiny	Zařízení (výchozí) Ostatní typy skupin (File, VPNConnection, PrintJob, Network) se dají použít pro upřesňující podmínky. Typ pro skupiny používané s pravidly je Device, což je výchozí.
MatchType	Použitý odpovídající algoritmus	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	Seznam vlastností vyhodnocených pro zahrnutí do skupiny	Viz Vlastnosti DescriptionIdList (část za touto tabulkou).

Vlastnosti DescriptionIdList

Vlastnosti popsané v následující tabulce lze zahrnout do DescriptionIdList:

Vlastnost	Popis
PrimaryId	Zahrnuje RemovableMediaDevices, CdRomDevices, WpdDevicesa PrinterDevices.
InstancePathId	Řetězec, který jednoznačně identifikuje zařízení v systému, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0například . Odpovídá cestě k instanci zařízení v Správce zařízení ve Windows. Číslo na konci (například &0) představuje dostupný slot a může se měnit ze zařízení na zařízení. Nejlepších výsledků dosáhnete, když na konci použijete zástupný znak. Například: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Pokud chcete transformovat cestu k instanci zařízení do formátu ID zařízení, použijte standardní identifikátory USB, například v tomto příkladu: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Řetězec, který identifikuje zařízení v systému, například USBSTOR\DiskGeneric_Flash_Disk___8.07. Odpovídá ID hardwaru v Správce zařízení ve Windows. Mějte na paměti, že HardwareId to není jedinečné, různá zařízení můžou sdílet stejnou hodnotu.
FriendlyNameId	Řetězec připojený k zařízení, například Generic Flash Disk USB Device. Odpovídá popisným názvům v Správce zařízení ve Windows.
BusId	Například , USBSCSI
SerialNumberId	Cestu k instanci zařízení najdete SerialNumberId v Správce zařízení ve Windows. Například 03003324080520232521 je SerialNumberId v USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- ID dodavatele je čtyřmístný kód dodavatele, který výbor USB přiřadí dodavateli. – ID produktu je čtyřmístný kód produktu, který dodavatel přiřadí k zařízení. Podporuje zástupné cardy. – Pokud chcete transformovat cestu k instanci zařízení na formát ID dodavatele a ID produktu, použijte standardní identifikátory USB. Tady je pár příkladů: 0751_55E0: Odpovídá tomuto přesnému páru VID/PID _55E0: shodovat všechna média s PID=55E0 0751_: shodovat všechna média s VID=0751

Tady je několik příkladů definic skupin zařízení v úložišti ukázek ovládacích prvků zařízení:

• Seskupení zařízení podle ID cesty instance
• Seskupení zařízení podle VID_PID
• Seskupování zařízení podle primárního ID

JSON (Mac)

Následující fragment kódu JSON ukazuje syntaxi pro definování skupin na Macu:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

Následující tabulka popisuje vlastnosti skupin:

Vlastnost	Popis	Možnosti
$type	Druh skupiny	Zařízení
id	Jedinečný identifikátor GUID představuje skupinu, která se má v zásadách použít.	ID můžete vygenerovat pomocí rutiny Windows PowerShell New-Guid nebo příkazu v uuidgen systému macOS.
name	Popisný název skupiny	Řetězec
query	Mediální pokrytí v rámci této skupiny	Podrobnosti najdete v tabulkách vlastností dotazů níže.

Dotaz podporuje všechny typy a (stejně jako všechny), všechny typy nebo (stejné jako všechny). Toto je logika používaná ke kombinování vlastností v klauzulích.

Následující hodnoty se podporují jako klauzule:

Klauzule $type	Hodnota	Popis
primaryId	Jedna z těchto možností: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	čtyřmístný šestnáctkový řetězec	Odpovídá ID dodavatele zařízení.
productId	čtyřmístný šestnáctkový řetězec	Odpovídá ID produktu zařízení.
serialNumber	Řetězec	Odpovídá sériovému číslu zařízení. Neodpovídá, pokud zařízení nemá sériové číslo.
encryption	apfs	Shoda, pokud je zařízení šifrované apfs.
groupId	Řetězec UUID	Porovná, pokud je zařízení členem jiné skupiny. Hodnota představuje UUID skupiny, se kterou se má shodovat. Skupina musí být definována v rámci zásad před klauzulí .

