instalação do dispositivo de controle de dispositivo Microsoft Defender para Ponto de Extremidade

Aplica-se a

Observação

Se você quiser gerenciar o armazenamento removível, consulte Microsoft Defender para Ponto de Extremidade Controle de Acesso de Armazenamento Removível do Controle de Dispositivo.

Microsoft Defender para Ponto de Extremidade Instalação do Dispositivo de Controle de Dispositivo permite que você faça a seguinte tarefa:

  • Impedir que as pessoas instalem dispositivos específicos.
  • Permitir que as pessoas instalem dispositivos específicos, mas evitem outros dispositivos.

Observação

Para encontrar a diferença entre a instalação do dispositivo e o controle de acesso ao armazenamento removível, consulte Microsoft Defender para Ponto de Extremidade Proteção de Armazenamento Removível de Controle de Dispositivo.

Privilégio Permissão
Acessar Instalação do dispositivo
Modo de ação Permitir, Impedir
Suporte ao CSP Sim
Suporte a GPO Sim
Suporte baseado no usuário Não
Suporte baseado em máquina Sim

Preparar seus pontos de extremidade

Implantar a instalação do dispositivo em dispositivos Windows 10, Windows 11, Windows Server 2022.

Propriedades do dispositivo

As seguintes propriedades do dispositivo são compatíveis com o suporte à Instalação do Dispositivo:

  • ID do Dispositivo
  • Hardware ID
  • ID compatível
  • Classe de dispositivo
  • Tipo de dispositivo removível: alguns dispositivos podem ser classificados como um dispositivo removível. Um dispositivo é considerado removível quando o driver do dispositivo ao qual ele está conectado indica que o dispositivo é removível. Por exemplo, um dispositivo USB é relatado como removível pelos drivers para o hub USB ao qual o dispositivo está conectado.

Para obter mais informações, consulte Instalação do dispositivo no Windows.

Políticas

Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo estiver habilitada.

Quando essa configuração de política é habilitada junto com a ordem aplicar uma ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo, o Windows tem permissão para instalar ou atualizar qualquer dispositivo cuja ID de hardware Plug and Play ou ID compatível aparece na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a essas IDs do dispositivo.
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo.

Se a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Observação

A configuração de política Impedir a instalação de dispositivos não descrita por outras configurações de política foi substituída pela ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo para versões de Windows 10 de destino com suporte e Windows 11. Use a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo quando possível.

Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo estiver habilitada.

Quando essa configuração de política é habilitada junto com a ordem aplicar uma ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo, o Windows tem permissão para instalar ou atualizar qualquer dispositivo cuja ID da instância do dispositivo Plug and Play aparece na lista que você cria, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo

Se a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

Essa configuração de política permite especificar uma lista de GUIDs (identificadores globalmente exclusivos) de classe de configuração de dispositivo para pacotes de driver que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo estiver habilitada.

Quando essa configuração de política é habilitada junto com a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo, o Windows tem permissão para instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação de dispositivo aparecem na lista que você cria, a menos que outra configuração de política na mesma camada ou mais alta na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos para essas classes de dispositivo
  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo

Se a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivo não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo

Essa configuração de política alterará a ordem de avaliação na qual as configurações Permitir e Impedir políticas são aplicadas quando mais de uma configuração de política de instalação for aplicável a um determinado dispositivo. Habilite essa configuração de política para garantir que os critérios de correspondência de dispositivo sobrepostos sejam aplicados com base em uma hierarquia estabelecida em que critérios de correspondência mais específicos substituem critérios de correspondência menos específicos. A ordem hierárquica de avaliação para configurações de política que especificam critérios de correspondência de dispositivo é a seguinte:

IDs da instância do> dispositivo IDs do> dispositivo Classe >de instalação do dispositivoDispositivos removíveis

IDs da instância do dispositivo

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs da instância do dispositivo.
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs da instância do dispositivo.

IDs do dispositivo

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs do dispositivo.
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs do dispositivo.

Classe de instalação do dispositivo

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação do dispositivo.
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo.

