使用 Microsoft Intune 在 Microsoft Defender for Endpoint 中部署和管理设备控制
适用于:
如果使用 Intune 来管理 Defender for Endpoint 设置,则可以使用它来部署和管理设备控制功能。 Intune中以不同的方式管理设备控制的不同方面,如以下各节所述。
在 Intune 中配置和管理设备控制
转到Intune管理中心并登录。
转到 “终结点安全>攻击面减少”。
在 “攻击面减少策略”下,选择现有策略,或选择“ + 创建策略 ”以使用以下设置新策略:
- 在“平台”列表中,选择“Windows 10”、“Windows 11”和“Windows Server”。 (Windows Server目前不支持设备控制,即使你为设备控制策略选择此配置文件也是如此。)
- 在 “配置文件” 列表中,选择“ 设备控制”。
在“ 基本信息 ”选项卡上,指定策略的名称和说明。
在“ 配置设置 ”选项卡上,可以看到设置列表。 无需同时配置所有这些设置。 请考虑从 设备控制开始。
- 在“管理模板”下,具有“设备安装”和“可移动存储访问”设置。
- 在 Defender 下,请参阅 允许完全扫描可移动驱动器扫描 设置。
- 在 “数据保护”下,请参阅 “允许直接内存访问 设置”。
- 在 Dma Guard 下,请参阅 设备枚举策略 设置。
- 在 “存储”下,请参阅 可移动磁盘拒绝写入访问 设置。
- 在 “连接”下,请参阅 “允许 USB 连接”和 “允许蓝牙 设置”。
- 在 “蓝牙”下,查看与蓝牙连接和服务相关的设置列表。 有关详细信息,请参阅 策略 CSP - 蓝牙。
- 在 “设备控制”下,可以使用可重用设置配置自定义策略。 有关详细信息,请参阅 设备控制概述:规则。
- 在 “系统”下,请参阅 “允许存储卡 设置”。
配置设置后,请转到“ 范围标记 ”选项卡,可在其中指定策略 的范围标记 。
在“ 分配 ”选项卡上,指定要接收策略的用户或设备组。 有关详细信息,请参阅在 Intune 中分配策略。
在“ 审阅 + 创建 ”选项卡上,查看设置并进行任何所需的更改。
准备就绪后,选择“ 创建 ”以创建设备控制策略。
设备控制配置文件
在 Intune 中,每一行表示设备控制策略。 包含的 ID 是策略应用到的可重用设置。 排除的 ID 是从策略中排除的可重用设置。 策略的条目包含允许的权限,以及应用策略时生效的设备控制行为。
有关如何添加每个设备控制策略行中包含的可重用设置组的信息,请参阅将可重用组添加到设备控制配置文件部分,请参阅将可重用的设置组与Intune策略配合使用。
可以使用 和 图标添加和删除+策略。 策略名称显示在向用户的警告以及高级搜寻和报告中。
可以添加审核策略,也可以添加允许/拒绝策略。 建议在添加审核策略时始终添加“允许”和/或“拒绝”策略,以免遇到意外结果。
重要
如果仅配置审核策略,则权限继承自默认强制设置。
注意
- 不会保留在用户界面中列出策略的顺序,以便实施策略。 最佳做法是使用 允许/拒绝策略。 通过显式添加要排除的设备,确保 “允许/拒绝策略 ”选项不相交。 使用 Intune 的图形界面,无法更改默认强制实施。 如果将默认强制
Deny
更改为 ,并创建Allow
策略以应用特定设备,则阻止除策略中Allow
设置的任何设备之外的所有设备。
使用 OMA-URI 定义设置
重要
使用 Intune OMA-URI 配置设备控制要求设备配置工作负荷由 Intune 管理(如果设备与 Configuration Manager 共同管理)。 有关详细信息,请参阅如何将Configuration Manager工作负荷切换到Intune。
在下表中,确定要配置的设置,然后使用 OMA-URI 和数据类型中的信息 & 值列。 设置按字母顺序列出。
Setting | OMA-URI、数据类型 & 值 |
---|---|
设备控制默认强制实施 当策略规则都不匹配时,默认强制确定在设备控制访问检查期间做出的决策 |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement 整数: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
设备类型 设备类型,由其主要 ID 标识,并打开设备控制保护。 必须指定由管道分隔的产品系列 ID。 选择多个设备类型时,需要确保字符串都是一个没有空格的单词。 不遵循此语法的配置将导致意外行为。 |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration 字符串: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
启用设备控制 在设备上启用或禁用设备控制 |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled 整数: - Disable = 0 - Enable = 1 |
使用 OMA-URI 创建策略
在 Intune 中使用 OMA-URI 创建策略时,请为每个策略创建一个 XML 文件。 最佳做法是使用设备控制配置文件或设备控制规则配置文件来创作自定义策略。
在“ 添加行 ”窗格中,指定以下设置:
- 在 “名称” 字段中,键入
Allow Read Activity
。 - 在 “OMA-URI” 字段中,键入
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
。 (可以使用 PowerShell 命令New-Guid
生成新的 Guid,并替换[PolicyRule Id]
.) - 在“ 数据类型” 字段中,选择“ 字符串 (XML 文件) ”,并使用 “自定义 XML”。
可以使用参数为特定条目设置条件。 下面是 每个可移动存储的“允许读取访问”的组示例 XML 文件。
注意
使用 XML 注释表示法 <!-- COMMENT -->
的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。
使用 OMA-URI 创建组
在 Intune 中使用 OMA-URI 创建组时,请为每个组创建一个 XML 文件。 最佳做法是使用可重用设置来定义组。
在“ 添加行 ”窗格中,指定以下设置:
- 在 “名称” 字段中,键入
Any Removable Storage Group
。 - 在 “OMA-URI” 字段中,键入
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
。 (若要获取 GroupID,请在Intune管理中心转到组,然后选择“复制对象 ID”。或者,可以使用 PowerShell 命令New-Guid
生成新的 Guid,并替换[GroupId]
.) - 在“ 数据类型” 字段中,选择“ 字符串 (XML 文件) ”,并使用 “自定义 XML”。
注意
使用 XML 注释表示法 <!-- COMMENT -- >
的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。
使用 OMA-URI 配置可移动存储访问控制
转到Microsoft Intune管理中心并登录。
选择 “设备>配置文件”。 此时会显示 “配置文件” 页。
在“ 策略 ”选项卡 (默认选中) ,选择“ + 创建”,然后从显示的下拉列表中选择“ + 新建策略 ”。 此时会显示 “创建配置文件 ”页。
在“平台”列表中,从“平台”下拉列表中选择“Windows 10、Windows 11和Windows Server”,然后从“配置文件类型”下拉列表中选择“模板”。
从“配置文件类型”下拉列表中选择“模板”后,将显示“模板名称”窗格以及搜索框, (搜索配置文件名称) 。
从“模板名称”窗格中选择“自定义”,然后选择“创建”。
通过实施步骤 1-5,为每个设置、组或策略创建一行。
查看设备控制组 (可重用设置)
在 Intune 中,设备控制组显示为可重用设置。
转到Microsoft Intune管理中心并登录。
转到 “终结点安全>攻击面减少”。
选择“ 可重用设置” 选项卡。