Delen via


Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met Microsoft Intune

Van toepassing op:

Als u Intune gebruikt voor het beheren van Defender voor Eindpunt-instellingen, kunt u deze gebruiken om mogelijkheden voor apparaatbeheer te implementeren en te beheren. Verschillende aspecten van apparaatbeheer worden anders beheerd in Intune, zoals beschreven in de volgende secties.

Apparaatbeheer configureren en beheren in Intune

  1. Ga naar het Intune-beheercentrum en meld u aan.

  2. Ga naar Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen verminderen.

  3. Selecteer onder Beleid voor het verminderen van kwetsbaarheid voor aanvallen een bestaand beleid of selecteer + Beleid maken om een nieuw beleid in te stellen, met behulp van deze instellingen:

    • Selecteer Windows 10, Windows 11 en Windows Server in de lijst Platform. (Apparaatbeheer wordt momenteel niet ondersteund op Windows Server, hoewel u dit profiel selecteert voor beleid voor apparaatbeheer.)
    • Selecteer Apparaatbeheer in de lijst Profiel.
  4. Geef op het tabblad Basisinformatie een naam en beschrijving op voor uw beleid.

  5. Op het tabblad Configuratie-instellingen ziet u een lijst met instellingen. U hoeft niet al deze instellingen tegelijk te configureren. Overweeg om te beginnen met Apparaatbeheer.

    Schermopname van de Intune-gebruikersinterface voor beleidsregels voor apparaatbeheer.

  6. Nadat u uw instellingen hebt geconfigureerd, gaat u naar het tabblad Bereiktags , waar u bereiktags voor het beleid kunt opgeven.

  7. Geef op het tabblad Toewijzingen groepen gebruikers of apparaten op die uw beleid moeten ontvangen. Zie Beleid toewijzen in Intune voor meer informatie.

  8. Controleer op het tabblad Controleren en maken uw instellingen en breng de benodigde wijzigingen aan.

  9. Wanneer u klaar bent, selecteert u Maken om uw apparaatbeheerbeleid te maken.

Profielen voor apparaatbeheer

In Intune vertegenwoordigt elke rij een apparaatbeheerbeleid. De inbegrepen id is de herbruikbare instelling waarop het beleid van toepassing is. De uitgesloten id is de herbruikbare instelling die is uitgesloten van het beleid. De vermelding voor het beleid bevat de machtigingen die zijn toegestaan en het gedrag voor apparaatbeheer dat van kracht wordt wanneer het beleid van toepassing is.

De schermopname van de pagina waarop u de instellingen voor de functie Apparaatbeheer kunt configureren.

Zie de sectie Herbruikbare groepen met instellingen toevoegen aan een profiel voor apparaatbeheer in Herbruikbare groepen instellingen gebruiken met Intune-beleid voor informatie over het toevoegen van herbruikbare groepen instellingen die zijn opgenomen in de rij van elk apparaatbeheerbeleid.

Beleidsregels kunnen worden toegevoegd en verwijderd met behulp van de +pictogrammen en . De naam van het beleid wordt weergegeven in de waarschuwing voor gebruikers en in geavanceerde opsporing en rapporten.

U kunt controlebeleid toevoegen en beleid voor toestaan/weigeren toevoegen. Het wordt aanbevolen om altijd een beleid toestaan en/of weigeren toe te voegen bij het toevoegen van een controlebeleid, zodat u geen onverwachte resultaten ondervindt.

Belangrijk

Als u alleen controlebeleid configureert, worden de machtigingen overgenomen van de standaardinstelling voor afdwinging.

Opmerking

  • De volgorde waarin beleidsregels worden vermeld in de gebruikersinterface, wordt niet bewaard voor het afdwingen van beleid. De best practice is om beleid voor toestaan/weigeren te gebruiken. Zorg ervoor dat de optie Beleid toestaan/weigeren niet kruist door expliciet apparaten toe te voegen die moeten worden uitgesloten. Met de grafische interface van Intune kunt u de standaard afdwinging niet wijzigen. Als u de standaard afdwinging wijzigt in Denyen een Allow beleid maakt dat specifieke apparaten moet worden toegepast, worden alle apparaten geblokkeerd, behalve alle apparaten die zijn ingesteld in het Allow beleid.

Instellingen definiëren met OMA-URI

Belangrijk

Als u Intune OMA-URI gebruikt om apparaatbeheer te configureren, moet de werkbelasting Apparaatconfiguratie worden beheerd door Intune, als het apparaat samen met Configuration Manager wordt beheerd. Zie How to switch Configuration Manager workloads to Intune (Configuration Manager-workloads overschakelen naar Intune) voor meer informatie.

Identificeer in de volgende tabel de instelling die u wilt configureren en gebruik vervolgens de informatie in de kolommen OMA-URI en gegevenstype & waarden. Instellingen worden in alfabetische volgorde weergegeven.

Instelling OMA-URI, gegevenstype, & waarden
Standaard afdwingen van apparaatbeheer
Standaardhandhaving bepaalt welke beslissingen worden genomen tijdens toegangscontroles voor apparaatbeheer wanneer geen van de beleidsregels overeenkomt
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Geheel getal:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Apparaattypen
Apparaattypen, geïdentificeerd door hun primaire id's, met apparaatbeheerbeveiliging ingeschakeld
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Snaar:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Apparaatbeheer inschakelen
Apparaatbeheer op het apparaat in- of uitschakelen
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Geheel getal:
- Uitschakelen = 0
- Schakel = in 1

Beleid maken met OMA-URI

De schermopname van de pagina waarop u een beleid kunt maken met OMA-URI.

Wanneer u beleidsregels maakt met OMA-URI in Intune, maakt u één XML-bestand voor elk beleid. Als best practice kunt u het profiel Apparaatbeheer of Apparaatbeheerregelsprofiel gebruiken om aangepaste beleidsregels te maken.

Geef in het deelvenster Rij toevoegen de volgende instellingen op:

  • Typ Allow Read Activityin het veld Naam.
  • Typ ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleDatain het veld OMA-URI. (U kunt de PowerShell-opdracht New-Guid gebruiken om een nieuwe GUID te genereren en te vervangen [PolicyRule Id].)
  • Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.

U kunt parameters gebruiken om voorwaarden in te stellen voor specifieke vermeldingen. Hier volgt een groepsvoorbeeld van een XML-bestand voor Leestoegang toestaan voor elke verwisselbare opslag.

Opmerking

Opmerkingen met xml-opmerkingnotatie <!-- COMMENT --> kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.

Groepen maken met OMA-URI

De schermopname van de pagina waarop u een groep met OMA-URI kunt maken.

Wanneer u groepen maakt met OMA-URI in Intune, maakt u één XML-bestand voor elke groep. Als best practice kunt u herbruikbare instellingen gebruiken om groepen te definiëren.

Geef in het deelvenster Rij toevoegen de volgende instellingen op:

  • Typ Any Removable Storage Groupin het veld Naam.
  • Typ ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupDatain het veld OMA-URI. (Als u uw GroupID wilt ophalen, gaat u in het Intune-beheercentrum naar Groepen en selecteert u vervolgens De object-id kopiëren. U kunt ook de PowerShell-opdracht New-Guid gebruiken om een nieuwe GUID te genereren en te vervangen [GroupId].)
  • Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.

Opmerking

Opmerkingen met xml-opmerkingnotatie <!-- COMMENT -- > kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.

Toegangsbeheer voor verwisselbare opslag configureren met behulp van OMA-URI

  1. Ga naar het Microsoft Intune-beheercentrum en meld u aan.

  2. Kies Apparaten>Configuratieprofielen. De pagina Configuratieprofielen wordt weergegeven.

  3. Selecteer op het tabblad Beleid (standaard geselecteerd) de optie + Maken en kies + Nieuw beleid in de vervolgkeuzelijst die wordt weergegeven. De pagina Een profiel maken wordt weergegeven.

  4. Selecteer in de lijst Platformde optie Windows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform en kies Sjablonen in de vervolgkeuzelijst Profieltype .

    Zodra u Sjablonen hebt gekozen in de vervolgkeuzelijst Profieltype , wordt het deelvenster Sjabloonnaam weergegeven, samen met een zoekvak (om de profielnaam te doorzoeken).

  5. Selecteer Aangepast in het deelvenster Sjabloonnaam en selecteer Maken.

  6. Maak een rij voor elke instelling, groep of beleid door stap 1-5 te implementeren.

Apparaatbeheergroepen weergeven (herbruikbare instellingen)

In Intune worden apparaatbeheergroepen weergegeven als herbruikbare instellingen.

  1. Ga naar het Microsoft Intune-beheercentrum en meld u aan.

  2. Ga naar Kwetsbaarheid voor eindpuntbeveiligingsaanvallen>verminderen.

  3. Selecteer het tabblad Herbruikbare instellingen .

Zie ook