Gerätesteuerungsrichtlinien in Microsoft Defender for Endpoint

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

In diesem Artikel werden Gerätesteuerungsrichtlinien, Regeln, Einträge, Gruppen und erweiterte Bedingungen beschrieben. Im Wesentlichen definieren Gerätesteuerungsrichtlinien den Zugriff für eine Gruppe von Geräten. Die Geräte, die sich im Bereich befinden, werden durch eine Liste der enthaltenen Gerätegruppen und eine Liste ausgeschlossener Gerätegruppen bestimmt. Eine Richtlinie gilt, wenn sich das Gerät in allen enthaltenen Gerätegruppen und keiner der ausgeschlossenen Gerätegruppen befindet. Wenn keine Richtlinien gelten, wird die Standarderzwingung angewendet.

Die Gerätesteuerung ist standardmäßig deaktiviert, sodass der Zugriff auf alle Gerätetypen zulässig ist. Weitere Informationen zur Gerätesteuerung finden Sie unter Gerätesteuerung in Microsoft Defender for Endpoint.

Steuern des Standardverhaltens

Wenn die Gerätesteuerung aktiviert ist, ist sie standardmäßig für alle Gerätetypen aktiviert. Die Standarderzwingung kann auch von Zulassen in Verweigern geändert werden. Ihr Sicherheitsteam kann auch die Gerätetypen konfigurieren, die von der Gerätesteuerung geschützt werden. Die folgende Tabelle veranschaulicht, wie verschiedene Kombinationen von Einstellungen die Zugriffssteuerungsentscheidung ändern.

Ist die Gerätesteuerung aktiviert?	Standardverhalten	Gerätetypen
Nein	Zugriff ist zulässig	– CD/DVD-Laufwerke -Drucker – Wechselmediengeräte – Tragbare Windows-Geräte
Ja	(Nicht angegeben) Zugriff ist zulässig	– CD/DVD-Laufwerke -Drucker – Wechselmediengeräte – Tragbare Windows-Geräte
Ja	Deny	– CD/DVD-Laufwerke -Drucker – Wechselmediengeräte – Tragbare Windows-Geräte
Ja	Wechselmediengeräte und Drucker verweigern	– Drucker und Wechselmediengeräte (blockiert) - CD/DVD-Laufwerke und tragbare Windows-Geräte (zulässig)

Wenn Gerätetypen konfiguriert sind, ignoriert die Gerätesteuerung in Defender für Endpunkt Anforderungen an andere Gerätefamilien.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Bereitstellen und Verwalten der Gerätesteuerung mit Intune
• Bereitstellen und Verwalten der Gerätesteuerung mit Gruppenrichtlinie

Richtlinien

Um den Zugriff auf Geräte weiter zu verfeinern, verwendet die Gerätesteuerung Richtlinien. Eine Richtlinie ist ein Satz von Regeln und Gruppen. Wie Regeln und Gruppen definiert werden, variiert je nach Verwaltungserfahrung und Betriebssystem leicht, wie in der folgenden Tabelle beschrieben.

Verwaltungstool	Betriebssystem	Verwalten von Regeln und Gruppen
Intune – Gerätesteuerungsrichtlinie	Windows	Geräte- und Druckergruppen können als wiederverwendbare Einstellungen verwaltet und in Regeln eingeschlossen werden. Nicht alle Features sind in der Gerätesteuerungsrichtlinie verfügbar (siehe Bereitstellen und Verwalten der Gerätesteuerung mit Microsoft Intune).
Intune – Benutzerdefiniert	Windows	Jede Gruppe/Regel wird als XML-Zeichenfolge in einer benutzerdefinierten Konfigurationsrichtlinie gespeichert. Der OMA-URI enthält die GUID der Gruppe/Regel. Die GUID muss generiert werden.
Gruppenrichtlinien	Windows	Die Gruppen und Regeln werden in separaten XML-Einstellungen im Gruppenrichtlinie Object definiert (siehe Bereitstellen und Verwalten der Gerätesteuerung mit Gruppenrichtlinie).
Intune	Mac	Die Regeln und Richtlinien werden in einem einzelnen JSON-Code kombiniert und in der mobileconfig Datei enthalten, die mithilfe von Intune
JAMF	Mac	Die Regeln und Richtlinien werden in einem einzelnen JSON-Code kombiniert und mithilfe von JAMF als Gerätesteuerungsrichtlinie konfiguriert (siehe Gerätesteuerung für macOS).

Regeln und Gruppen werden durch guiDs (Global Unique ID) identifiziert. Wenn Gerätesteuerungsrichtlinien mit einem anderen Verwaltungstool als Intune bereitgestellt werden, müssen die GUIDs generiert werden. Sie können die GUIDs mithilfe von PowerShell generieren.

Schemadetails finden Sie unter JSON-Schema für Mac.

Benutzer

Gerätesteuerungsrichtlinien können auf Benutzer und/oder Benutzergruppen angewendet werden.

Hinweis

In den Artikeln zur Gerätesteuerung werden Benutzergruppen als Benutzergruppen bezeichnet. Der Begriff Gruppen bezieht sich auf Gruppen , die in der Gerätesteuerungsrichtlinie definiert sind.

Mit Intune können Gerätesteuerungsrichtlinien auf Macs und Windows auf Benutzergruppen ausgerichtet werden, die in Entra ID definiert sind.

Unter Windows kann ein Benutzer oder eine Benutzergruppe eine Bedingung für einen Eintrag in einer Richtlinie sein.

Einträge mit Benutzer- oder Benutzergruppen können auf Objekte von Entra ID oder aus einem lokalen Active Directory verweisen.

Bewährte Methoden für die Verwendung der Gerätesteuerung mit Benutzern und Benutzergruppen

• Um eine Regel für einen einzelnen Benutzer unter Windows zu erstellen, erstellen Sie einen Eintrag mit einer Sid Bedingung foreach-Benutzer in einer Regel.

• Um eine Regel für eine Benutzergruppe unter Windows und Intune zu erstellen, erstellen Sie entweder einen Eintrag mit einer Sid Bedingung für jede Benutzergruppe in einer [Regel] und richten Sie die Richtlinie auf eine Computergruppe in Intune aus, oder erstellen Sie eine Regel ohne Bedingungen, und richten Sie die Richtlinie mit Intune an die Benutzergruppe aus.

• Verwenden Sie auf dem Mac Intune, und richten Sie die Richtlinie auf eine Benutzergruppe in Entra ID aus.

Warnung

Verwenden Sie nicht sowohl Benutzer-/Benutzergruppenbedingungen in Regeln als auch benutzergruppenadressierung in Intune.

Hinweis

Wenn die Netzwerkkonnektivität ein Problem ist, verwenden Sie Intune Benutzergruppenziel oder eine lokale Active Directory-Gruppe. Benutzer-/Benutzergruppenbedingungen, die auf Entra ID verweisen, sollten nur in Umgebungen verwendet werden, die über eine zuverlässige Verbindung mit Entra ID verfügen.

Regeln

Eine Regel definiert die Liste der eingeschlossenen Gruppen und eine Liste ausgeschlossener Gruppen. Damit die Regel angewendet werden kann, muss sich das Gerät in allen eingeschlossenen Gruppen und keiner der ausgeschlossenen Gruppen befinden. Wenn das Gerät mit der Regel übereinstimmt, werden die Einträge für diese Regel ausgewertet. Ein Eintrag definiert die angewendeten Aktions- und Benachrichtigungsoptionen, wenn die Anforderung den Bedingungen entspricht. Wenn keine Regeln gelten oder keine Einträge mit der Anforderung übereinstimmen, wird die Standarderzwingung angewendet.

Um beispielsweise Schreibzugriff für einige USB-Geräte und Lesezugriff für alle anderen USB-Geräte zuzulassen, verwenden Sie die folgenden Richtlinien, Gruppen und Einträge, deren Standarderzwingung auf Verweigern festgelegt ist.

Gruppe	Beschreibung
Alle Wechselmedien	Wechselmedien
Schreibbare USBs	Liste der USBs, für die Schreibzugriff zulässig ist

Regel	Enthaltene geräte Gruppen	Gruppen ausgeschlossener Geräte	Eintrag
Schreibgeschützter Zugriff für USBs	Alle Wechselmedien	Schreibbare USBs	Schreibgeschützter Zugriff
Schreibzugriff für USBs	Schreibbare USBs		Schreibzugriff

Der Name der Regel wird im Portal für die Berichterstellung und in der Popupbenachrichtigung für Benutzer angezeigt. Stellen Sie daher sicher, dass Sie den Regeln beschreibende Namen geben.

Sie können Regeln konfigurieren, indem Sie Richtlinien in Intune bearbeiten, eine XML-Datei unter Windows verwenden oder eine JSON-Datei auf dem Mac verwenden. Wählen Sie die einzelnen Registerkarten aus, um weitere Details anzuzeigen.

Intune

Die folgende Abbildung zeigt die Konfigurationseinstellungen für eine Gerätesteuerungsrichtlinie in Intune:

Im Screenshot sind die Eingeschlossene ID und die ausgeschlossene ID die Verweise auf eingeschlossene und ausgeschlossene wiederverwendbare Einstellungsgruppen. Eine Richtlinie kann über mehrere Regeln verfügen.

Intune berücksichtigt nicht die Reihenfolge der Regeln. Die Regeln können in beliebiger Reihenfolge ausgewertet werden. Stellen Sie daher sicher, dass Gruppen von Geräten, die sich nicht im Gültigkeitsbereich der Regel befinden, explizit ausschließen.

XML (Windows)

Der folgende Codeausschnitt zeigt die Syntax für eine Gerätesteuerungsrichtlinienregel in XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule> 

Die folgende Tabelle enthält mehr Kontext für den XML-Codeausschnitt:

Eigenschaftenname	Beschreibung	Optionen
PolicyRule Id	GUID, eine eindeutige ID, stellt die Richtlinie dar und wird in der Berichterstellung und Problembehandlung verwendet.	Sie können die ID über PowerShell generieren.
Name	Zeichenfolge, der Name der Richtlinie und wird basierend auf der Richtlinieneinstellung im Popup angezeigt.
IncludedIdList	Die Gruppen, für die die Richtlinie gilt. Wenn mehrere Gruppen hinzugefügt werden, müssen die Medien ein Mitglied jeder Gruppe in der Liste sein, um eingeschlossen zu werden.	Die Gruppen-ID/GUID muss in diesem instance verwendet werden. Das folgende Beispiel zeigt die Verwendung von GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	Die Gruppen, für die die Richtlinie nicht gilt. Wenn mehrere Gruppen hinzugefügt werden, müssen die Medien Mitglied einer Gruppe in der Liste sein, um ausgeschlossen werden zu können.	Die Gruppen-ID/GUID muss in diesem instance verwendet werden.
Entry	Eine PolicyRule kann mehrere Einträge aufweisen. Jeder Eintrag mit einer eindeutigen GUID teilt dem Gerät die Steuerung einer Einschränkung mit.	Weitere Informationen finden Sie unten in der Tabelle mit den Eintragseigenschaften.

