Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met Microsoft Intune
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
Als u Intune gebruikt voor het beheren van Defender voor Eindpunt-instellingen, kunt u deze gebruiken om mogelijkheden voor apparaatbeheer te implementeren en te beheren. Verschillende aspecten van apparaatbeheer worden anders beheerd in Intune, zoals beschreven in de volgende secties.
Apparaatbeheer configureren en beheren in Intune
Ga naar het Intune-beheercentrum en meld u aan.
Ga naar Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen verminderen.
Selecteer onder Beleid voor het verminderen van kwetsbaarheid voor aanvallen een bestaand beleid of selecteer + Beleid maken om een nieuw beleid in te stellen, met behulp van deze instellingen:
- Selecteer Windows 10, Windows 11 en Windows Server in de lijst Platform. (Apparaatbeheer wordt momenteel niet ondersteund op Windows Server, hoewel u dit profiel selecteert voor beleid voor apparaatbeheer.)
- Selecteer Apparaatbeheer in de lijst Profiel.
Geef op het tabblad Basisinformatie een naam en beschrijving op voor uw beleid.
Op het tabblad Configuratie-instellingen ziet u een lijst met instellingen. U hoeft niet al deze instellingen tegelijk te configureren. Overweeg om te beginnen met Apparaatbeheer.
- Onder Beheersjablonen hebt u de instellingen apparaatinstallatie en verwisselbare opslagtoegang .
- Zie onder Defender De instellingen voor het scannen van verwisselbare stations toestaan voor volledige scan .
- Zie Onder Gegevensbeveiliginginstellingen voor directe geheugentoegang toestaan .
- Zie Instellingen voor apparaatinventarisatiebeleid onder Dma Guard.
- Zie Instellingen voor schrijftoegang weigeren onder Opslag.
- Zie onder ConnectiviteitUSB-verbinding toestaan** en Bluetooth-instellingen toestaan .
- Zie onder Bluetooth een lijst met instellingen die betrekking hebben op Bluetooth-verbindingen en -services. Zie Beleids-CSP - Bluetooth voor meer informatie.
- Onder Apparaatbeheer kunt u aangepaste beleidsregels configureren met herbruikbare instellingen. Zie Overzicht van apparaatbeheer: regels voor meer informatie.
- Zie Instellingen voor opslagkaarten toestaan onder Systeem.
Nadat u uw instellingen hebt geconfigureerd, gaat u naar het tabblad Bereiktags , waar u bereiktags voor het beleid kunt opgeven.
Geef op het tabblad Toewijzingen groepen gebruikers of apparaten op die uw beleid moeten ontvangen. Zie Beleid toewijzen in Intune voor meer informatie.
Controleer op het tabblad Controleren en maken uw instellingen en breng de benodigde wijzigingen aan.
Wanneer u klaar bent, selecteert u Maken om uw apparaatbeheerbeleid te maken.
Profielen voor apparaatbeheer
In Intune vertegenwoordigt elke rij een apparaatbeheerbeleid. De inbegrepen id is de herbruikbare instelling waarop het beleid van toepassing is. De uitgesloten id is de herbruikbare instelling die is uitgesloten van het beleid. De vermelding voor het beleid bevat de machtigingen die zijn toegestaan en het gedrag voor apparaatbeheer dat van kracht wordt wanneer het beleid van toepassing is.
Zie de sectie Herbruikbare groepen met instellingen toevoegen aan een profiel voor apparaatbeheer in Herbruikbare groepen instellingen gebruiken met Intune-beleid voor informatie over het toevoegen van herbruikbare groepen instellingen die zijn opgenomen in de rij van elk apparaatbeheerbeleid.
Beleidsregels kunnen worden toegevoegd en verwijderd met behulp van de +pictogrammen en . De naam van het beleid wordt weergegeven in de waarschuwing voor gebruikers en in geavanceerde opsporing en rapporten.
U kunt controlebeleid toevoegen en beleid voor toestaan/weigeren toevoegen. Het wordt aanbevolen om altijd een beleid toestaan en/of weigeren toe te voegen bij het toevoegen van een controlebeleid, zodat u geen onverwachte resultaten ondervindt.
Belangrijk
Als u alleen controlebeleid configureert, worden de machtigingen overgenomen van de standaardinstelling voor afdwinging.
Opmerking
- De volgorde waarin beleidsregels worden vermeld in de gebruikersinterface, wordt niet bewaard voor het afdwingen van beleid. De best practice is om beleid voor toestaan/weigeren te gebruiken. Zorg ervoor dat de optie Beleid toestaan/weigeren niet kruist door expliciet apparaten toe te voegen die moeten worden uitgesloten. Met de grafische interface van Intune kunt u de standaard afdwinging niet wijzigen. Als u de standaard afdwinging wijzigt in
Deny
en eenAllow
beleid maakt dat specifieke apparaten moet worden toegepast, worden alle apparaten geblokkeerd, behalve alle apparaten die zijn ingesteld in hetAllow
beleid.
Instellingen definiëren met OMA-URI
Belangrijk
Als u Intune OMA-URI gebruikt om apparaatbeheer te configureren, moet de werkbelasting Apparaatconfiguratie worden beheerd door Intune, als het apparaat samen met Configuration Manager wordt beheerd. Zie How to switch Configuration Manager workloads to Intune (Configuration Manager-workloads overschakelen naar Intune) voor meer informatie.
Identificeer in de volgende tabel de instelling die u wilt configureren en gebruik vervolgens de informatie in de kolommen OMA-URI en gegevenstype & waarden. Instellingen worden in alfabetische volgorde weergegeven.
Instelling | OMA-URI, gegevenstype, & waarden |
---|---|
Standaard afdwingen van apparaatbeheer Standaardhandhaving bepaalt welke beslissingen worden genomen tijdens toegangscontroles voor apparaatbeheer wanneer geen van de beleidsregels overeenkomt |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Geheel getal: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Apparaattypen Apparaattypen, geïdentificeerd door hun primaire id's, met apparaatbeheerbeveiliging ingeschakeld |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Snaar: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Apparaatbeheer inschakelen Apparaatbeheer op het apparaat in- of uitschakelen |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Geheel getal: - Uitschakelen = 0 - Schakel = in 1 |
Beleid maken met OMA-URI
Wanneer u beleidsregels maakt met OMA-URI in Intune, maakt u één XML-bestand voor elk beleid. Als best practice kunt u het profiel Apparaatbeheer of Apparaatbeheerregelsprofiel gebruiken om aangepaste beleidsregels te maken.
Geef in het deelvenster Rij toevoegen de volgende instellingen op:
- Typ
Allow Read Activity
in het veld Naam. - Typ
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
in het veld OMA-URI. (U kunt de PowerShell-opdrachtNew-Guid
gebruiken om een nieuwe GUID te genereren en te vervangen[PolicyRule Id]
.) - Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.
U kunt parameters gebruiken om voorwaarden in te stellen voor specifieke vermeldingen. Hier volgt een groepsvoorbeeld van een XML-bestand voor Leestoegang toestaan voor elke verwisselbare opslag.
Opmerking
Opmerkingen met xml-opmerkingnotatie <!-- COMMENT -->
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.
Groepen maken met OMA-URI
Wanneer u groepen maakt met OMA-URI in Intune, maakt u één XML-bestand voor elke groep. Als best practice kunt u herbruikbare instellingen gebruiken om groepen te definiëren.
Geef in het deelvenster Rij toevoegen de volgende instellingen op:
- Typ
Any Removable Storage Group
in het veld Naam. - Typ
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
in het veld OMA-URI. (Als u uw GroupID wilt ophalen, gaat u in het Intune-beheercentrum naar Groepen en selecteert u vervolgens De object-id kopiëren. U kunt ook de PowerShell-opdrachtNew-Guid
gebruiken om een nieuwe GUID te genereren en te vervangen[GroupId]
.) - Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.
Opmerking
Opmerkingen met xml-opmerkingnotatie <!-- COMMENT -- >
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.
Toegangsbeheer voor verwisselbare opslag configureren met behulp van OMA-URI
Ga naar het Microsoft Intune-beheercentrum en meld u aan.
Kies Apparaten>Configuratieprofielen. De pagina Configuratieprofielen wordt weergegeven.
Selecteer op het tabblad Beleid (standaard geselecteerd) de optie + Maken en kies + Nieuw beleid in de vervolgkeuzelijst die wordt weergegeven. De pagina Een profiel maken wordt weergegeven.
Selecteer in de lijst Platformde optie Windows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform en kies Sjablonen in de vervolgkeuzelijst Profieltype .
Zodra u Sjablonen hebt gekozen in de vervolgkeuzelijst Profieltype , wordt het deelvenster Sjabloonnaam weergegeven, samen met een zoekvak (om de profielnaam te doorzoeken).
Selecteer Aangepast in het deelvenster Sjabloonnaam en selecteer Maken.
Maak een rij voor elke instelling, groep of beleid door stap 1-5 te implementeren.
Apparaatbeheergroepen weergeven (herbruikbare instellingen)
In Intune worden apparaatbeheergroepen weergegeven als herbruikbare instellingen.
Ga naar het Microsoft Intune-beheercentrum en meld u aan.
Ga naar Kwetsbaarheid voor eindpuntbeveiligingsaanvallen>verminderen.
Selecteer het tabblad Herbruikbare instellingen .