Políticas de controle de dispositivo no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas

Este artigo descreve políticas de controle de dispositivo, regras, entradas, grupos e condições avançadas. Essencialmente, as políticas de controle de dispositivo definem o acesso para um conjunto de dispositivos. Os dispositivos que estão no escopo são determinados por uma lista de grupos de dispositivos incluídos e uma lista de grupos de dispositivos excluídos. Uma política se aplica se o dispositivo estiver em todos os grupos de dispositivos incluídos e nenhum dos grupos de dispositivos excluídos. Se nenhuma política se aplicar, a aplicação padrão será aplicada.

Por padrão, o controle de dispositivo está desabilitado, portanto, o acesso a todos os tipos de dispositivos é permitido. Para saber mais sobre o controle do dispositivo, consulte Controle de dispositivo em Microsoft Defender para Ponto de Extremidade.

Controlar o comportamento padrão

Quando o controle do dispositivo está habilitado, ele é habilitado para todos os tipos de dispositivo por padrão. A aplicação padrão também pode ser alterada de Permitirnegar. Sua equipe de segurança também pode configurar os tipos de dispositivos que o controle do dispositivo protege. A tabela a seguir ilustra como várias combinações de configurações alteram a decisão de controle de acesso.

O controle do dispositivo está habilitado?	Comportamento padrão	Tipos de dispositivo
Não	O acesso é permitido	- Unidades de CD/DVD -Impressoras - Dispositivos de mídia removíveis - Dispositivos portáteis windows
Sim	(Não especificado) O acesso é permitido	- Unidades de CD/DVD -Impressoras - Dispositivos de mídia removíveis - Dispositivos portáteis windows
Sim	Negar	- Unidades de CD/DVD -Impressoras - Dispositivos de mídia removíveis - Dispositivos portáteis windows
Sim	Negar dispositivos de mídia removíveis e impressoras	- Impressoras e dispositivos de mídia removíveis (bloqueados) - Unidades de CD/DVD e dispositivos portáteis do Windows (permitidos)

Quando os tipos de dispositivo são configurados, o controle de dispositivo no Defender para Ponto de Extremidade ignora solicitações para outras famílias de dispositivos.

Para saber mais, confira os seguintes artigos:

• Implantar e gerenciar o controle do dispositivo com Intune
• Implantar e gerenciar o controle do dispositivo com Política de Grupo

Políticas

Para refinar ainda mais o acesso aos dispositivos, o controle de dispositivo usa políticas. Uma política é um conjunto de regras e grupos. Como as regras e os grupos são definidos varia ligeiramente entre experiências de gerenciamento e sistemas operacionais, conforme descrito na tabela a seguir.

Ferramenta de gerenciamento	Sistema operacional	Como as regras e os grupos são gerenciados
Intune – Política de controle de dispositivo	Windows	Grupos de dispositivos e impressoras podem ser gerenciados como configurações reutilizáveis e incluídos em regras. Nem todos os recursos estão disponíveis na política de controle do dispositivo (consulte Implantar e gerenciar o controle do dispositivo com Microsoft Intune)
Intune – Personalizado	Windows	Cada grupo/regra é armazenado como uma cadeia de caracteres XML na política de configuração personalizada. O OMA-URI contém o GUID do grupo/regra. O GUID deve ser gerado.
Política de grupo	Windows	Os grupos e as regras são definidos em configurações XML separadas no objeto Política de Grupo (consulte Implantar e gerenciar o controle do dispositivo com Política de Grupo).
Intune	Mac	As regras e as políticas são combinadas em um único JSON e incluídas no mobileconfig arquivo implantado usando Intune
JAMF	Mac	As regras e as políticas são combinadas em um único JSON e configuradas usando JAMF como a política de controle de dispositivo (consulte Controle de Dispositivo para macOS)

Regras e grupos são identificados por GUIDs (Global Unique ID). Se as políticas de controle de dispositivo forem implantadas usando uma ferramenta de gerenciamento diferente de Intune, os GUIDs deverão ser gerados. Você pode gerar os GUIDs usando o PowerShell.

Para obter detalhes do esquema, consulte esquema JSON para Mac.

Usuários

As políticas de controle de dispositivo podem ser aplicadas a usuários e/ou grupos de usuários.

Observação

Nos artigos relacionados ao controle do dispositivo, grupos de usuários são chamados de grupos de usuários. Os grupos de termo referem-se a grupos definidos na política de controle do dispositivo.

