Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpointissa Microsoft Intunen avulla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Jos käytät Intunea Defender for Endpoint -asetusten hallintaan, voit käyttää sitä laitteen hallintaominaisuuksien käyttöönottoon ja hallintaan. Laitteen ohjausobjektin eri ominaisuuksia hallitaan Intunessa eri tavalla seuraavissa osioissa kuvatulla tavalla.
Laitteen ohjausobjektin määrittäminen ja hallinta Intunessa
Siirry Intune-hallintakeskukseen ja kirjaudu sisään.
Siirry kohtaan Päätepisteen suojaus>Hyökkäysalueen pienentäminen.
Valitse Hyökkäyspinnan pienentämiskäytännöt -kohdassa aiemmin luotu käytäntö tai valitse + Luo käytäntö , jos haluat määrittää uuden käytännön, käyttämällä seuraavia asetuksia:
- Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server. (Laiteohjausobjektia ei tällä hetkellä tueta Windows Serverissä, vaikka valitset tämän profiilin laitteen hallintakäytäntöjä varten.)
- Valitse Profiili-luettelostaLaiteohjausobjekti.
Määritä Perustiedot-välilehdessä käytännöllesi nimi ja kuvaus.
Näet Määritysasetukset-välilehdessä luettelon asetuksista. Sinun ei tarvitse määrittää kaikkia näitä asetuksia kerralla. Harkitse aloittamista Device Control -toiminnolla.
- Hallintamallit-kohdassa on laitteen asennus- ja siirrettävän tallennustilan käyttöasetukset.
- Lisätietoja on Kohdassa Defenderkohdassa Salli siirrettävän aseman tarkistuksen täydet skannausasetukset .
- Kohdassa Tietojen suojaus katso Kohta Salli suoran muistin käytön asetukset.
- Katso DMA Guard -kohdassa Laitteen luettelointikäytännön asetukset.
- Katso Tallennustilan kohdassa Siirrettävän levyn kirjoitusoikeuden estäminen -asetukset.
- Kohdassa Yhteydet, katso Salli USB-yhteys** ja Salli Bluetooth-asetukset .
- Bluetooth-kohdassa on luettelo bluetooth-yhteyksiin ja -palveluihin liittyvistä asetuksista. Lisätietoja on artikkelissa Käytäntöjen CSP - Bluetooth.
- Laiteohjausobjekti-kohdassa voit määrittää mukautettuja käytäntöjä uudelleenkäytettävissä olevissa asetuksissa. Lisätietoja on kohdassa Laiteohjausobjektin yleiskatsaus: Säännöt.
- Kohdassa Järjestelmä, katso Salli tallennuskortin asetukset.
Kun olet määrittänyt asetuksesi, siirry Käyttöaluetunnisteet-välilehteen , jossa voit määrittää käytännön käyttöaluetunnisteet .
Määritä Määritykset-välilehdessä niiden käyttäjien tai laitteiden ryhmät, joille käytäntösi lähetetään. Lisätietoja on artikkelissa Käytäntöjen määrittäminen Intunessa.
Tarkista asetukset Tarkista + luo -välilehdessä ja tee tarvittavat muutokset.
Kun olet valmis, luo laitteen hallintakäytäntö valitsemalla Luo .
Laitteen ohjausobjektiprofiilit
Intunessa kukin rivi edustaa laitteen ohjausobjektikäytäntöä. Sisällytetty tunnus on uudelleenkäytettävä asetus, jota käytäntö koskee. Pois jätetty tunnus on uudelleenkäytettävä asetus, joka on jätetty pois käytännöstä. Käytännön merkintä sisältää sallitut käyttöoikeudet ja laitteen ohjausobjektin toiminnan, joka tulee voimaan, kun käytäntöä sovelletaan.
Lisätietoja kunkin laitteen ohjausobjektin riviin sisältyvien uudelleenkäytettävien asetusryhmien lisäämisestä on kohdassa Uudelleenkäytettävien ryhmien lisääminen laitteen ohjausobjektin profiiliin kohdassa Uudelleenkäytettävien asetusryhmien käyttäminen Intune-käytäntöjen kanssa.
Käytäntöjä voidaan lisätä ja poistaa käyttämällä ja +– -kuvakkeita. Käytännön nimi näkyy käyttäjille varoituksessa sekä kehittyneessä metsästyksessä ja raporteissa.
Voit lisätä valvontakäytäntöjä ja lisätä Salli/Estä-käytäntöjä. On suositeltavaa lisätä aina Salli ja/tai Kiellä -käytäntö valvontakäytäntöä lisättäessä, jotta et saa odottamattomia tuloksia.
Tärkeää
Jos määrität vain valvontakäytäntöjä, käyttöoikeudet periytyvät oletusarvon mukaisesta pakotusasetuksesta.
Huomautus
- Järjestys, jossa käytännöt luetellaan käyttöliittymässä, ei säilytetä käytännön täytäntöönpanoa varten. Paras käytäntö on käyttää Salli/Estä-käytäntöjä. Varmista, että Salli/ Estä käytännöt -asetus ei leikkaa toisiinsa lisäämällä laitteita eksplisiittisesti suljettamatta. Kun käytät Intunen graafista käyttöliittymää, et voi muuttaa oletusarvoista pakottamista. Jos muutat oletusarvon mukaiseksi pakotukseksi
Deny
ja luot käytännön, jokaAllow
otetaan käyttöön tietyissä laitteissaAllow
, kaikki laitteet on estetty lukuun ottamatta laitteita, jotka on määritetty käytännössä.
Asetusten määrittäminen OMA-URI:n avulla
Tärkeää
Intunen OMA-URI:n käyttäminen laitteen ohjausobjektin määrittämiseen edellyttää, että Intune hallitsee Laitteen määritys - kuormitusta, jos laitetta hallitaan yhdessä Configuration Managerin kanssa. Lisätietoja on artikkelissa Configuration Manager -kuormitusten vaihtaminen Intuneen.
Määritä seuraavassa taulukossa asetus, jonka haluat määrittää, ja käytä sitten OMA-URI-tunnuksen tietoja ja tietotyyppiä & arvosarakkeita. Asetukset on lueteltu aakkosjärjestyksessä.
Asetus | OMA-URI, tietotyyppi, & arvot |
---|---|
Laitteen hallinnan oletusvalvonta Oletusarvoinen pakottaminen määrittää, mitä päätöksiä tehdään laitteen valvonnan käyttöoikeustarkistusten aikana, kun mikään käytäntösäännöistä ei vastaa |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Kokonaisluku: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
Laitetyypit Laitetyypit, jotka tunnistetaan niiden ensisijaisten tunnuksien perusteella, laitteen ohjausobjektin suojaus käytössä |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Merkkijono: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
Ota laitteen ohjausobjekti käyttöön Laitteen ohjausobjektin ottaminen käyttöön tai poistaminen käytöstä laitteessa |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Kokonaisluku: - Poista käytöstä = 0 - Ota käyttöön = 1 |
Käytäntöjen luominen OMA-URI:n avulla
Kun luot oma-URI-käytäntöjä Intunessa, luo yksi XML-tiedosto kullekin käytännölle. Parhaana käytäntönä voit luoda mukautettuja käytäntöjä laitteen hallintaprofiilin tai laiteohjaussääntöjen profiilin avulla.
Määritä Lisää rivi -ruudussa seuraavat asetukset:
- Kirjoita Nimi-kenttään
Allow Read Activity
. - Kirjoita OMA-URI-kenttään
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
. (Voit käyttää PowerShell-komentoaNew-Guid
uuden GUID-tunnuksen luomiseen ja korvata[PolicyRule Id]
sen .) - Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.
Parametrien avulla voit määrittää ehtoja tietyille merkinnöille. Tässä on ryhmäesimerkki XML-tiedosto Salli lukuoikeus jokaiselle siirrettävälle tallennusvälineelle.
Huomautus
XML-kommenttimerkintää <!-- COMMENT -->
käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.
Ryhmien luominen OMA-URI:n avulla
Kun luot ryhmiä OMA-URI:n avulla Intunessa, luo yksi XML-tiedosto kullekin ryhmälle. Paras käytäntö on määrittää ryhmät uudelleenkäytettävissä olevien asetusten avulla.
Määritä Lisää rivi -ruudussa seuraavat asetukset:
- Kirjoita Nimi-kenttään
Any Removable Storage Group
. - Kirjoita OMA-URI-kenttään
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
. (Jos haluat saada GroupID:n, siirry Intune-hallintakeskuksessa kohtaan Ryhmät ja valitse sitten Kopioi objektitunnus. Voit myös käyttää PowerShell-komentoaNew-Guid
luodaksesi uuden GUID-tunnuksen ja korvataksesi[GroupId]
.) - Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.
Huomautus
XML-kommenttimerkintää <!-- COMMENT -- >
käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.
Siirrettävän tallennustilan käytön valvonnan määrittäminen OMA-URI:n avulla
Siirry Microsoft Intune -hallintakeskukseen ja kirjaudu sisään.
Valitse Laitteiden>määritysprofiilit. Näkyviin tulee Määritysprofiilit-sivu.
Valitse Käytännöt-välilehdeltä (oletusarvoisesti valittuna) + Luo ja valitse + Uusi käytäntö avautuvasta avattavasta valikosta. Näyttöön avautuu Luo profiili -sivu.
Valitse käyttöympäristöluettelonavattavasta luettelosta Windows 10, Windows 11 ja Windows Server ja valitse avattavasta Profiilityyppi-luettelostaMallit.
Kun valitset Mallit avattavasta Profiilityyppi-luettelosta , näkyviin tulee Mallin nimi -ruutu sekä hakuruutu (hae profiilin nimeä).
Valitse Mallin nimi -ruudusta Mukautettu ja valitse Luo.
Luo rivi kullekin asetukselle, ryhmälle tai käytännölle suorittamalla vaiheet 1–5.
Näytä laitteen ohjausryhmät (uudelleenkäytettävät asetukset)
Intunessa laitteen ohjausryhmät näkyvät uudelleenkäytettävissä olevissa asetuksissa.
Siirry Microsoft Intune -hallintakeskukseen ja kirjaudu sisään.
Siirry kohtaan Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen.
Valitse Uudelleenkäytettävät asetukset - välilehti.