JSON (Mac)

Der folgende Codeausschnitt zeigt die Syntax für eine Gerätesteuerungsrichtlinienregel in JSON für macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    } 

Die folgende Tabelle enthält mehr Kontext für den XML-Codeausschnitt:

Eigenschaftenname	Beschreibung	Optionen
id	GUID, eine eindeutige ID, stellt die Regel dar und wird in der Richtlinie verwendet.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Zeichenfolge, Name der Richtlinie und wird basierend auf der Richtlinieneinstellung im Popup angezeigt.
includeGroups	Die Gruppen, auf die die Richtlinie angewendet wird. Wenn mehrere Gruppen angegeben sind, gilt die Richtlinie für alle Medien in all diesen Gruppen. Wenn nicht angegeben, gilt die Regel für alle Geräte.	Der ID-Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in den includeGroups befinden, ist dies AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Die Gruppe, für die die Richtlinie nicht gilt.	Der id Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in den excludeGroups befinden, ist dies OR.
entries	Eine Regel kann mehrere Einträge enthalten; Jeder Eintrag mit einer eindeutigen GUID teilt Device Control eine Einschränkung mit.	Weitere Informationen finden Sie in der Tabelle mit den Eintragseigenschaften weiter unten in diesem Artikel.

Entries

Gerätesteuerungsrichtlinien definieren den Zugriff (als Eintrag bezeichnet) für eine Gruppe von Geräten. Einträge definieren die Aktions- und Benachrichtigungsoptionen für Geräte, die der Richtlinie entsprechen, und die im Eintrag definierten Bedingungen.

Eintragseinstellung	Optionen
AccessMask	Wendet die Aktion nur an, wenn die Zugriffsvorgänge mit der Zugriffsmaske übereinstimmen. Die Zugriffsmaske ist das bitweise OR der Zugriffswerte: 1 – Gerätelesevorgang 2– Geräteschreibvorgänge 4: Ausführen des Geräts 8 – Datei lesen 16 : Dateischreibvorgänge 32 : Datei ausführen 64 - Drucken Zum Beispiel: Gerät lesen, schreiben und ausführen = 7 (1+2+4) Device Read, Disk Read = 9 (1+8)
Aktion	Zulassen Deny AuditAllow AuditDeny
Benachrichtigung	Keine (Standard) Ein Ereignis wird generiert. Der Benutzer erhält eine Benachrichtigung.

Eintragsauswertung

Es gibt zwei Arten von Einträgen: Erzwingungseinträge (Zulassen/Verweigern) und Überwachungseinträge (AuditAllow/AuditDeny).

Erzwingungseinträge für eine Regel werden der Reihe nach ausgewertet, bis alle angeforderten Berechtigungen übereinstimmen. Wenn keine Einträge mit einer Regel übereinstimmen, wird die nächste Regel ausgewertet. Wenn keine Regeln übereinstimmen, wird der Standardwert angewendet.

Überwachungseinträge

Überwachungsereignisse steuern das Verhalten, wenn die Gerätesteuerung eine Regel erzwingt (Zulassen/Verweigern). Das Gerätesteuerelement kann dem Endbenutzer eine Benachrichtigung anzeigen. Der Benutzer erhält eine Benachrichtigung, die den Namen der Gerätesteuerungsrichtlinie und den Namen des Geräts enthält. Die Benachrichtigung wird einmal stündlich angezeigt, nachdem der erste Zugriff verweigert wurde.

Die Gerätesteuerung kann auch ein Ereignis erstellen, das in der erweiterten Suche verfügbar ist.

Wichtig

Es gibt ein Limit von 300 Ereignissen pro Gerät und Tag. Überwachungseinträge werden verarbeitet, nachdem die Vollstreckungsentscheidung getroffen wurde. Alle entsprechenden Überwachungseinträge werden ausgewertet.

Bedingungen

Ein Eintrag unterstützt die folgenden optionalen Bedingungen:

• Benutzer-/Benutzergruppenbedingung: Wendet die Aktion nur auf den Benutzer/die Benutzergruppe an, der von der SID identifiziert wird.

Hinweis

Verwenden Sie für Benutzergruppen und Benutzer, die in Microsoft Entra ID gespeichert sind, die Objekt-ID in der Bedingung. Verwenden Sie für Lokal gespeicherte Benutzergruppen und Benutzer die Sicherheits-ID (SID).

Hinweis

Unter Windows kann die SID des benutzers, der angemeldet ist, durch Ausführen des PowerShell-Befehls whoami /userabgerufen werden.

• Computerbedingung: Wendet die Aktion nur auf das Gerät/die Gruppe an, das von der SID identifiziert wird.
• Parameterbedingung: Wendet die Aktion nur an, wenn die Parameter übereinstimmen (siehe Erweiterte Bedingungen).

Einträge können weiter auf bestimmte Benutzer und Geräte festgelegt werden. Lassen Sie beispielsweise nur für diesen Benutzer auf diesem Gerät Lesezugriff auf diese USBs zu.

Richtlinie	Enthaltene geräte Gruppen	Gruppen ausgeschlossener Geräte	Eintrag(en)
Schreibgeschützter Zugriff für USBs	Alle Wechselmedien	Schreibbare USBs	Schreibgeschützter Zugriff
Schreibzugriff für USBs	Schreibbare USBs		Schreibzugriff für Benutzer 1 Schreibzugriff für Benutzer 2 auf Gerätegruppe A

Alle Bedingungen im Eintrag müssen erfüllt sein, damit die Aktion angewendet wird.

