Eszközvezérlés üzembe helyezése és kezelése Végponthoz készült Microsoft Defender a Microsoft Intune használatával
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
Ha Intune használ a Végponthoz készült Defender beállításainak kezeléséhez, az eszközvezérlési képességek üzembe helyezésére és kezelésére is használhatja. Az eszközvezérlés különböző aspektusait eltérő módon kezeli a Intune, az alábbi szakaszokban leírtak szerint.
Eszközvezérlés konfigurálása és kezelése Intune
Nyissa meg a Intune Felügyeleti központot, és jelentkezzen be.
Lépjen a Végpontbiztonság>támadási felületének csökkentése szakaszra.
A Támadásifelület-csökkentési szabályzatok területen válasszon ki egy meglévő szabályzatot, vagy válassza a + Létrehozás Szabályzat lehetőséget egy új szabályzat beállításához az alábbi beállításokkal:
- A Platform listában válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget. (Az eszközvezérlés jelenleg nem támogatott a Windows Serveren, annak ellenére, hogy ezt a profilt választja az eszközvezérlési szabályzatokhoz.)
- A Profil listában válassza az Eszközvezérlés lehetőséget.
Az Alapvető beállítások lapon adja meg a szabályzat nevét és leírását.
A Konfigurációs beállítások lapon megjelenik a beállítások listája. Ezeket a beállításokat nem kell egyszerre konfigurálnia. Érdemes lehet az Eszközvezérléssel kezdeni.
- A Felügyeleti sablonok területen az Eszköztelepítés és a Cserélhető tárterület-hozzáférés beállításai vannak meg.
- A Defender területen tekintse meg a Teljes beolvasás engedélyezése cserélhető meghajtók vizsgálatának beállításai című témakört.
- Az Adatvédelem területen lásd: Közvetlen memória-hozzáférési beállítások engedélyezése .
- A Dma Guard területen tekintse meg az Eszközszámbavételi szabályzat beállításai című témakört.
- A Tárterület területen lásd: Cserélhető lemez írási hozzáférésének megtagadási beállításai.
- A Kapcsolat területen lásd: USB-kapcsolat engedélyezése** és Bluetooth-beállítások engedélyezése .
- A Bluetooth területen tekintse meg a Bluetooth-kapcsolatokra és -szolgáltatásokra vonatkozó beállítások listáját. További részletekért lásd: Házirend CSP – Bluetooth.
- Az Eszközvezérlés területen újrahasználható beállításokkal konfigurálhat egyéni szabályzatokat. További részletekért lásd: Eszközvezérlés áttekintése: Szabályok.
Miután konfigurálta a beállításokat, lépjen a Hatókörcímkék lapra, ahol megadhatja a szabályzat hatókörcímkéinek megadását.
A Hozzárendelések lapon adja meg azon felhasználók vagy eszközök csoportjait, hogy megkapják a szabályzatot. További részletekért lásd: Szabályzatok hozzárendelése Intune.
A Véleményezés + létrehozás lapon tekintse át a beállításokat, és végezze el a szükséges módosításokat.
Amikor elkészült, válassza a Létrehozás lehetőséget az eszközvezérlési szabályzat létrehozásához.
Eszközvezérlési profilok
A Intune minden sor egy eszközvezérlési szabályzatot jelöl. A belefoglalt azonosító az a újrafelhasználható beállítás, amelyre a szabályzat vonatkozik. A kizárt azonosító a szabályzatból kizárt újrafelhasználható beállítás. A szabályzat bejegyzése tartalmazza az engedélyezett engedélyeket és az eszközvezérlés viselkedését, amely a szabályzat alkalmazásakor lép érvénybe.
Az egyes eszközvezérlési házirendek sorában található újrafelhasználható beállításcsoportok hozzáadásáról az Újrafelhasználható csoportok hozzáadása eszközvezérlési profilhoz című szakasz Újrafelhasználható beállításcsoportok használata Intune házirendekkel című szakaszában olvashat.
A szabályzatok a és – ikonokkal + adhatók hozzá és távolíthatók el. A szabályzat neve megjelenik a figyelmeztetésben a felhasználóknak, valamint a speciális veszélyforrás-keresésekben és jelentésekben.
Hozzáadhat naplózási szabályzatokat, és hozzáadhat engedélyezési/megtagadási szabályzatokat. Naplózási szabályzat hozzáadásakor mindig ajánlott engedélyezési és/vagy megtagadási szabályzatot hozzáadni, hogy ne tapasztaljon váratlan eredményeket.
Fontos
Ha csak naplózási szabályzatokat konfigurál, az engedélyek az alapértelmezett kényszerítési beállítástól öröklődnek.
Megjegyzés:
- A szabályzatok a felhasználói felületen való felsorolásának sorrendjét nem őrzi meg a szabályzatkényszerítéshez. Az ajánlott eljárás az engedélyezési/megtagadási szabályzatok használata. Győződjön meg arról, hogy az Engedélyezési/megtagadási szabályzatok lehetőség nem metszi egymást, ha explicit módon hozzáadja a kizárandó eszközöket. A Intune grafikus felületének használatával nem módosíthatja az alapértelmezett kényszerítési beállítást. Ha az alapértelmezett kényszerítési beállítást Megtagadás értékre módosítja, minden engedélyezési szabályzat blokkolási műveleteket eredményez.
