Enhedskontrol i Microsoft Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Enhedsstyringsfunktioner i Microsoft Defender for Endpoint gøre det muligt for dit sikkerhedsteam at styre, om brugerne kan installere og bruge eksterne enheder, f.eks. flytbart lager (USB-tommelfingerdrev, cd'er, diske osv.), printere, Bluetooth-enheder eller andre enheder med deres computere. Dit sikkerhedsteam kan konfigurere politikker for enhedskontrol for at konfigurere regler som disse:

• Forhindre brugere i at installere og bruge visse enheder (f.eks. USB-drev)
• Undgå, at brugerne installerer og bruger eksterne enheder med specifikke undtagelser
• Tillad brugere at installere og bruge bestemte enheder
• Tillad, at brugere kun installerer og bruger BitLocker-krypterede enheder med Windows-computere

Denne liste er beregnet til at indeholde nogle eksempler. Det er ikke en udtømmende liste. der er andre eksempler, du skal overveje (se afsnittet om enhedskontrol i Windows i denne artikel).

Enhedsstyring hjælper med at beskytte din organisation mod potentielt tab af data, malware eller andre cybertrusler ved at tillade eller forhindre, at visse enheder har forbindelse til brugernes computere. Med enhedsstyring kan dit sikkerhedsteam afgøre, om og hvilke eksterne enheder brugerne kan installere og bruge på deres computere.

Enhedskontrol i Windows

I dette afsnit vises scenarier for enhedskontrol i Windows.

Tip

Hvis du bruger Mac, kan enhedskontrollen styre adgangen til Bluetooth, iOS-enheder, bærbare enheder, f.eks. kameraer og flytbare medier, f.eks. USB-enheder. Se Enhedshåndtering til macOS.

Vælg en fane, gennemse scenarierne, og identificer derefter den type politik for enhedskontrol, der skal oprettes.

Flytbart lager

Scenarie	Politik for enhedsstyring
Undgå installation af en bestemt USB-enhed	Enhedskontrol i Windows. Se Politikker for enhedskontrol.
Undgå installation af alle USB-enheder, mens du kun tillader installation af en autoriseret USB	Enhedskontrol i Windows. Se Politikker for enhedskontrol.
Forbyd skrive- og udførsadgang til alle undtagen tillad specifikke godkendte USB'er	Kontrolelementet Device i Defender for Endpoint. Se Politikker for enhedskontrol.
Overvåg skrive- og udfør-adgang for alle, men bloker specifikke blokerede USB'er	Kontrolelementet Device i Defender for Endpoint. Se Politikker for enhedskontrol.
Bloker læse- og udførelsesadgang til et bestemt filtypenavn	Enhedskontrol i Microsoft Defender. Se Politikker for enhedskontrol.
Bloker personer fra at få adgang til flytbart lager, når computeren ikke opretter forbindelse til virksomhedens netværk	Enhedskontrol i Microsoft Defender. Se Politikker for enhedskontrol.
Bloker skriveadgang til flytbare datadrev, der ikke er beskyttet af BitLocker	Enhedskontrol i Windows. Se BitLocker.
Bloker skriveadgang til enheder, der er konfigureret i en anden organisation	Enhedskontrol i Windows. Se BitLocker.
Undgå kopiering af følsomme filer til USB	Slutpunkt DLP

Printere

Scenarie	Politik for enhedsstyring
Bloker personer fra udskrivning via en ikke-corporate-printer	Kontrolelementet Device i Defender for Endpoint. Se Politikker for enhedskontrol.
Tillad kun bestemte USB-printere med VID/PID	Kontrolelementet Device i Defender for Endpoint. Se Politikker for enhedskontrol.
Undgå installation af alle printere	Enhedskontrol i Windows. Se Politikker for enhedskontrol.
Undgå installation af en bestemt printer	Enhedskontrol i Windows. Se Politikker for enhedskontrol.
Undgå installation af alle printere, samtidig med at en bestemt printer kan installeres	Enhedskontrol i Windows. Se Politikker for enhedskontrol.
Bloker udskrivning af følsomme dokumenter på en hvilken som helst printer	Slutpunkt DLP

Bluetooth

Scenarie	Politik for enhedsstyring
Bloker kopiering af følsomme dokumenter til en Bluetooth-enhed	Slutpunkt DLP

Understøttede enheder

Kontrolelementet Device understøtter Bluetooth-enheder, cd/rom'er og dvd-enheder, printere, USB-enheder og andre typer bærbare enheder. På en Windows-enhed, der er baseret på driveren, er nogle eksterne enheder markeret som flytbare. I følgende tabel vises eksempler på enheder, som enhedskontrolelementet understøtter med deres primary_id værdier og medieklassenavne:

Enhedstype	PrimaryId i Windows	primary_id i macOS	Medieklassenavn
Bluetooth-enheder		bluetoothDevice	Bluetooth Devices
CD/ROM'er, dvd'er	CdRomDevices		CD-Roms
iOS-enheder		appleDevice
Bærbare enheder (f.eks. kameraer)		portableDevice
Printere	PrinterDevices		Printers
USB-enheder (flytbare medier)	RemovableMediaDevices	removableMedia	USB
Windows Portable Devices	WpdDevices		Windows Portable Devices (WPD)

Kategorier af Funktioner til Microsoft-enhedsstyring

Funktioner til enhedsstyring fra Microsoft kan organiseres i tre hovedkategorier: enhedskontrol i Windows, enhedskontrol i Defender for Endpoint og Endpoint Forebyggelse af datatab (Slutpunkt DLP).

