Laitteen hallintakäytännöt Microsoft Defender for Endpointissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Tässä artikkelissa kuvataan laitteen hallintakäytännöt, säännöt, merkinnät, ryhmät ja lisäehdot. Pohjimmiltaan laitteen hallintakäytännöt määrittävät käyttöoikeuden joukolle laitteita. Laajuuteen kuuluvat laitteet määräytyvät sisällytettyjen laiteryhmien luettelon ja pois jätettyjen laiteryhmien luettelon mukaan. Käytäntöä sovelletaan, jos laite on kaikissa sisällytetyissä laiteryhmissä eikä yhdessäkään pois jätetyssä laiteryhmässä. Jos käytäntöjä ei käytetä, käytetään oletusarvoista pakotusta.
Laitteen ohjausobjekti on oletusarvoisesti poissa käytöstä, joten kaikentyyppisten laitteiden käyttö on sallittua. Lisätietoja laitteen hallinnasta on artikkelissa Laitteen ohjausobjekti Microsoft Defender for Endpointissa.
Oletustoiminnan hallinta
Kun laiteohjausobjekti on käytössä, se on oletusarvoisesti käytössä kaikissa laitetyypeissä. Oletusarvon mukaista pakottamista voidaan muuttaa myös Salli-asetukseksi Estä. Suojaustiimisi voi myös määrittää laitetyypit, joita laitteen hallinta suojaa. Seuraavassa taulukossa esitetään, miten eri asetusyhdistelmät muuttavat käyttöoikeuksien valvontapäätöstä.
Onko laitteen ohjausobjekti käytössä? | Oletustoiminta | Laitetyypit |
---|---|---|
Ei | Käyttö on sallittu | - CD- tai DVD-asemat -Tulostimet - Siirrettävät tietovälinelaitteet – kannettavat Windows-laitteet |
Kyllä | (Ei määritetty) Käyttö on sallittu |
- CD- tai DVD-asemat -Tulostimet - Siirrettävät tietovälinelaitteet – kannettavat Windows-laitteet |
Kyllä | Kieltää | - CD- tai DVD-asemat -Tulostimet - Siirrettävät tietovälinelaitteet – kannettavat Windows-laitteet |
Kyllä | Estä siirrettävät medialaitteet ja tulostimet | - Tulostimet ja siirrettävät medialaitteet (estetty) - CD-/DVD-asemat ja kannettavat Windows-laitteet (sallittu) |
Kun laitetyyppejä määritetään, Laitteen hallinta Defender for Endpointissa ohittaa pyynnöt muille laiteperheille.
Lisätietoja on seuraavissa artikkeleissa:
- Ota käyttöön ja hallitse laitteen ohjausobjektia Intunen avulla
- Ota käyttöön ja hallitse laiteohjausobjektia ryhmäkäytännön avulla
Käytännöt
Laitteiden käyttöoikeuksien tarkentamiseksi laitteen ohjausobjekti käyttää käytäntöjä. Käytäntö on joukko sääntöjä ja ryhmiä. Sääntöjen ja ryhmien määritelmät vaihtelevat hieman hallintakokemusten ja käyttöjärjestelmien välillä seuraavassa taulukossa kuvatulla tavalla.
Hallintatyökalu | Käyttöjärjestelmä | Sääntöjen ja ryhmien hallinta |
---|---|---|
Intune – Laitteen hallintakäytäntö | Windows | Laite- ja tulostinryhmiä voidaan hallita uudelleenkäytettävissä olevissa asetuksissa ja sisällyttää sääntöihin. Kaikki ominaisuudet eivät ole käytettävissä laitteen hallintakäytännössä (katso Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Intunessa) |
Intune – Mukautettu | Windows | Kukin ryhmä/sääntö tallennetaan XML-merkkijonona mukautettuun määrityskäytäntöön. OMA-URI sisältää ryhmän/säännön GUID-tunnuksen. GUID on luotava. |
Ryhmäkäytäntö | Windows | Ryhmät ja säännöt määritetään ryhmäkäytäntöobjektin erillisissä XML-asetuksissa (katso Laiteohjausobjektin käyttöönotto ja hallinta ryhmäkäytännön avulla). |
Intune | Mac | Säännöt ja käytännöt yhdistetään yhdeksi JSON-muotoon ja sisällytetään mobileconfig tiedostoon, joka otetaan käyttöön Intunen avulla |
JAMF | Mac | Säännöt ja käytännöt yhdistetään yhdeksi JSON-muotoon ja määritetään käyttämällä JAMF:tä laitteen hallintakäytäntönä (katso MacOS:n laitehallinta) |
Säännöt ja ryhmät tunnistetaan yleisen yksilöivän tunnuksen (GUID) mukaan. Jos laitteen hallintakäytännöt otetaan käyttöön muulla hallintatyökalulla kuin Intunella, GUID-tunnukset on luotava. Voit luoda GUID-tunnukset käyttämällä PowerShelliä.
