Apparaatbeheer in Microsoft Defender voor Eindpunt
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
Met de mogelijkheden voor apparaatbeheer in Microsoft Defender voor Eindpunt kunt uw beveiligingsteam bepalen of gebruikers randapparatuur, zoals verwisselbare opslag (USB-sticks, cd's, schijven, enzovoort), printers, Bluetooth-apparaten of andere apparaten met hun computer kunnen installeren en gebruiken. Uw beveiligingsteam kan beleidsregels voor apparaatbeheer configureren om regels zoals deze te configureren:
- Voorkomen dat gebruikers bepaalde apparaten (zoals USB-stations) installeren en gebruiken
- Voorkomen dat gebruikers externe apparaten installeren en gebruiken met specifieke uitzonderingen
- Gebruikers toestaan specifieke apparaten te installeren en te gebruiken
- Gebruikers toestaan om alleen met BitLocker versleutelde apparaten met Windows-computers te installeren en te gebruiken
Deze lijst is bedoeld om enkele voorbeelden te geven. Het is geen volledige lijst; er zijn andere voorbeelden die u kunt overwegen (zie de sectie Apparaatbeheer in Windows in dit artikel).
Apparaatbeheer helpt uw organisatie te beschermen tegen mogelijk gegevensverlies, malware of andere cyberdreigingen door bepaalde apparaten toe te staan of te voorkomen dat bepaalde apparaten worden verbonden met de computers van gebruikers. Met apparaatbeheer kan uw beveiligingsteam bepalen of en welke randapparatuur gebruikers op hun computers kunnen installeren en gebruiken.
Apparaatbeheer in Windows
In deze sectie vindt u scenario's voor apparaatbeheer in Windows.
Tip
Als u een Mac gebruikt, kan apparaatbeheer de toegang tot Bluetooth, iOS-apparaten, draagbare apparaten zoals camera's en verwisselbare media, zoals USB-apparaten, beheren. Zie Apparaatbeheer voor macOS.
Selecteer een tabblad, bekijk de scenario's en identificeer vervolgens het type apparaatbeheerbeleid dat u wilt maken.
| Scenario | Beleid voor apparaatbeheer |
|---|---|
| Installatie van een specifiek USB-apparaat voorkomen | Apparaatbeheer in Windows. Zie Beleid voor apparaatbeheer. |
| Installatie van alle USB-apparaten voorkomen terwijl een installatie van alleen een geautoriseerde USB is toegestaan | Apparaatbeheer in Windows. Zie Beleid voor apparaatbeheer. |
| Schrijf- en uitvoertoegang tot iedereen voorkomen, maar specifieke goedgekeurde USB's toestaan | Apparaatbeheer in Defender voor Eindpunt. Zie Beleid voor apparaatbeheer. |
| Schrijf- en uitvoertoegang controleren voor alle geblokkeerde USB's behalve blokkeren | Apparaatbeheer in Defender voor Eindpunt. Zie Beleid voor apparaatbeheer. |
| Lees- en uitvoertoegang tot specifieke bestandsextensie blokkeren | Apparaatbeheer in Microsoft Defender. Zie Beleid voor apparaatbeheer. |
| Toegang van personen tot verwisselbare opslag blokkeren wanneer de computer geen verbinding maakt met het bedrijfsnetwerk | Apparaatbeheer in Microsoft Defender. Zie Beleid voor apparaatbeheer. |
| Schrijftoegang blokkeren tot verwisselbare gegevensstations die niet worden beveiligd door BitLocker | Apparaatbeheer in Windows. Zie BitLocker. |
| Schrijftoegang blokkeren voor apparaten die zijn geconfigureerd in een andere organisatie | Apparaatbeheer in Windows. Zie BitLocker. |
| Het kopiëren van gevoelige bestanden naar USB voorkomen | Eindpunt-DLP |
Ondersteunde apparaten
Apparaatbeheer ondersteunt Bluetooth-apparaten, cd-/rom- en dvd-apparaten, printers, USB-apparaten en andere typen draagbare apparaten. Op een Windows-apparaat, op basis van het stuurprogramma, worden sommige randapparatuur gemarkeerd als verwisselbaar. De volgende tabel bevat voorbeelden van apparaten die door apparaatbeheer worden ondersteund met hun primary_id waarden en namen van mediaklassen:
| Type apparaat | PrimaryId in Windows |
primary_id in macOS |
Naam van mediaklasse |
|---|---|---|---|
| Bluetooth-apparaten | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROM's, dvd's | CdRomDevices |
CD-Roms |
|
| iOS-apparaten | appleDevice |
||
| Draagbare apparaten (zoals camera's) | portableDevice |
||
| Printers | PrinterDevices |
Printers |
|
| USB-apparaten (verwisselbare media) | RemovableMediaDevices |
removableMedia |
USB |
| Draagbare Windows-apparaten | WpdDevices |
Windows Portable Devices (WPD) |
Categorieën van microsoft-mogelijkheden voor apparaatbeheer
De mogelijkheden voor apparaatbeheer van Microsoft kunnen worden ingedeeld in drie hoofdcategorieën: apparaatbeheer in Windows, apparaatbeheer in Defender voor Eindpunt en Preventie van eindpuntgegevensverlies (Endpoint DLP).
Apparaatbeheer in Windows. Het Windows-besturingssysteem heeft ingebouwde mogelijkheden voor apparaatbeheer. Uw beveiligingsteam kan instellingen voor apparaatinstallatie configureren om te voorkomen (of toestaan) dat gebruikers bepaalde apparaten op hun computers installeren. Beleidsregels worden toegepast op apparaatniveau en gebruiken verschillende apparaateigenschappen om te bepalen of een gebruiker een apparaat kan installeren/gebruiken. Apparaatbeheer in Windows werkt met BitLocker- en ADMX-sjablonen en kan worden beheerd met behulp van Intune.
BitLocker en Intune. BitLocker is een Windows-beveiligingsfunctie die versleuteling biedt voor hele volumes. Samen met Intune kan beleid worden geconfigureerd om versleuteling af te dwingen op apparaten met BitLocker voor Windows (en FileVault voor Mac). Zie Beleidsinstellingen voor schijfversleuteling voor eindpuntbeveiliging in Intune voor meer informatie.
Beheersjablonen (ADMX) en Intune. U kunt ADMX-sjablonen gebruiken om beleid te maken waarmee specifieke typen USB-apparaten met computers worden beperkt of toegestaan. Zie USB-apparaten beperken en specifieke USB-apparaten toestaan met behulp van ADMX-sjablonen in Intune voor meer informatie.
Apparaatbeheer in Defender voor Eindpunt. Apparaatbeheer in Defender voor Eindpunt biedt geavanceerdere mogelijkheden en is platformoverschrijdend. U kunt instellingen voor apparaatbeheer configureren om te voorkomen (of toestaan) dat gebruikers lees-, schrijf- of uitvoertoegang hebben tot inhoud op verwisselbare opslagapparaten. U kunt uitzonderingen definiëren en u kunt ervoor kiezen om controlebeleid te gebruiken waarmee gebruikers de toegang tot hun verwisselbare opslagapparaten kunnen detecteren, maar niet blokkeren. Beleidsregels worden toegepast op apparaatniveau, gebruikersniveau of beide. Apparaatbeheer in Microsoft Defender kan worden beheerd met behulp van Intune.
- Apparaatbeheer in Microsoft Defender en Intune. Intune biedt een uitgebreide ervaring voor het beheren van complexe beleidsregels voor apparaatbeheer voor organisaties. U kunt bijvoorbeeld apparaatbeperkingsinstellingen configureren en implementeren in Defender voor Eindpunt. Zie Instellingen voor apparaatbeperking configureren in Microsoft Intune.
Preventie van gegevensverlies van eindpunten (Eindpunt-DLP). Eindpunt-DLP bewaakt gevoelige informatie op apparaten die zijn onboarding naar Microsoft Purview-oplossingen. DLP-beleid kan beschermende acties afdwingen voor gevoelige informatie en waar deze worden opgeslagen of gebruikt. Meer informatie over eindpunt-DLP.
Zie de sectie scenario's voor apparaatbeheer (in dit artikel) voor meer informatie over deze mogelijkheden.
Voorbeelden en scenario's voor apparaatbeheer
Apparaatbeheer in Defender voor Eindpunt biedt uw beveiligingsteam een robuust model voor toegangsbeheer dat een breed scala aan scenario's mogelijk maakt (zie Beleid voor apparaatbeheer). We hebben een GitHub-opslagplaats samengesteld met voorbeelden en scenario's die u kunt verkennen. Zie de volgende bronnen:
- Voorbeelden van apparaatbeheer LEESMIJ
- Aan de slag met voorbeelden van apparaatbeheer op Windows-apparaten
- Apparaatbeheer voor macOS-voorbeelden
Als u nog geen gebruik hebt gemaakt van apparaatbeheer, raadpleegt u Overzichten voor apparaatbeheer.
Vereisten
Apparaatbeheer in Defender voor Eindpunt kan worden toegepast op apparaten met Windows 10 of Windows 11 die de antimalwareclientversie 4.18.2103.3 of hoger hebben. (Momenteel worden servers niet ondersteund.)
4.18.2104of hoger: voeg ,VID_PIDondersteuning voor op bestandspaden gebaseerd groepsbeleidsobject toeSerialNumberIdenComputerSid4.18.2105of hoger: Ondersteuning voor jokertekens toevoegen voorHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, de combinatie van specifieke gebruiker op een specifieke computer, verwisselbare SSD (een SanDisk Extreme SSD)/UAS-ondersteuning (USB Attached SCSI)4.18.2107of hoger: Ondersteuning voor Windows Portable Device (WPD) toevoegen (voor mobiele apparaten, zoals tablets); toevoegen aanAccountNamegeavanceerde opsporing4.18.2205of hoger: vouw de standaard afdwinging uit naar Printer. Als u deze instelt op Weigeren, wordt de printer ook geblokkeerd, dus als u alleen opslag wilt beheren, moet u een aangepast beleid maken om printer toe te staan4.18.2207of hoger: Bestandsondersteuning toevoegen; de algemene use-case kan zijn: personen blokkeren van lezen/schrijven/uitvoeren van toegang tot een specifiek bestand op verwisselbare opslag. Ondersteuning voor netwerk- en VPN-verbindingen toevoegen; de algemene use-case kan zijn: personen toegang tot verwisselbare opslag blokkeren wanneer de computer geen verbinding maakt met het bedrijfsnetwerk.
Zie Apparaatbeheer voor macOS voor Mac.
Apparaatbeheer wordt momenteel niet ondersteund op servers.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor