限制应用执行 API

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

注意

如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。

提示

为了提高性能,可以使用离地理位置更近的服务器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API 说明

限制在设备上执行除预定义集之外的所有应用程序。

限制

  1. 此 API 的速率限制是每分钟 100 个调用和每小时 1500 个调用。

注意

本页重点介绍如何通过 API 执行计算机操作。 有关通过 Microsoft Defender for Endpoint 的响应操作功能的详细信息,请参阅 在计算机上执行 响应操作。

重要

  • 此操作适用于 Windows 10 版本 1709 或更高版本和 Windows 11 上的设备。
  • 如果你的组织使用 Microsoft Defender 防病毒,则此功能可用。
  • 此操作需要满足 Windows Defender 应用程序控制代码完整性策略格式和签名要求。 有关详细信息,请参阅 代码完整性策略格式和签名

权限

要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 使用 Microsoft Defender for Endpoint API

权限类型 权限 权限显示名称
应用程序 Machine.RestrictExecution “限制代码执行”
委派(工作或学校帐户) Machine.RestrictExecution “限制代码执行”

注意

使用用户凭据获取令牌时:

Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

HTTP 请求

POST https://api.securitycenter.microsoft.com/api/machines/{id}/restrictCodeExecution

请求标头

名称 类型 说明
Authorization String 持有者 {token}。 必需。
Content-Type string application/json. 必需。

请求正文

在请求正文中,提供具有以下参数的 JSON 对象:

参数 类型 说明
评论 字符串 要与操作关联的注释。 必需。

响应

如果成功,此方法在响应正文中返回 201 - 创建的响应代码和 计算机操作

如果发送多个 API 调用来限制同一设备的应用执行,则会返回“挂起的计算机操作”或 HTTP 400,并显示消息“操作已在进行”。

示例

请求

下面是一个请求示例。

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/restrictCodeExecution 
{
  "Comment": "Restrict code execution due to alert 1234"
}

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区