Sie können Einträge mithilfe von Intune, einer XML-Datei unter Windows oder einer JSON-Datei unter Mac konfigurieren. Wählen Sie die einzelnen Registerkarten aus, um weitere Details anzuzeigen.

Intune

In Intune enthält das Feld Zugriffsmaske Optionen, z. B.:

• Lesen (Lesen auf Datenträgerebene = 1)
• Schreiben (Schreibebene auf Datenträgerebene = 2)
• Ausführen (Ausführen auf Datenträgerebene = 4)
• Drucken (Drucken = 64).

Nicht alle Features werden auf der benutzeroberfläche Intune angezeigt. Weitere Informationen finden Sie unter Bereitstellen und Verwalten der Gerätesteuerung mit Intune.

XML (Windows)

Der folgende Codeausschnitt zeigt die Syntax für einen Gerätesteuerelementeintrag in XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry> 

Die folgende Tabelle enthält mehr Kontext für den XML-Codeausschnitt:

Eigenschaftenname	Beschreibung	Option
Entry Id	GUID, eine eindeutige ID, stellt den Eintrag dar und wird in der Berichterstellung und Problembehandlung verwendet.	Sie können die GUID mithilfe von PowerShell generieren.
Type	Definiert die Aktion für die Wechselspeichergruppen in IncludedIDList. - Allow - Deny - AuditAllowed: Definiert Benachrichtigungen und Ereignisse, wenn der Zugriff zulässig ist - AuditDenied: Definiert Benachrichtigungen und Ereignisse, wenn der Zugriff verweigert wird; arbeitet mit einem Deny Eintrag zusammen. Wenn Konflikttypen für dieselben Medien vorhanden sind, wendet das System den ersten in der Richtlinie an. Ein Beispiel für einen Konflikttyp ist Allow und Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Wenn der Typ Allow	- 0:nichts - 4: deaktivieren AuditAllowed und AuditDenied für diesen Eintrag. Wenn Allow auftritt und die AuditAllowed Einstellung konfiguriert ist, werden keine Ereignisse generiert.
Option	Wenn der Typ Deny	- 0:nichts - 4: für diesen Eintrag deaktivieren AuditDenied . Wenn Blockieren auftritt und die AuditDenied -Einstellung konfiguriert ist, zeigt das System keine Benachrichtigungen an.
Option	Wenn der Typ AuditAllowed	- 0:nichts - 1:nichts - 2: Send-Ereignis
Option	Wenn der Typ AuditDenied	- 0:nichts - 1: Benachrichtigung anzeigen - 2: Send-Ereignis - 3: Benachrichtigung anzeigen und Ereignis senden
AccessMask	Definiert den Zugriff.	Weitere Informationen finden Sie im folgenden Abschnitt Grundlegendes zum Maskenzugriff.
Sid	Lokale Benutzer-SID oder Benutzer-SID-Gruppe oder die SID des Microsoft Entra-Objekts oder die Objekt-ID. Es definiert, ob diese Richtlinie auf einen bestimmten Benutzer oder eine bestimmte Benutzergruppe angewendet werden soll. Ein Eintrag kann maximal eine SID und ein Eintrag ohne SID-Mittel enthalten, um die Richtlinie auf das Gerät anzuwenden.	SID
ComputerSid	Lokale Computer-SID oder Computer-SID-Gruppe oder die SID des Microsoft Entra Objekts oder die Objekt-ID. Es definiert, ob diese Richtlinie auf ein bestimmtes Gerät oder eine bestimmte Gerätegruppe angewendet werden soll. Ein Eintrag kann über maximal eine ComputerSID und einen Eintrag ohne ComputerSID verfügen, um die Richtlinie auf das Gerät anzuwenden. Wenn Sie einen Eintrag auf einen bestimmten Benutzer und ein bestimmtes Gerät anwenden möchten, fügen Sie demselben Eintrag sowohl SID als auch ComputerSID hinzu.	SID
Parameters	Bedingung für einen Eintrag, z. B. Netzwerkbedingung.	Kann Gruppen (Nicht-Gerätetypen) hinzufügen oder sogar Parameter in Parameter einfügen. Weitere Informationen finden Sie im Abschnitt erweiterte Bedingungen (in diesem Artikel).

Grundlegendes zum Maskenzugriff (Windows)

Die Gerätesteuerung wendet eine Zugriffsmaske an, um zu bestimmen, ob die Anforderung mit dem Eintrag übereinstimmt. Die folgenden Aktionen sind für CdRomDevices, RemovableMediaDevicesund WpdDevicesverfügbar:

Access	Maske
Lesen auf Datenträgerebene	1
Schreibzugriff auf Datenträgerebene	2
Ausführen auf Datenträgerebene	4
Dateisystemlesevorgänge	8
Dateisystemschreibvorgänge	16
Dateisystemausführung	32

Die folgenden Aktionen sind auf PrinterDevices verfügbar:

• Zugriff: Drucken
• Maske: 64

Sie können über mehrere Zugriffseinstellungen verfügen, indem Sie einen binären OR-Vorgang ausführen. Hier ist ein Beispiel:

• AccessMask für Lesen und Schreiben und Ausführen ist 7
• AccessMask für Lese- und Schreibzugriff ist 3

JSON (Mac)

Der folgende Codeausschnitt zeigt die Syntax für einen Gerätesteuerungseintrag in JSON für macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
} 

