Principer för enhetskontroll i Microsoft Defender för Endpoint

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag

I den här artikeln beskrivs principer, regler, poster, grupper och avancerade villkor för enhetskontroll. I princip definierar principer för enhetskontroll åtkomst för en uppsättning enheter. De enheter som finns i omfånget bestäms av en lista över inkluderade enhetsgrupper och en lista över undantagna enhetsgrupper. En princip gäller om enheten finns i alla inkluderade enhetsgrupper och ingen av de undantagna enhetsgrupperna. Om inga principer tillämpas tillämpas standardtillämpningen.

Som standard är enhetskontrollen inaktiverad, så åtkomst till alla typer av enheter tillåts. Mer information om enhetskontroll finns i Enhetskontroll i Microsoft Defender för Endpoint.

Kontrollera standardbeteendet

När enhetskontrollen är aktiverad är den aktiverad för alla enhetstyper som standard. Standardtillämpningen kan också ändras från Tillåt till Neka. Ditt säkerhetsteam kan också konfigurera de typer av enheter som enhetskontroll skyddar. I följande tabell nedan visas hur olika kombinationer av inställningar ändrar åtkomstkontrollbeslutet.

Är enhetskontrollen aktiverad?	Standardbeteende	Enhetstyper
Nej	Åtkomst tillåts	– CD/DVD-enheter -Skrivare – Flyttbara medieenheter – Bärbara Windows-enheter
Ja	(Inte angivet) Åtkomst tillåts	– CD/DVD-enheter -Skrivare – Flyttbara medieenheter – Bärbara Windows-enheter
Ja	Förneka	– CD/DVD-enheter -Skrivare – Flyttbara medieenheter – Bärbara Windows-enheter
Ja	Neka flyttbara medieenheter och skrivare	– Skrivare och flyttbara medieenheter (blockerade) – CD/DVD-enheter och bärbara Windows-enheter (tillåts)

När enhetstyper har konfigurerats ignorerar enhetskontrollen i Defender för Endpoint begäranden till andra enhetsfamiljer.

Mer information finns i följande artiklar:

• Distribuera och hantera enhetskontroll med Intune
• Distribuera och hantera enhetskontroll med grupprincip

Policyer

För att ytterligare förfina åtkomsten till enheter använder enhetskontrollen principer. En princip är en uppsättning regler och grupper. Hur regler och grupper definieras varierar något mellan hanteringsupplevelser och operativsystem, enligt beskrivningen i följande tabell.

Hanteringsverktyg	Operativsystem	Så här hanteras regler och grupper
Intune – Princip för enhetskontroll	Windows	Enhets- och skrivargrupper kan hanteras som återanvändbara inställningar och inkluderas i regler. Alla funktioner är inte tillgängliga i enhetskontrollprincipen (se Distribuera och hantera enhetskontroll med Microsoft Intune)
Intune – anpassad	Windows	Varje grupp/regel lagras som en XML-sträng i en anpassad konfigurationsprincip. OMA-URI innehåller GUID för gruppen/regeln. GUID måste genereras.
Grupprincip	Windows	Grupper och regler definieras i separata XML-inställningar i grupprincip-objektet (se Distribuera och hantera enhetskontroll med grupprincip).
Intune	Mac	Reglerna och principerna kombineras till en enda JSON och ingår i mobileconfig filen som distribueras med hjälp av Intune
JAMF	Mac	Reglerna och principerna kombineras till en enda JSON och konfigureras med jamf som enhetskontrollprincip (se Enhetskontroll för macOS)

Regler och grupper identifieras med globalt unikt ID (GUID). Om principer för enhetskontroll distribueras med ett annat hanteringsverktyg än Intune måste GUID:erna genereras. Du kan generera GUID:erna med hjälp av PowerShell.

Schemainformation finns i JSON-schema för Mac.

Användare

Principer för enhetskontroll kan tillämpas på användare och/eller användargrupper.

Obs!

I artiklarna om enhetskontroll kallas användargrupper för användargrupper. Termen grupper refererar till grupper som definierats i enhetskontrollprincipen.

Med hjälp av Intune kan enhetskontrollprinciper på mac och Windows riktas till användargrupper som definierats i Entra-ID.

I Windows kan en användare eller användargrupp vara ett villkor för en post i en princip.

Poster med användar- eller användargrupper kan referera till objekt från antingen Entra-ID eller en lokal Active Directory.

Metodtips för att använda enhetskontroll med användare och användargrupper

• Om du vill skapa en regel för en enskild användare i Windows skapar du en post med villkoret Sid foreach-användare i en regel

• Skapa en regel för en användargrupp i Windows och Intune genom att antingen skapa en post med ett Sid villkor för varje användargrupp i en [regel] och rikta principen mot en datorgrupp i Intune eller skapa en regel utan villkor och rikta principen med Intune till användargruppen.

