Del via

Distribuer og administrer enhetskontroll i Microsoft Defender for endepunkt med Microsoft Intune

  • Artikkel

Gjelder for:

Hvis du bruker Intune til å administrere Defender for endepunktinnstillinger, kan du bruke det til å distribuere og administrere funksjoner for enhetskontroll. Ulike aspekter ved enhetskontroll administreres annerledes i Intune, som beskrevet i avsnittene nedenfor.

Konfigurere og administrere enhetskontroll i Intune

  1. Gå til administrasjonssenteret for Intune og logg på.

  2. Gå til endepunktsikkerhet>, angrepsoverflatereduksjon.

  3. Velg en eksisterende policy under Policyer for reduksjon av angrepsoverflate, eller velg + Opprett Policy for å konfigurere en ny policy ved hjelp av disse innstillingene:

    • Velg Windows 10, Windows 11 og Windows Server fra plattformlisten. (Enhetskontroll støttes for øyeblikket ikke på Windows Server, selv om du velger denne profilen for policyer for enhetskontroll.)
    • Velg Enhetskontroll i profillisten.

  4. Angi et navn og en beskrivelse for policyen på Grunnleggende-fanen .

  5. Du ser en liste over innstillinger på fanen Konfigurasjonsinnstillinger . Du trenger ikke å konfigurere alle disse innstillingene samtidig. Vurder å starte med enhetskontroll.

    Skjermbilde av Intune brukergrensesnitt for policyer for enhetskontroll.

  6. Når du har konfigurert innstillingene, går du til fanen Omfangskoder , der du kan angi omfangskoder for policyen.

  7. Angi grupper med brukere eller enheter som skal motta policyen, på Oppgaver-fanen. Hvis du vil ha mer informasjon, kan du se Tilordne policyer i Intune.

  8. Se gjennom innstillingene på se gjennom + opprett-fanen , og gjør eventuelle nødvendige endringer.

  9. Når du er klar, velger du Opprett for å opprette policyen for enhetskontroll.

Enhetskontrollprofiler

I Intune representerer hver rad en policy for enhetskontroll. Den inkluderte ID-en er den gjenbrukbare innstillingen som policyen gjelder for. Den utelatte IDen er den gjenbrukbare innstillingen som er utelatt fra policyen. Oppføringen for policyen inneholder tillatelsene som er tillatt, og virkemåten for enhetskontroll som trer i kraft når policyen gjelder.

Skjermbildet som viser siden der du kan konfigurere innstillingene for enhetskontrollfunksjonen.

Hvis du vil ha informasjon om hvordan du legger til grupper med innstillinger som kan brukes på nytt, som er inkludert i raden for hver policy for enhetskontroll, kan du se delen Legg til grupper som kan brukes på nytt, i delen Om enhetskontroll i Bruk grupper med innstillinger som kan brukes på nytt, med Intune policyer.

Policyer kan legges til og fjernes ved hjelp av +ikonene og – . Navnet på policyen vises i advarselen til brukerne, og i avansert jakt og rapporter.

Du kan legge til overvåkingspolicyer, og du kan legge til Policyer for tillat/avslåing. Det anbefales å alltid legge til en Policy for tillat og/eller Avslå når du legger til en overvåkingspolicy, slik at du ikke får uventede resultater.

Viktig

Hvis du bare konfigurerer overvåkingspolicyer, arves tillatelsene fra standardinnstillingen for håndhevelse.

Obs!

  • Rekkefølgen som policyene er oppført i brukergrensesnittet, bevares ikke for policyhåndhevelse. Den beste fremgangsmåten er å bruke Policyer for tillat/avslåing. Sørg for at alternativet Tillat/avslå policyer ikke overlapper hverandre ved å eksplisitt legge til enheter som skal utelates. Hvis du bruker Intune grafiske grensesnitt, kan du ikke endre standard håndhevelse. Hvis du endrer standard håndhevelse til Avslå, resulterer alle tillatte policyer i blokkeringshandlinger.

Definere innstillinger med OMA-URI

Viktig

Bruk av Intune OMA-URI for å konfigurere enhetskontroll krever at arbeidsbelastningen for enhetskonfigurasjon administreres av Intune, hvis enheten administreres sammen med Configuration Manager. Hvis du vil ha mer informasjon, kan du se Slik bytter du Configuration Manager arbeidsbelastninger til Intune.

