Wdrażanie kontroli urządzeń i zarządzanie nią w usłudze Microsoft Defender for Endpoint za pomocą usługi Microsoft Intune

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Jeśli używasz usługi Intune do zarządzania ustawieniami usługi Defender for Endpoint, możesz użyć jej do wdrażania możliwości sterowania urządzeniami i zarządzania nimi. Różne aspekty sterowania urządzeniami są zarządzane inaczej w usłudze Intune, zgodnie z opisem w poniższych sekcjach.

Konfigurowanie kontroli urządzenia i zarządzanie nią w usłudze Intune

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Przejdź do obszaruZmniejszanie obszaru ataków zabezpieczeń >punktu końcowego.

3. W obszarze Zasady zmniejszania obszaru ataków wybierz istniejące zasady lub wybierz pozycję + Utwórz zasady , aby skonfigurować nowe zasady, używając następujących ustawień:

   • Na liście Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server. (Kontrola urządzenia nie jest obecnie obsługiwana w systemie Windows Server, mimo że ten profil jest wybierany dla zasad kontroli urządzeń).
   • Na liście Profil wybierz pozycję Kontrola urządzenia.

4. Na karcie Podstawy określ nazwę i opis zasad.

5. Na karcie Ustawienia konfiguracji zostanie wyświetlona lista ustawień. Nie musisz konfigurować wszystkich tych ustawień jednocześnie. Rozważ rozpoczęcie pracy z kontrolką urządzenia.

   

   • W obszarze Szablony administracyjne masz ustawienia Instalacji urządzenia i Dostępu do magazynu wymiennego .
   • W obszarze Defender zobacz Allow Full Scan Removable Drive Scan settings (Zezwalaj na pełne skanowanie ustawień skanowania dysków wymiennych ).
   • W obszarze Ochrona danych zobacz Zezwalaj na bezpośrednie ustawienia dostępu do pamięci .
   • W obszarze Dma Guard zobacz Ustawienia zasad wyliczenia urządzenia .
   • W obszarze Magazyn zobacz Ustawienia odmowy dostępu do zapisu na dysku wymiennym .
   • W obszarze Łączność zobacz Zezwalaj na połączenie USB** i Zezwalaj na ustawienia bluetooth .
   • W obszarze Bluetooth zobacz listę ustawień dotyczących połączeń i usług Bluetooth. Aby uzyskać więcej informacji, zobacz Dostawca usług konfiguracji zasad — Bluetooth.
   • W obszarze Kontrola urządzenia można skonfigurować zasady niestandardowe z ustawieniami wielokrotnego użytku. Aby uzyskać więcej informacji, zobacz Omówienie kontroli urządzeń: reguły.
   • W obszarze System zobacz Zezwalaj na ustawienia karty magazynu .

6. Po skonfigurowaniu ustawień przejdź do karty Tagi zakresu , na której można określić tagi zakresu dla zasad.

7. Na karcie Przypisania określ grupy użytkowników lub urządzeń do odbierania zasad. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad w usłudze Intune.

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia i wprowadź wszelkie wymagane zmiany.

9. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz , aby utworzyć zasady kontroli urządzenia.

Profile sterowania urządzeniami

W usłudze Intune każdy wiersz reprezentuje zasady sterowania urządzeniami. Dołączony identyfikator to ustawienie wielokrotnego użytku, do których mają zastosowanie zasady. Wykluczony identyfikator to ustawienie wielokrotnego użytku wykluczone z zasad. Wpis zasad zawiera dozwolone uprawnienia i zachowanie kontroli urządzenia, które wchodzi w życie, gdy zasady mają zastosowanie.

Aby uzyskać informacje na temat dodawania grup ustawień wielokrotnego użytku uwzględnionych w wierszu poszczególnych zasad sterowania urządzeniami, zobacz sekcję Dodawanie grup wielokrotnego użytku do profilu kontroli urządzeń w sekcji Używanie grup ustawień wielokrotnego użytku z zasadami usługi Intune.

Zasady można dodawać i usuwać przy użyciu + ikon i — . Nazwa zasad jest wyświetlana w ostrzeżeniu dla użytkowników oraz w zaawansowanych wyszukiwaniach zagrożeń i raportach.

Możesz dodać zasady inspekcji i dodać zasady zezwalania/odrzucania. Zaleca się zawsze dodawanie zasad Zezwalaj i/lub Odmów podczas dodawania zasad inspekcji, aby nie były wyświetlane nieoczekiwane wyniki.

Ważna

Jeśli konfigurujesz tylko zasady inspekcji, uprawnienia są dziedziczone z domyślnego ustawienia wymuszania.

Uwaga

• Kolejność, w której zasady są wymienione w interfejsie użytkownika, nie jest zachowywana na potrzeby wymuszania zasad. Najlepszym rozwiązaniem jest użycie zasad zezwalania/odrzucania. Upewnij się, że opcja Zasady zezwalania/odmowy nie przecina się, jawnie dodając urządzenia do wykluczenia. Korzystając z interfejsu graficznego usługi Intune, nie można zmienić domyślnego wymuszania. Jeśli zmienisz domyślne wymuszanie na Denyi utworzysz Allow zasady do zastosowania dla określonych urządzeń, wszystkie urządzenia zostaną zablokowane z wyjątkiem urządzeń ustawionych w zasadach Allow .

Definiowanie ustawień za pomocą identyfikatora OMA-URI

Ważna

Konfigurowanie kontroli urządzenia przy użyciu identyfikatora OMA-URI usługi Intune wymaga, aby obciążenie konfiguracji urządzenia było zarządzane przez usługę Intune, jeśli urządzenie jest współzarządzane za pomocą programu Configuration Manager. Aby uzyskać więcej informacji, zobacz Jak przełączyć obciążenia programu Configuration Manager do usługi Intune.

W poniższej tabeli zidentyfikuj ustawienie, które chcesz skonfigurować, a następnie użyj informacji w kolumnach OMA-URI i typu danych & wartości. Ustawienia są wyświetlane w kolejności alfabetycznej.

Ustawienie	OMA-URI, typ danych, wartości &
Domyślne wymuszanie kontroli urządzenia Domyślne wymuszanie określa, jakie decyzje są podejmowane podczas kontroli dostępu urządzeń, gdy żadna z reguł zasad nie jest zgodna	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Liczba całkowita: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
Typy urządzeń Typy urządzeń identyfikowane przez ich podstawowe identyfikatory z włączoną ochroną sterowania urządzeniami	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Struna: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
Włączanie kontroli urządzenia Włączanie lub wyłączanie kontroli urządzenia na urządzeniu	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Liczba całkowita: - Wyłącz = 0 - Włącz = 1

Tworzenie zasad przy użyciu identyfikatora OMA-URI

Podczas tworzenia zasad przy użyciu identyfikatora OMA-URI w usłudze Intune utwórz jeden plik XML dla każdej zasady. Najlepszym rozwiązaniem jest użycie profilu kontroli urządzenia lub profilu reguł sterowania urządzeniami w celu utworzenia zasad niestandardowych.

W okienku Dodawanie wiersza określ następujące ustawienia:

• W polu Nazwa wpisz Allow Read Activity.
• W polu OMA-URI wpisz ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Możesz użyć polecenia New-Guid programu PowerShell do wygenerowania nowego identyfikatora Guid i zastąpienia [PolicyRule Id]polecenia .)
• W polu Typ danych wybierz pozycję Ciąg (plik XML) i użyj niestandardowego kodu XML.

Parametry umożliwiają ustawianie warunków dla określonych wpisów. Oto przykładowy plik XML grupy zezwalający na dostęp do odczytu dla każdego magazynu wymiennego.

Uwaga

Komentarze korzystające z notacji <!-- COMMENT --> komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.

Tworzenie grup przy użyciu identyfikatora OMA-URI

Podczas tworzenia grup przy użyciu identyfikatora OMA-URI w usłudze Intune utwórz jeden plik XML dla każdej grupy. Najlepszym rozwiązaniem jest użycie ustawień wielokrotnego użytku do definiowania grup.

W okienku Dodawanie wiersza określ następujące ustawienia:

• W polu Nazwa wpisz Any Removable Storage Group.
• W polu OMA-URI wpisz ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Aby uzyskać identyfikator GroupID, w centrum administracyjnym usługi Intune przejdź do pozycji Grupy, a następnie wybierz pozycję Skopiuj identyfikator obiektu. Możesz też użyć polecenia New-Guid programu PowerShell do wygenerowania nowego identyfikatora Guid i zastąpienia [GroupId]polecenia .)
• W polu Typ danych wybierz pozycję Ciąg (plik XML) i użyj niestandardowego kodu XML.

Uwaga

Komentarze korzystające z notacji <!-- COMMENT -- > komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.

Konfigurowanie kontroli dostępu do magazynu wymiennego przy użyciu identyfikatora OMA-URI

1. Przejdź do centrum administracyjnego usługi Microsoft Intune i zaloguj się.

2. Wybierz pozycję Profilekonfiguracjiurządzeń>. Zostanie wyświetlona strona Profile konfiguracji .

3. Na karcie Zasady (domyślnie wybrana) wybierz pozycję + Utwórz, a następnie wybierz pozycję + Nowe zasady z wyświetlonej listy rozwijanej. Zostanie wyświetlona strona Tworzenie profilu .

4. Na liście rozwijanej Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server z listy rozwijanej Platforma , a następnie wybierz pozycję Szablony z listy rozwijanej Typ profilu .

   Po wybraniu pozycji Szablony z listy rozwijanej Typ profilu zostanie wyświetlone okienko Nazwa szablonu wraz z polem wyszukiwania (aby wyszukać nazwę profilu).

5. Wybierz pozycję Niestandardowe w okienku Nazwa szablonu , a następnie wybierz pozycję Utwórz.

6. Utwórz wiersz dla każdego ustawienia, grupy lub zasad, implementując kroki 1–5.

Wyświetlanie grup sterowania urządzeniami (ustawienia wielokrotnego użytku)

W usłudze Intune grupy kontroli urządzeń są wyświetlane jako ustawienia wielokrotnego użytku.

1. Przejdź do centrum administracyjnego usługi Microsoft Intune i zaloguj się.

2. Przejdź do obszaru Zmniejszanieobszaru podatnego na ataki zabezpieczeń > punktu końcowego.

3. Wybierz kartę Ustawienia wielokrotnego użytku .

Zobacz też

• Kontrola urządzenia w usłudze Defender dla punktu końcowego
• Zasady i ustawienia sterowania urządzeniami
• Kontrola urządzenia dla systemu macOS