Laitteen ohjausobjekti Microsoft Defender for Endpoint
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Microsoft Defender for Endpoint laitehallintaominaisuuksien avulla tietoturvatiimi voi hallita, voivatko käyttäjät asentaa ja käyttää oheislaitteita, kuten siirrettävää tallennustilaa (USB-muistitikkuja, CD-levyjä, levyjä jne.), tulostimia, Bluetooth-laitteita tai muita laitteita tietokoneidensa kanssa. Suojaustiimisi voi määrittää laitteen hallintakäytännöt määrittämään seuraavan kaltaisia sääntöjä:
- Estä käyttäjiä asentamasta ja käyttämästä tiettyjä laitteita (kuten USB-asennuksia)
- Estä käyttäjiä asentamasta ja käyttämästä ulkoisia laitteita tiettyjä poikkeuksia lukuun ottamatta
- Salli käyttäjien asentaa ja käyttää tiettyjä laitteita
- Salli käyttäjien asentaa ja käyttää vain BitLocker-salattuja laitteita Windows-tietokoneissa
Tämän luettelon tarkoituksena on antaa joitakin esimerkkejä. Se ei ole täydellinen luettelo. on otettava huomioon myös muita esimerkkejä (katso tämän artikkelin kohta Laitteen ohjausobjekti Windowsissa ).
Laitteen hallinta auttaa suojaamaan organisaatiotasi mahdollisilta tietojen menetyksiltä, haittaohjelmilta tai muilta kyberuhilta sallimalla tai estämällä tiettyjen laitteiden liittämisen käyttäjien tietokoneisiin. Laitteen hallinnan avulla suojaustiimisi voi määrittää, voivatko ja mitä oheislaitteita käyttäjät voivat asentaa ja käyttää tietokoneisiinsa.
Vihje
Tämän artikkelin kumppanina suosittelemme käyttämään Microsoft Defender for Endpoint automaattista määritysopasta, kun olet kirjautunut Microsoft 365 -hallintakeskus. Tämä opas mukauttaa käyttökokemustasi ympäristösi perusteella. Jos haluat tarkastella parhaita käytäntöjä kirjautumatta sisään ja aktivoimatta automaattisia asennusominaisuuksia, siirry Microsoft 365:n asennusoppaaseen.
Laiteohjausobjekti Windowsissa
Tässä osassa on luettelo skenaarioista, jotka koskevat laitteiden hallintaa Windowsissa.
Vihje
Jos käytät Macia, laitteen ohjausobjekti voi hallita Pääsyä Bluetoothiin, iOS-laitteisiin, kannettaviin laitteisiin, kuten kameroihin, ja siirrettäviin tietovälineisiin, kuten USB-laitteisiin. Katso MacOS:n laitehallinta.
Valitse välilehti, tarkista skenaariot ja määritä sitten luotavan laitteen hallintakäytännön tyyppi.
| Skenaario | Laitteen hallintakäytäntö |
|---|---|
| Estä tietyn USB-laitteen asentaminen | Laiteohjausobjekti Windowsissa. Katso Laitteen hallintakäytännöt. |
| Estä kaikkien USB-laitteiden asentaminen ja salli vain valtuutetun USB-muistitikun asennus | Laiteohjausobjekti Windowsissa. Katso Laitteen hallintakäytännöt. |
| Estä kirjoitus- ja suoritusoikeudet kaikkiin paitsi sallittuihin hyväksyttyihin USB-beihin | Laiteohjausobjekti Defender for Endpointissa. Katso Laitteen hallintakäytännöt. |
| Valvonnan kirjoitus- ja suoritusoikeudet kaikille paitsi estä tietyille estetyille USB:ille | Laiteohjausobjekti Defender for Endpointissa. Katso Laitteen hallintakäytännöt. |
| Estä tietyn tiedostotunnisteen lukeminen ja suorittaminen | Laitteen ohjausobjekti Microsoft Defender. Katso Laitteen hallintakäytännöt. |
| Estä käyttäjiä käyttämästä siirrettävää tallennusvälinettä, kun tietokone ei muodosta yhteyttä yrityksen verkkoon | Laitteen ohjausobjekti Microsoft Defender. Katso Laitteen hallintakäytännöt. |
| Estä kirjoitusoikeus siirrettäviin tietoasemiin, joita ei ole suojattu BitLockerilla | Laiteohjausobjekti Windowsissa. Katso BitLocker. |
| Estä kirjoitusoikeudet toisessa organisaatiossa määritettyihin laitteisiin | Laiteohjausobjekti Windowsissa. Katso BitLocker. |
| Estä luottamuksellisten tiedostojen kopiointi USB-muistiin | Päätepisteen DLP |
Tuetut laitteet
Laitteen ohjausobjekti tukee Bluetooth-laitteita, CD/ROM- ja DVD-laitteita, tulostimia, USB-laitteita ja muuntyyppisiä kannettavia laitteita. Ohjaimen perusteella jotkin oheislaitteet on merkitty siirrettäville Windows-laitteille. Seuraavassa taulukossa on luettelo laitteista, joita laitteen ohjausobjekti tukee arvoillaan primary_id ja medialuokkien nimillään:
| Laitetyyppi | PrimaryId Windowsissa |
primary_id macOS:ssä |
Medialuokan nimi |
|---|---|---|---|
| Bluetooth-laitteet | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROM, DVD-levyt | CdRomDevices |
CD-Roms |
|
| iOS-laitteet | appleDevice |
||
| Kannettavat laitteet (kuten kamerat) | portableDevice |
||
| Tulostimet | PrinterDevices |
Printers |
|
| USB-laitteet (siirrettävä tietoväline) | RemovableMediaDevices |
removableMedia |
USB |
| Kannettavat Windows-laitteet | WpdDevices |
Windows Portable Devices (WPD) |
Microsoft-laiteohjausobjektien ominaisuuksien luokat
Microsoftin laiteohjausominaisuudet voidaan järjestää kolmeen pääluokkaan: laiteohjausobjekti Windowsissa, laitteen ohjausobjekti Defender for Endpointissa ja Endpoint Data Loss Prevention (Endpoint DLP).
Laiteohjausobjekti Windowsissa. Windows-käyttöjärjestelmässä on laitteen sisäiset hallintaominaisuudet. Suojaustiimisi voi määrittää laitteen asennusasetukset estämään (tai sallimaan) käyttäjien asentaa tiettyjä laitteita tietokoneisiinsa. Käytäntöjä sovelletaan laitetasolla, ja ne määrittävät laitteen eri ominaisuuksien avulla, voiko käyttäjä asentaa tai käyttää laitetta. Windowsin laiteohjausobjekti toimii BitLocker- ja ADMX-mallien kanssa, ja sitä voidaan hallita käyttämällä Intune.
BitLocker ja Intune. BitLocker on Windowsin suojausominaisuus, joka tarjoaa salauksen kokonaisille volyymille. Yhdessä Intune kanssa käytäntöjä voidaan määrittää valvomaan salausta laitteissa Windowsin BitLockerin (ja FileVault for Macin) avulla. Lisätietoja on artikkelissa Päätepisteen suojauksen levyn salauskäytäntöasetukset Intune.
Hallintamallit (ADMX) ja Intune. ADMX-mallien avulla voit luoda käytäntöjä, jotka rajoittavat tai sallivat tietyntyyppisten USB-laitteiden käytön tietokoneiden kanssa. Lisätietoja on artikkelissa USB-laitteiden rajoittaminen ja tiettyjen USB-laitteiden salliminen ADMX-mallien avulla Intune.
Laiteohjausobjekti Defender for Endpointissa. Defender for Endpointin laiteohjausobjekti tarjoaa edistyneempiä ominaisuuksia, ja se on käyttöympäristöjen välinen. Voit määrittää laitteen hallinta-asetukset estämään (tai sallimaan) käyttäjille luku-, kirjoitus- tai suoritusoikeuden siirrettäviin tallennuslaitteisiin. Voit määrittää poikkeuksia ja käyttää valvontakäytäntöjä, jotka havaitsevat, mutta eivät estä käyttäjiä käyttämästä siirrettäviä tallennuslaitteitaan. Käytäntöjä käytetään laitetasolla, käyttäjätasolla tai molemmissa. Microsoft Defender laiteohjausobjektia voidaan hallita Intune.
- Laitteen ohjausobjekti Microsoft Defender ja Intune. Intune tarjoaa monipuolisen käyttökokemuksen monimutkaisten laitteiden hallintakäytäntöjen hallintaan organisaatioissa. Voit määrittää ja ottaa käyttöön laiterajoitusasetuksia esimerkiksi Defender for Endpointissa. Katso Laiterajoitusasetusten määrittäminen Microsoft Intune.
Päätepisteen tietojen menetyksen estäminen (päätepisteen DLP). Päätepisteen DLP valvoo luottamuksellisia tietoja laitteissa, jotka on otettu käyttöön Microsoft Purview -ratkaisuissa. DLP-käytännöt voivat pakottaa suojaustoimia arkaluonteisissa tiedoissa ja niiden tallennus- tai käyttöpaikkoina. Lisätietoja päätepisteen DLP:stä.
Lisätietoja näistä ominaisuuksista on laitteen hallinnan skenaarioiden osiossa (tässä artikkelissa).
Laiteohjausobjektit ja -skenaariot
Defender for Endpointin laitehallinta tarjoaa suojaustiimillesi vankan käyttöoikeusmallin, joka mahdollistaa laajan valikoiman skenaarioita (katso Laitteen hallintakäytännöt). Olemme koonneet GitHub-säilön, joka sisältää malleja ja skenaarioita, joita voit tutkia. Tutustu seuraaviin resursseihin:
- Laitteen ohjausobjektimallit README
- Laitteen ohjausobjektimallien käytön aloittaminen Windows-laitteissa
- MacOS-mallien laiteohjausobjekti
Jos et ole aiemmin käyttänyt laitteen hallintaa, katso ohjeet Laitteen ohjausobjektin vaiheittaisiin ohjeisiin.
Ennakkovaatimukset
Defender for Endpointin laiteohjausobjektia voidaan käyttää laitteissa, joissa on käytössä Windows 10 tai Windows 11, joilla on haittaohjelmien torjuntaohjelmaversio tai uudempi versio4.18.2103.3. (Tällä hetkellä palvelimia ei tueta.)
4.18.2104tai uudempaa: LisääSerialNumberId,VID_PID, filepath-pohjainen ryhmäkäytäntöobjektien tuki jaComputerSid4.18.2105tai uudempaa: Yleismerkkituen lisääminen :lle, tietyn käyttäjän yhdistelmälle tietyssä tietokoneessa, siirrettävälle SSD:lleHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId(SanDisk Extreme SSD)/USB-liitetylle SCSI:lle (UAS) -tuki4.18.2107tai uudempaa: Lisää Windows Portable Device (WPD) -tuki (mobiililaitteille, kuten tableteille); lisääAccountNamekehittyneeseen metsästykseen4.18.2205tai uudempaa: Laajenna oletusarvoinen pakotus kohtaan Tulostin. Jos asetat sen arvoksi Kiellä, se estää myös tulostimen, joten jos haluat hallita vain tallennustilaa, varmista, että luot mukautetun käytännön, joka sallii tulostimen4.18.2207tai uudempaa: Lisää tiedostotuki; Yleinen käyttötapaus voi olla: estä henkilöitä käyttämästä tietyn tiedoston lukemista, kirjoittamista tai suorittamista siirrettävässä tallennustilassa. Lisää verkko- ja VPN-yhteyden tuki; Yleinen käyttötapaus voi olla: estää käyttäjiä käyttämästä siirrettävää tallennustilaa, kun tietokone ei yhdistä yrityksen verkkoa.
Macille katso macOS:n laitehallinta.
Tällä hetkellä laiteohjausobjektia ei tueta palvelimilla.
Seuraavat vaiheet
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle