分享方式:


手動部署和管理裝置控制件

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Microsoft Defender 裝置控制功能可讓您稽核、允許或防止讀取、寫入或執行抽取式存儲設備的存取權,並可讓您管理 iOS 和可攜式裝置,以及不含排除範圍的藍牙媒體。

授權需求

開始使用卸載式記憶體 存取控制 之前,您必須確認您的 Microsoft 365 訂閱。 若要存取和使用卸除式記憶體 存取控制,您必須具有 Microsoft 365 E3。

重要事項

本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供,不過,Microsoft 不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。

手動部署原則

此方法僅建議用於生產前環境。 從 101.23082.0018 版開始提供。 您可以建立原則 JSON 並在單一計算機上試用,然後再透過 MDM 將它部署給所有使用者。 Microsoft 建議針對生產環境使用 MDM。

只有在未透過 MDM (設定為受控組態) 時,您才能手動設定原則。

步驟 1:Create 原則 JSON

現在,您已將 groupsrulessettings合併成一個 JSON。 以下是示範檔案: mdatp-devicecontrol/deny_removable_media_except_kingston.json,位於 main - microsoft/mdatp-devicecontrol (github.com) 。 請務必使用 JSON 架構驗證您的原則,讓原則格式正確無誤: 主要的 mdatp-devicecontrol/device_control_policy_schema.json - microsoft/mdatp-devicecontrol (github.com)

如需設定、規則和群組的相關信息,請參閱 macOS 的裝置 控制。

步驟 2:套用原則

使用 mdatp config device-control policy set --path <full-path-to-policy.json> 套用原則。 您現在可以嘗試受保護的作業,或使用一般 mdatp device-control 命令來檢查有效的原則。

> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
|   |-o Disable: false
|-o Global
  |-o Default Enforcement: "allow"

您可以編輯原則檔案、重新套用它,並立即查看變更。

步驟 3:復原您的變更

若要清除原則,請使用 mdatp config device-control policy reset

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。