Politikker for enhedskontrol i Microsoft Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

I denne artikel beskrives politikker, regler, poster, grupper og avancerede betingelser for enhedsstyring. I bund og grund definerer politikker for enhedsstyring adgang for et sæt enheder. De enheder, der er inden for området, bestemmes af en liste over inkluderede enhedsgrupper og en liste over udeladte enhedsgrupper. En politik gælder, hvis enheden er i alle de inkluderede enhedsgrupper og ingen af de udeladte enhedsgrupper. Hvis der ikke gælder nogen politikker, anvendes standard gennemtvingelsen.

Enhedsstyring er som standard deaktiveret, så adgang til alle typer enheder er tilladt. Du kan få mere at vide om enhedskontrol under Enhedskontrol i Microsoft Defender for Endpoint.

Styring af standardfunktionsmåden

Når enhedskontrolelementet er aktiveret, er det som standard aktiveret for alle enhedstyper. Standard gennemtvingelsen kan også ændres fra Tillad til Afvis. Dit sikkerhedsteam kan også konfigurere de typer enheder, som enhedskontrollen beskytter. I følgende tabel nedenfor illustreres det, hvordan forskellige kombinationer af indstillinger ændrer beslutningen om adgangskontrol.

Er enhedsstyring aktiveret?	Standardfunktionsmåde	Enhedstyper
Nej	Adgang er tilladt	- Cd-/dvd-drev -Printere - Flytbare medieenheder - Bærbare Windows-enheder
Ja	(Ikke angivet) Adgang er tilladt	- Cd-/dvd-drev -Printere - Flytbare medieenheder - Bærbare Windows-enheder
Ja	Benægte	- Cd-/dvd-drev -Printere - Flytbare medieenheder - Bærbare Windows-enheder
Ja	Afvis flytbare medieenheder og printere	- Printere og flytbare medieenheder (blokeret) - Cd-/dvd-drev og bærbare Windows-enheder (tilladt)

Når enhedstyper er konfigureret, ignorerer enhedskontrolelementet i Defender for Endpoint anmodninger til andre enhedsfamilier.

Du kan finde flere oplysninger i følgende artikler:

• Udrul og administrer enhedskontrol med Intune
• Udrul og administrer enhedskontrol med Gruppepolitik

Politikker

For yderligere at afgrænse adgangen til enheder bruger enhedskontrolelementet politikker. En politik er et sæt regler og grupper. Den måde, regler og grupper defineres på, varierer en smule mellem administrationsfunktioner og operativsystemer, som beskrevet i følgende tabel.

Administrationsværktøj	Operativsystem	Sådan administreres regler og grupper
Intune – politik for enhedskontrol	Windows	Enheds- og printergrupper kan administreres som indstillinger, der kan genbruges, og inkluderes i regler. Ikke alle funktioner er tilgængelige i politikken for enhedskontrol (se Installér og administrer enhedskontrol med Microsoft Intune)
Intune – brugerdefineret	Windows	Hver gruppe/regel gemmes som en XML-streng i en brugerdefineret konfigurationspolitik. OMA-URI'en indeholder GUID'en for gruppen/reglen. GUID'et skal genereres.
Gruppepolitik	Windows	Grupperne og reglerne er defineret i separate XML-indstillinger i gruppepolitikobjektet (se Installér og administrer enhedskontrol med gruppepolitik).
Intune	Mac	Reglerne og politikkerne kombineres i en enkelt JSON og inkluderes i den mobileconfig fil, der installeres ved hjælp af Intune
JAMF	Mac	Reglerne og politikkerne kombineres til en enkelt JSON og konfigureres ved hjælp af JAMF som politik for enhedskontrol (se Enhedshåndtering til macOS)

Regler og grupper identificeres af Guid'er (Global Unique ID). Hvis politikker for enhedskontrol installeres ved hjælp af et andet administrationsværktøj end Intune, skal GUID'erne genereres. Du kan generere GUID'erne ved hjælp af PowerShell.

Du kan finde skemaoplysninger under JSON-skema til Mac.

Brugere

Politikker for enhedskontrol kan anvendes på brugere og/eller brugergrupper.

Bemærk!

I artiklerne om enhedskontrol kaldes grupper af brugere brugergrupper. Ordgrupperne refererer til grupper, der er defineret i enhedens kontrolpolitik.

Ved hjælp af Intune kan politikker for enhedsstyring på enten Mac og Windows målrettes mod de brugergrupper, der er defineret i Entra Id.

I Windows kan en bruger eller brugergruppe være en betingelse for en post i en politik.

Poster med bruger- eller brugergrupper kan referere til objekter fra enten Ettra Id eller et lokalt Active Directory.

