Implantar e gerenciar o controle do dispositivo no Microsoft Defender para Ponto de Extremidade com Microsoft Intune
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
Se você estiver usando Intune para gerenciar as configurações do Defender para Ponto de Extremidade, poderá usá-lo para implantar e gerenciar recursos de controle de dispositivo. Diferentes aspectos do controle de dispositivo são gerenciados de forma diferente em Intune, conforme descrito nas seções a seguir.
Configurar e gerenciar o controle do dispositivo no Intune
Vá para o centro de administração Intune e entre.
Vá para aredução da superfície de ataque de segurança> do ponto de extremidade.
Em Políticas de redução de superfície de ataque, selecione uma política existente ou selecione + Create Política para configurar uma nova política, usando estas configurações:
- Na lista Plataforma, selecione Windows 10, Windows 11 e Windows Server. (Atualmente, não há suporte para controle de dispositivo no Windows Server, embora você selecione esse perfil para políticas de controle de dispositivo.)
- Na lista Perfil , selecione Controle de Dispositivo.
Na guia Noções básicas, especifique um nome e uma descrição para sua política.
Na guia Configuração de configurações , você verá uma lista de configurações. Você não precisa configurar todas essas configurações de uma só vez. Considere começar com o Controle de Dispositivo.
- Em Modelos Administrativos, você tem configurações de Instalação de Dispositivo e Acesso ao Armazenamento Removível .
- Em Defender, consulte Permitir configurações de verificação completa da unidade removível de verificação .
- Em Proteção de Dados, consulte Permitir configurações de acesso direto à memória .
- Em Dma Guard, consulte Configurações da Política de Enumeração do Dispositivo .
- Em Armazenamento, confira Configurações de acesso de gravação de negação de disco removível .
- Em Conectividade, confira Permitir conexão USB** e Permitir configurações bluetooth .
- Em Bluetooth, confira uma lista de configurações que pertencem a conexões e serviços Bluetooth. Para obter mais detalhes, consulte Política CSP – Bluetooth.
- Em Controle de Dispositivo, você pode configurar políticas personalizadas com configurações reutilizáveis. Para obter mais detalhes, confira Visão geral do controle de dispositivo: Regras.
Depois de configurar suas configurações, vá para a guia Marcas de escopo , em que você pode especificar marcas de escopo para a política.
Na guia Atribuições, especifique grupos de usuários ou dispositivos para receber sua política. Para obter mais detalhes, consulte Atribuir políticas no Intune.
Na guia Revisar + criar , examine suas configurações e faça as alterações necessárias.
Quando estiver pronto, selecione Create para criar sua política de controle de dispositivo.
Perfis de controle de dispositivo
Em Intune, cada linha representa uma política de controle de dispositivo. A ID incluída é a configuração reutilizável à qual a política se aplica. A ID excluída é a configuração reutilizável excluída da política. A entrada da política contém as permissões permitidas e o comportamento do controle de dispositivo que entra em vigor quando a política se aplica.
Para obter informações sobre como adicionar os grupos reutilizáveis de configurações incluídas na linha de cada política de controle de dispositivo, consulte a seção Adicionar grupos reutilizáveis a um perfil de Controle de Dispositivo em Usar grupos reutilizáveis de configurações com Intune políticas.
As políticas podem ser adicionadas e removidas usando os + ícones e – . O nome da política aparece no aviso aos usuários e em busca avançada e relatórios.
Você pode adicionar políticas de auditoria e adicionar políticas de Permitir/Negar. É recomendável sempre adicionar uma política Permitir e/ou Negar ao adicionar uma política de auditoria para que você não experimente resultados inesperados.
Importante
Se você configurar apenas políticas de auditoria, as permissões serão herdadas da configuração de imposição padrão.
Observação
- A ordem na qual as políticas estão listadas na interface do usuário não é preservada para a aplicação da política. A melhor prática é usar políticas de permitir/negar. Verifique se a opção Permitir/Negar políticas não está se cruzando adicionando explicitamente dispositivos a serem excluídos. Usando a interface gráfica do Intune, você não pode alterar a aplicação padrão. Se você alterar a aplicação padrão para Negar, qualquer política de permissão resultará em ações de bloqueio.
Definindo configurações com OMA-URI
Importante
Usar Intune OMA-URI para configurar o controle de dispositivo requer que a carga de trabalho de Configuração do Dispositivo seja gerenciada por Intune, se o dispositivo for cogerenciado com Configuration Manager. Para obter mais informações, consulte Como alternar Configuration Manager cargas de trabalho para Intune.
Na tabela a seguir, identifique a configuração que você deseja configurar e use as informações nas colunas OMA-URI e tipo de dados & valores. As configurações são listadas em ordem alfabética.
| Setting | Valores OMA-URI, tipo de dados e & |
|---|---|
| Imposição padrão do controle de dispositivo A aplicação padrão estabelece quais decisões são tomadas durante as verificações de acesso ao controle de dispositivo quando nenhuma das regras de política corresponde |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcementInteiro: - DefaultEnforcementAllow = 1- DefaultEnforcementDeny = 2 |
| Tipos de dispositivo Tipos de dispositivo, identificados por suas IDs primárias, com a proteção de controle do dispositivo ativada |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationString: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
| Habilitar o controle do dispositivo Habilitar ou desabilitar o controle do dispositivo no dispositivo |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabledInteiro: - Desabilitar = 0- Habilitar = 1 |
| Local remoto de dados de evidência Controle de dispositivo move dados de evidência capturados |
./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocationCadeia de caracteres |
| Duração do cache de evidências local Define o período de retenção em dias para arquivos no cache de controle de dispositivo local |
./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriodNúmero inteiro Exemplo: 60 (60 dias) |
Criando políticas com OMA-URI
Ao criar políticas com OMA-URI em Intune, crie um arquivo XML para cada política. Como prática recomendada, use o Perfil de Controle de Dispositivo ou Perfil de Regras de Controle de Dispositivo para criar políticas personalizadas.
No painel Adicionar Linha , especifique as seguintes configurações:
- No campo Nome , digite
Allow Read Activity. - No campo OMA-URI , digite
/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. - No campo Tipo de Dados , selecione Cadeia de caracteres (arquivo XML)e use XML Personalizado.
Você pode usar parâmetros para definir condições para entradas específicas. Aqui está um arquivo XML de exemplo de grupo para permitir acesso de leitura para cada armazenamento removível.
Observação
Comentários usando a notação de comentário XML podem ser usados nos arquivos XML de regra e de grupo, mas eles devem estar dentro da primeira marca XML, não na primeira linha do arquivo XML.
Criando grupos com OMA-URI
Ao criar grupos com OMA-URI em Intune, crie um arquivo XML para cada grupo. Como prática recomendada, use configurações reutilizáveis para definir grupos.
No painel Adicionar Linha , especifique as seguintes configurações:
- No campo Nome , digite
Any Removable Storage Group. - No campo OMA-URI , digite
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (Para obter o GroupID, no centro de administração Intune, vá para Grupos e selecione Copiar a ID do Objeto.) - No campo Tipo de Dados , selecione Cadeia de caracteres (arquivo XML)e use XML Personalizado.
Observação
Comentários usando a notação <!-- COMMENT -- > de comentário XML podem ser usados nos arquivos XML de regra e de grupo, mas eles devem estar dentro da primeira marca XML, não na primeira linha do arquivo XML.
Configurar o controle de acesso ao armazenamento removível usando o OMA-URI
Vá para o centro de administração Microsoft Intune e entre.
Escolha Perfis>de configuração de dispositivos. A página Perfis de Configuração é exibida.
Na guia Políticas (selecionada por padrão), selecione + Create e escolha + Nova política na lista suspensa exibida. A Create uma página de perfil é exibida.
Na lista Plataforma, selecione Windows 10, Windows 11 e Windows Server na lista suspensa Plataforma e escolha Modelos na lista suspensa Tipo de perfil.
Depois de escolher Modelos na lista suspensa Tipo de perfil , o painel Nome do modelo é exibido, juntamente com uma caixa de pesquisa (para pesquisar o nome do perfil).
Selecione Personalizado no painel Nome do modelo e selecione Create.
Create uma linha para cada configuração, grupo ou política implementando as Etapas 1-5.
Exibir grupos de controle de dispositivo (configurações reutilizáveis)
Em Intune, os grupos de controle de dispositivo aparecem como configurações reutilizáveis.
Vá para o centro de administração Microsoft Intune e entre.
Vá paraRedução de Superfície de Ataque de Segurança> do Ponto de Extremidade.
Selecione a guia Configurações Reutilizáveis .
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de