Dispositivos removíveis

Impedir a instalação de dispositivos removíveis

Observação

Essa configuração de política fornece um controle mais granular do que a configuração Impedir a instalação de dispositivos não descritos por outras configurações de política . Se essas configurações de política conflitantes estiverem habilitadas ao mesmo tempo, a ordem de avaliação Aplicar em camadas para Permitir e Impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência de dispositivos será habilitada e a outra configuração de política será ignorada.

Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Observação

Para habilitar a configuração Permitir a instalação de dispositivos que correspondem a qualquer uma dessas configurações de política de IDs de instância de dispositivo para substituir essa configuração de política para dispositivos aplicáveis, habilite a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo . Além disso, a política de permissão não terá precedência se a opção Bloquear Armazenamento Removível estiver selecionada no Controle de Dispositivo.

Se você habilitar essa configuração de política, o Windows será impedido de instalar um dispositivo cuja ID de hardware ou ID compatível aparece na lista que você cria. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não configurar essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows está impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Se você habilitar essa configuração de política, o Windows será impedido de instalar um dispositivo cuja ID da instância do dispositivo aparece na lista criada. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não configurar essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

Essa configuração de política permite especificar uma lista de GUIDs (identificadores globalmente exclusivos) de classe de configuração de dispositivo para pacotes de driver que o Windows está impedido de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Observação

Para habilitar a permitir a instalação de dispositivos que correspondem a qualquer uma dessas IDs de dispositivo e permitir a instalação de dispositivos que correspondam a qualquer uma dessas configurações de política de IDs de instância de dispositivo para substituir essa configuração de política para dispositivos aplicáveis, habilite a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo.

Se você habilitar essa configuração de política, o Windows será impedido de instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação de dispositivo aparecem na lista que você cria. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não configurar essa configuração de política, o Windows poderá instalar e atualizar dispositivos conforme permitido ou impedido por outras configurações de política.

Impedir a instalação de dispositivos removíveis

Essa configuração de política permite impedir que o Windows instale dispositivos removíveis. Um dispositivo é considerado removível quando o driver do dispositivo ao qual ele está conectado indica que o dispositivo é removível. Por exemplo, um dispositivo USB (Barramento Serial Universal) é relatado como removível pelos drivers para o hub USB ao qual o dispositivo está conectado. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Observação

Para permitir a instalação de dispositivos usando drivers que correspondem a essas classesde configuração de dispositivo, permita a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo e permitir a instalação de dispositivos que correspondam a qualquer uma dessas configurações de política de IDs de instância de dispositivo para substituir essa configuração de política para dispositivos aplicáveis, habilite a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as configurações de política de critérios de correspondência do dispositivo.

Se você habilitar essa configuração de política, o Windows será impedido de instalar dispositivos removíveis e os dispositivos removíveis existentes não poderão ter seus drivers atualizados. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento de dispositivos removíveis de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não configurar essa configuração de política, o Windows poderá instalar e atualizar pacotes de driver para dispositivos removíveis conforme permitido ou impedido por outras configurações de política.

Cenários comuns de Controle de Acesso de armazenamento removível

Para ajudar a familiarizá-lo com Microsoft Defender para Ponto de Extremidade Controle de Acesso de Armazenamento Removível, reunimos alguns cenários comuns para você seguir.

Cenário 1: impedir a instalação de todos os dispositivos USB, permitindo a instalação de apenas uma pen drive USB autorizada

Para esse cenário, as seguintes políticas serão usadas:

  • Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação do dispositivo.
  • Aplique uma ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo.
  • Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo ou permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo.

Implantando e gerenciando a política por meio de Intune

O recurso de instalação do dispositivo permite que você aplique a política por meio de Intune ao dispositivo.

Licenciamento

Antes de começar a instalação do dispositivo, você deve confirmar sua assinatura do Microsoft 365. Para acessar e usar a instalação do dispositivo, você deve ter Microsoft 365 E3.

Permissão

Para implantação de política em Intune, a conta deve ter permissões para criar, editar, atualizar ou excluir perfis de configuração do dispositivo. Você pode criar funções personalizadas ou usar qualquer uma das funções internas com essas permissões:

  • Função gerenciador de perfil e política
  • Ou função personalizada com permissões Criar/Editar/Atualizar/Ler/Excluir/Exibir Relatórios ativadas para perfis de Configuração de Dispositivo
  • Ou administrador global

Implantando política

No Microsoft Endpoint Manager https://endpoint.microsoft.com/

  1. Configure Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo.

    Abra aredução> da superfície de ataque de ponto de extremidade>Criar Plataforma de Política>: Windows 10 (e posterior) & Perfil: controle do dispositivo.

    A página Editar perfil

  2. Conecte um USB, dispositivo e você verá a seguinte mensagem de erro:

    A mensagem de erro

  3. Habilitar Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo.

    suporte apenas ao OMA-URI por enquanto:perfis de configuraçãode dispositivos>>Criar perfil>Plataforma: Windows 10 (e posterior) & Perfil: Personalizado

    A página Editar Linha

  4. Habilitar e adicionar a ID de instância USB permitida – permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo.

    Atualize o perfil de controle de dispositivo da etapa 1.

    Um identificador na página Controle de Dispositivo

    Adicionamos PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB como mostrado na imagem anterior porque não é suficiente para habilitar apenas uma única ID de hardware para habilitar uma única unidade de pen drive USB. Você deve garantir que todos os dispositivos USB que precedem o destino também não sejam bloqueados (permitidos). Você pode abrir Gerenciador de Dispositivos e alterar a exibição para Dispositivos por conexões para ver como os dispositivos são instalados na árvore PnP. Nesse caso, os seguintes dispositivos devem ser permitidos para que a pen drive USB de destino também possa ser permitida:

    • "Controlador de Host eXtensível Intel(R) USB 3.0 – 1.0 (Microsoft)" –> PCI\CC_0C03
    • "Hub Raiz USB (USB 3.0)" –> USB\ROOT_HUB30
    • "Hub USB Genérico" –> USB\USB20_HUB

    O item exibir menu na página Gerenciador de Dispositivos

    Observação

    Alguns dispositivos no sistema têm várias camadas de conectividade para definir sua instalação no sistema. Unidades de polegar USB são esses dispositivos. Assim, ao procurar bloquear ou permitir que eles estejam em um sistema, é importante entender o caminho da conectividade para cada dispositivo. Há várias IDs genéricas de dispositivo que são comumente usadas em sistemas e podem fornecer um bom começo para criar uma "lista de permissões" nesses casos. Veja a seguir um exemplo (nem sempre é o mesmo para todos os USBs; você precisa entender a árvore PnP do dispositivo que deseja gerenciar por meio do Gerenciador de Dispositivos):

    PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

    Especificamente para computadores desktop, é importante listar todos os dispositivos USB pelos quais seus teclados e mouses estão conectados na lista acima. Não fazer isso pode impedir que um usuário acesse seu computador por meio de dispositivos HID.

    Fabricantes de computadores diferentes às vezes têm maneiras diferentes de aninhar dispositivos USB na árvore PnP, mas em geral é assim que é feito.

  5. Conecte o USB permitido novamente. Você verá que agora é permitido e disponível.

    A página Remover detalhes da unidade

Implantando e gerenciando a política por meio de Política de Grupo

O recurso de instalação do dispositivo permite que você aplique a política por meio de Política de Grupo.

Implantando política

Consulte Gerenciar instalação do dispositivo com Política de Grupo (Windows 10) – Cliente Windows.

Exibir dados do Controle de Acesso de armazenamento removível do controle de dispositivo no Microsoft Defender para Ponto de Extremidade

O portal Microsoft 365 Defender mostra o armazenamento removível bloqueado pela Instalação do Dispositivo de Controle de Dispositivo.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

O Armazenamento de Blocos

Perguntas frequentes

Como fazer confirmar que um dispositivo obtém uma política implantada?

Você pode usar a consulta a seguir para obter a versão do cliente antimalware no portal do Microsoft 365 Defender (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Por que a política Permitir não funciona?

Não é suficiente habilitar apenas uma única ID de hardware para habilitar uma única unidade de pen drive USB. Verifique se todos os dispositivos USB que precedem o destino também não estão bloqueados (permitidos).

Perguntas frequentes sobre a instalação do dispositivo