使用 群組原則 部署和管理 適用於端點的 Microsoft Defender 中的裝置控制

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• 適用於企業的 Microsoft Defender

如果您使用 群組原則 來管理適用於端點的 Defender 設定，您可以使用它來部署和管理裝置控制。

啟用或停用抽取式記憶體訪問控制

1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理>範本] [Windows 元件>Microsoft Defender [防病毒軟體>功能>] [裝置控件]。

2. 在 [ 裝置控制] 視窗中，選取 [ 已啟用]。

注意事項

如果您沒有看到這些 群組原則 物件，則必須將 群組原則 系統管理範本新增 (ADMX) 。 您可以從 GitHub 中的 mdatp-devicecontrol / Windows 範例下載系統管理範本 (WindowsDefender.adml 和 WindowsDefender.admx) 。

設定預設強制執行

您可以為所有裝置控制項功能設定預設存取權，例如RemovableMediaDevices、 DenyCdRomDevicesAllow、 和 。PrinterDevicesWpdDevices

例如，您可以有 或 DenyAllow 的原則， RemovableMediaDevices但不能針對 CdRomDevices 或 WpdDevices。 如果您透過此原則設定Default Deny，則會封鎖 或 WpdDevices 的讀取/寫入CdRomDevices/執行存取權。 如果您只想要管理記憶體，請務必建立 Allow 印表機的原則。 否則，默認強制 (拒絕) 也會套用至印表機。

1. 在執行 Windows 的裝置上，移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防毒>功能>\] \[裝置控>件\]\[選取 \[裝置控件\] \[預設強制原則\]。

2. 在 [ 選取裝置控件默認強制原則 ] 視窗中，選取 [ 預設拒絕]。

設定裝置類型

若要設定套用裝置控制原則的裝置類型，請遵循下列步驟：

1. 在執行 Windows 的計算機上，移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防病毒軟體>裝置控>件\] \[開啟特定裝置類型的裝置控件\]。

2. 在 [ 開啟特定類型的裝置控 件] 視窗中，指定產品系列標識符，並以管道 () | 分隔。 產品系列識別碼包括 RemovableMediaDevices、 CdRomDevices、 WpdDevices或 PrinterDevices。

定義群組

1. Create 每個抽取式儲存群組一個 XML 檔案。

2. 使用卸載式儲存群組中的屬性，為每個抽取式儲存群組建立 XML 檔案。

3. 將每個 XML 檔案儲存至您的網路共用。

4. 定義設定，如下所示：

   1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控制裝置控制>原則群組]。

   2. 在 [ 定義裝置控制原則群組 ] 視窗中，指定包含 XML 群組數據的網路共用檔案路徑。

您可以建立不同的群組類型。 以下是任何抽取式記憶體和CD-ROM、Windows 可攜式裝置和已核准USB群組的一個群組範例 XML 檔案：XML 檔案

注意事項

使用 XML 批註表示法 <!--COMMENT--> 的批註可以在規則和群組 XML 檔案中使用，但必須位於第一個 XML 標記內，而不是 XML 檔案的第一行。

定義原則

1. Create 一個 XML 檔案以取得存取原則規則。

2. 使用卸除式記憶體存取原則規則 () 中的屬性，為每個群組的卸載式記憶體存取原則規則建立 XML。

3. 將 XML 檔案儲存至網路共用。

4. 定義設定，如下所示：

   1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控制原則規則]。

   2. 在 [ 定義裝置控制原則規則] 視窗中，選取 [ 已啟用]，然後指定包含 XML 規則數據的網路共用檔案路徑。

注意事項

使用 XML 批註表示法 <!-- COMMENT --> 的批註可以在規則和群組 XML 檔案中使用，但必須位於第一個 XML 標記內，而不是 XML 檔案的第一行。

設定檔案複本的位置 (辨識項)

如果您想要有檔案複本 (辨識項) 具有寫入存取權，請在 XML 檔案的卸除式記憶體存取原則規則中設定正確的 選項 ，然後指定系統可以儲存複本的位置。

1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控件辨識項] 資料遠端位置。

2. 在 [ 定義裝置控制辨識項數據遠端位置 ] 視窗中，選 取 [已啟用]，然後指定本機或網络共享資料夾路徑。

本機辨識項快取的保留期間

如果您想要變更預設值 60 天以保存檔案辨識項的本機快取，請遵循下列步驟：

1. 移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防病毒軟體>裝置控>件\]\[設定本機裝置控件快取中檔案的保留期間\]。

2. 在 [ 設定本機裝置控件快取] 視窗中檔案的保留期間中 ，選取 [ 已啟用]，然後輸入保留本機快取的天數 (預設值為 60) 。

另請參閱

• 適用於端點的Defender中的裝置控制件
• 和設定中的裝置控制原則
• macOS 的裝置控制