Bedste praksis for brug af enhedskontrol med brugere og brugergrupper

• Hvis du vil oprette en regel for en individuel bruger i Windows, skal du oprette en post med en Sid betingelse for hver bruger i en regel

• Hvis du vil oprette en regel for en brugergruppe i Windows og Intune, skal du enten oprette en post med en Sid betingelse for hver brugergruppe i en [regel] og målrette politikken til en computergruppe i Intune eller oprette en regel uden betingelser og målrette politikken med Intune til brugergruppen.

• På Mac skal du bruge Intune og målrette politikken til en brugergruppe i Entra Id.

Advarsel

Brug ikke både bruger-/brugergruppebetingelser i regler og brugergruppemålretning i Intune.

Bemærk!

Hvis netværksforbindelsen er et problem, skal du bruge Intune-brugergruppemålretning eller en lokal Active Directory-gruppe. Bruger-/brugergruppebetingelser, der refererer til Ettra Id, bør kun bruges i miljøer, der har en pålidelig forbindelse til Entra Id.

Regler

En regel definerer listen over inkluderede grupper og en liste over udeladte grupper. For at reglen kan anvendes, skal enheden være i alle de inkluderede grupper og ingen af de udeladte grupper. Hvis enheden stemmer overens med reglen, evalueres posterne for den pågældende regel. En post definerer de anvendte handlings- og meddelelsesindstillinger, hvis anmodningen stemmer overens med betingelserne. Hvis der ikke er regler, eller der ikke er nogen poster, der stemmer overens med anmodningen, anvendes standard gennemtvingelsen.

Hvis du f.eks. vil tillade skriveadgang for nogle USB-enheder og læseadgang for alle andre USB-enheder, skal du bruge følgende politikker, grupper og poster, hvor standardgennemtvingelsen er angivet til at afvise.

Gruppe	Beskrivelse
Alle flytbare lagerenheder	Flytbare lagerenheder
Skrivbare USB'er	Liste over USB'er, hvor skriveadgang er tilladt

Regel	Inkluderede enhedsgrupper	Udeladte enhedsgrupper	Løsning
Skrivebeskyttet adgang for USB'er	Alle flytbare lagerenheder	Skrivbare USB'er	Skrivebeskyttet adgang
Skriveadgang for USB'er	Skrivbare USB'er		Skriveadgang

Navnet på reglen vises på portalen til rapportering og i toastbeskeden til brugerne, så sørg for at give reglerne beskrivende navne.

Du kan konfigurere regler ved at redigere politikker i Intune, ved hjælp af en XML-fil i Windows eller ved hjælp af en JSON-fil på Mac. Vælg hver fane for at få flere oplysninger.

Intune

På følgende billede vises konfigurationsindstillinger for en politik for enhedskontrol i Intune:

På skærmbilledet er inkluderet id og udeladt id referencer til grupper med indstillinger, der kan genbruges, og som kan udelades. En politik kan have flere regler.

Intune ærer ikke rækkefølgen af reglerne. Reglerne kan evalueres i vilkårlig rækkefølge, så sørg for udtrykkeligt at udelade grupper af enheder, der ikke er omfattet af reglen.

XML (Windows)

Følgende kodestykke viser syntaksen for en politikregel for enhedskontrol i XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule> 

Følgende tabel indeholder mere kontekst for XML-kodestykket:

Egenskabsnavn	Beskrivelse	Muligheder
PolicyRule Id	GUID, et entydigt id, repræsenterer politikken og bruges til rapportering og fejlfinding.	Du kan generere id'et via PowerShell.
Name	String, navnet på politikken og vises på toasten baseret på politikindstillingen.
IncludedIdList	De grupper, som politikken gælder for. Hvis der tilføjes flere grupper, skal mediet være medlem af hver gruppe på listen for at blive medtaget.	Gruppe-id/GUID skal bruges i denne forekomst. I følgende eksempel vises brugen af GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	De grupper, som politikken ikke gælder for. Hvis der tilføjes flere grupper, skal mediet være medlem af en gruppe på listen for at blive udelukket.	Gruppe-id/GUID skal bruges i denne forekomst.
Entry	Én Politikregel kan have flere poster. Hver post med et entydigt GUID fortæller enhedskontrollen én begrænsning.	Se nedenstående tabel over egenskaber for indtastning for at få flere oplysninger.

