Share via

Laitteen hallintakäytännöt Microsoft Defender for Endpoint

  • Artikkeli

Koskee seuraavia:

Tässä artikkelissa kuvataan laitteen hallintakäytännöt, säännöt, merkinnät, ryhmät ja lisäehdot. Pohjimmiltaan laitteen hallintakäytännöt määrittävät käyttöoikeuden joukolle laitteita. Laajuuteen kuuluvat laitteet määräytyvät sisällytettyjen laiteryhmien luettelon ja pois jätettyjen laiteryhmien luettelon mukaan. Käytäntöä sovelletaan, jos laite on kaikissa sisällytetyissä laiteryhmissä eikä yhdessäkään pois jätetyssä laiteryhmässä. Jos käytäntöjä ei käytetä, käytetään oletusarvoista pakotusta.

Laitteen ohjausobjekti on oletusarvoisesti poissa käytöstä, joten kaikentyyppisten laitteiden käyttö on sallittua. Lisätietoja laitteen hallinnasta on kohdassa Laiteohjausobjekti Microsoft Defender for Endpoint.

Oletustoiminnan hallinta

Kun laiteohjausobjekti on käytössä, se on oletusarvoisesti käytössä kaikissa laitetyypeissä. Oletusarvon mukaista pakottamista voidaan muuttaa myös Salli-asetukseksi Estä. Suojaustiimisi voi myös määrittää laitetyypit, joita laitteen hallinta suojaa. Seuraavassa taulukossa esitetään, miten eri asetusyhdistelmät muuttavat käyttöoikeuksien valvontapäätöstä.

Onko laitteen ohjausobjekti käytössä? Oletustoiminta Laitetyypit
Ei Käyttö on sallittu - CD- tai DVD-asemat
-Tulostimet
- Siirrettävät tietovälinelaitteet
– kannettavat Windows-laitteet
Kyllä (Ei määritetty)
Käyttö on sallittu		 - CD- tai DVD-asemat
-Tulostimet
- Siirrettävät tietovälinelaitteet
– kannettavat Windows-laitteet
Kyllä Kieltää - CD- tai DVD-asemat
-Tulostimet
- Siirrettävät tietovälinelaitteet
– kannettavat Windows-laitteet
Kyllä Estä siirrettävät medialaitteet ja tulostimet - Tulostimet ja siirrettävät medialaitteet (estetty)
- CD-/DVD-asemat ja kannettavat Windows-laitteet (sallittu)

Kun laitetyyppejä määritetään, Laitteen hallinta Defender for Endpointissa ohittaa pyynnöt muille laiteperheille.

Lisätietoja on seuraavissa artikkeleissa:

Käytännöt

Laitteiden käyttöoikeuksien tarkentamiseksi laitteen ohjausobjekti käyttää käytäntöjä. Käytäntö on joukko sääntöjä ja ryhmiä. Sääntöjen ja ryhmien määritelmät vaihtelevat hieman hallintakokemusten ja käyttöjärjestelmien välillä seuraavassa taulukossa kuvatulla tavalla.

Hallintatyökalu Käyttöjärjestelmä Sääntöjen ja ryhmien hallinta
Intune – Laitteen hallintakäytäntö Windows Laite- ja tulostinryhmiä voidaan hallita uudelleenkäytettävissä olevissa asetuksissa ja sisällyttää sääntöihin. Kaikki ominaisuudet eivät ole käytettävissä laitteen hallintakäytännössä (katso Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Intune kanssa)
Intune – Mukautettu Windows Kukin ryhmä/sääntö tallennetaan XML-merkkijonona mukautettuun määrityskäytäntöön. OMA-URI sisältää ryhmän/säännön GUID-tunnuksen. GUID on luotava.
Ryhmäkäytäntö Windows Ryhmät ja säännöt määritetään ryhmäkäytäntö-objektin erillisissä XML-asetuksissa (katso Laitteen ohjausobjektin käyttöönotto ja hallinta ryhmäkäytäntö).
Intune Mac Säännöt ja käytännöt yhdistetään yhdeksi JSON-muotoon ja sisällytetään mobileconfig tiedostoon, joka otetaan käyttöön käyttämällä Intune
JAMF Mac Säännöt ja käytännöt yhdistetään yhdeksi JSON-muotoon ja määritetään käyttämällä JAMF:tä laitteen hallintakäytäntönä (katso MacOS:n laitehallinta)

Säännöt ja ryhmät tunnistetaan yleisen yksilöivän tunnuksen (GUID) mukaan. Jos laitteen hallintakäytännöt otetaan käyttöön jollakin muulla hallintatyökalulla kuin Intune, GUID-tunnukset on luotava. Voit luoda GUID-tunnukset käyttämällä PowerShelliä.

Lisätietoja rakenteesta on kohdassa JSON-rakenne Macille.

Käyttäjät

Laitteen hallintakäytäntöjä voidaan käyttää käyttäjille ja/tai käyttäjäryhmille.

Huomautus

Laiteohjausobjektiin liittyvissä artikkeleissa käyttäjäryhmiä kutsutaan käyttäjäryhmiksi. Termiryhmät viittaavat ryhmiin, jotka on määritetty laitteen ohjausobjektikäytännössä.

Intune avulla laitteen hallintakäytännöt voidaan kohdistaa Joko Macissa ja Windowsissa Entra Id:ssä määritetyille käyttäjäryhmille.

Windowsissa käyttäjä tai käyttäjäryhmä voi olla käytännön merkinnän ehto.

Käyttäjä- tai käyttäjäryhmiä käyttävät merkinnät voivat viitata objekteihin joko Entra-tunnuksesta tai paikallisesta Active Directorysta.

Laitteen hallinnan käytön parhaat käytännöt käyttäjien ja käyttäjäryhmien kanssa

  • Jos haluat luoda säännön yksittäiselle käyttäjälle Windowsissa, luo sääntöön merkintä, joka Sid sisältää ehdon jokaiselle käyttäjälle

  • Jos haluat luoda säännön käyttäjäryhmälle Windowsissa ja Intune, luo merkintä, jolla on Sid ehto kullekin käyttäjäryhmälle [säännöstä] ja kohdista käytäntö tietokoneryhmään Intune tai luo sääntö ilman ehtoja ja kohdista käytäntö Intune käyttäjäryhmälle.

  • Macissa voit käyttää Intune ja kohdistaa käytännön entra-tunnuksen käyttäjäryhmälle.

Varoitus

Älä käytä sekä käyttäjä-/käyttäjäryhmäehtoja säännöissä että käyttäjäryhmälle, joiden kohteena on Intune.

Huomautus

Jos verkkoyhteys on ongelma, käytä Intune käyttäjäryhmälle kohdistamista tai paikallista Active Directory -ryhmää. Käyttäjä-/käyttäjäryhmäehtoja, jotka viittaavat Entra-tunnukseen, tulee käyttää vain ympäristöissä, joissa on luotettava yhteys Entra-tunnukseen.

Säännöt

Sääntö määrittää sisällytettyjen ryhmien luettelon ja pois jätettyjen ryhmien luettelon. Jotta sääntöä voidaan soveltaa, laitteen on oltava kaikissa sisällytetyissä ryhmissä eikä missään pois jätetyissä ryhmissä. Jos laite vastaa sääntöä, kyseisen säännön merkinnät arvioidaan. Merkintä määrittää käytetyt toiminto- ja ilmoitusasetukset, jos pyyntö vastaa ehtoja. Jos sääntöjä ei käytetä tai kirjaukset eivät vastaa pyyntöä, käytetään oletusarvoista pakottamista.

Jos haluat esimerkiksi sallia kirjoitusoikeuden joillekin USB-laitteille ja lukuoikeuden kaikille muille USB-laitteille, käytä seuraavia käytäntöjä, ryhmiä ja merkintöjä, joiden oletusarvoinen pakotus on asetettu kieltämään.