• På Mac använder du Intune och riktar principen mot en användargrupp i Entra-ID.

Varning

Använd inte både användar-/användargruppsvillkor i regler och mål för användargrupper i Intune.

Obs!

Om nätverksanslutningen är ett problem använder du Intune användargruppsinriktning eller en lokal Active Directory-grupp. Användar-/användargruppsvillkor som refererar till Entra-ID bör endast användas i miljöer som har en tillförlitlig anslutning till Entra-ID.

Regler

En regel definierar listan över inkluderade grupper och en lista över undantagna grupper. För att regeln ska gälla måste enheten finnas i alla inkluderade grupper och ingen av de undantagna grupperna. Om enheten matchar regeln utvärderas posterna för den regeln. En post definierar de åtgärds- och meddelandealternativ som tillämpas, om begäran matchar villkoren. Om inga regler gäller eller om inga poster matchar begäran tillämpas standardtillämpningen.

Om du till exempel vill tillåta skrivåtkomst för vissa USB-enheter och läsåtkomst för alla andra USB-enheter använder du följande principer, grupper och poster med standardtillämpning inställd på att neka.

Grupp	Beskrivning
Alla flyttbara lagringsenheter	Flyttbara lagringsenheter
Skrivbara USBs	Lista över USB:er där skrivåtkomst tillåts

Regel	Inkluderade enhetsgrupper	Undantagna enhetsgrupper	Intrade
Skrivskyddad åtkomst för USBs	Alla flyttbara lagringsenheter	Skrivbara USBs	Skrivskyddad åtkomst
Skrivåtkomst för USBs	Skrivbara USBs		Skrivåtkomst

Namnet på regeln visas i portalen för rapportering och i popup-meddelandet till användare, så se till att ge reglerna beskrivande namn.

Du kan konfigurera regler genom att redigera principer i Intune, med hjälp av en XML-fil i Windows eller med hjälp av en JSON-fil på Mac. Välj varje flik för mer information.

Intune

Följande bild visar konfigurationsinställningar för en enhetskontrollprincip i Intune:

I skärmbilden är det inkluderade ID:t och exkluderade ID:t referenser till inkluderade och exkluderade återanvändbara inställningsgrupper. En princip kan ha flera regler.

Intune respekterar inte ordningen på reglerna. Reglerna kan utvärderas i valfri ordning, så se till att uttryckligen exkludera grupper av enheter som inte omfattas av regeln.

XML (Windows)

Följande kodfragment visar syntaxen för en principregel för enhetskontroll i XML:

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

Följande tabell innehåller mer kontext för XML-kodfragmentet:

Egenskapsnamn	Beskrivning	Alternativ
PolicyRule Id	GUID, ett unikt ID, representerar principen och används i rapportering och felsökning.	Du kan generera ID:t via PowerShell.
Name	Sträng, namnet på principen och visas i popup-fönstret baserat på principinställningen.
IncludedIdList	De grupper som principen gäller för. Om flera grupper läggs till måste mediet vara medlem i varje grupp i listan för att inkluderas.	Grupp-ID/GUID måste användas i den här instansen. I följande exempel visas användningen av GroupID: <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	De grupper som principen inte gäller för. Om flera grupper läggs till måste mediet vara medlem i en grupp i listan för att undantas.	Grupp-ID/GUID måste användas i den här instansen.
Entry	En PolicyRule kan ha flera poster. varje post med ett unikt GUID anger en begränsning för enhetskontroll.	Se tabellen För postegenskaper nedan för att få information.

JSON (Mac)

Följande kodfragment visar syntaxen för en principregel för enhetskontroll i JSON för macOS:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

Följande tabell innehåller mer kontext för XML-kodfragmentet:

Egenskapsnamn	Beskrivning	Alternativ
id	GUID, ett unikt ID, representerar regeln och används i principen.	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	Sträng, namnet på principen och visas i popup-fönstret baserat på principinställningen.
includeGroups	De grupper som principen tillämpas på. Om flera grupper anges gäller principen för alla medier i alla dessa grupper. Om den inte anges gäller regeln för alla enheter.	ID-värdet i gruppen måste användas i den här instansen. Om flera grupper finns i includeGroups är ANDdet . "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	Den grupp som principen inte gäller för.	Värdet id i gruppen måste användas i den här instansen. Om flera grupper finns i excludeGroups är ORdet .
entries	En regel kan ha flera poster. varje post med ett unikt GUID anger en begränsning för enhetskontroll.	Mer information finns i tabellen med postegenskaper längre fram i den här artikeln.

Poster

Principer för enhetskontroll definierar åtkomst (kallas en post) för en uppsättning enheter. Poster definierar åtgärds- och meddelandealternativen för enheter som matchar principen och de villkor som definieras i posten.