Lisätietoja rakenteesta on kohdassa JSON-rakenne Macille.
Käyttäjät
Laitteen hallintakäytäntöjä voidaan käyttää käyttäjille ja/tai käyttäjäryhmille.
Huomautus
Laiteohjausobjektiin liittyvissä artikkeleissa käyttäjäryhmiä kutsutaan käyttäjäryhmiksi. Termiryhmät viittaavat ryhmiin, jotka on määritetty laitteen ohjausobjektikäytännössä.
Intunen avulla laitteiden hallintakäytännöt voidaan kohdistaa Joko Macissa ja Windowsissa Entra Id:ssä määritetyille käyttäjäryhmille.
Windowsissa käyttäjä tai käyttäjäryhmä voi olla käytännön merkinnän ehto.
Käyttäjä- tai käyttäjäryhmiä käyttävät merkinnät voivat viitata objekteihin joko Entra-tunnuksesta tai paikallisesta Active Directorysta.
Laitteen hallinnan käytön parhaat käytännöt käyttäjien ja käyttäjäryhmien kanssa
Jos haluat luoda säännön yksittäiselle käyttäjälle Windowsissa, luo sääntöön merkintä, joka
Sid
sisältää ehdon jokaiselle käyttäjälleJos haluat luoda säännön käyttäjäryhmälle Windowsissa ja Intunessa, luo merkintä , jossa on
Sid
ehto kullekin käyttäjäryhmälle [säännöstä] ja kohdista käytäntö Intunen tietokoneryhmään tai luo sääntö ilman ehtoja ja kohdista käytäntö Intunella käyttäjäryhmään.Käytä Macissa Intunea ja kohdista käytäntö entra-tunnuksen käyttäjäryhmälle.
Varoitus
Älä käytä sekä käyttäjä-/käyttäjäryhmäehtoja säännöissä että käyttäjäryhmälle, joiden kohteena on Intune.
Huomautus
Jos verkkoyhteys on ongelma, käytä Intune-käyttäjäryhmälle kohdentamista tai paikallista Active Directory -ryhmää. Käyttäjä-/käyttäjäryhmäehtoja, jotka viittaavat Entra-tunnukseen, tulee käyttää vain ympäristöissä, joissa on luotettava yhteys Entra-tunnukseen.
Säännöt
Sääntö määrittää sisällytettyjen ryhmien luettelon ja pois jätettyjen ryhmien luettelon. Jotta sääntöä voidaan soveltaa, laitteen on oltava kaikissa sisällytetyissä ryhmissä eikä missään pois jätetyissä ryhmissä. Jos laite vastaa sääntöä, kyseisen säännön merkinnät arvioidaan. Merkintä määrittää käytetyt toiminto- ja ilmoitusasetukset, jos pyyntö vastaa ehtoja. Jos sääntöjä ei käytetä tai kirjaukset eivät vastaa pyyntöä, käytetään oletusarvoista pakottamista.
Jos haluat esimerkiksi sallia kirjoitusoikeuden joillekin USB-laitteille ja lukuoikeuden kaikille muille USB-laitteille, käytä seuraavia käytäntöjä, ryhmiä ja merkintöjä, joiden oletusarvoinen pakotus on asetettu kieltämään.
