Share via

Eszközvezérlési szabályzatok a Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

Ez a cikk az eszközvezérlési szabályzatokat, szabályokat, bejegyzéseket, csoportokat és speciális feltételeket ismerteti. Az eszközvezérlési szabályzatok lényegében egy eszközkészlethez határozzák meg a hozzáférést. A hatókörbe tartozó eszközöket a belefoglalt eszközcsoportok listája és a kizárt eszközcsoportok listája határozza meg. A szabályzat akkor érvényes, ha az eszköz az összes belefoglalt eszközcsoportban található, és egyik kizárt eszközcsoportban sem. Ha nincsenek érvényben szabályzatok, akkor az alapértelmezett kényszerítés lesz alkalmazva.

Alapértelmezés szerint az eszközvezérlés le van tiltva, így minden eszköztípushoz engedélyezve van a hozzáférés. További információ az eszközvezérlésről: Eszközvezérlés Végponthoz készült Microsoft Defender.

Az alapértelmezett viselkedés szabályozása

Ha az eszközvezérlés engedélyezve van, alapértelmezés szerint minden eszköztípushoz engedélyezve van. Az alapértelmezett kényszerítés az Engedélyezésről a Megtagadás értékre is módosítható. A biztonsági csapat az eszközvezérlés által védett eszköztípusokat is konfigurálhatja. Az alábbi táblázat bemutatja, hogy a beállítások különböző kombinációi hogyan módosítják a hozzáférés-vezérlési döntést.

Engedélyezve van az eszközvezérlés? Alapértelmezett viselkedés Eszköztípusok
Nem A hozzáférés engedélyezve van - CD-/DVD-meghajtók
-Nyomtatók
- Cserélhető adathordozók
- Hordozható Windows-eszközök
Igen (Nincs megadva)
A hozzáférés engedélyezve van		 - CD-/DVD-meghajtók
-Nyomtatók
- Cserélhető adathordozók
- Hordozható Windows-eszközök
Igen Tagadja - CD-/DVD-meghajtók
-Nyomtatók
- Cserélhető adathordozók
- Hordozható Windows-eszközök
Igen Cserélhető adathordozó-eszközök és nyomtatók megtagadása - Nyomtatók és cserélhető adathordozók (letiltva)
- CD-/DVD-meghajtók és windowsos hordozható eszközök (engedélyezett)

Az eszköztípusok konfigurálásakor a Végponthoz készült Defender eszközvezérlése figyelmen kívül hagyja a más eszközcsaládokra irányuló kéréseket.

További információért olvassa el az alábbi témaköröket:

Irányelvek

Az eszközökhöz való hozzáférés további finomításához az eszközvezérlés szabályzatokat használ. A szabályzat szabályok és csoportok halmaza. A szabályok és csoportok definiálása kissé eltér a felügyeleti szolgáltatások és az operációs rendszerek között, az alábbi táblázatban leírtak szerint.

Felügyeleti eszköz Operációs rendszer Szabályok és csoportok kezelése
Intune – Eszközvezérlési szabályzat A Windows Az eszköz- és nyomtatócsoportok újrahasználható beállításokként kezelhetők, és a szabályokba is belefoglalhatók. Nem minden funkció érhető el az eszközvezérlési szabályzatban (lásd: Eszközvezérlés telepítése és kezelése Microsoft Intune)
Intune – Egyéni A Windows Minden csoport/szabály XML-sztringként van tárolva az egyéni konfigurációs szabályzatban. Az OMA-URI tartalmazza a csoport/szabály GUID azonosítóját. A GUID azonosítót létre kell hoznunk.
Csoportházirend A Windows A csoportok és szabályok külön XML-beállításokban vannak meghatározva a Csoportházirend objektumban (lásd: Eszközvezérlés üzembe helyezése és kezelése Csoportházirend).
Intune Mac A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a mobileconfig Intune
JAMF Mac A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a JAMF eszközvezérlési szabályzatként való használatával vannak konfigurálva (lásd: MacOS-eszközök vezérlése)

A szabályokat és csoportokat globális egyedi azonosító (GUID) azonosítja. Ha az eszközvezérlési szabályzatok a Intune kivételével más felügyeleti eszközzel vannak üzembe helyezve, a GUID-okat létre kell hoznunk. A GUID azonosítókat a PowerShell használatával hozhatja létre.

A séma részleteiért lásd a Mac JSON-sémáját.

Felhasználók

Az eszközvezérlési szabályzatok felhasználókra és/vagy felhasználói csoportokra is alkalmazhatók.

Megjegyzés:

Az eszközvezérléssel kapcsolatos cikkekben felhasználói csoportoknak nevezzük a felhasználói csoportokat. A csoportok kifejezés az eszközvezérlési szabályzatban meghatározott csoportokra utal.

Az Intune használatával Mac és Windows rendszeren az eszközvezérlési szabályzatok az Entra Id-ban meghatározott felhasználói csoportokra célozhatók.

Windows rendszeren egy felhasználó vagy felhasználói csoport feltétele lehet egy szabályzat bejegyzésének .

A felhasználói vagy felhasználói csoportokkal rendelkező bejegyzések hivatkozhatnak az Entra-azonosítóból vagy egy helyi Active Directoryból származó objektumokra.

Ajánlott eljárások az eszközvezérlés felhasználókkal és felhasználói csoportokkal való használatához

  • Ha windowsos felhasználóhoz szeretne szabályt létrehozni, hozzon létre egy bejegyzést egy Sidszabály felhasználójának feltételével

  • Ha windowsos és Intune felhasználói csoporthoz szeretne szabályt létrehozni, hozzon létre egy feltételt tartalmazó Sid bejegyzést egy [szabály] minden felhasználói csoportjához, és a szabályzatot egy gépcsoportra célozza a Intune, vagy hozzon létre feltételek nélküli szabályt, és a szabályzatot a felhasználói csoportra Intune megcélzva.

  • Mac gépen használja a Intune, és a szabályzatot az Entra Id egy felhasználói csoportjára célozza meg.

Figyelmeztetés

Ne használja a felhasználói/felhasználói csoportok feltételeit a szabályokban és a felhasználói csoportok Intune.

Megjegyzés:

Ha a hálózati kapcsolat probléma, használjon Intune felhasználói csoportokat vagy helyi Active Directory-csoportokat. Az Entra-azonosítóra hivatkozó felhasználói/felhasználói csoportokra vonatkozó feltételek csak olyan környezetekben használhatók, amelyek megbízható kapcsolatban vannak az Entra-azonosítóval.

Szabályok

A szabályok a belefoglalt csoportok listáját és a kizárt csoportok listáját határozzák meg. A szabály alkalmazásához az eszköznek az összes belefoglalt csoportban kell lennie, és a kizárt csoportok egyikében sem. Ha az eszköz megfelel a szabálynak, a rendszer kiértékeli a szabály bejegyzéseit. Egy bejegyzés határozza meg az alkalmazott művelet- és értesítési beállításokat, ha a kérelem megfelel a feltételeknek. Ha nincsenek szabályok, vagy egyetlen bejegyzés sem felel meg a kérésnek, a rendszer az alapértelmezett kényszerítést alkalmazza.

Ha például engedélyezni szeretné bizonyos USB-eszközök írási hozzáférését, és olvasási hozzáférést szeretne az összes többi USB-eszközhöz, használja az alábbi házirendeket, csoportokat és bejegyzéseket, amelyek alapértelmezett kényszerítési beállítása megtagadás.

Csoport Leírás
Minden cserélhető tárolóeszköz Cserélhető tárolóeszközök
Írható USB-k Azon USB-k listája, ahol engedélyezett az írási hozzáférés
Szabály Belefoglalt eszköz Csoportok Kizárt eszköz Csoportok Bejegyzés
Írásvédett hozzáférés usbs-hez Minden cserélhető tárolóeszköz Írható USB-k Írásvédett hozzáférés
Írási hozzáférés USB-khez Írható USB-k Írási hozzáférés

A szabály neve megjelenik a portálon a jelentéskészítéshez és a bejelentési értesítésben a felhasználóknak, ezért mindenképpen adjon leíró neveket a szabályoknak.

A szabályokat a házirendek szerkesztésével konfigurálhatja a Intune-ben, xml-fájl használatával Windowsban vagy JSON-fájllal Mac gépen. További részletekért válassza ki az egyes lapokat.

Az alábbi képen egy eszközvezérlési szabályzat konfigurációs beállításai láthatók Intune:

Képernyőkép a Intune eszközvezérlési konfigurációjáról.

A képernyőképen a Belefoglalt azonosító és a Kizárt azonosító a belefoglalt és kizárt újrahasználható beállításcsoportokra mutató hivatkozások. Egy szabályzat több szabmánnyal is rendelkezhet.

Intune nem tartja tiszteletben a szabályok sorrendjét. A szabályok bármilyen sorrendben kiértékelhetők, ezért ügyeljen arra, hogy explicit módon kizárja azokat az eszközcsoportokat, amelyek nem tartoznak a szabály hatókörébe.

Bejegyzések

Az eszközvezérlési szabályzatok hozzáférést (más néven bejegyzést) határoznak meg az eszközök egy csoportjához. A bejegyzések a szabályzatnak és a bejegyzésben meghatározott feltételeknek megfelelő eszközök művelet- és értesítési beállításait határozzák meg.

Bejegyzés beállítása Lehetőségek
AccessMask A műveletet csak akkor alkalmazza, ha a hozzáférési műveletek megfelelnek a hozzáférési maszknak – A hozzáférési maszk a bitalapú VAGY a hozzáférési értékek egyike:

1 – Eszközolvasás
2 – Eszközírás
4 – Eszköz végrehajtása
8 – Fájlolvasás
16 – Fájlírás
32 – Fájl végrehajtása
64 – Nyomtatás

Például:
Eszköz olvasása, írása és végrehajtása = 7 (1+2+4)
Eszközolvasás, Lemezolvasás = 9 (1+8)
Művelet Engedélyezés
Tagadja
Naplózás Engedélyezése
AuditDeny
Értesítés Nincs (alapértelmezett)
Esemény jön létre
A felhasználó értesítést kap
A fájl bizonyítéka rögzítve van

Figyelmeztetés

A 2024. februári kiadás inkonzisztens eredményeket ad azoknak az eszközvezérlési ügyfeleknek, akik csak lemez-/eszközszintű hozzáféréssel használnak cserélhető adathordozó-házirendeket (7-nél kisebb vagy azzal egyenlő maszkok). Előfordulhat, hogy a kényszerítés nem a várt módon működik. A probléma megoldásához javasoljuk, hogy térjen vissza az előző verzióra.

Ha az eszközvezérlés konfigurálva van, és egy felhasználó olyan eszközt próbál használni, amely nem engedélyezett, a felhasználó értesítést kap, amely tartalmazza az eszközvezérlési szabályzat nevét és az eszköz nevét. Az értesítés a kezdeti hozzáférés megtagadása után óránként egyszer jelenik meg.

A bejegyzések a következő opcionális feltételeket támogatják:

  • Felhasználó/felhasználói csoport feltétel: A műveletet csak az SID által azonosított felhasználóra/felhasználói csoportra alkalmazza

Megjegyzés:

Az Microsoft Entra-azonosítóban tárolt felhasználói csoportok és felhasználók esetében használja a feltételben szereplő objektumazonosítót. A helyi helyen tárolt felhasználói csoportokhoz és felhasználókhoz használja a biztonsági azonosítót (SID)

Megjegyzés:

Windows rendszeren a bejelentkezett felhasználó SID-azonosítója a PowerShell-parancs whoami /userfuttatásával kérhető le.

  • Gép állapota: A műveletet csak az SID által azonosított eszközre/csoportra alkalmazza
  • Paraméterek feltétel: A műveletet csak akkor alkalmazza, ha a paraméterek egyeznek (lásd: Speciális feltételek)

A bejegyzések hatóköre további felhasználókra és eszközökre is kiterjedhet. Például csak ezen az eszközön engedélyezze az olvasási hozzáférést ezekhez a usBs-ekhez ehhez a felhasználóhoz.

Politika Belefoglalt eszköz Csoportok Kizárt eszköz Csoportok Bejegyzés(ek)
Írásvédett hozzáférés usbs-hez Minden cserélhető tárolóeszköz Írható USB-k Írásvédett hozzáférés
Írási hozzáférés USB-khez Írható USB-k Írási hozzáférés az 1. felhasználóhoz

Írási hozzáférés a 2. felhasználóhoz az A eszközcsoporton

A bejegyzésben szereplő összes feltételnek igaznak kell lennie ahhoz, hogy a műveletet alkalmazni lehessen.

A bejegyzéseket konfigurálhatja Intune, Egy XML-fájl a Windowsban vagy egy JSON-fájl Mac gépen. További részletekért válassza ki az egyes lapokat.

A Intune access mask (Hozzáférési maszk) mezőben a következő lehetőségek közül választhat:

  • Olvasás (Lemezszintű olvasás = 1)
  • Írás (Lemezszintű írás = 2)
  • Végrehajtás (Lemezszintű végrehajtás = 4)
  • Nyomtatás (Nyomtatás = 64).

Nem minden funkció jelenik meg a Intune felhasználói felületén. További információ: Eszközvezérlés üzembe helyezése és kezelése Intune.

Csoportok

Csoportok határozza meg az objektumok tulajdonságaik szerinti szűrésére vonatkozó feltételeket. Az objektum akkor van hozzárendelve a csoporthoz, ha tulajdonságai megegyeznek a csoporthoz definiált tulajdonságokkal.

Megjegyzés:

Csoportok ebben a szakaszban nem hivatkozunk felhasználói csoportokra.

Például:

  • Az engedélyezett USB-k az összes olyan eszköz, amely megfelel ezeknek a gyártóknak
  • Az elveszett USB-k azok az eszközök, amelyek megfelelnek ezeknek a sorozatszámoknak
  • Az engedélyezett nyomtatók azok az eszközök, amelyek megfelelnek ezeknek a VID/PID-knek

A tulajdonságok négyféleképpen feleltethetők meg: MatchAll, MatchAny, MatchExcludeAllés MatchExcludeAny

  • MatchAll: A tulajdonságok egy "And" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a és InstancePathIDa értéket adja DeviceID meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek.
  • MatchAny: A tulajdonságok egy "Or" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a DeviceID és InstancePathIDa értéket helyezi el, a rendszer mindaddig kényszeríti, amíg az USB azonos DeviceID vagy InstanceID értékkel rendelkezik.
  • MatchExcludeAll: A tulajdonságok "És" kapcsolatnak számítanak, és minden olyan elem szerepel benne, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyezi DeviceID és InstancePathID használja MatchExcludeAlla elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonos DeviceID és InstanceID értékekkel.
  • MatchExcludeAny: A tulajdonságok "Vagy" kapcsolatnak számítanak, és minden olyan elemre kiterjed, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyezi DeviceID és InstancePathID használja MatchExcludeAnya elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonos DeviceID értékkel vagy InstanceID értékkel.

Csoportok kétféleképpen használható: a szabályokba való belefoglalásra/kizárásra szolgáló eszközök kiválasztására, valamint a speciális feltételekhez való hozzáférés szűrésére. Ez a táblázat összefoglalja a csoporttípusokat és azok felhasználási módját.

Típus Leírás O/S Szabályok belefoglalása/kizárása Speciális feltételek
Eszköz (alapértelmezett) Eszközök és nyomtatók szűrése Windows/Mac X
Hálózati Hálózati feltételek szűrése A Windows X
VPN-kapcsolat VPN-feltételek szűrése A Windows X
Fájl Fájltulajdonságok szűrése A Windows X
Nyomtatási feladat A nyomtatandó fájl tulajdonságainak szűrése A Windows X

A szabályzat hatókörébe tartozó eszközök, amelyeket a belefoglalt csoportok listája és a kizárt csoportok listája határoz meg. A szabály akkor érvényes, ha az eszköz az összes belefoglalt csoporthoz tartozik, és egyik kizárt csoporthoz sem tartozik. Csoportok az eszközök tulajdonságaiból állíthatók össze. A következő tulajdonságok használhatók:

Tulajdonság Leírás Windows-eszközök Mac-eszközök Nyomtatók
FriendlyNameId A Windows Eszközkezelő felhasználóbarát neve I N I
PrimaryId Az eszköz típusa I I I
VID_PID A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz. A helyettesítő karakterek támogatottak. Például: 0751_55E0 I N I
PrinterConnectionId A nyomtatókapcsolat típusa:
-USB
-Vállalati
-Hálózati
-Univerzális
-Fájl
-Egyéni
-Helyi		 N N I
BusId Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) I N N
DeviceId Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) I N N
HardwareId Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) I N N
InstancePathId Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) I N N
SerialNumberId Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) I I N
PID A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz I I N
VID A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. I I N
APFS Encrypted Ha az eszköz APFS-titkosítással rendelkezik N I N

Eszköztulajdonságok meghatározása a Windows Eszközkezelő használatával

Windows-eszközök esetén a Eszközkezelő segítségével megismerheti az eszközök tulajdonságait.

