Partager via

forum aux questions sur le contrôle d’appareil Microsoft Defender pour point de terminaison

S’applique à :

Cet article fournit des réponses aux questions fréquemment posées sur les fonctionnalités de stockage amovible du contrôle d’appareil dans Microsoft Defender pour point de terminaison.

Comment faire générer un GUID pour id de groupe/ID de stratégie/ID d’entrée ?

Vous pouvez générer le GUID via open source en ligne ou à l’aide de PowerShell. Pour plus d’informations, consultez Comment générer un GUID via PowerShell.

Capture d’écran du GUID dans PowerShell.

Quelles sont les limitations de média de stockage amovible et de stratégie ?

L’appel principal est effectué via OMA-URI (GET to read ou PATCH to update) à partir de Intune ou via Microsoft API Graph. La limitation est la même que tout profil de configuration personnalisé OMA-URI chez Microsoft, qui est officiellement de 350 000 caractères pour les fichiers XML. Par exemple, si vous avez besoin de deux blocs d’entrées par SID utilisateur pour « Autoriser » / « Auditer autorisé » des utilisateurs spécifiques, puis de deux blocs d’entrées à la fin de « Refuser » tous, vous serez en mesure de gérer 2 276 utilisateurs.

Pourquoi la stratégie ne fonctionne-t-elle pas ?

La raison la plus courante est qu’il n’existe aucune version du client anti-programme malveillant requise.

Une autre raison peut être que le fichier XML n’est pas correctement mis en forme. Par exemple, le fait de ne pas utiliser la mise en forme markdown correcte pour le caractère « & » dans le fichier XML ou l’éditeur de texte peut ajouter une marque d’ordre d’octet (BOM) 0xEF 0xBB 0xBF au début des fichiers, ce qui entraîne le non-fonctionnement de l’analyse XML. Une solution simple consiste à télécharger l’exemple de fichier (sélectionnez Brut , puis Enregistrer sous), puis à mettre à jour.

Si vous déployez et gérez la stratégie à l’aide de stratégie de groupe, veillez à combiner toutes les règles de stratégie dans un fichier XML au sein d’un nœud parent appelé PolicyRules. En outre, combinez tous les groupes dans un fichier XML au sein d’un nœud parent appelé PolicyGroups. Si vous gérez des appareils avec Intune, conservez des fichiers XML distincts pour chaque groupe et stratégie lors du déploiement en tant que Custom OMA-URI.

L’appareil (machine) doit avoir un certificat valide. Exécutez la commande suivante sur l’ordinateur pour case activée :

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

Capture d’écran montrant les résultats de l’applet de commande Get-AuthenticodeSignature.

Si la stratégie ne fonctionne toujours pas, contactez le support et partagez votre cab de support. Pour obtenir ce fichier, ouvrez l’invite de commandes en tant qu’administrateur, puis utilisez la commande suivante :

"%programfiles%\Windows Defender\MpCmdRun.exe" -GetFiles

Pourquoi n’y a-t-il pas d’expérience utilisateur de configuration pour certains groupes de stratégies ?

Il n’existe aucune expérience utilisateur de configuration pour Définir des groupes de stratégies de contrôle d’appareil et Définir des règles de stratégie de contrôle d’appareil sur votre stratégie de groupe. Toutefois, vous pouvez toujours obtenir les fichiers et .admx associés .adml en sélectionnant Raw et Enregistrer sous dans les fichiers WindowsDefender.adml et WindowsDefender.admx.

Comment faire confirmer que la stratégie la plus récente a été déployée sur l’ordinateur cible ?

Vous pouvez exécuter l’applet de commande Get-MpComputerStatus PowerShell en tant qu’administrateur. La valeur suivante indique si la stratégie la plus récente a été appliquée à l’ordinateur cible.

Capture d’écran montrant status de contrôle d’appareil dans PowerShell.

Comment savoir quel ordinateur utilise la version obsolète du client anti-programme malveillant dans le organization ?

Vous pouvez utiliser la requête suivante pour obtenir la version du client anti-programme malveillant sur le portail de sécurité Microsoft 365 :

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

Comment faire trouver la propriété media dans le Gestionnaire de périphériques ?

  1. Branchez le média.

  2. Ouvrez le Gestionnaire de périphériques.

    Capture d’écran de Gestionnaire de périphériques.

  3. Localisez le média dans le Gestionnaire de périphériques, cliquez avec le bouton droit, puis sélectionnez Propriétés.

    Capture d’écran du média dans le Gestionnaire de périphériques.

  4. Ouvrez Détails, puis sélectionnez Propriétés.

    Capture d’écran du menu contextuel pour les lecteurs de disque dans Gestionnaire de périphériques.

Une autre méthode consiste à déployer une stratégie d’audit sur le organization et à voir les événements dans le rapport de repérage avancé ou de contrôle de l’appareil.

Comment faire trouver Sid pour Microsoft Entra groupe ?

Différent des groupes Microsoft Entra, le Sid utilise l’ID d’objet pour Microsoft Entra groupe. Vous trouverez l’ID d’objet à partir de Portail Azure.

image

Pourquoi mon imprimante est-elle bloquée dans mon organization ?

Le paramètre Application par défaut concerne tous les composants de contrôle d’appareil, ce qui signifie que si vous le définissez sur Deny, il bloque également toutes les imprimantes. Vous pouvez créer une stratégie personnalisée pour autoriser explicitement les imprimantes ou remplacer la stratégie d’application par défaut par une stratégie personnalisée.

Pourquoi la création d’un dossier n’est-elle pas bloquée par l’accès au niveau du système de fichiers ?

La création d’un dossier vide n’est pas bloquée même si l’accès au niveau du système de fichiers refuse l’accès en écriture est configuré. Tout fichier non vide sera bloqué.

Pourquoi mon usb est-il toujours bloqué avec une stratégie d’autorisation ?

Certains périphériques USB spécifiques nécessitent plus que l’accès en lecture. La liste suivante présente quelques exemples :

  1. Pour accéder en lecture, certaines bases de données USB chiffrées par Kingston nécessitent un accès d’exécution pour leur CDROM.
  2. Pour accéder en lecture à certains USBs WD My Passport, vous devez disposer d’un accès en écriture au niveau du disque. Dans ce cas, si vous souhaitez refuser l’accès en écriture, vous devez utiliser l’accès au niveau du système de fichiers

La meilleure façon de comprendre cela consiste à case activée l’événement sur la chasse avancée, ce qui indiquera clairement ce que accessMask est requis.

Puis-je utiliser des stratégies de déploiement stratégie de groupe et Intune ?

Vous pouvez utiliser stratégie de groupe et Intune pour gérer le contrôle de l’appareil, mais pour un ordinateur, utilisez stratégie de groupeou Intune. Si une machine est couverte par les deux, le contrôle de l’appareil applique uniquement le paramètre stratégie de groupe.

Le contrôle d’appareil est-il disponible dans Microsoft Defender pour entreprises ?

Oui, pour Windows et Mac.

Pour configurer le contrôle d’appareil sur Windows, utilisez des règles de réduction de la surface d’attaque dans Defender for Business. Vous aurez besoin de Microsoft Intune. La version autonome de Defender for Business n’inclut pas Intune, mais elle peut être ajoutée. Microsoft 365 Business Premium inclut Intune. Consultez Microsoft Defender pour point de terminaison Access Control de stockage amovible de contrôle d’appareil.

Pour configurer le contrôle d’appareil sur Mac, utilisez Intune ou Jamf. Consultez Contrôle d’appareil pour macOS.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.