Microsoft Defender for Endpoint Laitteen ohjausobjektin laitteen asennus

Koskee seuraavia

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Huomautus

Jos haluat hallita siirrettävää tallennustilaa, katso Microsoft Defender for Endpoint Laitteen hallinta Siirrettävä tallennustila -Käyttöoikeuksien hallinta.

Microsoft Defender for Endpoint Laiteohjain-laitteen asennus mahdollistaa seuraavan tehtävän suorittamisen:

• Estä käyttäjiä asentamasta tiettyjä laitteita.
• Salli käyttäjien asentaa tiettyjä laitteita, mutta estää muita laitteita.

Huomautus

Jos haluat löytää laitteen asennuksen ja siirrettävän tallennustilan käytön valvonnan välisen eron, katso Microsoft Defender for Endpoint Laitteen ohjausobjektin siirrettävän tallennustilan suojaus.

Etuoikeus	Lupaa
Access	Laitteen asennus
Toimintotila	Salli, estä
CSP-tuki	Kyllä
Ryhmäkäytäntöobjektien tuki	Kyllä
Käyttäjäpohjainen tuki	Ei
Konepohjainen tuki	Kyllä

Valmistele päätepisteet

Ota laitteen asennus käyttöön Windows 10 Windows 11 laitteissa, Windows Server 2022.

Laitteen ominaisuudet

Laiteasennustuki tukee seuraavia laitteen ominaisuuksia:

• Laitetunnus
• Laitteistotunnus
• Yhteensopiva tunnus
• Laiteluokka
• Siirrettävän laitteen tyyppi: Jotkin laitteet voidaan luokitella siirrettäväksi laitteeksi. Laitetta pidetään siirrettävänä, kun sen laitteen ohjain, johon se on yhdistetty, ilmaisee, että laite on siirrettävä. Esimerkiksi ohjaimet ilmoittavat USB-laitteen olevan siirrettäväksi usb-keskittimeen, johon laite on yhdistetty.

Lisätietoja on kohdassa Laiteasennus Windowsissa.

Käytännöt

Salli näitä laitetunnuksia vastaavien laitteiden asentaminen

Tämän käytäntöasetuksen avulla voit määrittää luettelon Plug and Play laitteistotunnuksista ja yhteensopivista tunnuksista laitteille, joita Windows saa asentaa. Tämä käytäntöasetus on tarkoitettu käytettäväksi vain, kun Salli ja estä laitteen asennuskäytännöt kaikissa laitteen vastaavuusehdoissa -käytäntöasetus on käytössä.

Kun tämä käytäntöasetus on käytössä yhdessä Salli ja estä laitteen asennuskäytäntöjen monikerroksisen arviointijärjestyksen kanssa kaikissa laitteissa, jotka vastaavat ehtoja -käytäntöasetusta, Windows voi asentaa tai päivittää laitteen, jonka Plug and Play laitteistotunnus tai yhteensopiva tunnus näkyy luomassasi luettelossa, ellei jokin muu hierarkian saman tai korkeamman tason käytäntöasetus erityisesti estä kyseistä asennusta, esimerkiksi seuraavat käytäntöasetukset:

• Estä näitä laitetunnuksia vastaavien laitteiden asentaminen.
• Estä laitteita, jotka vastaavat mitä tahansa näistä laitteen esiintymätunnuksista.

Jos Käytä kerrostettua arviointijärjestystä Salli ja estä laitteen asennus -käytännöille kaikissa laitteissa vastaavuusehtojen käytäntöasetusta ei ole otettu käyttöön tällä käytäntöasetuksella, muut erityisesti asennuksen estävät käytäntöasetukset ovat etusijalla.

Huomautus

Estä sellaisten laitteiden asentaminen, joita ei ole kuvattu muissa käytäntöasetuksissa -käytäntöasetus on korvattu Salli ja estä laitteen asennuskäytäntöjen käyttäminen kerrostetussa järjestyksessä kaikissa laitteissa vastaavuusehtojen käytäntöasetuksella tuetuissa kohde- Windows 10 versioissa ja Windows 11. Käytä kerrostettua arviointijärjestystä Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa -ehtokäytännön asetukselle , kun se on mahdollista.

Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitteen esiintymätunnuksista

Tämän käytäntöasetuksen avulla voit määrittää luettelon laitteen Plug and Play esiintymätunnuksista laitteille, joita Windows saa asentaa. Tämä käytäntöasetus on tarkoitettu käytettäväksi vain, kun Salli ja estä laitteen asennuskäytännöt kaikissa laitteen vastaavuusehdoissa -käytäntöasetus on käytössä.

Kun tämä käytäntöasetus on käytössä yhdessä Salli ja estä laitteen asennuskäytäntöjen monikerroksisen arviointijärjestyksen kanssa kaikissa laitteissa, jotka vastaavat ehtojen käytäntöasetusta, Windows voi asentaa tai päivittää laitteen, jonka Plug and Play laitteen esiintymän tunnus näkyy luomassasi luettelossa, ellei hierarkian saman tai ylemmän tason toinen käytäntöasetus erityisesti estä asennusta, esimerkiksi seuraavat käytäntöasetukset:

• Estä näitä esiintymätunnuksia vastaavien laitteiden asentaminen

Jos Käytä kerrostettua arviointijärjestystä Salli ja estä laitteen asennus -käytännöille kaikissa laitteissa vastaavuusehtojen käytäntöasetusta ei ole otettu käyttöön tällä käytäntöasetuksella, muut erityisesti asennuksen estävät käytäntöasetukset ovat etusijalla.

Salli laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laitteen asennusluokkia

Tämän käytäntöasetuksen avulla voit määrittää luettelon laitteen asennusluokan GUID-tunnuksista ohjainkokonaisille, joita Windows saa asentaa. Tämä käytäntöasetus on tarkoitettu käytettäväksi vain, kun Salli ja estä laitteen asennuskäytännöt kaikissa laitteen vastaavuusehdoissa -käytäntöasetus on käytössä.

Kun tämä käytäntöasetus on käytössä yhdessä Salli ja estä laitteen asennuskäytäntöjen monikerroksisen arviointijärjestyksen kanssa kaikissa laitteissa, jotka vastaavat ehtojen käytäntöasetusta, Windows saa asentaa tai päivittää ohjainpaketteja, joiden laitteen asennusluokan GUID-tunnukset näkyvät luomassasi luettelossa, ellei jokin muu käytäntöasetus hierarkian samassa tai ylemmässä kerroksessa erityisesti estä kyseistä asennusta, esimerkiksi seuraavat käytäntöasetukset:

• Estä näiden laiteluokkien laitteiden asentaminen
• Estä näitä laitetunnuksia vastaavien laitteiden asentaminen
• Estä näitä esiintymätunnuksia vastaavien laitteiden asentaminen

Jos Käytä kerrostettua arviointijärjestystä Salli ja estä laitteen asennus -käytännöille kaikissa laitteissa vastaavuusehtojen käytäntöasetusta ei ole otettu käyttöön tällä käytäntöasetuksella, muut erityisesti asennuksen estävät käytäntöasetukset ovat etusijalla.

Ota kerrostettu arviointijärjestys käyttöön Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa-vastaavuusehdoissa

Tämä käytäntöasetus muuttaa arviointijärjestystä, jossa Salli- ja Estä-käytäntöasetuksia käytetään, kun tietyssä laitteessa on käytettävissä useampi kuin yksi asennuskäytäntöasetus. Ota tämä käytäntöasetus käyttöön varmistaaksesi, että päällekkäisiä laitevastaavuusehtoja sovelletaan vakiintuneen hierarkian perusteella, jossa tarkempi vastaavuusehto korvaa vähemmän tarkat vastaavuusehdot. Laitteen vastaavuusehdot määrittävien käytäntöasetusten hierarkkinen arviointijärjestys on seuraava:

Laitteen esiintymätunnukset>Laitetunnukset>Laitteen asennusluokka>Siirrettävät laitteet

Laitteen esiintymätunnukset

1. Estä laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laitteen esiintymätunnuksia.
2. Salli laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laitteen esiintymätunnuksia.

Laitetunnukset

1. Estä laitteita asentamasta näitä laitetunnuksia vastaavia ohjaimia.
2. Salli laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laitetunnuksia.

Laitteen asennusluokka

1. Estä laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laiteasennusluokkia.
2. Salli laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laitteen asennusluokkia.