Beállítások meghatározása az OMA-URI használatával
Fontos
Ha Intune OMA-URI-t használ az eszközvezérlés konfigurálásához, az eszközkonfigurációs számítási feladatot Intune kell felügyelnie, ha az eszköz Configuration Manager van közösen felügyelve. További információ: How to switch Configuration Manager workloads to Intune (Configuration Manager számítási feladatok váltása Intune.
Az alábbi táblázatban azonosítsa a konfigurálni kívánt beállítást, majd használja az OMA-URI és az adattípus adatait & értékoszlopokban. A beállítások betűrendben jelennek meg.
Beállítás | OMA-URI, adattípus, & értékek |
---|---|
Eszközvezérlés alapértelmezett kényszerítése Az alapértelmezett kényszerítés meghatározza, hogy milyen döntések születnek az eszközvezérlési hozzáférés-ellenőrzések során, ha a szabályzatszabályok egyike sem egyezik |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Egész: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Eszköztípusok Az elsődleges azonosítók által azonosított eszköztípusok, amelyeknél az eszközvezérlési védelem be van kapcsolva |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Karakterlánc: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Eszközvezérlés engedélyezése Eszközvezérlés engedélyezése vagy letiltása az eszközön |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Egész: - Letiltás = 0 - Engedélyezés = 1 |
Bizonyítékadatok távoli helye Az eszközvezérlés áthelyezi a rögzített bizonyítékadatokat |
./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation Karakterlánc |
A helyi bizonyítékok gyorsítótárának időtartama A helyi eszközvezérlési gyorsítótárban lévő fájlok megőrzési időtartamának beállítása napokban |
./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod Egész Példa: 60 (60 nap) |
Szabályzatok létrehozása OMA-URI-val
Amikor OMA-URI-val hoz létre szabályzatokat Intune, minden szabályzathoz hozzon létre egy XML-fájlt. Az ajánlott eljárás az Eszközvezérlési profil vagy az Eszközvezérlési szabályok profil használata egyéni szabályzatok létrehozásához.
A Sor hozzáadása panelen adja meg a következő beállításokat:
- A Név mezőbe írja be a következőt
Allow Read Activity
: . - Az OMA-URI mezőbe írja be a következőt
/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
: . - Az Adattípus mezőben válassza a Sztring (XML-fájl) lehetőséget, és használja az Egyéni XML-t.
Paraméterek használatával feltételeket állíthat be adott bejegyzésekhez. Íme egy csoport példa XML-fájlja az Olvasási hozzáférés engedélyezése minden cserélhető tárolóhoz.
Megjegyzés:
Az XML-megjegyzés jelölést használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de nem az XML-fájl első sorában, hanem az első XML-címkében kell lenniük.
Csoportok létrehozása OMA-URI-val
Amikor OMA-URI-val hoz létre csoportokat Intune, minden csoporthoz hozzon létre egy XML-fájlt. Ajánlott eljárásként használja az újrafelhasználható beállításokat a csoportok definiálásához.
A Sor hozzáadása panelen adja meg a következő beállításokat:
- A Név mezőbe írja be a következőt
Any Removable Storage Group
: . - Az OMA-URI mezőbe írja be a következőt
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData
: . (A GroupID beszerzéséhez a Intune Felügyeleti központban lépjen a Csoportok, majd válassza az Objektumazonosító másolása lehetőséget.) - Az Adattípus mezőben válassza a Sztring (XML-fájl) lehetőséget, és használja az Egyéni XML-t.
Megjegyzés:
Az XML-megjegyzés jelölést <!-- COMMENT -- >
használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de nem az XML-fájl első sorában, hanem az első XML-címkében kell lenniük.
Cserélhető tároló hozzáférés-vezérlésének konfigurálása az OMA-URI használatával
Nyissa meg a Microsoft Intune Felügyeleti központot, és jelentkezzen be.
Válassza az Eszközök>konfigurációs profiljai lehetőséget. Megjelenik a Konfigurációs profilok lap.
A Szabályzatok lapon (alapértelmezés szerint kiválasztva) válassza a + Létrehozás, majd a megjelenő legördülő menü + Új szabályzat elemét. Megjelenik a profillap Létrehozás.
A Platform listában válassza a Platform legördülő listából aWindows 10, a Windows 11 és a Windows Server elemet, majd a Profiltípus legördülő listából válassza a Sablonok lehetőséget.
Miután kiválasztotta a Sablonok lehetőséget a Profiltípus legördülő listából, megjelenik a Sablon neve panel, valamint egy keresőmező (a profilnévben való kereséshez).
Válassza az Egyéni lehetőséget a Sablon neve panelen, majd válassza a Létrehozás lehetőséget.
Létrehozás minden beállításhoz, csoporthoz vagy szabályzathoz egy sort az 1–5. lépés végrehajtásával.
Eszközvezérlő csoportok megtekintése (újrafelhasználható beállítások)
A Intune az eszközvezérlési csoportok újrafelhasználható beállításokként jelennek meg.
Nyissa meg a Microsoft Intune Felügyeleti központot, és jelentkezzen be.
Lépjen az Endpoint Security>támadási felületének csökkentéséhez.
Válassza az Újrafelhasználható beállítások lapot.
Lásd még
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: