מדיניות בקרת מכשירים ב- Microsoft Defender עבור נקודת קצה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

מאמר זה מתאר מדיניות בקרת מכשירים, כללים, ערכים, קבוצות ותנאים מתקדמים. למעשה, פריטי מדיניות של בקרת מכשיר מגדירים גישה עבור קבוצה של מכשירים. המכשירים בטווח נקבעים לפי רשימה של קבוצות מכשירים כלולות ורשימה של קבוצות מכשירים שלא נכללו. מדיניות חלה אם המכשיר נמצא בכל קבוצות המכשירים הכלולות או אף אחת מקבוצות המכשירים שלא נכללו. אם לא חלים פריטי מדיניות, אכיפת ברירת המחדל מוחלת.

כברירת מחדל, בקרת התקן אינה זמינה, כך שניתן לגשת לכל סוגי המכשירים. לקבלת מידע נוסף על בקרת מכשיר, ראה בקרת מכשיר Microsoft Defender עבור נקודת קצה.

שליטה באופן הפעולה המהווה ברירת מחדל

כאשר בקרת מכשיר מופעלת, היא מופעלת עבור כל סוגי המכשירים כברירת מחדל. ניתן גם לשנות את אכיפת ברירת המחדל מ'אפשר' ל'מנע'. צוות האבטחה שלך יכול גם לקבוע את תצורת סוגי המכשירים שפקדי המכשירים מגנים עליו. הטבלה הבאה ממחישה כיצד שילובים שונים של הגדרות משתנים את החלטת בקרת הגישה.

האם בקרת מכשירים זמינה?	אופן הפעולה המהווה ברירת מחדל	סוגי מכשירים
לא	Access מותר	- כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows
כן	(לא צוין) Access מותר	- כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows
כן	להכחיש	- כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows
כן	דחיית התקני מדיה נשלפים ומדפסות	- מדפסות והתקני מדיה נשלפת (חסומים) - כונני תקליטור/DVD ומכשירים ניידים של Windows (מותר)

כאשר סוגי מכשירים מוגדרים, בקרת המכשיר ב- Defender for Endpoint מתעלמת מבקשות למשפחות מכשירים אחרות.

לקבלת מידע נוסף, עיין במאמרים הבאים:

• פריסה וניהול של בקרת מכשירים באמצעות Intune
• פריסה וניהול של בקרת מכשירים באמצעות מדיניות קבוצתית

מדיניות

כדי למקד עוד יותר את הגישה למכשירים, בקרת המכשיר משתמשת במדיניות. מדיניות היא קבוצה של כללים וקבוצות. האופן בו כללים וקבוצות מוגדרים משתנה מעט בין חוויות ניהול ומערכות הפעלה, כמתואר בטבלה הבאה.

כלי ניהול	מערכת הפעלה	כיצד מנוהלים כללים וקבוצות
Intune – מדיניות בקרת מכשירים	Windows	ניתן לנהל קבוצות מכשירים ומדפסות כהגדרות לשימוש חוזר ולכלול אינן נכללות בכללים. לא כל התכונות זמינות במדיניות בקרת המכשיר (ראה פריסה וניהול של בקרת מכשיר באמצעות Microsoft Intune)
Intune - מותאם אישית	Windows	כל קבוצה/כלל מאוחסן כמחרוזת XML במדיניות תצורה מותאמת אישית. ה- OMA-URI מכיל את ה- GUID של הקבוצה/הכלל. יש ליצור את ה- GUID.
מדיניות קבוצתית	Windows	הקבוצות והכללים מוגדרים בהגדרות XML נפרדות באובייקט מדיניות קבוצתית (ראה פריסה וניהול של בקרת מכשיר באמצעות מדיניות קבוצתית).
Intune	Mac	הכללים והמדיניות משולבים ב- JSON mobileconfig יחיד ונכללים בקובץ שנפרס באמצעות Intune
ריבה (JAMF)	Mac	הכללים והמדיניות משולבים ב- JSON אחד ומוגדר באמצעות JAMF כמדיניות בקרת המכשיר (ראה בקרת מכשיר עבור macOS)

כללים וקבוצות מזוהים באמצעות מזהה ייחודי כללי (GUID). אם פריטי מדיניות בקרת מכשירים נפרסים באמצעות כלי ניהול שאינו כלי Intune, יש ליצור את מזהי ה- GUID. באפשרותך ליצור את מזהי ה- GUID באמצעות PowerShell.

לקבלת פרטי סכימה, ראה סכימת JSON עבור Mac.

משתמשים

ניתן להחיל מדיניות בקרת מכשיר על משתמשים ו/או קבוצות משתמשים.

הערה

במאמרים הקשורים לבקרת מכשירים, קבוצות של משתמשים נקראות קבוצות משתמשים. קבוצות המונחים מפנות לקבוצות המוגדרות במדיניות בקרת המכשירים.

באמצעות Intune, ב- Mac וב- Windows, ניתן לייעד פריטי מדיניות של בקרת מכשירים לקבוצות משתמשים המוגדרות במזהה Entra.

ב- Windows, משתמש או קבוצת משתמשים יכולים להיות תנאי בערך במדיניות.

ערכים עם קבוצות משתמשים או משתמשים יכולים להפנות לאובייקטים ממזהה Entra או מ- Active Directory מקומי.

שיטות עבודה מומלצות לשימוש בפקד מכשיר עם משתמשים וקבוצות משתמשים

• כדי ליצור כלל עבור משתמש בודד ב- Windows, Sid צור ערך עם תנאי של משתמש קיצור בכלל

• כדי ליצור כלל עבור קבוצת משתמשים ב- Windows וב- Intune,Sid צור ערך עם תנאי עבור כל קבוצת משתמש ב[כלל] ויעד את המדיניות לקבוצת מחשב ב- Intune או צור כלל ללא תנאים ויעד את המדיניות באמצעות Intune לקבוצת המשתמשים.

• ב- Mac, Intune ויעד את המדיניות לקבוצת משתמשים במזהה Entra.

אזהרה

אל תשתמש הן בתנאים של משתמש/קבוצת משתמשים בכללים והן במיקוד קבוצת משתמשים Intune.

הערה

אם קישוריות הרשת היא בעיה, השתמש במיקוד Intune משתמש או בקבוצות Active Directory מקומיות. יש להשתמש בתנאים של קבוצת משתמשים/משתמשים המפנה למזהה Entra רק בסביבות הכוללות חיבור מהימן למזהה Entra.

כללים

כלל מגדיר את רשימת הקבוצות הכלולות ורשימה של קבוצות שלא נכללו. כדי שהכלל יחול, המכשיר חייב להיכלל בכל הקבוצות הכלולות ולא להוסיף אף אחת מהקבוצות שלא נכללו. אם ההתקן תואם לכלל, הערכים עבור כלל זה מוערכים. ערך מגדיר את אפשרויות הפעולה וההודעה שהוחלו, אם הבקשה תואמת לתנאים. אם לא חלים כללים או שאין ערכים התואמים לבקשה, אכיפת ברירת המחדל מוחלת.

לדוגמה, כדי לאפשר גישת כתיבה עבור התקני USB מסוימים, וגישת קריאה עבור כל מכשירי ה- USB האחרים, השתמש במדיניות, בקבוצות ובערכים הבאים עם אכיפה המוגדרת כברירת מחדל כדי למנוע זאת.

קבוצה	תיאור
כל התקני האחסון הנשלף	התקני אחסון נשלפים
USBs ניתנים לכתיבה	רשימה של USB שבהם מותרת גישת כתיבה

כלל	התקן קבוצות	לא נכלל מכשיר קבוצות	ערך
גישת קריאה בלבד עבור USBs	כל התקני האחסון הנשלף	USBs ניתנים לכתיבה	גישה לקריאה בלבד
גישת כתיבה עבור USBs	USBs ניתנים לכתיבה		גישת כתיבה

שם הכלל מופיע בפורטל לדיווח ובהודעה המורמת למשתמשים, לכן הקפד לתת לכללים שמות תיאוריים.

באפשרותך להגדיר כללים על-ידי עריכת פריטי מדיניות ב- Intune, באמצעות קובץ XML ב- Windows, או באמצעות קובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.

Intune

התמונה הבאה מתארת הגדרות תצורה עבור מדיניות בקרת מכשיר Intune:

בצילום המסך, המזהה הכלול ומזהה לא נכלל הם ההפניות לקבוצות הגדרות הכלולות ולא נכללו לשימוש חוזר. מדיניות יכולה לכלול כללים מרובים.

Intune לא מכבד את סדר הכללים. ניתן להעריך את הכללים בכל סדר, לכן הקפד לא לכלול במפורש קבוצות של מכשירים שאינן בטווח עבור הכלל.

XML (Windows)

מקטע הקוד הבא מציג את התחביר עבור כלל מדיניות בקרת מכשירים ב- XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule> 

הטבלה הבאה מספקת הקשר נוסף עבור מקטע קוד ה- XML:

שם מאפיין	תיאור	אפשרויות
PolicyRule Id	GUID, מזהה ייחודי, מייצג את המדיניות ומשמש לדיווח ופתרון בעיות.	באפשרותך ליצור את המזהה באמצעות PowerShell.
Name	String, שם המדיניות והצגתה על הברכה בהתבסס על הגדרת המדיניות.
IncludedIdList	הקבוצות שהמדיניות חלה עליהן. אם נוספו קבוצות מרובות, המדיה חייבת להיות חברה בכל קבוצה ברשימה כדי לכלול אותה.	יש להשתמש במזהה/GUID של הקבוצה במופע זה. הדוגמה הבאה מציגה את השימוש ב- GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	הקבוצות שהמדיניות אינה חלה עליהן. אם נוספו קבוצות מרובות, המדיה חייבת להיות חברה בקבוצה ברשימה כדי שלא ייכללו.	יש להשתמש במזהה/GUID של הקבוצה במופע זה.
Entry	ל- PolicyRule אחד יכולים להיות ערכים מרובים; כל ערך עם GUID ייחודי מורה לבקרת מכשיר הגבלה אחת.	ראה טבלת מאפייני ערך להלן כדי לקבל פרטים.

