מדיניות בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender for Business
מאמר זה מתאר מדיניות בקרת מכשירים, כללים, ערכים, קבוצות ותנאים מתקדמים. למעשה, פריטי מדיניות של בקרת מכשיר מגדירים גישה עבור קבוצה של מכשירים. המכשירים בטווח נקבעים לפי רשימה של קבוצות מכשירים כלולות ורשימה של קבוצות מכשירים שלא נכללו. מדיניות חלה אם המכשיר נמצא בכל קבוצות המכשירים הכלולות או אף אחת מקבוצות המכשירים שלא נכללו. אם לא חלים פריטי מדיניות, אכיפת ברירת המחדל מוחלת.
כברירת מחדל, בקרת התקן אינה זמינה, כך שניתן לגשת לכל סוגי המכשירים. לקבלת מידע נוסף על בקרת מכשירים, ראה בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה.
שליטה באופן הפעולה המהווה ברירת מחדל
כאשר בקרת מכשיר מופעלת, היא מופעלת עבור כל סוגי המכשירים כברירת מחדל. ניתן גם לשנות את אכיפת ברירת המחדל מ'אפשר' ל'מנע'. צוות האבטחה שלך יכול גם לקבוע את תצורת סוגי המכשירים שפקדי המכשירים מגנים עליו. הטבלה הבאה ממחישה כיצד שילובים שונים של הגדרות משתנים את החלטת בקרת הגישה.
האם בקרת מכשירים זמינה? | אופן הפעולה המהווה ברירת מחדל | סוגי מכשירים |
---|---|---|
לא | Access מותר | - כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows |
כן | (לא צוין) Access מותר |
- כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows |
כן | להכחיש | - כונני תקליטור/DVD -מדפסות - התקני מדיה נשלפת - מכשירים ניידים של Windows |
כן | דחיית התקני מדיה נשלפים ומדפסות | - מדפסות והתקני מדיה נשלפת (חסומים) - כונני תקליטור/DVD ומכשירים ניידים של Windows (מותר) |
כאשר סוגי מכשירים מוגדרים, בקרת המכשיר ב- Defender for Endpoint מתעלמת מבקשות למשפחות מכשירים אחרות.
לקבלת מידע נוסף, עיין במאמרים הבאים:
מדיניות
כדי למקד עוד יותר את הגישה למכשירים, בקרת המכשיר משתמשת במדיניות. מדיניות היא קבוצה של כללים וקבוצות. האופן בו כללים וקבוצות מוגדרים משתנה מעט בין חוויות ניהול ומערכות הפעלה, כמתואר בטבלה הבאה.
כלי ניהול | מערכת הפעלה | כיצד מנוהלים כללים וקבוצות |
---|---|---|
Intune – מדיניות בקרת מכשירים | Windows | ניתן לנהל קבוצות מכשירים ומדפסות כהגדרות לשימוש חוזר ולכלול אינן נכללות בכללים. לא כל התכונות זמינות במדיניות בקרת המכשיר (ראה פריסה וניהול של בקרת מכשיר באמצעות Microsoft Intune) |
Intune – מותאם אישית | Windows | כל קבוצה/כלל מאוחסן כמחרוזת XML במדיניות תצורה מותאמת אישית. ה- OMA-URI מכיל את ה- GUID של הקבוצה/הכלל. יש ליצור את ה- GUID. |
מדיניות קבוצתית | Windows | הקבוצות והכללים מוגדרים בהגדרות XML נפרדות באובייקט המדיניות הקבוצתית (ראה פריסה וניהול של בקרת מכשירים באמצעות מדיניות קבוצתית). |
Intune | Mac | הכללים ופריטי המדיניות משולבים ב- JSON mobileconfig יחיד ונכללים בקובץ שנפרס באמצעות Intune |
ריבה (JAMF) | Mac | הכללים והמדיניות משולבים ב- JSON אחד ומוגדר באמצעות JAMF כמדיניות בקרת המכשיר (ראה בקרת מכשיר עבור macOS) |
כללים וקבוצות מזוהים באמצעות מזהה ייחודי כללי (GUID). אם פריטי מדיניות של בקרת מכשירים נפרסים באמצעות כלי ניהול שאינו Intune, יש ליצור את מזהי ה- GUID. באפשרותך ליצור את מזהי ה- GUID באמצעות PowerShell.
לקבלת פרטי סכימה, ראה סכימת JSON עבור Mac.
משתמשים
ניתן להחיל מדיניות בקרת מכשיר על משתמשים ו/או קבוצות משתמשים.
הערה
במאמרים הקשורים לבקרת מכשירים, קבוצות של משתמשים נקראות קבוצות משתמשים. קבוצות המונחים מפנות לקבוצות המוגדרות במדיניות בקרת המכשירים.
באמצעות Intune, ב- Mac וב- Windows, ניתן לייעד פריטי מדיניות של בקרת מכשירים לקבוצות משתמשים המוגדרות במזהה Entra.
ב- Windows, משתמש או קבוצת משתמשים יכולים להיות תנאי בערך במדיניות.
ערכים עם קבוצות משתמשים או משתמשים יכולים להפנות לאובייקטים ממזהה Entra או מ- Active Directory מקומי.
שיטות עבודה מומלצות לשימוש בפקד מכשיר עם משתמשים וקבוצות משתמשים
כדי ליצור כלל עבור משתמש בודד ב- Windows,
Sid
צור ערך עם תנאי של משתמש קיצור בכללכדי ליצור כלל עבור קבוצת משתמשים ב- Windows וב- Intune ,
Sid
צור ערך עם תנאי עבור כל קבוצת משתמשים ב[כלל] ויעד את המדיניות לקבוצת מחשב ב- Intune או צור כלל ללא תנאים ויעד את המדיניות באמצעות Intune לקבוצת המשתמשים.ב- Mac, השתמש ב- Intune ויעד את המדיניות לקבוצת משתמשים במזהה Entra.
אזהרה
אל תשתמש הן בתנאים של משתמש/קבוצת משתמשים בכללים והן במיקוד קבוצת משתמשים ב- Intune.
הערה
אם קישוריות הרשת היא בעיה, השתמש במיקוד קבוצת משתמשים של Intune או בקבוצות Active Directory מקומיות. יש להשתמש בתנאים של קבוצת משתמשים/משתמשים המפנה למזהה Entra רק בסביבות הכוללות חיבור מהימן למזהה Entra.
כללים
כלל מגדיר את רשימת הקבוצות הכלולות ורשימה של קבוצות שלא נכללו. כדי שהכלל יחול, המכשיר חייב להיכלל בכל הקבוצות הכלולות ולא להוסיף אף אחת מהקבוצות שלא נכללו. אם ההתקן תואם לכלל, הערכים עבור כלל זה מוערכים. ערך מגדיר את אפשרויות הפעולה וההודעה שהוחלו, אם הבקשה תואמת לתנאים. אם לא חלים כללים או שאין ערכים התואמים לבקשה, אכיפת ברירת המחדל מוחלת.
לדוגמה, כדי לאפשר גישת כתיבה עבור התקני USB מסוימים, וגישת קריאה עבור כל מכשירי ה- USB האחרים, השתמש במדיניות, בקבוצות ובערכים הבאים עם אכיפה המוגדרת כברירת מחדל כדי למנוע זאת.
קבוצה | תיאור |
---|---|
כל התקני האחסון הנשלף | התקני אחסון נשלפים |
USBs ניתנים לכתיבה | רשימה של USB שבהם מותרת גישת כתיבה |
כלל | קבוצות מכשירים כלולות | קבוצות מכשירים שלא נכללו | ערך |
---|---|---|---|
גישת קריאה בלבד עבור USBs | כל התקני האחסון הנשלף | USBs ניתנים לכתיבה | גישה לקריאה בלבד |
גישת כתיבה עבור USBs | USBs ניתנים לכתיבה | גישת כתיבה |
שם הכלל מופיע בפורטל לדיווח ובהודעה המורמת למשתמשים, לכן הקפד לתת לכללים שמות תיאוריים.
