Stratégies de contrôle d’appareil dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Cet article décrit les stratégies de contrôle d’appareil, les règles, les entrées, les groupes et les conditions avancées. Essentiellement, les stratégies de contrôle d’appareil définissent l’accès pour un ensemble d’appareils. Les appareils qui se trouvent dans l’étendue sont déterminés par une liste de groupes d’appareils inclus et une liste de groupes d’appareils exclus. Une stratégie s’applique si l’appareil se trouve dans tous les groupes d’appareils inclus et aucun des groupes d’appareils exclus. Si aucune stratégie ne s’applique, l’application par défaut est appliquée.

Par défaut, le contrôle d’appareil étant désactivé, l’accès à tous les types d’appareils est autorisé. Pour en savoir plus sur le contrôle d’appareil, consultez Contrôle d’appareil dans Microsoft Defender pour point de terminaison.

Contrôle du comportement par défaut

Lorsque le contrôle d’appareil est activé, il est activé par défaut pour tous les types d’appareils. L’application par défaut peut également être modifiée de Autoriser à Refuser. Votre équipe de sécurité peut également configurer les types d’appareils que le contrôle d’appareil protège. Le tableau ci-dessous montre comment différentes combinaisons de paramètres modifient la décision de contrôle d’accès.

Le contrôle d’appareil est-il activé ?	Comportement par défaut	Types d’appareil
Non	L’accès est autorisé	- Lecteurs DE CD/DVD -Imprimantes - Périphériques multimédias amovibles - Appareils portables Windows
Oui	(Non spécifié) L’accès est autorisé	- Lecteurs DE CD/DVD -Imprimantes - Périphériques multimédias amovibles - Appareils portables Windows
Oui	Refuser	- Lecteurs DE CD/DVD -Imprimantes - Périphériques multimédias amovibles - Appareils portables Windows
Oui	Refuser les imprimantes et les périphériques multimédias amovibles	- Imprimantes et périphériques multimédias amovibles (bloqués) - Lecteurs de CD/DVD et appareils portables Windows (autorisés)

Lorsque les types d’appareils sont configurés, le contrôle d’appareil dans Defender pour point de terminaison ignore les demandes adressées à d’autres familles d’appareils.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Déployer et gérer le contrôle d’appareil avec Intune
• Déployer et gérer le contrôle d’appareil avec stratégie de groupe

Politiques

Pour affiner davantage l’accès aux appareils, le contrôle d’appareil utilise des stratégies. Une stratégie est un ensemble de règles et de groupes. La façon dont les règles et les groupes sont définis varie légèrement selon les expériences de gestion et les systèmes d’exploitation, comme décrit dans le tableau suivant.

Outil de gestion	Système d’exploitation	Gestion des règles et des groupes
Intune – Stratégie de contrôle d’appareil	Windows	Les groupes d’appareils et d’imprimantes peuvent être gérés en tant que paramètres réutilisables et inclus dans les règles. Toutes les fonctionnalités ne sont pas disponibles dans la stratégie de contrôle d’appareil (consultez Déployer et gérer le contrôle d’appareil avec Microsoft Intune)
Intune – Personnalisé	Windows	Chaque groupe/règle est stocké sous la forme d’une chaîne XML dans une stratégie de configuration personnalisée. OMA-URI contient le GUID du groupe/règle. Le GUID doit être généré.
Stratégie de groupe	Windows	Les groupes et les règles sont définis dans des paramètres XML distincts dans l’objet stratégie de groupe (consultez Déployer et gérer le contrôle d’appareil avec stratégie de groupe).
Intune	Mac	Les règles et stratégies sont combinées en un seul JSON et incluses dans le fichier déployé à l’aide mobileconfig de Intune
JAMF	Mac	Les règles et stratégies sont combinées en un seul JSON et configurées à l’aide de JAMF comme stratégie de contrôle d’appareil (voir Contrôle d’appareil pour macOS)

Les règles et les groupes sont identifiés par des ID uniques globaux (GUID). Si les stratégies de contrôle d’appareil sont déployées à l’aide d’un outil de gestion autre que Intune, les GUID doivent être générés. Vous pouvez générer les GUID à l’aide de PowerShell.

Pour plus d’informations sur le schéma, consultez Schéma JSON pour Mac.

Utilisateurs

Les stratégies de contrôle d’appareil peuvent être appliquées à des utilisateurs et/ou des groupes d’utilisateurs.

Remarque

Dans les articles relatifs au contrôle d’appareil, les groupes d’utilisateurs sont appelés groupes d’utilisateurs. Le terme groupes fait référence aux groupes définis dans la stratégie de contrôle d’appareil.

À l’aide de Intune, sur Mac et Windows, les stratégies de contrôle d’appareil peuvent cibler des groupes d’utilisateurs définis dans Id Entra.