Identifiser innstillingen du vil konfigurere, i tabellen nedenfor, og bruk deretter informasjonen i OMA-URI- og datatypen & verdikolonner. Innstillingene er oppført i alfabetisk rekkefølge.

Innstilling OMA-URI, datatype, & verdier
Standard håndhevelse av enhetskontroll
Standard håndhevelse fastslår hvilke beslutninger som tas under kontroll av enhetskontroll når ingen av policyreglene samsvarer		 ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Heltall:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Enhetstyper
Enhetstyper, identifisert av deres primære ID-er, med enhetskontrollbeskyttelse aktivert		 ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Streng:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Aktiver enhetskontroll
Aktivere eller deaktivere enhetskontroll på enheten		 ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Heltall:
- Deaktiver = 0
- Aktiver = 1
Ekstern plassering for bevisdata
Enhetskontroll flytter bevisdata som er fanget opp		 ./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

Streng
Varighet for lokal bevishurtigbuffer
Angir oppbevaringsperioden i dager for filer i kontrollbufferen for lokal enhet		 ./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

Heltall
Eksempel: 60 (60 dager)

Opprette policyer med OMA-URI

Skjermbildet som viser siden der du kan opprette en policy med OMA-URI.

Når du oppretter policyer med OMA-URI i Intune, oppretter du én XML-fil for hver policy. Som en anbefalt fremgangsmåte kan du bruke profilen for enhetskontroll eller enhetskontrollregler til å utforme egendefinerte policyer.

Angi følgende innstillinger i Ruten Legg til rad :

  • Skriv inn Allow Read Activityi Navn-feltet.
  • Skriv inn /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleDatai OMA-URI-feltet.
  • Velg Streng (XML-fil) i Datatype-feltet, og bruk egendefinert XML.

Du kan bruke parametere til å angi betingelser for bestemte oppføringer. Her er et gruppeeksempel på XML-fil for Tillat lesetilgang for hver flyttbare lagringsplass.

Obs!

Kommentarer som bruker XML-merknadsmerknader , kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.

Opprette grupper med OMA-URI

Skjermbildet som viser siden der du kan opprette en gruppe med OMA-URI.

Når du oppretter grupper med OMA-URI i Intune, oppretter du én XML-fil for hver gruppe. Som en anbefalt fremgangsmåte kan du bruke gjenbrukbare innstillinger til å definere grupper.

Angi følgende innstillinger i Ruten Legg til rad :

  • Skriv inn Any Removable Storage Groupi Navn-feltet.
  • Skriv inn ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupDatai OMA-URI-feltet. (Hvis du vil hente gruppe-ID-en, går du til Grupper i administrasjonssenteret for Intune, og deretter velger du Kopier objekt-ID-en.)
  • Velg Streng (XML-fil) i Datatype-feltet, og bruk egendefinert XML.

Obs!

Kommentarer som bruker XML-merknadsmerknader <!-- COMMENT -- > , kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.

Konfigurer flyttbar tilgangskontroll for lagring ved hjelp av OMA-URI

  1. Gå til administrasjonssenteret for Microsoft Intune og logg på.

  2. Velgkonfigurasjonsprofiler for enheter>. Siden Konfigurasjonsprofiler vises.

  3. Velg + Opprett under Policyer-fanen (valgt som standard), og velg + Ny policy fra rullegardinlisten som vises. Den Opprett en profilside vises.

  4. Velg Windows 10, Windows 11 og Windows Server fra rullegardinlisten Plattform i plattformlisten, og velg Maler fra rullegardinlisten Profiltype.

    Når du velger Maler fra rullegardinlisten Profiltype , vises malnavneruten sammen med en søkeboks (for å søke i profilnavnet).

  5. Velg Egendefinert fra Malnavn-ruten, og velg Opprett.

  6. Opprett en rad for hver innstilling, gruppe eller policy ved å implementere trinn 1–5.

Vis enhetskontrollgrupper (innstillinger som kan brukes på nytt)

I Intune vises enhetskontrollgrupper som gjenbrukbare innstillinger.

  1. Gå til administrasjonssenteret for Microsoft Intune og logg på.

  2. Gå til Surface Reduction for endepunktsikkerhetsangrep>.

  3. Velg fanen Innstillinger som kan brukes på nytt .

Se også