Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mit Microsoft Intune

  • Artikel

Gilt für:

Wenn Sie Intune verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit Gerätesteuerungsfunktionen bereitstellen und verwalten. Verschiedene Aspekte der Gerätesteuerung werden in Intune unterschiedlich verwaltet, wie in den folgenden Abschnitten beschrieben.

Konfigurieren und Verwalten der Gerätesteuerung in Intune

  1. Wechseln Sie zum Intune Admin Center, und melden Sie sich an.

  2. Wechseln Sie zu Endpunktsicherheit>Verringerung der Angriffsfläche.

  3. Wählen Sie unter Richtlinien zur Verringerung der Angriffsfläche entweder eine vorhandene Richtlinie aus, oder wählen Sie + Create Richtlinie aus, um eine neue Richtlinie einzurichten, indem Sie die folgenden Einstellungen verwenden:

    • Wählen Sie in der Liste PlattformWindows 10, Windows 11 und Windows Server aus. (Die Gerätesteuerung wird unter Windows Server derzeit nicht unterstützt, obwohl Sie dieses Profil für Gerätesteuerungsrichtlinien auswählen.)
    • Wählen Sie in der Liste Profildie Option Gerätesteuerung aus.

  4. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für Ihre Richtlinie an.

  5. Auf der Registerkarte Konfigurationseinstellungen wird eine Liste der Einstellungen angezeigt. Sie müssen nicht alle diese Einstellungen gleichzeitig konfigurieren. Erwägen Sie, mit der Gerätesteuerung zu beginnen.

    Screenshot: Intune Benutzeroberfläche für Gerätesteuerungsrichtlinien.

  6. Nachdem Sie Ihre Einstellungen konfiguriert haben, fahren Sie mit der Registerkarte Bereichstags fort, auf der Sie Bereichstags für die Richtlinie angeben können.

  7. Geben Sie auf der Registerkarte Zuweisungen Gruppen von Benutzern oder Geräten an, die Ihre Richtlinie erhalten sollen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien in Intune.

  8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen, und nehmen Sie alle erforderlichen Änderungen vor.

  9. Wenn Sie bereit sind, wählen Sie Create aus, um Ihre Gerätesteuerungsrichtlinie zu erstellen.

Gerätesteuerungsprofile

In Intune stellt jede Zeile eine Gerätesteuerungsrichtlinie dar. Die enthaltene ID ist die wiederverwendbare Einstellung, für die die Richtlinie gilt. Die ausgeschlossene ID ist die wiederverwendbare Einstellung, die von der Richtlinie ausgeschlossen wird. Der Eintrag für die Richtlinie enthält die zulässigen Berechtigungen und das Verhalten für die Gerätesteuerung, das in Kraft tritt, wenn die Richtlinie angewendet wird.

Der Screenshot zeigt die Seite, auf der Sie die Einstellungen für die Gerätesteuerungsfunktion konfigurieren können.

Informationen zum Hinzufügen der wiederverwendbaren Einstellungsgruppen, die in der Zeile jeder Gerätesteuerungsrichtlinie enthalten sind, finden Sie im Abschnitt Hinzufügen wiederverwendbarer Gruppen zu einem Gerätesteuerungsprofil unter Verwenden wiederverwendbarer Einstellungsgruppen mit Intune Richtlinien.

Richtlinien können mithilfe der + Symbole und hinzugefügt und entfernt werden. Der Name der Richtlinie wird in der Warnung für Benutzer sowie in erweiterten Huntings und Berichten angezeigt.

Sie können Überwachungsrichtlinien und Richtlinien zum Zulassen/Verweigern hinzufügen. Es wird empfohlen, beim Hinzufügen einer Überwachungsrichtlinie immer eine Richtlinie zulassen und/oder verweigern hinzuzufügen, damit keine unerwarteten Ergebnisse auftreten.

Wichtig

Wenn Sie nur Überwachungsrichtlinien konfigurieren, werden die Berechtigungen von der Standardeinstellung für die Erzwingung geerbt.

Hinweis

  • Die Reihenfolge, in der die Richtlinien auf der Benutzeroberfläche aufgeführt sind, wird für die Richtlinienerzwingung nicht beibehalten. Die bewährte Methode besteht darin, Richtlinien zum Zulassen/Verweigern zu verwenden. Stellen Sie sicher, dass sich die Option Richtlinien zulassen/verweigern nicht überschneiden, indem Sie explizit auszuschließende Geräte hinzufügen. Mithilfe der grafischen Benutzeroberfläche von Intune können Sie die Standarderzwingung nicht ändern. Wenn Sie die Standarderzwingung in Verweigern ändern, führt jede Zulassungsrichtlinie zu Blockierungsaktionen.