Ryhmä Kuvaus
Kaikki siirrettävät tallennuslaitteet Siirrettävät tallennuslaitteet
Kirjoitettavat USB-objektit Niiden USB:iden luettelo, joissa kirjoitusoikeudet ovat sallittuja
Sääntö Sisällytetty laitteen Ryhmät Poissuljettu laitteen Ryhmät Merkintä
Vain luku -oikeudet yhdysvaltain keskuspankeille Kaikki siirrettävät tallennuslaitteet Kirjoitettavat USB-objektit Vain luku -oikeudet
Usb-objektien kirjoitusoikeudet Kirjoitettavat USB-objektit Kirjoitusoikeus

Säännön nimi näkyy portaalissa raportointia varten ja ilmoitusruutuilmoituksessa käyttäjille, joten muista antaa säännöille kuvaavia nimiä.

Voit määrittää sääntöjä muokkaamalla käytäntöjä Intune, käyttämällä XML-tiedostoa Windowsissa tai käyttämällä JSON-tiedostoa Macissa. Saat lisätietoja valitsemalla kunkin välilehden.

Seuraavassa kuvassa esitetään laitteen hallintakäytännön määritysasetukset Intune:

Näyttökuva laitteen ohjausobjektin määrityksestä Intune.

Näyttökuvassa Sisällytetyt tunnukset ja Pois jätetty tunnus ovat viittauksia sisällytettyihin ja pois jätettyihin uudelleenkäytettäviin asetusryhmiin. Käytännöllä voi olla useita sääntöjä.

Intune ei kunnioita sääntöjen järjestystä. Sääntöjä voidaan arvioida missä tahansa järjestyksessä, joten varmista, että jätät nimenomaisesti pois laiteryhmät, jotka eivät kuulu säännön vaikutusalueeseen.

Merkinnät

Laitteen hallintakäytännöt määrittävät käyttöoikeuden (jota kutsutaan merkinnäksi) joukolle laitteita. Merkinnät määrittävät toiminto- ja ilmoitusasetukset laitteille, jotka vastaavat käytäntöä ja merkinnässä määritettyjä ehtoja.

Merkintäasetus Vaihtoehtoja
AccessMask Ottaa toiminnon käyttöön vain, jos käyttöoikeustoiminnot vastaavat käyttöpeitettä – Käyttöoikeuspeite on käyttöoikeusarvojen bittiviisas TAI:

1 - Laitteen luku
2 - Laitteen kirjoitus
4 - Laitteen suorittaminen
8 - Tiedoston luku
16 - Tiedoston kirjoitus
32 - Tiedosto suoritetaan
64 - Tulosta

Esimerkki:
Laitteen luku-, kirjoitus- ja suoritusarvo = 7 (1+2+4)
Laitteen luku, levyn luku = 9 (1+8)
Toiminta Salli
Kieltää
AuditAllow
AuditDeny
Ilmoitus Ei mitään (oletus)
Tapahtuma luodaan
Käyttäjä saa ilmoituksen
Asiakirjatodisteet on siepattu

Jos laitteen ohjausobjekti on määritetty ja käyttäjä yrittää käyttää laitetta, jota ei sallita, käyttäjä saa ilmoituksen, joka sisältää laitteen hallintakäytännön nimen ja laitteen nimen. Ilmoitus tulee näkyviin kerran tunnissa sen jälkeen, kun ensimmäinen käyttö on estetty.

Merkintä tukee seuraavia valinnaisia ehtoja:

  • Käyttäjä/käyttäjäryhmän ehto: Toiminto koskee vain SID:n tunnistamaa käyttäjä-/käyttäjäryhmää

Huomautus

Käytä Microsoft Entra tunnukseen tallennettujen käyttäjäryhmien ja käyttäjien tapauksessa objektitunnusta ehdossa. Käytä suojaustunnusta (SID) käyttäjäryhmille ja käyttäjille, jotka on tallennettu paikallisesti

Huomautus

Windowsissa kirjautuneen käyttäjän SID voidaan hakea suorittamalla PowerShell-komento whoami /user.

  • Koneen ehto: Toimintoa sovelletaan vain SID:n määrittämään laitteeseen tai ryhmään
  • Parametrien ehto: Käyttää toimintoa vain, jos parametrit vastaavat toisiaan (Katso lisäehdot)

Merkinnät voidaan rajata tarkemmin tiettyihin käyttäjiin ja laitteisiin. Voit esimerkiksi sallia näiden USB:iden lukuoikeuden vain tälle käyttäjälle tässä laitteessa.

Politiikan Sisällytetty laitteen Ryhmät Poissuljettu laitteen Ryhmät Merkintä(ä)
Vain luku -oikeudet yhdysvaltain keskuspankeille Kaikki siirrettävät tallennuslaitteet Kirjoitettavat USB-objektit Vain luku -oikeudet
Usb-objektien kirjoitusoikeudet Kirjoitettavat USB-objektit Kirjoitusoikeus käyttäjälle 1

Kirjoitusoikeudet käyttäjälle 2 laiteryhmässä A

Merkinnän kaikkien ehtojen on oltava tosia, jotta toiminto voidaan ottaa käyttöön.

Voit määrittää merkintöjä käyttämällä Intune, Windowsin XML-tiedostoa tai Macin JSON-tiedostoa. Saat lisätietoja valitsemalla kunkin välilehden.

Intune Access-peitekentässä on esimerkiksi seuraavat vaihtoehdot:

  • Lue (levytason luku = 1)
  • Kirjoitus (levytason kirjoitus = 2)
  • Suorita (levytason suoritus = 4)
  • Tulosta (Tulosta = 64).

Kaikki ominaisuudet eivät näy Intune käyttöliittymässä. Lisätietoja on kohdassa Ota käyttöön ja hallitse laitteen ohjausobjektia Intune avulla.

Ryhmät

Ryhmät määrittää ehdot objektien suodattamiselle niiden ominaisuuksien mukaan. Objekti määritetään ryhmälle, jos sen ominaisuudet vastaavat ryhmälle määritettyjä ominaisuuksia.

Huomautus

tämän osion Ryhmät eivät viittaa käyttäjäryhmiin.

Esimerkki:

  • Sallitut USB:t ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä valmistajista
  • Kadonneet USB:t ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä sarjanumeroista
  • Sallitut tulostimet ovat kaikki laitteita, jotka vastaavat mitä tahansa näistä VID/PID-laitteista

Ominaisuudet voidaan sovittaa yhteen neljällä tavalla: MatchAll, MatchAny, MatchExcludeAllja MatchExcludeAny

  • MatchAll: Ominaisuudet ovat And-suhde. Jos esimerkiksi järjestelmänvalvoja asettaa DeviceID -ja InstancePathID-parametrin jokaiselle yhdistetylle USB:lle, järjestelmä tarkistaa, vastaako USB molempia arvoja.
  • MatchAny: Ominaisuudet ovat Or-suhde. Jos esimerkiksi järjestelmänvalvoja asettaa DeviceID-tunnuksen ja InstancePathID, jokaiselle yhdistetylle USB:lle, järjestelmä edellyttää, kunhan USB:llä on joko identtinen DeviceID arvo tai InstanceID arvo.
  • MatchExcludeAll: Ominaisuudet ovat "Ja"-suhde, kaikki kohteet, jotka eivät täytä, käsitellään. Jos järjestelmänvalvoja esimerkiksi asettaa ja InstancePathID käyttää MatchExcludeAll-parametria DeviceID jokaiselle yhdistetylle USB:lle, järjestelmä pakottaa sen, kunhan USB:llä ei ole sekä identtistä että samaa DeviceIDInstanceID arvoa.
  • MatchExcludeAny: Ominaisuudet ovat "Tai"-suhde. Kaikki kohteet, jotka eivät täytä, käsitellään. Jos järjestelmänvalvoja esimerkiksi asettaa DeviceID ja InstancePathID käyttää MatchExcludeAnykohdetta jokaiselle yhdistetylle USB:lle, järjestelmä pakottaa toiminnon, kunhan USB:llä ei ole identtistä DeviceID arvoa tai InstanceID arvoa.

