instalace zařízení Microsoft Defender for Endpoint Device Control

Platí pro

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Poznámka

Pokud chcete spravovat vyměnitelné úložiště, přečtěte si Microsoft Defender for Endpoint Access Control vyměnitelného úložiště.

Microsoft Defender for Endpoint Device Control Device Installation umožňuje provést následující úlohu:

• Zabraňte uživatelům v instalaci konkrétních zařízení.
• Povolit uživatelům instalovat konkrétní zařízení, ale zabránit jiným zařízením

Poznámka

Rozdíl mezi instalací zařízení a řízením přístupu k vyměnitelnému úložišti najdete v tématu Microsoft Defender for Endpoint Device Control Removable Storage Protection.

Oprávnění	Oprávnění
Přístup	Instalace zařízení
Režim akcí	Povolit, Zabránit
Podpora CSP	Ano
Podpora objektů zásad	Ano
Podpora založená na uživatelích	Ne
Podpora založená na počítači	Ano

Příprava koncových bodů

Nasazení instalace zařízení na Windows 10, Windows 11 zařízeních, Windows Server 2022.

Vlastnosti zařízení

Podpora instalace zařízení podporuje následující vlastnosti zařízení:

• ID zařízení
• ID hardwaru
• Kompatibilní ID
• Třída zařízení
• Typ vyměnitelného zařízení: Některá zařízení je možné klasifikovat jako vyměnitelné zařízení. Zařízení se považuje za vyměnitelné, pokud ovladač zařízení, ke kterému je připojené, označuje, že je zařízení vyměnitelné. Například ovladače rozbočovače USB, ke kterému je zařízení připojené, hlásí vyměnit zařízení USB.

Další informace najdete v tématu Instalace zařízení ve Windows.

Zásady

Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení

Toto nastavení zásad umožňuje zadat seznam ID hardwaru a kompatibilních ID technologie Plug and Play pro zařízení, která může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .

Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení, může systém Windows nainstalovat nebo aktualizovat jakékoli zařízení, jehož id hardwaru nebo kompatibilní id technologie Plug and Play se zobrazí v seznamu, který vytvoříte, pokud tomu nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. instalace, například následující nastavení zásad:

• Zabránit instalaci zařízení, která odpovídají těmto ID zařízení.
• Zabraňte instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení.

Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení ve všech kritériích shody zařízení, budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.

Poznámka

Nastavení zásad Zabránit instalaci zařízení, která nejsou popsaná jinými nastaveními zásad, bylo nahrazeno nastavením zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení pro podporované cílové verze Windows 10 a Windows 11. Pokud je to možné, použijte nastavení zásad Povolit a Zabránit instalaci zařízení ve všech zařízeních , pokud je to možné.

Povolit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení

Toto nastavení zásad umožňuje zadat seznam ID instancí technologie Plug and Play zařízení pro zařízení, která může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .

Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení, může systém Windows nainstalovat nebo aktualizovat jakékoli zařízení, jehož ID instance zařízení se technologie Plug and Play zobrazí v seznamu, který vytvoříte, pokud tomu nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. instalace, například následující nastavení zásad:

• Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení

Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení ve všech kritériích shody zařízení, budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.

Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení

Toto nastavení zásad umožňuje určit seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro balíčky ovladačů, které může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .

Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení , může systém Windows instalovat nebo aktualizovat balíčky ovladačů, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte, pokud instalaci konkrétně nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. například následující nastavení zásad:

• Zabránit instalaci zařízení pro tyto třídy zařízení
• Zabránit instalaci zařízení, která odpovídají těmto ID zařízení
• Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení

Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení ve všech kritériích shody zařízení, budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.

Použití vrstvených pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení

Toto nastavení zásad změní pořadí vyhodnocování, ve kterém se použijí nastavení zásad Povolit a Zakázat, pokud je pro dané zařízení použitelné více než jedno nastavení zásad instalace. Povolením tohoto nastavení zásad zajistíte, že se překrývající se kritéria shody zařízení použijí na základě vytvořené hierarchie, kde konkrétnější kritéria shody nahrazují méně specifická kritéria shody. Hierarchické pořadí vyhodnocení nastavení zásad, která určují kritéria shody zařízení, je následující:

ID> instancí zařízení ID> zařízení Třída> nastavení zařízení Vyměnitelná zařízení

ID instancí zařízení

1. Zabraňte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID instancí zařízení.
2. Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID instancí zařízení.