JSON (Mac)

Følgende kodestykke viser syntaksen for en politikregel for enhedskontrol i JSON til macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    } 

Følgende tabel indeholder mere kontekst for XML-kodestykket:

Egenskabsnavn	Beskrivelse	Muligheder
id	GUID, et entydigt id, repræsenterer reglen og bruges i politikken.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Streng, navnet på politikken og vises på toasten baseret på politikindstillingen.
includeGroups	De grupper, som politikken anvendes på. Hvis der er angivet flere grupper, gælder politikken for alle medier i alle disse grupper. Hvis den ikke er angivet, gælder reglen for alle enheder.	Id-værdien i gruppen skal bruges i denne forekomst. Hvis der er flere grupper i includeGroups, er ANDdet . "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Den gruppe, som politikken ikke gælder for.	Værdien id i gruppen skal bruges i denne forekomst. Hvis der er flere grupper i excludeGroups, er ORdet .
entries	Én regel kan have flere poster. Hver post med et entydigt GUID fortæller Enhedshåndtering én begrænsning.	Se tabellen med egenskaber for indtastning senere i denne artikel for at få flere oplysninger.

Poster

Politikker for enhedskontrol definerer adgang (kaldes en post) for et sæt enheder. Poster definerer handlings- og meddelelsesindstillingerne for enheder, der stemmer overens med politikken og de betingelser, der er defineret i posten.

Indtastningsindstilling	Muligheder
AccessMask	Anvender kun handlingen, hvis adgangshandlingerne stemmer overens med adgangsmasken – Adgangsmasken er bit-klogt ELLER for adgangsværdierne: 1 – Enheden er læst 2 – Enhedsskrivning 4 – Enhedsudførelse 8 – Filen er læst 16 – Filskrivning 32 – Filudførelse 64 - udskriv Det kan f.eks. være: Enhedslæsning, -skrivning og -udførelse = 7 (1+2+4) Enhedslæsning, Læsning af disk = 9 (1+8)
Handling	Tillad Benægte OvervågningTillad AuditDeny
Anmeldelse	Ingen (standard) Der genereres en hændelse Brugeren modtager en meddelelse Filbeviser registreres

Hvis enhedskontrolelementet er konfigureret, og en bruger forsøger at bruge en enhed, der ikke er tilladt, får brugeren en meddelelse, der indeholder navnet på enhedens kontrolpolitik og navnet på enheden. Meddelelsen vises én gang i timen, efter den indledende adgang er nægtet.

En post understøtter følgende valgfrie betingelser:

• Betingelse for bruger/brugergruppe: Anvender kun handlingen på den bruger/brugergruppe, der er identificeret af SID'et

Bemærk!

For brugergrupper og brugere, der er gemt i Microsoft Entra Id, skal du bruge objekt-id'et i betingelsen. For brugergrupper og brugere, der er gemt lokalt, skal du bruge SIKKERHEDS-id'et (SID)

Bemærk!

I Windows kan SID'et for den bruger, der er logget på, hentes ved at køre PowerShell-kommandoen whoami /user.

• Computerbetingelse: Anvender kun handlingen på den enhed/gruppe, der er identificeret af SID'et
• Parameterbetingelse: Anvender kun handlingen, hvis parametrene stemmer overens (se Avancerede betingelser)

Poster kan begrænses yderligere til bestemte brugere og enheder. Tillad f.eks. kun læseadgang til disse USB'er for denne bruger på denne enhed.

Politik	Inkluderede enhedsgrupper	Udeladte enhedsgrupper	Indgang(er)
Skrivebeskyttet adgang for USB'er	Alle flytbare lagerenheder	Skrivbare USB'er	Skrivebeskyttet adgang
Skriveadgang for USB'er	Skrivbare USB'er		Skriveadgang for bruger 1 Skriveadgang for bruger 2 på enhedsgruppe A

Alle betingelserne i posten skal være sande, for at handlingen kan anvendes.

Du kan konfigurere poster ved hjælp af Intune, en XML-fil i Windows eller en JSON-fil på Mac. Vælg hver fane for at få flere oplysninger.

Intune

I Intune indeholder feltet Access-maske indstillinger, f.eks.:

• Læs (Læsning på diskniveau = 1)
• Skriv (Skrivning på diskniveau = 2)
• Udfør (Udfør på diskniveau = 4)
• Udskriv (Udskriv = 64).

Ikke alle funktioner vises i Intune-brugergrænsefladen. Du kan få flere oplysninger under Udrul og administrer enhedskontrol med Intune.