Ryhmä | Kuvaus |
---|---|
Kaikki siirrettävät tallennuslaitteet | Siirrettävät tallennuslaitteet |
Kirjoitettavat USB-objektit | Niiden USB:iden luettelo, joissa kirjoitusoikeudet ovat sallittuja |
Sääntö | Sisällytetyt laiteryhmät | Pois jätetyt laiteryhmät | Merkintä |
---|---|---|---|
Vain luku -oikeudet yhdysvaltain keskuspankeille | Kaikki siirrettävät tallennuslaitteet | Kirjoitettavat USB-objektit | Vain luku -oikeudet |
Usb-objektien kirjoitusoikeudet | Kirjoitettavat USB-objektit | Kirjoitusoikeus |
Säännön nimi näkyy portaalissa raportointia varten ja ilmoitusruutuilmoituksessa käyttäjille, joten muista antaa säännöille kuvaavia nimiä.
Voit määrittää sääntöjä muokkaamalla käytäntöjä Intunessa, käyttämällä XML-tiedostoa Windowsissa tai käyttämällä JSON-tiedostoa Macissa. Saat lisätietoja valitsemalla kunkin välilehden.
Seuraavassa kuvassa esitetään Laitteen hallintakäytännön määritysasetukset Intunessa:
Näyttökuvassa Sisällytetyt tunnukset ja Pois jätetty tunnus ovat viittauksia sisällytettyihin ja pois jätettyihin uudelleenkäytettäviin asetusryhmiin. Käytännöllä voi olla useita sääntöjä.
Intune ei kunnioita sääntöjen järjestystä. Sääntöjä voidaan arvioida missä tahansa järjestyksessä, joten varmista, että jätät nimenomaisesti pois laiteryhmät, jotka eivät kuulu säännön vaikutusalueeseen.
Merkinnät
Laitteen hallintakäytännöt määrittävät käyttöoikeuden (jota kutsutaan merkinnäksi) joukolle laitteita. Merkinnät määrittävät toiminto- ja ilmoitusasetukset laitteille, jotka vastaavat käytäntöä ja merkinnässä määritettyjä ehtoja.
Merkintäasetus | Vaihtoehtoja |
---|---|
AccessMask | Ottaa toiminnon käyttöön vain, jos käyttöoikeustoiminnot vastaavat käyttöpeitettä – Käyttöoikeuspeite on käyttöoikeusarvojen bittiviisas TAI: 1 - Laitteen luku 2 - Laitteen kirjoitus 4 - Laitteen suorittaminen 8 - Tiedoston luku 16 - Tiedoston kirjoitus 32 - Tiedosto suoritetaan 64 - Tulosta Esimerkki: Laitteen luku-, kirjoitus- ja suoritusarvo = 7 (1+2+4) Laitteen luku, levyn luku = 9 (1+8) |
Toiminta | Salli Kieltää AuditAllow AuditDeny |
Ilmoitus | Ei mitään (oletus) Tapahtuma luodaan Käyttäjä saa ilmoituksen Asiakirjatodisteet on siepattu |
Jos laitteen ohjausobjekti on määritetty ja käyttäjä yrittää käyttää laitetta, jota ei sallita, käyttäjä saa ilmoituksen, joka sisältää laitteen hallintakäytännön nimen ja laitteen nimen. Ilmoitus tulee näkyviin kerran tunnissa sen jälkeen, kun ensimmäinen käyttö on estetty.
Merkintä tukee seuraavia valinnaisia ehtoja:
- Käyttäjä/käyttäjäryhmän ehto: Toiminto koskee vain SID:n tunnistamaa käyttäjä-/käyttäjäryhmää
Huomautus
Käytä microsoft Entra -tunnukseen tallennettujen käyttäjäryhmien ja käyttäjien objektitunnusta ehdossa. Käytä suojaustunnusta (SID) käyttäjäryhmille ja käyttäjille, jotka on tallennettu paikallisesti
Huomautus
Windowsissa kirjautuneen käyttäjän SID voidaan hakea suorittamalla PowerShell-komento whoami /user
.
- Koneen ehto: Toimintoa sovelletaan vain SID:n määrittämään laitteeseen tai ryhmään
- Parametrien ehto: Käyttää toimintoa vain, jos parametrit vastaavat toisiaan (Katso lisäehdot)
Merkinnät voidaan rajata tarkemmin tiettyihin käyttäjiin ja laitteisiin. Voit esimerkiksi sallia näiden USB:iden lukuoikeuden vain tälle käyttäjälle tässä laitteessa.