Sur Windows, un utilisateur ou un groupe d’utilisateurs peut être une condition sur une entrée dans une stratégie.

Les entrées avec des utilisateurs ou des groupes d’utilisateurs peuvent référencer des objets provenant de l’ID Entra ou d’un Active Directory local.

Bonnes pratiques pour l’utilisation du contrôle d’appareil avec des utilisateurs et des groupes d’utilisateurs

• Pour créer une règle pour un utilisateur individuel sur Windows, créez une entrée avec une Sid condition foreach user dans une règle

• Pour créer une règle pour un groupe d’utilisateurs sur Windows et Intune, créez une entrée avec une Sid condition pour chaque groupe d’utilisateurs dans une [règle] et ciblez la stratégie sur un groupe d’ordinateurs dans Intune ou créez une règle sans conditions et ciblez la stratégie avec Intune au groupe d’utilisateurs.

• Sur Mac, utilisez Intune et ciblez la stratégie sur un groupe d’utilisateurs dans Entra ID.

Avertissement

N’utilisez pas à la fois les conditions utilisateur/groupe d’utilisateurs dans les règles et le ciblage de groupe d’utilisateurs dans Intune.

Remarque

Si la connectivité réseau est un problème, utilisez Intune ciblage de groupe d’utilisateurs ou un groupe Active Directory local. Les conditions d’utilisateur/groupe d’utilisateurs qui font référence à l’ID Entra ne doivent être utilisées que dans les environnements qui disposent d’une connexion fiable à Entra ID.

Règles

Une règle définit la liste des groupes inclus et une liste de groupes exclus. Pour que la règle s’applique, l’appareil doit se trouver dans tous les groupes inclus et aucun des groupes exclus. Si l’appareil correspond à la règle, les entrées de cette règle sont évaluées. Une entrée définit les options d’action et de notification appliquées, si la requête correspond aux conditions. Si aucune règle ne s’applique ou qu’aucune entrée ne correspond à la demande, l’application par défaut est appliquée.

Par exemple, pour autoriser l’accès en écriture pour certains périphériques USB et l’accès en lecture à tous les autres périphériques USB, utilisez les stratégies, les groupes et les entrées suivants dont l’application par défaut est définie sur refuser.

Group	Description
Tous les périphériques de stockage amovibles	Périphériques de stockage amovibles
Bases de données USB accessibles en écriture	Liste des bases de données usb pour lesquelles l’accès en écriture est autorisé

Règle	Groupes d’appareils inclus	Groupes d’appareils exclus	Entrée
Accès en lecture seule pour les bases de données USB	Tous les périphériques de stockage amovibles	Bases de données USB accessibles en écriture	Accès en lecture seule
Accès en écriture pour les bases de données usb	Bases de données USB accessibles en écriture		Accès en écriture

Le nom de la règle s’affiche dans le portail pour la création de rapports et dans la notification toast aux utilisateurs. Veillez donc à donner aux règles des noms descriptifs.

Vous pouvez configurer des règles en modifiant des stratégies dans Intune, en utilisant un fichier XML dans Windows ou en utilisant un fichier JSON sur Mac. Sélectionnez chaque onglet pour plus d’informations.

Intune

L’image suivante illustre les paramètres de configuration d’une stratégie de contrôle d’appareil dans Intune :

Dans la capture d’écran, l’ID inclus et l’ID exclu sont les références aux groupes de paramètres réutilisables inclus et exclus. Une stratégie peut avoir plusieurs règles.

Intune ne respecte pas l’ordre des règles. Les règles peuvent être évaluées dans n’importe quel ordre. Veillez donc à exclure explicitement les groupes d’appareils qui ne sont pas dans l’étendue de la règle.

XML (Windows)

L’extrait de code suivant montre la syntaxe d’une règle de stratégie de contrôle d’appareil au format XML :

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

Le tableau suivant fournit davantage de contexte pour l’extrait de code XML :

Nom de la propriété	Description	Options
PolicyRule Id	GUID, un ID unique, représente la stratégie et est utilisé dans la création de rapports et la résolution des problèmes.	Vous pouvez générer l’ID via PowerShell.
Name	String, le nom de la stratégie et s’affiche sur le toast en fonction du paramètre de stratégie.
IncludedIdList	Groupes auxquels la stratégie s’applique. Si plusieurs groupes sont ajoutés, le média doit être membre de chaque groupe de la liste à inclure.	L’ID/GUID de groupe doit être utilisé à ce instance. L’exemple suivant montre l’utilisation de GroupID : <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	Groupes auxquels la stratégie ne s’applique pas. Si plusieurs groupes sont ajoutés, le média doit être membre d’un groupe dans la liste à exclure.	L’ID/GUID de groupe doit être utilisé à ce instance.
Entry	Une règle PolicyRule peut avoir plusieurs entrées ; chaque entrée avec un GUID unique indique une restriction au contrôle de l’appareil.	Pour plus d’informations, consultez le tableau des propriétés d’entrée ci-dessous.