XML (Windows)

Følgende kodestykke viser syntaksen for en enhedskontrolpost i XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry> 

Følgende tabel indeholder mere kontekst for XML-kodestykket:

Egenskabsnavn	Beskrivelse	Mulighed
Entry Id	GUID, et entydigt id, repræsenterer posten og bruges til rapportering og fejlfinding.	Du kan generere GUID'et ved hjælp af PowerShell.
Type	Definerer handlingen for de flytbare lagergrupper i IncludedIDList. - Allow - Deny - AuditAllowed: Definerer meddelelse og hændelse, når adgang er tilladt - AuditDenied: Definerer meddelelse og hændelse, når adgang nægtes. arbejder sammen med en Deny post. Når der er konflikttyper for de samme medier, anvender systemet den første i politikken. Et eksempel på en konflikttype er Allow og Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Hvis type er Allow	- 0:Intet - 4: deaktiver AuditAllowed og AuditDenied for denne post. Hvis Allow der forekommer, og indstillingen AuditAllowed er konfigureret, genereres hændelser ikke. - 8: opret en kopi af filen som bevis, og generér en RemovableStorageFileEvent hændelse. Denne indstilling skal bruges sammen med Angiv placering for en kopi af filindstillingen i Intune eller Gruppepolitik.
Option	Hvis type er Deny	- 0:Intet - 4: deaktiver AuditDenied for denne post. Hvis Block forekommer, AuditDenied og indstillingen er konfigureret, vises der ikke meddelelser i systemet.
Option	Hvis type er AuditAllowed	- 0:Intet - 1:Intet - 2, send hændelse
Option	Hvis type er AuditDenied	- 0:Intet - 1, vis meddelelse - 2, send hændelse - 3: vis meddelelse og send hændelse
AccessMask	Definerer adgangen	Se følgende afsnit Forstå adgang til maske
Sid	Sid for lokal bruger eller bruger-SID-gruppe eller SID'et for Microsoft Entra-objektet eller Objekt-id'et. Den definerer, om denne politik skal anvendes på en bestemt bruger eller brugergruppe. Én post kan maksimalt have ét SID og en post uden nogen SID-metode til at anvende politikken på enheden.	SID
ComputerSid	SID- eller computer-SID-gruppe på lokal computer eller SID for Microsoft Entra-objektet eller objekt-id'et. Den definerer, om denne politik skal anvendes på en bestemt enhed eller enhedsgruppe. En post kan maksimalt have ét ComputerSID og en post uden nogen ComputerSID betyder, at politikken skal anvendes på enheden. Hvis du vil anvende en Post på en bestemt bruger og en bestemt enhed, skal du føje både SID og ComputerSID til den samme post.	SID
Parameters	Betingelse for en post, f.eks. netværksbetingelse.	Kan tilføje grupper (ikke-enhedstyper) eller endda placere parametre i parametre. Du kan få flere oplysninger i afsnittet avancerede betingelser (i denne artikel).

Forstå adgang til maske (Windows)

Enhedskontrolelementet anvender en adgangsmaske til at bestemme, om anmodningen stemmer overens med posten. Følgende handlinger er tilgængelige på CdRomDevices, RemovableMediaDevicesog WpdDevices:

Access	Maske
Læsning på diskniveau	1
Skriv på diskniveau	2
Udfør kørsel på diskniveau	4
Filsystemet er læst	8
Skrivning til filsystemet	16
Kør filsystemet	32

Følgende handlinger er tilgængelige på PrinterDevices:

• Adgang: Udskriv
• Maske: 64

Du kan have flere adgangsindstillinger ved at udføre en binær ELLER-handling. Her er et eksempel:

• AccessMask for Læs og Skriv og Udfør er 7
• AccessMask for Læsning og skrivning er 3

JSON (Mac)

Følgende kodestykke viser syntaksen for en post i enhedskontrol i JSON til macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
} 

Følgende tabel indeholder mere kontekst for JSON-kodestykket:

Egenskabsnavn	Beskrivelse	Muligheder
id	GUID, et entydigt id, repræsenterer posten og bruges til rapportering og fejlfinding.	Du kan generere id'et ved hjælp af PowerShell.
enforcement $type	Definerer handlingen for de flytbare lagergrupper i includedGroups. - allow - deny - auditAllow: Definerer meddelelse og hændelse, når adgang er tilladt - AuditDeny: Definerer meddelelse og hændelse, når adgang nægtes. skal arbejde sammen med posten Afvis. Når der er konflikttyper for de samme medier, anvender systemet den første i politikken. Et eksempel på en konflikttype er Tillad og Afvis.	Attributten enforcement $type kan være en af følgende værdier: - allow - deny - auditAllow - auditDeny
enforcement $options	Hvis $type er tilladt	disable_audit_allow: Hvis Allow indtræffer, og auditAllow er konfigureret, sender systemet ikke hændelser.
enforcement $options	Hvis gennemtvingelse $type afvises	disable_audit_deny: Hvis Block sker, og indstillingen auditDeny er konfigureret, viser systemet ikke meddelelser eller sender hændelser.
enforcement $options	Hvis $type gennemtvinges, er overvågningTillad	send_event: Sender telemetri
enforcement $options	Hvis gennemtvingelse $type er auditDeny	- send_event: Sender telemetri - show_notification: Viser blokeringsmeddelelse til brugeren
$type	Typen af post. Typen bestemmer de handlinger, der kan beskyttes af enhedskontrol	Attributterne $type kan være en af følgende værdier: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	En liste over handlinger, som denne post giver	Se næste afsnit "Forstå adgang på Mac"

Forstå adgang (Mac)

Der er to typer adgang til en post: generisk og enhedsspecifik.

