Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Możliwości sterowania urządzeniami w Ochrona punktu końcowego w usłudze Microsoft Defender umożliwiają zespołowi ds. zabezpieczeń kontrolowanie, czy użytkownicy mogą instalować urządzenia peryferyjne, takie jak magazyn wymienny (dyski USB, dyski CD, dyski itp.), drukarki, urządzenia Bluetooth lub inne urządzenia z komputerami. Twój zespół ds. zabezpieczeń może skonfigurować zasady kontroli urządzeń w celu skonfigurowania reguł takich jak następujące:

• Uniemożliwianie użytkownikom instalowania i używania niektórych urządzeń (takich jak dyski USB)
• Uniemożliwianie użytkownikom instalowania i używania jakichkolwiek urządzeń zewnętrznych z określonymi wyjątkami
• Zezwalanie użytkownikom na instalowanie określonych urządzeń i korzystanie z nich
• Zezwalaj użytkownikom na instalowanie i używanie tylko urządzeń szyfrowanych za pomocą funkcji BitLocker na komputerach z systemem Windows

Ta lista ma na celu podanie kilku przykładów. To nie jest wyczerpująca lista; Istnieją inne przykłady do rozważenia (zobacz sekcję kontrola urządzenia w systemie Windows w tym artykule).

Kontrola urządzenia pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Dzięki kontroli urządzenia zespół ds. zabezpieczeń może określić, czy i jakie urządzenia peryferyjne użytkownicy mogą instalować i używać na swoich komputerach.

Porada

Jako towarzysz tego artykułu zalecamy skorzystanie z przewodnika automatycznej konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. Ten przewodnik dostosuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do przewodnika konfiguracji platformy Microsoft 365.

Kontrola urządzenia w systemie Windows

W tej sekcji przedstawiono scenariusze kontroli urządzeń w systemie Windows.

Porada

Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do urządzeń Bluetooth, urządzeń z systemem iOS, urządzeń przenośnych, takich jak aparaty fotograficzne, i nośników wymiennych, takich jak urządzenia USB. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Wybierz kartę, przejrzyj scenariusze, a następnie zidentyfikuj typ zasad sterowania urządzeniami do utworzenia.

Magazyn wymienny

Scenariusz	Zasady sterowania urządzeniami
Zapobieganie instalacji określonego urządzenia USB	Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń.
Zapobiegaj instalacji wszystkich urządzeń USB, zezwalając jednocześnie na instalację tylko autoryzowanego portu USB	Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń.
Uniemożliwiaj dostęp do zapisu i wykonywania do wszystkich, ale zezwalaj na określone zatwierdzone obiekty USB	Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń.
Inspekcja dostępu do zapisu i wykonywania dla wszystkich zablokowanych obiektów USB z wyjątkiem blokowania	Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń.
Blokuj dostęp do odczytu i wykonywania do określonego rozszerzenia pliku	Kontrola urządzenia w Microsoft Defender. Zobacz Zasady kontroli urządzeń.
Zablokuj użytkownikom dostęp do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową	Kontrola urządzenia w Microsoft Defender. Zobacz Zasady kontroli urządzeń.
Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker	Kontrola urządzenia w systemie Windows. Zobacz BitLocker.
Blokowanie dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji	Kontrola urządzenia w systemie Windows. Zobacz BitLocker.
Zapobieganie kopiowaniu poufnych plików na usb	Punkt końcowy DLP

Drukarki

Scenariusz	Zasady sterowania urządzeniami
Zablokuj ludziom drukowanie za pośrednictwem drukarek niezarejestrowanych	Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń.
Zezwalaj tylko na określone drukarki USB przez VID/PID	Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń.
Zapobieganie instalacji wszystkich drukarek	Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń.
Zapobieganie instalacji określonej drukarki	Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń.
Zapobieganie instalacji wszystkich drukarek przy jednoczesnym umożliwieniu zainstalowania określonej drukarki	Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń.
Blokuj drukowanie poufnych dokumentów na dowolnej drukarce	Punkt końcowy DLP

Bluetooth

Scenariusz	Zasady sterowania urządzeniami
Blokowanie kopiowania dokumentu poufnego na dowolne urządzenie Bluetooth	Punkt końcowy DLP

Obsługiwane urządzenia

Sterowanie urządzeniami obsługuje urządzenia Bluetooth, CD/ROM i DVD, drukarki, urządzenia USB i inne typy urządzeń przenośnych. Na urządzeniu z systemem Windows na podstawie sterownika niektóre urządzenia peryferyjne są oznaczone jako wymienne. W poniższej tabeli wymieniono przykłady urządzeń obsługiwanych przez kontrolę urządzenia z ich primary_id wartościami i nazwami klas multimediów:

Typ urządzenia	PrimaryId w systemie Windows	primary_id w systemie macOS	Nazwa klasy nośnika
Urządzenia Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVD	CdRomDevices		CD-Roms
Urządzenia z systemem iOS		appleDevice
Urządzenia przenośne (takie jak kamery)		portableDevice
Drukarki	PrinterDevices		Printers
Urządzenia USB (nośnik wymienny)	RemovableMediaDevices	removableMedia	USB
Urządzenia przenośne z systemem Windows	WpdDevices		Windows Portable Devices (WPD)

Kategorie możliwości kontroli urządzeń firmy Microsoft

Możliwości sterowania urządzeniami firmy Microsoft można podzielić na trzy główne kategorie: sterowanie urządzeniami w systemie Windows, sterowanie urządzeniami w usłudze Defender for Endpoint i Ochrona przed utratą danych punktu końcowego (Endpoint DLP).

• Kontrola urządzenia w systemie Windows. System operacyjny Windows ma wbudowane możliwości sterowania urządzeniami. Zespół ds. zabezpieczeń może skonfigurować ustawienia instalacji urządzeń, aby uniemożliwić (lub zezwolić) użytkownikom na instalowanie niektórych urządzeń na swoich komputerach. Zasady są stosowane na poziomie urządzenia i używają różnych właściwości urządzenia, aby określić, czy użytkownik może zainstalować lub użyć urządzenia. Kontrolka urządzenia w systemie Windows współpracuje z szablonami funkcji BitLocker i ADMX i może być zarządzana przy użyciu Intune.

  • Funkcja BitLocker i Intune. Funkcja BitLocker to funkcja zabezpieczeń systemu Windows, która zapewnia szyfrowanie dla całych woluminów. Wraz z Intune można skonfigurować zasady w celu wymuszania szyfrowania na urządzeniach przy użyciu funkcji BitLocker dla systemu Windows (i programu FileVault dla komputerów Mac). Aby uzyskać więcej informacji, zobacz Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w Intune.

  • Szablony administracyjne (ADMX) i Intune. Szablony ADMX umożliwiają tworzenie zasad, które ograniczają lub zezwalają na używanie określonych typów urządzeń USB z komputerami. Aby uzyskać więcej informacji, zobacz Ograniczanie urządzeń USB i zezwalanie na określone urządzenia USB przy użyciu szablonów ADMX w Intune.

• Kontrola urządzenia w usłudze Defender dla punktu końcowego. Sterowanie urządzeniami w usłudze Defender for Endpoint zapewnia bardziej zaawansowane możliwości i jest wieloplatformowe. Ustawienia sterowania urządzeniami można skonfigurować, aby uniemożliwić (lub zezwolić) użytkownikom na dostęp do odczytu, zapisu lub wykonywania zawartości na wymiennych urządzeniach magazynujących. Możesz zdefiniować wyjątki i wybrać zasady inspekcji, które wykrywają, ale nie blokują użytkownikom dostępu do ich wymiennych urządzeń magazynujących. Zasady są stosowane na poziomie urządzenia, na poziomie użytkownika lub na obu tych poziomach. Kontrolą urządzenia w Microsoft Defender można zarządzać przy użyciu Intune.

  • Kontrola urządzenia w Microsoft Defender i Intune. Intune zapewnia bogate środowisko zarządzania złożonymi zasadami kontroli urządzeń dla organizacji. Możesz na przykład skonfigurować i wdrożyć ustawienia ograniczeń urządzenia w usłudze Defender for Endpoint. Zobacz Konfigurowanie ustawień ograniczeń urządzenia w Microsoft Intune.

• Ochrona przed utratą danych punktu końcowego (Endpoint DLP). Program DLP punktu końcowego monitoruje poufne informacje na urządzeniach dołączonych do rozwiązań usługi Microsoft Purview. Zasady DLP mogą wymuszać działania ochronne dotyczące informacji poufnych oraz miejsca ich przechowywania lub użycia. Dowiedz się więcej o programie DLP punktu końcowego.

Aby uzyskać więcej informacji na temat tych możliwości, zobacz sekcję Scenariusze sterowania urządzeniami (w tym artykule).

Przykłady i scenariusze kontroli urządzeń

Kontrola urządzenia w usłudze Defender for Endpoint zapewnia zespołowi ds. zabezpieczeń niezawodny model kontroli dostępu, który umożliwia szeroką gamę scenariuszy (zobacz Zasady kontroli urządzeń). Zebraliśmy repozytorium GitHub zawierające przykłady i scenariusze, które można eksplorować. Zobacz następujące zasoby:

• Przykłady kontrolek urządzenia README
• Wprowadzenie do przykładów kontroli urządzeń na urządzeniach z systemem Windows
• Kontrola urządzenia dla przykładów systemu macOS

Jeśli dopiero dopiero korzystasz z kontroli urządzenia, zobacz Przewodniki dotyczące sterowania urządzeniami.

Wymagania wstępne

Kontrolkę urządzenia w usłudze Defender for Endpoint można zastosować do urządzeń z systemem Windows 10 lub Windows 11, które mają wersję klienta chroniącą przed złośliwym oprogramowaniem lub nowszą4.18.2103.3. (Obecnie serwery nie są obsługiwane).

• 4.18.2104 lub nowsze: dodaj SerialNumberId, VID_PID, obsługę obiektu zasad grupy opartego na ścieżce plików i ComputerSid
• 4.18.2105 Lub nowsze: Dodaj obsługę symboli wieloznacznych dla HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinacji określonego użytkownika na określonej maszynie, wymiennego dysku SSD (SanDisk Extreme SSD)/obsługa interfejsu SCSI (UAS) dołączonego do portu USB
• 4.18.2107 lub nowsze: dodawanie obsługi urządzeń przenośnych z systemem Windows (WPD) (dla urządzeń przenośnych, takich jak tablety); dodaj AccountName do zaawansowanego wyszukiwania zagrożeń
• 4.18.2205 Lub nowsze: rozwiń domyślne wymuszanie na Drukarka. Jeśli ustawisz opcję Odmów, blokuje ona również opcję Drukarka, więc jeśli chcesz zarządzać magazynem, upewnij się, że utworzono zasady niestandardowe zezwalające na drukarkę
• 4.18.2207 lub nowsze: Dodaj obsługę plików; Typowym przypadkiem użycia może być: zablokowanie użytkownikom dostępu do odczytu/zapisu/wykonania w magazynie wymiennym. Dodaj obsługę połączeń sieciowych i VPN; Typowym przypadkiem użycia może być zablokowanie użytkownikom dostępu do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową.

W przypadku komputerów Mac zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Obecnie kontrola urządzenia nie jest obsługiwana na serwerach.

Następne kroki

• Przewodniki dotyczące sterowania urządzeniami
• Dowiedz się więcej o zasadach kontroli urządzeń
• Wyświetlanie raportów kontroli urządzeń