Controllo del dispositivo in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business

Le funzionalità di controllo dei dispositivi in Microsoft Defender per endpoint consentono al team di sicurezza di controllare se gli utenti possono installare e usare dispositivi periferici, ad esempio archiviazione rimovibile (unità USB, CD, dischi e così via), stampanti, dispositivi Bluetooth o altri dispositivi con i propri computer. Il team di sicurezza può configurare i criteri di controllo dei dispositivi per configurare regole come queste:

• Impedire agli utenti di installare e usare determinati dispositivi (ad esempio unità USB)
• Impedire agli utenti di installare e usare qualsiasi dispositivo esterno con eccezioni specifiche
• Consentire agli utenti di installare e usare dispositivi specifici
• Consentire agli utenti di installare e usare solo dispositivi crittografati con BitLocker con computer Windows

Questo elenco è destinato a fornire alcuni esempi. Non è un elenco completo; Sono disponibili altri esempi da considerare (vedere la sezione controllo del dispositivo in Windows in questo articolo).

Il controllo dei dispositivi consente di proteggere l'organizzazione da potenziali perdite di dati, malware o altre minacce informatiche consentendo o impedendo la connessione di determinati dispositivi ai computer degli utenti. Con il controllo del dispositivo, il team di sicurezza può determinare se e quali dispositivi periferici gli utenti possono installare e usare nei propri computer.

Controllo del dispositivo in Windows

Questa sezione elenca gli scenari per il controllo dei dispositivi in Windows.

Consiglio

Se si usa Mac, il controllo del dispositivo può controllare l'accesso a Bluetooth, dispositivi iOS, dispositivi portatili come fotocamere e supporti rimovibili come i dispositivi USB. Vedere Controllo del dispositivo per macOS.

Selezionare una scheda, esaminare gli scenari e quindi identificare il tipo di criteri di controllo del dispositivo da creare.

Archivi rimovibili

Scenario	Criteri di controllo dei dispositivi
Impedire l'installazione di un dispositivo USB specifico	Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi.
Impedisci l'installazione di tutti i dispositivi USB consentendo l'installazione solo di un dispositivo USB autorizzato	Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi.
Impedire l'accesso in scrittura ed esecuzione a tutti, ma consentire usb approvati specifici	Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi.
Controllare l'accesso in scrittura ed esecuzione per tutti gli USB bloccati, tranne i blocchi specifici	Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi.
Bloccare l'accesso in lettura ed esecuzione a un'estensione di file specifica	Controllo del dispositivo in Microsoft Defender. Vedere Criteri di controllo dei dispositivi.
Impedire agli utenti di accedere all'archiviazione rimovibile quando il computer non connette la rete aziendale	Controllo del dispositivo in Microsoft Defender. Vedere Criteri di controllo dei dispositivi.
Bloccare l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker	Controllo del dispositivo in Windows. Vedere BitLocker.
Bloccare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione	Controllo del dispositivo in Windows. Vedere BitLocker.
Impedisci la copia di file sensibili in USB	DLP endpoint

Stampanti

Scenario	Criteri di controllo dei dispositivi
Impedire alle persone di stampare tramite stampanti non incorporate	Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi.
Consenti solo stampanti USB specifiche di VID/PID	Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi.
Impedire l'installazione di tutte le stampanti	Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi.
Impedire l'installazione di una stampante specifica	Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi.
Impedire l'installazione di tutte le stampanti consentendo l'installazione di una stampante specifica	Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi.
Stampa a blocchi di documenti sensibili su qualsiasi stampante	DLP endpoint

Bluetooth

Scenario	Criteri di controllo dei dispositivi
Blocca la copia di un documento sensibile in qualsiasi dispositivo Bluetooth	DLP endpoint

Dispositivi supportati

Il controllo del dispositivo supporta dispositivi Bluetooth, CD/ROM e dispositivi DVD, stampanti, dispositivi USB e altri tipi di dispositivi portatili. In un dispositivo Windows, in base al driver, alcuni dispositivi periferici sono contrassegnati come rimovibili. Nella tabella seguente sono elencati esempi di dispositivi supportati dal controllo dispositivo con i relativi primary_id valori e nomi di classi multimediali:

Tipo di dispositivo	PrimaryId in Windows	primary_id in macOS	Nome classe multimediale
Dispositivi Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVD	CdRomDevices		CD-Roms
Dispositivi iOS		appleDevice
Dispositivi portatili (ad esempio fotocamere)		portableDevice
Stampanti	PrinterDevices		Printers
Dispositivi USB (supporti rimovibili)	RemovableMediaDevices	removableMedia	USB
Dispositivi portatili Windows	WpdDevices		Windows Portable Devices (WPD)

Categorie di funzionalità di controllo dei dispositivi Microsoft

Le funzionalità di controllo dei dispositivi di Microsoft possono essere organizzate in tre categorie principali: controllo del dispositivo in Windows, controllo del dispositivo in Defender per endpoint e Prevenzione della perdita dei dati degli endpoint (Endpoint DLP).

• Controllo del dispositivo in Windows. Il sistema operativo Windows offre funzionalità predefinite per il controllo del dispositivo. Il team di sicurezza può configurare le impostazioni di installazione del dispositivo per impedire (o consentire) agli utenti di installare determinati dispositivi nei computer. I criteri vengono applicati a livello di dispositivo e usano diverse proprietà del dispositivo per determinare se un utente può installare o usare un dispositivo. Il controllo del dispositivo in Windows funziona con i modelli BitLocker e ADMX e può essere gestito con Intune.

  • BitLocker e Intune. BitLocker è una funzionalità di sicurezza di Windows che fornisce la crittografia per interi volumi. Insieme a Intune, i criteri possono essere configurati per applicare la crittografia nei dispositivi che usano BitLocker per Windows (e FileVault per Mac). Per altre informazioni, vedere Impostazioni dei criteri di crittografia del disco per la sicurezza degli endpoint in Intune.

  • Modelli amministrativi (ADMX) e Intune. È possibile usare i modelli ADMX per creare criteri che limitano o consentono l'uso di tipi specifici di dispositivi USB con i computer. Per altre informazioni, vedere Limitare i dispositivi USB e consentire dispositivi USB specifici usando modelli ADMX in Intune.

• Controllo del dispositivo in Defender per endpoint. Il controllo del dispositivo in Defender per endpoint offre funzionalità più avanzate ed è multipiattaforma. È possibile configurare le impostazioni di controllo del dispositivo per impedire (o consentire) agli utenti di avere accesso in lettura, scrittura o esecuzione al contenuto nei dispositivi di archiviazione rimovibili. È possibile definire eccezioni ed è possibile scegliere di usare criteri di controllo che rilevino ma non impediscono agli utenti di accedere ai dispositivi di archiviazione rimovibili. I criteri vengono applicati a livello di dispositivo, utente o entrambi. Il controllo del dispositivo in Microsoft Defender può essere gestito tramite Intune.

  • Controllo del dispositivo in Microsoft Defender e Intune. Intune offre un'esperienza avanzata per la gestione di criteri di controllo dei dispositivi complessi per le organizzazioni. È possibile configurare e distribuire le impostazioni di restrizione del dispositivo in Defender per endpoint, ad esempio. Vedere Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune.

• Prevenzione della perdita di dati degli endpoint (Endpoint DLP). La prevenzione della perdita dei dati degli endpoint monitora le informazioni sensibili nei dispositivi di cui è stato eseguito l'onboarding nelle soluzioni Microsoft Purview. I criteri di prevenzione della perdita dei dati possono applicare azioni di protezione alle informazioni riservate e alla posizione in cui vengono archiviate o usate. Informazioni sulla prevenzione della perdita dei dati degli endpoint.

Per altre informazioni su queste funzionalità, vedere la sezione scenari di controllo dei dispositivi (in questo articolo).

Esempi e scenari di controllo dei dispositivi

Il controllo dei dispositivi in Defender per endpoint offre al team di sicurezza un modello di controllo di accesso affidabile che consente un'ampia gamma di scenari (vedere Criteri di controllo dei dispositivi). È stato creato un repository GitHub che contiene esempi e scenari che è possibile esplorare. Vedere le risorse seguenti:

• Esempi di controllo del dispositivo README
• Introduzione agli esempi di controllo dei dispositivi nei dispositivi Windows
• Esempi di controllo del dispositivo per macOS

Se non si ha familiarita' con il controllo del dispositivo, vedere Procedure dettagliate sul controllo del dispositivo.

Prerequisiti

Il controllo del dispositivo in Defender per endpoint può essere applicato ai dispositivi che eseguono Windows 10 o Windows 11 con la versione 4.18.2103.3 client antimalware o successiva. Attualmente i server non sono supportati.

• 4.18.2104 o versioni successive: Aggiungere SerialNumberId, VID_PID, supporto dell'oggetto Criteri di gruppo basato su filepath e ComputerSid
• 4.18.2105 o versione successiva: aggiungere il supporto per caratteri jolly per HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, la combinazione di utenti specifici in un computer specifico, supporto SSD rimovibile (SSD SanDisk Extreme SSD)/USB Attached SCSI (UAS)
• 4.18.2107 o versione successiva: aggiunta del supporto wpd (Windows Portable Device) (per dispositivi mobili, ad esempio tablet); aggiungere AccountName alla ricerca avanzata
• 4.18.2205 o versione successiva: espandere l'imposizione predefinita in Stampante. Se si imposta su Nega, blocca anche stampante, quindi se si vuole gestire solo l'archiviazione, assicurarsi di creare un criterio personalizzato per consentire stampante
• 4.18.2207 o versione successiva: Aggiungere il supporto per i file; il caso d'uso comune può essere: bloccare gli utenti dal file specifico di accesso in lettura/scrittura/esecuzione nell'archivio rimovibile. Aggiungere il supporto della connessione VPN e di rete; il caso d'uso comune può essere: impedire agli utenti di accedere all'archiviazione rimovibile quando il computer non connette la rete aziendale.

Per Mac, vedere Controllo del dispositivo per macOS.

Attualmente, il controllo del dispositivo non è supportato nei server.

Passaggi successivi

• Procedure dettagliate sul controllo dei dispositivi
• Informazioni sui criteri di controllo dei dispositivi
• Visualizzare i report di controllo dei dispositivi