פריסה וניהול של בקרת מכשירים Microsoft Defender עבור נקודת קצה באמצעות Microsoft Intune

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

אם אתה משתמש ב- Intune של Defender for Endpoint, באפשרותך להשתמש בו כדי לפרוס ולנהל יכולות של בקרת מכשירים. היבטים שונים של בקרת מכשירים מנוהלים באופן Intune, כמתואר בסעיפים הבאים.

קביעת תצורה וניהול של בקרת מכשיר Intune

1. עבור אל Intune הניהול והיכנס.

2. עבור אל הפחתת פני השטח של התקפה>של נקודת קצה.

3. תחת מדיניות הפחתת פני השטח של ההתקפה, בחר מדיניות קיימת, או בחר + Create מדיניות כדי להגדיר מדיניות חדשה, באמצעות הגדרות אלה:

   • ברשימה פלטפורמה, בחר Windows 10, Windows 11 ו- Windows Server. (בקרת מכשיר אינה נתמכת כעת ב- Windows Server, למרות שאתה בוחר פרופיל זה עבור מדיניות בקרת מכשירים.)
   • ברשימה פרופיל, בחר בקרת מכשיר.

4. בכרטיסיה יסודות , ציין שם ותיאור עבור המדיניות שלך.

5. בכרטיסיה הגדרות תצורה , תראה רשימה של הגדרות. אין צורך לקבוע את התצורה של כל ההגדרות בבת אחת. שקול להתחיל להשתמש ב'בקרת מכשירים'.

   

   • תחת תבניות ניהול, יש לך הגדרות של התקנת מכשיר וגישהלאחסון נשלף .
   • תחת Defender, ראה אפשר הגדרות סריקה מלאה של כונן נשלף .
   • תחת הגנה על נתונים, ראה אפשר הגדרות גישה ישירה לזיכרון .
   • תחת Dma Guard, ראה הגדרות מדיניות ספירת מכשיר.
   • תחת אחסון, ראה הגדרות גישה לכתיבה מנע כתיבה של דיסק נשלף.
   • תחת קישוריות, ראה אפשר חיבור USB** ו-אפשר הגדרות Bluetooth .
   • תחת Bluetooth, ראה רשימה של הגדרות הקשורות לחיבורים ושירותים של Bluetooth. לקבלת פרטים נוספים, ראה CSP של מדיניות - Bluetooth.
   • תחת בקרת מכשירים, באפשרותך לקבוע תצורה של פריטי מדיניות מותאמים אישית עם הגדרות לשימוש חוזר. לקבלת פרטים נוספים, ראה מבט כולל על בקרת מכשיר: כללים.

6. לאחר קביעת התצורה של ההגדרות שלך, המשך אל הכרטיסיה תגיות טווח , שבה תוכל לציין תגי טווח עבור המדיניות.

7. בכרטיסיה מטלות , ציין קבוצות של משתמשים או מכשירים כדי לקבל את המדיניות שלך. לקבלת פרטים נוספים, ראה הקצאת פריטי מדיניות ב- Intune.

8. בכרטיסיה סקירה + יצירה , סקור את ההגדרות שלך ובצע את השינויים הדרושים.

9. כשתהיה מוכן, בחר באפשרות Create כדי ליצור את מדיניות בקרת המכשיר שלך.

פרופילי בקרת מכשירים

ב Intune, כל שורה מייצגת מדיניות בקרת מכשירים. המזהה הכלול הוא ההגדרה הניתנת לשימוש חוזר שהמדיניות חלה עליה. המזהה שלא נכלל הוא ההגדרה לשימוש חוזר שלא נכללה במדיניות. הערך עבור המדיניות מכיל את ההרשאות המותרות ואת אופן הפעולה עבור בקרת מכשירים התפקודי כאשר המדיניות חלה.

לקבלת מידע אודות אופן ההוספה של קבוצות ההגדרות הניתנות לשימוש חוזר הכלולות בשורה של כל מדיניות בקרת מכשירים, עיין בסעיף הוספת קבוצות לשימוש חוזר לפרופיל 'בקרת מכשירים' במאמר שימוש בקבוצות הגדרות לשימוש חוזר עם Intune מדיניות.

ניתן להוסיף ולהוסרו פריטי מדיניות באמצעות הסמלים + ו - . שם המדיניות מופיע באזהרות למשתמשים, ובדוחות ציד מתקדמים.

באפשרותך להוסיף פריטי מדיניות ביקורת ולהוסיף פריטי מדיניות של התרה/דחייה. מומלץ להוסיף תמיד מדיניות 'אפשר' ו/או 'דחה' בעת הוספת מדיניות ביקורת כדי שלא תיתקל בתוצאות בלתי צפויות.

חשוב

אם אתה מגדיר מדיניות ביקורת בלבד, ההרשאות עוברות בירושה מהגדרת האכיפה המהווה ברירת מחדל.

הערה

• הסדר שבו פריטי המדיניות מפורטים בממשק המשתמש אינו נשמר עבור אכיפת מדיניות. שיטות העבודה המומלצות היא להשתמש במדיניות התרה/דחייה. ודא שהאפשרות 'אפשר/מנע מדיניות ' אינה מצטלבות על-ידי הוספת מכשירים באופן מפורש שלא ייכללו. באמצעות Intune הגרפי של המשתמש, לא ניתן לשנות את אכיפת ברירת המחדל. אם תשנה את אכיפת ברירת המחדל ל'מנע', כל מדיניות התרה תכלול פעולות חסימה.

