Udrul og administrer enhedsstyring i Microsoft Defender for Endpoint ved hjælp af Gruppepolitik
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Hvis du bruger Gruppepolitik til at administrere Defender for Endpoint-indstillinger, kan du bruge den til at installere og administrere enhedskontrol.
Aktivér eller deaktiver adgangskontrol for flytbare lagermedier
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrol.
I vinduet Enhedskontrol skal du vælge Aktiveret.
Bemærk!
Hvis du ikke kan se disse Gruppepolitik objekter, skal du tilføje ADMX (Gruppepolitik Administrative Skabeloner). Du kan downloade en administrativ skabelon (WindowsDefender.adml og WindowsDefender.admx) fra mdatp-devicecontrol/Windows-eksempler i GitHub.
Angiv standard gennemtvingelse
Du kan angive standardadgang, Deny
f.eks. eller Allow
for alle funktioner til enhedskontrolelementer, f.eks. RemovableMediaDevices
, CdRomDevices
, WpdDevices
og PrinterDevices
.
Du kan f.eks. have enten en Deny
eller en Allow
politik for RemovableMediaDevices
, men ikke for CdRomDevices
eller WpdDevices
. Hvis du angiver Default Deny
via denne politik, blokeres adgangen Læs/Skriv/Udfør til CdRomDevices
eller WpdDevices
. Hvis du kun vil administrere lagerplads, skal du sørge for at oprette Allow
en politik for printere. Ellers anvendes standard gennemtvingelse (Afvis) også på printere.
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrolelement>Vælg Politik for standard gennemtvingelse af enhedskontrol.
I vinduet Vælg politik for standard gennemtvingelse af enhedskontrol skal du vælge Standardafvis.
Konfigurer enhedstyper
Hvis du vil konfigurere de enhedstyper, som en politik for enhedskontrol anvendes på, skal du følge disse trin:
På en computer, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Enhedskontrol>Slå enhedsstyring til for bestemte enhedstyper.
I vinduet Slå enhedsstyring til for bestemte typer skal du angive produktfamilie-id'erne, adskilt af en pipe (
|
). Produktfamilie-id'er omfatterRemovableMediaDevices
,CdRomDevices
,WpdDevices
ellerPrinterDevices
.
Definer grupper
Opret én XML-fil for hver flytbare lagergruppe.
Brug egenskaberne i din flytbare lagergruppe til at oprette en XML-fil til hver flytbare lagergruppe.
Gem hver XML-fil på netværkssharet.
Definer indstillingerne på følgende måde:
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikgrupper for enhedskontrol.
I vinduet Definer politikgrupper for enhedskontrol skal du angive stien til netværkssharefilen, der indeholder XML-gruppernes data.
Du kan oprette forskellige gruppetyper. Her er et eksempel på en XML-fil til en hvilken som helst flytbar lagrings- og cd-rom, bærbare Windows-enheder og en godkendt USB-gruppe: XML-fil
Bemærk!
Kommentarer, der bruger XML-kommentarnotation <!--COMMENT-->
, kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.
Definer politikker
Opret én XML-fil til adgangspolitikregel.
Brug egenskaberne i politikregel(er) for flytbar lageradgang til at oprette en XML-fil for hver gruppes politikregel for adgang til flytbare lagermedier.
Gem XML-filen på netværkssharet.
Definer indstillingerne på følgende måde:
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikregler for enhedskontrol.
I vinduet Definer politikregler for enhedskontrol skal du vælge Aktiveret og derefter angive stien til netværkssharefilen, der indeholder XML-regeldataene.
Bemærk!
Hvis du vil hente dokumentation for filer, der kopieres eller udskrives, skal du bruge Slutpunkt DLP.
Bemærk!
Kommentarer, der bruger XML-kommentarnotation <!-- COMMENT -->
, kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.