Definieren von Einstellungen mit OMA-URI

Identifizieren Sie in der folgenden Tabelle die Einstellung, die Sie konfigurieren möchten, und verwenden Sie dann die Informationen im OMA-URI und datentyp & Wertespalten. Die Einstellungen werden in alphabetischer Reihenfolge aufgeführt.

Setting OMA-URI, Datentyp, & Werte
Standarderzwingung der Gerätesteuerung
Die Standarderzwingung legt fest, welche Entscheidungen bei Zugriffsprüfungen der Gerätesteuerung getroffen werden, wenn keine der Richtlinienregeln übereinstimmt		 ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Ganzzahl:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Gerätetypen
Gerätetypen, die durch ihre primären IDs identifiziert werden, mit aktiviertem Gerätesteuerungsschutz		 ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Schnur:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Aktivieren der Gerätesteuerung
Aktivieren oder Deaktivieren der Gerätesteuerung auf dem Gerät		 ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Ganzzahl:
- Disable = 0
– Aktivieren = 1
Beweisdaten-Remotespeicherort
Gerätesteuerung verschiebt erfasste Beweisdaten		 ./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

String
Dauer des lokalen Beweiscaches
Legt den Aufbewahrungszeitraum für Dateien im lokalen Gerätesteuerungscache in Tagen fest.		 ./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

Ganze Zahl
Beispiel: 60 (60 Tage)

Erstellen von Richtlinien mit OMA-URI

Der Screenshot zeigt die Seite, auf der Sie eine Richtlinie mit OMA-URI erstellen können.

Wenn Sie Richtlinien mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Richtlinie. Verwenden Sie als bewährte Methode das Gerätesteuerungsprofil oder das Gerätesteuerungsregelprofil, um benutzerdefinierte Richtlinien zu erstellen.

Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:

  • Geben Sie im Feld Name den Namen ein Allow Read Activity.
  • Geben Sie im Feld OMA-URI ein /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData.
  • Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.

Sie können Parameter verwenden, um Bedingungen für bestimmte Einträge festzulegen. Hier sehen Sie eine GRUPPENbeispiel-XML-Datei für Lesezugriff für jeden Wechselspeicher zulassen.

Hinweis

Kommentare mit XML-Kommentarnotation können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Erstellen von Gruppen mit OMA-URI

Screenshot: Seite, auf der Sie eine Gruppe mit OMA-URI erstellen können

Wenn Sie Gruppen mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Gruppe. Als bewährte Methode sollten Sie wiederverwendbare Einstellungen verwenden, um Gruppen zu definieren.

Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:

  • Geben Sie im Feld Name den Namen ein Any Removable Storage Group.
  • Geben Sie im Feld OMA-URI ein ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (Um Ihre GroupID abzurufen, wechseln Sie im Intune Admin Center zu Gruppen, und wählen Sie dann Objekt-ID kopieren aus.)
  • Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.

Hinweis

Kommentare mit XML-Kommentarnotation <!-- COMMENT -- > können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Konfigurieren der Zugriffssteuerung für Wechselspeicher mit OMA-URI

  1. Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.

  2. Wählen SieGeräteKonfigurationsprofile> aus. Die Seite Konfigurationsprofile wird angezeigt.

  3. Wählen Sie auf der Registerkarte Richtlinien (standardmäßig ausgewählt) die Option + Create und dann in der angezeigten Dropdownliste + Neue Richtlinie aus. Die Seite Create einem Profil wird angezeigt.

  4. Wählen Sie in der Liste Plattform in der Dropdownliste Plattformdie Option Windows 10, Windows 11 und Windows Server aus, und wählen Sie in der Dropdownliste Profiltyp die Option Vorlagen aus.

    Nachdem Sie vorlagen aus der Dropdownliste Profiltyp ausgewählt haben, wird der Bereich Vorlagenname zusammen mit einem Suchfeld (zum Durchsuchen des Profilnamens) angezeigt.

  5. Wählen Sie im Bereich Vorlagenname die Option Benutzerdefiniert und dann Create aus.

  6. Create eine Zeile für jede Einstellung, Gruppe oder Richtlinie, indem Sie die Schritte 1 bis 5 implementieren.

Anzeigen von Gerätesteuerungsgruppen (wiederverwendbare Einstellungen)

In Intune werden Gerätesteuerungsgruppen als wiederverwendbare Einstellungen angezeigt.

  1. Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.

  2. Wechseln Sie zu Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche fürEndpunktsicherheit>).

  3. Wählen Sie die Registerkarte Wiederverwendbare Einstellungen aus.

Siehe auch