Die folgende Tabelle enthält mehr Kontext für den JSON-Codeausschnitt:

Eigenschaftenname	Beschreibung	Optionen
id	GUID, eine eindeutige ID, stellt den Eintrag dar und wird in der Berichterstellung und Problembehandlung verwendet.	Sie können die ID mithilfe von PowerShell generieren.
enforcement $type	Definiert die Aktion für die Wechselspeichergruppen in includedGroups. - allow - deny - auditAllow: Definiert Benachrichtigungen und Ereignisse, wenn der Zugriff zulässig ist - AuditDeny: Definiert Benachrichtigungen und Ereignisse, wenn der Zugriff verweigert wird; muss mit dem Eintrag "Verweigern" zusammenarbeiten. Wenn Konflikttypen für dieselben Medien vorhanden sind, wendet das System den ersten in der Richtlinie an. Ein Beispiel für einen Konflikttyp ist Allow und Deny.	Das enforcement $type Attribut kann einer der folgenden Werte sein: - allow - deny - auditAllow - auditDeny
enforcement $options	Wenn die Erzwingung $type zulässig ist	disable_audit_allow: Wenn Allow auftritt und die Einstellung auditAllow konfiguriert ist, sendet das System keine Ereignisse.
enforcement $options	Wenn die Erzwingung $type verweigert wird	disable_audit_deny: Wenn Blockieren erfolgt und die Einstellung auditDeny konfiguriert ist, zeigt das System keine Benachrichtigungen an oder sendet keine Ereignisse.
enforcement $options	Wenn erzwingen $type auditAllow lautet	send_event: Sendet Telemetriedaten
enforcement $options	Wenn erzwingen $type auditDeny lautet	- send_event: Sendet Telemetriedaten - show_notification: Zeigt eine Blockierungsmeldung für den Benutzer an.
$type	Der Typ des Eintrags. Der Typ bestimmt die Vorgänge, die durch die Gerätesteuerung geschützt werden können.	Bei $type den Attributen kann es sich um einen der folgenden Werte handeln: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	Eine Liste der Vorgänge, die dieser Eintrag gewährt	Weitere Informationen finden Sie im nächsten Abschnitt unter "Grundlegendes zum Zugriff auf einem Mac".

Grundlegendes zum Zugriff (Mac)

Es gibt zwei Arten von Zugriff für einen Eintrag: generisch und gerätetypspezifisch.

• Zu den generischen Zugriffsoptionen gehören generic_read, generic_writeund generic_execute.
• Gerätetypspezifischer Zugriff bietet eine präzisere Steuerung, da die gerätetypspezifischen Zugriffswerte in den generischen Zugriffstypen enthalten sind.

In der folgenden Tabelle werden der gerätetypspezifische Zugriff und die Zuordnung zu den generischen Zugriffstypen beschrieben.

Gerätetyp ($type)	Gerätetypspezifischer Zugriff	Beschreibung	Lesen	Schreiben	Ausführen
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	Herunterladen von Fotos vom bestimmten iOS-Gerät auf ein lokales Gerät	X
appleDevice	download_files_from_device	Herunterladen von Dateien vom bestimmten iOS-Gerät auf das lokale Gerät	X
appleDevice	sync_content_to_device	Synchronisieren von Inhalten vom lokalen Gerät mit einem bestimmten iOS-Gerät		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	ADB-Toolsteuerelement			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Gruppen

Gruppen Kriterien für das Filtern von Objekten nach ihren Eigenschaften definieren. Das Objekt wird der Gruppe zugewiesen, wenn seine Eigenschaften mit den für die Gruppe definierten Eigenschaften übereinstimmen.

Hinweis

Gruppen in diesem Abschnitt beziehen sich nicht auf Benutzergruppen.

Zum Beispiel:

• Zulässige USBs sind alle Geräte, die mit einem dieser Hersteller übereinstimmen.
• Verlorene USBs sind alle Geräte, die mit einer dieser Seriennummern übereinstimmen.
• Zulässige Drucker sind alle Geräte, die mit einem dieser VID/PID übereinstimmen.

Die Eigenschaften können auf vier Arten abgeglichen werden: MatchAll, MatchAny, MatchExcludeAllund MatchExcludeAny

• MatchAll: Die Eigenschaften sind eine "And"-Beziehung; Wenn der Administrator z. B. und InstancePathIDfür jeden verbundenen USB-Stick einfügtDeviceID, überprüft das System, ob der USB beide Werte erfüllt.
• MatchAny: Die Eigenschaften sind eine "Or"-Beziehung; Wenn der Administrator z. B. DeviceID und InstancePathIDfür jedes verbundene USB-Gerät eingibt, erzwingt das System, solange der USB entweder einen identischen Wert oder InstanceID einen wert DeviceID aufweist.
• MatchExcludeAll: Die Eigenschaften sind eine "And"-Beziehung, und alle Elemente, die NICHT übereinstimmen, werden abgedeckt. Wenn der Administrator z. B. für jeden angeschlossenen USB-Speicher verwendet DeviceID und InstancePathID verwendet MatchExcludeAll, wird vom System erzwungen, solange der USB nicht sowohl identisch DeviceIDInstanceID als auch wert ist.
• MatchExcludeAny: Die Eigenschaften sind eine "Or"-Beziehung, alle Elemente, die NICHT übereinstimmen, werden abgedeckt. Wenn der Administrator z. B. für jeden angeschlossenen USB-Speicher verwendet DeviceID und InstancePathID verwendet MatchExcludeAny, erzwingt das System, solange der USB nicht über einen identischen DeviceID wert oder InstanceID verfügt.

