Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender für Endpunkt mit Microsoft Intune

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Wenn Sie Intune zum Verwalten von Defender für Endpunkt-Einstellungen verwenden, können Sie damit Gerätesteuerungsfunktionen bereitstellen und verwalten. Verschiedene Aspekte der Gerätesteuerung werden in Intune unterschiedlich verwaltet, wie in den folgenden Abschnitten beschrieben.

Konfigurieren und Verwalten der Gerätesteuerung in Intune

1. Wechseln Sie zum Intune Admin Center , und melden Sie sich an.

2. Wechseln Sie zu Endpunktsicherheit>Verringerung der Angriffsfläche.

3. Wählen Sie unter Richtlinien zur Verringerung der Angriffsfläche entweder eine vorhandene Richtlinie aus, oder wählen Sie + Richtlinie erstellen aus, um eine neue Richtlinie einzurichten, indem Sie die folgenden Einstellungen verwenden:

   • Wählen Sie in der Liste Plattformdie Option Windows 10, Windows 11 und Windows Server aus. (Die Gerätesteuerung wird unter Windows Server derzeit nicht unterstützt, obwohl Sie dieses Profil für Gerätesteuerungsrichtlinien auswählen.)
   • Wählen Sie in der Liste Profildie Option Gerätesteuerung aus.

4. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für Ihre Richtlinie an.

5. Auf der Registerkarte Konfigurationseinstellungen wird eine Liste der Einstellungen angezeigt. Sie müssen nicht alle diese Einstellungen gleichzeitig konfigurieren. Erwägen Sie, mit der Gerätesteuerung zu beginnen.

   

   • Unter Administrative Vorlagen verfügen Sie über die Einstellungen Geräteinstallation und Wechselmedienzugriff .
   • Weitere Informationen finden Sie unter Defender unter Zulassen der Einstellungen für die Vollständige Überprüfung von Wechseldatenträgern .
   • Lesen Sie unter Datenschutz die Informationen unter Einstellungen für direkten Speicherzugriff zulassen .
   • Weitere Informationen finden Sie unter Dma Guard unter Einstellungen für Geräteenumerationsrichtlinien .
   • Weitere Informationen finden Sie unter Speicher unter Einstellungen für Den Schreibzugriff auf Wechseldatenträger .
   • Lesen Sie unter Konnektivität die Informationen unter USB-Verbindung zulassen** und Bluetooth-Einstellungen zulassen .
   • Sehen Sie sich unter Bluetooth eine Liste der Einstellungen für Bluetooth-Verbindungen und -Dienste an. Weitere Informationen finden Sie unter Richtlinien-CSP – Bluetooth.
   • Unter Gerätesteuerung können Sie benutzerdefinierte Richtlinien mit wiederverwendbaren Einstellungen konfigurieren. Weitere Informationen finden Sie unter Übersicht über Gerätesteuerelemente: Regeln.
   • Weitere Informationen finden Sie unter System unter Zulassen der Einstellungen für Die Speicherkarte .

6. Nachdem Sie Ihre Einstellungen konfiguriert haben, fahren Sie mit der Registerkarte Bereichstags fort, auf der Sie Bereichstags für die Richtlinie angeben können.

7. Geben Sie auf der Registerkarte Zuweisungen Gruppen von Benutzern oder Geräten an, die Ihre Richtlinie erhalten sollen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien in Intune.

8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen, und nehmen Sie alle erforderlichen Änderungen vor.

9. Wenn Sie bereit sind, wählen Sie Erstellen aus, um Ihre Gerätesteuerungsrichtlinie zu erstellen.

Gerätesteuerungsprofile

In Intune stellt jede Zeile eine Gerätesteuerungsrichtlinie dar. Die enthaltene ID ist die wiederverwendbare Einstellung, für die die Richtlinie gilt. Die ausgeschlossene ID ist die wiederverwendbare Einstellung, die von der Richtlinie ausgeschlossen wird. Der Eintrag für die Richtlinie enthält die zulässigen Berechtigungen und das Verhalten für die Gerätesteuerung, das in Kraft tritt, wenn die Richtlinie angewendet wird.

Informationen zum Hinzufügen der wiederverwendbaren Einstellungsgruppen, die in der Zeile jeder Gerätesteuerungsrichtlinie enthalten sind, finden Sie im Abschnitt Hinzufügen wiederverwendbarer Gruppen zu einem Gerätesteuerungsprofil unter Verwenden wiederverwendbarer Einstellungsgruppen mit Intune-Richtlinien.

Richtlinien können mithilfe der + Symbole und – hinzugefügt und entfernt werden. Der Name der Richtlinie wird in der Warnung für Benutzer sowie in erweiterten Huntings und Berichten angezeigt.

Sie können Überwachungsrichtlinien und Richtlinien zum Zulassen/Verweigern hinzufügen. Es wird empfohlen, beim Hinzufügen einer Überwachungsrichtlinie immer eine Richtlinie zulassen und/oder verweigern hinzuzufügen, damit keine unerwarteten Ergebnisse auftreten.

Wichtig

Wenn Sie nur Überwachungsrichtlinien konfigurieren, werden die Berechtigungen von der Standardeinstellung für die Erzwingung geerbt.

