Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mit Microsoft Intune
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
Wenn Sie Intune verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit Gerätesteuerungsfunktionen bereitstellen und verwalten. Verschiedene Aspekte der Gerätesteuerung werden in Intune unterschiedlich verwaltet, wie in den folgenden Abschnitten beschrieben.
Konfigurieren und Verwalten der Gerätesteuerung in Intune
Wechseln Sie zum Intune Admin Center, und melden Sie sich an.
Wechseln Sie zu Endpunktsicherheit>Verringerung der Angriffsfläche.
Wählen Sie unter Richtlinien zur Verringerung der Angriffsfläche entweder eine vorhandene Richtlinie aus, oder wählen Sie + Richtlinie erstellen aus, um eine neue Richtlinie einzurichten, indem Sie die folgenden Einstellungen verwenden:
- Wählen Sie in der Liste PlattformWindows 10, Windows 11 und Windows Server aus. (Die Gerätesteuerung wird derzeit auf Windows Server nicht unterstützt, obwohl Sie dieses Profil für Gerätesteuerungsrichtlinien auswählen.)
- Wählen Sie in der Liste Profildie Option Gerätesteuerung aus.
Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für Ihre Richtlinie an.
Auf der Registerkarte Konfigurationseinstellungen wird eine Liste der Einstellungen angezeigt. Sie müssen nicht alle diese Einstellungen gleichzeitig konfigurieren. Erwägen Sie, mit der Gerätesteuerung zu beginnen.
- Unter Administrative Vorlagen verfügen Sie über die Einstellungen Geräteinstallation und Wechselmedienzugriff .
- Weitere Informationen finden Sie unter Defender unter Zulassen der Einstellungen für die Vollständige Überprüfung von Wechseldatenträgern .
- Lesen Sie unter Datenschutz die Informationen unter Einstellungen für direkten Speicherzugriff zulassen .
- Weitere Informationen finden Sie unter Dma Guard unter Einstellungen für Geräteenumerationsrichtlinien .
- Weitere Informationen finden Sie unter Speicher unter Einstellungen für Den Schreibzugriff auf Wechseldatenträger .
- Lesen Sie unter Konnektivität die Informationen unter USB-Verbindung zulassen** und Bluetooth-Einstellungen zulassen .
- Sehen Sie sich unter Bluetooth eine Liste der Einstellungen für Bluetooth-Verbindungen und -Dienste an. Weitere Informationen finden Sie unter Richtlinien-CSP – Bluetooth.
- Unter Gerätesteuerung können Sie benutzerdefinierte Richtlinien mit wiederverwendbaren Einstellungen konfigurieren. Weitere Informationen finden Sie unter Übersicht über Gerätesteuerelemente: Regeln.
- Weitere Informationen finden Sie unter System unter Zulassen der Einstellungen für Die Speicherkarte .
Nachdem Sie Ihre Einstellungen konfiguriert haben, fahren Sie mit der Registerkarte Bereichstags fort, auf der Sie Bereichstags für die Richtlinie angeben können.
Geben Sie auf der Registerkarte Zuweisungen Gruppen von Benutzern oder Geräten an, die Ihre Richtlinie erhalten sollen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien in Intune.
Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen, und nehmen Sie alle erforderlichen Änderungen vor.
Wenn Sie bereit sind, wählen Sie Erstellen aus, um Ihre Gerätesteuerungsrichtlinie zu erstellen.
Gerätesteuerungsprofile
In Intune stellt jede Zeile eine Gerätesteuerungsrichtlinie dar. Die enthaltene ID ist die wiederverwendbare Einstellung, für die die Richtlinie gilt. Die ausgeschlossene ID ist die wiederverwendbare Einstellung, die von der Richtlinie ausgeschlossen wird. Der Eintrag für die Richtlinie enthält die zulässigen Berechtigungen und das Verhalten für die Gerätesteuerung, das in Kraft tritt, wenn die Richtlinie angewendet wird.
Informationen zum Hinzufügen der wiederverwendbaren Einstellungsgruppen, die in der Zeile jeder Gerätesteuerungsrichtlinie enthalten sind, finden Sie im Abschnitt Hinzufügen wiederverwendbarer Gruppen zu einem Gerätesteuerungsprofil unter Verwenden wiederverwendbarer Einstellungsgruppen mit Intune Richtlinien.
Richtlinien können mithilfe der + Symbole und – hinzugefügt und entfernt werden. Der Name der Richtlinie wird in der Warnung für Benutzer sowie in erweiterten Huntings und Berichten angezeigt.
Sie können Überwachungsrichtlinien und Richtlinien zum Zulassen/Verweigern hinzufügen. Es wird empfohlen, beim Hinzufügen einer Überwachungsrichtlinie immer eine Richtlinie zulassen und/oder verweigern hinzuzufügen, damit keine unerwarteten Ergebnisse auftreten.
Wichtig
Wenn Sie nur Überwachungsrichtlinien konfigurieren, werden die Berechtigungen von der Standardeinstellung für die Erzwingung geerbt.