הגדרת הגדרות עם OMA-URI

חשוב

שימוש Intune OMA-URI כדי לקבוע את התצורה של בקרת ההתקן מחייב ניהול עומס העבודה של תצורת המכשיר על-ידי Intune, אם המכשיר מנוהל במשותפים עם Configuration Manager. לקבלת מידע נוסף, ראה כיצד Configuration Manager עומסי העבודה Intune.

בטבלה הבאה, זהה את ההגדרה שברצונך לקבוע את תצורתה ולאחר מכן השתמש במידע שב- OMA-URI ובסוג הנתונים & עמודות ערכים. ההגדרות מפורטות בסדר אלפביתי.

הגדרה	OMA-URI, סוג נתונים, & ערכים
אכיפת ברירת מחדל של בקרת מכשיר אכיפת ברירת מחדל קובעת אילו החלטות יבוצעו במהלך בדיקת גישה לבקרת מכשיר כאשר אף אחד בכללי המדיניות אינו תואם	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement מספר שלם: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
סוגי מכשירים סוגי מכשירים, המזהים הראשיים שלהם, כאשר הגנה על בקרת מכשיר מופעלת	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration מחרוזת: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
הפוך בקרת מכשיר לזמינה הפעלה או ביטול של בקרת מכשיר במכשיר	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled מספר שלם: - להפוך ללא זמין = 0 - הפוך לזמין = 1
מיקום מרוחק של נתוני ראיות בקרת מכשיר מעבירה נתוני ראיות שנלכדו	./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation מחרוזת
משך זמן של מטמון ראיות מקומי הגדרת תקופת השמירה בימים עבור קבצים במטמון בקרת המכשיר המקומי	./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod מספר שלם דוגמה: 60 (60 ימים)

יצירת פריטי מדיניות באמצעות OMA-URI

בעת יצירת פריטי מדיניות עם OMA-URI ב- Intune, צור קובץ XML אחד עבור כל מדיניות. כשם עבודה מומלצת, השתמש בפרופיל 'פרופיל בקרת מכשיר' או 'פרופיל כללי בקרת מכשיר' כדי לערוך פריטי מדיניות מותאמים אישית.

בחלונית הוספת שורה , ציין את ההגדרות הבאות:

• בשדה שם , הקלד Allow Read Activity.
• בשדה OMA-URI , הקלד /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData.
• בשדה סוג נתונים, בחר מחרוזת (קובץ XML) והשתמש ב- XML מותאם אישית.

באפשרותך להשתמש בפרמטרים כדי להגדיר תנאים עבור ערכים ספציפיים. להלן קובץ XML לדוגמה של קבוצה עבור אפשר גישת קריאה עבור כל אחסון נשלף.

הערה

ניתן להשתמש בהערות באמצעות סימון הערת XML בקבצים Rule ו- Group XML, אך הן חייבות להיכלל בתג XML הראשון, ולא בשורה הראשונה של קובץ ה- XML.

יצירת קבוצות עם OMA-URI

בעת יצירת קבוצות עם OMA-URI ב- Intune, צור קובץ XML אחד עבור כל קבוצה. כשם עבודה מומלצת, השתמש בהגדרות לשימוש חוזר כדי להגדיר קבוצות.

בחלונית הוספת שורה , ציין את ההגדרות הבאות:

• בשדה שם , הקלד Any Removable Storage Group.
• בשדה OMA-URI , הקלד ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (כדי לקבל את מזהה הקבוצה שלך, במרכז Intune, עבור אל קבוצות ולאחר מכן בחר העתק את מזהה האובייקט.)
• בשדה סוג נתונים, בחר מחרוזת (קובץ XML) והשתמש ב- XML מותאם אישית.

הערה

ניתן להשתמש בהערות באמצעות סימון הערת XML <!-- COMMENT -- > בקבצים Rule ו- Group XML, אך הן חייבות להיכלל בתג XML הראשון, ולא בשורה הראשונה של קובץ ה- XML.

קביעת תצורה של בקרת גישה לאחסון נשלף באמצעות OMA-URI

1. עבור אל Microsoft Intune הניהול והיכנס.

2. בחר פרופילי>תצורה של מכשירים. הדף פרופילי תצורה מופיע.

3. תחת הכרטיסיה פריטי מדיניות (נבחרת כברירת מחדל), בחר + Create ובחר + מדיניות חדשה מהרשימה הנפתחת שמופיעה. הדף Create מופיע דף פרופיל.

4. ברשימה הנפתחת פלטפורמה, Windows 10, Windows 11 ו- Windows Server מהרשימה הנפתחת פלטפורמה ובחר תבניות מהרשימה הנפתחת סוג פרופיל.

   לאחר בחירת תבניות מהרשימההנפתחת סוג פרופיל, החלונית שם תבנית מוצגת, יחד עם תיבת חיפוש (כדי לחפש בשם הפרופיל).

5. בחר מותאם אישית מתוך חלונית שם התבנית ובחר Create.

6. Create שורה עבור כל הגדרה, קבוצה או מדיניות על-ידי יישום שלבים 1-5.

הצגת קבוצות בקרת מכשירים (הגדרות לשימוש חוזר)

ב Intune, קבוצות בקרת מכשירים מופיעות כהגדרות הניתנות לשימוש חוזר.

1. עבור אל Microsoft Intune הניהול והיכנס.

2. עבור אל Endpoint Security Attack>Surface Reduction.

3. בחר את הכרטיסיה הגדרות לשימוש חוזר .

למידע נוסף

• בקרת מכשיר ב- Defender עבור נקודת קצה
• מדיניות והגדרות של בקרת מכשירים
• בקרת מכשיר עבור macOS