JSON (Mac)

L’extrait de code suivant montre la syntaxe d’une règle de stratégie de contrôle d’appareil dans JSON pour macOS :

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

Le tableau suivant fournit davantage de contexte pour l’extrait de code XML :

Nom de la propriété	Description	Options
id	GUID, un ID unique, représente la règle et est utilisé dans la stratégie.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Chaîne, nom de la stratégie et s’affiche sur le toast en fonction du paramètre de stratégie.
includeGroups	Groupes auxquels la stratégie est appliquée. Si plusieurs groupes sont spécifiés, la stratégie s’applique à n’importe quel média dans tous ces groupes. Si elle n’est pas spécifiée, la règle s’applique à tous les appareils.	La valeur d’ID à l’intérieur du groupe doit être utilisée dans cette instance. Si plusieurs groupes se trouvent dans les includeGroups, il s’agit de AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Groupe auquel la stratégie ne s’applique pas.	La id valeur à l’intérieur du groupe doit être utilisée dans cette instance. Si plusieurs groupes se trouvent dans les excludeGroups, il s’agit de OR.
entries	Une règle peut avoir plusieurs entrées ; chaque entrée avec un GUID unique indique une restriction à Contrôle d’appareil.	Consultez le tableau des propriétés d’entrée plus loin dans cet article pour obtenir les détails.

Entries

Les stratégies de contrôle d’appareil définissent l’accès (appelé entrée) pour un ensemble d’appareils. Les entrées définissent les options d’action et de notification pour les appareils qui correspondent à la stratégie et aux conditions définies dans l’entrée.

Paramètre d’entrée	Options
Masque d’accès	Applique l’action uniquement si les opérations d’accès correspondent au masque d’accès : le masque d’accès est le ou des valeurs d’accès au niveau du bit : 1 - Lecture de l’appareil 2 - Écriture sur l’appareil 4 - Exécution de l’appareil 8 - Lecture du fichier 16 - Écriture de fichier 32 - Exécution de fichier 64 - Imprimer Par exemple : Lecture, écriture et exécution de l’appareil = 7 (1+2+4) Lecture de l’appareil, lecture sur disque = 9 (1+8)
Action	Autoriser Refuser AuditAllow AuditDeny
Notification	None (valeur par défaut) Un événement est généré L’utilisateur reçoit une notification La preuve du fichier est capturée

Avertissement

La version de février 2024 entraîne des résultats incohérents pour les clients de contrôle d’appareil qui utilisent des stratégies de média amovible avec un accès au niveau du disque/appareil uniquement (masques inférieurs ou égaux à 7). L’application peut ne pas fonctionner comme prévu. Pour atténuer ce problème, il est recommandé de revenir à la version précédente.

Si le contrôle d’appareil est configuré et qu’un utilisateur tente d’utiliser un appareil qui n’est pas autorisé, l’utilisateur reçoit une notification qui contient le nom de la stratégie de contrôle d’appareil et le nom de l’appareil. La notification s’affiche toutes les heures après le refus de l’accès initial.

Une entrée prend en charge les conditions facultatives suivantes :

• Condition utilisateur/groupe d’utilisateurs : applique l’action uniquement au groupe utilisateur/utilisateur identifié par le SID

Remarque

Pour les groupes d’utilisateurs et les utilisateurs stockés dans Microsoft Entra ID, utilisez l’ID d’objet dans la condition . Pour les groupes d’utilisateurs et les utilisateurs stockés localement, utilisez l’identificateur de sécurité (SID)

Remarque

Sur Windows, le SID de l’utilisateur connecté peut être récupéré en exécutant la commande whoami /userPowerShell .

• Condition de l’ordinateur : applique l’action uniquement au périphérique/groupe identifié par le SID
• Condition des paramètres : applique l’action uniquement si les paramètres correspondent (voir Conditions avancées)

Les entrées peuvent être étendues à des utilisateurs et des appareils spécifiques. Par exemple, autorisez l’accès en lecture à ces bases de données utilisateur pour cet utilisateur uniquement sur cet appareil.

Stratégie	Groupes d’appareils inclus	Groupes d’appareils exclus	Entrée(s)
Accès en lecture seule pour les bases de données USB	Tous les périphériques de stockage amovibles	Bases de données USB accessibles en écriture	Accès en lecture seule
Accès en écriture pour les bases de données usb	Bases de données USB accessibles en écriture		Accès en écriture pour l’utilisateur 1 Accès en écriture pour l’utilisateur 2 sur le groupe d’appareils A

Toutes les conditions de l’entrée doivent être vraies pour que l’action soit appliquée.

Vous pouvez configurer des entrées à l’aide de Intune, d’un fichier XML dans Windows ou d’un fichier JSON sur Mac. Sélectionnez chaque onglet pour plus d’informations.

Intune

Dans Intune, le champ Masque d’accès comporte des options telles que :

• Lecture (lecture au niveau du disque = 1)
• Écriture (écriture au niveau du disque = 2)
• Execute (Disk Level Execute = 4)
• Imprimer (Imprimer = 64).

Toutes les fonctionnalités ne sont pas affichées dans l’interface utilisateur Intune. Pour plus d’informations, consultez Déployer et gérer le contrôle d’appareil avec Intune.

XML (Windows)

L’extrait de code suivant montre la syntaxe d’une entrée de contrôle d’appareil au format XML :

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

Le tableau suivant fournit davantage de contexte pour l’extrait de code XML :

Nom de la propriété	Description	Option
Entry Id	GUID, un ID unique, représente l’entrée et est utilisé dans la création de rapports et la résolution des problèmes.	Vous pouvez générer le GUID à l’aide de PowerShell.
Type	Définit l’action pour les groupes de stockage amovibles dans IncludedIDList. - Allow - Deny - AuditAllowed: définit la notification et l’événement lorsque l’accès est autorisé - AuditDenied: définit la notification et l’événement lorsque l’accès est refusé ; fonctionne avec une Deny entrée. Lorsqu’il existe des types de conflit pour le même média, le système applique le premier de la stratégie. Un exemple de type de conflit est Allow et Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Si le type est Allow	- 0:Rien - 4: désactiver AuditAllowed et AuditDenied pour cette entrée. Si Allow se produit et que le AuditAllowed paramètre est configuré, les événements ne sont pas générés. - 8: créez une copie du fichier en tant que preuve et générez un RemovableStorageFileEvent événement. Ce paramètre doit être utilisé avec l’emplacement Définir pour une copie du paramètre de fichier dans Intune ou stratégie de groupe.
Option	Si le type est Deny	- 0:Rien - 4: désactiver AuditDenied pour cette entrée. Si Bloquer se produit et que le AuditDenied paramètre est configuré, le système n’affiche pas de notifications.
Option	Si le type est AuditAllowed	- 0:Rien - 1:Rien - 2: send event
Option	Si le type est AuditDenied	- 0:Rien - 1: afficher la notification - 2: send event - 3: afficher l’événement de notification et d’envoi
AccessMask	Définit l’accès	Consultez la section suivante Comprendre l’accès au masque
Sid	SID d’utilisateur local ou groupe SID d’utilisateur, ou le SID de l’objet Microsoft Entra ou l’ID d’objet. Il définit s’il faut appliquer cette stratégie à un utilisateur ou à un groupe d’utilisateurs spécifique. Une entrée peut avoir au maximum un SID et une entrée sans sid moyen d’appliquer la stratégie sur l’appareil.	SID
ComputerSid	SID d’ordinateur local ou groupe SID d’ordinateur, ou sid de l’objet Microsoft Entra ou de l’ID d’objet. Il définit s’il faut appliquer cette stratégie sur un appareil ou un groupe d’appareils spécifique. Une entrée peut avoir au maximum un ComputerSID et une entrée sans computerSID pour appliquer la stratégie sur l’appareil. Si vous souhaitez appliquer une entrée à un utilisateur spécifique et à un appareil spécifique, ajoutez à la fois SID et ComputerSID dans la même entrée.	SID
Parameters	Condition pour une entrée, telle que la condition réseau.	Peut ajouter des groupes (types autres que des appareils) ou même placer des paramètres dans des paramètres. Pour plus d’informations, consultez la section Conditions avancées (dans cet article).

Comprendre l’accès aux masques (Windows)

Le contrôle d’appareil applique un masque d’accès pour déterminer si la demande correspond à l’entrée. Les actions suivantes sont disponibles sur CdRomDevices, RemovableMediaDeviceset WpdDevices:

Access	Masque
Lecture au niveau du disque	1
Écriture au niveau du disque	2
Exécution au niveau du disque	4
Lecture du système de fichiers	8
Écriture du système de fichiers	16
Exécution du système de fichiers	32

Les actions suivantes sont disponibles sur PrinterDevices :

• Accès : Imprimer
• Masque : 64

Vous pouvez avoir plusieurs paramètres d’accès en effectuant une opération OR binaire. Voici un exemple :

• AccessMask pour la lecture, l’écriture et l’exécution est 7
• AccessMask pour la lecture et l’écriture est 3

JSON (Mac)

L’extrait de code suivant montre la syntaxe d’une entrée de contrôle d’appareil dans JSON pour macOS :

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

Le tableau suivant fournit davantage de contexte pour l’extrait de code JSON :

Nom de la propriété	Description	Options
id	GUID, un ID unique, représente l’entrée et est utilisé dans la création de rapports et la résolution des problèmes.	Vous pouvez générer l’ID à l’aide de PowerShell.
enforcement $type	Définit l’action pour les groupes de stockage amovibles dans includedGroups. - allow - deny - auditAllow: définit la notification et l’événement lorsque l’accès est autorisé - AuditDeny: définit la notification et l’événement lorsque l’accès est refusé ; doit fonctionner avec l’entrée Refuser. Lorsqu’il existe des types de conflit pour le même média, le système applique le premier de la stratégie. Un exemple de type de conflit est Autoriser et Refuser.	L’attribut enforcement $type peut être l’une des valeurs suivantes : - allow - deny - auditAllow - auditDeny
enforcement $options	Si l’application $type est autorisée	disable_audit_allow: Si l’option Autoriser se produit et que le paramètre auditAllow est configuré, le système n’envoie pas d’événements.
enforcement $options	Si l’application $type est refusée	disable_audit_deny: Si l’option Bloquer se produit et que le paramètre auditDeny est configuré, le système n’affiche pas de notifications ni n’envoie d’événements.
enforcement $options	Si le $type d’application est auditAllow	send_event: envoie des données de télémétrie
enforcement $options	Si le $type d’application est auditDeny	- send_event: envoie des données de télémétrie - show_notification: affiche le message de blocage à l’utilisateur
$type	Type d’entrée. Le type détermine les opérations qui peuvent être protégées par le contrôle d’appareil	Les $type attributs peuvent être l’une des valeurs suivantes : - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	Liste des opérations accordées par cette entrée	Consultez la section suivante, « Comprendre l’accès sur Mac »

Comprendre l’accès (Mac)

Il existe deux types d’accès pour une entrée : générique et type d’appareil spécifique.

• Les options d’accès génériques incluent generic_read, generic_writeet generic_execute.
• L’accès spécifique au type d’appareil fournit une précision de contrôle plus fine, car les valeurs d’accès spécifiques au type d’appareil sont incluses dans les types d’accès génériques.

Le tableau suivant décrit l’accès spécifique au type d’appareil et la façon dont ils sont mappés aux types d’accès génériques.

Type d’appareil ($type)	Accès spécifique au type d’appareil	Description	Lecture	Write	Exécuter
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	télécharger la ou les photos de l’appareil iOS spécifique vers l’appareil local	X
appleDevice	download_files_from_device	télécharger des fichiers à partir de l’appareil iOS spécifique vers l’appareil local	X
appleDevice	sync_content_to_device	synchroniser le contenu d’un appareil local vers un appareil iOS spécifique		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	Contrôle de l’outil ADB			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Groupes

Les groupes définissent des critères pour filtrer les objets en fonction de leurs propriétés. L’objet est affecté au groupe si ses propriétés correspondent aux propriétés définies pour le groupe.

Remarque

Les groupes de cette section ne font pas référence à des groupes d’utilisateurs.

Par exemple :

• Les bases de données USB autorisées sont tous les appareils qui correspondent à l’un de ces fabricants
• Les usbs perdus sont tous les appareils qui correspondent à l’un de ces numéros de série
• Les imprimantes autorisées sont tous les appareils qui correspondent à l’un de ces VID/PID

Les propriétés peuvent être mises en correspondance de quatre façons : MatchAll, MatchAny, MatchExcludeAllet MatchExcludeAny

• MatchAll: les propriétés sont une relation « Et » ; par exemple, si l’administrateur place DeviceID et InstancePathID, pour chaque usb connecté, le système vérifie si l’USB répond aux deux valeurs.
• MatchAny: les propriétés sont une relation « Ou » ; par exemple, si l’administrateur place DeviceID et InstancePathID, pour chaque usb connecté, le système s’applique tant que l’USB a une valeur ou InstanceID identiqueDeviceID.
• MatchExcludeAll: les propriétés sont une relation « Et », tous les éléments qui ne répondent PAS sont couverts. Par exemple, si l’administrateur place DeviceID et InstancePathID utilise MatchExcludeAll, pour chaque usb connecté, le système s’applique tant que l’USB n’a pas à la fois la même DeviceID valeur et InstanceID la valeur.
• MatchExcludeAny: les propriétés sont une relation « Or », tous les éléments qui ne répondent PAS sont couverts. Par exemple, si l’administrateur place DeviceID et InstancePathID utilise MatchExcludeAny, pour chaque usb connecté, le système s’applique tant que l’USB n’a pas de valeur ou InstanceID identiqueDeviceID.

Les groupes sont utilisés de deux façons : pour sélectionner des appareils à inclure/exclure dans les règles, et pour filtrer l’accès pour les conditions avancées. Ce tableau récapitule les types de groupes et leur utilisation.

Type	Description	O/S	Inclure/exclure des règles	Conditions avancées
Appareil (par défaut)	Filtrer les périphériques et les imprimantes	Windows/Mac	X
Réseau	Filtrer les conditions réseau	Windows		X
Connexion VPN	Filtrer les conditions VPN	Windows		X
Fichier	Filtrer les propriétés du fichier	Windows		X
Travail d’impression	Propriétés de filtre du fichier en cours d’impression	Windows		X

Appareils qui sont dans l’étendue de la stratégie déterminée par une liste de groupes inclus et une liste de groupes exclus. Une règle s’applique si l’appareil se trouve dans tous les groupes inclus et aucun des groupes exclus. Les groupes peuvent être composés à partir des propriétés des appareils. Les propriétés suivantes peuvent être utilisées :

Propriété	Description	Appareils Windows	Appareils Mac	Imprimantes
FriendlyNameId	Nom convivial dans Windows Gestionnaire de périphériques	v	N	v
PrimaryId	Type de l’appareil	v	v	v
VID_PID	L’ID du fournisseur est le code fournisseur à quatre chiffres que le comité USB attribue au fournisseur. ID de produit est le code de produit à quatre chiffres que le fournisseur attribue à l’appareil. Les caractères génériques sont pris en charge. Par exemple, 0751_55E0	v	N	v
PrinterConnectionId	Type de connexion d’imprimante : -USB -Entreprise -Réseau -Universel -Fichier -Personnalisé -Local	N	N	v
BusId	Informations sur l’appareil (pour plus d’informations, consultez les sections qui suivent ce tableau)	v	N	N
DeviceId	Informations sur l’appareil (pour plus d’informations, consultez les sections qui suivent ce tableau)	v	N	N
HardwareId	Informations sur l’appareil (pour plus d’informations, consultez les sections qui suivent ce tableau)	v	N	N
InstancePathId	Informations sur l’appareil (pour plus d’informations, consultez les sections qui suivent ce tableau)	v	N	N
SerialNumberId	Informations sur l’appareil (pour plus d’informations, consultez les sections qui suivent ce tableau)	v	v	N
PID	ID de produit est le code de produit à quatre chiffres que le fournisseur attribue à l’appareil	v	v	N
VID	L’ID du fournisseur est le code fournisseur à quatre chiffres que le comité USB attribue au fournisseur.	v	v	N
APFS Encrypted	Si l’appareil est chiffré par APFS	N	v	N

Utilisation de Windows Gestionnaire de périphériques pour déterminer les propriétés de l’appareil

Pour les appareils Windows, vous pouvez utiliser Gestionnaire de périphériques pour comprendre les propriétés des appareils.

1. Ouvrez Gestionnaire de périphériques, recherchez l’appareil, cliquez avec le bouton droit sur Propriétés, puis sélectionnez l’onglet Détails.

2. Dans la liste Propriété, sélectionnez Chemin d’accès instance de l’appareil.

   La valeur indiquée pour le chemin d’instance d’appareil est , InstancePathIdmais elle contient également d’autres propriétés :

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   Les propriétés du gestionnaire de périphériques sont mappées au contrôle d’appareil, comme indiqué dans le tableau suivant :

   Gestionnaire de périphériques	Contrôle d’appareil
   ID matériels	HardwareId
   Nom facile à retenir	FriendlyNameId
   Parent	VID_PID
   DeviceInstancePath	InstancePathId

Utilisation des rapports et de la chasse avancée pour déterminer les propriétés des appareils

Les propriétés de l’appareil ont des étiquettes légèrement différentes dans la chasse avancée. Le tableau ci-dessous mappe les étiquettes du portail au propertyId dans une stratégie de contrôle d’appareil.

Microsoft Defender Portal, propriété	ID de propriété de contrôle d’appareil
Nom du média	FriendlyNameId
ID du fournisseur	HardwareId
DeviceId	InstancePathId
Numéro de série	SerialNumberId

Remarque

Vérifiez que l’objet sélectionné possède la classe multimédia appropriée pour la stratégie. En général, pour le stockage amovible, utilisez Class Name == USB.

Configurer des groupes dans Intune, XML dans Windows ou JSON sur Mac

Vous pouvez configurer des groupes dans Intune, à l’aide d’un fichier XML pour Windows ou d’un fichier JSON sur Mac. Sélectionnez chaque onglet pour plus d’informations.

Remarque

Le Group Id en XML et id au format JSON est utilisé pour identifier le groupe dans le contrôle de l’appareil. Il ne s’agit pas d’une référence à un autre, tel qu’un groupe d’utilisateurs dans Entra ID.

