apparaatinstallatie voor apparaatbeheer Microsoft Defender voor Eindpunt

Van toepassing op

Opmerking

Zie Microsoft Defender voor Eindpunt Device Control Removable Storage Access Control als u verwisselbare opslag wilt beheren.

Microsoft Defender voor Eindpunt Device Control Device Installation stelt u in staat om de volgende taak uit te voeren:

  • Voorkomen dat personen specifieke apparaten installeren.
  • Personen toestaan specifieke apparaten te installeren, maar andere apparaten te voorkomen.

Opmerking

Zie Microsoft Defender voor Eindpunt Device Control Removable Storage Protection om het verschil te vinden tussen apparaatinstallatie en verwisselbaar opslagtoegangsbeheer.

Voorrecht Machtiging
Access Apparaatinstallatie
Actiemodus Toestaan, voorkomen
CSP-ondersteuning Ja
GPO-ondersteuning Ja
Ondersteuning op basis van gebruikers Neen
Ondersteuning op basis van machines Ja

Uw eindpunten voorbereiden

Apparaatinstallatie implementeren op Windows 10, Windows 11 apparaten, Windows Server 2022.

Apparaateigenschappen

De volgende apparaateigenschappen worden ondersteund door apparaatinstallatieondersteuning:

  • Apparaat-id
  • Hardware-id
  • Compatibele id
  • Apparaatklasse
  • Verwisselbaar apparaattype: sommige apparaten kunnen worden geclassificeerd als een verwisselbaar apparaat. Een apparaat wordt als verwisselbaar beschouwd wanneer het stuurprogramma voor het apparaat waarmee het is verbonden aangeeft dat het apparaat verwisselbaar is. Een USB-apparaat is bijvoorbeeld verwisselbaar door de stuurprogramma's voor de USB-hub waarmee het apparaat is verbonden.

Zie Apparaatinstallatie in Windows voor meer informatie.

Beleid

Installatie toestaan van apparaten die overeenkomen met een van deze apparaat-id's

Met deze beleidsinstelling kunt u een lijst met Plug en Play hardware-id's en compatibele id's opgeven voor apparaten die windows mag installeren. Deze beleidsinstelling is alleen bedoeld om te worden gebruikt wanneer de beleidsinstelling Gelaagde volgorde van evaluatie toepassen voor Het toestaan en voorkomen van apparaatinstallatiebeleid voor alle criteria voor apparaatovereenkomst is ingeschakeld.

Wanneer deze beleidsinstelling is ingeschakeld in combinatie met de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Apparaatinstallatiebeleid toestaan en voorkomen voor alle apparaatmatchcriteria, mag Windows elk apparaat installeren of bijwerken waarvan de Plug en Play hardware-id of compatibele id wordt weergegeven in de lijst die u maakt, tenzij een andere beleidsinstelling op dezelfde of hogere laag in de hiërarchie die installatie specifiek verhindert, zoals de volgende beleidsinstellingen:

  • Installatie van apparaten voorkomen die overeenkomen met deze apparaat-id's.
  • Installatie van apparaten voorkomen die overeenkomen met een van deze apparaatexemplaren- id's.

Als de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria niet is ingeschakeld met deze beleidsinstelling, hebben alle andere beleidsinstellingen die installatie specifiek verhinderen voorrang.

Opmerking

De beleidsinstelling Installatie van apparaten voorkomen die niet wordt beschreven door andere beleidsinstellingen, is vervangen door de gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria voor ondersteunde doelversie Windows 10 s en Windows 11. Gebruik indien mogelijk de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria .

Installatie toestaan van apparaten die overeenkomen met een van deze apparaatexemplaren-id's

Met deze beleidsinstelling kunt u een lijst met Plug en Play apparaatexemplaren opgeven voor apparaten die windows mag installeren. Deze beleidsinstelling is alleen bedoeld om te worden gebruikt wanneer de beleidsinstelling Gelaagde volgorde van evaluatie toepassen voor Het toestaan en voorkomen van apparaatinstallatiebeleid voor alle criteria voor apparaatovereenkomst is ingeschakeld.

Wanneer deze beleidsinstelling is ingeschakeld in combinatie met de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria, mag Windows elk apparaat waarvan de Plug en Play apparaatexemplaren-id wordt weergegeven in de lijst die u maakt installeren of bijwerken, tenzij een andere beleidsinstelling in dezelfde of hogere laag in de hiërarchie deze installatie specifiek verhindert. zoals de volgende beleidsinstellingen:

  • Installatie van apparaten voorkomen die overeenkomen met een van deze apparaatexemplaren-id's

Als de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria niet is ingeschakeld met deze beleidsinstelling, hebben alle andere beleidsinstellingen die installatie specifiek verhinderen voorrang.

Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen

Met deze beleidsinstelling kunt u een lijst opgeven met apparaatinstallatieklasse GUID's (Globally Unique Identifiers) voor stuurprogrammapakketten die windows mag installeren. Deze beleidsinstelling is alleen bedoeld om te worden gebruikt wanneer de beleidsinstelling Gelaagde volgorde van evaluatie toepassen voor Het toestaan en voorkomen van apparaatinstallatiebeleid voor alle criteria voor apparaatovereenkomst is ingeschakeld.

Wanneer deze beleidsinstelling is ingeschakeld in combinatie met de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Apparaatinstallatiebeleid toestaan en voorkomen voor alle apparaatmatchcriteria , mag Windows stuurprogrammapakketten installeren of bijwerken waarvan de GUID's van de apparaatinstallatieklasse worden weergegeven in de lijst die u maakt, tenzij een andere beleidsinstelling in dezelfde of hogere laag in de hiërarchie deze installatie specifiek verhindert. zoals de volgende beleidsinstellingen:

  • Installatie van apparaten voor deze apparaatklassen voorkomen
  • Installatie van apparaten voorkomen die overeenkomen met deze apparaat-id's
  • Installatie van apparaten voorkomen die overeenkomen met een van deze apparaatexemplaren-id's

Als de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria niet is ingeschakeld met deze beleidsinstelling, hebben alle andere beleidsinstellingen die installatie specifiek verhinderen voorrang.

Gelaagde evaluatievolgorde toepassen voor beleid voor apparaatinstallatie toestaan en voorkomen voor alle criteria voor apparaatovereenkomst

Met deze beleidsinstelling wordt de evaluatievolgorde gewijzigd waarin beleidsinstellingen voor toestaan en voorkomen worden toegepast wanneer meer dan één installatiebeleidsinstelling van toepassing is op een bepaald apparaat. Schakel deze beleidsinstelling in om ervoor te zorgen dat overlappende criteria voor apparaatovereenkomst worden toegepast op basis van een tot stand gebrachte hiërarchie waarin specifiekere matchcriteria minder specifieke matchcriteria vervangen. De hiërarchische volgorde van de evaluatie voor beleidsinstellingen die de criteria voor apparaatovereenkomst opgeven, is als volgt:

Apparaatexemplaren-id's>Apparaat-id's>Apparaatinstallatieklasse>Verwisselbare apparaten

Apparaatexemplaren-id's

  1. Installatie van apparaten voorkomen met stuurprogramma's die overeenkomen met deze apparaatexemplaren-id's.
  2. Sta de installatie van apparaten toe met behulp van stuurprogramma's die overeenkomen met deze apparaatexemplaren-id's.

Apparaat-id's

  1. Voorkomen dat apparaten worden geïnstalleerd met stuurprogramma's die overeenkomen met deze apparaat-id's.
  2. Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaat-id's.

Apparaatinstallatieklasse

  1. Voorkomen dat apparaten worden geïnstalleerd met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen.
  2. Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen.

Verwisselbare apparaten

Installatie van verwisselbare apparaten voorkomen

Opmerking

Deze beleidsinstelling biedt gedetailleerdere controle dan de beleidsinstelling Installatie van apparaten voorkomen die niet wordt beschreven door andere beleidsinstellingen . Als deze conflicterende beleidsinstellingen tegelijkertijd worden ingeschakeld, wordt de beleidsinstelling Gelaagde evaluatievolgorde toepassen voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle apparaatmatchcriteria ingeschakeld en wordt de andere beleidsinstelling genegeerd.

Installatie van apparaten voorkomen die overeenkomen met een van deze apparaat-id's

Met deze beleidsinstelling kunt u een lijst opgeven met Plug en Play hardware-id's en compatibele id's voor apparaten die niet door Windows kunnen worden geïnstalleerd. Deze beleidsinstelling heeft standaard voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren.

Opmerking

Als u de beleidsinstelling Installatie van apparaten toestaan die overeenkomen met een van deze apparaatexemplaren-id's wilt inschakelen om deze beleidsinstelling te vervangen voor toepasselijke apparaten, schakelt u de beleidsinstelling Gelaagde evaluatievolgorde toepassen in voor Apparaatinstallatiebeleid toestaan en voorkomen voor alle apparaatmatchcriteria . Het beleid voor toestaan heeft ook geen prioriteit als de optie Verwisselbare opslag blokkeren is geselecteerd in Apparaatbeheer.

Als u deze beleidsinstelling inschakelt, kan Windows geen apparaat installeren waarvan de hardware-id of compatibele id wordt weergegeven in de lijst die u maakt. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.

Als u deze beleidsinstelling uitschakelt of niet configureert, kunnen apparaten worden geïnstalleerd en bijgewerkt zoals toegestaan of voorkomen door andere beleidsinstellingen.

Installatie van apparaten voorkomen die overeenkomen met een van deze apparaatexemplaren-id's

Met deze beleidsinstelling kunt u een lijst met Plug en Play apparaatexemplaren opgeven voor apparaten die niet kunnen worden geïnstalleerd door Windows. Deze beleidsinstelling heeft voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren.

Als u deze beleidsinstelling inschakelt, kan Windows geen apparaat installeren waarvan de apparaatexemplaren-id wordt weergegeven in de lijst die u maakt. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.

Als u deze beleidsinstelling uitschakelt of niet configureert, kunnen apparaten worden geïnstalleerd en bijgewerkt zoals toegestaan of voorkomen door andere beleidsinstellingen.

Installatie van apparaten voorkomen met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen

Met deze beleidsinstelling kunt u een lijst opgeven met apparaatinstallatieklasse GUID's (Globally Unique Identifiers) voor stuurprogrammapakketten die niet door Windows kunnen worden geïnstalleerd. Deze beleidsinstelling heeft standaard voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren.

Opmerking

Als u de beleidsinstellingen Installatie van apparaten toestaan die overeenkomen met een van deze apparaat-id's en Installatie van apparaten toestaan die overeenkomen met een van deze apparaatexemplaren-id's wilt inschakelen om deze beleidsinstelling voor toepasselijke apparaten te vervangen, schakelt u de beleidsinstelling Gelaagde volgorde van evaluatie toepassen voor Apparaatinstallatiebeleid toestaan en voorkomen in alle apparaatovereenkomstcriteria in.

Als u deze beleidsinstelling inschakelt, kan Windows geen stuurprogrammapakketten installeren of bijwerken waarvan de GUID's van de apparaatinstallatieklasse worden weergegeven in de lijst die u maakt. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.

Als u deze beleidsinstelling uitschakelt of niet configureert, kan Windows apparaten installeren en bijwerken zoals toegestaan of voorkomen door andere beleidsinstellingen.

Installatie van verwisselbare apparaten voorkomen

Met deze beleidsinstelling kunt u voorkomen dat Windows verwisselbare apparaten installeert. Een apparaat wordt als verwisselbaar beschouwd wanneer het stuurprogramma voor het apparaat waarmee het is verbonden aangeeft dat het apparaat verwisselbaar is. Een USB-apparaat (Universal Serial Bus) is bijvoorbeeld verwisselbaar door de stuurprogramma's voor de USB-hub waarmee het apparaat is verbonden. Deze beleidsinstelling heeft standaard voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren.

Opmerking

Als u de beleidsinstellingen Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen, Installatie toestaan van apparaten die overeenkomen met een van deze apparaat-id's en Installatie van apparaten toestaan die overeenkomen met een van deze apparaatexemplaren-id's wilt inschakelen om deze beleidsinstelling voor toepasselijke apparaten te vervangen, schakelt u de beleidsinstelling Gelaagde evaluatievolgorde toepassen in voor Apparaatinstallatiebeleid toestaan en voorkomen voor alle apparaatmatchcriteria .

Als u deze beleidsinstelling inschakelt, kan Windows geen verwisselbare apparaten installeren en kunnen de stuurprogramma's van bestaande verwisselbare apparaten niet worden bijgewerkt. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van verwisselbare apparaten van een extern bureaublad-client naar de extern bureaubladserver.

Als u deze beleidsinstelling uitschakelt of niet configureert, kan Windows stuurprogrammapakketten voor verwisselbare apparaten installeren en bijwerken, zoals toegestaan of voorkomen door andere beleidsinstellingen.

Veelvoorkomende scenario's voor verwisselbare opslag Access Control

Om u vertrouwd te maken met Microsoft Defender voor Eindpunt verwisselbare opslag Access Control, hebben we een aantal veelvoorkomende scenario's samengesteld die u kunt volgen.

Scenario 1: installatie van alle USB-apparaten voorkomen terwijl alleen de installatie van een geautoriseerd USB-usb-stick wordt toegestaan

Voor dit scenario worden de volgende beleidsregels gebruikt:

  • Voorkomen dat apparaten worden geïnstalleerd met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen.
  • Pas gelaagde volgorde van evaluatie toe voor beleid voor apparaatinstallatie toestaan en voorkomen voor alle criteria voor apparaatovereenkomst.
  • Installatie toestaan van apparaten die overeenkomen met een van deze apparaatexemplaren-id's of Installatie toestaan van apparaten die overeenkomen met een van deze apparaat-id's.

Beleid implementeren en beheren via Intune

Met de functie Apparaatinstallatie kunt u beleid toepassen via Intune op het apparaat.

Licenties

Voordat u aan de slag gaat met apparaatinstallatie, moet u uw Microsoft 365-abonnement bevestigen. Als u apparaatinstallatie wilt openen en gebruiken, moet u beschikken over Microsoft 365 E3.

Machtiging

Voor beleidsimplementatie in Intune moet het account machtigingen hebben voor het maken, bewerken, bijwerken of verwijderen van apparaatconfiguratieprofielen. U kunt aangepaste rollen maken of een van de ingebouwde rollen gebruiken met deze machtigingen:

  • Beleids- en profielbeheerrol
  • Of aangepaste rol met machtigingen maken/bewerken/bijwerken/lezen/verwijderen/rapporten weergeven ingeschakeld voor apparaatconfiguratieprofielen
  • Of Globale beheerder

Beleid implementeren

In Microsoft Endpoint Manager https://endpoint.microsoft.com/

  1. Configureer Installatie van apparaten voorkomen met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen.

    Open Eindpuntbeveiliging>Kwetsbaarheid voor> aanvallenMaken Beleidsplatform>: Windows 10 (en hoger) & Profiel: Apparaatbeheer.

    De pagina Profiel bewerken

  2. Sluit een USB-apparaat aan en u ziet het volgende foutbericht:

    Het foutbericht

  3. Schakel Gelaagde volgorde van evaluatie toepassen in voor Beleid voor apparaatinstallatie toestaan en voorkomen voor alle criteria voor apparaatovereenkomst.

    ondersteunt voorlopig alleen OMA-URI: Apparaten>Configuratieprofielen>Profiel> makenPlatform: Windows 10 (en hoger) & Profiel: Aangepast

    De pagina Rij bewerken

  4. Toegestane USB-exemplaar-id inschakelen en toevoegen: hiermee staat u de installatie toe van apparaten die overeenkomen met een van deze apparaat-id's.

    Werk het apparaatbeheerprofiel bij uit stap 1.

    Een id op de pagina Apparaatbeheer

    We hebben toegevoegd PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB zoals weergegeven in de voorgaande afbeelding, omdat dit niet voldoende is om slechts één hardware-id in te schakelen om één USB-stick in te schakelen. U moet ervoor zorgen dat alle USB-apparaten die voorafgaan aan het doel ook niet worden geblokkeerd (toegestaan). U kunt Apparaatbeheer openen en de weergave wijzigen in Apparaten via verbindingen om te zien hoe apparaten zijn geïnstalleerd in de PnP-structuur. In dit geval moeten de volgende apparaten worden toegestaan, zodat het usb-doel-usb-station ook kan worden toegestaan:

    • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> PCI\CC_0C03
    • "USB Root Hub (USB 3.0)" -> USB\ROOT_HUB30
    • "Generic USB Hub" -> USB\USB20_HUB

    Het menu-item Beeld op de pagina Apparaatbeheer

    Opmerking

    Sommige apparaten in het systeem hebben verschillende verbindingslagen om hun installatie op het systeem te definiëren. USB-sticks zijn dergelijke apparaten. Als u ze op een systeem wilt blokkeren of toestaan, is het dus belangrijk om het pad van de connectiviteit voor elk apparaat te begrijpen. Er zijn verschillende algemene apparaat-id's die vaak in systemen worden gebruikt en in dergelijke gevallen een goede start kunnen zijn om een 'Acceptatielijst' te maken. Hier volgt een voorbeeld (dit is niet altijd hetzelfde voor alle USB's; u moet de PnP-structuur begrijpen van het apparaat dat u wilt beheren via de Apparaatbeheer):

    PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

    Met name voor desktopcomputers is het belangrijk om alle USB-apparaten te vermelden waarmee uw toetsenborden en muizen zijn verbonden in de bovenstaande lijst. Als u dit niet doet, kan het voorkomen dat een gebruiker toegang heeft tot de computer via HID-apparaten.

    Verschillende pc-fabrikanten hebben soms verschillende manieren om USB-apparaten te nesten in de PnP-structuur, maar in het algemeen wordt dit zo gedaan.

  5. Sluit de toegestane USB opnieuw aan. U ziet dat dit nu is toegestaan en beschikbaar is.

    De pagina Stationsdetails verwijderen

Beleid implementeren en beheren via groepsbeleid

Met de functie Apparaatinstallatie kunt u beleid toepassen via groepsbeleid.

Beleid implementeren

Zie Apparaatinstallatie beheren met groepsbeleid (Windows 10) - Windows-client.

Gegevens van Apparaatbeheer verwisselbare opslag Access Control weergeven in Microsoft Defender voor Eindpunt

De Microsoft 365 Defender-portal toont verwisselbare opslag die wordt geblokkeerd door apparaatbeheerapparaatinstallatie.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

De blokopslag

Veelgestelde vragen

Hoe kan ik bevestigen dat een apparaat een geïmplementeerd beleid krijgt?

U kunt de volgende query gebruiken om de versie van de antimalwareclient op te halen in de Microsoft 365 Defender-portal (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Waarom werkt het beleid Toestaan niet?

Het is niet voldoende om slechts één hardware-id in te schakelen om één USB-stick in te schakelen. Zorg ervoor dat alle USB-apparaten die voorafgaan aan het doel ook niet worden geblokkeerd (toegestaan).

De veelgestelde vragen over apparaatinstallatie