使用 群組原則 部署和管理 適用於端點的 Microsoft Defender 中的裝置控制

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• 適用於企業的 Microsoft Defender

如果您使用 群組原則 來管理適用於端點的 Defender 設定，您可以使用它來部署和管理裝置控制。

啟用或停用抽取式記憶體訪問控制

1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>功能>] [裝置控件]。

2. 在 [ 裝置控制] 視窗中，選取 [ 已啟用]。

注意事項

如果您沒有看到這些 群組原則 物件，則必須將 群組原則 系統管理範本新增 (ADMX) 。 您可以從 GitHub 中的 mdatp-devicecontrol / Windows 範例下載系統管理範本 (WindowsDefender.adml 和 WindowsDefender.admx) 。

設定預設強制執行

您可以為所有裝置控制項功能設定預設存取權，例如 Deny 或 Allow ，包括 RemovableMediaDevices、 CdRomDevices、 WpdDevices和 PrinterDevices。

例如，您可以有 或 DenyAllow 的原則， RemovableMediaDevices但不能針對 CdRomDevices 或 WpdDevices。 如果您透過此原則設定Default Deny，則會封鎖 或 WpdDevices 的讀取/寫入CdRomDevices/執行存取權。 如果您只想要管理記憶體，請務必建立 Allow 印表機的原則。 否則，默認強制 (拒絕) 也會套用至印表機。

1. 在執行 Windows 的裝置上，移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防毒>功能>\] \[裝置控>件\]\[選取 \[裝置控件\] \[預設強制原則\]。

2. 在 [ 選取裝置控件默認強制原則 ] 視窗中，選取 [ 預設拒絕]。

設定裝置類型

若要設定套用裝置控制原則的裝置類型，請遵循下列步驟：

1. 在執行 Windows 的計算機上，移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防病毒軟體>裝置控>件\]\[開啟特定裝置類型的裝置控件\]。

2. 在 [ 開啟特定類型的裝置控 件] 視窗中，指定產品系列標識符，並以管道 () | 分隔。 此設定必須是沒有空格的單一字串，否則裝置控制引擎會不正確地剖析它，進而造成非預期的行為。 產品系列識別碼包括 RemovableMediaDevices、 CdRomDevices、 WpdDevices或 PrinterDevices。

定義群組

1. 為每個抽取式儲存群組建立一個 XML 檔案。

2. 使用卸載式儲存群組中的屬性，為每個抽取式儲存群組建立 XML 檔案。

   請確定 XML 的根節點是 PolicyGroups，例如下列 XML：

    <PolicyGroups>
        <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">
   
        </Group>
    </PolicyGroups>
   

3. 將 XML 檔案儲存至您的網路共用。

4. 定義設定，如下所示：

   1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控制裝置控制>原則群組]。

   2. 在 [ 定義裝置控制原則群組 ] 視窗中，指定包含 XML 群組數據的網路共用檔案路徑。

您可以建立不同的群組類型。 以下是任何抽取式記憶體和CD-ROM、Windows 可攜式裝置和已核准USB群組的一個群組範例 XML 檔案：XML 檔案

注意事項

使用 XML 批註表示法 <!--COMMENT--> 的批註可用於規則和群組 XML 檔案中，但必須位於第一個 XML 標記內，而不是 XML 檔案的第一線。

定義原則

1. 建立一個用於存取原則規則的 XML 檔案。

2. 使用卸載式記憶體存取原則規則中的屬性，為每個群組的卸除式記憶體存取原則規則建立 XML。

   請確定 XML 的根節點是 PolicyRules，例如下列 XML：

   <PolicyRules>
     <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
         ...
      </PolicyRule> 
   </PolicyRules>
   

3. 將 XML 檔案儲存至網路共用。

4. 定義設定，如下所示：

   1. 在執行 Windows 的裝置上，移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控制原則規則]。

   2. 在 [ 定義裝置控制原則規則] 視窗中，選取 [ 已啟用]，然後指定包含 XML 規則數據的網路共用檔案路徑。

驗證 XML 檔案

Mpcmdrun 內建功能，用來驗證用於 GPO 部署的 XML 檔案。 此功能可讓客戶偵測 DC 引擎在剖析設定時可能會遇到的任何語法錯誤。 若要執行這項驗證，系統管理員應該複製下列 PowerShell 腳本，併為其包含裝置控制規則和群組的 XML 檔案提供適當的檔案路徑。

#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"

#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"

#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation

#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules

#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups

如果沒有錯誤，下列輸出會列印在 PowerShell 控制台中：

DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no

注意事項

若要擷取要複製或列印之檔案的辨識項，請使用 端點 DLP。

使用 XML 批註表示法 <!-- COMMENT --> 的批註可用於規則和群組 XML 檔案中，但必須位於第一個 XML 標記內，而不是 XML 檔案的第一線。

另請參閱

• 適用於端點的Defender中的裝置控制件
• 和設定中的裝置控制原則
• macOS 的裝置控制