JSON (Mac)

מקטע הקוד הבא מציג את התחביר של כלל מדיניות בקרת מכשיר ב- JSON עבור macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    } 

הטבלה הבאה מספקת הקשר נוסף עבור מקטע קוד ה- XML:

שם מאפיין	תיאור	אפשרויות
id	GUID, מזהה ייחודי, מייצג את הכלל ומשמש במדיניות.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	מחרוזת, שם המדיניות והצגתה על הברכה בהתבסס על הגדרת המדיניות.
includeGroups	הקבוצות שהמדיניות חלה עליהן. אם צוינה קבוצות מרובות, המדיניות חלה על מדיה כלשהי בכל הקבוצות הללו. אם לא צוין, הכלל חל על כל המכשירים.	יש להשתמש בערך המזהה בתוך הקבוצה במופע זה. אם קבוצות מרובות נמצאות ב- includeGroups, זהו AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	הקבוצה שהמדיניות אינה חלה עלה.	יש id להשתמש בערך בתוך הקבוצה במופע זה. אם קבוצות מרובות נמצאות ב- excludeGroups, זהו OR.
entries	לכלל אחד יכולים להיות ערכים מרובים; כל ערך עם GUID ייחודי מורה לבקרת מכשיר הגבלה אחת.	עיין בטבלת מאפייני הערך בהמשך מאמר זה כדי לקבל את הפרטים.

ערכי

פריטי מדיניות בקרת מכשיר מגדירים גישה (הנקראת ערך) עבור קבוצת מכשירים. ערכים מגדירים את אפשרויות הפעולה וההודעות עבור מכשירים התואמים למדיניות ולתנאים שהוגדרו בערך.

הגדרת ערך	אפשרויות
AccessMask	החלת הפעולה רק אם פעולות הגישה תואמות למסיכה של הגישה - מסיכת הגישה היא מסוג BIT-wise OR של ערכי הגישה: 1 - קריאת מכשיר 2 - כתיבה במכשיר 4 - ביצוע מכשיר 8 - קריאת קובץ 16 - כתיבת קובץ 32 - ביצוע קובץ 64 - הדפסה לדוגמה: קריאה, כתיבה וביצוע של מכשיר = 7 (1+2+4) קריאה בהתקן, קריאת דיסק = 9 (1+8)
פעולה	אפשר להכחיש זרימת ביקורת ערך ביקורת
הודעה	ללא (ברירת מחדל) אירוע נוצר המשתמש מקבל הודעה

הערכת כניסה

קיימים שני סוגים של ערכים: ערכי אכיפה (אפשר/מנע) ועבודות ביקורת (AuditAllow/AuditDeny).

ערכי האכיפה עבור כלל מוערכים לפי הסדר עד להתאמת כל ההרשאות המבוקשות. אם אין ערכים התואמים לכלל, הכלל הבא מוערך. אם אין כללים תואמים, ברירת המחדל מוחלת.

ערכי ביקורת

אירועי ביקורת שולטים באופן הפעולה כאשר בקרת מכשיר אוכפת כלל (התרה/דחייה). בקרת מכשיר יכולה להציג הודעה למשתמש הקצה. המשתמש מקבל הודעה המכילה את השם של מדיניות בקרת המכשיר ואת שם המכשיר. ההודעה מופיעה פעם בשעה לאחר שהגישה ההתחלתית נדחתה.

בקרת מכשירים יכולה גם ליצור אירוע שזמין בה ציד מתקדם.

חשוב

קיימת מגבלה של 300 אירועים לכל מכשיר ליום. ערכי ביקורת מעובדים לאחר קבלת החלטת האכיפה. כל ערכי הביקורת התואמים מוערכים.

תנאים

ערך תומך בתנאים האופציונליים הבאים:

• תנאי משתמש/קבוצת משתמשים: החלת הפעולה רק על קבוצת המשתמש/המשתמש המזוהה על-ידי ה- SID

הערה

עבור קבוצות משתמשים ומשתמשים המאוחסנים Microsoft Entra, השתמש במזהה האובייקט בתנאי. עבור קבוצות משתמשים ומשתמשים המאוחסנים באופן מקומי, השתמש במזהה האבטחה (SID)

הערה

ב- Windows, ניתן לאחזר את ה- SID של המשתמש שנכנס על-ידי הפעלת הפקודה PowerShell whoami /user.

• מצב מחשב: החלת הפעולה רק על המכשיר/הקבוצה המזוהים על-ידי ה- SID
• תנאי פרמטרים: החלת הפעולה רק אם הפרמטרים תואמים (ראה תנאים מתקדמים)

ניתן להמשיך ולהוסיף טווח לערכים למשתמשים ולמכשירים ספציפיים. לדוגמה, אפשר גישת קריאה לאתרי USB אלה עבור משתמש זה בלבד במכשיר זה.