• Generiske adgangsindstillinger omfatter generic_read, generic_writeog generic_execute.
• En enhedstypespecifik adgang giver en mere detaljeret kontrol, fordi enhedstypens specifikke adgangsværdier er inkluderet i de generiske adgangstyper.

I følgende tabel beskrives den enhedstypespecifikke adgang, og hvordan den knyttes til de generiske adgangstyper.

Enhedstype ($type)	Adgang, der er specifik for enhedstype	Beskrivelse	Læse	Skrive	Udføre
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	download foto(er) fra den specifikke iOS-enhed til lokal enhed	X
appleDevice	download_files_from_device	download filer fra den eller de specifikke iOS-enheder til lokale enheder	X
appleDevice	sync_content_to_device	synkroniser indhold fra lokal enhed til en bestemt iOS-enhed		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	ADB-værktøjskontrolelement			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Grupper

Grupper definerer kriterier for filtrering af objekter efter deres egenskaber. Objektet tildeles gruppen, hvis dets egenskaber stemmer overens med de egenskaber, der er defineret for gruppen.

Bemærk!

Grupper i dette afsnit refererer ikke til brugergrupper.

Det kan f.eks. være:

• Tilladte USB'er er alle de enheder, der matcher nogen af disse producenter
• Mistede USB'er er alle de enheder, der svarer til et af disse serienumre
• Tilladte printere er alle de enheder, der svarer til et af disse VID/PID

Egenskaberne kan matches på fire måder: MatchAll, MatchAny, MatchExcludeAllog MatchExcludeAny

• MatchAll: Egenskaberne er en "And"-relation. Hvis administratoren f.eks. placerer DeviceID og InstancePathIDfor hver tilsluttet USB, kontrollerer systemet, om USB'en opfylder begge værdier.
• MatchAny: Egenskaberne er en "Eller"-relation. Hvis administratoren f.eks. sætter DeviceID og InstancePathIDfor hver tilsluttet USB, gennemtvinges systemet, så længe USB'en enten har en identisk DeviceID eller InstanceID værdi.
• MatchExcludeAll: Egenskaberne er en "And"-relation. Alle elementer, der IKKE opfylder, dækkes. Hvis administratoren f.eks. angiver DeviceID og InstancePathID bruger MatchExcludeAllfor alle tilsluttede USB-enheder, gennemtvinges det af systemet, så længe USB'en ikke har både identisk og DeviceIDInstanceID værdi.
• MatchExcludeAny: Egenskaberne er en "Eller"-relation. Alle elementer, der IKKE opfylder kravene, dækkes. Hvis administratoren f.eks. angiver DeviceID og InstancePathID bruger MatchExcludeAnyfor alle tilsluttede USB-enheder, gennemtvinges det af systemet, så længe USB'en ikke har en identisk DeviceID værdi eller InstanceID en værdi.

Grupper bruges på to måder: til at vælge enheder, der skal medtages/udelades i regler, og til at filtrere adgangen efter avancerede betingelser. I denne tabel opsummeres gruppetyperne, og hvordan de bruges.

Type	Beskrivelse	O/S	Medtag/udelad regler	Avancerede betingelser
Enhed (standard)	Filtrer enheder og printere	Windows/Mac	X
Netværk	Filternetværksbetingelser	Windows		X
VPN-forbindelse	Filtrer VPN-betingelser	Windows		X
Filer	Filtrer filegenskaber	Windows		X
Udskriftsjob	Filteregenskaber for den fil, der udskrives	Windows		X

De enheder, der er omfattet af den politik, der bestemmes af en liste over inkluderede grupper og en liste over udeladte grupper. En regel gælder, hvis enheden er i alle de inkluderede grupper og ingen af de udeladte grupper. Grupper kan sammensættes fra egenskaberne for enheder. Følgende egenskaber kan bruges:

