Delen via

Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met behulp van groepsbeleid

  • Artikel

Van toepassing op:

Als u groepsbeleid gebruikt om Defender for Endpoint-instellingen te beheren, kunt u deze gebruiken om apparaatbeheer te implementeren en te beheren.

Toegangsbeheer voor verwisselbare opslag in- of uitschakelen

Schermopname van rsac uitschakelen inschakelen.

  1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer.

  2. Selecteer In het venster Apparaatbeheerde optie Ingeschakeld.

Opmerking

Als u deze groepsbeleid Objecten niet ziet, moet u de groepsbeleid Beheersjablonen (ADMX) toevoegen. U kunt de beheersjabloon (WindowsDefender.adml en WindowsDefender.admx) downloaden van mdatp-devicecontrol/Windows-voorbeelden in GitHub.

Standaard afdwinging instellen

U kunt standaardtoegang instellen, zoals of DenyAllow voor alle functies voor apparaatbeheer, zoals RemovableMediaDevices, CdRomDevices, WpdDevicesen PrinterDevices.

Schermopname van standaard afdwinging instellen.

U kunt bijvoorbeeld een Deny of een Allow beleid hebben voor RemovableMediaDevices, maar niet voor CdRomDevices of WpdDevices. Als u dit beleid instelt Default Deny , wordt de toegang lezen/schrijven/uitvoeren tot CdRomDevices of WpdDevices geblokkeerd. Als u alleen opslag wilt beheren, moet u beleid voor printers maken Allow . Anders wordt standaard afdwinging (Weigeren) ook toegepast op printers.

  1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer>Selecteer Standaard afdwingingsbeleid voor apparaatbeheer.

  2. Selecteer in het venster Apparaatbeheer standaard afdwingingsbeleid selecteren de optie Standaard weigeren.

Apparaattypen configureren

Schermopname van apparaattypen configureren.

Voer de volgende stappen uit om de apparaattypen te configureren waarop een apparaatbeheerbeleid wordt toegepast:

  1. Ga op een computer met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Apparaatbeheer inschakelen voor specifieke apparaattypen.

  2. Geef in het venster Apparaatbeheer voor specifieke typen inschakelen de productfamilie-id's op, gescheiden door een pijp (|). Productfamilie-id's zijn , RemovableMediaDevicesCdRomDevices, WpdDevicesof PrinterDevices.

Groepen definiëren

Schermopname van groepen definiëren.

  1. Creatie één XML-bestand voor elke verwisselbare opslaggroep.

  2. Gebruik de eigenschappen in uw verwisselbare opslaggroep om een XML-bestand te maken voor elke verwisselbare opslaggroep.

  3. Sla elk XML-bestand op in uw netwerkshare.

  4. Definieer de instellingen als volgt:

    1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsgroepen voor apparaatbeheer definiëren.

    2. Geef in het venster Beleidsgroepen voor apparaatbeheer definiëren het bestandspad voor de netwerkshare op met de XML-groepsgegevens.

U kunt verschillende groepstypen maken. Hier is een voorbeeld van een GROEP XML-bestand voor een verwisselbare opslag en cd-rom, draagbare Windows-apparaten en goedgekeurde USBs-groep: XML-bestand

Opmerking

Opmerkingen met xml-opmerkingnotatie <!--COMMENT--> kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.

Beleid definiëren

Schermopname van beleid definiëren.

  1. Creatie één XML-bestand voor toegangsbeleidsregel.

  2. Gebruik de eigenschappen in beleidsregels voor toegang tot verwisselbare opslag om een XML te maken voor de regel voor toegang tot verwisselbare opslag van elke groep.

  3. Sla het XML-bestand op in de netwerkshare.

  4. Definieer de instellingen als volgt:

    1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsregels voor apparaatbeheer definiëren.

    2. Selecteer in het venster Beleidsregels voor apparaatbeheer definiërende optie Ingeschakeld en geef vervolgens het bestandspad voor de netwerkshare op dat de XML-regels bevat.

Opmerking

Opmerkingen met xml-opmerkingnotatie <!-- COMMENT --> kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.

Locatie instellen voor een kopie van het bestand (bewijs)

Schermopname van de ingestelde locatie voor een kopie van het bestand.

Als u een kopie van het bestand (bewijs) met schrijftoegang wilt hebben, stelt u opties in de regel voor toegang tot verwisselbare opslag in het XML-bestand in en geeft u vervolgens de locatie op waar het systeem de kopie kan opslaan.

  1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Definieer apparaatbeheer bewijsgegevens externe locatie.

  2. Selecteer in het venster Apparaatbeheer op afstand bewijsgegevens definiëren de optie Ingeschakeld en geef vervolgens het pad naar de lokale of netwerksharemap op.

Bewaarperiode voor lokale bewijscache

Schermopname van de bewaarperiode voor lokale cache.

Als u de standaardwaarde van 60 dagen wilt wijzigen voor het behouden van de lokale cache voor bestandsbewijs, volgt u deze stappen:

  1. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Stel de bewaarperiode in voor bestanden in de lokale apparaatbeheercache.

  2. Selecteer in het venster De bewaarperiode instellen voor bestanden in de lokale apparaatbeheercachede optie Ingeschakeld en voer vervolgens het aantal dagen in om de lokale cache te behouden (standaard 60).

Zie ook