Gruppen werden auf zwei Arten verwendet: Zum Auswählen von Geräten zum Ein-/Ausschluss in Regeln und zum Filtern des Zugriffs nach erweiterten Bedingungen. In dieser Tabelle sind die Gruppentypen und deren Verwendung zusammengefasst.

Typ	Beschreibung	O/S	Ein-/Ausschlussregeln	Erweiterte Bedingungen
Gerät (Standard)	Filtern von Geräten und Druckern	Windows/Mac	X
Netzwerk	Filtern von Netzwerkbedingungen	Windows		X
VPN-Verbindung	Filtern von VPN-Bedingungen	Windows		X
File	Filtern von Dateieigenschaften	Windows		X
Druckauftrag	Filtereigenschaften der gedruckten Datei	Windows		X

Die Geräte, die sich im Bereich der Richtlinie befinden, die durch eine Liste der eingeschlossenen Gruppen und eine Liste ausgeschlossener Gruppen bestimmt wird. Eine Regel gilt, wenn sich das Gerät in allen eingeschlossenen Gruppen und keiner der ausgeschlossenen Gruppen befindet. Gruppen können aus den Eigenschaften von Geräten zusammengesetzt werden. Die folgenden Eigenschaften können verwendet werden:

Eigenschaft	Beschreibung	Windows-Geräte	Mac-Geräte	Drucker
FriendlyNameId	Der Anzeigename in Windows Geräte-Manager	J	N	J
PrimaryId	Der Typ des Geräts	v	v	v
VID_PID	Die Anbieter-ID ist der vierstellige Anbietercode, den das USB-Komitee dem Anbieter zuweist. Die Produkt-ID ist der vierstellige Produktcode, den der Hersteller dem Gerät zuweist. Wildcards werden unterstützt. Beispiel: 0751_55E0	J	N	J
PrinterConnectionId	Der Typ der Druckerverbindung: - USB: Ein Drucker, der über den USB-Anschluss eines Computers verbunden ist. - Network: Ein Netzwerkdrucker ist ein Drucker, auf den über eine Netzwerkverbindung zugegriffen werden kann, sodass er von anderen Computern verwendet werden kann, die mit dem Netzwerk verbunden sind. - Corporate: Ein Unternehmensdrucker ist eine Druckwarteschlange, die über den lokalen Windows-Druckserver freigegeben wird. - Universal: Universal Print ist eine moderne Drucklösung, mit der Organisationen ihre Druckinfrastruktur über Clouddienste von Microsoft verwalten können. Was ist Universal Print? - Universal Print | Microsoft-Dokumentation - File: "Microsoft Print to PDF" und "Microsoft XPS Document Writer" oder andere Drucker, die einen FILE:- oder PORTPROMPT-Port verwenden - Custom: Drucker, der keine Verbindung über den Microsoft-Druckanschluss herstellt - Local: Drucker nicht eines der oben genannten Typen, z. B. Drucken über RDP oder Umleiten von Druckern	N	N	J
BusId	Informationen zum Gerät (weitere Informationen finden Sie in den Abschnitten, die dieser Tabelle folgen).	J	N	N
DeviceId	Informationen zum Gerät (weitere Informationen finden Sie in den Abschnitten, die dieser Tabelle folgen).	J	N	N
HardwareId	Informationen zum Gerät (weitere Informationen finden Sie in den Abschnitten, die dieser Tabelle folgen).	J	N	N
InstancePathId	Informationen zum Gerät (weitere Informationen finden Sie in den Abschnitten, die dieser Tabelle folgen).	J	N	N
SerialNumberId	Informationen zum Gerät (weitere Informationen finden Sie in den Abschnitten, die dieser Tabelle folgen).	v	J	N
PID	Produkt-ID ist der vierstellige Produktcode, den der Hersteller dem Gerät zuweist.	v	J	N
VID	Die Anbieter-ID ist der vierstellige Anbietercode, den das USB-Komitee dem Anbieter zuweist.	v	J	N
DeviceEncryptionStateId	(Vorschau) Der BitLocker-Verschlüsselungsstatus eines Geräts. Gültige Werte sind BitlockerEncrypted oder Plain	J	N	N
APFS Encrypted	Wenn das Gerät APFS-verschlüsselt ist	N	J	N

Verwenden von Windows Geräte-Manager zum Bestimmen von Geräteeigenschaften

Für Windows-Geräte können Sie Geräte-Manager verwenden, um die Eigenschaften von Geräten zu verstehen.

1. Öffnen Sie Geräte-Manager, suchen Sie das Gerät, klicken Sie mit der rechten Maustaste auf Eigenschaften, und wählen Sie dann die Registerkarte Details aus.

2. Wählen Sie in der Liste Eigenschaft die Option Gerät instance Pfad aus.

   Der für den Gerätepfad instance angezeigte Wert ist , InstancePathIdenthält aber auch andere Eigenschaften:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   Die Eigenschaften im Geräte-Manager werden dem Gerätesteuerelement zugeordnet, wie in der folgenden Tabelle gezeigt:

   Geräte-Manager	Gerätesteuerung
   Hardware-IDs	HardwareId
   Anzeigename	FriendlyNameId
   Parent	VID_PID
   DeviceInstancePath	InstancePathId

Verwenden von Berichten und erweiterter Suche zum Ermitteln der Eigenschaften von Geräten

Geräteeigenschaften weisen bei der erweiterten Suche geringfügig unterschiedliche Bezeichnungen auf. In der folgenden Tabelle werden die Bezeichnungen im Portal dem in einer Gerätesteuerungsrichtlinie zugeordnet propertyId .