Ryhmät käytetään kahdella tavalla: voit valita laitteita, jotka sisällytetään tai jätetään pois säännöistä, ja suodattaa käyttö edistyneiden ehtojen mukaan. Tässä taulukossa on yhteenveto ryhmätyypeistä ja niiden käyttötavan.

Kirjoita Kuvaus O/S Sisällytä tai jätä pois -säännöt Lisäehdot
Laite (oletus) Suodatinlaitteet ja tulostimet Windows/Mac X
Verkon Suodata verkko-ehdot Windows X
VPN-yhteys Suodata VPN-ehdot Windows X
Tiedosto Suodata tiedoston ominaisuudet Windows X
Tulostustyö Tulostettavan tiedoston ominaisuuksien suodattaminen Windows X

Laitteet, jotka kuuluvat käytännön piiriin sisällytettyjen ryhmien luettelon ja pois jätettyjen ryhmien luettelon perusteella. Sääntöä sovelletaan, jos laite on kaikissa sisällytetyissä ryhmissä eikä missään pois jätetyissä ryhmissä. Ryhmät voidaan muodostaa laitteiden ominaisuuksista. Seuraavia ominaisuuksia voidaan käyttää:

Ominaisuus Kuvaus Windows-laitteet Mac-laitteet Tulostimet
FriendlyNameId Kutsumanimi Windows Laitehallinta Y N Y
PrimaryId Laitteen tyyppi Y Y Y
VID_PID Toimittajan tunnus on nelinumeroinen toimittajakoodi, jonka USB-komitea määrittää toimittajalle. Tuotetunnus on nelinumeroinen tuotekoodi, jonka toimittaja määrittää laitteelle. Yleismerkkejä tuetaan. Esimerkiksi, 0751_55E0 Y N Y
PrinterConnectionId Tulostinyhteyden tyyppi:
-USB
-Yritysten
-Verkon
-Universal
-Tiedosto
-Mukautettu
-Paikallisia		 N N Y
BusId Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) Y N N
DeviceId Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) Y N N
HardwareId Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) Y N N
InstancePathId Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) Y N N
SerialNumberId Tietoja laitteesta (lisätietoja on tämän taulukon seuraavissa osissa) Y Y N
PID Tuotetunnus on nelinumeroinen tuotekoodi, jonka toimittaja määrittää laitteelle Y Y N
VID Toimittajan tunnus on nelinumeroinen toimittajakoodi, jonka USB-komitea määrittää toimittajalle. Y Y N
DeviceEncryptionStateId (Esikatselu) Laitteen BitLocker-salauksen tila. Kelvolliset arvot ovat BitlockerEncrypted tai Plain Y N N
APFS Encrypted Jos laite on APFS-salattu N Y N

Laitteen ominaisuuksien määrittäminen Windows Laitehallinta avulla

Windows-laitteissa voit käyttää Laitehallinta laitteiden ominaisuuksien ymmärtämiseen.

  1. Avaa Laitehallinta, etsi laite, napsauta hiiren kakkospainikkeella Ominaisuudet ja valitse tiedot-välilehti.

  2. Valitse Ominaisuus-luettelosta Laitteen esiintymän polku.

    Laitteen esiintymäpolun arvo on InstancePathId, mutta se sisältää myös muita ominaisuuksia:

    • USB\VID_090C&PID_1000\FBH1111183300721
    • {BusId}\{DeviceId}\{SerialNumberId}

    Laitehallinnan ominaisuudet yhdistävät laitteen ohjausobjektiin seuraavassa taulukossa esitetyllä tavalla:

    Laitehallinta Laitehallinta
    Laitteistotunnukset HardwareId
    Kutsumanimi FriendlyNameId
    Vanhempi VID_PID
    DeviceInstancePath InstancePathId

Raporttien ja kehittyneen metsästyksen käyttäminen laitteiden ominaisuuksien määrittämiseen

Laitteen ominaisuuksilla on hieman erilaiset tunnisteet kehittyneessä metsästyksessä. Alla oleva taulukko yhdistää portaalin propertyId otsikot laitteen ohjausobjektin käytäntöön.

Microsoft Defender Portal -ominaisuus Laitteen ohjausobjektin ominaisuustunnus
Median nimi FriendlyNameId
Toimittajan tunnus HardwareId
DeviceId InstancePathId
Sarjanumero SerialNumberId

Huomautus

Varmista, että valitulla objektilla on oikea medialuokka käytännölle. Yleisesti ottaen siirrettävässä tallennusvälineessä on käytössä Class Name == USB.

Ryhmien määrittäminen Intune, XML Windowsissa tai JSON Macissa

Voit määrittää ryhmiä Intune käyttämällä Windowsin XML-tiedostoa tai käyttämällä JSON-tiedostoa Macissa. Saat lisätietoja valitsemalla kunkin välilehden.

Huomautus

XML-koodissa Group Id ja id JSON-tiedostossa -toiminnolla tunnistetaan ryhmä laiteohjausobjektissa. Se ei viittaa mihinkään muuhun, kuten Entra-tunnuksen käyttäjäryhmään .

Uudelleenkäytettävät asetukset Intune yhdistä laiteryhmiin. Voit määrittää uudelleenkäytettävät asetukset Intune.

Näyttökuva uudelleenkäytettävien asetusten määrittämisestä Intune.

Ryhmiä on kahdenlaisia: tulostinlaite ja siirrettävä tallennustila. Seuraavassa taulukossa on luettelo näiden ryhmien ominaisuuksista.

Ryhmän tyyppi Majoituspaikkaa
Tulostinlaite - FriendlyNameId
- PrimaryId
- PrinterConnectionId
- VID_PID
Siirrettävä tallennustila - BusId
- DeviceId
- FriendlyNameId
- HardwareId
- InstancePathId
- PID
- PrimaryId
- SerialNumberId
- VID
- VID_PID

Lisäehdot

Merkintöjä voidaan edelleen rajoittaa parametrien perusteella. Parametrit soveltavat kehittyneitä ehtoja, jotka ulottuvat laitteen ulkopuolelle. Lisäehdot mahdollistavat tarkennetun hallinnan, joka perustuu verkkoon, VPN-yhteyteen, tiedostoon tai tulostustyöhön.

Huomautus

Lisäehtoja tuetaan vain XML-muodossa.

Verkon ehdot

Seuraavassa taulukossa kuvataan verkkoryhmän ominaisuudet:

Ominaisuus Kuvaus
NameId Verkon nimi. Yleismerkkejä tuetaan.
NetworkCategoryId Kelvolliset asetukset ovat Public, Privatetai DomainAuthenticated.
NetworkDomainId Kelvolliset asetukset ovat NonDomain, Domain, DomainAuthenticated.

Nämä ominaisuudet lisätään Verkko-tyypin ryhmän DescriptorIdList-luetteloon. Tässä on esimerkkikatkelma:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Ryhmään viitataan merkinnässä parametreina seuraavassa katkelmassa esitetyllä tavalla:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN-yhteyden ehdot

Seuraavassa taulukossa kuvataan VPN-yhteyden ehdot:

Nimi Kuvaus
NameId VPN-yhteyden nimi. Yleismerkkejä tuetaan.
VPNConnectionStatusId Kelvolliset arvot ovat Connected tai Disconnected.
VPNServerAddressId Merkkijonoarvo VPNServerAddress. Yleismerkkejä tuetaan.
VPNDnsSuffixId Merkkijonoarvo VPNDnsSuffix. Yleismerkkejä tuetaan.