• Enhedskontrol i Windows. Windows-operativsystemet har indbyggede funktioner til enhedsstyring. Dit sikkerhedsteam kan konfigurere indstillingerne for enhedsinstallation for at forhindre (eller tillade) brugere at installere bestemte enheder på deres computere. Politikker anvendes på enhedsniveau og bruger forskellige enhedsegenskaber til at bestemme, om en bruger kan installere/bruge en enhed. Kontrolelementet Device i Windows fungerer sammen med BitLocker- og ADMX-skabeloner og kan administreres ved hjælp af Intune.

  • BitLocker og Intune. BitLocker er en Windows-sikkerhedsfunktion , der leverer kryptering for hele diskenheder. Sammen med Intune kan politikker konfigureres til at gennemtvinge kryptering på enheder ved hjælp af BitLocker til Windows (og FileVault til Mac). Du kan finde flere oplysninger under Indstillinger for politik for diskkryptering for slutpunktssikkerhed i Intune.

  • Administrative skabeloner (ADMX) og Intune. Du kan bruge ADMX-skabeloner til at oprette politikker, der begrænser eller tillader, at bestemte typer USB-enheder bruges sammen med computere. Du kan få flere oplysninger under Begræns USB-enheder, og tillad bestemte USB-enheder ved hjælp af ADMX-skabeloner i Intune.

• Kontrolelementet Device i Defender for Endpoint. Enhedskontrol i Defender for Endpoint giver mere avancerede funktioner og er på tværs af platforme. Du kan konfigurere indstillinger for enhedskontrolelementer for at forhindre (eller tillade) brugere at have adgang til læse-, skrive- eller udførelsesadgang til indhold på flytbare lagerenheder. Du kan definere undtagelser, og du kan vælge at anvende overvågningspolitikker, der registrerer, men ikke blokerer brugerne fra at få adgang til deres flytbare lagerenheder. Politikker anvendes på enhedsniveau, brugerniveau eller begge dele. Kontrolelementet Enhed i Microsoft Defender kan administreres ved hjælp af Intune.

  • Enhedskontrol i Microsoft Defender og Intune. Intune giver en omfattende oplevelse i forbindelse med administration af komplekse politikker for enhedskontrol for organisationer. Du kan f.eks. konfigurere og installere indstillinger for enhedsbegrænsning i Defender for Endpoint. Se Konfigurer indstillinger for enhedsbegrænsning i Microsoft Intune.

• Forebyggelse af datatab for slutpunkt (Slutpunkt DLP). Slutpunkt DLP overvåger følsomme oplysninger på enheder, der er onboardet i Microsoft Purview-løsninger. DLP-politikker kan gennemtvinge beskyttende handlinger på følsomme oplysninger, og hvor de gemmes eller bruges. Få mere at vide om Slutpunkt DLP.

Se afsnittet enhedsstyringsscenarier (i denne artikel) for at få flere oplysninger om disse funktioner.

Eksempler og scenarier til enhedsstyring

Enhedskontrol i Defender for Endpoint giver dit sikkerhedsteam en robust model til adgangskontrol, der muliggør en lang række scenarier (se Politikker for enhedskontrol). Vi har sammensat et GitHub-lager, der indeholder eksempler og scenarier, du kan udforske. Se følgende ressourcer:

• VIGTIGT for eksempel på enhedskontrol
• Introduktion til eksempler på enhedskontrol på Windows-enheder
• Enhedskontrol til macOS-eksempler

Hvis du ikke kender enhedsstyring, skal du se Gennemgange af enhedsstyring.

Forudsætninger

Enhedskontrol i Defender for Endpoint kan anvendes på enheder, der kører Windows 10 eller Windows 11, der har klientversionen 4.18.2103.3 til antimalware eller nyere. (I øjeblikket understøttes servere ikke).

• 4.18.2104 eller nyere: Tilføj SerialNumberIdunderstøttelse af , VID_PID, filstibaseret gruppepolitikobjekt og ComputerSid
• 4.18.2105 eller nyere: Tilføj understøttelse af jokertegn for HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinationen af specifik bruger på en bestemt maskine, flytbar SSD (en SanDisk Extreme SSD)/UAS-understøttelse (USB Attached SCSI)
• 4.18.2107 eller nyere: Tilføj understøttelse af Windows Portable Device (WPD) (til mobilenheder, f.eks. tablets); føj AccountName til avanceret jagt
• 4.18.2205 eller nyere: Udvid standard gennemtvingelsen til Printer. Hvis du angiver den til Afvis, blokerer den også printeren, så hvis du kun vil administrere lagerplads, skal du sørge for at oprette en brugerdefineret politik for at tillade printer
• 4.18.2207 eller nyere: Tilføj filsupport; den almindelige use case kan være: bloker personer fra at læse/skrive/udføre adgangsspecifikke filer på et flytbart lager. Tilføj understøttelse af netværks- og VPN-forbindelse. den almindelige use case kan være: Bloker personer fra at få adgang til flytbart lager, når computeren ikke opretter forbindelse til virksomhedens netværk.

For Mac skal du se Enhedshåndtering til macOS.

I øjeblikket understøttes enhedskontrol ikke på servere.

Næste trin

• Gennemgange af enhedsstyring
• Få mere at vide om politikker for enhedskontrol
• Få vist rapporter over enhedskontrol