Jaa


Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpointissa Microsoft Intunen avulla

Koskee seuraavia:

Jos käytät Intunea Defender for Endpoint -asetusten hallintaan, voit käyttää sitä laitteen hallintaominaisuuksien käyttöönottoon ja hallintaan. Laitteen ohjausobjektin eri ominaisuuksia hallitaan Intunessa eri tavalla seuraavissa osioissa kuvatulla tavalla.

Laitteen ohjausobjektin määrittäminen ja hallinta Intunessa

  1. Siirry Intune-hallintakeskukseen ja kirjaudu sisään.

  2. Siirry kohtaan Päätepisteen suojaus>Hyökkäysalueen pienentäminen.

  3. Valitse Hyökkäyspinnan pienentämiskäytännöt -kohdassa aiemmin luotu käytäntö tai valitse + Luo käytäntö , jos haluat määrittää uuden käytännön, käyttämällä seuraavia asetuksia:

    • Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server. (Laiteohjausobjektia ei tällä hetkellä tueta Windows Serverissä, vaikka valitset tämän profiilin laitteen hallintakäytäntöjä varten.)
    • Valitse Profiili-luettelostaLaiteohjausobjekti.
  4. Määritä Perustiedot-välilehdessä käytännöllesi nimi ja kuvaus.

  5. Näet Määritysasetukset-välilehdessä luettelon asetuksista. Sinun ei tarvitse määrittää kaikkia näitä asetuksia kerralla. Harkitse aloittamista Device Control -toiminnolla.

    Näyttökuva Intune-käyttöliittymästä laitteen hallintakäytännöille.

  6. Kun olet määrittänyt asetuksesi, siirry Käyttöaluetunnisteet-välilehteen , jossa voit määrittää käytännön käyttöaluetunnisteet .

  7. Määritä Määritykset-välilehdessä niiden käyttäjien tai laitteiden ryhmät, joille käytäntösi lähetetään. Lisätietoja on artikkelissa Käytäntöjen määrittäminen Intunessa.

  8. Tarkista asetukset Tarkista + luo -välilehdessä ja tee tarvittavat muutokset.

  9. Kun olet valmis, luo laitteen hallintakäytäntö valitsemalla Luo .

Laitteen ohjausobjektiprofiilit

Intunessa kukin rivi edustaa laitteen ohjausobjektikäytäntöä. Sisällytetty tunnus on uudelleenkäytettävä asetus, jota käytäntö koskee. Pois jätetty tunnus on uudelleenkäytettävä asetus, joka on jätetty pois käytännöstä. Käytännön merkintä sisältää sallitut käyttöoikeudet ja laitteen ohjausobjektin toiminnan, joka tulee voimaan, kun käytäntöä sovelletaan.

Näyttökuva, joka näyttää sivun, jolla voit määrittää Laiteohjausobjekti-ominaisuuden asetukset.

Lisätietoja kunkin laitteen ohjausobjektin riviin sisältyvien uudelleenkäytettävien asetusryhmien lisäämisestä on kohdassa Uudelleenkäytettävien ryhmien lisääminen laitteen ohjausobjektin profiiliin kohdassa Uudelleenkäytettävien asetusryhmien käyttäminen Intune-käytäntöjen kanssa.

Käytäntöjä voidaan lisätä ja poistaa käyttämällä ja + -kuvakkeita. Käytännön nimi näkyy käyttäjille varoituksessa sekä kehittyneessä metsästyksessä ja raporteissa.

Voit lisätä valvontakäytäntöjä ja lisätä Salli/Estä-käytäntöjä. On suositeltavaa lisätä aina Salli ja/tai Kiellä -käytäntö valvontakäytäntöä lisättäessä, jotta et saa odottamattomia tuloksia.

Tärkeää

Jos määrität vain valvontakäytäntöjä, käyttöoikeudet periytyvät oletusarvon mukaisesta pakotusasetuksesta.

Huomautus

  • Järjestys, jossa käytännöt luetellaan käyttöliittymässä, ei säilytetä käytännön täytäntöönpanoa varten. Paras käytäntö on käyttää Salli/Estä-käytäntöjä. Varmista, että Salli/ Estä käytännöt -asetus ei leikkaa toisiinsa lisäämällä laitteita eksplisiittisesti suljettamatta. Kun käytät Intunen graafista käyttöliittymää, et voi muuttaa oletusarvoista pakottamista. Jos muutat oletusarvon mukaiseksi pakotukseksi Kiellä, mikä tahansa salli käytäntö johtaa estystoimintoihin.

