Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpoint Microsoft Intune avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Jos käytät Intune Defender for Endpoint -asetusten hallintaan, voit käyttää sitä laitteen hallintaominaisuuksien käyttöönottoon ja hallintaan. Laitteen ohjausobjektin eri ominaisuuksia hallitaan eri tavalla Intune, kuten seuraavissa osissa on kuvattu.

Laitteen ohjausobjektin määrittäminen ja hallinta Intune

1. Siirry Intune hallintakeskukseen ja kirjaudu sisään.

2. Siirry kohtaan Päätepisteen suojaus>Hyökkäysalueen pienentäminen.

3. Valitse Hyökkäyspinnan vähentämiskäytännöt -kohdassa aiemmin luotu käytäntö tai valitse + Create Käytäntö uuden käytännön määritykseksi näillä asetuksilla:

   • Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server. (Laiteohjausobjektia ei tällä hetkellä tueta Windows Serverissä, vaikka valitset tämän profiilin laitteen hallintakäytäntöjä varten.)
   • Valitse Profiili-luettelostaLaiteohjausobjekti.

4. Määritä Perustiedot-välilehdessä käytännöllesi nimi ja kuvaus.

5. Näet Määritysasetukset-välilehdessä luettelon asetuksista. Sinun ei tarvitse määrittää kaikkia näitä asetuksia kerralla. Harkitse aloittamista Device Control -toiminnolla.

   

   • Hallintamallit-kohdassa on laitteen asennus- ja siirrettävän tallennustilan käyttöasetukset.
   • Lisätietoja on Kohdassa Defenderkohdassa Salli siirrettävän aseman tarkistuksen täydet skannausasetukset .
   • Kohdassa Tietojen suojaus katso Kohta Salli suoran muistin käytön asetukset.
   • Katso DMA Guard -kohdassa Laitteen luettelointikäytännön asetukset.
   • Katso Tallennustilan kohdassa Siirrettävän levyn kirjoitusoikeuden estäminen -asetukset.
   • Kohdassa Yhteydet, katso Salli USB-yhteys** ja Salli Bluetooth-asetukset .
   • Bluetooth-kohdassa on luettelo bluetooth-yhteyksiin ja -palveluihin liittyvistä asetuksista. Lisätietoja on artikkelissa Käytäntöjen CSP - Bluetooth.
   • Laiteohjausobjekti-kohdassa voit määrittää mukautettuja käytäntöjä uudelleenkäytettävissä olevissa asetuksissa. Lisätietoja on kohdassa Laiteohjausobjektin yleiskatsaus: Säännöt.

6. Kun olet määrittänyt asetuksesi, siirry Käyttöaluetunnisteet-välilehteen , jossa voit määrittää käytännön käyttöaluetunnisteet .

7. Määritä Määritykset-välilehdessä niiden käyttäjien tai laitteiden ryhmät, joille käytäntösi lähetetään. Lisätietoja on artikkelissa Käytäntöjen määrittäminen Intune.

8. Tarkista asetukset Tarkista + luo -välilehdessä ja tee tarvittavat muutokset.

9. Kun olet valmis, luo laitteen hallintakäytäntö valitsemalla Create.

Laitteen ohjausobjektiprofiilit

Intune kukin rivi edustaa laitteen ohjausobjektikäytäntöä. Sisällytetty tunnus on uudelleenkäytettävä asetus, jota käytäntö koskee. Pois jätetty tunnus on uudelleenkäytettävä asetus, joka on jätetty pois käytännöstä. Käytännön merkintä sisältää sallitut käyttöoikeudet ja laitteen ohjausobjektin toiminnan, joka tulee voimaan, kun käytäntöä sovelletaan.

Lisätietoja kunkin laitteen ohjausobjektin riviin sisältyvien uudelleenkäytettävien asetusryhmien lisäämisestä on uudelleenkäytettävien ryhmien lisääminen laitteen ohjausobjektiprofiiliin -osiossa kohdassa Uudelleenkäytettävien asetusryhmien käyttäminen Intune käytännöillä.

Käytäntöjä voidaan lisätä ja poistaa käyttämällä ja +– -kuvakkeita. Käytännön nimi näkyy käyttäjille varoituksessa sekä kehittyneessä metsästyksessä ja raporteissa.

Voit lisätä valvontakäytäntöjä ja lisätä Salli/Estä-käytäntöjä. On suositeltavaa lisätä aina Salli ja/tai Kiellä -käytäntö valvontakäytäntöä lisättäessä, jotta et saa odottamattomia tuloksia.

Tärkeää

Jos määrität vain valvontakäytäntöjä, käyttöoikeudet periytyvät oletusarvon mukaisesta pakotusasetuksesta.

Huomautus

• Järjestys, jossa käytännöt luetellaan käyttöliittymässä, ei säilytetä käytännön täytäntöönpanoa varten. Paras käytäntö on käyttää Salli/Estä-käytäntöjä. Varmista, että Salli/ Estä käytännöt -asetus ei leikkaa toisiinsa lisäämällä laitteita eksplisiittisesti suljettamatta. Intune graafista liittymää käyttämällä et voi muuttaa oletusvalvontaa. Jos muutat oletusarvon mukaiseksi pakotukseksi Kiellä, mikä tahansa salli käytäntö johtaa estystoimintoihin.

Asetusten määrittäminen OMA-URI:n avulla

Tärkeää

Intune OMA-URI:n käyttäminen laitteen hallinnan määrittämiseen edellyttää, että laitekokoonpanon kuormitusta hallitsee Intune, jos laitetta hallitaan yhdessä Configuration Manager kanssa. Lisätietoja on artikkelissa Configuration Manager kuormitusten vaihtaminen Intune.

Määritä seuraavassa taulukossa asetus, jonka haluat määrittää, ja käytä sitten OMA-URI-tunnuksen tietoja ja tietotyyppiä & arvosarakkeita. Asetukset on lueteltu aakkosjärjestyksessä.

Asetus	OMA-URI, tietotyyppi, & arvot
Laitteen hallinnan oletusvalvonta Oletusarvoinen pakottaminen määrittää, mitä päätöksiä tehdään laitteen valvonnan käyttöoikeustarkistusten aikana, kun mikään käytäntösäännöistä ei vastaa	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Kokonaisluku: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
Laitetyypit Laitetyypit, jotka tunnistetaan niiden ensisijaisten tunnuksien perusteella, laitteen ohjausobjektin suojaus käytössä	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Merkkijono: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
Ota laitteen ohjausobjekti käyttöön Laitteen ohjausobjektin ottaminen käyttöön tai poistaminen käytöstä laitteessa	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Kokonaisluku: - Poista käytöstä = 0 - Ota käyttöön = 1
Todistetietojen etäsijainti Laitteen ohjausobjekti siirtää tallennuksen todistetietoja	./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation Merkkijono
Paikallisen todistevälimuistin kesto Määrittää paikallisen laitteen ohjausobjektin välimuistissa olevien tiedostojen säilytysajan päivinä	./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod Kokonaisluku Esimerkki: 60 (60 päivää)

Käytäntöjen luominen OMA-URI:n avulla

Kun luot oma-URI-käytäntöjä Intune, luo yksi XML-tiedosto kullekin käytännölle. Parhaana käytäntönä voit luoda mukautettuja käytäntöjä laitteen hallintaprofiilin tai laiteohjaussääntöjen profiilin avulla.

Määritä Lisää rivi -ruudussa seuraavat asetukset:

• Kirjoita Nimi-kenttäänAllow Read Activity.
• Kirjoita OMA-URI-kenttään/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData.
• Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.

Parametrien avulla voit määrittää ehtoja tietyille merkinnöille. Tässä on ryhmäesimerkki XML-tiedosto Salli lukuoikeus jokaiselle siirrettävälle tallennusvälineelle.

Huomautus

XML-kommenttimerkintää käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.

Ryhmien luominen OMA-URI:n avulla

Kun luot oma-URI-ryhmiä Intune, luo yksi XML-tiedosto kullekin ryhmälle. Paras käytäntö on määrittää ryhmät uudelleenkäytettävissä olevien asetusten avulla.

Määritä Lisää rivi -ruudussa seuraavat asetukset:

• Kirjoita Nimi-kenttäänAny Removable Storage Group.
• Kirjoita OMA-URI-kenttään./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData. (Jos haluat saada GroupID:n, siirry Intune hallintakeskuksessa kohtaan Ryhmät ja valitse sitten Kopioi objektitunnus.)
• Valitse Tietotyyppi-kentässäMerkkijono (XML-tiedosto) ja käytä mukautettua XML:ää.

Huomautus

XML-kommenttimerkintää <!-- COMMENT -- > käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston ensimmäisellä rivillä.

Siirrettävän tallennustilan käytön valvonnan määrittäminen OMA-URI:n avulla

1. Siirry Microsoft Intune hallintakeskukseen ja kirjaudu sisään.

2. Valitse Laitteiden>määritysprofiilit. Näkyviin tulee Määritysprofiilit-sivu.

3. Valitse Käytännöt-välilehdeltä (oletusarvoisesti valittuna) + Create ja valitse + Uusi käytäntö avautuvasta valikosta. Profiilisivun Create tulee näkyviin.

4. Valitse käyttöympäristöluettelonavattavasta luettelosta Windows 10, Windows 11 ja Windows Server ja valitse avattavasta Profiilityyppi-luettelostaMallit.

   Kun valitset Mallit avattavasta Profiilityyppi-luettelosta , näkyviin tulee Mallin nimi -ruutu sekä hakuruutu (hae profiilin nimeä).

5. Valitse Mallin nimi -ruudusta Mukautettu ja valitse Create.

6. Create kullekin asetukselle, ryhmälle tai käytännölle rivin suorittamalla vaiheet 1–5.

Näytä laitteen ohjausryhmät (uudelleenkäytettävät asetukset)

Intune laitteen ohjausryhmät näkyvät uudelleenkäytettävissä olevissa asetuksissa.

1. Siirry Microsoft Intune hallintakeskukseen ja kirjaudu sisään.

2. Siirry kohtaan Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen.

3. Valitse Uudelleenkäytettävät asetukset - välilehti.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Laitteen ohjausobjekti Defender for Endpointissa
• Laitteen hallintakäytännöt ja -asetukset
• Device Control for macOS