Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met behulp van groepsbeleid

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven

Als u groepsbeleid gebruikt om Defender for Endpoint-instellingen te beheren, kunt u deze gebruiken om apparaatbeheer te implementeren en te beheren.

Toegangsbeheer voor verwisselbare opslag in- of uitschakelen

1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer.

2. Selecteer In het venster Apparaatbeheerde optie Ingeschakeld.

Opmerking

Als u deze groepsbeleid Objecten niet ziet, moet u de groepsbeleid Beheersjablonen (ADMX) toevoegen. U kunt de beheersjabloon (WindowsDefender.adml en WindowsDefender.admx) downloaden van mdatp-devicecontrol/Windows-voorbeelden in GitHub.

Standaard afdwinging instellen

U kunt standaardtoegang instellen, zoals Deny of Allow voor alle functies voor apparaatbeheer, waaronder RemovableMediaDevices, CdRomDevices, WpdDevicesen PrinterDevices.

U kunt bijvoorbeeld een Deny of een Allow beleid hebben voor RemovableMediaDevices, maar niet voor CdRomDevices of WpdDevices. Als u dit beleid instelt Default Deny , wordt de toegang lezen/schrijven/uitvoeren tot CdRomDevices of WpdDevices geblokkeerd. Als u alleen opslag wilt beheren, moet u beleid voor printers maken Allow . Anders wordt standaard afdwinging (Weigeren) ook toegepast op printers.

1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer>Selecteer Standaard afdwingingsbeleid voor apparaatbeheer.

2. Selecteer in het venster Apparaatbeheer standaard afdwingingsbeleid selecteren de optie Standaard weigeren.

Apparaattypen configureren

Voer de volgende stappen uit om de apparaattypen te configureren waarop een apparaatbeheerbeleid wordt toegepast:

1. Ga op een computer met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Apparaatbeheer inschakelen voor specifieke apparaattypen.

2. Geef in het venster Apparaatbeheer voor specifieke typen inschakelen de productfamilie-id's op, gescheiden door een pijp (|). Deze instelling moet één tekenreeks zonder spaties zijn, anders wordt deze onjuist geparseerd door de apparaatbesturingsengine, waardoor onverwacht gedrag wordt veroorzaakt. Productfamilie-id's zijn , RemovableMediaDevicesCdRomDevices, WpdDevicesof PrinterDevices.

Groepen definiëren

1. Maak één XML-bestand voor elke verwisselbare opslaggroep.

2. Gebruik de eigenschappen in uw verwisselbare opslaggroep om een XML-bestand te maken voor elke verwisselbare opslaggroep.

   Zorg ervoor dat het hoofdknooppunt van de XML PolicyGroups is, bijvoorbeeld de volgende XML:

    <PolicyGroups>
        <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">
   
        </Group>
    </PolicyGroups>
   

3. Sla het XML-bestand op in uw netwerkshare.

4. Definieer de instellingen als volgt:

   1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsgroepen voor apparaatbeheer definiëren.

   2. Geef in het venster Gedefinieerde beleidsgroepen voor apparaatbeheer het bestandspad voor de netwerkshare op met de XML-groepsgegevens.

U kunt verschillende groepstypen maken. Hier is een voorbeeld van een GROEP XML-bestand voor een verwisselbare opslag en cd-rom, draagbare Windows-apparaten en goedgekeurde USBs-groep: XML-bestand

Opmerking

Opmerkingen met xml-opmerkingnotatie <!--COMMENT--> kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich in de eerste XML-tag bevinden, niet de frontlijn van het XML-bestand.

Beleid definiëren

1. Maak één XML-bestand voor toegangsbeleidsregel.

2. Gebruik de eigenschappen in beleidsregels voor toegang tot verwisselbare opslag om een XML te maken voor de regel voor toegang tot verwisselbare opslag van elke groep.

   Zorg ervoor dat het hoofdknooppunt van de XML PolicyRules is, bijvoorbeeld de volgende XML:

   <PolicyRules>
     <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
         ...
      </PolicyRule> 
   </PolicyRules>
   

3. Sla het XML-bestand op in de netwerkshare.

4. Definieer de instellingen als volgt:

   1. Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsregels voor apparaatbeheer definiëren.

   2. Selecteer in het venster Beleidsregels voor apparaatbeheer definiërende optie Ingeschakeld en geef vervolgens het bestandspad voor de netwerkshare op dat de XML-regels bevat.

XML-bestanden valideren

Mpcmdrun ingebouwde functionaliteit voor het valideren van XML-bestanden die worden gebruikt voor GPO-implementaties. Met deze functie kunnen klanten syntaxisfouten detecteren die de DC-engine kan tegenkomen tijdens het parseren van de instellingen. Om deze validatie uit te voeren, moeten beheerders het volgende PowerShell-script kopiëren en het juiste bestandspad opgeven voor hun XML-bestanden met de regels en groepen voor apparaatbeheer.

#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"

#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"

#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation

#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules

#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups

Als er geen fouten zijn, wordt de volgende uitvoer afgedrukt in de PowerShell-console:

DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no

Opmerking

Gebruik Eindpunt-DLP om bewijs vast te leggen van bestanden die worden gekopieerd of afgedrukt.

Opmerkingen met xml-opmerkingnotatie <!-- COMMENT --> kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich in de eerste XML-tag bevinden, niet de frontlijn van het XML-bestand.

Zie ook

• Apparaatbeheer in Defender voor Eindpunt
• Beleid voor apparaatbeheer in en instellingen
• Apparaatbeheer voor macOS