Ejendom	Beskrivelse	Windows-enheder	Mac-enheder	Printere
FriendlyNameId	Det fulde navn i Windows Enhedshåndtering	Y	N	Y
PrimaryId	Enhedens type	Y	Y	Y
VID_PID	Leverandør-id er den firecifrede leverandørkode, som USB-udvalget tildeler kreditoren. Produkt-id er den firecifrede produktkode, som leverandøren tildeler til enheden. Jokertegn understøttes. Det kan f.eks. 0751_55E0	Y	N	Y
PrinterConnectionId	Printerforbindelsens type: -USB -Corporate -Netværk -Universel -Fil -Brugerdefinerede -Lokale	N	N	Y
BusId	Oplysninger om enheden (du kan få flere oplysninger i de afsnit, der følger efter denne tabel)	Y	N	N
DeviceId	Oplysninger om enheden (du kan få flere oplysninger i de afsnit, der følger efter denne tabel)	Y	N	N
HardwareId	Oplysninger om enheden (du kan få flere oplysninger i de afsnit, der følger efter denne tabel)	Y	N	N
InstancePathId	Oplysninger om enheden (du kan få flere oplysninger i de afsnit, der følger efter denne tabel)	Y	N	N
SerialNumberId	Oplysninger om enheden (du kan få flere oplysninger i de afsnit, der følger efter denne tabel)	Y	Y	N
PID	Produkt-id er den firecifrede produktkode, som leverandøren tildeler til enheden	Y	Y	N
VID	Leverandør-id er den firecifrede leverandørkode, som USB-udvalget tildeler kreditoren.	Y	Y	N
DeviceEncryptionStateId	(eksempelvisning) BitLocker-krypteringstilstanden for en enhed. Gyldige værdier er BitlockerEncrypted eller Plain	Y	N	N
APFS Encrypted	Hvis enheden er APFS-krypteret	N	Y	N

Brug af Windows Enhedshåndtering til at bestemme enhedsegenskaber

For Windows-enheder kan du bruge Enhedshåndtering til at forstå egenskaberne for enheder.

1. Åbn Enhedshåndtering, find enheden, højreklik på Egenskaber, og vælg derefter fanen Detaljer .

2. På listen Egenskab skal du vælge Sti til enhedsforekomst.

   Den værdi, der vises for stien til enhedsforekomsten InstancePathId, er , men den indeholder også andre egenskaber:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   Egenskaberne i Enhedshåndtering knyttes til enhedsstyring som vist i følgende tabel:

   Enhedshåndtering	Enhedsstyring
   Hardware-id'er	HardwareId
   Fuldt navn	FriendlyNameId
   Overordnede	VID_PID
   DeviceInstancePath	InstancePathId

Brug af rapporter og avanceret jagt til at bestemme egenskaber for enheder

Enhedsegenskaber har lidt forskellige mærkater i avanceret jagt. I nedenstående tabel knyttes mærkaterne på portalen til politikken for propertyId enhedskontrol.

Egenskaben Microsoft Defender Portal	Egenskabs-id for enhedskontrol
Medienavn	FriendlyNameId
Leverandør-id	HardwareId
Deviceid	InstancePathId
Serienummer	SerialNumberId

Bemærk!

Sørg for, at det valgte objekt har den korrekte medieklasse for politikken. Til flytbare lagermedier skal du generelt bruge Class Name == USB.

Konfigurer grupper i Intune, XML i Windows eller JSON på Mac

Du kan konfigurere grupper i Intune ved hjælp af en XML-fil til Windows eller ved hjælp af en JSON-fil på Mac. Vælg hver fane for at få flere oplysninger.

Bemærk!

Group Id i XML og id i JSON bruges til at identificere gruppen i enhedskontrolelementet. Den er ikke en reference til andre, f.eks. en brugergruppe i Entra Id.

Intune

Indstillinger, der kan genbruges, i Intune-tilknytning til enhedsgrupper. Du kan konfigurere indstillinger, der kan genbruges, i Intune.

Der er to typer grupper: Printerenhed og Flytbare lagermedier. I følgende tabel vises egenskaberne for disse grupper.

Gruppetype	Egenskaber
Printerenhed	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Flytbart lager	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

Følgende XML-kodestykke viser syntaksen for matchende grupper:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group> 

I følgende tabel beskrives egenskaber for grupper.

Egenskabsnavn	Beskrivelse	Muligheder
Group Id	GUID, et entydigt id, repræsenterer gruppen og skal bruges i politikken.	Du kan generere id'et via PowerShell.
Type	Gruppens type	Enhed (standard) De andre typer grupper (File, VPNConnection, PrintJob, Network) kan bruges til avancerede betingelser. Typen for grupper, der bruges med regler, er Device, som er standard.
MatchType	Den matchende algoritme, der bruges	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	Listen over egenskaber, der evalueres til medtagelse i gruppen	Se egenskaber for DescriptionIdList (sektion efter denne tabel)

Egenskaber for DescriptionIdList

De egenskaber, der er beskrevet i følgende tabel, kan medtages i DescriptionIdList:

Ejendom	Beskrivelse
PrimaryId	Omfatter RemovableMediaDevices, CdRomDevices, WpdDevicesog PrinterDevices.
InstancePathId	Streng, der entydigt identificerer enheden i systemet, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0f.eks. . Det svarer til stien til enhedsforekomsten i Enhedshåndtering i Windows. Tallet i slutningen (f.eks. &0) repræsenterer det tilgængelige slot og kan skifte fra enhed til enhed. Du opnår det bedste resultat ved at bruge et jokertegn i slutningen. Det kunne f.eks. være USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Hvis du vil transformere stien til enhedsforekomsten til enheds-id-formatet, skal du bruge STANDARD USB-id'er, f.eks. dette eksempel: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Streng, der identificerer enheden i systemet, f.eks USBSTOR\DiskGeneric_Flash_Disk___8.07. . Det svarer til hardware-id'et i Enhedshåndtering i Windows. Vær opmærksom på, at det HardwareId ikke er entydigt. Forskellige enheder deler muligvis den samme værdi.
FriendlyNameId	Streng, der er knyttet til enheden, f.eks Generic Flash Disk USB Device. . Det svarer til det brugervenlige navn i Enhedshåndtering i Windows.
BusId	For eksempel, USB, SCSI
SerialNumberId	Du kan finde SerialNumberId fra stien til forekomsten af enheden i Enhedshåndtering i Windows. Er SerialNumberId f.eks. 03003324080520232521 iUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	– Leverandør-id er den firecifrede leverandørkode, som USB-udvalget tildeler kreditoren. – Produkt-id er den firecifrede produktkode, som leverandøren tildeler til enheden. Det understøtter jokertegn. – Hvis du vil transformere stien til enhedsforekomsten til Leverandør-id og Produkt-id-format, skal du bruge STANDARD USB-id'er. Her er nogle eksempler: 0751_55E0: matcher dette nøjagtige VID/PID-par _55E0: Match et hvilket som helst medie med PID=55E0 0751_: Match et hvilket som helst medie med VID=0751

Her er nogle eksempler på definitioner af enhedsgruppe i lageret med enhedskontrolelementer:

• Gruppe af enheder efter sti-id for forekomst
• Gruppe af enheder efter VID_PID
• Gruppe af enheder efter primært id

JSON (Mac)

Følgende JSON-kodestykke viser syntaksen for definition af grupper på Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    } 

I følgende tabel beskrives egenskaber for grupper:

Ejendom	Beskrivelse	Muligheder
$type	Gruppens type	Enhed
id	GUID, et entydigt id, repræsenterer den gruppe, der skal bruges i politikken.	Du kan generere id'et ved hjælp af Windows PowerShell New-Guid-cmdlet'en eller uuidgen kommandoen på macOS
name	Brugervenligt navn på gruppen.	Streng
query	Mediedækningen under denne gruppe	Se tabellerne med forespørgselsegenskaber nedenfor for at få flere oplysninger.

Forespørgslen understøtter alle og (samme som alle), alle eller (samme som alle) typer. Dette er den logik, der bruges til at kombinere egenskaberne i delsætningerne.

Følgende værdier understøttes som delsætninger:

Delsætning $type	Værdi	Beskrivelse
primaryId	En af: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	firecifret hexadecimal streng	Matcher en enheds leverandør-id
productId	firecifret hexadecimal streng	Matcher en enheds produkt-id
serialNumber	Streng	Matcher en enheds serienummer. Stemmer ikke overens, hvis enheden ikke har et serienummer.
encryption	apfs	Matcher, hvis en enhed er apfs-encrypted.
groupId	UUID-streng	Matcher, hvis en enhed er medlem af en anden gruppe. Værdien repræsenterer UUID for den gruppe, der skal matche mod. Gruppen skal være defineret i politikken før delsætningen.

Her er et eksempel på en forespørgsel:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      } 

Vores eksempelforespørgsel kan redigeres for at få en funktionsmåde, der svarer til ExcludedMatchAll og ExcludedMatchAny, ved hjælp af typen "ikke" på følgende måde:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

} 

Denne forespørgsel svarer til alle enheder, der ikke har det angivne serienummer.

Avancerede betingelser

Poster kan begrænses yderligere baseret på parametre. Parametre anvender avancerede betingelser, der går ud over enheden. Avancerede betingelser giver mulighed for detaljeret kontrol baseret på netværk, VPN-forbindelse, fil- eller udskriftsjob, der evalueres.

Bemærk!

Avancerede betingelser understøttes kun i XML-formatet.

Netværksforhold

I følgende tabel beskrives egenskaber for netværksgrupper:

Ejendom	Beskrivelse
NameId	Netværkets navn. Jokertegn understøttes.
NetworkCategoryId	De gyldige indstillinger er Public, Privateeller DomainAuthenticated.
NetworkDomainId	De gyldige indstillinger er NonDomain, Domain, DomainAuthenticated.

Disse egenskaber føjes til DescriptorIdList for en gruppe af typen Netværk. Her er et eksempel på et kodestykke:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Der refereres derefter til gruppen som parametre i posten, som vist i følgende kodestykke:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

Betingelser for VPN-forbindelse

I følgende tabel beskrives betingelser for VPN-forbindelse:

Navn	Beskrivelse
NameId	Navnet på VPN-forbindelsen. Jokertegn understøttes.
VPNConnectionStatusId	Gyldige værdier er Connected eller Disconnected.
VPNServerAddressId	Strengværdien for VPNServerAddress. Jokertegn understøttes.
VPNDnsSuffixId	Strengværdien for VPNDnsSuffix. Jokertegn understøttes.

Disse egenskaber føjes til DescriptorIdList for en gruppe af typen VPNConnection som vist i følgende kodestykke:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Derefter refereres der til gruppen som parametre i en post, som vist i følgende kodestykke:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Filbetingelser

I følgende tabel beskrives egenskaber for filgrupper:

Navn	Beskrivelse
PathId	Streng, filstiens eller navnets værdi. Jokertegn understøttes. Gælder kun for filtypegrupper.

I følgende tabel illustreres det, hvordan egenskaber føjes til for DescriptorIdList en filgruppe:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Der refereres derefter til gruppen som parametre i en post, som vist i følgende kodestykke:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Udskriv jobbetingelser

I følgende tabel beskrives PrintJob gruppeegenskaber:

Navn	Beskrivelse
PrintOutputFileNameId	Stien til outputdestinationsfilen, der skal udskrives til filen. Jokertegn understøttes. Det kan f.eks. C:\*\Test.pdf
PrintDocumentNameId	Kildefilstien. Jokertegn understøttes. Denne sti findes muligvis ikke. Føj f.eks. tekst til en ny fil i Notesblok, og udskriv derefter uden at gemme filen.

Disse egenskaber føjes til DescriptorIdList for en gruppe af typen PrintJobsom vist i følgende kodestykke:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Der refereres derefter til gruppen som parametre i en post, som vist i følgende kodestykke:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Filbeviser

Med enhedskontrollen kan du gemme beviser for filer, der er kopieret til flytbare enheder eller er blevet udskrevet. Når filbeviser er aktiveret, oprettes der en RemovableStorageFileEvent . Funktionsmåden for filbeviser styres af indstillinger for handlingen Tillad, som beskrevet i følgende tabel:

Mulighed	Beskrivelse
8	Opret en RemovableStorageFileEvent begivenhed med FileEvidenceLocation
16	Opret en RemovableStorageFileEvent uden FileEvidenceLocation

Feltet FileEvidenceLocation i har placeringen af bevisfilen, hvis der oprettes en. Bevisfilen har et navn, der ender i .dup, og dens placering styres af indstillingen DataDuplicationFolder .

Lagring af filbeviser i Azure Blob Storage

1. Opret en Azure Blob Storage-konto og -objektbeholder.

2. Opret en brugerdefineret rolle, der kaldes Device Control Evidence Data Provider for at få adgang til objektbeholderen. Rollen skal have følgende tilladelser:

   "permissions": [
               {
                   "actions": [
                       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
                       "Microsoft.Storage/storageAccounts/blobServices/read"
                   ],
                   "notActions": [],
                   "dataActions": [
                       "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
                       "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
                   ],
                   "notDataActions": []
               }
           ]
   

   Brugerdefinerede roller kan oprettes via kommandolinjegrænsefladen eller PowerShell

   Tip

   Den indbyggede rolle Storage Blob Data Contributor har slettetilladelser til objektbeholderen, som ikke er påkrævet for at gemme beviser for enhedskontrolfunktioner. Den indbyggede rolle Storage Blob Data Reader mangler de skrivetilladelser, der kræves. Det er grunden til, at det anbefales at have en brugerdefineret rolle.

   Vigtigt!

   Sådan sikrer du, at integriteten af filbeviser bruger Azure Immutable Storage

3. Tildel brugerne af enhedskontrolelementet til rollen Device Control Evidence Data Provider .

4. RemoteStorageFileEvent Angiv til URL-adressen for Azure Blob Storage-objektbeholderen.

Næste trin

• Få vist hændelser og oplysninger om enhedskontrolelementer i Microsoft Defender for Endpoint
• Udrul og administrer enhedskontrol i Microsoft Defender for Endpoint med Microsoft Intune
• Installér og administrer enhedskontrol i Microsoft Defender for Endpoint ved hjælp af gruppepolitik
• Enhedshåndtering til macOS