Usando Intune, no Mac e no Windows, as políticas de controle de dispositivo podem ser direcionadas a grupos de usuários definidos em Entra Id.

No Windows, um usuário ou grupo de usuários pode ser uma condição em uma entrada em uma política.

Entradas com grupos de usuários ou usuários podem fazer referência a objetos de Uma ID de Entra ou de um Active Directory local.

Melhores práticas para usar o controle de dispositivo com usuários e grupos de usuários

• Para criar uma regra para um usuário individual no Windows, crie uma entrada com uma Sid condição de usuário foreach em uma regra

• Para criar uma regra para um grupo de usuários no Windows e Intune, crie uma entrada com uma Sid condição para cada grupo de usuários em uma [regra] e direcione a política para um grupo de máquinas no Intune ou crie uma regra sem condições e direcione a política com Intune para o grupo de usuários.

• No Mac, use Intune e direcione a política para um grupo de usuários no Entra Id.

Aviso

Não use condições de grupo de usuário/usuário em regras e direcionamento de grupo de usuários em Intune.

Observação

Se a conectividade de rede for um problema, use Intune direcionamento de grupo de usuários ou um grupo local do Active Directory. As condições de grupo de usuário/usuário que fazem referência à ID do Entra só devem ser usadas em ambientes que tenham uma conexão confiável com a ID do Entra.

Regras

Uma regra define a lista de grupos incluídos e uma lista de grupos excluídos. Para que a regra seja aplicada, o dispositivo deve estar em todos os grupos incluídos e nenhum dos grupos excluídos. Se o dispositivo corresponder à regra, as entradas dessa regra serão avaliadas. Uma entrada define as opções de ação e notificação aplicadas, se a solicitação corresponder às condições. Se nenhuma regra se aplicar ou nenhuma entrada corresponder à solicitação, a aplicação padrão será aplicada.

Por exemplo, para permitir o acesso de gravação para alguns dispositivos USB e ler o acesso para todos os outros dispositivos USB, use as seguintes políticas, grupos e entradas com a imposição padrão definida para negar.

Group	Descrição
Todos os dispositivos de armazenamento removíveis	Dispositivos de armazenamento removíveis
USBs graváveis	Lista de USBs em que o acesso à gravação é permitido

Regra	Grupos de dispositivos incluídos	Grupos de dispositivos excluídos	Entrada
Acesso somente leitura para USBs	Todos os dispositivos de armazenamento removíveis	USBs graváveis	Acesso somente leitura
Acesso de gravação para USBs	USBs graváveis		Acesso de Gravação

O nome da regra aparece no portal para relatórios e na notificação de brinde aos usuários, portanto, certifique-se de fornecer os nomes descritivos das regras.

Você pode configurar regras editando políticas em Intune, usando um arquivo XML no Windows ou usando um arquivo JSON no Mac. Selecione cada guia para obter mais detalhes.

Intune

A imagem a seguir mostra as configurações de uma política de controle de dispositivo no Intune:

Na captura de tela, a ID incluída e a ID Excluída são as referências a grupos de configurações reutilizáveis incluídos e excluídos. Uma política pode ter várias regras.

Intune não honra a ordenação das regras. As regras podem ser avaliadas em qualquer ordem, portanto, exclua explicitamente grupos de dispositivos que não estão no escopo da regra.

XML (Windows)

O snippet de código a seguir mostra a sintaxe de uma regra de política de controle de dispositivo no XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

A tabela a seguir fornece mais contexto para o snippet de código XML:

Nome da propriedade	Descrição	Opções
PolicyRule Id	O GUID, uma ID exclusiva, representa a política e é usado em relatórios e solução de problemas.	Você pode gerar a ID por meio do PowerShell.
Name	String, o nome da política e é exibido no brinde com base na configuração da política.
IncludedIdList	Os grupos aos quais a política se aplica. Se vários grupos forem adicionados, a mídia deverá ser membro de cada grupo na lista a ser incluído.	A ID do Grupo/GUID deve ser usada nesta instância. O exemplo a seguir mostra o uso do GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	Os grupos aos quais a política não se aplica. Se vários grupos forem adicionados, a mídia deverá ser membro de um grupo na lista a ser excluído.	A ID do Grupo/GUID deve ser usada nesta instância.
Entry	Um PolicyRule pode ter várias entradas; cada entrada com um GUID exclusivo informa ao controle de dispositivo uma restrição.	Confira Tabela de propriedades de entrada abaixo para obter detalhes.

JSON (Mac)

O snippet de código a seguir mostra a sintaxe de uma regra de política de controle de dispositivo no JSON para macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

A tabela a seguir fornece mais contexto para o snippet de código XML:

Nome da propriedade	Descrição	Opções
id	GUID, uma ID exclusiva, representa a regra e é usada na política.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Cadeia de caracteres, nome da política e é exibido no brinde com base na configuração da política.
includeGroups	Os grupos aos quais a política é aplicada. Se vários grupos forem especificados, a política se aplicará a qualquer mídia em todos esses grupos. Se não for especificada, a regra se aplica a todos os dispositivos.	O valor de ID dentro do grupo deve ser usado nesta instância. Se vários grupos estiverem no includeGroups, será AND. "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	O grupo ao qual a política não se aplica.	O id valor dentro do grupo deve ser usado nesta instância. Se vários grupos estiverem nos excludeGroups, será OR.
entries	Uma regra pode ter várias entradas; cada entrada com um GUID exclusivo informa ao Controle de Dispositivo uma restrição.	Consulte a tabela de propriedades de entrada mais adiante neste artigo para obter os detalhes.

Entradas

As políticas de controle de dispositivo definem o acesso (chamado de entrada) para um conjunto de dispositivos. As entradas definem as opções de ação e notificação para dispositivos que correspondem à política e às condições definidas na entrada.

Configuração de entrada	Opções
Accessmask	Aplica a ação somente se as operações de acesso corresponderem à máscara de acesso – a máscara de acesso é a OR em termos de bit dos valores de acesso: 1 – Leitura do dispositivo 2 – Gravação de dispositivo 4 – Executar dispositivo 8 – Leitura de arquivo 16 – Gravação de arquivo 32 – Execução de arquivo 64 – Imprimir Por exemplo: Leitura, gravação e execução do dispositivo = 7 (1+2+4) Leitura do dispositivo, leitura de disco = 9 (1+8)
Ação	Permitir Negar AuditAllow AuditDeny
Notificação	Nenhum (padrão) Um evento é gerado O usuário recebe notificação A evidência do arquivo é capturada

Aviso

A versão de fevereiro de 2024 causa resultados inconsistentes para clientes de controle de dispositivo que estão usando políticas de mídia removíveis apenas com acesso em disco/dispositivo (máscaras menores ou iguais a 7). A aplicação pode não funcionar conforme o esperado. Para atenuar esse problema, é recomendável reverter para a versão anterior.

Se o controle do dispositivo estiver configurado e um usuário tentar usar um dispositivo não permitido, o usuário receberá uma notificação que contém o nome da política de controle do dispositivo e o nome do dispositivo. A notificação é exibida uma vez a cada hora após o acesso inicial ser negado.

Uma entrada dá suporte às seguintes condições opcionais:

• Condição de grupo de usuário/usuário: aplica a ação somente ao grupo de usuários/usuários identificado pelo SID

Observação

Para grupos de usuários e usuários armazenados em Microsoft Entra ID, use a ID do objeto na condição. Para grupos de usuários e usuários armazenados localmente, use o SID (Identificador de Segurança)

Observação

No Windows, o SID do usuário que entrou pode ser recuperado executando o comando whoami /userdo PowerShell .

• Condição do computador: aplica a ação apenas ao dispositivo/grupo identificado pelo SID
• Condição de parâmetros: aplica a ação somente se os parâmetros corresponderem (Consulte condições avançadas)

As entradas podem ser ainda mais escopo para usuários e dispositivos específicos. Por exemplo, permitir acesso de leitura a esses USBs para esse usuário somente neste dispositivo.

Política	Grupos de dispositivos incluídos	Grupos de dispositivos excluídos	Entrada(ies)
Acesso somente leitura para USBs	Todos os dispositivos de armazenamento removíveis	USBs graváveis	Acesso somente leitura
Acesso de gravação para USBs	USBs graváveis		Acesso de Gravação para Usuário 1 Gravar o Acesso para Usuário 2 no Grupo A de Dispositivos

Todas as condições na entrada devem ser verdadeiras para que a ação seja aplicada.

Você pode configurar entradas usando Intune, um arquivo XML no Windows ou um arquivo JSON no Mac. Selecione cada guia para obter mais detalhes.

Intune

Em Intune, o campo Máscara de acesso tem opções, como:

• Leitura (Leitura no nível do disco = 1)
• Gravação (Gravação em nível de disco = 2)
• Executar (Execução em nível de disco = 4)
• Imprimir (Imprimir = 64).

Nem todos os recursos são mostrados na interface do usuário Intune. Para obter mais informações, consulte Implantar e gerenciar o controle do dispositivo com Intune.

XML (Windows)

O snippet de código a seguir mostra a sintaxe de uma entrada de controle de dispositivo no XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

A tabela a seguir fornece mais contexto para o snippet de código XML:

Nome da propriedade	Descrição	Opção
Entry Id	GUID, uma ID exclusiva, representa a entrada e é usado em relatórios e solução de problemas.	Você pode gerar o GUID usando o PowerShell.
Type	Define a ação para os grupos de armazenamento removíveis em IncludedIDList. - Allow - Deny - AuditAllowed: define a notificação e o evento quando o acesso é permitido - AuditDenied: define a notificação e o evento quando o acesso é negado; funciona junto com uma Deny entrada. Quando há tipos de conflito para a mesma mídia, o sistema aplica o primeiro na política. Um exemplo de um tipo de conflito é Allow e Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Se o tipo for Allow	- 0:Nada - 4: desabilitar AuditAllowed e AuditDenied para esta entrada. Se Allow ocorrer e a AuditAllowed configuração estiver configurada, os eventos não serão gerados. - 8: crie uma cópia do arquivo como evidência e gere um RemovableStorageFileEvent evento. Essa configuração deve ser usada junto com o local Defina para uma cópia da configuração do arquivo em Intune ou Política de Grupo.
Option	Se o tipo for Deny	- 0:Nada - 4: desabilitar AuditDenied para esta Entrada. Se o Bloco ocorrer e a AuditDenied configuração estiver configurada, o sistema não mostrará notificações.
Option	Se o tipo for AuditAllowed	- 0:Nada - 1:Nada - 2: enviar evento
Option	Se o tipo for AuditDenied	- 0:Nada - 1: mostrar notificação - 2: enviar evento - 3: mostrar notificação e enviar evento
AccessMask	Define o acesso	Confira a seção a seguir Entender o acesso à máscara
Sid	SID de usuário local ou grupo sid de usuário, ou o SID do objeto Microsoft Entra ou a ID do objeto. Ele define se deve aplicar essa política a um usuário ou grupo de usuários específico. Uma entrada pode ter no máximo um SID e uma entrada sem qualquer meio SID para aplicar a política sobre o dispositivo.	SID
ComputerSid	SID do computador local ou grupo SID de computador ou o SID do objeto Microsoft Entra ou a ID do Objeto. Ele define se deve aplicar essa política em um dispositivo ou grupo de dispositivos específico. Uma entrada pode ter um máximo de um ComputerSID e uma entrada sem qualquer meio ComputerSID para aplicar a política sobre o dispositivo. Se você quiser aplicar uma Entrada a um usuário específico e um dispositivo específico, adicione SID e ComputerSID à mesma Entrada.	SID
Parameters	Condição para uma entrada, como condição de rede.	Pode adicionar grupos (tipos que não são de dispositivo) ou até mesmo colocar parâmetros em parâmetros. Para obter mais informações, confira a seção condições avançadas (neste artigo).

Entender o acesso à máscara (Windows)

O controle do dispositivo aplica uma máscara de acesso para determinar se a solicitação corresponde à entrada. As ações a seguir estão disponíveis em CdRomDevices, RemovableMediaDevicese WpdDevices:

Access	Máscara
Leitura de nível de disco	1
Gravação em nível de disco	2
Executar o nível do disco	4
Leitura do sistema de arquivos	8
Gravação do sistema de arquivos	16
Execução do sistema de arquivos	32

As seguintes ações estão disponíveis em PrinterDevices:

• Acesso: Imprimir
• Máscara: 64

Você pode ter várias configurações de acesso executando uma operação or binária. Veja um exemplo:

• O AccessMask para Leitura e Gravação e Execução é 7
• O AccessMask para Leitura e Gravação é 3

JSON (Mac)

O snippet de código a seguir mostra a sintaxe de uma entrada de controle de dispositivo no JSON para macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

A tabela a seguir fornece mais contexto para o snippet de código JSON:

