Controllo del dispositivo in Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender for Business
Le funzionalità di controllo dei dispositivi in Microsoft Defender per endpoint consentono al team di sicurezza di controllare se gli utenti possono installare e usare dispositivi periferici, ad esempio archiviazione rimovibile (unità USB, CD, dischi e così via), stampanti, dispositivi Bluetooth o altri dispositivi con i propri computer. Il team di sicurezza può configurare i criteri di controllo dei dispositivi per configurare regole come queste:
- Impedire agli utenti di installare e usare determinati dispositivi (ad esempio unità USB)
- Impedire agli utenti di installare e usare qualsiasi dispositivo esterno con eccezioni specifiche
- Consentire agli utenti di installare e usare dispositivi specifici
- Consentire agli utenti di installare e usare solo dispositivi crittografati con BitLocker con computer Windows
Questo elenco è destinato a fornire alcuni esempi. Non è un elenco completo; Sono disponibili altri esempi da considerare (vedere la sezione controllo del dispositivo in Windows in questo articolo).
Il controllo dei dispositivi consente di proteggere l'organizzazione da potenziali perdite di dati, malware o altre minacce informatiche consentendo o impedendo la connessione di determinati dispositivi ai computer degli utenti. Con il controllo del dispositivo, il team di sicurezza può determinare se e quali dispositivi periferici gli utenti possono installare e usare nei propri computer.
Controllo del dispositivo in Windows
Questa sezione elenca gli scenari per il controllo dei dispositivi in Windows.
Consiglio
Se si usa Mac, il controllo del dispositivo può controllare l'accesso a Bluetooth, dispositivi iOS, dispositivi portatili come fotocamere e supporti rimovibili come i dispositivi USB. Vedere Controllo del dispositivo per macOS.
Selezionare una scheda, esaminare gli scenari e quindi identificare il tipo di criteri di controllo del dispositivo da creare.
Scenario | Criteri di controllo dei dispositivi |
---|---|
Impedire l'installazione di un dispositivo USB specifico | Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi. |
Impedisci l'installazione di tutti i dispositivi USB consentendo l'installazione solo di un dispositivo USB autorizzato | Controllo del dispositivo in Windows. Vedere Criteri di controllo dei dispositivi. |
Impedire l'accesso in scrittura ed esecuzione a tutti, ma consentire usb approvati specifici | Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi. |
Controllare l'accesso in scrittura ed esecuzione per tutti gli USB bloccati, tranne i blocchi specifici | Controllo del dispositivo in Defender per endpoint. Vedere Criteri di controllo dei dispositivi. |
Bloccare l'accesso in lettura ed esecuzione a un'estensione di file specifica | Controllo del dispositivo in Microsoft Defender. Vedere Criteri di controllo dei dispositivi. |
Impedire agli utenti di accedere all'archiviazione rimovibile quando il computer non connette la rete aziendale | Controllo del dispositivo in Microsoft Defender. Vedere Criteri di controllo dei dispositivi. |
Bloccare l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker | Controllo del dispositivo in Windows. Vedere BitLocker. |
Bloccare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione | Controllo del dispositivo in Windows. Vedere BitLocker. |
Impedisci la copia di file sensibili in USB | DLP endpoint |
Dispositivi supportati
Il controllo del dispositivo supporta dispositivi Bluetooth, CD/ROM e dispositivi DVD, stampanti, dispositivi USB e altri tipi di dispositivi portatili. In un dispositivo Windows, in base al driver, alcuni dispositivi periferici sono contrassegnati come rimovibili. Nella tabella seguente sono elencati esempi di dispositivi supportati dal controllo dispositivo con i relativi primary_id
valori e nomi di classi multimediali:
Tipo di dispositivo | PrimaryId in Windows |
primary_id in macOS |
Nome classe multimediale |
---|---|---|---|
Dispositivi Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVD | CdRomDevices |
CD-Roms |
|
Dispositivi iOS | appleDevice |
||
Dispositivi portatili (ad esempio fotocamere) | portableDevice |
||
Stampanti | PrinterDevices |
Printers |
|
Dispositivi USB (supporti rimovibili) | RemovableMediaDevices |
removableMedia |
USB |
Dispositivi portatili Windows | WpdDevices |
Windows Portable Devices (WPD) |
Categorie di funzionalità di controllo dei dispositivi Microsoft
Le funzionalità di controllo dei dispositivi di Microsoft possono essere organizzate in tre categorie principali: controllo del dispositivo in Windows, controllo del dispositivo in Defender per endpoint e Prevenzione della perdita dei dati degli endpoint (Endpoint DLP).
Controllo del dispositivo in Windows. Il sistema operativo Windows offre funzionalità predefinite per il controllo del dispositivo. Il team di sicurezza può configurare le impostazioni di installazione del dispositivo per impedire (o consentire) agli utenti di installare determinati dispositivi nei computer. I criteri vengono applicati a livello di dispositivo e usano diverse proprietà del dispositivo per determinare se un utente può installare o usare un dispositivo. Il controllo del dispositivo in Windows funziona con i modelli BitLocker e ADMX e può essere gestito con Intune.
BitLocker e Intune. BitLocker è una funzionalità di sicurezza di Windows che fornisce la crittografia per interi volumi. Insieme a Intune, i criteri possono essere configurati per applicare la crittografia nei dispositivi che usano BitLocker per Windows (e FileVault per Mac). Per altre informazioni, vedere Impostazioni dei criteri di crittografia del disco per la sicurezza degli endpoint in Intune.
Modelli amministrativi (ADMX) e Intune. È possibile usare i modelli ADMX per creare criteri che limitano o consentono l'uso di tipi specifici di dispositivi USB con i computer. Per altre informazioni, vedere Limitare i dispositivi USB e consentire dispositivi USB specifici usando modelli ADMX in Intune.
Controllo del dispositivo in Defender per endpoint. Il controllo del dispositivo in Defender per endpoint offre funzionalità più avanzate ed è multipiattaforma. È possibile configurare le impostazioni di controllo del dispositivo per impedire (o consentire) agli utenti di avere accesso in lettura, scrittura o esecuzione al contenuto nei dispositivi di archiviazione rimovibili. È possibile definire eccezioni ed è possibile scegliere di usare criteri di controllo che rilevino ma non impediscono agli utenti di accedere ai dispositivi di archiviazione rimovibili. I criteri vengono applicati a livello di dispositivo, utente o entrambi. Il controllo del dispositivo in Microsoft Defender può essere gestito tramite Intune.
- Controllo del dispositivo in Microsoft Defender e Intune. Intune offre un'esperienza avanzata per la gestione di criteri di controllo dei dispositivi complessi per le organizzazioni. È possibile configurare e distribuire le impostazioni di restrizione del dispositivo in Defender per endpoint, ad esempio. Vedere Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune.
Prevenzione della perdita di dati degli endpoint (Endpoint DLP). La prevenzione della perdita dei dati degli endpoint monitora le informazioni sensibili nei dispositivi di cui è stato eseguito l'onboarding nelle soluzioni Microsoft Purview. I criteri di prevenzione della perdita dei dati possono applicare azioni di protezione alle informazioni riservate e alla posizione in cui vengono archiviate o usate. Informazioni sulla prevenzione della perdita dei dati degli endpoint.
Per altre informazioni su queste funzionalità, vedere la sezione scenari di controllo dei dispositivi (in questo articolo).
Esempi e scenari di controllo dei dispositivi
Il controllo dei dispositivi in Defender per endpoint offre al team di sicurezza un modello di controllo di accesso affidabile che consente un'ampia gamma di scenari (vedere Criteri di controllo dei dispositivi). È stato creato un repository GitHub che contiene esempi e scenari che è possibile esplorare. Vedere le risorse seguenti:
- Esempi di controllo del dispositivo README
- Introduzione agli esempi di controllo dei dispositivi nei dispositivi Windows
- Esempi di controllo del dispositivo per macOS
Se non si ha familiarita' con il controllo del dispositivo, vedere Procedure dettagliate sul controllo del dispositivo.
Prerequisiti
Il controllo del dispositivo in Defender per endpoint può essere applicato ai dispositivi che eseguono Windows 10 o Windows 11 con la versione 4.18.2103.3
client antimalware o successiva. Attualmente i server non sono supportati.
4.18.2104
o versioni successive: AggiungereSerialNumberId
,VID_PID
, supporto dell'oggetto Criteri di gruppo basato su filepath eComputerSid
4.18.2105
o versione successiva: aggiungere il supporto per caratteri jolly perHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, la combinazione di utenti specifici in un computer specifico, supporto SSD rimovibile (SSD SanDisk Extreme SSD)/USB Attached SCSI (UAS)4.18.2107
o versione successiva: aggiunta del supporto wpd (Windows Portable Device) (per dispositivi mobili, ad esempio tablet); aggiungereAccountName
alla ricerca avanzata4.18.2205
o versione successiva: espandere l'imposizione predefinita in Stampante. Se si imposta su Nega, blocca anche stampante, quindi se si vuole gestire solo l'archiviazione, assicurarsi di creare un criterio personalizzato per consentire stampante4.18.2207
o versione successiva: Aggiungere il supporto per i file; il caso d'uso comune può essere: bloccare gli utenti dal file specifico di accesso in lettura/scrittura/esecuzione nell'archivio rimovibile. Aggiungere il supporto della connessione VPN e di rete; il caso d'uso comune può essere: impedire agli utenti di accedere all'archiviazione rimovibile quando il computer non connette la rete aziendale.
Per Mac, vedere Controllo del dispositivo per macOS.
Attualmente, il controllo del dispositivo non è supportato nei server.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per