Asetusten määrittäminen OMA-URI:n avulla

Tärkeää

Intunen OMA-URI:n käyttäminen laitteen ohjausobjektin määrittämiseen edellyttää, että Intune hallitsee Laitteen määritys - kuormitusta, jos laitetta hallitaan yhdessä Configuration Managerin kanssa. Lisätietoja on artikkelissa Configuration Manager -kuormitusten vaihtaminen Intuneen.

Määritä seuraavassa taulukossa asetus, jonka haluat määrittää, ja käytä sitten OMA-URI-tunnuksen tietoja ja tietotyyppiä & arvosarakkeita. Asetukset on lueteltu aakkosjärjestyksessä.

Asetus OMA-URI, tietotyyppi, & arvot
Laitteen hallinnan oletusvalvonta
Oletusarvoinen pakottaminen määrittää, mitä päätöksiä tehdään laitteen valvonnan käyttöoikeustarkistusten aikana, kun mikään käytäntösäännöistä ei vastaa
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Kokonaisluku:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Laitetyypit
Laitetyypit, jotka tunnistetaan niiden ensisijaisten tunnuksien perusteella, laitteen ohjausobjektin suojaus käytössä
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Merkkijono:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Ota laitteen ohjausobjekti käyttöön
Laitteen ohjausobjektin ottaminen käyttöön tai poistaminen käytöstä laitteessa
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Kokonaisluku:
- Poista käytöstä = 0
- Ota käyttöön = 1

Käytäntöjen luominen OMA-URI:n avulla

Näyttökuva, joka näyttää sivun, jolla voit luoda käytännön OMA-URI:n avulla.

Kun luot oma-URI-käytäntöjä Intunessa, luo yksi XML-tiedosto kullekin käytännölle. Parhaana käytäntönä voit luoda mukautettuja käytäntöjä laitteen hallintaprofiilin tai laiteohjaussääntöjen profiilin avulla.

Määritä Lisää rivi -ruudussa seuraavat asetukset:

  • Kirjoita Nimi-kenttäänAllow Read Activity.
  • Kirjoita OMA-URI-kenttään/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData.
  • Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.

Parametrien avulla voit määrittää ehtoja tietyille merkinnöille. Tässä on ryhmäesimerkki XML-tiedosto Salli lukuoikeus jokaiselle siirrettävälle tallennusvälineelle.

Huomautus

XML-kommenttimerkintää käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.

Ryhmien luominen OMA-URI:n avulla

Näyttökuva, joka näyttää sivun, jolla voit luoda ryhmän OMA-URI:n avulla.

Kun luot ryhmiä OMA-URI:n avulla Intunessa, luo yksi XML-tiedosto kullekin ryhmälle. Paras käytäntö on määrittää ryhmät uudelleenkäytettävissä olevien asetusten avulla.

Määritä Lisää rivi -ruudussa seuraavat asetukset:

  • Kirjoita Nimi-kenttäänAny Removable Storage Group.
  • Kirjoita OMA-URI-kenttään./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (Jos haluat saada GroupID:n, siirry Intunen hallintakeskuksessa kohtaan Ryhmät ja valitse sitten Kopioi objektitunnus.)
  • Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.

Huomautus

XML-kommenttimerkintää <!-- COMMENT -- > käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.

Siirrettävän tallennustilan käytön valvonnan määrittäminen OMA-URI:n avulla

  1. Siirry Microsoft Intune -hallintakeskukseen ja kirjaudu sisään.

  2. Valitse Laitteiden>määritysprofiilit. Näkyviin tulee Määritysprofiilit-sivu.

  3. Valitse Käytännöt-välilehdeltä (oletusarvoisesti valittuna) + Luo ja valitse + Uusi käytäntö avautuvasta avattavasta valikosta. Näyttöön avautuu Luo profiili -sivu.

  4. Valitse käyttöympäristöluettelonavattavasta luettelosta Windows 10, Windows 11 ja Windows Server ja valitse avattavasta Profiilityyppi-luettelostaMallit.

    Kun valitset Mallit avattavasta Profiilityyppi-luettelosta , näkyviin tulee Mallin nimi -ruutu sekä hakuruutu (hae profiilin nimeä).

  5. Valitse Mallin nimi -ruudusta Mukautettu ja valitse Luo.

  6. Luo rivi kullekin asetukselle, ryhmälle tai käytännölle suorittamalla vaiheet 1–5.

Näytä laitteen ohjausryhmät (uudelleenkäytettävät asetukset)

Intunessa laitteen ohjausryhmät näkyvät uudelleenkäytettävissä olevissa asetuksissa.

  1. Siirry Microsoft Intune -hallintakeskukseen ja kirjaudu sisään.

  2. Siirry kohtaan Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen.

  3. Valitse Uudelleenkäytettävät asetukset - välilehti.

Tutustu myös seuraaviin ohjeartikkeleihin: