פריסה וניהול של בקרת מכשירים ב- Microsoft Defender for Endpoint באמצעות Microsoft Intune

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

אם אתה משתמש ב- Intune כדי לנהל את ההגדרות של Defender for Endpoint, באפשרותך להשתמש בו כדי לפרוס ולנהל יכולות של בקרת מכשירים. היבטים שונים של בקרת מכשיר מנוהלים באופן שונה ב- Intune, כמתואר בסעיפים הבאים.

קביעת תצורה וניהול של בקרת מכשיר ב- Intune

1. עבור אל מרכז הניהול של Intune והיכנס.

2. עבור אל הפחתת פני השטח של התקפה>של נקודת קצה.

3. תחת מדיניות הפחתת פני השטח של ההתקפה, בחר מדיניות קיימת או בחר + צור מדיניות כדי להגדיר מדיניות חדשה, באמצעות הגדרות אלה:

   • ברשימה פלטפורמה , בחר Windows 10, Windows 11 ו- Windows Server. (בקרת מכשיר אינה נתמכת כעת ב- Windows Server, למרות שאתה בוחר פרופיל זה עבור מדיניות בקרת מכשירים.)
   • ברשימה פרופיל, בחר בקרת מכשיר.

4. בכרטיסיה יסודות , ציין שם ותיאור עבור המדיניות שלך.

5. בכרטיסיה הגדרות תצורה , תראה רשימה של הגדרות. אין צורך לקבוע את התצורה של כל ההגדרות בבת אחת. שקול להתחיל להשתמש ב'בקרת מכשירים'.

   

   • תחת תבניות ניהול, יש לך הגדרות של התקנת מכשיר וגישהלאחסון נשלף .
   • תחת Defender, ראה אפשר הגדרות סריקה מלאה של כונן נשלף .
   • תחת הגנה על נתונים, ראה אפשר הגדרות גישה ישירה לזיכרון .
   • תחת Dma Guard, ראה הגדרות מדיניות ספירת מכשיר.
   • תחת אחסון, ראה הגדרות גישה לכתיבה מנע כתיבה של דיסק נשלף.
   • תחת קישוריות, ראה אפשר חיבור USB** ו-אפשר הגדרות Bluetooth .
   • תחת Bluetooth, ראה רשימה של הגדרות הקשורות לחיבורים ושירותים של Bluetooth. לקבלת פרטים נוספים, ראה CSP של מדיניות - Bluetooth.
   • תחת בקרת מכשירים, באפשרותך לקבוע תצורה של פריטי מדיניות מותאמים אישית עם הגדרות לשימוש חוזר. לקבלת פרטים נוספים, ראה מבט כולל על בקרת מכשיר: כללים.
   • תחת מערכת, ראה אפשר הגדרות של כרטיס אחסון.

6. לאחר קביעת התצורה של ההגדרות שלך, המשך אל הכרטיסיה תגיות טווח , שבה תוכל לציין תגי טווח עבור המדיניות.

7. בכרטיסיה מטלות , ציין קבוצות של משתמשים או מכשירים כדי לקבל את המדיניות שלך. לקבלת פרטים נוספים, ראה הקצאת פריטי מדיניות ב- Intune.

8. בכרטיסיה סקירה + יצירה , סקור את ההגדרות שלך ובצע את השינויים הדרושים.

9. כשתהיה מוכן, בחר צור כדי ליצור את מדיניות הבקרה של המכשיר שלך.

פרופילי בקרת מכשירים

ב- Intune, כל שורה מייצגת מדיניות בקרת מכשירים. המזהה הכלול הוא ההגדרה הניתנת לשימוש חוזר שהמדיניות חלה עליה. המזהה שלא נכלל הוא ההגדרה לשימוש חוזר שלא נכללה במדיניות. הערך עבור המדיניות מכיל את ההרשאות המותרות ואת אופן הפעולה עבור בקרת מכשירים התפקודי כאשר המדיניות חלה.

לקבלת מידע אודות אופן ההוספה של קבוצות ההגדרות הניתנות לשימוש חוזר הכלולות בשורה של מדיניות בקרת מכשירים, עיין בסעיף הוספת קבוצות לשימוש חוזר לפרופיל 'בקרת מכשירים' במאמר שימוש בקבוצות הגדרות לשימוש חוזר עם פריטי מדיניות Intune.

ניתן להוסיף ולהוסרו פריטי מדיניות באמצעות הסמלים + ו - . שם המדיניות מופיע באזהרות למשתמשים, ובדוחות ציד מתקדמים.

באפשרותך להוסיף פריטי מדיניות ביקורת ולהוסיף פריטי מדיניות של התרה/דחייה. מומלץ להוסיף תמיד מדיניות 'אפשר' ו/או 'דחה' בעת הוספת מדיניות ביקורת כדי שלא תיתקל בתוצאות בלתי צפויות.

חשוב

אם אתה מגדיר מדיניות ביקורת בלבד, ההרשאות עוברות בירושה מהגדרת האכיפה המהווה ברירת מחדל.

הערה

• הסדר שבו פריטי המדיניות מפורטים בממשק המשתמש אינו נשמר עבור אכיפת מדיניות. שיטות העבודה המומלצות היא להשתמש במדיניות התרה/דחייה. ודא שהאפשרות 'אפשר/מנע מדיניות ' אינה מצטלבות על-ידי הוספת מכשירים באופן מפורש שלא ייכללו. באמצעות הממשק הגרפי של Intune, לא ניתן לשנות את אכיפת ברירת המחדל. אם תשנה את אכיפת Denyברירת המחדל ל- , Allow ותיצור מדיניות שתחול על מכשירים ספציפיים, כל המכשירים ייחסמו למעט עבור כל המכשירים המוגדרים במדיניות Allow .

הגדרת הגדרות עם OMA-URI

חשוב

שימוש ב- Intune OMA-URI כדי לקבוע את התצורה של בקרת ההתקן מחייב ניהול עומס העבודה של תצורת המכשיר על-ידי Intune, אם המכשיר מנוהל בשיתוף עם מנהל התצורה. לקבלת מידע נוסף, ראה כיצד להעביר עומסי עבודה של מנהל התצורה ל- Intune.

בטבלה הבאה, זהה את ההגדרה שברצונך לקבוע את תצורתה ולאחר מכן השתמש במידע שב- OMA-URI ובסוג הנתונים & עמודות ערכים. ההגדרות מפורטות בסדר אלפביתי.

הגדרה	OMA-URI, סוג נתונים, & ערכים
אכיפת ברירת מחדל של בקרת מכשיר אכיפת ברירת מחדל קובעת אילו החלטות יבוצעו במהלך בדיקת גישה לבקרת מכשיר כאשר אף אחד בכללי המדיניות אינו תואם	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement מספר שלם: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
סוגי מכשירים סוגי מכשירים, המזהים הראשיים שלהם, כאשר הגנה על בקרת מכשיר מופעלת	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration מחרוזת: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
הפוך בקרת מכשיר לזמינה הפעלה או ביטול של בקרת מכשיר במכשיר	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled מספר שלם: - להפוך ללא זמין = 0 - הפוך לזמין = 1

יצירת פריטי מדיניות באמצעות OMA-URI

בעת יצירת פריטי מדיניות עם OMA-URI ב- Intune, צור קובץ XML אחד עבור כל מדיניות. כשם עבודה מומלצת, השתמש בפרופיל 'פרופיל בקרת מכשיר' או 'פרופיל כללי בקרת מכשיר' כדי לערוך פריטי מדיניות מותאמים אישית.

בחלונית הוספת שורה , ציין את ההגדרות הבאות:

• בשדה שם , הקלד Allow Read Activity.
• בשדה OMA-URI , הקלד ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (ניתן להשתמש בפקודה PowerShell כדי New-Guid ליצור GUID חדש ולהחליף את [PolicyRule Id].)
• בשדה סוג נתונים, בחר מחרוזת (קובץ XML) והשתמש ב- XML מותאם אישית.

באפשרותך להשתמש בפרמטרים כדי להגדיר תנאים עבור ערכים ספציפיים. להלן קובץ XML לדוגמה של קבוצה עבור אפשר גישת קריאה עבור כל אחסון נשלף.

הערה

ניתן להשתמש בהערות באמצעות סימון הערת XML <!-- COMMENT --> בקבצים Rule ו- Group XML, אך הן חייבות להיכלל בתג XML הראשון, ולא בשורה הראשונה של קובץ ה- XML.

יצירת קבוצות עם OMA-URI

בעת יצירת קבוצות עם OMA-URI ב- Intune, צור קובץ XML אחד עבור כל קבוצה. כשם עבודה מומלצת, השתמש בהגדרות לשימוש חוזר כדי להגדיר קבוצות.

בחלונית הוספת שורה , ציין את ההגדרות הבאות:

• בשדה שם , הקלד Any Removable Storage Group.
• בשדה OMA-URI , הקלד ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (כדי לקבל את מזהה הקבוצה שלך, במרכז הניהול של Intune, עבור אל קבוצות ולאחר מכן בחר העתק את מזהה האובייקט. לחלופין, באפשרותך להשתמש בפקודה PowerShell New-Guid כדי ליצור GUID חדש ולהחליף את [GroupId].)
• בשדה סוג נתונים, בחר מחרוזת (קובץ XML) והשתמש ב- XML מותאם אישית.

הערה

ניתן להשתמש בהערות באמצעות סימון הערת XML <!-- COMMENT -- > בקבצים Rule ו- Group XML, אך הן חייבות להיכלל בתג XML הראשון, ולא בשורה הראשונה של קובץ ה- XML.

קביעת תצורה של בקרת גישה לאחסון נשלף באמצעות OMA-URI

1. עבור אל מרכז הניהול של Microsoft Intune והיכנס.

2. בחר פרופילי>תצורה של מכשירים. הדף פרופילי תצורה מופיע.

3. תחת הכרטיסיה פריטי מדיניות (נבחרת כברירת מחדל), בחר + צור ובחר + מדיניות חדשה מהרשימה הנפתחת שמופיעה. הדף יצירת פרופיל מופיע.

4. ברשימה הנפתחת פלטפורמה, בחר Windows 10, Windows 11 ו- Windows Server מהרשימה הנפתחת פלטפורמה ובחר תבניות מהרשימה הנפתחת סוג פרופיל.

   לאחר בחירת תבניות מהרשימההנפתחת סוג פרופיל, החלונית שם תבנית מוצגת, יחד עם תיבת חיפוש (כדי לחפש בשם הפרופיל).

5. בחר מותאם אישית מתוך החלונית שם תבנית ובחר צור.

6. צור שורה עבור כל הגדרה, קבוצה או מדיניות על-ידי יישום שלבים 1-5.

הצגת קבוצות בקרת מכשירים (הגדרות לשימוש חוזר)

ב- Intune, קבוצות בקרת מכשירים מופיעות כהגדרות לשימוש חוזר.

1. עבור אל מרכז הניהול של Microsoft Intune והיכנס.

2. עבור אל Endpoint Security Attack>Surface Reduction.

3. בחר את הכרטיסיה הגדרות לשימוש חוזר .

למידע נוסף

• בקרת מכשיר ב- Defender עבור נקודת קצה
• מדיניות והגדרות של בקרת מכשירים
• בקרת מכשיר עבור macOS