Hinweis
- Die Reihenfolge, in der die Richtlinien auf der Benutzeroberfläche aufgeführt sind, wird für die Richtlinienerzwingung nicht beibehalten. Die bewährte Methode besteht darin, Richtlinien zum Zulassen/Verweigern zu verwenden. Stellen Sie sicher, dass sich die Option Richtlinien zulassen/verweigern nicht überschneiden, indem Sie explizit auszuschließende Geräte hinzufügen. Mithilfe der grafischen Benutzeroberfläche von Intune können Sie die Standarderzwingung nicht ändern. Wenn Sie die Standarderzwingung in
Deny
ändern und eineAllow
Richtlinie erstellen, um bestimmte Geräte anzuwenden, werden alle Geräte mit Ausnahme aller Geräte blockiert, die in derAllow
Richtlinie festgelegt sind.
Definieren von Einstellungen mit OMA-URI
Wichtig
Die Verwendung Intune OMA-URI zum Konfigurieren der Gerätesteuerung erfordert, dass die Workload Device Configuration von Intune verwaltet wird, wenn das Gerät gemeinsam mit Configuration Manager verwaltet wird. Weitere Informationen finden Sie unter Wechseln von Configuration Manager Workloads zu Intune.
Identifizieren Sie in der folgenden Tabelle die Einstellung, die Sie konfigurieren möchten, und verwenden Sie dann die Informationen im OMA-URI und datentyp & Wertespalten. Die Einstellungen werden in alphabetischer Reihenfolge aufgeführt.
Einstellung | OMA-URI, Datentyp, & Werte |
---|---|
Standarderzwingung der Gerätesteuerung Die Standarderzwingung legt fest, welche Entscheidungen bei Zugriffsprüfungen der Gerätesteuerung getroffen werden, wenn keine der Richtlinienregeln übereinstimmt |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Ganze Zahl: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Gerätetypen Gerätetypen, die durch ihre primären IDs identifiziert werden und der Gerätesteuerungsschutz aktiviert ist. Sie müssen die Produktfamilien-IDs angeben, die durch eine Pipe getrennt sind. Wenn Sie mehrere Gerätetypen auswählen, müssen Sie sicherstellen, dass die Zeichenfolge nur ein Wort ohne Leerzeichen ist. Eine Konfiguration, die dieser Syntax nicht folgt, führt zu unerwartetem Verhalten. |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Schnur: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Aktivieren der Gerätesteuerung Aktivieren oder Deaktivieren der Gerätesteuerung auf dem Gerät |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Ganze Zahl: - Disable = 0 – Aktivieren = 1 |
Erstellen von Richtlinien mit OMA-URI
Wenn Sie Richtlinien mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Richtlinie. Verwenden Sie als bewährte Methode das Gerätesteuerungsprofil oder das Gerätesteuerungsregelprofil, um benutzerdefinierte Richtlinien zu erstellen.
Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
- Geben Sie im Feld Name den Namen ein
Allow Read Activity
. - Geben Sie im Feld OMA-URI ein
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
. (Sie können den PowerShell-BefehlNew-Guid
verwenden, um eine neue GUID zu generieren und zu ersetzen[PolicyRule Id]
.) - Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.
Sie können Parameter verwenden, um Bedingungen für bestimmte Einträge festzulegen. Hier sehen Sie eine GRUPPENbeispiel-XML-Datei für Lesezugriff für jeden Wechselspeicher zulassen.
Hinweis
Kommentare mit XML-Kommentarnotation <!-- COMMENT -->
können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.
Erstellen von Gruppen mit OMA-URI
Wenn Sie Gruppen mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Gruppe. Als bewährte Methode sollten Sie wiederverwendbare Einstellungen verwenden, um Gruppen zu definieren.
Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
- Geben Sie im Feld Name den Namen ein
Any Removable Storage Group
. - Geben Sie im Feld OMA-URI ein
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
. (Um Ihre GroupID abzurufen, wechseln Sie im Intune Admin Center zu Gruppen, und wählen Sie dann Objekt-ID kopieren aus. Alternativ können Sie den PowerShell-BefehlNew-Guid
verwenden, um eine neue GUID zu generieren und zu ersetzen[GroupId]
. - Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.
Hinweis
Kommentare mit XML-Kommentarnotation <!-- COMMENT -- >
können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.
Konfigurieren der Zugriffssteuerung für Wechselspeicher mit OMA-URI
Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.
Wählen SieGeräteKonfigurationsprofile> aus. Die Seite Konfigurationsprofile wird angezeigt.
Wählen Sie auf der Registerkarte Richtlinien (standardmäßig ausgewählt) die Option + Erstellen und dann in der angezeigten Dropdownliste + Neue Richtlinie aus. Die Seite Profil erstellen wird angezeigt.
Wählen Sie in der Liste Plattformdie Option Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform aus, und wählen Sie in der Dropdownliste Profiltyp die Option Vorlagen aus.
Nachdem Sie vorlagen aus der Dropdownliste Profiltyp ausgewählt haben, wird der Bereich Vorlagenname zusammen mit einem Suchfeld (zum Durchsuchen des Profilnamens) angezeigt.
Wählen Sie im Bereich Vorlagenname die Option Benutzerdefiniert und dann Erstellen aus.
Erstellen Sie eine Zeile für jede Einstellung, Gruppe oder Richtlinie, indem Sie die Schritte 1 bis 5 implementieren.
Anzeigen von Gerätesteuerungsgruppen (wiederverwendbare Einstellungen)
In Intune werden Gerätesteuerungsgruppen als wiederverwendbare Einstellungen angezeigt.
Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.
Wechseln Sie zu Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche fürEndpunktsicherheit>).
Wählen Sie die Registerkarte Wiederverwendbare Einstellungen aus.