  1. Nyissa meg Eszközkezelő, keresse meg az eszközt, kattintson a jobb gombbal a Tulajdonságok elemre, majd válassza a Részletek lapot.

  2. A Tulajdonság listában válassza az Eszközpéldány elérési útja lehetőséget.

    Az eszközpéldány elérési útjának értéke a InstancePathId, de más tulajdonságokat is tartalmaz:

    • USB\VID_090C&PID_1000\FBH1111183300721
    • {BusId}\{DeviceId}\{SerialNumberId}

    Az eszközkezelő tulajdonságai az eszközvezérlőre vannak leképazva az alábbi táblázatban látható módon:

    Eszközkezelő Eszközvezérlő
    Hardverazonosítók HardwareId
    Rövid név FriendlyNameId
    Szülő VID_PID
    DeviceInstancePath InstancePathId

Jelentések és speciális veszélyforrás-keresés használata az eszközök tulajdonságainak meghatározásához

Az eszköztulajdonságok címkéi kissé eltérőek a speciális veszélyforrás-keresésben. Az alábbi táblázat a portálon lévő címkéket egy eszközvezérlési szabályzatban lévő propertyId címkére képezi le.

Microsoft Defender Portal tulajdonság Eszközvezérlés tulajdonságazonosítója
Adathordozó neve FriendlyNameId
Szállító azonosítója HardwareId
Deviceid InstancePathId
Sorozatszám SerialNumberId

Megjegyzés:

Győződjön meg arról, hogy a kijelölt objektum a megfelelő Médiaosztályt biztosítja a szabályzathoz. A cserélhető tárolókhoz általában használja a következőt Class Name == USB: .

Csoportok konfigurálása Intune, XML windowsos vagy JSON-fájlban Mac gépen

A csoportokat Intune konfigurálhatja, windowsos XML-fájllal vagy Mac gépen JSON-fájllal. További részletekért válassza ki az egyes lapokat.

Megjegyzés:

Az Group Id XML-ben és id a JSON-ban a csoport azonosítására szolgál az eszközvezérlőn belül. Nem hivatkozik másra, például az Entra-azonosítóban lévő felhasználói csoportra .

A Intune újrahasználható beállításai eszközcsoportokra vannak leképezve. Az újrahasználható beállításokat a Intune konfigurálhatja.

Képernyőkép a Intune újrafelhasználható beállításainak konfigurálásáról.

Kétféle csoport létezik: nyomtatóeszköz és cserélhető tároló. Az alábbi táblázat ezen csoportok tulajdonságait sorolja fel.

Csoport típusa Tulajdonságok
Nyomtatóeszköz - FriendlyNameId
- PrimaryId
- PrinterConnectionId
- VID_PID
Cserélhető tároló - BusId
- DeviceId
- FriendlyNameId
- HardwareId
- InstancePathId
- PID
- PrimaryId
- SerialNumberId
- VID
- VID_PID

Speciális feltételek

A bejegyzések a paraméterek alapján tovább korlátozhatók. A paraméterek speciális feltételeket alkalmaznak, amelyek túlmutatnak az eszközön. A speciális feltételek lehetővé teszik a részletes vezérlést a hálózat, a VPN-kapcsolat, a fájl- vagy nyomtatási feladat kiértékelése alapján.

Megjegyzés:

A speciális feltételek csak XML formátumban támogatottak.

Hálózati feltételek

Az alábbi táblázat a hálózati csoport tulajdonságait ismerteti:

Tulajdonság Leírás
NameId A hálózat neve. A helyettesítő karakterek támogatottak.
NetworkCategoryId Az érvényes lehetőségek a következők: Public, Privatevagy DomainAuthenticated.
NetworkDomainId Az érvényes lehetőségek a következők: NonDomain, Domain, DomainAuthenticated.