מדיניות	התקן קבוצות	לא נכלל מכשיר קבוצות	הזנה(ies)
גישת קריאה בלבד עבור USBs	כל התקני האחסון הנשלף	USBs ניתנים לכתיבה	גישה לקריאה בלבד
גישת כתיבה עבור USBs	USBs ניתנים לכתיבה		גישת כתיבה עבור משתמש 1 גישת כתיבה עבור משתמש 2 בקבוצת מכשירים א'

כל התנאים בערך חייבים להיות True כדי להחיל את הפעולה.

באפשרותך להגדיר ערכים באמצעות Intune, קובץ XML ב- Windows או קובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.

Intune

בשדה Intune, השדה מסיכה של Access כולל אפשרויות, כגון:

• קריאה (קריאה ברמת הדיסק = 1)
• כתיבה (כתיבה ברמת הדיסק = 2)
• Execute (Disk Level Execute = 4)
• הדפסה (הדפסה = 64).

לא כל התכונות מוצגות בממשק Intune המשתמש. לקבלת מידע נוסף, ראה פריסה וניהול של בקרת מכשיר באמצעות Intune.

XML (Windows)

מקטע הקוד הבא מציג את התחביר עבור ערך פקד התקן ב- XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry> 

הטבלה הבאה מספקת הקשר נוסף עבור מקטע קוד ה- XML:

שם מאפיין	תיאור	אפשרות
Entry Id	GUID, מזהה ייחודי, מייצג את הערך ומשמש לדיווח ופתרון בעיות.	באפשרותך ליצור את ה- GUID באמצעות PowerShell.
Type	הגדרת הפעולה עבור קבוצות האחסון הנשלף ב- IncludedIDList. - Allow - Deny - AuditAllowed: הגדרת הודעה ואירוע כאשר הגישה מותרת - AuditDenied: מגדיר הודעה ואירוע כאשר הגישה נדחתה; פועל יחד עם Deny ערך. כאשר קיימים סוגי התנגשויות עבור אותה מדיה, המערכת מחילה את הראשון במדיניות. דוגמה לסוג התנגשות היא ו- AllowDeny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	אם type הוא Allow	- 0:כלום - 4: הפוך ללא AuditAllowed זמין AuditDenied עבור ערך זה. אם Allow מתרחשת וההגדרה AuditAllowed מוגדרת, אירועים אינם נוצרים.
Option	אם type הוא Deny	- 0:כלום - 4: הפוך ללא AuditDenied זמין עבור ערך זה. אם חסימה מתרחשת AuditDenied וההגדרה מוגדרת, המערכת אינה מציגה הודעות.
Option	אם type הוא AuditAllowed	- 0:כלום - 1:כלום - 2: שלח אירוע
Option	אם type הוא AuditDenied	- 0:כלום - 1: הצג הודעה - 2: שלח אירוע - 3: הצג הודעה ושלח אירוע
AccessMask	הגדרת הגישה	עיין בסעיף הבא הבנת הגישה למסיכה
Sid	SID של משתמש מקומי או קבוצת SID של משתמש מקומי, או ה- SID Microsoft Entra האובייקט או מזהה האובייקט. הוא מגדיר אם להחיל מדיניות זו על-פני משתמש או קבוצת משתמשים מסוימים. ערך אחד יכול לכלול SID אחד לכל היותר וערך ללא SID פירושו להחיל את המדיניות על המכשיר.	SID (SID)
ComputerSid	SID של המחשב המקומי או קבוצת SID של המחשב, או ה- SID Microsoft Entra האובייקט או מזהה האובייקט. היא מגדירה אם להחיל מדיניות זו על מכשיר מסוים או על קבוצת מכשירים מסוימת. ערך אחד יכול לכלול מספר מרבי של ComputerSID אחד וערך ללא ComputerSID פירושו להחיל את המדיניות על המכשיר. אם ברצונך להחיל ערך על משתמש ספציפי ועל מכשיר ספציפי, הוסף גם את SID וגם את ComputerSID לאותו ערך.	SID (SID)
Parameters	תנאי עבור ערך, כגון תנאי רשת.	ניתן להוסיף קבוצות (סוגים שאינם סוגי התקנים) או אפילו להוסיף פרמטרים לפרמטרים. לקבלת מידע נוסף, עיין בסעיף תנאים מתקדמים (במאמר זה).

הבנת הגישה למסיכה (Windows)

בקרת מכשיר מחילה מסיכת גישה כדי לקבוע אם הבקשה תואמת לערך. הפעולות הבאות זמינות ב- CdRomDevices, RemovableMediaDevicesוב- WpdDevices:

Access	מסכה
קריאה ברמת הדיסק	1
כתיבה ברמת הדיסק	2
ביצוע ברמת הדיסק	4
קריאת מערכת קבצים	8
כתיבת מערכת קבצים	16
ביצוע מערכת קבצים	32

הפעולות הבאות זמינות ב- PrinterDevices:

• Access: הדפסה
• מסכה : 64

באפשרותך להגדיר הגדרות גישה מרובות על-ידי ביצוע פעולת OR בינארית. להלן דוגמה:

• AccessMask עבור קריאה וכתיבה וביצוע הוא 7
• AccessMask לקריאה וכתיבה הוא 3

JSON (Mac)

מקטע הקוד הבא מציג את התחביר עבור ערך פקד מכשיר ב- JSON עבור macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
} 

הטבלה הבאה מספקת הקשר נוסף עבור מקטע קוד JSON:

שם מאפיין	תיאור	אפשרויות
id	GUID, מזהה ייחודי, מייצג את הערך ומשמש לדיווח ופתרון בעיות.	באפשרותך ליצור את המזהה באמצעות PowerShell.
enforcement $type	הגדרת הפעולה עבור קבוצות האחסון הנשלף ב- includedGroups. - allow - deny - auditAllow: הגדרת הודעה ואירוע כאשר הגישה מותרת - AuditDeny: מגדיר הודעה ואירוע כאשר הגישה נדחתה; צריך לעבוד יחד עם הערך 'מנע'. כאשר קיימים סוגי התנגשויות עבור אותה מדיה, המערכת מחילה את הראשון במדיניות. דוגמה לסוג התנגשות היא 'אפשר' ו'מנע'.	התכונה enforcement $type יכולה להיות אחד מהערכים הבאים: - allow - deny - auditAllow - auditDeny
enforcement $options	אם אפשרות $type מאפשרת	disable_audit_allow: אם האפשרות אפשר מתרחשת והגדרת auditAllow מוגדרת, המערכת אינה שולחת אירועים.
enforcement $options	אם אכיפת $type מכחישה	disable_audit_deny: אם חסימה מתרחשת והגדרת auditDeny מוגדרת, המערכת אינה מציגה הודעות או שולחת אירועים.
enforcement $options	אם אפשרות $type היא auditAllow	send_event: שליחת מדידת שימוש
enforcement $options	אם אפשרות $type היא auditDeny	- send_event: שליחת מדידת שימוש - show_notification: הצגת הודעת חסימה למשתמש
$type	סוג הערך. הסוג קובע את הפעולות שניתן להגן עליהן באמצעות בקרת מכשיר	התכונות $type יכולות להיות כל אחד מהערכים הבאים: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	רשימת פעולות שערך זה מעניק	עיין בסעיף הבא, "הבנת גישה ב- Mac"

הבנת הגישה (Mac)

קיימים שני סוגים של גישה עבור ערך: כללי וסוג מכשיר ספציפי.

• אפשרויות גישה כלליות כוללות generic_readאת , generic_writeו- generic_execute.
• גישה ספציפית לסוג המכשיר מספקת צפיפות שליטה טובה יותר, מכיוון שערכים ספציפיים של סוג ההתקן כלולים בסוגי הגישה הכלליים.

הטבלה הבאה מתארת את הגישה הספציפית לסוג המכשיר ואת אופן המיפוי שלו לסוגי הגישה הכלליים.

סוג מכשיר ($type)	גישה ספציפית לסוג מכשיר	תיאור	קרא	לכתוב	לבצע
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	הורד תמונות ממכשיר iOS ספציפי למכשיר מקומי	X
appleDevice	download_files_from_device	הורדת קבצים ממכשיר iOS ספציפי למכשיר מקומי	X
appleDevice	sync_content_to_device	סינכרון תוכן מהמכשיר המקומי למכשיר iOS ספציפי		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	פקד כלי ADB			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

קבוצות

קבוצות להגדיר קריטריונים לסינון אובייקטים לפי המאפיינים שלהם. האובייקט מוקצה לקבוצה אם המאפיינים שלו תואמים למאפיינים שהוגדרו עבור הקבוצה.

הערה

קבוצות במקטע זה אל תפנהלקבוצות משתמשים.

לדוגמה:

• יצרני USB מותרים הם כל המכשירים התואמים ליצרנים אלה
• USBS אבודים הם כל המכשירים התואמים לכל אחד מהמספרים הסידוריים האלה
• מדפסות מותרות הן כל ההתקנים התואמים לכל אחד ממדפסות VID/PID אלה

ניתן להתאים את המאפיינים בארבע דרכים: MatchAll, MatchAny, MatchExcludeAll, ו- MatchExcludeAny

• MatchAll: המאפיינים הם קשר גומלין של "וגם"; לדוגמה, אם מנהל המערכת מציב DeviceIDInstancePathIDו- , עבור כל USB מחובר, המערכת בודקת אם ה- USB עומד בשני הערכים.
• MatchAny: המאפיינים הם קשר גומלין של "או"; לדוגמה, אם מנהל המערכת מציב DeviceID InstancePathIDו- , עבור כל USB מחובר, המערכת אוכפת כל עוד ל- USB יש ערך DeviceID זהה או InstanceID זהה.
• MatchExcludeAll: המאפיינים הם קשר גומלין של "וגם", כל הפריטים שאינם עומדים בדרישות מכוסים. לדוגמה, אם מנהל המערכת מציב InstancePathIDMatchExcludeAllDeviceID ומשתמש ב- , עבור כל USB מחובר, המערכת אוכפת כל עוד ה- USB אינו כולל הן זהות DeviceID והן ערך.InstanceID
• MatchExcludeAny: המאפיינים הם קשר גומלין של "או", כל הפריטים שאינם עומדים בדרישות מכוסים. לדוגמה, אם מנהל המערכת מציב InstancePathIDMatchExcludeAnyDeviceID ומשתמש ב- , עבור כל USB מחובר, המערכת אוכפת כל עוד ה- USB אינו כולל ערך DeviceID זהה או InstanceID זהה.

קבוצות נעשה שימוש בשתי דרכים: כדי לבחור מכשירים להכללה/אי הכללה בכללים, ולסנן גישה לקבלת תנאים מתקדמים. טבלה זו מסכמת את סוגי הקבוצה ואת אופן השימוש בהם.

סוג	תיאור	O/S	הכללה/אי-הכללה של כללים	תנאים מתקדמים
התקן (ברירת מחדל)	סינון התקנים ומדפסות	Windows/Mac	X
רשת	סינון תנאי רשת	Windows		X
חיבור VPN	סנן תנאי VPN	Windows		X
קובץ	מאפייני קובץ סינון	Windows		X
משימת הדפסה	מאפייני מסנן של הקובץ המודפס	Windows		X

המכשירים בטווח עבור המדיניות שנקבעה על-ידי רשימה של קבוצות כלולות ורשימה של קבוצות שלא נכללו. כלל חל אם המכשיר נמצא בכל הקבוצות הכלולות לאף אחת מהקבוצות שלא נכללו. קבוצות ניתן לחבר מתוך מאפייני המכשירים. ניתן להשתמש במאפיינים הבאים:

מאפיין	תיאור	מכשירי Windows	מכשירי Mac	מדפסות
FriendlyNameId	השם הידידותי ב- Windows מנהל ההתקנים	Y	N	Y
PrimaryId	סוג המכשיר	Y	Y	Y
VID_PID	מזהה ספק הוא קוד הספק בן ארבע הספרות שועדת ה- USB מקצה לספק. Product ID הוא קוד המוצר בן ארבע הספרות שהספק מקצה למכשיר. תווים כלליים נתמכים. לדוגמה 0751_55E0	Y	N	Y
PrinterConnectionId	סוג חיבור המדפסת: - USB: מדפסת המחוברת באמצעות יציאת USB של מחשב. - Network: מדפסת רשת היא מדפסת הנגישה באמצעות חיבור רשת, ובכך ניתנת לשימוש על-ידי מחשבים אחרים המחוברים לרשת. - Corporate: מדפסת ארגונית היא תור הדפסה המשותף דרך שרת ההדפסה המקומי של Windows. - Universal: הדפסה אוניברסלית היא פתרון הדפסה מודרני שארגונים יכולים להשתמש בו כדי לנהל את תשתית ההדפסה שלהם באמצעות שירותי ענן מ- Microsoft. מהי הדפסה אוניברסלית? - הדפסה אוניברסלית | Microsoft Docs - File: 'Microsoft Print to PDF' ו- 'Microsoft XPS Document Writer' או מדפסות אחרות באמצעות קובץ: או PORTPROMPT: יציאה - Custom: מדפסת שלא מתחברת באמצעות יציאת ההדפסה של Microsoft - Local: המדפסת אינה מסוג שלעיל, לדוגמה הדפסה באמצעות RDP או ניתוב מחדש של מדפסות	N	N	Y
BusId	מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו)	Y	N	N
DeviceId	מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו)	Y	N	N
HardwareId	מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו)	Y	N	N
InstancePathId	מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו)	Y	N	N
SerialNumberId	מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו)	Y	Y	N
PID	Product ID הוא קוד המוצר בן ארבע הספרות שהספק מקצה למכשיר	Y	Y	N
VID	מזהה ספק הוא קוד הספק בן ארבע הספרות שועדת ה- USB מקצה לספק.	Y	Y	N
DeviceEncryptionStateId	(תצוגה מקדימה) מצב ההצפנה של BitLocker של מכשיר. ערכים חוקיים הם או BitlockerEncryptedPlain	Y	N	N
APFS Encrypted	אם המכשיר מוצפן באמצעות APFS	N	Y	N

שימוש ב מנהל ההתקנים Windows כדי לקבוע מאפייני מכשיר

עבור מכשירי Windows, באפשרותך להשתמש מנהל ההתקנים כדי להבין את מאפייני המכשירים.

1. פתח מנהל ההתקנים, אתר את המכשיר, לחץ באמצעות לחצן העכבר הימני על מאפיינים ולאחר מכן בחר בכרטיסיה פרטים.

2. ברשימת המאפיינים, בחר נתיב מופע התקן.

   הערך המוצג עבור נתיב מופע המכשיר הוא InstancePathId, אך הוא מכיל גם מאפיינים אחרים:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   המאפיינים במנהל ההתקנים ממופים לבקרת מכשירים, כפי שמוצג בטבלה הבאה:

   מנהל ההתקנים	בקרת מכשיר
   מזהי חומרה	HardwareId
   שם ידידותי	FriendlyNameId
   הורה	VID_PID
   DeviceInstancePath	InstancePathId

שימוש בדוחות ובצייד מתקדם כדי לקבוע את מאפייני המכשירים

מאפייני המכשיר כוללים תוויות שונות במקצת בחיפוש מתקדם. הטבלה שלהלן ממופה את התוויות בפורטל למדיניות propertyId בקרת מכשירים.

Microsoft Defender המאפיין Portal	מזהה מאפיין פקד מכשיר
שם מדיה	FriendlyNameId
מזהה ספק	HardwareId
מזהה מכשיר	InstancePathId
מספר סידורי	SerialNumberId

הערה

ודא כי האובייקט שנבחר כולל את מחלקת המדיה הנכונה עבור המדיניות. באופן כללי, עבור אחסון נשלף, השתמש ב- Class Name == USB.

קביעת תצורה של קבוצות Intune, XML ב- Windows או JSON ב- Mac

באפשרותך להגדיר קבוצות ב- Intune, באמצעות קובץ XML עבור Windows, או באמצעות קובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.

הערה

ה Group Id - in XML וב id - JSON משמש לזיהוי הקבוצה בפקד המכשיר. הוא אינו הפניה לכל משתמש אחר, כגון קבוצת משתמש במזהה Entra.

Intune

הגדרות לשימוש חוזר ב- Intune מפה לקבוצות מכשירים. באפשרותך לקבוע את התצורה של הגדרות לשימוש חוזר ב- Intune.

קיימים שני סוגים של קבוצות: התקן מדפסת ואחסון נשלף. הטבלה הבאה מפרטת את המאפיינים עבור קבוצות אלה.

סוג קבוצה	מאפיינים
התקן מדפסת	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
אחסון נשלף	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

מקטע ה- XML הבא מציג את התחביר עבור קבוצות תואמות:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group> 

הטבלה הבאה מתארת מאפיינים עבור קבוצות.

שם מאפיין	תיאור	אפשרויות
Group Id	GUID, מזהה ייחודי, מייצג את הקבוצה ותשמש במדיניות.	באפשרותך ליצור את המזהה באמצעות PowerShell.
Type	סוג הקבוצה	התקן (ברירת מחדל) סוגי הקבוצות האחרים (File, , VPNConnectionPrintJob, Network) יכולים לשמש עבור תנאים מתקדמים. הסוג עבור קבוצות המשמשות עם כללים הוא Device, שהוא ברירת המחדל.
MatchType	האלגוריתם התואם שנמצא בשימוש	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	רשימת המאפיינים שהוערכת להכללה בקבוצה	ראה מאפייני DescriptionIdList (מקטע אחרי טבלה זו)

מאפייני DescriptionIdList

ניתן לכלול את המאפיינים המתוארים בטבלה הבאה ב:DescriptionIdList

מאפיין	תיאור
PrimaryId	כולל RemovableMediaDevices, CdRomDevices, WpdDevicesו- PrinterDevices.
InstancePathId	מחרוזת המזהה באופן ייחודי את ההתקן במערכת, לדוגמה, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0. הוא תואם לנתיב מופע המכשיר ב- מנהל ההתקנים- Windows. המספר בסוף (לדוגמה) מייצג את &0החריץ הזמין וייתכן שהוא ישתנה מהמכשיר למכשיר. לקבלת התוצאות הטובות ביותר, השתמש בתו כללי בסוף. לדוגמה: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*
DeviceId	כדי להמיר נתיב מופע של מכשיר לתבנית 'מזהה מכשיר', השתמש במזהי USB רגילים, כגון דוגמה זו: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	מחרוזת המזהה את ההתקן במערכת, כגון USBSTOR\DiskGeneric_Flash_Disk___8.07. הוא תואם למזהה החומרה ב- מנהל ההתקנים ב- Windows. זכור כי אינו ייחודי HardwareId ; מכשירים שונים עשויים לשתף ערך זהה.
FriendlyNameId	מחרוזת המצורפת למכשיר, כגון Generic Flash Disk USB Device. הוא תואם לשם הידידותי ב- מנהל ההתקנים ב- Windows.
BusId	לדוגמה, USB, SCSI
SerialNumberId	ניתן למצוא מתוך SerialNumberId נתיב מופע מכשיר ב- מנהל ההתקנים- Windows. לדוגמה, 03003324080520232521 הוא ב-SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- מזהה ספק הוא קוד הספק בן ארבע הספרות שועדת ה- USB מקצה לספק. - מזהה מוצר הוא קוד המוצר בן ארבע הספרות שהספק מקצה למכשיר. הוא תומך בתווים כלליים. - כדי להמיר נתיב מופע התקן לתבנית מזהה ספק ומזהה מוצר, השתמש במזהי USB רגילים. להלן כמה דוגמאות: 0751_55E0: התאם את הזוג המדויק הזה של VID/PID _55E0: התאם כל מדיה באמצעות PID=55E0 0751_: התאם כל מדיה באמצעות VID=0751
DeviceEncryptionStateId	מצב ההצפנה של BitLocker - Plain או BitlockerEncrpted

להלן כמה דוגמאות להגדרות קבוצת מכשירים במאגר דוגמאות לבקרת המכשיר:

• קבוצת מכשירים לפי מזהה נתיב מופע
• קבוצת מכשירים לפי VID_PID
• קבוצת מכשירים לפי מזהה ראשי