Intune

Les paramètres réutilisables dans Intune mapper aux groupes d’appareils. Vous pouvez configurer des paramètres réutilisables dans Intune.

Il existe deux types de groupes : Périphérique d’imprimante et Stockage amovible. Le tableau suivant répertorie les propriétés de ces groupes.

Type de groupe	Propriétés
Périphérique d’imprimante	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Stockage amovible	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

L’extrait de code XML suivant montre la syntaxe des groupes correspondants :

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

Le tableau suivant décrit les propriétés des groupes.

Nom de la propriété	Description	Options
Group Id	GUID, un ID unique, représente le groupe et à utiliser dans la stratégie.	Vous pouvez générer l’ID via PowerShell.
Type	Type du groupe	Appareil (par défaut) Les autres types de groupes (File, , PrintJobVPNConnection, Network) peuvent être utilisés pour les conditions avancées. Le type pour les groupes utilisés avec des règles est Device, qui est la valeur par défaut.
MatchType	Algorithme de correspondance utilisé	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	Liste des propriétés évaluées pour inclusion dans le groupe	Consultez les propriétés DescriptionIdList (section après ce tableau)

Propriétés DescriptionIdList

Les propriétés décrites dans le tableau suivant peuvent être incluses dans :DescriptionIdList

Propriété	Description
PrimaryId	Inclut RemovableMediaDevices, CdRomDevices, WpdDeviceset PrinterDevices.
InstancePathId	Chaîne qui identifie de façon unique l’appareil dans le système, par exemple . USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0 Il correspond au chemin d’accès instance de l’appareil dans Gestionnaire de périphériques dans Windows. Le nombre à la fin (par exemple &0) représente l’emplacement disponible et peut changer d’appareil à appareil. Pour de meilleurs résultats, utilisez un caractère générique à la fin. Par exemple : USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Pour transformer le chemin d’instance d’appareil au format ID d’appareil, utilisez des identificateurs USB standard, comme dans cet exemple :USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Chaîne qui identifie l’appareil dans le système, comme USBSTOR\DiskGeneric_Flash_Disk___8.07. Il correspond à l’ID matériel dans Gestionnaire de périphériques dans Windows. Gardez à l’esprit que HardwareId n’est pas unique ; différents appareils peuvent partager la même valeur.
FriendlyNameId	Chaîne attachée à l’appareil, comme Generic Flash Disk USB Device. Il correspond au nom convivial dans Gestionnaire de périphériques dans Windows.
BusId	Par exemple, USB, SCSI
SerialNumberId	Vous trouverez SerialNumberId le chemin d’instance de l’appareil dans Gestionnaire de périphériques windows. Par exemple, 03003324080520232521 est SerialNumberId dans USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- L’ID du fournisseur est le code fournisseur à quatre chiffres que le comité USB attribue au fournisseur. - L’ID de produit est le code de produit à quatre chiffres que le fournisseur attribue à l’appareil. Il prend en charge les caractères génériques. - Pour transformer le chemin d’instance de l’appareil au format ID de fournisseur et ID de produit, utilisez les identificateurs USB standard. Voici quelques exemples : 0751_55E0: correspond à cette paire VID/PID exacte _55E0: mettre en correspondance n’importe quel média avec PID=55E0 0751_: mettre en correspondance n’importe quel média avec VID=0751

Voici quelques exemples de définitions de groupe d’appareils dans le référentiel d’exemples de contrôle d’appareil :

• Groupe d’appareils par ID de chemin d’instance
• Groupe d’appareils par VID_PID
• Groupe d’appareils par ID principal

JSON (Mac)

L’extrait de code JSON suivant montre la syntaxe de définition des groupes sur Mac :

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

Le tableau suivant décrit les propriétés des groupes :

Propriété	Description	Options
$type	Le type de groupe	device
id	GUID, un ID unique, représente le groupe à utiliser dans la stratégie.	Vous pouvez générer l’ID à l’aide de l’applet de commande Windows PowerShell New-Guid ou de la uuidgen commande sur macOS
name	Nom convivial du groupe.	string
query	La couverture médiatique sous ce groupe	Pour plus d’informations, consultez les tableaux de propriétés de requête ci-dessous.

La requête prend en charge tous les types et (identiques à tous), tout ou (identique à n’importe quel). Il s’agit de la logique utilisée pour combiner les propriétés dans les clauses.

Les valeurs suivantes sont prises en charge en tant que clauses :

Clause $type	Valeur	Description
primaryId	Au choix : - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	Chaîne hexadécimale à quatre chiffres	Correspond à l’ID de fournisseur d’un appareil
productId	Chaîne hexadécimale à quatre chiffres	Correspond à l’ID de produit d’un appareil
serialNumber	string	Correspond au numéro de série d’un appareil. Ne correspond pas si l’appareil n’a pas de numéro de série.
encryption	apfs	Correspond si un appareil est chiffré par apfs.
groupId	Chaîne UUID	Correspond si un appareil est membre d’un autre groupe. La valeur représente l’UUID du groupe à mettre en correspondance. Le groupe doit être défini dans la stratégie avant la clause .

