Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met behulp van groepsbeleid
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
Als u groepsbeleid gebruikt om Defender for Endpoint-instellingen te beheren, kunt u deze gebruiken om apparaatbeheer te implementeren en te beheren.
Toegangsbeheer voor verwisselbare opslag in- of uitschakelen
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer.
Selecteer In het venster Apparaatbeheerde optie Ingeschakeld.
Opmerking
Als u deze groepsbeleid Objecten niet ziet, moet u de groepsbeleid Beheersjablonen (ADMX) toevoegen. U kunt de beheersjabloon (WindowsDefender.adml en WindowsDefender.admx) downloaden van mdatp-devicecontrol/Windows-voorbeelden in GitHub.
Standaard afdwinging instellen
U kunt standaardtoegang instellen, zoals of Deny
Allow
voor alle functies voor apparaatbeheer, zoals RemovableMediaDevices
, CdRomDevices
, WpdDevices
en PrinterDevices
.
U kunt bijvoorbeeld een Deny
of een Allow
beleid hebben voor RemovableMediaDevices
, maar niet voor CdRomDevices
of WpdDevices
. Als u dit beleid instelt Default Deny
, wordt de toegang lezen/schrijven/uitvoeren tot CdRomDevices
of WpdDevices
geblokkeerd. Als u alleen opslag wilt beheren, moet u beleid voor printers maken Allow
. Anders wordt standaard afdwinging (Weigeren) ook toegepast op printers.
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer>Selecteer Standaard afdwingingsbeleid voor apparaatbeheer.
Selecteer in het venster Apparaatbeheer standaard afdwingingsbeleid selecteren de optie Standaard weigeren.
Apparaattypen configureren
Voer de volgende stappen uit om de apparaattypen te configureren waarop een apparaatbeheerbeleid wordt toegepast:
Ga op een computer met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Apparaatbeheer inschakelen voor specifieke apparaattypen.
Geef in het venster Apparaatbeheer voor specifieke typen inschakelen de productfamilie-id's op, gescheiden door een pijp (
|
). Productfamilie-id's zijn ,RemovableMediaDevices
CdRomDevices
,WpdDevices
ofPrinterDevices
.
Groepen definiëren
Creatie één XML-bestand voor elke verwisselbare opslaggroep.
Gebruik de eigenschappen in uw verwisselbare opslaggroep om een XML-bestand te maken voor elke verwisselbare opslaggroep.
Sla elk XML-bestand op in uw netwerkshare.
Definieer de instellingen als volgt:
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsgroepen voor apparaatbeheer definiëren.
Geef in het venster Beleidsgroepen voor apparaatbeheer definiëren het bestandspad voor de netwerkshare op met de XML-groepsgegevens.
U kunt verschillende groepstypen maken. Hier is een voorbeeld van een GROEP XML-bestand voor een verwisselbare opslag en cd-rom, draagbare Windows-apparaten en goedgekeurde USBs-groep: XML-bestand
Opmerking
Opmerkingen met xml-opmerkingnotatie <!--COMMENT-->
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.
Beleid definiëren
Creatie één XML-bestand voor toegangsbeleidsregel.
Gebruik de eigenschappen in beleidsregels voor toegang tot verwisselbare opslag om een XML te maken voor de regel voor toegang tot verwisselbare opslag van elke groep.
Sla het XML-bestand op in de netwerkshare.
Definieer de instellingen als volgt:
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsregels voor apparaatbeheer definiëren.
Selecteer in het venster Beleidsregels voor apparaatbeheer definiërende optie Ingeschakeld en geef vervolgens het bestandspad voor de netwerkshare op dat de XML-regels bevat.
Opmerking
Opmerkingen met xml-opmerkingnotatie <!-- COMMENT -->
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.
Locatie instellen voor een kopie van het bestand (bewijs)
Als u een kopie van het bestand (bewijs) met schrijftoegang wilt hebben, stelt u opties in de regel voor toegang tot verwisselbare opslag in het XML-bestand in en geeft u vervolgens de locatie op waar het systeem de kopie kan opslaan.
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Definieer apparaatbeheer bewijsgegevens externe locatie.
Selecteer in het venster Apparaatbeheer op afstand bewijsgegevens definiëren de optie Ingeschakeld en geef vervolgens het pad naar de lokale of netwerksharemap op.
Bewaarperiode voor lokale bewijscache
Als u de standaardwaarde van 60 dagen wilt wijzigen voor het behouden van de lokale cache voor bestandsbewijs, volgt u deze stappen:
Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Stel de bewaarperiode in voor bestanden in de lokale apparaatbeheercache.
Selecteer in het venster De bewaarperiode instellen voor bestanden in de lokale apparaatbeheercachede optie Ingeschakeld en voer vervolgens het aantal dagen in om de lokale cache te behouden (standaard 60).
Zie ook
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor