Distribuere og administrere enhetskontroll i Microsoft Defender for Endpoint med Microsoft Intune
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
Hvis du bruker Intune til å administrere Defender for endepunktinnstillinger, kan du bruke det til å distribuere og administrere funksjoner for enhetskontroll. Ulike aspekter ved enhetskontroll administreres annerledes i Intune, som beskrevet i avsnittene nedenfor.
Konfigurere og administrere enhetskontroll i Intune
Gå til administrasjonssenteret for Intune , og logg på.
Gå til endepunktsikkerhet>, angrepsoverflatereduksjon.
Velg en eksisterende policy under Policyer for reduksjon av angrepsoverflate, eller velg + Opprett policy for å konfigurere en ny policy ved hjelp av disse innstillingene:
- Velg Windows 10, Windows 11 og Windows Server fra plattformlisten. (Enhetskontroll støttes for øyeblikket ikke på Windows Server, selv om du velger denne profilen for policyer for enhetskontroll.)
- Velg Enhetskontroll i profillisten.
Angi et navn og en beskrivelse for policyen på Grunnleggende-fanen .
Du ser en liste over innstillinger på fanen Konfigurasjonsinnstillinger . Du trenger ikke å konfigurere alle disse innstillingene samtidig. Vurder å starte med enhetskontroll.
- Under Administrative maler har du innstillinger for enhetsinstallasjon og flyttbar lagringstilgang .
- Under Defender kan du se Tillat fullstendig skanning av flyttbare diskskanningsinnstillinger .
- Under Databeskyttelse kan du se Tillat innstillinger for tilgang til direkte minne .
- Se policyinnstillingene for enhetsopplisting under Dma Guard.
- Se Innstillinger for flyttbar diskavslåing av skrivetilgang under Lagring.
- Under Tilkobling kan du se Tillat USB-tilkobling** og Tillat Bluetooth-innstillinger .
- Se en liste over innstillinger som gjelder Bluetooth-tilkoblinger og -tjenester, under Bluetooth. Hvis du vil ha mer informasjon, kan du se Policy-CSP – Bluetooth.
- Under Enhetskontroll kan du konfigurere egendefinerte policyer med gjenbrukbare innstillinger. Hvis du vil ha mer informasjon, kan du se Oversikt over enhetskontroll: Regler.
- Se Tillat innstillinger for lagringskort under System.
Når du har konfigurert innstillingene, går du til fanen Omfangskoder , der du kan angi omfangskoder for policyen.
Angi grupper med brukere eller enheter som skal motta policyen, på Oppgaver-fanen. Hvis du vil ha mer informasjon, kan du se Tilordne policyer i Intune.
Se gjennom innstillingene på se gjennom + opprett-fanen , og gjør eventuelle nødvendige endringer.
Når du er klar, velger du Opprett for å opprette policyen for enhetskontroll.
Enhetskontrollprofiler
I Intune representerer hver rad en policy for enhetskontroll. Den inkluderte ID-en er den gjenbrukbare innstillingen som policyen gjelder for. Den utelatte IDen er den gjenbrukbare innstillingen som er utelatt fra policyen. Oppføringen for policyen inneholder tillatelsene som er tillatt, og virkemåten for enhetskontroll som trer i kraft når policyen gjelder.
Hvis du vil ha informasjon om hvordan du legger til grupper med innstillinger som kan brukes på nytt, som er inkludert i raden for hver policy for enhetskontroll, kan du se delen Legg til grupper som kan brukes på nytt i en profilinndeling for enhetskontroll i Bruk grupper med innstillinger som kan brukes på nytt med Intune-policyer.
Policyer kan legges til og fjernes ved hjelp av +ikonene og – . Navnet på policyen vises i advarselen til brukerne, og i avansert jakt og rapporter.
Du kan legge til overvåkingspolicyer, og du kan legge til Policyer for tillat/avslåing. Det anbefales å alltid legge til en Policy for tillat og/eller Avslå når du legger til en overvåkingspolicy, slik at du ikke får uventede resultater.
Viktig
Hvis du bare konfigurerer overvåkingspolicyer, arves tillatelsene fra standardinnstillingen for håndhevelse.
Obs!
- Rekkefølgen som policyene er oppført i brukergrensesnittet, bevares ikke for policyhåndhevelse. Den beste fremgangsmåten er å bruke Policyer for tillat/avslåing. Sørg for at alternativet Tillat/avslå policyer ikke overlapper hverandre ved å eksplisitt legge til enheter som skal utelates. Hvis du bruker Intunes grafiske grensesnitt, kan du ikke endre standard håndhevelse. Hvis du endrer standard håndhevelse til
Deny
, og oppretter enAllow
policy som skal brukes bestemte enheter, blokkeres alle enheter bortsett fra alle enheter som er angitt i policyenAllow
.
Definere innstillinger med OMA-URI
Viktig
Bruk av Intune OMA-URI for å konfigurere enhetskontroll krever at arbeidsbelastningen for enhetskonfigurasjon administreres av Intune, hvis enheten administreres sammen med Configuration Manager. Hvis du vil ha mer informasjon, kan du se Slik bytter du Arbeidsbelastninger for Konfigurasjonsbehandling til Intune.
Identifiser innstillingen du vil konfigurere, i tabellen nedenfor, og bruk deretter informasjonen i OMA-URI- og datatypen & verdikolonner. Innstillingene er oppført i alfabetisk rekkefølge.
Innstilling | OMA-URI, datatype, & verdier |
---|---|
Standard håndhevelse av enhetskontroll Standard håndhevelse fastslår hvilke beslutninger som tas under kontroll av enhetskontroll når ingen av policyreglene samsvarer |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Heltall: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Enhetstyper Enhetstyper, identifisert av deres primære ID-er, med enhetskontrollbeskyttelse aktivert |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Streng: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Aktiver enhetskontroll Aktivere eller deaktivere enhetskontroll på enheten |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Heltall: - Deaktiver = 0 - Aktiver = 1 |
Opprette policyer med OMA-URI
Når du oppretter policyer med OMA-URI i Intune, oppretter du én XML-fil for hver policy. Som en anbefalt fremgangsmåte kan du bruke profilen for enhetskontroll eller enhetskontrollregler til å utforme egendefinerte policyer.
Angi følgende innstillinger i Ruten Legg til rad :
- Skriv inn
Allow Read Activity
i Navn-feltet. - Skriv inn
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
i OMA-URI-feltet. (Du kan bruke PowerShell-kommandoenNew-Guid
til å generere en ny GUID og erstatte[PolicyRule Id]
.) - Velg Streng (XML-fil) i Datatype-feltet, og bruk egendefinert XML.
Du kan bruke parametere til å angi betingelser for bestemte oppføringer. Her er et gruppeeksempel på XML-fil for Tillat lesetilgang for hver flyttbare lagringsplass.
Obs!
Kommentarer som bruker XML-merknadsmerknader <!-- COMMENT -->
, kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.
Opprette grupper med OMA-URI
Når du oppretter grupper med OMA-URI i Intune, oppretter du én XML-fil for hver gruppe. Som en anbefalt fremgangsmåte kan du bruke gjenbrukbare innstillinger til å definere grupper.
Angi følgende innstillinger i Ruten Legg til rad :
- Skriv inn
Any Removable Storage Group
i Navn-feltet. - Skriv inn
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
i OMA-URI-feltet. (Hvis du vil hente gruppe-ID-en, går du til Grupper i administrasjonssenteret for Intune, og deretter velger du Kopier objekt-ID-en. Du kan også bruke PowerShell-kommandoenNew-Guid
til å generere en ny GUID og erstatte[GroupId]
.) - Velg Streng (XML-fil) i Datatype-feltet, og bruk egendefinert XML.
Obs!
Kommentarer som bruker XML-merknadsmerknader <!-- COMMENT -- >
, kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.
Konfigurer flyttbar tilgangskontroll for lagring ved hjelp av OMA-URI
Gå til administrasjonssenteret for Microsoft Intune , og logg på.
Velgkonfigurasjonsprofiler for enheter>. Siden Konfigurasjonsprofiler vises.
Velg + Opprett under Policyer-fanen (valgt som standard), og velg + Ny policy fra rullegardinlisten som vises. Siden Opprett en profil vises.
Velg Windows 10, Windows 11 og Windows Server fra rullegardinlisten Plattform i plattformlisten, og velg Maler fra rullegardinlisten Profiltype.
Når du velger Maler fra rullegardinlisten Profiltype , vises malnavneruten sammen med en søkeboks (for å søke i profilnavnet).
Velg Egendefinert fra Malnavn-ruten , og velg Opprett.
Opprett en rad for hver innstilling, gruppe eller policy ved å implementere trinn 1–5.
Vis enhetskontrollgrupper (innstillinger som kan brukes på nytt)
I Intune vises enhetskontrollgrupper som gjenbrukbare innstillinger.
Gå til administrasjonssenteret for Microsoft Intune , og logg på.
Gå til Surface Reduction for endepunktsikkerhetsangrep>.
Velg fanen Innstillinger som kan brukes på nytt .