ID zařízení

1. Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto ID zařízení.
2. Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID zařízení.

Třída nastavení zařízení

1. Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
2. Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.

Vyměnitelná zařízení

Zabránit instalaci vyměnitelných zařízení

Poznámka

Toto nastavení zásad poskytuje podrobnější kontrolu než nastavení zásad Zakázat instalaci zařízení, která nejsou popsaná jinými nastaveními zásad . Pokud jsou tato konfliktní nastavení zásad povolená současně, povolí se nastavení zásad Použít vícevrstvé pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení a ostatní nastavení zásad se bude ignorovat.

Zabránit instalaci zařízení, která odpovídají některým z těchto ID zařízení

Toto nastavení zásad umožňuje zadat seznam id hardwaru a kompatibilních ID technologie Plug and Play pro zařízení, u které se windows neinstaluje. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.

Poznámka

Pokud chcete povolit nastavení zásad Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradilo toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení v pořadí vrstvy vyhodnocení . Zásady povolení také nebudou mít přednost, pokud je v části Řízení zařízení vybraná možnost Blokovat vyměnitelné úložiště .

Pokud toto nastavení zásad povolíte, bude systém Windows znemožněn v instalaci zařízení, jehož ID hardwaru nebo KOMPATIBILNÍ ID se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžete zařízení nainstalovat a aktualizovat tak, jak je to povoleno nebo jim brání jiné nastavení zásad.

Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení

Toto nastavení zásad umožňuje určit seznam ID instancí technologie Plug and Play zařízení pro zařízení, která windows neinstaluje. Toto nastavení zásad má přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.

Pokud toto nastavení zásad povolíte, bude systém Windows znemožněn v instalaci zařízení, jehož ID instance zařízení se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžete zařízení nainstalovat a aktualizovat tak, jak je to povoleno nebo jim brání jiné nastavení zásad.

Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení

Toto nastavení zásad umožňuje určit seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro balíčky ovladačů, které systém Windows neumožňuje instalaci. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.

Poznámka

Pokud chcete povolit nastavení zásad Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení a Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradila toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení.

Pokud toto nastavení zásad povolíte, zabrání systému Windows v instalaci nebo aktualizaci balíčků ovladačů, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může systém Windows instalovat a aktualizovat zařízení tak, jak je to povoleno nebo jim brání jiné nastavení zásad.

Zabránit instalaci vyměnitelných zařízení

Toto nastavení zásad umožňuje zabránit systému Windows v instalaci vyměnitelných zařízení. Zařízení se považuje za vyměnitelné, pokud ovladač zařízení, ke kterému je připojené, označuje, že je zařízení vyměnitelné. Například ovladače rozbočovače USB, ke kterému je zařízení připojené, hlásí, že je vyměnitelné. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.

Poznámka

Pokud chcete povolit nastavení zásad Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení, Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení, a Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradila toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení .

Pokud toto nastavení zásad povolíte, systém Windows nebude moct instalovat vyměnitelná zařízení a stávající vyměnitelná zařízení nemůžou aktualizovat ovladače. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování vyměnitelných zařízení z klienta vzdálené plochy na server vzdálené plochy.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může systém Windows instalovat a aktualizovat balíčky ovladačů pro vyměnitelná zařízení tak, jak je to povoleno nebo jim brání jiné nastavení zásad.

Běžné scénáře Access Control vyměnitelného úložiště

Abychom vás seznámili s Microsoft Defender for Endpoint Access Control Vyměnitelné úložiště, připravili jsme pro vás několik běžných scénářů, které byste měli dodržet.

Scénář 1: Zabránění instalaci všech zařízení USB a povolení instalace pouze autorizovaného usb flash disku

V tomto scénáři se použijí následující zásady:

• Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
• Použijte vícevrstvé pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení.
• Povolte instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení, nebo Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení.

Nasazení a správa zásad prostřednictvím Intune

Funkce Instalace zařízení umožňuje aplikovat zásady na zařízení prostřednictvím Intune.

Licencování

Než začnete s instalací zařízení, měli byste potvrdit své předplatné Microsoftu 365. Pokud chcete získat přístup k instalaci zařízení a používat ho, musíte mít Microsoft 365 E3.

Oprávnění

Pro nasazení zásad v Intune musí mít účet oprávnění k vytváření, úpravám, aktualizaci nebo odstraňování konfiguračních profilů zařízení. Můžete vytvořit vlastní role nebo použít některou z předdefinovaných rolí s těmito oprávněními:

• Role Správce zásad a profilů
• Nebo vlastní role se zapnutými oprávněními k vytvoření, úpravě, aktualizaci, čtení, odstranění nebo zobrazení sestav pro profily konfigurace zařízení
• Nebo globální správce

Nasazení zásad

V Centru pro správu Microsoft Intunehttps://endpoint.microsoft.com/

1. Konfigurace Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení

   Otevřete omezeníprostoru útoku> zabezpečení >koncového boduVytvoření platformy zásad>: Windows 10 (a novějších) & Profil: Řízení zařízení.

   

2. Připojte USB zařízení a zobrazí se následující chybová zpráva:

   

3. U zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení povolte použít vrstvené pořadí vyhodnocení.

   Prozatím podporuje pouze OMA-URI:Profily> konfigurace zařízení>Vytvoření profilu>Platforma: Windows 10 (a novější) & Profil: Vlastní

   

4. Povolení a přidání povoleného ID instance USB – Povolí instalaci zařízení, která odpovídají některým z těchto ID zařízení.

   Aktualizujte profil řízení zařízení z kroku 1.

   

   Přidali PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB jsme, jak je znázorněno na předchozím obrázku, protože k povolení jediného USB flash disku nestačí povolit jenom jedno ID hardwaru. Musíte zajistit, aby všechna zařízení USB, která předcházejí cílovému, nebyla blokovaná (povolená). Můžete otevřít Správce zařízení a změnit zobrazení na Zařízení podle připojení, abyste viděli způsob instalace zařízení ve stromu PnP. V takovém případě musí být povolená následující zařízení, aby mohl být povolený i cílový usb flash disk:

   • Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" –> PCI\CC_0C03
   • "KOŘENOVÝ ROZBOČOVAČ USB (USB 3.0)" –> USB\ROOT_HUB30
   • "Generic USB Hub" -> USB\USB20_HUB

   

   Poznámka

   Některá zařízení v systému mají několik vrstev připojení, které definují svou instalaci v systému. USB flash disky jsou taková zařízení. Proto při hledání blokování nebo povolení přístupu v systému je důležité porozumět cestě připojení pro každé zařízení. Existuje několik obecných ID zařízení, která se běžně používají v systémech a v takových případech by mohla být dobrým začátkem při vytváření seznamu povolených zařízení. Tady je příklad (není vždy stejný pro všechny soubory USB; musíte pochopit strom PnP zařízení, které chcete spravovat prostřednictvím Správce zařízení):

   PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

   Konkrétně u stolních počítačů je důležité v seznamu výše uvést všechna zařízení USB, přes která jsou vaše klávesnice a myši připojené. Pokud to neuděláte, může se uživateli zablokovat přístup ke svému počítači prostřednictvím zařízení HID.

   Různí výrobci počítačů někdy mají různé způsoby, jak vnořit zařízení USB do stromu PnP, ale obecně se to dělá takhle.

5. Znovu zapojte povolený USB. Uvidíte, že je teď povolená a dostupná.

   

Nasazení a správa zásad prostřednictvím Zásady skupiny

Funkce instalace zařízení umožňuje použít zásady prostřednictvím Zásady skupiny.

Nasazení zásad

Viz Správa instalace zařízení pomocí Zásady skupiny (Windows 10) – klient Windows.

Zobrazení dat vyměnitelného úložiště Access Control ovládacího prvku zařízení v Microsoft Defender for Endpoint

Portál Microsoft 365 Defender zobrazuje vyměnitelné úložiště blokované instalací zařízení pro řízení zařízení.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Nejčastější dotazy

Návody ověřit, že zařízení získá nasazené zásady?

Pomocí následujícího dotazu můžete získat verzi antimalwarového klienta na portálu Microsoft 365 Defender (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Proč zásada Povolit nefunguje?

K povolení jediného USB flash disku nestačí povolit pouze jedno ID hardwaru. Ujistěte se, že všechna zařízení USB, která předcházejí cílovému zařízení, nejsou blokovaná (povolená).