Microsoft Defender Portal-Eigenschaft	Eigenschafts-ID des Gerätesteuerelements
Medienname	FriendlyNameId
Anbieter-ID	HardwareId
DeviceId	InstancePathId
Seriennummer	SerialNumberId

Hinweis

Stellen Sie sicher, dass das ausgewählte Objekt über die richtige Medienklasse für die Richtlinie verfügt. Verwenden Sie Class Name == USBim Allgemeinen für Wechseldatenträger .

Konfigurieren von Gruppen in Intune, XML unter Windows oder JSON unter Mac

Sie können Gruppen in Intune konfigurieren, indem Sie eine XML-Datei für Windows oder eine JSON-Datei auf dem Mac verwenden. Wählen Sie die einzelnen Registerkarten aus, um weitere Details anzuzeigen.

Hinweis

Das Group Id in XML und id in JSON wird verwendet, um die Gruppe innerhalb der Gerätesteuerung zu identifizieren. Es ist kein Verweis auf eine andere, z. B. eine Benutzergruppe in Entra ID.

Intune

Wiederverwendbare Einstellungen in Intune Gerätegruppen zugeordnet. Sie können wiederverwendbare Einstellungen in Intune konfigurieren.

Es gibt zwei Arten von Gruppen: Druckergerät und Wechselmedien. In der folgenden Tabelle sind die Eigenschaften für diese Gruppen aufgeführt.

Gruppentyp	Eigenschaften
Druckergerät	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Wechselmedien	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

Der folgende XML-Codeausschnitt zeigt die Syntax für übereinstimmende Gruppen:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group> 

In der folgenden Tabelle werden Eigenschaften für Gruppen beschrieben.

Eigenschaftenname	Beschreibung	Optionen
Group Id	GUID, eine eindeutige ID, stellt die Gruppe und dar, die in der Richtlinie verwendet werden soll.	Sie können die ID über PowerShell generieren.
Type	Der Typ der Gruppe	Gerät (Standard) Die anderen Gruppentypen (File, , VPNConnectionPrintJob, Network) können für erweiterte Bedingungen verwendet werden. Der Typ für Gruppen, die mit Regeln verwendet werden, ist Device. Dies ist die Standardeinstellung.
MatchType	Der verwendete Abgleichsalgorithmus	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	Die Liste der Eigenschaften, die für die Aufnahme in die Gruppe ausgewertet werden	Siehe DescriptionIdList-Eigenschaften (Abschnitt nach dieser Tabelle)

DescriptionIdList-Eigenschaften

Die in der folgenden Tabelle beschriebenen Eigenschaften können in enthalten DescriptionIdListsein:

Eigenschaft	Beschreibung
PrimaryId	Umfasst RemovableMediaDevices, CdRomDevices, WpdDevicesund PrinterDevices.
InstancePathId	Zeichenfolge, die das Gerät im System eindeutig identifiziert, z. B USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0. . Sie entspricht dem Gerätepfad instance in Geräte-Manager unter Windows. Die Zahl am Ende (z. &0B. ) stellt den verfügbaren Slot dar und kann von Gerät zu Gerät wechseln. Um optimale Ergebnisse zu erzielen, verwenden Sie am Ende einen Wildcard.For best results, use a wildcard at the end. Beispiel: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Verwenden Sie STANDARD-USB-Bezeichner, um den Pfad von Device instance in das Geräte-ID-Format zu transformieren, wie in diesem Beispiel:USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Zeichenfolge, die das Gerät im System identifiziert, z. B USBSTOR\DiskGeneric_Flash_Disk___8.07. . Sie entspricht der Hardware-ID in Geräte-Manager in Windows. Beachten Sie, dass HardwareId nicht eindeutig ist. Verschiedene Geräte können denselben Wert verwenden.
FriendlyNameId	An das Gerät angefügte Zeichenfolge, z. B Generic Flash Disk USB Device. . Er entspricht dem Anzeigenamen in Geräte-Manager in Windows.
BusId	Beispiel: USB, SCSI
SerialNumberId	Sie finden SerialNumberId unter Device instance path in Geräte-Manager in Windows. Ist SerialNumberId z. B03003324080520232521. inUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	– Die Anbieter-ID ist der vierstellige Anbietercode, den das USB-Komitee dem Anbieter zuweist. – Produkt-ID ist der vierstellige Produktcode, den der Hersteller dem Gerät zuweist. Es unterstützt Wildcards. – Verwenden Sie STANDARD-USB-Bezeichner, um den Geräte-instance Pfad in das Format "Anbieter-ID" und "Produkt-ID" zu transformieren. Hier sind einige Beispiele: 0751_55E0: Entspricht genau diesem VID/PID-Paar. _55E0: Zuordnen beliebiger Medien mit PID=55E0 0751_: Zuordnen beliebiger Medien mit VID=0751
DeviceEncryptionStateId	Der BitLocker-Verschlüsselungsstatus – Plain oder BitlockerEncrpted

Im Folgenden finden Sie einige Beispiele für Gerätegruppendefinitionen im Repository für Gerätesteuerungsbeispiele:

• Gruppe von Geräten nach Instanzpfad-ID
• Gruppe von Geräten nach VID_PID
• Gruppe von Geräten nach primärer ID

JSON (Mac)

Der folgende JSON-Codeausschnitt zeigt die Syntax zum Definieren von Gruppen auf dem Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    } 

In der folgenden Tabelle werden Eigenschaften für Gruppen beschrieben:

Eigenschaft	Beschreibung	Optionen
$type	Die Art der Gruppe	Gerät
id	GUID, eine eindeutige ID, stellt die Gruppe dar, die in der Richtlinie verwendet werden soll.	Sie können die ID generieren, indem Sie das Cmdlet Windows PowerShell New-Guid oder den uuidgen Befehl unter macOS verwenden.
name	Anzeigename für die Gruppe.	string
query	Die Medienberichterstattung unter dieser Gruppe	Weitere Informationen finden Sie in den Tabellen mit den Abfrageeigenschaften unten.

