手动部署和管理设备控制
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 商业版
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
Microsoft Defender for Endpoint设备控制功能使你能够审核、允许或阻止对可移动存储的读取、写入或执行访问,并允许你管理 iOS 和便携式设备和蓝牙媒体(无论是否包含排除项)。
许可要求
在开始使用可移动存储访问控制之前,必须确认 Microsoft 365 订阅。 若要访问和使用可移动存储访问控制,必须具有Microsoft 365 E3。
重要
本文包含有关第三方工具的信息。 这是为了帮助完成集成方案而提供的,但是,Microsoft 不提供对第三方工具的故障排除支持。
请联系第三方供应商获取支持。
手动部署策略
建议仅对预生产环境使用此方法。 从版本 101.23082.0018 开始提供。 在通过 MDM 部署到所有用户之前,可以先创建策略 JSON 并在单台计算机上试用它。 Microsoft 建议将 MDM 用于生产环境。
仅当策略未通过 MDM (设置为托管配置) 时,才能手动设置策略。
步骤 1:Create策略 JSON
现在,你已将 groups
、 rules
、 settings
、合并为一个 JSON。 下面是演示文件:位于 main 的 mdatp-devicecontrol/deny_removable_media_except_kingston.json - microsoft/mdatp-devicecontrol (github.com) 。 请确保使用 JSON 架构验证策略,以便策略格式正确:mdatp-devicecontrol/device_control_policy_schema.json 位于 main - microsoft/mdatp-devicecontrol (github.com) 。
有关设置、规则和组的信息,请参阅 适用于 macOS 的设备控制 。
步骤 2:应用策略
使用 mdatp config device-control policy set --path <full-path-to-policy.json>
应用策略。
现在可以尝试受保护的操作,或使用常用 mdatp device-control
命令来检查有效策略。
> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
| |-o Disable: false
|-o Global
|-o Default Enforcement: "allow"
可以编辑策略文件,重新应用它,并立即查看更改。
步骤 3:撤消更改
若要清除策略,请使用 mdatp config device-control policy reset
。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。