JSON (Mac)

המקטע הבא של JSON מציג את התחביר עבור הגדרת קבוצות ב- Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    } 

הטבלה הבאה מתארת מאפיינים עבור קבוצות:

מאפיין	תיאור	אפשרויות
$type	סוג הקבוצה	מכשיר
id	GUID, מזהה ייחודי, מייצג את הקבוצה שבה יש להשתמש במדיניות.	באפשרותך ליצור את המזהה באמצעות ה- cmdlet Windows PowerShell New-Guid או באמצעות uuidgen הפקודה ב- macOS
name	שם ידידותי עבור הקבוצה.	מחרוזת
query	כיסוי המדיה תחת קבוצה זו	עיין בטבלאות מאפייני השאילתה שלהלן לקבלת פרטים.

השאילתה תומכת בכל הסוגים וכן (זהה לכולם), בסוגים כלשהם או (זהים לכל סוג). זוהי הלוגיקה המשמשת לשילוב המאפיינים במשפטים.

הערכים הבאים נתמכים כפסוקיות:

סעיף $type	ערך:	תיאור
primaryId	אחת מתוך: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	מחרוזת הקסדצימאלית בת ארבע ספרות	התאמה מזהה ספק של מכשיר
productId	מחרוזת הקסדצימאלית בת ארבע ספרות	התאמה מזהה מוצר של מכשיר
serialNumber	מחרוזת	התאמה למספר הסידורי של המכשיר. אינו תואם אם למכשיר אין מספר סידורי.
encryption	תות שדה	התאם אם מכשיר מוצפן באמצעותpfs.
groupId	מחרוזת UUID	התאם אם מכשיר הוא חבר בקבוצה אחרת. הערך מייצג את ה- UUID של הקבוצה שברצונך להתאים מולה. יש להגדיר את הקבוצה בתוך המדיניות לפני המשפט.

להלן שאילתה לדוגמה:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      } 

ניתן לערוך את שאילתת הדוגמה שלנו כדי לקבל אופן פעולה שווה-ערך ל- ExcludedMatchAll ול- ExcludedMatchAny באמצעות הסוג "not", באופן הבא:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

} 

שאילתה זו תואמת לכל המכשירים שאינם כוללים את המספר הסידורי שצוין.

תנאים מתקדמים

ניתן להגביל עוד יותר ערכים בהתבסס על פרמטרים. פרמטרים מחילים תנאים מתקדמים מעבר למכשיר. תנאים מתקדמים מאפשרים שליטה משוקלפת המבוססת על עבודה ברשת, חיבור VPN, משימת קובץ או הדפסה.

הערה

תנאים מתקדמים נתמכים בתבנית XML בלבד.

תנאי רשת

הטבלה הבאה מתארת את מאפייני קבוצת הרשת:

מאפיין	תיאור
NameId	שם הרשת. תווים כלליים נתמכים.
NetworkCategoryId	האפשרויות החוקית הן Public, Privateאו DomainAuthenticated.
NetworkDomainId	האפשרויות החוקית הן NonDomain, Domain, DomainAuthenticated.

מאפיינים אלה נוספים ל- DescriptorIdList של קבוצה מסוג רשת. הנה מקטע לדוגמה:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

תנאי חיבור VPN

הטבלה הבאה מתארת תנאי חיבור VPN:

Name	תיאור
NameId	שם חיבור ה- VPN. תווים כלליים נתמכים.
VPNConnectionStatusId	ערכים חוקיים הם או ConnectedDisconnected.
VPNServerAddressId	ערך המחרוזת של VPNServerAddress. תווים כלליים נתמכים.
VPNDnsSuffixId	ערך המחרוזת של VPNDnsSuffix. תווים כלליים נתמכים.

מאפיינים אלה נוספים ל- DescriptorIdList של קבוצה מסוג VPNConnection, כפי שמוצג במקטע הבא:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שממחיש במקטע הבא:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

תנאי משימת הדפסה

הטבלה הבאה מתארת PrintJob מאפייני קבוצה:

Name	תיאור
PrintOutputFileNameId	נתיב קובץ היעד של הפלט להדפסה לקובץ. תווים כלליים נתמכים. לדוגמה C:\*\Test.pdf
PrintDocumentNameId	נתיב קובץ המקור. תווים כלליים נתמכים. ייתכן שנתיב זה לא קיים. לדוגמה, הוסף טקסט לקובץ חדש ב'פנקס רשימות' ולאחר מכן הדפס מבלי לשמור את הקובץ.

מאפיינים אלה מתווספים DescriptorIdList לקבוצה מסוג PrintJob, כפי שממחיש במקטע הבא:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

השלבים הבאים

• הצגת אירועים ומידע של בקרת מכשיר Microsoft Defender עבור נקודת קצה
• פריסה וניהול של בקרת מכשירים Microsoft Defender עבור נקודת קצה באמצעות Microsoft Intune
• פריסה וניהול של בקרת מכשירים Microsoft Defender עבור נקודת קצה באמצעות מדיניות קבוצתית
• בקרת מכשיר עבור macOS