Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met behulp van groepsbeleid
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
Als u groepsbeleid gebruikt om Defender for Endpoint-instellingen te beheren, kunt u deze gebruiken om apparaatbeheer te implementeren en te beheren.
Toegangsbeheer voor verwisselbare opslag in- of uitschakelen
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer.
Selecteer In het venster Apparaatbeheerde optie Ingeschakeld.
Opmerking
Als u deze groepsbeleid Objecten niet ziet, moet u de groepsbeleid Beheersjablonen (ADMX) toevoegen. U kunt de beheersjabloon (WindowsDefender.adml en WindowsDefender.admx) downloaden van mdatp-devicecontrol/Windows-voorbeelden in GitHub.
Standaard afdwinging instellen
U kunt standaardtoegang instellen, zoals of Deny
Allow
voor alle functies voor apparaatbeheer, zoals RemovableMediaDevices
, CdRomDevices
, WpdDevices
en PrinterDevices
.
U kunt bijvoorbeeld een Deny
of een Allow
beleid hebben voor RemovableMediaDevices
, maar niet voor CdRomDevices
of WpdDevices
. Als u dit beleid instelt Default Deny
, wordt de toegang lezen/schrijven/uitvoeren tot CdRomDevices
of WpdDevices
geblokkeerd. Als u alleen opslag wilt beheren, moet u beleid voor printers maken Allow
. Anders wordt standaard afdwinging (Weigeren) ook toegepast op printers.
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusfuncties>>Apparaatbeheer>Selecteer Standaard afdwingingsbeleid voor apparaatbeheer.
Selecteer in het venster Apparaatbeheer standaard afdwingingsbeleid selecteren de optie Standaard weigeren.
Apparaattypen configureren
Voer de volgende stappen uit om de apparaattypen te configureren waarop een apparaatbeheerbeleid wordt toegepast:
Ga op een computer met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Apparaatbeheer inschakelen voor specifieke apparaattypen.
Geef in het venster Apparaatbeheer voor specifieke typen inschakelen de productfamilie-id's op, gescheiden door een pijp (
|
). Productfamilie-id's zijn ,RemovableMediaDevices
CdRomDevices
,WpdDevices
ofPrinterDevices
.
Groepen definiëren
Maak één XML-bestand voor elke verwisselbare opslaggroep.
Gebruik de eigenschappen in uw verwisselbare opslaggroep om een XML-bestand te maken voor elke verwisselbare opslaggroep.
Sla elk XML-bestand op in uw netwerkshare.
Definieer de instellingen als volgt:
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsgroepen voor apparaatbeheer definiëren.
Geef in het venster Beleidsgroepen voor apparaatbeheer definiëren het bestandspad voor de netwerkshare op met de XML-groepsgegevens.
U kunt verschillende groepstypen maken. Hier is een voorbeeld van een GROEP XML-bestand voor een verwisselbare opslag en cd-rom, draagbare Windows-apparaten en goedgekeurde USBs-groep: XML-bestand
Opmerking
Opmerkingen met xml-opmerkingnotatie <!--COMMENT-->
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.
Beleid definiëren
Maak één XML-bestand voor toegangsbeleidsregel.
Gebruik de eigenschappen in beleidsregels voor toegang tot verwisselbare opslag om een XML te maken voor de regel voor toegang tot verwisselbare opslag van elke groep.
Sla het XML-bestand op in de netwerkshare.
Definieer de instellingen als volgt:
Ga op een apparaat met Windows naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft DefenderAntivirusapparaatbeheer>>Beleidsregels voor apparaatbeheer definiëren.
Selecteer in het venster Beleidsregels voor apparaatbeheer definiërende optie Ingeschakeld en geef vervolgens het bestandspad voor de netwerkshare op dat de XML-regels bevat.
Opmerking
Gebruik Eindpunt-DLP om bewijs vast te leggen van bestanden die worden gekopieerd of afgedrukt.
Opmerking
Opmerkingen met xml-opmerkingnotatie <!-- COMMENT -->
kunnen worden gebruikt in de XML-bestanden Regel en Groep, maar ze moeten zich binnen de eerste XML-tag bevinden, niet de eerste regel van het XML-bestand.