באפשרותך לקבוע את התצורה של כללים על-ידי עריכת פריטי מדיניות ב- Intune, שימוש בקובץ XML ב- Windows או שימוש בקובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.
התמונה הבאה מתארת הגדרות תצורה עבור מדיניות בקרת מכשיר ב- Intune:
בצילום המסך, המזהה הכלול ומזהה לא נכלל הם ההפניות לקבוצות הגדרות הכלולות ולא נכללו לשימוש חוזר. מדיניות יכולה לכלול כללים מרובים.
Intune לא מכבד את סדר הכללים. ניתן להעריך את הכללים בכל סדר, לכן הקפד לא לכלול במפורש קבוצות של מכשירים שאינן בטווח עבור הכלל.
ערכי
פריטי מדיניות בקרת מכשיר מגדירים גישה (הנקראת ערך) עבור קבוצת מכשירים. ערכים מגדירים את אפשרויות הפעולה וההודעות עבור מכשירים התואמים למדיניות ולתנאים שהוגדרו בערך.
הגדרת ערך | אפשרויות |
---|---|
AccessMask | החלת הפעולה רק אם פעולות הגישה תואמות למסיכה של הגישה - מסיכת הגישה היא מסוג BIT-wise OR של ערכי הגישה: 1 - קריאת מכשיר 2 - כתיבה במכשיר 4 - ביצוע מכשיר 8 - קריאת קובץ 16 - כתיבת קובץ 32 - ביצוע קובץ 64 - הדפסה לדוגמה: קריאה, כתיבה וביצוע של מכשיר = 7 (1+2+4) קריאה בהתקן, קריאת דיסק = 9 (1+8) |
פעולה | אפשר להכחיש זרימת ביקורת ערך ביקורת |
ההודעות | ללא (ברירת מחדל) אירוע נוצר המשתמש מקבל הודעה עדויות על קבצים נלכדו |
אם התצורה של בקרת המכשיר נקבעה, ומשתמש מנסה להשתמש במכשיר אסור, המשתמש מקבל הודעה המכילה את השם של מדיניות בקרת המכשיר ואת שם המכשיר. ההודעה מופיעה פעם בשעה לאחר שהגישה ההתחלתית נדחתה.
ערך תומך בתנאים האופציונליים הבאים:
- תנאי משתמש/קבוצת משתמשים: החלת הפעולה רק על קבוצת המשתמש/המשתמש המזוהה על-ידי ה- SID
הערה
עבור קבוצות משתמשים ומשתמשים המאוחסנים במזהה Entra של Microsoft, השתמש במזהה האובייקט בתנאי. עבור קבוצות משתמשים ומשתמשים המאוחסנים באופן מקומי, השתמש במזהה האבטחה (SID)
הערה
ב- Windows, ניתן לאחזר את ה- SID של המשתמש שנכנס על-ידי הפעלת הפקודה PowerShell whoami /user
.
- מצב מחשב: החלת הפעולה רק על המכשיר/הקבוצה המזוהים על-ידי ה- SID
- תנאי פרמטרים: החלת הפעולה רק אם הפרמטרים תואמים (ראה תנאים מתקדמים)
ניתן להמשיך ולהוסיף טווח לערכים למשתמשים ולמכשירים ספציפיים. לדוגמה, אפשר גישת קריאה לאתרי USB אלה עבור משתמש זה בלבד במכשיר זה.
