Управление устройствами в Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
Возможности управления устройствами в Microsoft Defender для конечной точки позволяют вашей группе безопасности контролировать, могут ли пользователи устанавливать и использовать периферийные устройства, такие как съемные устройства (USB-накопители, компакт-диски, диски и т. д.), принтеры, устройства Bluetooth или другие устройства со своими компьютерами. Ваша команда безопасности может настроить политики управления устройствами, чтобы настроить следующие правила:
- Запретить пользователям устанавливать и использовать определенные устройства (например, USB-накопители)
- Запретить пользователям устанавливать и использовать внешние устройства с определенными исключениями
- Разрешить пользователям устанавливать и использовать определенные устройства
- Разрешить пользователям устанавливать и использовать только устройства с шифрованием BitLocker на компьютерах Windows
Этот список предназначен для предоставления некоторых примеров. Это не исчерпывающий список; Есть и другие примеры, которые следует рассмотреть (см. элемент управления устройством в Windows в этой статье).
Управление устройствами помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. С помощью управления устройствами группа безопасности может определить, могут ли пользователи устанавливать и использовать периферийные устройства на своих компьютерах.
Совет
В дополнение к этой статье рекомендуется использовать руководство по автоматической настройке Microsoft Defender для конечной точки при входе в Центр администрирования Microsoft 365. В этом руководстве вы настроите интерфейс в зависимости от среды. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите к руководству по настройке Microsoft 365.
Управление устройствами в Windows
В этом разделе перечислены сценарии для управления устройствами в Windows.
Совет
Если вы используете Mac, управление устройствами может управлять доступом к Bluetooth, устройствам iOS, портативным устройствам, таким как камеры, и съемным носителям, таким как USB-устройства. См . раздел Управление устройствами для macOS.
Выберите вкладку, просмотрите сценарии и определите тип создаваемой политики управления устройствами.
Сценарий | Политика управления устройствами |
---|---|
Запретить установку определенного USB-устройства | Управление устройством в Windows. См . статью Политики управления устройствами. |
Запретить установку всех USB-устройств, разрешая установку только авторизованного USB | Управление устройством в Windows. См . статью Политики управления устройствами. |
Запретить доступ на запись и выполнение для всех, но разрешить определенные утвержденные USB | Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами. |
Аудит доступа на запись и выполнение для всех заблокированных USB, кроме блокировки. | Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами. |
Блокировка доступа на чтение и выполнение к определенному расширению файла | Управление устройством в Microsoft Defender. См . статью Политики управления устройствами. |
Блокировка доступа пользователей к съемному хранилищу, если компьютер не подключается к корпоративной сети | Управление устройством в Microsoft Defender. См . статью Политики управления устройствами. |
Блокировка доступа на запись к съемным дискам с данными, не защищенным BitLocker | Управление устройством в Windows. См. раздел BitLocker. |
Блокировка доступа на запись к устройствам, настроенным в другой организации | Управление устройством в Windows. См. раздел BitLocker. |
Запрет копирования конфиденциальных файлов на USB | DLP конечной точки |
Поддерживаемые устройства
Управление устройствами поддерживает устройства Bluetooth, CD/ROM и DVD-устройства, принтеры, USB-устройства и другие типы портативных устройств. На устройстве с Windows, основанном на драйвере, некоторые периферийные устройства помечаются как съемные. В следующей таблице перечислены примеры устройств, поддерживаемых элементом управления устройствами, с их primary_id
значениями и именами классов мультимедиа.
Тип устройства | PrimaryId в Windows |
primary_id в macOS |
Имя класса мультимедиа |
---|---|---|---|
Устройства Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROM, DVD-диски | CdRomDevices |
CD-Roms |
|
Устройства iOS | appleDevice |
||
Переносимые устройства (например, камеры) | portableDevice |
||
Принтеры | PrinterDevices |
Printers |
|
USB-устройства (съемные носители) | RemovableMediaDevices |
removableMedia |
USB |
Переносные устройства Windows | WpdDevices |
Windows Portable Devices (WPD) |
Категории возможностей управления устройствами Майкрософт
Возможности управления устройствами от корпорации Майкрософт можно упорядочить в три main категории: управление устройствами в Windows, управление устройствами в Defender для конечной точки и защита от потери данных конечных точек (защита от потери данных в конечной точке).
Управление устройством в Windows. Операционная система Windows имеет встроенные возможности управления устройствами. Группа безопасности может настроить параметры установки устройств, чтобы запретить (или разрешить) пользователям устанавливать определенные устройства на своих компьютерах. Политики применяются на уровне устройства и используют различные свойства устройства, чтобы определить, может ли пользователь устанавливать и использовать устройство. Управление устройствами в Windows работает с шаблонами BitLocker и ADMX и может управляться с помощью Intune.
BitLocker и Intune. BitLocker — это функция безопасности Windows, которая обеспечивает шифрование для целых томов. Вместе с Intune политики можно настроить для принудительного шифрования на устройствах, использующих BitLocker для Windows (и FileVault для Mac). Дополнительные сведения см. в статье Параметры политики шифрования дисков для безопасности конечных точек в Intune.
Административные шаблоны (ADMX) и Intune. Шаблоны ADMX можно использовать для создания политик, которые ограничивают или разрешают использование с компьютерами определенных типов USB-устройств. Дополнительные сведения см. в статье Ограничение USB-устройств и разрешение определенных USB-устройств с помощью шаблонов ADMX в Intune.
Управление устройством в Defender для конечной точки. Управление устройствами в Defender для конечной точки предоставляет более расширенные возможности и является кроссплатформенным. Вы можете настроить параметры управления устройствами, чтобы запретить (или разрешить) пользователям доступ к содержимому на съемных запоминающих устройствах для чтения, записи или выполнения. Вы можете определить исключения и использовать политики аудита, которые обнаруживают, но не блокируют доступ пользователей к съемным запоминающим устройствам. Политики применяются на уровне устройства, пользователя или на обоих уровнях. Управление устройством в Microsoft Defender можно управлять с помощью Intune.
- Управление устройством в Microsoft Defender и Intune. Intune предоставляет широкие возможности для управления сложными политиками управления устройствами для организаций. Например, можно настроить и развернуть параметры ограничения устройств в Defender для конечной точки. См. раздел Настройка параметров ограничения устройств в Microsoft Intune.
Защита от потери данных конечной точки (защита от потери данных в конечной точке). Конечная точка защиты от потери данных отслеживает конфиденциальную информацию на устройствах, подключенных к решениям Microsoft Purview. Политики защиты от потери данных могут применять защитные действия в отношении конфиденциальной информации и места ее хранения или использования. Сведения о защите от потери данных в конечной точке.
Дополнительные сведения об этих возможностях см. в разделе Сценарии управления устройствами (в этой статье).
Примеры и сценарии управления устройствами
Управление устройствами в Defender для конечной точки предоставляет группе безопасности надежную модель управления доступом, которая обеспечивает широкий спектр сценариев (см. статью Политики управления устройствами). Мы создали репозиторий GitHub, содержащий примеры и сценарии, которые можно изучить. Ознакомьтесь с приведенными ниже материалами.
- Примеры сведений об элементах управления устройствами
- Начало работы с примерами элементов управления устройствами на устройствах Windows
- Примеры управления устройствами для macOS
Если вы не знакомы с управлением устройствами, см. пошаговые руководства по управлению устройствами.
Предварительные условия
Управление устройствами в Defender для конечной точки можно применять к устройствам под управлением Windows 10 или Windows 11 с версией клиента защиты от вредоносных программ или более поздней.4.18.2103.3
(В настоящее время серверы не поддерживаются.)
4.18.2104
или более поздней версии: добавьтеSerialNumberId
,VID_PID
, поддержку объектов групповой политики на основе filepath иComputerSid
4.18.2105
или более поздней версии: добавлена поддержка с подстановочными знаками дляHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, сочетание определенного пользователя на определенном компьютере, съемный SSD (SanDisk Extreme SSD)/ПОДДЕРЖКА USB-присоединенного SCSI (UAS)4.18.2107
или более поздней версии: добавлена поддержка переносимых устройств Windows (WPD) (для мобильных устройств, таких как планшеты); добавитьAccountName
в расширенную охоту4.18.2205
или более поздней версии: разверните принудительное применение по умолчанию на принтер. Если для параметра задано значение Запретить, он также блокирует принтер, поэтому если вы хотите только управлять хранилищем, обязательно создайте настраиваемую политику для разрешения принтера.4.18.2207
или позже: добавление поддержки файлов; Распространенный вариант использования может быть: запретить пользователям доступ к конкретному файлу для чтения, записи и выполнения в съемном хранилище. Добавлена поддержка сетевых и VPN-подключений; Распространенный вариант использования может быть: запретить пользователям доступ к съемным хранилищам, если компьютер не подключается к корпоративной сети.
Для Mac см. раздел Управление устройствами для macOS.
В настоящее время управление устройствами не поддерживается на серверах.
Дальнейшие действия
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по