Udrul og administrer enhedskontrol i Microsoft Defender for Endpoint med Microsoft Intune

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Hvis du bruger Intune til at administrere Defender for Endpoint-indstillinger, kan du bruge den til at installere og administrere egenskaber for enhedskontrol. Forskellige aspekter af enhedskontrollen administreres forskelligt i Intune, som beskrevet i følgende afsnit.

Konfigurer og administrer enhedskontrol i Intune

1. Gå til Intune Administration , og log på.

2. Gå til Slutpunkt sikkerhed>Angreb overfladereduktion.

3. Under Politikker til reduktion af angrebsoverfladen skal du enten vælge en eksisterende politik eller vælge + Opret politik for at konfigurere en ny politik ved hjælp af disse indstillinger:

   • På listen Platform skal du vælge Windows 10, Windows 11 og Windows Server. (Enhedskontrol understøttes ikke i øjeblikket på Windows Server, selvom du vælger denne profil til politikker for enhedskontrol).
   • Vælg Enhedskontrol på listen Profil.

4. Under fanen Grundlæggende skal du angive et navn og en beskrivelse til politikken.

5. Under fanen Konfigurationsindstillinger kan du se en liste over indstillinger. Du behøver ikke at konfigurere alle disse indstillinger på én gang. Overvej at starte med Enhedshåndtering.

   

   • Under Administrative skabeloner har du indstillinger for enhedsinstallation og adgang til flytbare lagermedier .
   • Under Defender skal du se Tillad indstillingerne for scanning af flytbart drev med fuld scanning .
   • Under Databeskyttelse skal du se Tillad indstillinger for adgang til direkte hukommelse .
   • Under Dma Guard skal du se Indstillinger for politik for enhedsoptælling .
   • Under Lager skal du se Indstillinger for afvis skrivning til flytbar disk .
   • Under Forbindelse skal du se Tillad USB-forbindelse** og Tillad Bluetooth-indstillinger .
   • Under Bluetooth kan du se en liste over indstillinger, der vedrører Bluetooth-forbindelser og -tjenester. Du kan finde flere oplysninger under Politik-CSP – Bluetooth.
   • Under Enhedskontrol kan du konfigurere brugerdefinerede politikker med indstillinger, der kan genbruges. Du kan finde flere oplysninger under Oversigt over enhedskontrol: Regler.
   • Under System skal du se Tillad indstillinger for lagerkort .

6. Når du har konfigureret dine indstillinger, skal du gå til fanen Områdekoder , hvor du kan angive områdekoder for politikken.

7. Under fanen Tildelinger skal du angive grupper af brugere eller enheder, der skal modtage din politik. Du kan finde flere oplysninger under Tildel politikker i Intune.

8. Gennemse og opret under fanen Gennemse + opret , gennemse dine indstillinger, og foretag de nødvendige ændringer.

9. Når du er klar, skal du vælge Opret for at oprette din politik for enhedskontrol.

Profiler til enhedsstyring

I Intune repræsenterer hver række en politik for enhedskontrol. Det inkluderede id er den indstilling, som politikken kan genbruges på. Det udeladte id er den indstilling, der kan genbruges, og som er udelukket fra politikken. Posten for politikken indeholder de tilladte tilladelser og funktionsmåden for enhedskontrol, der træder i kraft, når politikken gælder.

Du kan få oplysninger om, hvordan du tilføjer de grupper af indstillinger, der kan genbruges, og som er inkluderet i rækken for hver politik for enhedskontrol, i afsnittet Føj genbrugelige grupper til en profil for Enhedskontrol i Brug grupper af indstillinger, der kan genbruges med Intune-politikker.

Politikker kan tilføjes og fjernes ved hjælp af ikonerne + og – . Navnet på politikken vises i advarslen til brugerne og i avanceret jagt og rapporter.

Du kan tilføje overvågningspolitikker, og du kan tilføje Tillad/Afvis politikker. Det anbefales altid at tilføje en politik af typen Tillad og/eller Afvis, når du tilføjer en overvågningspolitik, så du ikke oplever uventede resultater.

Vigtigt!

Hvis du kun konfigurerer overvågningspolitikker, nedarves tilladelserne fra standardindstillingen for håndhævelse.

Bemærk!

• Den rækkefølge, som politikkerne er angivet i i brugergrænsefladen, bevares ikke i forbindelse med håndhævelse af politikker. Bedste praksis er at bruge Allow/Deny-politikker. Sørg for, at indstillingen Tillad/Afvis politikker ikke overlapper hinanden ved eksplicit at tilføje enheder, der skal udelades. Ved hjælp af Intunes grafiske grænseflade kan du ikke ændre standardgennemtvingelsen. Hvis du ændrer standardgennemtvingelse til Denyog opretter en Allow politik, der skal anvendes bestemte enheder, blokeres alle enheder undtagen de enheder, der er angivet i Allow politikken.

Definition af indstillinger med OMA-URI

Vigtigt!

Hvis du bruger Intune OMA-URI til at konfigurere enhedskontrol, kræver det, at arbejdsbelastningen for enhedskonfiguration administreres af Intune, hvis enheden administreres i samarbejde med Konfigurationsstyring. Du kan få flere oplysninger under Sådan skifter du konfigurationsstyringsarbejdsbelastninger til Intune.

I følgende tabel skal du identificere den indstilling, du vil konfigurere, og derefter bruge oplysningerne i KOLONNERne OMA-URI og datatypen & værdier. Indstillinger vises i alfabetisk rækkefølge.

Indstilling	OMA-URI, datatype, & værdier
Standard gennemtvingelse af enhedskontrol Standard gennemtvingelse fastlægger, hvilke beslutninger der træffes under kontrol af enhedskontrol af adgang, når ingen af politikreglerne stemmer overens	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Heltal: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
Enhedstyper Enhedstyper, der identificeres af deres primære id'er, med beskyttelse mod enhedsstyring slået til	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Streng: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
Aktivér enhedsstyring Aktivér eller deaktiver enhedskontrol på enheden	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Heltal: - Deaktiver = 0 - Aktivér = 1

Oprettelse af politikker med OMA-URI

Når du opretter politikker med OMA-URI i Intune, skal du oprette én XML-fil for hver politik. Som bedste praksis kan du bruge profilen for enhedskontrol eller profilen Regler for enhedskontrol til at oprette brugerdefinerede politikker.

Angiv følgende indstillinger i ruden Tilføj række :

• I feltet Navn skal du skrive Allow Read Activity.
• I feltet OMA-URI skal du skrive ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. Du kan bruge PowerShell-kommandoen New-Guid til at generere et nyt GUID og erstatte [PolicyRule Id].)
• I feltet Datatype skal du vælge Streng (XML-fil) og bruge Brugerdefineret XML.

Du kan bruge parametre til at angive betingelser for bestemte poster. Her er et eksempel på en XML-fil til tillad læsning for hvert flytbart lager.

Bemærk!

Kommentarer, der bruger XML-kommentarnotation <!-- COMMENT --> , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.

Oprettelse af grupper med OMA-URI

Når du opretter grupper med OMA-URI i Intune, skal du oprette én XML-fil for hver gruppe. Som bedste praksis kan du bruge indstillinger, der kan genbruges, til at definere grupper.

Angiv følgende indstillinger i ruden Tilføj række :

• I feltet Navn skal du skrive Any Removable Storage Group.
• I feltet OMA-URI skal du skrive ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. Hvis du vil hente dit GroupID, skal du gå til Grupper i Intune Administration og derefter vælge Kopiér objekt-id'et. Du kan også bruge PowerShell-kommandoen New-Guid til at generere et nyt GUID og erstatte [GroupId].)
• I feltet Datatype skal du vælge Streng (XML-fil) og bruge Brugerdefineret XML.

Bemærk!

Kommentarer, der bruger XML-kommentarnotation <!-- COMMENT -- > , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.

Konfigurer adgangskontrol for flytbart lager ved hjælp af OMA-URI

1. Gå til Microsoft Intune Administration , og log på.

2. VælgEnhedskonfigurationsprofiler>. Siden Konfigurationsprofiler vises.

3. Under fanen Politikker (valgt som standard) skal du vælge + Opret og vælge + Ny politik på den rulleliste, der vises. Siden Opret en profil vises.

4. På listen Platform skal du vælge Windows 10, Windows 11 og Windows Server på rullelisten Platform og vælge Skabeloner på rullelisten Profiltype .

   Når du vælger Skabeloner på rullelisten Profiltype , vises ruden Skabelonnavn sammen med et søgefelt (for at søge i profilnavnet).

5. Vælg Brugerdefineret i ruden Skabelonnavn , og vælg Opret.

6. Opret en række for hver indstilling, gruppe eller politik ved at implementere trin 1-5.

Få vist enhedskontrolgrupper (indstillinger, der kan genbruges)

I Intune vises enhedskontrolgrupper som indstillinger, der kan genbruges.

1. Gå til Microsoft Intune Administration , og log på.

2. Gå til Endpoint Security>Attack Surface Reduction.

3. Vælg fanen Indstillinger, der kan genbruges .

Se også

• Kontrolelementet Device i Defender for Endpoint
• Politikker og indstillinger for enhedsstyring
• Enhedshåndtering til macOS