Voici une requête d’exemple :

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

Notre exemple de requête peut être modifié pour obtenir un comportement équivalent à ExcludedMatchAll et ExcludedMatchAny en utilisant le type « not », comme suit :

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Cette requête correspond à tous les appareils qui n’ont pas le numéro de série spécifié.

Conditions avancées

Les entrées peuvent être restreintes davantage en fonction des paramètres. Les paramètres appliquent des conditions avancées qui vont au-delà de l’appareil. Les conditions avancées permettent un contrôle affiné basé sur l’évaluation du réseau, de la connexion VPN, du fichier ou du travail d’impression.

Remarque

Les conditions avancées sont uniquement prises en charge au format XML.

Conditions réseau

Le tableau suivant décrit les propriétés du groupe réseau :

Propriété	Description
NameId	Nom du réseau. Les caractères génériques sont pris en charge.
NetworkCategoryId	Les options valides sont Public, Privateou DomainAuthenticated.
NetworkDomainId	Les options valides sont NonDomain, Domain, DomainAuthenticated.

Ces propriétés sont ajoutées au DescriptorIdList d’un groupe de type Network. Voici un exemple d’extrait de code :

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Le groupe est ensuite référencé en tant que paramètres dans l’entrée, comme illustré dans l’extrait de code suivant :

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

Conditions de connexion VPN

Le tableau suivant décrit les conditions de connexion VPN :

Nom	Description
NameId	Nom de la connexion VPN. Les caractères génériques sont pris en charge.
VPNConnectionStatusId	Les valeurs valides sont Connected ou Disconnected.
VPNServerAddressId	Valeur de chaîne de VPNServerAddress. Les caractères génériques sont pris en charge.
VPNDnsSuffixId	Valeur de chaîne de VPNDnsSuffix. Les caractères génériques sont pris en charge.

Ces propriétés sont ajoutées à descriptorIdList d’un groupe de type VPNConnection, comme indiqué dans l’extrait de code suivant :

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Ensuite, le groupe est référencé en tant que paramètres dans une entrée, comme illustré dans l’extrait de code suivant :

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Conditions de fichier

Le tableau suivant décrit les propriétés du groupe de fichiers :

Nom	Description
PathId	Chaîne, valeur du chemin d’accès ou du nom du fichier. Les caractères génériques sont pris en charge. Applicable uniquement aux groupes de types de fichiers.

Le tableau suivant montre comment les propriétés sont ajoutées au DescriptorIdList d’un groupe de fichiers :

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Le groupe est ensuite référencé en tant que paramètres dans une entrée, comme illustré dans l’extrait de code suivant :

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Conditions du travail d’impression

Le tableau suivant décrit les PrintJob propriétés du groupe :

Nom	Description
PrintOutputFileNameId	Chemin d’accès du fichier de destination de sortie pour l’impression dans le fichier. Les caractères génériques sont pris en charge. Par exemple, C:\*\Test.pdf
PrintDocumentNameId	Chemin du fichier source. Les caractères génériques sont pris en charge. Ce chemin d’accès n’existe peut-être pas. Par exemple, ajoutez du texte à un nouveau fichier dans le Bloc-notes, puis imprimez sans enregistrer le fichier.

Ces propriétés sont ajoutées au DescriptorIdList d’un groupe de type PrintJob, comme illustré dans l’extrait de code suivant :

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Le groupe est ensuite référencé en tant que paramètres dans une entrée, comme illustré dans l’extrait de code suivant :

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Preuve de fichier

Avec le contrôle d’appareil, vous pouvez stocker des preuves de fichiers qui ont été copiés sur des appareils amovibles ou qui ont été imprimés. Lorsque la preuve de fichier est activée, un RemovableStorageFileEvent est créé. Le comportement de la preuve de fichier est contrôlé par les options de l’action Autoriser, comme décrit dans le tableau suivant :

Option	Description
8	Create un RemovableStorageFileEvent événement avecFileEvidenceLocation
16	Create un RemovableStorageFileEvent sansFileEvidenceLocation

Le FileEvidenceLocation champ de a l’emplacement du fichier de preuve, le cas échéant. Le fichier de preuve a un nom qui se termine par .dup, et son emplacement est contrôlé par le DataDuplicationFolder paramètre .

Prochaines étapes

• Afficher les événements et les informations de contrôle d’appareil dans Microsoft Defender pour point de terminaison
• Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison avec Microsoft Intune
• Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison à l’aide de stratégie de groupe
• Contrôle d’appareil pour macOS