Delen via


Beleid voor apparaatbeheer in Microsoft Defender voor Eindpunt

Van toepassing op:

In dit artikel worden beleidsregels, regels, vermeldingen, groepen en geavanceerde voorwaarden voor apparaatbeheer beschreven. In feite definieert beleid voor apparaatbeheer de toegang voor een set apparaten. De apparaten die binnen het bereik vallen, worden bepaald door een lijst met opgenomen apparaatgroepen en een lijst met uitgesloten apparaatgroepen. Een beleid is van toepassing als het apparaat zich in alle opgenomen apparaatgroepen bevindt en geen van de uitgesloten apparaatgroepen. Als er geen beleid van toepassing is, wordt de standaard afdwinging toegepast.

Apparaatbeheer is standaard uitgeschakeld, zodat toegang tot alle typen apparaten is toegestaan. Zie Apparaatbeheer in Microsoft Defender voor Eindpunt voor meer informatie over apparaatbeheer.

Standaardgedrag beheren

Wanneer apparaatbeheer is ingeschakeld, is dit standaard ingeschakeld voor alle apparaattypen. De standaard afdwinging kan ook worden gewijzigd van Toestaan in Weigeren. Uw beveiligingsteam kan ook de typen apparaten configureren die door apparaatbeheer worden beveiligd. De volgende tabel hieronder laat zien hoe verschillende combinaties van instellingen de beslissing over toegangsbeheer wijzigen.

Is apparaatbeheer ingeschakeld? Standaardgedrag Apparaattypen
Nee Toegang is toegestaan - Cd/dvd-stations
-Printers
- Verwisselbare media-apparaten
- Draagbare Windows-apparaten
Ja (Niet opgegeven)
Toegang is toegestaan
- Cd/dvd-stations
-Printers
- Verwisselbare media-apparaten
- Draagbare Windows-apparaten
Ja Ontkennen - Cd/dvd-stations
-Printers
- Verwisselbare media-apparaten
- Draagbare Windows-apparaten
Ja Verwisselbare mediaapparaten en printers weigeren - Printers en verwisselbare media-apparaten (geblokkeerd)
- Cd/dvd-stations en draagbare Windows-apparaten (toegestaan)

Wanneer apparaattypen zijn geconfigureerd, worden aanvragen voor andere apparaatfamilies genegeerd door apparaatbeheer in Defender voor Eindpunt.

Zie de volgende artikelen voor meer informatie:

Beleid

Apparaatbeheer maakt gebruik van beleidsregels om de toegang tot apparaten verder te verfijnen. Een beleid is een set regels en groepen. Hoe regels en groepen worden gedefinieerd, verschilt enigszins tussen beheerervaringen en besturingssystemen, zoals beschreven in de volgende tabel.

Beheerhulpprogramma Besturingssysteem Hoe regels en groepen worden beheerd
Intune : beleid voor apparaatbeheer Windows Apparaat- en printergroepen kunnen worden beheerd als herbruikbare instellingen en worden opgenomen in regels. Niet alle functies zijn beschikbaar in het apparaatbeheerbeleid (zie Apparaatbeheer implementeren en beheren met Microsoft Intune)
Intune – Aangepast Windows Elke groep/regel wordt opgeslagen als een XML-tekenreeks in aangepast configuratiebeleid. De OMA-URI bevat de GUID van de groep/regel. De GUID moet worden gegenereerd.
Groepsbeleid Windows De groepen en regels worden gedefinieerd in afzonderlijke XML-instellingen in het groepsbeleid-object (zie Apparaatbeheer implementeren en beheren met groepsbeleid).
Intune Mac De regels en beleidsregels worden gecombineerd in één JSON en opgenomen in het mobileconfig bestand dat wordt geïmplementeerd met behulp van Intune
JAMF Mac De regels en beleidsregels worden gecombineerd in één JSON en geconfigureerd met behulp van JAMF als het beleid voor apparaatbeheer (zie Apparaatbeheer voor macOS)

Regels en groepen worden geïdentificeerd door GUID's (Global Unique ID's). Als beleid voor apparaatbeheer wordt geïmplementeerd met behulp van een ander beheerprogramma dan Intune, moeten de GUID's worden gegenereerd. U kunt de GUID's genereren met behulp van PowerShell.

Zie JSON-schema voor Mac voor schemadetails.

Gebruikers

Beleid voor apparaatbeheer kan worden toegepast op gebruikers en/of gebruikersgroepen.

Opmerking

In de artikelen met betrekking tot apparaatbeheer worden groepen gebruikersgroepen genoemd. De term groepen verwijst naar groepen die zijn gedefinieerd in het beleid voor apparaatbeheer.

Met behulp van Intune kan op Mac en Windows beleid voor apparaatbeheer worden gericht op gebruikersgroepen die zijn gedefinieerd in Entra Id.

In Windows kan een gebruiker of gebruikersgroep een voorwaarde zijn voor een vermelding in een beleid.

Vermeldingen met gebruikers- of gebruikersgroepen kunnen verwijzen naar objecten vanuit een Entra-id of een lokale Active Directory.

Aanbevolen procedures voor het gebruik van apparaatbeheer met gebruikers en gebruikersgroepen

  • Als u een regel wilt maken voor een afzonderlijke gebruiker in Windows, maakt u een vermelding met een Sid voorwaarde voor elke gebruiker in een regel

  • Als u een regel wilt maken voor een gebruikersgroep in Windows en Intune, maakt u een vermelding met een Sid voorwaarde voor elke gebruikersgroep in een [regel] en richt u het beleid op een computergroep in Intune of maakt u een regel zonder voorwaarden en richt u het beleid met Intune op de gebruikersgroep.

  • Gebruik op mac Intune en richt het beleid op een gebruikersgroep in Entra Id.

Waarschuwing

Gebruik niet zowel voorwaarden voor gebruikers-/gebruikersgroepen in regels als targeting voor gebruikersgroepen in Intune.

Opmerking

Als de netwerkverbinding een probleem is, gebruikt u Intune gebruikersgroep of een lokale Active Directory-groepen. Voorwaarden voor gebruikers-/gebruikersgroepen die verwijzen naar Entra Id mogen alleen worden gebruikt in omgevingen die een betrouwbare verbinding met Entra Id hebben.

Regels

Een regel definieert de lijst met opgenomen groepen en een lijst met uitgesloten groepen. De regel kan alleen worden toegepast als het apparaat zich in alle opgenomen groepen en geen van de uitgesloten groepen bevindt. Als het apparaat overeenkomt met de regel, worden de vermeldingen voor die regel geëvalueerd. Een vermelding definieert de actie- en meldingsopties die zijn toegepast, als de aanvraag overeenkomt met de voorwaarden. Als er geen regels van toepassing zijn of als er geen vermeldingen overeenkomen met de aanvraag, wordt de standaard afdwinging toegepast.

Als u bijvoorbeeld schrijftoegang wilt toestaan voor sommige USB-apparaten en leestoegang voor alle andere USB-apparaten, gebruikt u de volgende beleidsregels, groepen en vermeldingen met standaard afdwinging ingesteld op weigeren.

Groep Beschrijving
Alle verwisselbare opslagapparaten Verwisselbare opslagapparaten
Beschrijfbare USBs Lijst met USB's waarvoor schrijftoegang is toegestaan
Regel Inbegrepen apparaat Groepen Uitgesloten apparaat Groepen Ingang
Alleen-lezentoegang voor USBs Alle verwisselbare opslagapparaten Beschrijfbare USBs Alleen-lezentoegang
Schrijftoegang voor USBs Beschrijfbare USBs Schrijftoegang

De naam van de regel wordt weergegeven in de portal voor rapportage en in de pop-upmelding voor gebruikers, dus zorg ervoor dat u de regels beschrijvende namen geeft.

U kunt regels configureren door beleidsregels te bewerken in Intune, een XML-bestand in Windows te gebruiken of een JSON-bestand op de Mac te gebruiken. Selecteer elk tabblad voor meer informatie.

In de volgende afbeelding ziet u configuratie-instellingen voor een apparaatbeheerbeleid in Intune:

Schermopname van de configuratie van apparaatbeheer in Intune.

In de schermopname zijn de opgenomen id en uitgesloten id de verwijzingen naar opgenomen en uitgesloten herbruikbare instellingengroepen. Een beleid kan meerdere regels hebben.

Intune houdt zich niet aan de volgorde van de regels. De regels kunnen in elke volgorde worden geëvalueerd. Zorg er dus voor dat u groepen apparaten expliciet uitsluit die niet binnen het bereik van de regel vallen.

Posten

Beleid voor apparaatbeheer definieert toegang (een vermelding genoemd) voor een set apparaten. Vermeldingen definiëren de actie- en meldingsopties voor apparaten die voldoen aan het beleid en de voorwaarden die in de vermelding zijn gedefinieerd.

Instelling voor invoer Opties
AccessMask Pas de actie alleen toe als de toegangsbewerkingen overeenkomen met het toegangsmasker: het toegangsmasker is de bit-of-waarde van de toegangswaarden:

1 - Apparaat lezen
2 - Apparaat schrijven
4 - Apparaat uitvoeren
8 - Bestand lezen
16 - Schrijven van bestanden
32 - Bestand uitvoeren
64 - Afdrukken

Bijvoorbeeld:
Apparaat lezen, schrijven en uitvoeren = 7 (1+2+4)
Apparaat lezen, Schijf lezen = 9 (1+8)
Actie Toestaan
Ontkennen
AuditAllow
AuditDeny
Bekendmaking Geen (standaard)
Er wordt een gebeurtenis gegenereerd
De gebruiker ontvangt een melding

Ingangsevaluatie

Er zijn twee typen vermeldingen: afdwingingsvermeldingen (Toestaan/Weigeren) en controlevermeldingen (AuditAllow/AuditDeny).

Afdwingingsvermeldingen voor een regel worden op volgorde geëvalueerd totdat alle aangevraagde machtigingen overeenkomen. Als er geen vermeldingen overeenkomen met een regel, wordt de volgende regel geëvalueerd. Als er geen regels overeenkomen, wordt de standaardwaarde toegepast.

Vermeldingen controleren

Controlegebeurtenissen bepalen het gedrag wanneer apparaatbeheer een regel afdwingt (toestaan/weigeren). Apparaatbeheer kan een melding aan de eindgebruiker weergeven. De gebruiker krijgt een melding met de naam van het apparaatbeheerbeleid en de naam van het apparaat. De melding wordt eenmaal per uur weergegeven nadat de initiële toegang is geweigerd.

Apparaatbeheer kan ook een gebeurtenis maken die beschikbaar is in Geavanceerde opsporing.

Belangrijk

Er is een limiet van 300 gebeurtenissen per apparaat per dag. Controlevermeldingen worden verwerkt nadat het tenuitvoerleggingsbesluit is genomen. Alle bijbehorende controlevermeldingen worden geëvalueerd.

Voorwaarden

Een vermelding ondersteunt de volgende optionele voorwaarden:

  • Voorwaarde gebruiker/gebruikersgroep: de actie alleen toepassen op de gebruiker/gebruikersgroep die is geïdentificeerd door de SID

Opmerking

Gebruik voor gebruikersgroepen en gebruikers die zijn opgeslagen in Microsoft Entra-id de object-id in de voorwaarde. Voor gebruikersgroepen en gebruikers die lokaal zijn opgeslagen, gebruikt u de beveiligings-id (SID)

Opmerking

In Windows kan de SID van de gebruiker die is aangemeld, worden opgehaald door de PowerShell-opdracht whoami /useruit te voeren.

  • Machinevoorwaarde: de actie wordt alleen toegepast op het apparaat/de groep die is geïdentificeerd door de SID
  • Voorwaarde parameters: de actie wordt alleen toegepast als de parameters overeenkomen (zie Geavanceerde voorwaarden)

Vermeldingen kunnen verder worden gericht op specifieke gebruikers en apparaten. Geef deze gebruiker bijvoorbeeld alleen op dit apparaat leestoegang tot deze USB's.

Beleid Inbegrepen apparaat Groepen Uitgesloten apparaat Groepen Vermelding(en)
Alleen-lezentoegang voor USBs Alle verwisselbare opslagapparaten Beschrijfbare USBs Alleen-lezentoegang
Schrijftoegang voor USBs Beschrijfbare USBs Schrijftoegang voor gebruiker 1

Schrijftoegang voor gebruiker 2 in apparaatgroep A

Alle voorwaarden in de vermelding moeten waar zijn om de actie toe te passen.

U kunt vermeldingen configureren met behulp van Intune, een XML-bestand in Windows of een JSON-bestand op Mac. Selecteer elk tabblad voor meer informatie.

In Intune bevat het veld Toegangsmasker opties, zoals:

  • Lezen (schijfniveau lezen = 1)
  • Schrijven (schrijven op schijfniveau = 2)
  • Uitvoeren (uitvoeren op schijfniveau = 4)
  • Afdrukken (Afdrukken = 64).

Niet alle functies worden weergegeven in de gebruikersinterface van Intune. Zie Apparaatbeheer implementeren en beheren met Intune voor meer informatie.

Groepen

Groepen criteria definiëren voor het filteren van objecten op hun eigenschappen. Het object wordt toegewezen aan de groep als de eigenschappen overeenkomen met de eigenschappen die voor de groep zijn gedefinieerd.

Opmerking

Groepen in deze sectie verwijzen niet naar gebruikersgroepen.

Bijvoorbeeld:

  • Toegestane USBs zijn alle apparaten die overeenkomen met een van deze fabrikanten
  • Verloren USB's zijn alle apparaten die overeenkomen met een van deze serienummers
  • Toegestane printers zijn alle apparaten die overeenkomen met een van deze VID/PID

De eigenschappen kunnen op vier manieren worden vergeleken: MatchAll, MatchAny, MatchExcludeAllen MatchExcludeAny

  • MatchAll: De eigenschappen zijn een 'En'-relatie; Als de beheerder bijvoorbeeld en InstancePathIDplaatst DeviceID voor elke aangesloten USB, controleert het systeem of de USB aan beide waarden voldoet.
  • MatchAny: De eigenschappen zijn een 'Of'-relatie; Als de beheerder bijvoorbeeld DeviceID en InstancePathID, plaatst voor elke aangesloten USB, dwingt het systeem af zolang de USB een identieke DeviceID waarde of InstanceID waarde heeft.
  • MatchExcludeAll: De eigenschappen zijn een 'En'-relatie, alle items die NIET voldoen, worden behandeld. Als de beheerder bijvoorbeeld plaatst DeviceID en InstancePathID gebruikt en gebruikt MatchExcludeAllvoor elke aangesloten USB, dwingt het systeem af zolang de USB niet zowel identiek als waarde DeviceIDInstanceID heeft.
  • MatchExcludeAny: De eigenschappen zijn een 'Of'-relatie, alle items die NIET voldoen, worden behandeld. Als de beheerder bijvoorbeeld voor elke aangesloten USB plaatst DeviceID en InstancePathID gebruikt MatchExcludeAny, dwingt het systeem af zolang de USB geen identieke DeviceID waarde of InstanceID waarde heeft.

Groepen worden op twee manieren gebruikt: om apparaten te selecteren voor opname/uitsluiting in regels en om toegang te filteren op geavanceerde voorwaarden. Deze tabel bevat een overzicht van de groepstypen en hoe deze worden gebruikt.

Type Beschrijving O/S Regels opnemen/uitsluiten Geavanceerde voorwaarden
Apparaat (standaard) Apparaten en printers filteren Windows/Mac X
Netwerk Netwerkvoorwaarden filteren Windows X
VPN-verbinding VPN-voorwaarden filteren Windows X
Bestand Bestandseigenschappen filteren Windows X
Afdruktaak Filtereigenschappen van het bestand dat wordt afgedrukt Windows X

De apparaten die binnen het bereik van het beleid vallen, bepaald door een lijst met opgenomen groepen en een lijst met uitgesloten groepen. Een regel is van toepassing als het apparaat zich in alle opgenomen groepen bevindt en geen van de uitgesloten groepen. Groepen kan worden samengesteld uit de eigenschappen van apparaten. De volgende eigenschappen kunnen worden gebruikt:

Eigenschap Omschrijving Windows-apparaten Mac-apparaten Printers
FriendlyNameId De beschrijvende naam in Windows Apparaatbeheer J N J
PrimaryId Het type apparaat J J J
VID_PID Leveranciers-id is de viercijferige leveranciercode die de USB-commissie aan de leverancier toewijst. Product-id is de viercijferige productcode die de leverancier aan het apparaat toewijst. Jokertekens worden ondersteund. Bijvoorbeeld 0751_55E0 J N J
PrinterConnectionId Het type printerverbinding:
- USB: Een printer die is aangesloten via de USB-poort van een computer.
- Network: Een netwerkprinter is een printer die toegankelijk is via een netwerkverbinding, waardoor deze kan worden gebruikt door andere computers die zijn verbonden met het netwerk.
- Corporate: Een zakelijke printer is een afdrukwachtrij die wordt gedeeld via on-premises Windows Print Server.
- Universal: Universal Print is een moderne afdrukoplossing die organisaties kunnen gebruiken om hun afdrukinfrastructuur te beheren via cloudservices van Microsoft. Wat is Universal Print? - Universal Print | Microsoft Docs
- File: 'Microsoft Afdrukken naar PDF' en 'Microsoft XPS Document Writer' of andere printers met behulp van een BESTAND: of PORTPROMPT: poort
- Custom: printer die geen verbinding maakt via de Microsoft-afdrukpoort
- Local: printer niet van het bovenstaande type, bijvoorbeeld afdrukken via RDP of omleiden printers
N N J
BusId Informatie over het apparaat (zie de secties die volgen op deze tabel voor meer informatie) J N N
DeviceId Informatie over het apparaat (zie de secties die volgen op deze tabel voor meer informatie) J N N
HardwareId Informatie over het apparaat (zie de secties die volgen op deze tabel voor meer informatie) J N N
InstancePathId Informatie over het apparaat (zie de secties die volgen op deze tabel voor meer informatie) J N N
SerialNumberId Informatie over het apparaat (zie de secties die volgen op deze tabel voor meer informatie) J J N
PID Product-id is de viercijferige productcode die de leverancier aan het apparaat toewijst J J N
VID Leveranciers-id is de viercijferige leveranciercode die de USB-commissie aan de leverancier toewijst. J J N
DeviceEncryptionStateId (Preview) De BitLocker-versleutelingsstatus van een apparaat. Geldige waarden zijn BitlockerEncrypted of Plain J N N
APFS Encrypted Als het apparaat is versleuteld met APFS N J N

Windows Apparaatbeheer gebruiken om apparaateigenschappen te bepalen

Voor Windows-apparaten kunt u Apparaatbeheer gebruiken om de eigenschappen van apparaten te begrijpen.

  1. Open Apparaatbeheer, zoek het apparaat, klik met de rechtermuisknop op Eigenschappen en selecteer vervolgens het tabblad Details.

  2. Selecteer in de lijst Eigenschap de optie Pad van apparaatexemplaren.

    De waarde die wordt weergegeven voor het pad van het apparaatexemplaren is de InstancePathId, maar bevat ook andere eigenschappen:

    • USB\VID_090C&PID_1000\FBH1111183300721
    • {BusId}\{DeviceId}\{SerialNumberId}

    De eigenschappen in apparaatbeheer zijn toegewezen aan apparaatbeheer, zoals wordt weergegeven in de volgende tabel:

    Apparaatbeheer Apparaatbesturing
    Hardware-id's HardwareId
    Beschrijvende naam FriendlyNameId
    Ouder VID_PID
    DeviceInstancePath InstancePathId

Rapporten en geavanceerde opsporing gebruiken om eigenschappen van apparaten te bepalen

Apparaateigenschappen hebben enigszins verschillende labels bij geavanceerde opsporing. In de onderstaande tabel worden de labels in de portal toegewezen aan het propertyId in een apparaatbeheerbeleid.

Microsoft Defender-portaleigenschap Eigenschap-id van apparaatbeheer
Medianaam FriendlyNameId
Leverancier-id HardwareId
DeviceId InstancePathId
Serienummer SerialNumberId

Opmerking

Zorg ervoor dat het geselecteerde object de juiste mediaklasse voor het beleid heeft. Over het algemeen gebruikt Class Name == USBu voor verwisselbare opslag.

Groepen configureren in Intune, XML in Windows of JSON op Mac

U kunt groepen configureren in Intune, met behulp van een XML-bestand voor Windows of met behulp van een JSON-bestand op mac. Selecteer elk tabblad voor meer informatie.

Opmerking

De Group Id in XML en id in JSON wordt gebruikt om de groep in apparaatbeheer te identificeren. Het is geen verwijzing naar een andere, zoals een gebruikersgroep in Entra Id.

Herbruikbare instellingen in Intune worden toegewezen aan apparaatgroepen. U kunt herbruikbare instellingen configureren in Intune.

Schermopname van het configureren van herbruikbare instellingen in Intune.

Er zijn twee typen groepen: Printerapparaat en Verwisselbare opslag. De volgende tabel bevat de eigenschappen voor deze groepen.

Groepstype Eigenschappen
Printerapparaat - FriendlyNameId
- PrimaryId
- PrinterConnectionId
- VID_PID
Verwisselbare opslag - BusId
- DeviceId
- FriendlyNameId
- HardwareId
- InstancePathId
- PID
- PrimaryId
- SerialNumberId
- VID
- VID_PID

Geavanceerde voorwaarden

Vermeldingen kunnen verder worden beperkt op basis van parameters. Parameters passen geavanceerde voorwaarden toe die verder gaan dan het apparaat. Geavanceerde voorwaarden maken nauwkeurige controle mogelijk op basis van netwerk, VPN-verbinding, bestand of afdruktaak die wordt geëvalueerd.

Opmerking

Geavanceerde voorwaarden worden alleen ondersteund in de XML-indeling.

Netwerkvoorwaarden

In de volgende tabel worden de eigenschappen van de netwerkgroep beschreven:

Eigenschap Omschrijving
NameId De naam van het netwerk. Jokertekens worden ondersteund.
NetworkCategoryId Geldige opties zijn Public, Privateof DomainAuthenticated.
NetworkDomainId Geldige opties zijn NonDomain, Domain, DomainAuthenticated.

Deze eigenschappen worden toegevoegd aan de DescriptorIdList van een groep van het type Netwerk. Hier volgt een voorbeeldfragment:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Naar de groep wordt vervolgens verwezen als parameters in de vermelding, zoals wordt geïllustreerd in het volgende fragment:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN-verbindingsvoorwaarden

In de volgende tabel worden de vpn-verbindingsvoorwaarden beschreven:

Naam Beschrijving
NameId De naam van de VPN-verbinding. Jokertekens worden ondersteund.
VPNConnectionStatusId Geldige waarden zijn Connected of Disconnected.
VPNServerAddressId De tekenreekswaarde van VPNServerAddress. Jokertekens worden ondersteund.
VPNDnsSuffixId De tekenreekswaarde van VPNDnsSuffix. Jokertekens worden ondersteund.

Deze eigenschappen worden toegevoegd aan de DescriptorIdList van een groep van het type VPNConnection, zoals wordt weergegeven in het volgende codefragment:


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Vervolgens wordt naar de groep verwezen als parameters in een vermelding, zoals wordt geïllustreerd in het volgende codefragment:


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Naar de groep wordt vervolgens verwezen als parameters in een vermelding, zoals wordt geïllustreerd in het volgende fragment:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

In de volgende tabel worden groepseigenschappen beschreven PrintJob :

Naam Beschrijving
PrintOutputFileNameId Het pad naar het uitvoerdoelbestand voor afdrukken naar bestand. Jokertekens worden ondersteund. Bijvoorbeeld C:\*\Test.pdf
PrintDocumentNameId Het bronbestandspad. Jokertekens worden ondersteund. Dit pad bestaat mogelijk niet. Voeg bijvoorbeeld tekst toe aan een nieuw bestand in Kladblok en druk vervolgens af zonder het bestand op te slaan.

Deze eigenschappen worden toegevoegd aan de DescriptorIdList van een groep van het type PrintJob, zoals wordt geïllustreerd in het volgende codefragment:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Naar de groep wordt vervolgens verwezen als parameters in een vermelding, zoals wordt geïllustreerd in het volgende fragment:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Volgende stappen