Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Microsoft Intune
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Pokud ke správě nastavení Defenderu for Endpoint používáte Intune, můžete ho použít k nasazení a správě možností řízení zařízení. Různé aspekty řízení zařízení se v Intune spravují odlišně, jak je popsáno v následujících částech.
Konfigurace a správa řízení zařízení v Intune
Přejděte do Centra pro správu Intune a přihlaste se.
Přejděte naOmezení potenciální oblasti útokuzabezpečení> koncových bodů.
V části Zásady omezení potenciální oblasti útoku vyberte existující zásadu nebo vyberte + Vytvořit zásadu a nastavte novou zásadu pomocí těchto nastavení:
- V seznamu Platforma vyberte Windows 10, Windows 11 a Windows Server. (Řízení zařízení není v současné době podporováno na Windows Server, i když tento profil vyberete pro zásady řízení zařízení.)
- V seznamu Profil vyberte Ovládací prvek zařízení.
Na kartě Základy zadejte název a popis zásad.
Na kartě Nastavení konfigurace se zobrazí seznam nastavení. Nemusíte konfigurovat všechna tato nastavení najednou. Zvažte, že začnete s řízením zařízení.
- V části Šablony pro správu máte nastavení Instalace zařízení a Přístup k vyměnitelnému úložišti .
- V části Defender si projděte část Povolení úplné kontroly nastavení kontroly vyměnitelných jednotek .
- V části Ochrana dat viz Povolení nastavení přímého přístupu do paměti .
- V části Dma Guard si projděte nastavení zásad výčtu zařízení .
- V části Úložiště se podívejte na nastavení přístupu k odepřít vyměnitelnému disku .
- V části Připojení se podívejte na povolit připojení USB** a Povolit nastavení Bluetooth .
- V části Bluetooth se podívejte na seznam nastavení, která se týkají připojení a služeb Bluetooth. Další podrobnosti najdete v tématu CSP zásad – Bluetooth.
- V části Řízení zařízení můžete nakonfigurovat vlastní zásady s opakovaně použitelným nastavením. Další podrobnosti najdete v tématu Přehled ovládacích prvků zařízení: Pravidla.
- V části Systém si přečtěte téma Povolení nastavení paměťové karty .
Po nakonfigurování nastavení přejděte na kartu Značky oboru , kde můžete pro zásadu zadat značky oboru .
Na kartě Přiřazení zadejte skupiny uživatelů nebo zařízení, které mají zásady přijímat. Další podrobnosti najdete v tématu Přiřazení zásad v Intune.
Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a proveďte potřebné změny.
Až budete připravení, vyberte Vytvořit a vytvořte zásadu řízení zařízení.
Profily ovládacích prvků zařízení
V Intune každý řádek představuje zásadu řízení zařízení. Zahrnuté ID je opakovaně použitelné nastavení, na které se zásady vztahují. Vyloučené ID je opakovaně použitelné nastavení, které je vyloučené ze zásady. Položka pro zásadu obsahuje povolená oprávnění a chování pro řízení zařízení, které začne platit, když se zásada použije.
Informace o tom, jak přidat opakovaně použitelné skupiny nastavení, které jsou součástí řádku jednotlivých zásad řízení zařízení, najdete v části Přidání opakovaně použitelných skupin do profilu řízení zařízení v tématu Použití opakovaně použitelných skupin nastavení s Intune zásadami.
Zásady je možné přidávat a odebírat pomocí + ikon a – . Název zásady se zobrazí v upozornění pro uživatele a v rozšířeném proaktivním vyhledávání a sestavách.
Můžete přidat zásady auditu a můžete přidat zásady povolit/odepřít. Při přidávání zásad auditu doporučujeme vždy přidat zásadu Povolit nebo Odepřít, abyste neměli neočekávané výsledky.
Důležité
Pokud konfigurujete jenom zásady auditu, zdědí se oprávnění z výchozího nastavení vynucení.
Poznámka
- Pořadí, ve kterém jsou zásady uvedené v uživatelském rozhraní, se pro vynucení zásad nezachová. Osvědčeným postupem je použít zásady povolit/odepřít. Explicitním přidáním zařízení, která mají být vyloučena, se ujistěte, že se možnost zásad povolit/odepřít neprotíná. Pomocí grafického rozhraní Intune nemůžete změnit výchozí vynucování. Pokud změníte výchozí vynucování na
Deny
a vytvoříte zásaduAllow
, která se použije pro konkrétní zařízení, zablokují se všechna zařízení s výjimkou všech zařízení, která jsou v zásadách nastavenáAllow
.
Definování nastavení pomocí OMA-URI
Důležité
Použití Intune OMA-URI ke konfiguraci řízení zařízení vyžaduje, aby úlohu Konfigurace zařízení spravovali Intune, pokud je zařízení spoluspravované s Configuration Manager. Další informace najdete v tématu Jak přepnout úlohy Configuration Manager na Intune.
V následující tabulce určete nastavení, které chcete nakonfigurovat, a pak použijte informace v OMA-URI a datovém typu & sloupcích hodnot. Nastavení jsou uvedena v abecedním pořadí.
Nastavení | OMA-URI, datový typ, & hodnoty |
---|---|
Výchozí vynucování ovládacích prvků zařízení Výchozí vynucování určuje, jaká rozhodnutí se provádějí při kontrolách přístupu k řízení zařízení, když se žádná pravidla zásad neshodují. |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Celé číslo: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Typy zařízení Typy zařízení, které jsou identifikovány jejich primárními ID, se zapnutou ochranou ovládacích prvků zařízení. Je nutné zadat ID produktové řady oddělené kanálem. Při výběru více typů zařízení je potřeba zajistit, aby řetězec byl celý jedno slovo bez mezer. Konfigurace, která nedodržuje tuto syntaxi, způsobí neočekávané chování. |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Řetězec: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Povolení řízení zařízení Povolení nebo zakázání řízení zařízení na zařízení |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Celé číslo: - Disable = 0 - Enable = 1 |
Vytváření zásad pomocí OMA-URI
Při vytváření zásad s OMA-URI v Intune vytvořte pro každou zásadu jeden soubor XML. K vytváření vlastních zásad se doporučuje použít profil ovládacího prvku zařízení nebo profil pravidel řízení zařízení.
V podokně Přidat řádek zadejte následující nastavení:
- Do pole Název zadejte
Allow Read Activity
. - Do pole OMA-URI zadejte
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
. (Pomocí příkazuNew-Guid
PowerShellu můžete vygenerovat nový identifikátor GUID a nahradit[PolicyRule Id]
.) - V poli Datový typ vyberte Řetězec (soubor XML) a použijte Vlastní XML.
Pomocí parametrů můžete nastavit podmínky pro konkrétní položky. Tady je ukázkový soubor XML skupiny pro možnost Povolit přístup ke čtení pro každé vyměnitelné úložiště.
Poznámka
Komentáře používající zápis <!-- COMMENT -->
komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.
Vytváření skupin pomocí OMA-URI
Při vytváření skupin s OMA-URI v Intune vytvořte jeden soubor XML pro každou skupinu. Osvědčeným postupem je definovat skupiny pomocí opakovaně použitelných nastavení.
V podokně Přidat řádek zadejte následující nastavení:
- Do pole Název zadejte
Any Removable Storage Group
. - Do pole OMA-URI zadejte
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
. (Id skupiny získáte tak, že v Centru pro správu Intune přejdete na Skupiny a pak vyberete Kopírovat ID objektu. Nebo můžete pomocí příkazuNew-Guid
PowerShellu vygenerovat nový identifikátor GUID a nahradit[GroupId]
.) - V poli Datový typ vyberte Řetězec (soubor XML) a použijte Vlastní XML.
Poznámka
Komentáře používající zápis <!-- COMMENT -- >
komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.
Konfigurace vyměnitelného řízení přístupu k úložišti pomocí OMA-URI
Přejděte do Centra pro správu Microsoft Intune a přihlaste se.
ZvolteProfily konfiguracezařízení>. Zobrazí se stránka Konfigurační profily .
Na kartě Zásady (vybraná ve výchozím nastavení) vyberte + Vytvořit a v rozevíracím seznamu, který se zobrazí, zvolte + Nová zásada . Zobrazí se stránka Vytvořit profil .
V seznamu Platforma vyberte v rozevíracím seznamu PlatformaWindows 10, Windows 11 a Windows Server a v rozevíracím seznamu Typ profilu zvolte Šablony.
Jakmile v rozevíracím seznamu Typ profilu zvolíte Šablony, zobrazí se podokno Název šablony spolu s vyhledávacím polem (pro vyhledání názvu profilu).
V podokně Název šablony vyberte Vlastní a vyberte Vytvořit.
Vytvořte řádek pro každé nastavení, skupinu nebo zásady implementací kroků 1 až 5.
Zobrazení skupin ovládacích prvků zařízení (opakovaně použitelná nastavení)
V Intune se skupiny ovládacích prvků zařízení zobrazují jako opakovaně použitelná nastavení.
Přejděte do Centra pro správu Microsoft Intune a přihlaste se.
Přejděte naOmezení potenciální oblasti útoku zabezpečení >koncového bodu.
Vyberte kartu Opakovaně použitelné nastavení .