Die Abfrage unterstützt alle und (wie alle), beliebige oder (wie alle) Typen. Dies ist die Logik, die verwendet wird, um die Eigenschaften in den -Klauseln zu kombinieren.

Die folgenden Werte werden als Klauseln unterstützt:

Klausel $type	Wert	Beschreibung
primaryId	Eine der folgenden: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	Vierstellige hexadezimale Zeichenfolge	Entspricht der Anbieter-ID eines Geräts.
productId	Vierstellige hexadezimale Zeichenfolge	Entspricht der Produkt-ID eines Geräts.
serialNumber	string	Entspricht der Seriennummer eines Geräts. Stimmt nicht überein, wenn das Gerät keine Seriennummer hat.
encryption	apfs	Übereinstimmung, wenn ein Gerät apfs-verschlüsselt ist.
groupId	UUID-Zeichenfolge	Übereinstimmung, wenn ein Gerät Mitglied einer anderen Gruppe ist. Der Wert stellt die UUID der Gruppe dar, mit der abgeglichen werden soll. Die Gruppe muss innerhalb der Richtlinie vor der -Klausel definiert werden.

Hier ist eine Beispielabfrage:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      } 

Unsere Beispielabfrage kann bearbeitet werden, um ein Verhalten zu erhalten, das dem ExcludedMatchAll und ExcludedMatchAny entspricht, indem sie den Typ "not" wie folgt verwendet:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

} 

Diese Abfrage entspricht allen Geräten, die nicht über die angegebene Seriennummer verfügen.

Erweiterte Bedingungen

Einträge können anhand von Parametern weiter eingeschränkt werden. Parameter wenden erweiterte Bedingungen an, die über das Gerät hinausgehen. Erweiterte Bedingungen ermöglichen eine differenzierte Steuerung basierend auf Netzwerk, VPN-Verbindung, Datei oder Druckauftrag, die ausgewertet werden.

Hinweis

Erweiterte Bedingungen werden nur im XML-Format unterstützt.

Netzwerkbedingungen

In der folgenden Tabelle werden netzwerkgruppeneigenschaften beschrieben:

Eigenschaft	Beschreibung
NameId	Der Name des Netzwerks. Wildcards werden unterstützt.
NetworkCategoryId	Gültige Optionen sind Public, Privateoder DomainAuthenticated.
NetworkDomainId	Gültige Optionen sind NonDomain, Domain, DomainAuthenticated.

Diese Eigenschaften werden der DescriptorIdList einer Gruppe vom Typ Network hinzugefügt. Hier ist ein Beispielausschnitt:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Auf die Gruppe wird dann als Parameter im Eintrag verwiesen, wie im folgenden Codeausschnitt veranschaulicht:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN-Verbindungsbedingungen

In der folgenden Tabelle werden vpn-Verbindungsbedingungen beschrieben:

Name	Beschreibung
NameId	Der Name der VPN-Verbindung. Wildcards werden unterstützt.
VPNConnectionStatusId	Gültige Werte sind Connected oder Disconnected.
VPNServerAddressId	Der Zeichenfolgenwert von VPNServerAddress. Wildcards werden unterstützt.
VPNDnsSuffixId	Der Zeichenfolgenwert von VPNDnsSuffix. Wildcards werden unterstützt.

Diese Eigenschaften werden der DescriptorIdList einer Gruppe vom Typ VPNConnection hinzugefügt, wie im folgenden Codeausschnitt gezeigt:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Anschließend wird auf die Gruppe als Parameter in einem Eintrag verwiesen, wie im folgenden Codeausschnitt veranschaulicht:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Auf die Gruppe wird dann als Parameter in einem Eintrag verwiesen, wie im folgenden Codeausschnitt veranschaulicht:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Druckauftragsbedingungen

In der folgenden Tabelle werden Gruppeneigenschaften PrintJob beschrieben:

Name	Beschreibung
PrintOutputFileNameId	Der Pfad der Ausgabezieldatei für das Drucken in einer Datei. Wildcards werden unterstützt. Beispiel: C:\*\Test.pdf
PrintDocumentNameId	Der Quelldateipfad. Wildcards werden unterstützt. Dieser Pfad ist möglicherweise nicht vorhanden. Fügen Sie beispielsweise einer neuen Datei im Editor Text hinzu, und drucken Sie dann, ohne die Datei zu speichern.

Diese Eigenschaften werden einer DescriptorIdList Gruppe vom Typ PrintJobhinzugefügt, wie im folgenden Codeausschnitt veranschaulicht:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Auf die Gruppe wird dann als Parameter in einem Eintrag verwiesen, wie im folgenden Codeausschnitt veranschaulicht:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Nächste Schritte

• Anzeigen von Gerätesteuerungsereignissen und -informationen in Microsoft Defender for Endpoint
• Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mit Microsoft Intune
• Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mithilfe von Gruppenrichtlinie
• Gerätesteuerung für macOS