מדיניות | קבוצות מכשירים כלולות | קבוצות מכשירים שלא נכללו | הזנה(ies) |
---|---|---|---|
גישת קריאה בלבד עבור USBs | כל התקני האחסון הנשלף | USBs ניתנים לכתיבה | גישה לקריאה בלבד |
גישת כתיבה עבור USBs | USBs ניתנים לכתיבה | גישת כתיבה עבור משתמש 1 גישת כתיבה עבור משתמש 2 בקבוצת מכשירים א' |
כל התנאים בערך חייבים להיות True כדי להחיל את הפעולה.
באפשרותך להגדיר ערכים באמצעות Intune, קובץ XML ב- Windows או קובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.
ב- Intune, השדה 'מסיכת Access ' כולל אפשרויות, כגון:
- קריאה (קריאה ברמת הדיסק = 1)
- כתיבה (כתיבה ברמת הדיסק = 2)
- Execute (Disk Level Execute = 4)
- הדפסה (הדפסה = 64).
לא כל התכונות מוצגות בממשק המשתמש של Intune. לקבלת מידע נוסף, ראה פריסה וניהול של בקרת מכשיר באמצעות Intune.
קבוצות
קבוצות מגדירות קריטריונים לסינון אובייקטים לפי המאפיינים שלהן. האובייקט מוקצה לקבוצה אם המאפיינים שלו תואמים למאפיינים שהוגדרו עבור הקבוצה.
הערה
קבוצות במקטע זה אינן מפנותלקבוצות משתמשים.
לדוגמה:
- יצרני USB מותרים הם כל המכשירים התואמים ליצרנים אלה
- USBS אבודים הם כל המכשירים התואמים לכל אחד מהמספרים הסידוריים האלה
- מדפסות מותרות הן כל ההתקנים התואמים לכל אחד ממדפסות VID/PID אלה
ניתן להתאים את המאפיינים בארבע דרכים: MatchAll
, MatchAny
, MatchExcludeAll
, ו- MatchExcludeAny
-
MatchAll
: המאפיינים הם קשר גומלין של "וגם"; לדוגמה, אם מנהל המערכת מציבDeviceID
InstancePathID
ו- , עבור כל USB מחובר, המערכת בודקת אם ה- USB עומד בשני הערכים. -
MatchAny
: המאפיינים הם קשר גומלין של "או"; לדוגמה, אם מנהל המערכת מציב DeviceIDInstancePathID
ו- , עבור כל USB מחובר, המערכת אוכפת כל עוד ל- USB יש ערךDeviceID
זהה אוInstanceID
זהה. -
MatchExcludeAll
: המאפיינים הם קשר גומלין של "וגם", כל הפריטים שאינם עומדים בדרישות מכוסים. לדוגמה, אם מנהל המערכת מציבInstancePathID
MatchExcludeAll
DeviceID
ומשתמש ב- , עבור כל USB מחובר, המערכת אוכפת כל עוד ה- USB אינו כולל הן זהותDeviceID
והן ערך.InstanceID
-
MatchExcludeAny
: המאפיינים הם קשר גומלין של "או", כל הפריטים שאינם עומדים בדרישות מכוסים. לדוגמה, אם מנהל המערכת מציבInstancePathID
MatchExcludeAny
DeviceID
ומשתמש ב- , עבור כל USB מחובר, המערכת אוכפת כל עוד ה- USB אינו כולל ערךDeviceID
זהה אוInstanceID
זהה.
קבוצות משמשות בשתי דרכים: כדי לבחור מכשירים להכללה/אי הכללה בכללים, ולסנן גישה לקבלת תנאים מתקדמים. טבלה זו מסכמת את סוגי הקבוצה ואת אופן השימוש בהם.
סוג | תיאור | O/S | הכללה/אי-הכללה של כללים | תנאים מתקדמים |
---|---|---|---|---|
התקן (ברירת מחדל) | סינון התקנים ומדפסות | Windows/Mac | X | |
רשת | סינון תנאי רשת | Windows | X | |
חיבור VPN | סנן תנאי VPN | Windows | X | |
קובץ | מאפייני קובץ סינון | Windows | X | |
משימת הדפסה | מאפייני מסנן של הקובץ המודפס | Windows | X |
המכשירים בטווח עבור המדיניות שנקבעה על-ידי רשימה של קבוצות כלולות ורשימה של קבוצות שלא נכללו. כלל חל אם המכשיר נמצא בכל הקבוצות הכלולות לאף אחת מהקבוצות שלא נכללו. ניתן לחבר קבוצות מתוך מאפייני המכשירים. ניתן להשתמש במאפיינים הבאים:
המאפיין | תיאור | מכשירי Windows | מכשירי Mac | מדפסות |
---|---|---|---|---|
FriendlyNameId |
השם הידידותי במנהל ההתקנים של Windows | Y | N | Y |
PrimaryId |
סוג המכשיר | Y | Y | Y |
VID_PID |
מזהה ספק הוא קוד הספק בן ארבע הספרות שועדת ה- USB מקצה לספק. Product ID הוא קוד המוצר בן ארבע הספרות שהספק מקצה למכשיר. תווים כלליים נתמכים. לדוגמה 0751_55E0 |
Y | N | Y |
PrinterConnectionId |
סוג חיבור המדפסת: -Usb - חברה -רשת -אוניברסלי -קובץ -מותאמים אישית -מקומי |
N | N | Y |
BusId |
מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו) | Y | N | N |
DeviceId |
מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו) | Y | N | N |
HardwareId |
מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו) | Y | N | N |
InstancePathId |
מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו) | Y | N | N |
SerialNumberId |
מידע אודות המכשיר (לקבלת מידע נוסף, עיין במקטעים שמופיעים אחרי טבלה זו) | Y | Y | N |
PID |
Product ID הוא קוד המוצר בן ארבע הספרות שהספק מקצה למכשיר | Y | Y | N |
VID |
מזהה ספק הוא קוד הספק בן ארבע הספרות שועדת ה- USB מקצה לספק. | Y | Y | N |
DeviceEncryptionStateId |
(תצוגה מקדימה) מצב ההצפנה של BitLocker של מכשיר. ערכים חוקיים הם או BitlockerEncrypted Plain |
Y | N | N |
APFS Encrypted |
אם המכשיר מוצפן באמצעות APFS | N | Y | N |
שימוש במנהל ההתקנים של Windows כדי לקבוע מאפייני מכשיר
עבור מכשירי Windows, באפשרותך להשתמש במנהל ההתקנים כדי להבין את מאפייני המכשירים.
פתח את מנהל ההתקנים, אתר את המכשיר, לחץ באמצעות לחצן העכבר הימני על מאפיינים ולאחר מכן בחר בכרטיסיה פרטים.
ברשימת המאפיינים, בחר נתיב מופע התקן.
הערך המוצג עבור נתיב מופע המכשיר הוא
InstancePathId
, אך הוא מכיל גם מאפיינים אחרים:USB\VID_090C&PID_1000\FBH1111183300721
{BusId}\{DeviceId}\{SerialNumberId}
המאפיינים במנהל ההתקנים ממופים לבקרת מכשירים, כפי שמוצג בטבלה הבאה:
מנהל ההתקנים בקרת מכשיר מזהי חומרה HardwareId
שם ידידותי FriendlyNameId
האב VID_PID
DeviceInstancePath InstancePathId
שימוש בדוחות ובצייד מתקדם כדי לקבוע את מאפייני המכשירים
מאפייני המכשיר כוללים תוויות שונות במקצת בחיפוש מתקדם. הטבלה שלהלן ממופה את התוויות בפורטל למדיניות propertyId
בקרת מכשירים.