Nome da propriedade	Descrição	Opções
id	GUID, uma ID exclusiva, representa a entrada e é usado em relatórios e solução de problemas.	Você pode gerar a ID usando o PowerShell.
enforcement $type	Define a ação para os grupos de armazenamento removíveis em includedGroups. - allow - deny - auditAllow: define a notificação e o evento quando o acesso é permitido - AuditDeny: define a notificação e o evento quando o acesso é negado; tem que trabalhar em conjunto com a entrada Negar. Quando há tipos de conflito para a mesma mídia, o sistema aplica o primeiro na política. Um exemplo de um tipo de conflito é Permitir e Negar.	O enforcement $type atributo pode ser um dos seguintes valores: - allow - deny - auditAllow - auditDeny
enforcement $options	Se o $type de execução for permitido	disable_audit_allow: se Permitir ocorrer e a auditoriaAllow estiver configurada, o sistema não enviará eventos.
enforcement $options	Se o $type de execução for negado	disable_audit_deny: se o Bloco acontecer e a auditoriaDeny estiver configurada, o sistema não mostrará notificações nem enviará eventos.
enforcement $options	Se o $type de execução for auditAllow	send_event: envia telemetria
enforcement $options	Se o $type de execução for auditDeny	- send_event: envia telemetria - show_notification: exibe a mensagem de bloco para o usuário
$type	O tipo de entrada. O tipo determina as operações que podem ser protegidas pelo controle do dispositivo	Os $type atributos podem ser qualquer um dos seguintes valores: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	Uma lista de operações que essa entrada concede	Confira a próxima seção: "Entender o acesso no Mac"

Entender o acesso (Mac)

Há dois tipos de acesso para uma entrada: genérico e específico do tipo de dispositivo.

• As opções de acesso genérico incluem generic_read, generic_writee generic_execute.
• O acesso específico do tipo de dispositivo fornece uma granularidade mais fina do controle, pois os valores de acesso específicos do tipo de dispositivo estão incluídos nos tipos de acesso genéricos.

A tabela a seguir descreve o acesso específico do tipo de dispositivo e como eles mapeiam para os tipos de acesso genéricos.

Tipo de dispositivo ($type)	Acesso específico do tipo de dispositivo	Descrição	Ler	Gravar	Executar
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	baixar fotos do dispositivo iOS específico para o dispositivo local	X
appleDevice	download_files_from_device	baixar arquivos do dispositivo iOS específico para o dispositivo local	X
appleDevice	sync_content_to_device	sincronizar o conteúdo do dispositivo local para um dispositivo iOS específico		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	Controle de ferramentas do ADB			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Grupos

Os grupos definem critérios para filtrar objetos por suas propriedades. O objeto será atribuído ao grupo se suas propriedades corresponderem às propriedades definidas para o grupo.

Observação

Os grupos nesta seção não se referem a grupos de usuários.

Por exemplo:

• USBs permitidos são todos os dispositivos que correspondem a qualquer um desses fabricantes
• USBs perdidos são todos os dispositivos que correspondem a qualquer um desses números de série
• Impressoras permitidas são todos os dispositivos que correspondem a qualquer um desses VID/PID

As propriedades podem ser correspondidas de quatro maneiras: MatchAll, MatchAny, MatchExcludeAlle MatchExcludeAny

• MatchAll: as propriedades são uma relação "E"; por exemplo, se o administrador colocar DeviceID e InstancePathID, para cada USB conectado, o sistema verificará se o USB atende aos dois valores.
• MatchAny: as propriedades são uma relação "Or"; por exemplo, se o administrador colocar DeviceID e InstancePathID, para cada USB conectado, o sistema aplicará desde que o USB tenha um valor ou InstanceID idênticoDeviceID.
• MatchExcludeAll: as propriedades são uma relação "E", todos os itens que NÃO atendem são abordados. Por exemplo, se o administrador colocar DeviceID e InstancePathID usar MatchExcludeAll, para cada USB conectado, o sistema aplicará desde que o USB não tenha o mesmo valor e InstanceID o mesmo DeviceID valor.
• MatchExcludeAny: as propriedades são uma relação "Ou", todos os itens que NÃO atendem são abordados. Por exemplo, se o administrador coloca DeviceID e InstancePathID usa MatchExcludeAny, para cada USB conectado, o sistema impõe desde que o USB não tenha um valor ou InstanceID idênticoDeviceID.

Os grupos são usados de duas maneiras: selecionar dispositivos para inclusão/exclusão em regras e filtrar o acesso para condições avançadas. Esta tabela resume os tipos de grupo e como eles são usados.

Tipo	Descrição	O/S	Incluir/excluir regras	Condições avançadas
Dispositivo (padrão)	Filtrar dispositivos e impressoras	Windows/Mac	X
Rede	Filtrar condições de rede	Windows		X
Conexão VPN	Filtrar condições de VPN	Windows		X
Arquivo	Filtrar propriedades do arquivo	Windows		X
Trabalho de Impressão	Filtrar propriedades do arquivo que está sendo impresso	Windows		X

Os dispositivos que estão no escopo da política determinada por uma lista de grupos incluídos e uma lista de grupos excluídos. Uma regra se aplica se o dispositivo estiver em todos os grupos incluídos e nenhum dos grupos excluídos. Os grupos podem ser compostos a partir das propriedades dos dispositivos. As seguintes propriedades podem ser usadas:

Propriedade	Descrição	Dispositivos Windows	Dispositivos Mac	Impressoras
FriendlyNameId	O nome amigável no Windows Gerenciador de Dispositivos	Y	N	S
PrimaryId	O tipo do dispositivo	S	S	S
VID_PID	ID do fornecedor é o código de fornecedor de quatro dígitos que o comitê USB atribui ao fornecedor. ID do produto é o código de produto de quatro dígitos que o fornecedor atribui ao dispositivo. Há suporte para curingas. Por exemplo, 0751_55E0	Y	N	S
PrinterConnectionId	O tipo de conexão de impressora: -USB -Corporativa -Rede -Universal -Arquivo -Personalizado -Local	N	N	S
BusId	Informações sobre o dispositivo (para obter mais informações, confira as seções que seguem esta tabela)	Y	N	N
DeviceId	Informações sobre o dispositivo (para obter mais informações, confira as seções que seguem esta tabela)	Y	N	N
HardwareId	Informações sobre o dispositivo (para obter mais informações, confira as seções que seguem esta tabela)	Y	N	N
InstancePathId	Informações sobre o dispositivo (para obter mais informações, confira as seções que seguem esta tabela)	Y	N	N
SerialNumberId	Informações sobre o dispositivo (para obter mais informações, confira as seções que seguem esta tabela)	S	S	N
PID	ID do produto é o código de produto de quatro dígitos que o fornecedor atribui ao dispositivo	S	S	N
VID	ID do fornecedor é o código de fornecedor de quatro dígitos que o comitê USB atribui ao fornecedor.	S	S	N
APFS Encrypted	Se o dispositivo for criptografado pelo APFS	N	Y	N

Usar o Windows Gerenciador de Dispositivos para determinar propriedades do dispositivo

Para dispositivos Windows, você pode usar Gerenciador de Dispositivos para entender as propriedades dos dispositivos.

1. Abra Gerenciador de Dispositivos, localize o dispositivo, clique com o botão direito do mouse em Propriedades e selecione a guia Detalhes.

2. Na lista Propriedade, selecione Caminho da instância do dispositivo.

   O valor mostrado para o caminho da instância do dispositivo é o InstancePathId, mas também contém outras propriedades:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   As propriedades no mapa do gerenciador de dispositivos para o controle do dispositivo, conforme mostrado na tabela a seguir:

   Gerenciador de Dispositivos	Controle de Dispositivo
   Hardware Ids	HardwareId
   Nome amigável	FriendlyNameId
   Pai	VID_PID
   DeviceInstancePath	InstancePathId

Usando relatórios e caça avançada para determinar propriedades de dispositivos

As propriedades do dispositivo têm rótulos ligeiramente diferentes na caça avançada. A tabela abaixo mapeia os rótulos no portal para o propertyId em uma política de controle de dispositivo.

propriedade portal Microsoft Defender	ID da propriedade de controle de dispositivo
Nome da mídia	FriendlyNameId
ID do fornecedor	HardwareId
DeviceId	InstancePathId
Número de série	SerialNumberId

Observação

Verifique se o objeto selecionado tem a Classe de Mídia correta para a política. Em geral, para armazenamento removível, use Class Name == USB.

Configurar grupos em Intune, XML no Windows ou JSON no Mac

Você pode configurar grupos em Intune, usando um arquivo XML para Windows ou usando um arquivo JSON no Mac. Selecione cada guia para obter mais detalhes.

Observação

O Group Id no XML e id no JSON é usado para identificar o grupo dentro do controle do dispositivo. Não é uma referência a nenhum outro, como um grupo de usuários no Entra Id.

Intune

Configurações reutilizáveis no Intune mapear para grupos de dispositivos. Você pode configurar configurações reutilizáveis no Intune.

Há dois tipos de grupos: Dispositivo de Impressora e Armazenamento Removível. A tabela a seguir lista as propriedades desses grupos.

Tipo de grupo	Propriedades
Dispositivo de impressora	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Repositório removível	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

O seguinte snippet XML mostra a sintaxe para grupos correspondentes:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

A tabela a seguir descreve propriedades para grupos.

Nome da propriedade	Descrição	Opções
Group Id	GUID, uma ID exclusiva, representa o grupo e a ser usado na política.	Você pode gerar a ID por meio do PowerShell.
Type	O tipo do grupo	Dispositivo (Padrão) Os outros tipos de grupos (File, , VPNConnectionPrintJob, Network) podem ser usados para condições avançadas. O tipo para grupos usados com regras é Device, que é o padrão.
MatchType	O algoritmo correspondente usado	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	A lista de propriedades avaliadas para inclusão no grupo	Consulte Propriedades DescriptionIdList (seção após esta tabela)

Propriedades DescriptionIdList

As propriedades descritas na tabela a seguir podem ser incluídas no DescriptionIdList:

Propriedade	Descrição
PrimaryId	Inclui RemovableMediaDevices, CdRomDevices, WpdDevicese PrinterDevices.
InstancePathId	Cadeia de caracteres que identifica exclusivamente o dispositivo no sistema, por exemplo, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0. Ele corresponde ao caminho da instância do dispositivo em Gerenciador de Dispositivos no Windows. O número no final (por exemplo &0) representa o slot disponível e pode ser alterado de dispositivo para dispositivo. Para obter melhores resultados, use um curinga no final. Por exemplo, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Para transformar o caminho da instância do dispositivo no formato ID do dispositivo, use Identificadores USB Padrão, como este exemplo: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Cadeia de caracteres que identifica o dispositivo no sistema, como USBSTOR\DiskGeneric_Flash_Disk___8.07. Ela corresponde à ID de hardware no Gerenciador de Dispositivos no Windows. Tenha em mente que HardwareId isso não é exclusivo; dispositivos diferentes podem compartilhar o mesmo valor.
FriendlyNameId	Cadeia de caracteres anexada ao dispositivo, como Generic Flash Disk USB Device. Ele corresponde ao nome amigável em Gerenciador de Dispositivos no Windows.
BusId	Por exemplo, , USBSCSI
SerialNumberId	Você pode encontrar SerialNumberId no caminho da instância do dispositivo em Gerenciador de Dispositivos no Windows. Por exemplo, 03003324080520232521 está SerialNumberId em USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- ID do fornecedor é o código de fornecedor de quatro dígitos que o comitê USB atribui ao fornecedor. - ID do produto é o código de produto de quatro dígitos que o fornecedor atribui ao dispositivo. Ele dá suporte a curingas. - Para transformar o caminho da instância do dispositivo em ID do fornecedor e formato de ID do produto, use Identificadores USB Padrão. Aqui estão alguns exemplos: 0751_55E0: corresponde a este par VID/PID exato _55E0: corresponde a qualquer mídia com PID=55E0 0751_: corresponde a qualquer mídia com VID=0751

Aqui estão alguns exemplos de definições de grupo de dispositivos no repositório de exemplos de controle de dispositivo:

• Grupo de dispositivos por ID de Caminho da Instância
• Grupo de dispositivos por VID_PID
• Grupo de dispositivos pela ID Primária

JSON (Mac)

O seguinte snippet JSON mostra a sintaxe para definir grupos no Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

A tabela a seguir descreve propriedades para grupos:

Propriedade	Descrição	Opções
$type	O tipo de grupo	device
id	GUID, uma ID exclusiva, representa o grupo a ser usado na política.	Você pode gerar a ID usando o cmdlet Windows PowerShell New-Guid ou o uuidgen comando no macOS
name	Nome amigável para o grupo.	string
query	A cobertura da mídia sob este grupo	Confira as tabelas de propriedades de consulta abaixo para obter detalhes.

A consulta dá suporte a todos e (igual a todos), a qualquer tipo ou (igual a qualquer um). Essa é a lógica usada para combinar as propriedades nas cláusulas.

Os seguintes valores têm suporte como cláusulas:

Cláusula $type	Valor	Descrição
primaryId	Uma de: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	cadeia de caracteres hexadecimal de quatro dígitos	Corresponde à ID do fornecedor de um dispositivo
productId	cadeia de caracteres hexadecimal de quatro dígitos	Corresponde à ID do produto de um dispositivo
serialNumber	string	Corresponde ao número de série de um dispositivo. Não corresponderá se o dispositivo não tiver um número de série.
encryption	apfs	Corresponda se um dispositivo for criptografado por apfs.
groupId	Cadeia de caracteres UUID	Corresponda se um dispositivo for membro de outro grupo. O valor representa a UUID do grupo com o qual corresponder. O grupo deve ser definido dentro da política anterior à cláusula.

Veja um exemplo de consulta:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

Nossa consulta de exemplo pode ser editada para obter um comportamento equivalente ao ExcludeedMatchAll e ExcludeedMatchAny usando o tipo "não", da seguinte maneira:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Essa consulta corresponde a todos os dispositivos que não têm o número de série especificado.

Condições avançadas

As entradas podem ser restritas ainda mais com base em parâmetros. Os parâmetros aplicam condições avançadas que vão além do dispositivo. As condições avançadas permitem o controle refinado com base em Rede, Conexão VPN, Arquivo ou Trabalho de Impressão sendo avaliado.

Observação

Há suporte apenas para condições avançadas no formato XML.

Condições de Rede

A tabela a seguir descreve as propriedades do grupo de rede:

Propriedade	Descrição
NameId	O nome da rede. Há suporte para curingas.
NetworkCategoryId	As opções válidas são Public, Privateou DomainAuthenticated.
NetworkDomainId	As opções válidas são NonDomain, Domain, DomainAuthenticated.

Essas propriedades são adicionadas ao DescriptorIdList de um grupo de tipo Rede. Aqui está um snippet de exemplo:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Em seguida, o grupo é referenciado como parâmetros na entrada, conforme ilustrado no seguinte snippet:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

Condições de conexão VPN

A tabela a seguir descreve as condições de conexão VPN:

Nome	Descrição
NameId	O nome da Conexão VPN. Há suporte para curingas.
VPNConnectionStatusId	Os valores válidos são Connected ou Disconnected.
VPNServerAddressId	O valor da cadeia de caracteres de VPNServerAddress. Há suporte para curingas.
VPNDnsSuffixId	O valor da cadeia de caracteres de VPNDnsSuffix. Há suporte para curingas.

Essas propriedades são adicionadas ao DescriptorIdList de um grupo do tipo VPNConnection, conforme mostrado no seguinte snippet:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Em seguida, o grupo é referenciado como parâmetros em uma entrada, conforme ilustrado no seguinte snippet:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Condições do arquivo

A tabela a seguir descreve as propriedades do grupo de arquivos:

Nome	Descrição
PathId	Cadeia de caracteres, valor do caminho ou nome do arquivo. Há suporte para curingas. Aplicável somente para grupos de tipos de arquivo.

A tabela a seguir ilustra como as propriedades são adicionadas ao DescriptorIdList de um grupo de arquivos:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Em seguida, o grupo é referenciado como parâmetros em uma entrada, conforme ilustrado no seguinte snippet:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Imprimir condições de trabalho

A tabela a seguir descreve as propriedades do PrintJob grupo:

Nome	Descrição
PrintOutputFileNameId	O caminho do arquivo de destino de saída para impressão em arquivo. Há suporte para curingas. Por exemplo, C:\*\Test.pdf
PrintDocumentNameId	O caminho do arquivo de origem. Há suporte para curingas. Esse caminho pode não existir. Por exemplo, adicione texto a um novo arquivo no Bloco de Notas e imprima sem salvar o arquivo.

Essas propriedades são adicionadas ao DescriptorIdList de um grupo de tipos PrintJob, conforme ilustrado no seguinte snippet:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Em seguida, o grupo é referenciado como parâmetros em uma entrada, conforme ilustrado no seguinte snippet:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Evidência de arquivo

Com o controle do dispositivo, você pode armazenar evidências de arquivos que foram copiados para dispositivos removíveis ou foram impressos. Quando a evidência do arquivo é habilitada, uma RemovableStorageFileEvent é criada. O comportamento das evidências de arquivo é controlado por opções na ação Permitir, conforme descrito na tabela a seguir:

Opção	Descrição
8	Create um RemovableStorageFileEvent evento comFileEvidenceLocation
16	Create um RemovableStorageFileEvent semFileEvidenceLocation

O FileEvidenceLocation campo de tem o local do arquivo de evidência, se um for criado. O arquivo de evidência tem um nome que termina em .dup, e sua localização é controlada pela configuração DataDuplicationFolder .

Próximas etapas

• Exibir eventos e informações de controle de dispositivo no Microsoft Defender para Ponto de Extremidade
• Implantar e gerenciar o controle do dispositivo no Microsoft Defender para Ponto de Extremidade com Microsoft Intune
• Implantar e gerenciar o controle de dispositivo em Microsoft Defender para Ponto de Extremidade usando Política de Grupo
• Controle de dispositivo para macOS