Siirrettävät laitteet

Estä siirrettävien laitteiden asentaminen

Huomautus

Tämä käytäntöasetus tarjoaa tarkempia hallintatoimintoja kuin Estä laitteiden asentaminen, joita ei ole kuvattu muissa käytäntöasetusten käytäntöasetuksissa. Jos nämä ristiriitaiset käytäntöasetukset ovat käytössä samanaikaisesti, Ota käyttöön kerrostettu arviointijärjestys Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa, jotka vastaavat ehtoja - käytäntöasetus otetaan käyttöön, ja toinen käytäntöasetus ohitetaan.

Estä näitä laitetunnuksia vastaavien laitteiden asentaminen

Tämän käytäntöasetuksen avulla voit määrittää luettelon sellaisten laitteiden Plug and Play laitteistotunnuksista ja yhteensopivista tunnuksista, joita Windows ei voi asentaa. Tämä käytäntöasetus on oletusarvoisesti tärkeämpi kuin mikään muu käytäntöasetus, jonka avulla Windows voi asentaa laitteen.

Huomautus

Jos haluat ottaa käyttöön Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitteen esiintymän tunnuksista -käytäntöasetusta tämän käytäntöasetuksen korvaamiseksi soveltuvissa laitteissa, ota käyttöön Salli ja estä laitteen asennuskäytännöt -asetukselle Käytä kerrostettua arviointijärjestystä kaikissa laitteen vastaavuusehtojen käytäntöasetuksissa. Salli-käytäntö ei myöskään ole etusijalla, jos Estä siirrettävä tallennustila -asetus on valittuna Laiteohjausobjektissa.

Jos otat tämän käytäntöasetuksen käyttöön, Windows ei voi asentaa laitetta, jonka laitteistotunnus tai yhteensopiva tunnus näkyy luomassasi luettelossa. Jos otat tämän käytäntöasetuksen käyttöön etätyöpöytäpalvelimessa, käytäntöasetus vaikuttaa määritettyjen laitteiden uudelleenohjauksen etätyöpöytäasiakkaasta etätyöpöytäpalvelimeen.

Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, laitteet voidaan asentaa ja päivittää sallitulla tavalla tai estää muilla käytäntöasetuksilla.

Estä näitä esiintymätunnuksia vastaavien laitteiden asentaminen

Tämän käytäntöasetuksen avulla voit määrittää luettelon Plug and Play laitteen esiintymätunnuksista laitteille, joita Windows ei voi asentaa. Tämä käytäntöasetus on tärkeämpi kuin mikään muu käytäntöasetus, jonka avulla Windows voi asentaa laitteen.

Jos otat tämän käytäntöasetuksen käyttöön, Windows ei voi asentaa laitetta, jonka laitteen esiintymätunnus näkyy luomassasi luettelossa. Jos otat tämän käytäntöasetuksen käyttöön etätyöpöytäpalvelimessa, käytäntöasetus vaikuttaa määritettyjen laitteiden uudelleenohjauksen etätyöpöytäasiakkaasta etätyöpöytäpalvelimeen.

Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, laitteet voidaan asentaa ja päivittää sallitulla tavalla tai estää muilla käytäntöasetuksilla.

Estä laitteiden asentaminen näitä laiteasennusluokkia vastaavien ohjainten avulla

Tämän käytäntöasetuksen avulla voit määrittää luettelon laitteen asennusluokan GUID-tunnuksista ohjainkokonaisille, joita Windows ei voi asentaa. Tämä käytäntöasetus on oletusarvoisesti tärkeämpi kuin mikään muu käytäntöasetus, jonka avulla Windows voi asentaa laitteen.

Huomautus

Jos haluat ottaa käyttöön Salli sellaisten laitteiden asennuksen, jotka vastaavat mitä tahansa näistä laitetunnuksista , ja Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitteen esiintymän tunnuksista -käytäntöasetusta tämän käytäntöasetuksen korvaamiseksi soveltuvissa laitteissa, ota käyttöön Ota käyttöön kerrostettu arviointijärjestys Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa, jotka vastaavat ehtojen käytäntöasetusta.

Jos otat tämän käytäntöasetuksen käyttöön, Windows ei voi asentaa tai päivittää ohjainpaketteja, joiden laitteen asennusluokan GUID-tunnukset näkyvät luomassasi luettelossa. Jos otat tämän käytäntöasetuksen käyttöön etätyöpöytäpalvelimessa, käytäntöasetus vaikuttaa määritettyjen laitteiden uudelleenohjauksen etätyöpöytäasiakkaasta etätyöpöytäpalvelimeen.

Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, Windows voi asentaa ja päivittää laitteita muiden käytäntöasetusten sallimalla tai estämällä.

Estä siirrettävien laitteiden asentaminen

Tämän käytäntöasetuksen avulla voit estää Windowsia asentamasta siirrettäviä laitteita. Laitetta pidetään siirrettävänä, kun sen laitteen ohjain, johon se on yhdistetty, ilmaisee, että laite on siirrettävä. Esimerkiksi USB-laitteen (Universal Serial Bus) ohjaimet ilmoittavat olevan siirrettäväksi USB-keskittimeen, johon laite on yhdistetty. Tämä käytäntöasetus on oletusarvoisesti tärkeämpi kuin mikään muu käytäntöasetus, jonka avulla Windows voi asentaa laitteen.

Huomautus

Salli laitteiden asentaminen näitä laiteasennusluokkia vastaavien ohjainten avulla -asetuksen salliminen näitä laitetunnuksia vastaavien laitteiden asennuksessa ja Salli mitä tahansa näistä laitteen esiintymätunnuksista vastaavien laitteiden asennus -käytäntöasetukset tämän käytäntöasetuksen korvaamiseksi soveltuvissa laitteissa ottamalla käyttöön Salli ja estä laitteen asennuskäytännöt -asetuksen Käytä kerrostettua arviointijärjestystä kaikissa laitteissa vastaavuusehtojen käytäntöasetuksessa.

Jos otat tämän käytäntöasetuksen käyttöön, Windows ei voi asentaa siirrettäviä laitteita, eikä aiempien siirrettävien laitteiden ohjaimia voi päivittää. Jos otat tämän käytäntöasetuksen käyttöön etätyöpöytäpalvelimessa, käytäntöasetus vaikuttaa siirrettävien laitteiden uudelleenohjauksen etätyöpöytäpalvelimeen.

Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, Windows voi asentaa ja päivittää siirrettävien laitteiden ohjainpaketteja muiden käytäntöasetusten sallimalla tai estämällä.

Yleiset siirrettävän tallennusvälineen Käyttöoikeuksien hallinta skenaariot

Jotta voit tutustua Microsoft Defender for Endpoint siirrettävän tallennusvälineen Käyttöoikeuksien hallinta, olemme koonneet yleisiä skenaarioita, joita voit seurata.

Skenaario 1: Estä kaikkien USB-laitteiden asentaminen ja salli vain valtuutetun USB-muistitikun asennus

Tässä skenaariossa käytetään seuraavia käytäntöjä:

• Estä laitteiden asentaminen ohjaimilla, jotka vastaavat näitä laiteasennusluokkia.
• Käytä kerrostettua arviointijärjestystä Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa -ehdot täyttävissä järjestyksessä.
• Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitteen esiintymätunnuksista tai Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitetunnuksista.

Käytännön käyttöönotto ja hallinta Intune kautta

Laitteen asennus -ominaisuuden avulla voit käyttää käytäntöä Intune kautta laitteeseen.

Käyttöoikeudet

Ennen kuin aloitat Laitteen asennuksen, varmista Microsoft 365 -tilauksesi. Jotta voit käyttää laitteen asennusta, sinulla on oltava Microsoft 365 E3.

Lupaa

Jos kyseessä on käytännön käyttöönotto Intune,tilillä on oltava oikeudet luoda, muokata, päivittää tai poistaa laitteen määritysprofiileja. Voit luoda mukautettuja rooleja tai käyttää mitä tahansa sisäisiä rooleja seuraavilla käyttöoikeuksilla:

• Käytännön ja profiilin valvojan rooli
• Tai mukautettu rooli, jolla on laitemääritysprofiilien luonti-, muokkaus-, päivitys-, luku-, poisto- ja tarkasteluoikeudet
• Tai yleinen järjestelmänvalvoja

Otetaan käyttöön käytäntöä

Microsoft Intune hallintakeskuksessahttps://endpoint.microsoft.com/

1. Määritä Estä laitteiden asennus käyttämällä näitä laiteasennusluokkia vastaavia ohjaimia.

   Avaa päätepisteen suojaus>Hyökkäysalueen pienentäminen>Luo käytäntöympäristö>: Windows 10 (ja uudempi) & Profiili: Laitteen ohjausobjekti.

   

2. Liitä USB,laite, niin näyttöön tulee seuraava virhesanoma:

   

3. Ota käyttöön Ota käyttöön kerrostettu arviointijärjestys Salli ja estä laitteen asennuskäytännöt kaikissa laitteissa vastaavuusehtojen osalta.

   Tue vain OMA-URI-tunnusta toistaiseksi: Laitteiden>määritysprofiilit>Luo profiiliympäristö>: Windows 10 (ja uudempi) & profiili: Mukautettu

   

4. Ota käyttöön ja lisää sallittu USB-esiintymätunnus – Salli sellaisten laitteiden asentaminen, jotka vastaavat mitä tahansa näistä laitetunnuksista.

   Päivitä Laiteohjausobjekti-profiili vaiheesta 1.

   

   Lisäsimme PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB edellisessä kuvassa esitetyllä tavalla, koska yksittäisen USB-muistitikun käyttöön ottaminen ei riitä vain yksittäisen laitteistotunnuksen käyttöönottoon. Sinun on varmistettava, että myös kaikki kohdetta 1 edeltävät USB-laitteet eivät ole estettyjä (sallittuja). Voit avata Laitehallinta ja muuttaa näkymän laitteiksi yhteyksien avulla nähdäksesi, miten laitteet on asennettu PnP-puuhun. Tässä tapauksessa seuraavien laitteiden on oltava sallittuja, jotta myös kohde-USB-muistitikku voidaan sallia:

   • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> PCI\CC_0C03
   • "USB-pääkeskus (USB 3.0)" -> USB\ROOT_HUB30
   • "Yleinen USB-keskitin" -> USB\USB20_HUB

   

   Huomautus

   Joissakin järjestelmän laitteissa on useita yhteyskerroksia, joiden avulla ne voivat määrittää asennuksen järjestelmään. USB-muistitikkuja ovat tällaiset laitteet. Kun haluat joko estää tai sallia ne järjestelmässä, on tärkeää ymmärtää kunkin laitteen yhteyspolku. On olemassa useita yleisiä laitetunnuksia, joita käytetään yleisesti järjestelmissä ja jotka voivat antaa hyvän alun "Salli luettelo" -luettelon luonnille tällaisissa tapauksissa. Seuraava esimerkki on yksi esimerkki (se ei ole aina sama kaikille USB:ille; sinun on ymmärrettävä sen laitteen PnP-puu, jota haluat hallita Laitehallinta kautta):

   PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

   Erityisesti työpöytäkoneissa on tärkeää luetella yllä olevassa luettelossa kaikki USB-laitteet, joiden kautta näppäimistöt ja hiiret on yhdistetty. Jos näin ei tehdä, käyttäjä ei voi käyttää konettaan HID-laitteiden kautta.

   Eri TIETOKONEvalmistajilla on joskus eri tapoja sijoittaa USB-laitteita PnP-puuhun, mutta yleensä näin se tehdään.

5. Kytke sallittu USB-liitin uudelleen. Näet, että se on nyt sallittu ja käytettävissä.

   

Käytännön käyttöönotto ja hallinta ryhmäkäytäntö kautta

Laitteen asennus -ominaisuuden avulla voit ottaa käytännön käyttöön ryhmäkäytäntö kautta.

Otetaan käyttöön käytäntöä

Katso Laitteen asennuksen hallinta ryhmäkäytäntö (Windows 10) – Windows-asiakasohjelma.

Näytä laitteen ohjausobjektin siirrettävän tallennusvälineen Käyttöoikeuksien hallinta tiedot Microsoft Defender for Endpoint

Microsoft 365 Defender portaali näyttää siirrettävän tallennusvälineen, jonka laitteen hallintalaitteen asennus on estänyt.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Usein kysytyt kysymykset

Ohjevalikko vahvistaa, että laite saa käyttöönotetun käytännön?

Voit hakea haittaohjelmien torjunta-asiakasversion Microsoft 365 Defender portaalista seuraavan kyselyn avulla (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Miksi Salli käytäntö ei toimi?

Yhden USB-muistitikun käyttöön ottaminen ei riitä vain yksittäisen laitteistotunnuksen käyttöönottoon. Varmista, että kaikkia kohdetta 1 edeltäviä USB-laitteita ei ole estetty (sallittu).