Politiikan | Sisällytetyt laiteryhmät | Pois jätetyt laiteryhmät | Merkintä(ä) |
---|---|---|---|
Vain luku -oikeudet yhdysvaltain keskuspankeille | Kaikki siirrettävät tallennuslaitteet | Kirjoitettavat USB-objektit | Vain luku -oikeudet |
Usb-objektien kirjoitusoikeudet | Kirjoitettavat USB-objektit | Kirjoitusoikeus käyttäjälle 1 Kirjoitusoikeudet käyttäjälle 2 laiteryhmässä A |
Merkinnän kaikkien ehtojen on oltava tosia, jotta toiminto voidaan ottaa käyttöön.
Voit määrittää merkintöjä Intunen, Windowsin XML-tiedoston tai Macin JSON-tiedoston avulla. Saat lisätietoja valitsemalla kunkin välilehden.
Intunessa Käyttöoikeuspeite-kentässä on esimerkiksi seuraavat vaihtoehdot:
- Lue (levytason luku = 1)
- Kirjoitus (levytason kirjoitus = 2)
- Suorita (levytason suoritus = 4)
- Tulosta (Tulosta = 64).
Kaikki ominaisuudet eivät näy Intune-käyttöliittymässä. Lisätietoja on kohdassa Laitteen ohjausobjektin käyttöönotto ja hallinta Intunessa.
Ryhmät
Ryhmät määrittävät ehdot objektien suodattamiselle niiden ominaisuuksien mukaan. Objekti määritetään ryhmälle, jos sen ominaisuudet vastaavat ryhmälle määritettyjä ominaisuuksia.
Huomautus
Tämän osan ryhmät eivät viittaa käyttäjäryhmiin.
Esimerkki:
- Sallitut USB:t ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä valmistajista
- Kadonneet USB:t ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä sarjanumeroista
- Sallitut tulostimet ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä VID/PID-laitteista
Ominaisuudet voidaan sovittaa yhteen neljällä tavalla: MatchAll
, MatchAny
, MatchExcludeAll
ja MatchExcludeAny
MatchAll
: Ominaisuudet ovat And-suhde. Jos esimerkiksi järjestelmänvalvoja asettaaDeviceID
-jaInstancePathID
-parametrin jokaiselle yhdistetylle USB:lle, järjestelmä tarkistaa, vastaako USB molempia arvoja.MatchAny
: Ominaisuudet ovat Or-suhde. Jos esimerkiksi järjestelmänvalvoja asettaa DeviceID-tunnuksen jaInstancePathID
, jokaiselle yhdistetylle USB:lle, järjestelmä edellyttää, kunhan USB:llä on joko identtinenDeviceID
arvo taiInstanceID
arvo.MatchExcludeAll
: Ominaisuudet ovat "Ja"-suhde, kaikki kohteet, jotka eivät täytä, käsitellään. Jos järjestelmänvalvoja esimerkiksi asettaa jaInstancePathID
käyttääMatchExcludeAll
-parametriaDeviceID
jokaiselle yhdistetylle USB:lle, järjestelmä pakottaa sen, kunhan USB:llä ei ole sekä identtistä että samaaDeviceID
InstanceID
arvoa.MatchExcludeAny
: Ominaisuudet ovat "Tai"-suhde. Kaikki kohteet, jotka eivät täytä, käsitellään. Jos järjestelmänvalvoja esimerkiksi asettaaDeviceID
jaInstancePathID
käyttääMatchExcludeAny
kohdetta jokaiselle yhdistetylle USB:lle, järjestelmä pakottaa toiminnon, kunhan USB:llä ei ole identtistäDeviceID
arvoa taiInstanceID
arvoa.
Ryhmiä käytetään kahdella tavalla: voit valita laitteita sisällyttämiseksi tai poissulkemiseksi säännöissä ja suodattaa käyttöoikeuden kehittyneiden ehtojen mukaan. Tässä taulukossa on yhteenveto ryhmätyypeistä ja niiden käyttötavan.
Kirjoita | Kuvaus | O/S | Sisällytä tai jätä pois -säännöt | Lisäehdot |
---|---|---|---|---|
Laite (oletus) | Suodatinlaitteet ja tulostimet | Windows/Mac | X | |
Verkon | Suodata verkko-ehdot | Windows | X | |
VPN-yhteys | Suodata VPN-ehdot | Windows | X | |
Tiedosto | Suodata tiedoston ominaisuudet | Windows | X | |
Tulostustyö | Tulostettavan tiedoston ominaisuuksien suodattaminen | Windows | X |
Laitteet, jotka kuuluvat käytännön piiriin sisällytettyjen ryhmien luettelon ja pois jätettyjen ryhmien luettelon perusteella. Sääntöä sovelletaan, jos laite on kaikissa sisällytetyissä ryhmissä eikä missään pois jätetyissä ryhmissä. Ryhmät voidaan muodostaa laitteiden ominaisuuksista. Seuraavia ominaisuuksia voidaan käyttää:
Ominaisuus | Kuvaus | Windows-laitteet | Mac-laitteet | Tulostimet |
---|---|---|---|---|
FriendlyNameId |
Windows Device Managerin kutsumanimi | Y | N | Y |
PrimaryId |
Laitteen tyyppi | Y | Y | Y |
VID_PID |
Toimittajan tunnus on nelinumeroinen toimittajakoodi, jonka USB-komitea määrittää toimittajalle. Tuotetunnus on nelinumeroinen tuotekoodi, jonka toimittaja määrittää laitteelle. Yleismerkkejä tuetaan. Esimerkiksi, 0751_55E0 |
Y | N | Y |
PrinterConnectionId |
Tulostinyhteyden tyyppi: -USB -Yritysten -Verkon -Universal -Tiedosto -Mukautettu -Paikallisia |
N | N | Y |
BusId |
Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) | Y | N | N |
DeviceId |
Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) | Y | N | N |
HardwareId |
Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) | Y | N | N |
InstancePathId |
Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) | Y | N | N |
SerialNumberId |
Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) | Y | Y | N |
PID |
Tuotetunnus on nelinumeroinen tuotekoodi, jonka toimittaja määrittää laitteelle | Y | Y | N |
VID |
Toimittajan tunnus on nelinumeroinen toimittajakoodi, jonka USB-komitea määrittää toimittajalle. | Y | Y | N |
DeviceEncryptionStateId |
(Esikatselu) Laitteen BitLocker-salauksen tila. Kelvolliset arvot ovat BitlockerEncrypted tai Plain |
Y | N | N |
APFS Encrypted |
Jos laite on APFS-salattu | N | Y | N |
Laitteen ominaisuuksien määrittäminen Windows Device Managerin avulla
Windows-laitteissa voit käyttää Device Manageria laitteiden ominaisuuksien ymmärtämiseen.
Avaa Laitehallinta, etsi laite, napsauta hiiren kakkospainikkeella Ominaisuudet ja valitse tiedot-välilehti .
Valitse Ominaisuus-luettelosta Laitteen esiintymän polku.
Laitteen esiintymäpolun arvo on
InstancePathId
, mutta se sisältää myös muita ominaisuuksia:USB\VID_090C&PID_1000\FBH1111183300721
{BusId}\{DeviceId}\{SerialNumberId}
Laitehallinnan ominaisuudet yhdistävät laitteen ohjausobjektiin seuraavassa taulukossa esitetyllä tavalla:
Laitehallinta Laitehallinta Laitteistotunnukset HardwareId
Kutsumanimi FriendlyNameId
Vanhempi VID_PID
DeviceInstancePath InstancePathId
Raporttien ja kehittyneen metsästyksen käyttäminen laitteiden ominaisuuksien määrittämiseen
Laitteen ominaisuuksilla on hieman erilaiset tunnisteet kehittyneessä metsästyksessä. Alla oleva taulukko yhdistää portaalin propertyId
otsikot laitteen ohjausobjektin käytäntöön.
Microsoft Defender Portal -ominaisuus | Laitteen ohjausobjektin ominaisuustunnus |
---|---|
Median nimi | FriendlyNameId |
Toimittajan tunnus | HardwareId |
DeviceId | InstancePathId |
Sarjanumero | SerialNumberId |
Huomautus
Varmista, että valitulla objektilla on oikea medialuokka käytännölle. Yleisesti ottaen siirrettävässä tallennusvälineessä on käytössä Class Name == USB
.
Ryhmien määrittäminen Intunessa, XML:ssä Windowsissa tai JSON Macissa
Voit määrittää ryhmiä Intunessa, Windowsin XML-tiedoston tai Macin JSON-tiedoston avulla. Saat lisätietoja valitsemalla kunkin välilehden.
Huomautus
XML-koodissa Group Id
ja id
JSON-tiedostossa -toiminnolla tunnistetaan ryhmä laiteohjausobjektissa. Se ei viittaa mihinkään muuhun, kuten Entra-tunnuksen käyttäjäryhmään .
Intune-kartan uudelleenkäytettävät asetukset laiteryhmiin. Voit määrittää uudelleenkäytettävät asetukset Intunessa.
Ryhmiä on kahdenlaisia: tulostinlaite ja siirrettävä tallennustila. Seuraavassa taulukossa on luettelo näiden ryhmien ominaisuuksista.
Ryhmän tyyppi | Majoituspaikkaa |
---|---|
Tulostinlaite | - FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID |
Siirrettävä tallennustila | - BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID |
Lisäehdot
Merkintöjä voidaan edelleen rajoittaa parametrien perusteella. Parametrit soveltavat kehittyneitä ehtoja, jotka ulottuvat laitteen ulkopuolelle. Lisäehdot mahdollistavat tarkennetun hallinnan, joka perustuu verkkoon, VPN-yhteyteen, tiedostoon tai tulostustyöhön.
Huomautus
Lisäehtoja tuetaan vain XML-muodossa.
Verkon ehdot
Seuraavassa taulukossa kuvataan verkkoryhmän ominaisuudet:
Ominaisuus | Kuvaus |
---|---|
NameId |
Verkon nimi. Yleismerkkejä tuetaan. |
NetworkCategoryId |
Kelvolliset asetukset ovat Public , Private tai DomainAuthenticated . |
NetworkDomainId |
Kelvolliset asetukset ovat NonDomain , Domain , DomainAuthenticated . |
Nämä ominaisuudet lisätään Verkko-tyypin ryhmän DescriptorIdList-luetteloon. Tässä on esimerkkikatkelma:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
<DescriptorIdList>
<NetworkCategoryId>Public</PathId>
<NetworkDomainId>NonDomain</PathId>
</DescriptorIdList>
</Group>
Ryhmään viitataan merkinnässä parametreina seuraavassa katkelmassa esitetyllä tavalla:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<Network MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
</Network>
</Parameters>
</Entry>
VPN-yhteyden ehdot
Seuraavassa taulukossa kuvataan VPN-yhteyden ehdot:
Nimi | Kuvaus |
---|---|
NameId |
VPN-yhteyden nimi. Yleismerkkejä tuetaan. |
VPNConnectionStatusId |
Kelvolliset arvot ovat Connected tai Disconnected . |
VPNServerAddressId |
Merkkijonoarvo VPNServerAddress . Yleismerkkejä tuetaan. |
VPNDnsSuffixId |
Merkkijonoarvo VPNDnsSuffix . Yleismerkkejä tuetaan. |
Nämä ominaisuudet lisätään VPNConnection-ryhmän DescriptorIdList-luetteloon seuraavassa katkelmassa esitetyllä tavalla:
<Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
<Name>Corporate VPN</Name>
<MatchType>MatchAll</MatchType>
<DescriptorIdList>
<NameId>ContosoVPN</NameId>
<VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
<VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
<VPNConnectionStatusId>Connected</VPNConnectionStatusId>
</DescriptorIdList>
</Group>
Sitten ryhmään viitataan merkinnän parametreina seuraavassa katkelmassa esitetyllä tavalla:
<Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
<Type>Allow</Type>
<Options>0</Options>
<AccessMask>64</AccessMask>
<Parameters MatchType="MatchAny">
<VPNConnection>
<GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
</VPNConnection>
</Parameters>
</Entry>
Tiedoston ehdot
Seuraavassa taulukossa kuvataan tiedostoryhmän ominaisuudet:
Nimi | Kuvaus |
---|---|
PathId |
Merkkijono, tiedostopolun tai nimen arvo. Yleismerkkejä tuetaan. Käytettävissä vain tiedostotyyppiryhmille. |
Seuraavassa taulukossa kuvataan, miten ominaisuudet lisätään DescriptorIdList
tiedostoryhmään:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
