Управление устройствами в Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса

Возможности управления устройствами в Microsoft Defender для конечной точки позволяют вашей группе безопасности контролировать, могут ли пользователи устанавливать и использовать периферийные устройства, такие как съемные устройства (USB-накопители, компакт-диски, диски и т. д.), принтеры, устройства Bluetooth или другие устройства со своими компьютерами. Ваша команда безопасности может настроить политики управления устройствами, чтобы настроить следующие правила:

• Запретить пользователям устанавливать и использовать определенные устройства (например, USB-накопители)
• Запретить пользователям устанавливать и использовать внешние устройства с определенными исключениями
• Разрешить пользователям устанавливать и использовать определенные устройства
• Разрешить пользователям устанавливать и использовать только устройства с шифрованием BitLocker на компьютерах Windows

Этот список предназначен для предоставления некоторых примеров. Это не исчерпывающий список; Есть и другие примеры, которые следует рассмотреть (см. элемент управления устройством в Windows в этой статье).

Управление устройствами помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. С помощью управления устройствами группа безопасности может определить, могут ли пользователи устанавливать и использовать периферийные устройства на своих компьютерах.

Управление устройствами в Windows

В этом разделе перечислены сценарии для управления устройствами в Windows.

Совет

Если вы используете Mac, управление устройствами может управлять доступом к Bluetooth, устройствам iOS, портативным устройствам, таким как камеры, и съемным носителям, таким как USB-устройства. См . раздел Управление устройствами для macOS.

Выберите вкладку, просмотрите сценарии и определите тип создаваемой политики управления устройствами.

Съемный носитель

Сценарий	Политика управления устройствами
Запретить установку определенного USB-устройства	Управление устройством в Windows. См . статью Политики управления устройствами.
Запретить установку всех USB-устройств, разрешая установку только авторизованного USB	Управление устройством в Windows. См . статью Политики управления устройствами.
Запретить доступ на запись и выполнение для всех, но разрешить определенные утвержденные USB	Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами.
Аудит доступа на запись и выполнение для всех заблокированных USB, кроме блокировки.	Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами.
Блокировка доступа на чтение и выполнение к определенному расширению файла	Управление устройством в Microsoft Defender. См . статью Политики управления устройствами.
Блокировка доступа пользователей к съемному хранилищу, если компьютер не подключается к корпоративной сети	Управление устройством в Microsoft Defender. См . статью Политики управления устройствами.
Блокировка доступа на запись к съемным дискам с данными, не защищенным BitLocker	Управление устройством в Windows. См. раздел BitLocker.
Блокировка доступа на запись к устройствам, настроенным в другой организации	Управление устройством в Windows. См. раздел BitLocker.
Запрет копирования конфиденциальных файлов на USB	DLP конечной точки

Принтеры

Сценарий	Политика управления устройствами
Запретить людям печатать с помощью некорпораратных принтеров	Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами.
Разрешить только определенные USB-принтеры по VID/PID	Управление устройством в Defender для конечной точки. См . статью Политики управления устройствами.
Запретить установку всех принтеров	Управление устройством в Windows. См . статью Политики управления устройствами.
Запрет установки определенного принтера	Управление устройством в Windows. См . статью Политики управления устройствами.
Запретить установку всех принтеров, разрешив установку определенного принтера	Управление устройством в Windows. См . статью Политики управления устройствами.
Блокировка печати конфиденциальных документов на любом принтере	DLP конечной точки

Bluetooth

Сценарий	Политика управления устройствами
Блокировка копирования конфиденциальных документов на любое устройство Bluetooth	DLP конечной точки

Поддерживаемые устройства

Управление устройствами поддерживает устройства Bluetooth, CD/ROM и DVD-устройства, принтеры, USB-устройства и другие типы портативных устройств. На устройстве с Windows, основанном на драйвере, некоторые периферийные устройства помечаются как съемные. В следующей таблице перечислены примеры устройств, поддерживаемых элементом управления устройствами, с их primary_id значениями и именами классов мультимедиа.

Тип устройства	PrimaryId в Windows	primary_id в macOS	Имя класса мультимедиа
Устройства Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROM, DVD-диски	CdRomDevices		CD-Roms
Устройства iOS		appleDevice
Переносимые устройства (например, камеры)		portableDevice
Принтеры	PrinterDevices		Printers
USB-устройства (съемные носители)	RemovableMediaDevices	removableMedia	USB
Переносные устройства Windows	WpdDevices		Windows Portable Devices (WPD)

Категории возможностей управления устройствами Майкрософт

Возможности управления устройствами от корпорации Майкрософт можно упорядочить в три main категории: управление устройствами в Windows, управление устройствами в Defender для конечной точки и защита от потери данных конечных точек (защита от потери данных в конечной точке).

• Управление устройством в Windows. Операционная система Windows имеет встроенные возможности управления устройствами. Группа безопасности может настроить параметры установки устройств, чтобы запретить (или разрешить) пользователям устанавливать определенные устройства на своих компьютерах. Политики применяются на уровне устройства и используют различные свойства устройства, чтобы определить, может ли пользователь устанавливать и использовать устройство. Управление устройствами в Windows работает с шаблонами BitLocker и ADMX и может управляться с помощью Intune.

  • BitLocker и Intune. BitLocker — это функция безопасности Windows, которая обеспечивает шифрование для целых томов. Вместе с Intune политики можно настроить для принудительного шифрования на устройствах, использующих BitLocker для Windows (и FileVault для Mac). Дополнительные сведения см. в статье Параметры политики шифрования дисков для безопасности конечных точек в Intune.

  • Административные шаблоны (ADMX) и Intune. Шаблоны ADMX можно использовать для создания политик, которые ограничивают или разрешают использование с компьютерами определенных типов USB-устройств. Дополнительные сведения см. в статье Ограничение USB-устройств и разрешение определенных USB-устройств с помощью шаблонов ADMX в Intune.

• Управление устройством в Defender для конечной точки. Управление устройствами в Defender для конечной точки предоставляет более расширенные возможности и является кроссплатформенным. Вы можете настроить параметры управления устройствами, чтобы запретить (или разрешить) пользователям доступ к содержимому на съемных запоминающих устройствах для чтения, записи или выполнения. Вы можете определить исключения и использовать политики аудита, которые обнаруживают, но не блокируют доступ пользователей к съемным запоминающим устройствам. Политики применяются на уровне устройства, пользователя или на обоих уровнях. Управление устройством в Microsoft Defender можно управлять с помощью Intune.

  • Управление устройством в Microsoft Defender и Intune. Intune предоставляет широкие возможности для управления сложными политиками управления устройствами для организаций. Например, можно настроить и развернуть параметры ограничения устройств в Defender для конечной точки. См. раздел Настройка параметров ограничения устройств в Microsoft Intune.

• Защита от потери данных конечной точки (защита от потери данных в конечной точке). Конечная точка защиты от потери данных отслеживает конфиденциальную информацию на устройствах, подключенных к решениям Microsoft Purview. Политики защиты от потери данных могут применять защитные действия в отношении конфиденциальной информации и места ее хранения или использования. Сведения о защите от потери данных в конечной точке.

Дополнительные сведения об этих возможностях см. в разделе Сценарии управления устройствами (в этой статье).

Примеры и сценарии управления устройствами

Управление устройствами в Defender для конечной точки предоставляет группе безопасности надежную модель управления доступом, которая обеспечивает широкий спектр сценариев (см. статью Политики управления устройствами). Мы создали репозиторий GitHub, содержащий примеры и сценарии, которые можно изучить. Ознакомьтесь с приведенными ниже материалами.

• Примеры сведений об элементах управления устройствами
• Начало работы с примерами элементов управления устройствами на устройствах Windows
• Примеры управления устройствами для macOS

Если вы не знакомы с управлением устройствами, см. пошаговые руководства по управлению устройствами.

Предварительные условия

Управление устройствами в Defender для конечной точки можно применять к устройствам под управлением Windows 10 или Windows 11 с версией клиента защиты от вредоносных программ или более поздней.4.18.2103.3 (В настоящее время серверы не поддерживаются.)

• 4.18.2104 или более поздней версии: добавьте SerialNumberId, VID_PID, поддержку объектов групповой политики на основе filepath и ComputerSid
• 4.18.2105 или более поздней версии: добавлена поддержка с подстановочными знаками для HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, сочетание определенного пользователя на определенном компьютере, съемный SSD (SanDisk Extreme SSD)/ПОДДЕРЖКА USB-присоединенного SCSI (UAS)
• 4.18.2107 или более поздней версии: добавлена поддержка переносимых устройств Windows (WPD) (для мобильных устройств, таких как планшеты); добавить AccountName в расширенную охоту
• 4.18.2205 или более поздней версии: разверните принудительное применение по умолчанию на принтер. Если для параметра задано значение Запретить, он также блокирует принтер, поэтому если вы хотите только управлять хранилищем, обязательно создайте настраиваемую политику для разрешения принтера.
• 4.18.2207 или позже: добавление поддержки файлов; Распространенный вариант использования может быть: запретить пользователям доступ к конкретному файлу для чтения, записи и выполнения в съемном хранилище. Добавлена поддержка сетевых и VPN-подключений; Распространенный вариант использования может быть: запретить пользователям доступ к съемным хранилищам, если компьютер не подключается к корпоративной сети.

Для Mac см. раздел Управление устройствами для macOS.

В настоящее время управление устройствами не поддерживается на серверах.

Дальнейшие действия

• Пошаговые руководства по управлению устройствами
• Сведения о политиках управления устройствами
• Просмотр отчетов об управлении устройствами