Eszközvezérlés üzembe helyezése és kezelése a Végponthoz készült Microsoft Defenderben a Microsoft Intune-nal

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Ha az Intune-t használja a Végponthoz készült Defender beállításainak kezelésére, az eszközvezérlési képességek üzembe helyezésére és kezelésére is használhatja. Az eszközvezérlés különböző aspektusait eltérő módon kezeli az Intune, az alábbi szakaszokban leírtak szerint.

Eszközvezérlés konfigurálása és kezelése az Intune-ban

1. Nyissa meg az Intune Felügyeleti központot , és jelentkezzen be.

2. Lépjen a Végpontbiztonság>támadási felületének csökkentése szakaszra.

3. A Támadásifelület-csökkentési szabályzatok területen válasszon ki egy meglévő szabályzatot, vagy válassza a + Szabályzat létrehozása lehetőséget egy új szabályzat beállításához az alábbi beállításokkal:

   • A Platform listában válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget. (Az eszközvezérlés jelenleg nem támogatott a Windows Serveren, annak ellenére, hogy ezt a profilt választja az eszközvezérlési szabályzatokhoz.)
   • A Profil listában válassza az Eszközvezérlés lehetőséget.

4. Az Alapvető beállítások lapon adja meg a szabályzat nevét és leírását.

5. A Konfigurációs beállítások lapon megjelenik a beállítások listája. Ezeket a beállításokat nem kell egyszerre konfigurálnia. Érdemes lehet az Eszközvezérléssel kezdeni.

   

   • A Felügyeleti sablonok területen az Eszköztelepítés és a Cserélhető tárterület-hozzáférés beállításai vannak meg.
   • A Defender területen tekintse meg a Teljes beolvasás engedélyezése cserélhető meghajtók vizsgálatának beállításai című témakört.
   • Az Adatvédelem területen lásd: Közvetlen memória-hozzáférési beállítások engedélyezése .
   • A Dma Guard területen tekintse meg az Eszközszámbavételi szabályzat beállításai című témakört.
   • A Tárterület területen lásd: Cserélhető lemez írási hozzáférésének megtagadási beállításai.
   • A Kapcsolat területen lásd: USB-kapcsolat engedélyezése** és Bluetooth-beállítások engedélyezése .
   • A Bluetooth területen tekintse meg a Bluetooth-kapcsolatokra és -szolgáltatásokra vonatkozó beállítások listáját. További részletekért lásd: Házirend CSP – Bluetooth.
   • Az Eszközvezérlés területen újrahasználható beállításokkal konfigurálhat egyéni szabályzatokat. További részletekért lásd: Eszközvezérlés áttekintése: Szabályok.

6. Miután konfigurálta a beállításokat, lépjen a Hatókörcímkék lapra, ahol megadhatja a szabályzat hatókörcímkéinek megadását.

7. A Hozzárendelések lapon adja meg azon felhasználók vagy eszközök csoportjait, hogy megkapják a szabályzatot. További részletekért lásd: Szabályzatok hozzárendelése az Intune-ban.

8. A Véleményezés + létrehozás lapon tekintse át a beállításokat, és végezze el a szükséges módosításokat.

9. Amikor elkészült, válassza a Létrehozás lehetőséget az eszközvezérlési szabályzat létrehozásához.

Eszközvezérlési profilok

Az Intune-ban minden sor egy eszközvezérlési szabályzatot jelöl. A belefoglalt azonosító az a újrafelhasználható beállítás, amelyre a szabályzat vonatkozik. A kizárt azonosító a szabályzatból kizárt újrafelhasználható beállítás. A szabályzat bejegyzése tartalmazza az engedélyezett engedélyeket és az eszközvezérlés viselkedését, amely a szabályzat alkalmazásakor lép érvénybe.

Az egyes eszközvezérlési házirendek sorában szereplő újrafelhasználható beállításcsoportok hozzáadásáról az Újrafelhasználható csoportok hozzáadása eszközvezérlési profilhoz című szakasz Újrafelhasználható beállításcsoportok használata Intune-szabályzatokkal című szakaszában olvashat.

A szabályzatok a és – ikonokkal + adhatók hozzá és távolíthatók el. A szabályzat neve megjelenik a figyelmeztetésben a felhasználóknak, valamint a speciális veszélyforrás-keresésekben és jelentésekben.

Hozzáadhat naplózási szabályzatokat, és hozzáadhat engedélyezési/megtagadási szabályzatokat. Naplózási szabályzat hozzáadásakor mindig ajánlott engedélyezési és/vagy megtagadási szabályzatot hozzáadni, hogy ne tapasztaljon váratlan eredményeket.

Fontos

Ha csak naplózási szabályzatokat konfigurál, az engedélyek az alapértelmezett kényszerítési beállítástól öröklődnek.

Megjegyzés:

• A szabályzatok a felhasználói felületen való felsorolásának sorrendjét nem őrzi meg a szabályzatkényszerítéshez. Az ajánlott eljárás az engedélyezési/megtagadási szabályzatok használata. Győződjön meg arról, hogy az Engedélyezési/megtagadási szabályzatok lehetőség nem metszi egymást, ha explicit módon hozzáadja a kizárandó eszközöket. Az Intune grafikus felületének használatával nem módosíthatja az alapértelmezett kényszerítési beállítást. Ha az alapértelmezett kényszerítési beállítást Megtagadás értékre módosítja, minden engedélyezési szabályzat blokkolási műveleteket eredményez.

Beállítások meghatározása az OMA-URI használatával

Fontos

Az Eszközvezérlés konfigurálása az Intune OMA-URI használatával megköveteli, hogy az Intune felügyelje az Eszközkonfiguráció számítási feladatot, ha az eszköz a Configuration Managerrel közösen van felügyelve. További információ: A Configuration Manager számítási feladatainak váltása az Intune-ra.

Az alábbi táblázatban azonosítsa a konfigurálni kívánt beállítást, majd használja az OMA-URI és az adattípus adatait & értékoszlopokban. A beállítások betűrendben jelennek meg.

Beállítás	OMA-URI, adattípus, & értékek
Eszközvezérlés alapértelmezett kényszerítése Az alapértelmezett kényszerítés meghatározza, hogy milyen döntések születnek az eszközvezérlési hozzáférés-ellenőrzések során, ha a szabályzatszabályok egyike sem egyezik	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Egész szám: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
Eszköztípusok Az elsődleges azonosítók által azonosított eszköztípusok, amelyeknél az eszközvezérlési védelem be van kapcsolva	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Húr: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
Eszközvezérlés engedélyezése Eszközvezérlés engedélyezése vagy letiltása az eszközön	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Egész szám: - Letiltás = 0 - Engedélyezés = 1

Szabályzatok létrehozása OMA-URI-val

Amikor OMA-URI-val hoz létre szabályzatokat az Intune-ban, minden szabályzathoz hozzon létre egy XML-fájlt. Az ajánlott eljárás az Eszközvezérlési profil vagy az Eszközvezérlési szabályok profil használata egyéni szabályzatok létrehozásához.

A Sor hozzáadása panelen adja meg a következő beállításokat:

• A Név mezőbe írja be a következőt Allow Read Activity: .
• Az OMA-URI mezőbe írja be a következőt /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData: .
• Az Adattípus mezőben válassza a Sztring (XML-fájl) lehetőséget, és használja az Egyéni XML-t.

Paraméterek használatával feltételeket állíthat be adott bejegyzésekhez. Íme egy csoport példa XML-fájlja az Olvasási hozzáférés engedélyezése minden cserélhető tárolóhoz.

Megjegyzés:

Az XML-megjegyzés jelölést használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de nem az XML-fájl első sorában, hanem az első XML-címkében kell lenniük.

Csoportok létrehozása OMA-URI-val

Amikor OMA-URI-val hoz létre csoportokat az Intune-ban, minden csoporthoz hozzon létre egy XML-fájlt. Ajánlott eljárásként használja az újrafelhasználható beállításokat a csoportok definiálásához.

A Sor hozzáadása panelen adja meg a következő beállításokat:

• A Név mezőbe írja be a következőt Any Removable Storage Group: .
• Az OMA-URI mezőbe írja be a következőt ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData: . (A GroupID beszerzéséhez az Intune Felügyeleti központban lépjen a Csoportok területre, majd válassza az Objektumazonosító másolása lehetőséget.)
• Az Adattípus mezőben válassza a Sztring (XML-fájl) lehetőséget, és használja az Egyéni XML-t.

Megjegyzés:

Az XML-megjegyzés jelölést <!-- COMMENT -- > használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de nem az XML-fájl első sorában, hanem az első XML-címkében kell lenniük.

Cserélhető tároló hozzáférés-vezérlésének konfigurálása az OMA-URI használatával

1. Nyissa meg a Microsoft Intune Felügyeleti központot , és jelentkezzen be.

2. Válassza az Eszközök>konfigurációs profiljai lehetőséget. Megjelenik a Konfigurációs profilok lap.

3. A Szabályzatok lapon (alapértelmezés szerint kiválasztva) válassza a + Létrehozás, majd a megjelenő legördülő menü + Új szabályzat elemét. Megjelenik a Profil létrehozása lap.

4. A Platform listában válassza a Windows 10, a Windows 11 és a Windows Server elemet a Platform legördülő listából, majd válassza a Sablonok lehetőséget a Profiltípus legördülő listából.

   Miután kiválasztotta a Sablonok lehetőséget a Profiltípus legördülő listából, megjelenik a Sablon neve panel, valamint egy keresőmező (a profilnévben való kereséshez).

5. Válassza az Egyéni lehetőséget a Sablon neve panelen, majd válassza a Létrehozás lehetőséget.

6. Hozzon létre egy sort minden beállításhoz, csoporthoz vagy szabályzathoz az 1–5. lépés végrehajtásával.

Eszközvezérlő csoportok megtekintése (újrafelhasználható beállítások)

Az Intune-ban az eszközvezérlő csoportok újrafelhasználható beállításokként jelennek meg.

1. Nyissa meg a Microsoft Intune Felügyeleti központot , és jelentkezzen be.

2. Lépjen az Endpoint Security>támadási felületének csökkentéséhez.

3. Válassza az Újrafelhasználható beállítások lapot.

Lásd még

• Eszközvezérlés a Végponthoz készült Defenderben
• Eszközvezérlési szabályzatok és beállítások
• Eszközvezérlés macOS-hez