Hinweis

• Die Reihenfolge, in der die Richtlinien auf der Benutzeroberfläche aufgeführt sind, wird für die Richtlinienerzwingung nicht beibehalten. Die bewährte Methode besteht darin, Richtlinien zum Zulassen/Verweigern zu verwenden. Stellen Sie sicher, dass sich die Option Richtlinien zulassen/verweigern nicht überschneiden, indem Sie explizit auszuschließende Geräte hinzufügen. Mithilfe der grafischen Benutzeroberfläche von Intune können Sie die Standarderzwingung nicht ändern. Wenn Sie die Standarderzwingung in Denyändern und eine Allow Richtlinie erstellen, um bestimmte Geräte anzuwenden, werden alle Geräte mit Ausnahme aller Geräte blockiert, die in der Allow Richtlinie festgelegt sind.

Definieren von Einstellungen mit OMA-URI

Wichtig

Die Verwendung des Intune-OMA-URI zum Konfigurieren der Gerätesteuerung erfordert, dass die Workload Device Configuration von Intune verwaltet wird, wenn das Gerät gemeinsam mit Configuration Manager verwaltet wird. Weitere Informationen finden Sie unter Wechseln von Configuration Manager-Workloads zu Intune.

Identifizieren Sie in der folgenden Tabelle die Einstellung, die Sie konfigurieren möchten, und verwenden Sie dann die Informationen im OMA-URI und datentyp & Wertespalten. Die Einstellungen werden in alphabetischer Reihenfolge aufgeführt.

Einstellung	OMA-URI, Datentyp, & Werte
Standarderzwingung der Gerätesteuerung Die Standarderzwingung legt fest, welche Entscheidungen bei Zugriffsprüfungen der Gerätesteuerung getroffen werden, wenn keine der Richtlinienregeln übereinstimmt	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Ganze Zahl: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
Gerätetypen Gerätetypen, die durch ihre primären IDs identifiziert werden, mit aktiviertem Gerätesteuerungsschutz	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Schnur: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
Aktivieren der Gerätesteuerung Aktivieren oder Deaktivieren der Gerätesteuerung auf dem Gerät	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Ganze Zahl: - Disable = 0 – Aktivieren = 1

Erstellen von Richtlinien mit OMA-URI

Wenn Sie Richtlinien mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Richtlinie. Verwenden Sie als bewährte Methode das Gerätesteuerungsprofil oder das Gerätesteuerungsregelprofil, um benutzerdefinierte Richtlinien zu erstellen.

Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:

• Geben Sie im Feld Name den Namen ein Allow Read Activity.
• Geben Sie im Feld OMA-URI ein ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Sie können den PowerShell-Befehl New-Guid verwenden, um eine neue GUID zu generieren und zu ersetzen [PolicyRule Id].)
• Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.

Sie können Parameter verwenden, um Bedingungen für bestimmte Einträge festzulegen. Hier sehen Sie eine GRUPPENbeispiel-XML-Datei für Lesezugriff für jeden Wechselspeicher zulassen.

Hinweis

Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Erstellen von Gruppen mit OMA-URI

Wenn Sie Gruppen mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Gruppe. Als bewährte Methode sollten Sie wiederverwendbare Einstellungen verwenden, um Gruppen zu definieren.

Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:

• Geben Sie im Feld Name den Namen ein Any Removable Storage Group.
• Geben Sie im Feld OMA-URI ein ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Um Ihre GroupID abzurufen, wechseln Sie im Intune Admin Center zu Gruppen, und wählen Sie dann Objekt-ID kopieren aus. Alternativ können Sie den PowerShell-Befehl New-Guid verwenden, um eine neue GUID zu generieren und zu ersetzen [GroupId].
• Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.

Hinweis

Kommentare mit XML-Kommentarnotation <!-- COMMENT -- > können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Konfigurieren der Zugriffssteuerung für Wechselspeicher mit OMA-URI

1. Wechseln Sie zum Microsoft Intune Admin Center , und melden Sie sich an.

2. Wählen SieGeräteKonfigurationsprofile> aus. Die Seite Konfigurationsprofile wird angezeigt.

3. Wählen Sie auf der Registerkarte Richtlinien (standardmäßig ausgewählt) die Option + Erstellen und dann in der angezeigten Dropdownliste + Neue Richtlinie aus. Die Seite Profil erstellen wird angezeigt.

4. Wählen Sie in der Liste Plattform in der Dropdownliste Plattform die Option Windows 10, Windows 11 und Windows Server aus, und wählen Sie in der Dropdownliste Profiltyp die Option Vorlagen aus.

   Nachdem Sie vorlagen aus der Dropdownliste Profiltyp ausgewählt haben, wird der Bereich Vorlagenname zusammen mit einem Suchfeld (zum Durchsuchen des Profilnamens) angezeigt.

5. Wählen Sie im Bereich Vorlagenname die Option Benutzerdefiniert und dann Erstellen aus.

6. Erstellen Sie eine Zeile für jede Einstellung, Gruppe oder Richtlinie, indem Sie die Schritte 1 bis 5 implementieren.

Anzeigen von Gerätesteuerungsgruppen (wiederverwendbare Einstellungen)

In Intune werden Gerätesteuerungsgruppen als wiederverwendbare Einstellungen angezeigt.

1. Wechseln Sie zum Microsoft Intune Admin Center , und melden Sie sich an.

2. Wechseln Sie zu Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche fürEndpunktsicherheit>).

3. Wählen Sie die Registerkarte Wiederverwendbare Einstellungen aus.

Siehe auch

• Gerätesteuerung in Defender für Endpunkt
• Gerätesteuerungsrichtlinien und -einstellungen
• Gerätesteuerung für macOS