Ezek a tulajdonságok egy Hálózat típusú csoport DescriptorIdList eleméhez lesznek hozzáadva. Íme egy példarészlet:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

A csoportra ezután a bejegyzésben paraméterekként hivatkozunk, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN-kapcsolat feltételei

Az alábbi táblázat a VPN-kapcsolati feltételeket ismerteti:

Name (Név) Leírás
NameId A VPN-kapcsolat neve. A helyettesítő karakterek támogatottak.
VPNConnectionStatusId Az érvényes értékek a következők: Connected vagy Disconnected.
VPNServerAddressId A sztring VPNServerAddressértéke. A helyettesítő karakterek támogatottak.
VPNDnsSuffixId A sztring VPNDnsSuffixértéke. A helyettesítő karakterek támogatottak.

Ezek a tulajdonságok egy VPNConnection típusú csoport DescriptorIdList eleméhez lesznek hozzáadva, az alábbi kódrészletben látható módon:


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Ezután a csoportra paraméterként hivatkozik egy bejegyzésben, az alábbi kódrészletben látható módon:


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Fájlfeltételek

Az alábbi táblázat a fájlcsoport tulajdonságait ismerteti:

Name (Név) Leírás
PathId Sztring, a fájl elérési útjának vagy nevének értéke.
A helyettesítő karakterek támogatottak.
Csak fájltípuscsoportokra vonatkozik.

Az alábbi táblázat bemutatja, hogyan adhatók hozzá tulajdonságok egy DescriptorIdList fájlcsoporthoz:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

A következő táblázat a csoporttulajdonságokat ismerteti PrintJob :

Name (Név) Leírás
PrintOutputFileNameId A kimeneti célfájl elérési útja a fájlba való nyomtatáshoz. A helyettesítő karakterek támogatottak. Például: C:\*\Test.pdf
PrintDocumentNameId A forrásfájl elérési útja. A helyettesítő karakterek támogatottak. Előfordulhat, hogy ez az elérési út nem létezik. Hozzáadhat például szöveget egy új fájlhoz a Jegyzettömbben, majd a fájl mentése nélkül nyomtathat.

Ezeket a tulajdonságokat a rendszer hozzáadja egy DescriptorIdList típusú PrintJobcsoporthoz, ahogy az az alábbi kódrészletben látható:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Bizonyítékok beterjesztése

Az eszközvezérléssel tárolhatja a cserélhető eszközökre másolt vagy kinyomtatott fájlok bizonyítékait. Ha engedélyezve van a bizonyítékfájl, létrejön egy RemovableStorageFileEvent . A bizonyítékfájl viselkedését az Engedélyezés művelet beállításai vezérlik, az alábbi táblázatban leírtak szerint:

Lehetőség Leírás
8 RemovableStorageFileEvent esemény Létrehozás aFileEvidenceLocation
16 Létrehozás a RemovableStorageFileEventFileEvidenceLocation

A FileEvidenceLocation mezője a bizonyítékfájl helyét adja meg, ha létre lett hozva. A bizonyítékfájl neve végződésű .dup, helyét pedig a DataDuplicationFolder beállítás szabályozza.

A bizonyítékok tárolása Azure Blob Storage

  1. Azure Blob Storage fiók és tároló Létrehozás.

  2. Létrehozás egy nevű Device Control Evidence Data Provider egyéni szerepkört a tároló eléréséhez. A szerepkörnek a következő engedélyekkel kell rendelkeznie:

    "permissions": [
            {
                "actions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/write",
                    "Microsoft.Storage/storageAccounts/blobServices/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
                ],
                "notDataActions": []
            }
        ]

    Egyéni szerepkörök cli-vel vagy PowerShell-lel hozhatók létre

    Tipp

    A Beépített szerepkör, a Storage-blobadatok közreműködője törlési engedélyekkel rendelkezik a tárolóhoz, ami nem szükséges az eszközvezérlési funkciók bizonyítékainak tárolásához. A beépített Storage Blob-adatolvasó szerepkör nem rendelkezik a szükséges írási engedélyekkel. Ezért ajánlott egyéni szerepkört létrehozni.

    Fontos

    Annak biztosítása érdekében, hogy a fájl bizonyítékainak integritása az Azure nem módosítható tárolót használja

  3. Rendelje hozzá az eszközvezérlés felhasználóit a Device Control Evidence Data Provider szerepkörhöz.

  4. Állítsa a értéket RemoteStorageFileEvent a Azure Blob Storage tároló URL-címére.

Következő lépések