<DescriptorIdList>
<PathId>*.exe</PathId>
<PathId>*.dll</PathId>
</DescriptorIdList>
</Group>
Ryhmään viitataan merkinnässä parametreina, kuten seuraavassa katkelmassa esitetään:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<File MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
</File>
</Parameters>
</Entry>
Tulosta työn ehdot
Seuraavassa taulukossa kuvataan PrintJob
ryhmän ominaisuudet:
Nimi | Kuvaus |
---|---|
PrintOutputFileNameId |
Tulostuksen kohdetiedoston polku tiedostoon tulostamista varten. Yleismerkkejä tuetaan. Esimerkiksi, C:\*\Test.pdf |
PrintDocumentNameId |
Lähdetiedoston polku. Yleismerkkejä tuetaan. Tätä polkua ei ehkä ole. Voit esimerkiksi lisätä tekstiä uuteen tiedostoon Muistiossa ja tulostaa tallentamatta tiedostoa. |
Nämä ominaisuudet lisätään DescriptorIdList
tyyppiryhmään PrintJob
seuraavassa katkelmassa esitetyllä tavalla:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
<DescriptorIdList>
<PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
<PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
</DescriptorIdList>
</Group>
Ryhmään viitataan merkinnässä parametreina, kuten seuraavassa katkelmassa esitetään:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<PrintJob MatchType="MatchAny">
<GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
</PrintJob>
</Parameters>
</Entry>
Tiedostotodisteet
Laitteen ohjausobjektin avulla voit tallentaa todisteita tiedostoista, jotka on kopioitu siirrettäviin laitteisiin tai tulostettu. Kun todistetiedosto on käytössä, RemovableStorageFileEvent
luodaan . Tiedostotodisteiden toimintaa ohjaavat Salli-toiminnon asetukset seuraavassa taulukossa kuvatulla tavalla:
Vaihtoehto | Kuvaus |
---|---|
8 |
RemovableStorageFileEvent Luo tapahtumaFileEvidenceLocation |
16 |
RemovableStorageFileEvent LuoFileEvidenceLocation |
- FileEvidenceLocation
kentässä on todistetiedoston sijainti, jos sellainen luodaan. Todistetiedoston nimen lopussa .dup
on , ja asetus hallitsee sen sijaintia DataDuplicationFolder
.
Tiedostotodisteiden tallentaminen Azure Blob -säilöön
Luo Azure Blob -säilötili ja -säilö.
Luo mukautettu rooli, jota kutsutaan
Device Control Evidence Data Provider
säilön käyttöä varten. Roolilla on oltava seuraavat oikeudet:"permissions": [ { "actions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/blobServices/containers/write", "Microsoft.Storage/storageAccounts/blobServices/read" ], "notActions": [], "dataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action", "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write" ], "notDataActions": [] } ]
Mukautettuja rooleja voidaan luoda komentorivikäyttöliittymän tai PowerShellin kautta
Vihje
Sisäisellä säilön blob-tietojen osallistujalla on poisto-oikeudet säilöön, jota ei tarvita laitteen hallintaominaisuuden todisteiden tallentamiseen. Säilön blob-tietojen lukija -roolilla ei ole tarvittavia kirjoitusoikeuksia. Siksi mukautettua roolia suositellaan.
Tärkeää
Sen varmistamiseksi, että tiedostotodisteen eheys säilyy, käytä Azure Immutable Storagea
Määritä roolille laitteen ohjausobjektin
Device Control Evidence Data Provider
käyttäjät.RemoteStorageFileEvent
Määritä Azure Blob -säilön URL-osoitteeksi.
Seuraavat vaiheet
- Näytä laitteen hallintatapahtumat ja tiedot Microsoft Defender for Endpointissa
- Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpointissa Microsoft Intunen avulla
- Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpointissa ryhmäkäytännön avulla
- Device Control for macOS
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle