手動部署和管理裝置控制件

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR
• 適用於企業的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

適用於端點的 Microsoft Defender 裝置控制功能可讓您稽核、允許或防止讀取、寫入或執行抽取式存儲設備的存取權，並可讓您管理 iOS 和可攜式裝置，以及不含排除範圍的藍牙媒體。

授權需求

開始使用卸載式記憶體 存取控制 之前，您必須確認您的 Microsoft 365 訂閱。 若要存取和使用卸除式記憶體 存取控制，您必須具有 Microsoft 365 E3。

重要事項

本文包含第三方工具的相關信息。 這是為了協助完成整合案例而提供，不過，Microsoft 不會提供第三方工具的疑難解答支援。
請連絡第三方廠商以取得支援。

手動部署原則

此方法僅建議用於生產前環境。 從 101.23082.0018 版開始提供。 您可以建立原則 JSON 並在單一計算機上試用，然後再透過 MDM 將它部署給所有使用者。 Microsoft 建議針對生產環境使用 MDM。

只有在未透過 MDM (設定為受控組態) 時，您才能手動設定原則。

步驟 1：Create 原則 JSON

現在，您已將 groups、 rules、 settings合併成一個 JSON。 以下是示範檔案： mdatp-devicecontrol/deny_removable_media_except_kingston.json，位於 main - microsoft/mdatp-devicecontrol (github.com) 。 請務必使用 JSON 架構驗證您的原則，讓原則格式正確無誤： 主要的 mdatp-devicecontrol/device_control_policy_schema.json - microsoft/mdatp-devicecontrol (github.com) 。

如需設定、規則和群組的相關信息，請參閱 macOS 的裝置 控制。

步驟 2：套用原則

使用 mdatp config device-control policy set --path <full-path-to-policy.json> 套用原則。 您現在可以嘗試受保護的作業，或使用一般 mdatp device-control 命令來檢查有效的原則。

> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
|   |-o Disable: false
|-o Global
  |-o Default Enforcement: "allow"

您可以編輯原則檔案、重新套用它，並立即查看變更。

步驟 3：復原您的變更

若要清除原則，請使用 mdatp config device-control policy reset。

另請參閱

• macOS 的裝置控制
• 使用 Intune 部署和管理裝置控制
• 使用 JAMF 部署和管理裝置控制件
• macOS 裝置控制常見問題 (常見問題)

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。