Nämä ominaisuudet lisätään VPNConnection-ryhmän DescriptorIdList-luetteloon seuraavassa katkelmassa esitetyllä tavalla:


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Sitten ryhmään viitataan merkinnän parametreina seuraavassa katkelmassa esitetyllä tavalla:


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Tiedoston ehdot

Seuraavassa taulukossa kuvataan tiedostoryhmän ominaisuudet:

Nimi Kuvaus
PathId Merkkijono, tiedostopolun tai nimen arvo.
Yleismerkkejä tuetaan.
Käytettävissä vain tiedostotyyppiryhmille.

Seuraavassa taulukossa kuvataan, miten ominaisuudet lisätään DescriptorIdList tiedostoryhmään:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Ryhmään viitataan merkinnässä parametreina, kuten seuraavassa katkelmassa esitetään:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Seuraavassa taulukossa kuvataan PrintJob ryhmän ominaisuudet:

Nimi Kuvaus
PrintOutputFileNameId Tulostuksen kohdetiedoston polku tiedostoon tulostamista varten. Yleismerkkejä tuetaan. Esimerkiksi, C:\*\Test.pdf
PrintDocumentNameId Lähdetiedoston polku. Yleismerkkejä tuetaan. Tätä polkua ei ehkä ole. Voit esimerkiksi lisätä tekstiä uuteen tiedostoon Muistiossa ja tulostaa tallentamatta tiedostoa.

Nämä ominaisuudet lisätään DescriptorIdList tyyppiryhmään PrintJobseuraavassa katkelmassa esitetyllä tavalla:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Ryhmään viitataan merkinnässä parametreina, kuten seuraavassa katkelmassa esitetään:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Tiedostotodisteet

Laitteen ohjausobjektin avulla voit tallentaa todisteita tiedostoista, jotka on kopioitu siirrettäviin laitteisiin tai tulostettu. Kun todistetiedosto on käytössä, RemovableStorageFileEvent luodaan . Tiedostotodisteiden toimintaa ohjaavat Salli-toiminnon asetukset seuraavassa taulukossa kuvatulla tavalla:

Vaihtoehto Kuvaus
8 RemovableStorageFileEvent tapahtuman CreateFileEvidenceLocation
16 Create ilman RemovableStorageFileEventFileEvidenceLocation

- FileEvidenceLocation kentässä on todistetiedoston sijainti, jos sellainen luodaan. Todistetiedoston nimen lopussa .dupon , ja asetus hallitsee sen sijaintia DataDuplicationFolder .

Tiedostotodisteiden tallentaminen Azure Blob -säilöön

  1. Create Azure Blob -säilön tilin ja säilön.

  2. Create säilön käyttöä varten kutsuttua Device Control Evidence Data Provider mukautettua roolia. Roolilla on oltava seuraavat oikeudet:

    "permissions": [
            {
                "actions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/write",
                    "Microsoft.Storage/storageAccounts/blobServices/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
                ],
                "notDataActions": []
            }
        ]

    Mukautettuja rooleja voidaan luoda komentorivikäyttöliittymän tai PowerShellin kautta

    Vihje

    Sisäisellä säilön blob-tietojen osallistujalla on poisto-oikeudet säilöön, jota ei tarvita laitteen hallintaominaisuuden todisteiden tallentamiseen. Säilön blob-tietojen lukija -roolilla ei ole tarvittavia kirjoitusoikeuksia. Siksi mukautettua roolia suositellaan.

    Tärkeää

    Sen varmistamiseksi, että tiedostotodisteen eheys säilyy, käytä Azure Immutable Storagea

  3. Määritä roolille laitteen ohjausobjektin Device Control Evidence Data Provider käyttäjät.

  4. RemoteStorageFileEvent Määritä Azure Blob -säilön URL-osoitteeksi.

Seuraavat vaiheet