Tady je příklad dotazu:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

Náš ukázkový dotaz je možné upravit, aby získal chování ekvivalentní vyloučenýmMatchAll a ExcludedMatchAny, a to pomocí typu "not", a to následujícím způsobem:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Tento dotaz odpovídá všem zařízením, která nemají zadané sériové číslo.

Upřesňující podmínky

Položky lze dále omezit na základě parametrů. Parametry používají upřesňující podmínky, které přesahují hranice zařízení. Upřesňující podmínky umožňují jemně odstupňované řízení na základě vyhodnocovaných síťových připojení, připojení VPN, souborů nebo tiskové úlohy.

Poznámka

Upřesňující podmínky jsou podporovány pouze ve formátu XML.

Podmínky sítě

Následující tabulka popisuje vlastnosti skupiny sítě:

Vlastnost	Popis
NameId	Název sítě. Podporují se zástupné é znakůch
NetworkCategoryId	Platné možnosti jsou Public, Privatenebo DomainAuthenticated.
NetworkDomainId	Platné možnosti jsou NonDomain, Domain, . DomainAuthenticated

Tyto vlastnosti se přidají do seznamu DescriptorIdList skupiny typu Network. Tady je příklad fragmentu kódu:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Na skupinu se pak v položce odkazuje jako na parametry, jak je znázorněno v následujícím fragmentu kódu:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

Podmínky připojení VPN

Následující tabulka popisuje podmínky připojení VPN:

Name (Název)	Popis
NameId	Název připojení VPN. Podporují se zástupné é znakůch
VPNConnectionStatusId	Platné hodnoty jsou Connected nebo Disconnected.
VPNServerAddressId	Řetězcová hodnota parametru VPNServerAddress. Podporují se zástupné é znakůch
VPNDnsSuffixId	Řetězcová hodnota parametru VPNDnsSuffix. Podporují se zástupné é znakůch

Tyto vlastnosti se přidají do seznamu DescriptorIdList skupiny typu VPNConnection, jak je znázorněno v následujícím fragmentu kódu:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Potom se na skupinu v záznamu odkazuje jako na parametry, jak je znázorněno v následujícím fragmentu kódu:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Podmínky souboru

Následující tabulka popisuje vlastnosti skupiny souborů:

Name (Název)	Popis
PathId	Řetězec, hodnota cesty k souboru nebo názvu. Podporují se zástupné é znakůch Platí jenom pro skupiny typů souborů.

Následující tabulka ukazuje, jak se vlastnosti přidávají do DescriptorIdList skupiny souborů:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Na skupinu se pak v položce odkazuje jako na parametry, jak je znázorněno v následujícím fragmentu kódu:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Podmínky tiskové úlohy

Následující tabulka popisuje PrintJob vlastnosti skupiny:

Name (Název)	Popis
PrintOutputFileNameId	Cesta k výstupnímu cílovému souboru pro tisk do souboru Podporují se zástupné é znakůch Například C:\*\Test.pdf
PrintDocumentNameId	Cesta ke zdrojovému souboru. Podporují se zástupné é znakůch Tato cesta nemusí existovat. Můžete třeba přidat text do nového souboru v Poznámkovém bloku a vytisknout ho bez uložení.

Tyto vlastnosti se přidají do DescriptorIdList skupiny typu PrintJob, jak je znázorněno v následujícím fragmentu kódu:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Na skupinu se pak v položce odkazuje jako na parametry, jak je znázorněno v následujícím fragmentu kódu:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Evidence souborů

Pomocí ovládání zařízení můžete ukládat důkazy o souborech, které byly zkopírovány na vyměnitelná zařízení nebo byly vytištěny. Když je povolená evidence souborů, vytvoří se RemovableStorageFileEvent . Chování evidence souborů je řízeno možnostmi akce Povolit, jak je popsáno v následující tabulce:

Možnost	Popis
8	RemovableStorageFileEvent Create události pomocíFileEvidenceLocation
16	Create bez RemovableStorageFileEventFileEvidenceLocation

Pole FileEvidenceLocation obsahuje umístění souboru důkazů, pokud je vytvořen. Soubor důkazů má název, který končí na .dup, a jeho umístění je řízeno DataDuplicationFolder nastavením.

Další kroky

• Zobrazení událostí a informací ovládacího prvku zařízení v Microsoft Defender for Endpoint
• Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Microsoft Intune
• Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Zásady skupiny
• Správa zařízení pro macOS