המאפיין Microsoft Defender Portal | מזהה מאפיין פקד מכשיר |
---|---|
שם מדיה | FriendlyNameId |
מזהה ספק | HardwareId |
מזהה מכשיר | InstancePathId |
מספר סידורי | SerialNumberId |
הערה
ודא כי האובייקט שנבחר כולל את מחלקת המדיה הנכונה עבור המדיניות. באופן כללי, עבור אחסון נשלף, השתמש ב- Class Name == USB
.
קביעת תצורה של קבוצות ב- Intune, XML ב- Windows או ב- JSON ב- Mac
באפשרותך לקבוע תצורה של קבוצות ב- Intune, באמצעות קובץ XML עבור Windows, או באמצעות קובץ JSON ב- Mac. בחר כל כרטיסיה לקבלת פרטים נוספים.
הערה
ה Group Id
- in XML וב id
- JSON משמש לזיהוי הקבוצה בפקד המכשיר. הוא אינו הפניה לכל משתמש אחר, כגון קבוצת משתמש במזהה Entra.
הגדרות לשימוש חוזר במיפוי Intune לקבוצות מכשירים. באפשרותך לקבוע את התצורה של הגדרות לשימוש חוזר ב- Intune.
קיימים שני סוגים של קבוצות: התקן מדפסת ואחסון נשלף. הטבלה הבאה מפרטת את המאפיינים עבור קבוצות אלה.
סוג קבוצה | מאפייני |
---|---|
התקן מדפסת | - FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID |
אחסון נשלף | - BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID |
תנאים מתקדמים
ניתן להגביל עוד יותר ערכים בהתבסס על פרמטרים. פרמטרים מחילים תנאים מתקדמים מעבר למכשיר. תנאים מתקדמים מאפשרים שליטה משוקלפת המבוססת על עבודה ברשת, חיבור VPN, משימת קובץ או הדפסה.
הערה
תנאים מתקדמים נתמכים בתבנית XML בלבד.
תנאי רשת
הטבלה הבאה מתארת את מאפייני קבוצת הרשת:
המאפיין | תיאור |
---|---|
NameId |
שם הרשת. תווים כלליים נתמכים. |
NetworkCategoryId |
האפשרויות החוקית הן Public , Private או DomainAuthenticated . |
NetworkDomainId |
האפשרויות החוקית הן NonDomain , Domain , DomainAuthenticated . |
מאפיינים אלה נוספים ל- DescriptorIdList של קבוצה מסוג רשת. הנה מקטע לדוגמה:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
<DescriptorIdList>
<NetworkCategoryId>Public</PathId>
<NetworkDomainId>NonDomain</PathId>
</DescriptorIdList>
</Group>
לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<Network MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
</Network>
</Parameters>
</Entry>
תנאי חיבור VPN
הטבלה הבאה מתארת תנאי חיבור VPN:
Name | תיאור |
---|---|
NameId |
שם חיבור ה- VPN. תווים כלליים נתמכים. |
VPNConnectionStatusId |
ערכים חוקיים הם או Connected Disconnected . |
VPNServerAddressId |
ערך המחרוזת של VPNServerAddress . תווים כלליים נתמכים. |
VPNDnsSuffixId |
ערך המחרוזת של VPNDnsSuffix . תווים כלליים נתמכים. |
מאפיינים אלה נוספים ל- DescriptorIdList של קבוצה מסוג VPNConnection, כפי שמוצג במקטע הבא:
<Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
<Name>Corporate VPN</Name>
<MatchType>MatchAll</MatchType>
<DescriptorIdList>
<NameId>ContosoVPN</NameId>
<VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
<VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
<VPNConnectionStatusId>Connected</VPNConnectionStatusId>
</DescriptorIdList>
</Group>
לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שממחיש במקטע הבא:
<Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
<Type>Allow</Type>
<Options>0</Options>
<AccessMask>64</AccessMask>
<Parameters MatchType="MatchAny">
<VPNConnection>
<GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
</VPNConnection>
</Parameters>
</Entry>
תנאי קובץ
הטבלה הבאה מתארת את מאפייני קבוצת הקבצים:
Name | תיאור |
---|---|
PathId |
מחרוזת, ערך של נתיב קובץ או שם. תווים כלליים נתמכים. ישים רק עבור קבוצות סוגי קבצים. |
הטבלה הבאה מדגימה כיצד מאפיינים נוספים לקבוצת DescriptorIdList
קבצים:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
<DescriptorIdList>
<PathId>*.exe</PathId>
<PathId>*.dll</PathId>
</DescriptorIdList>
</Group>
לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<File MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
</File>
</Parameters>
</Entry>
תנאי משימת הדפסה
הטבלה הבאה מתארת PrintJob
מאפייני קבוצה:
Name | תיאור |
---|---|
PrintOutputFileNameId |
נתיב קובץ היעד של הפלט להדפסה לקובץ. תווים כלליים נתמכים. לדוגמה C:\*\Test.pdf |
PrintDocumentNameId |
נתיב קובץ המקור. תווים כלליים נתמכים. ייתכן שנתיב זה לא קיים. לדוגמה, הוסף טקסט לקובץ חדש ב'פנקס רשימות' ולאחר מכן הדפס מבלי לשמור את הקובץ. |
מאפיינים אלה מתווספים DescriptorIdList
לקבוצה מסוג PrintJob
, כפי שממחיש במקטע הבא:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
<DescriptorIdList>
<PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
<PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
</DescriptorIdList>
</Group>
לאחר מכן, מתבצעת הפניה לקבוצה כפרמטרים בערך, כפי שמצוין במקטע הבא:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<PrintJob MatchType="MatchAny">
<GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
</PrintJob>
</Parameters>
</Entry>
תיית ראיות
באמצעות בקרת מכשיר, באפשרותך לאחסן ראיות לקבצים שהועתקו להתקנים נשלפים או שהועתקו. כאשר עדויות קובץ מופעלות, RemovableStorageFileEvent
נוצרת. אופן הפעולה של ראיות קובץ נשלט על-ידי אפשרויות בפעולה Allow, כמתואר בטבלה הבאה:
אפשרות | תיאור |
---|---|
8 |
צור אירוע RemovableStorageFileEvent באמצעות FileEvidenceLocation |
16 |
צור ללא RemovableStorageFileEvent FileEvidenceLocation |
השדה FileEvidenceLocation
של יש את המיקום של קובץ הראיות, אם אחד נוצר. לקובץ הראיות יש שם שמסתיים ב- .dup
, והמיקום שלו נשלט על-ידי ההגדרה DataDuplicationFolder
.
אחסון עדויות קובץ באחסון Azure Blob
צור חשבון אחסון וגורמים מכילים של Azure Blob.
צור תפקיד מותאם אישית שנקרא
Device Control Evidence Data Provider
לגישה אל הגורם המכיל. התפקיד אמור לכלול את ההרשאות הבאות:"permissions": [ { "actions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/blobServices/containers/write", "Microsoft.Storage/storageAccounts/blobServices/read" ], "notActions": [], "dataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action", "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write" ], "notDataActions": [] } ]
ניתן ליצור תפקידים מותאמים אישית באמצעות CLI אוPowerShell
עצה
התפקיד המוכלל, 'משתתף נתוני Blob של אחסון' כולל הרשאות מחיקה עבור הגורם המכיל, אשר אינן נדרשות לאחסון ראיות לתכונות של בקרת מכשירים. התפקיד המוכלל, קורא נתוני Blob של אחסון אינו כולל את הרשאות הכתיבה הנדרשות. זו הסיבה לכך שתפקיד מותאם אישית מומלץ.
חשוב
כדי להבטיח שהשלמות של הראיות בקובץ תשתמש ב- Azure Immutable Storage
הקצה את המשתמשים של בקרת המכשיר לתפקיד
Device Control Evidence Data Provider
.הגדר את כתובת
RemoteStorageFileEvent
ה- URL של הגורם המכיל של Azure Blob Storage.