Inställning för post	Alternativ
AccessMask	Tillämpar endast åtgärden om åtkomståtgärderna matchar åtkomstmasken – Åtkomstmasken är bitvis ELLER för åtkomstvärdena: 1 – Enhetsläsning 2 – Enhetsskrivning 4 – Kör enhet 8 – Filläsning 16 – Filskrivning 32 – Kör fil 64 – Skriv ut Till exempel: Enhetsläsning, skrivning och körning = 7 (1+2+4) Enhetsläsning, Diskläsning = 9 (1+8)
Åtgärd	Tillåt Förneka AuditAllow AuditDeny
Anmälan	Ingen (standard) En händelse genereras Användaren får ett meddelande Filbevis samlas in

Varning

Februari 2024-versionen ger inkonsekventa resultat för kunder med enhetskontroll som använder principer för flyttbara media med endast åtkomst på disk-/enhetsnivå (masker som är mindre än eller lika med 7). Tvingande åtgärder kanske inte fungerar som förväntat. För att åtgärda det här problemet rekommenderar vi att du återställer till den tidigare versionen.

Om enhetskontrollen har konfigurerats och en användare försöker använda en enhet som inte tillåts får användaren ett meddelande som innehåller namnet på enhetens kontrollprincip och namnet på enheten. Meddelandet visas en gång i timmen efter att den första åtkomsten nekats.

En post stöder följande valfria villkor:

• Villkor för användar-/användargrupp: Tillämpar endast åtgärden på den användar-/användargrupp som identifieras av SID

Obs!

För användargrupper och användare som lagras i Microsoft Entra-ID använder du objekt-ID:t i villkoret. För användargrupper och användare som lagras lokalt använder du säkerhetsidentifieraren (SID)

Obs!

I Windows kan SID för användaren som är inloggad hämtas genom att köra PowerShell-kommandot whoami /user.

• Datorvillkor: Tillämpar endast åtgärden på den enhet/grupp som identifieras av SID
• Villkor för parametrar: Tillämpar endast åtgärden om parametrarna matchar (se Avancerade villkor)

Poster kan begränsas ytterligare till specifika användare och enheter. Tillåt till exempel läsåtkomst till dessa USB:er endast för den här användaren på den här enheten.

Politik	Inkluderade enhetsgrupper	Undantagna enhetsgrupper	Entry(ies)
Skrivskyddad åtkomst för USBs	Alla flyttbara lagringsenheter	Skrivbara USBs	Skrivskyddad åtkomst
Skrivåtkomst för USBs	Skrivbara USBs		Skrivåtkomst för användare 1 Skrivåtkomst för användare 2 på enhetsgrupp A

Alla villkor i posten måste vara uppfyllda för att åtgärden ska tillämpas.

Du kan konfigurera poster med hjälp av Intune, en XML-fil i Windows eller en JSON-fil på Mac. Välj varje flik för mer information.

Intune

I Intune innehåller fältet Access-mask alternativ, till exempel:

• Läsa (disknivåläsning = 1)
• Skrivning (skrivning på disknivå = 2)
• Kör (kör på disknivå = 4)
• Skriv ut (Skriv ut = 64).

Alla funktioner visas inte i Intune användargränssnittet. Mer information finns i Distribuera och hantera enhetskontroll med Intune.

XML (Windows)

Följande kodfragment visar syntaxen för en enhetskontrollpost i XML:

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

Följande tabell innehåller mer kontext för XML-kodfragmentet:

Egenskapsnamn	Beskrivning	Alternativ
Entry Id	GUID, ett unikt ID, representerar posten och används i rapportering och felsökning.	Du kan generera GUID med hjälp av PowerShell.
Type	Definierar åtgärden för flyttbara lagringsgrupper i IncludedIDList. - Allow - Deny - AuditAllowed: Definierar meddelande och händelse när åtkomst tillåts - AuditDenied: Definierar meddelande och händelse när åtkomst nekas; fungerar tillsammans med en Deny post. När det finns konflikttyper för samma media tillämpar systemet den första i principen. Ett exempel på en konflikttyp är Allow och Deny.	- Allow - Deny - AuditAllowed - AuditDenied
Option	Om typen är Allow	- 0:Ingenting - 4: inaktivera AuditAllowed och AuditDenied för den här posten. Om Allow inträffar och inställningen AuditAllowed har konfigurerats genereras inte händelser. - 8: skapa en kopia av filen som bevis och generera en RemovableStorageFileEvent händelse. Den här inställningen måste användas tillsammans med inställningen Ange plats för en kopia av filinställningen i Intune eller grupprincip.
Option	Om typen är Deny	- 0:Ingenting - 4: inaktivera AuditDenied för den här posten. Om Blockera inträffar och AuditDenied inställningen är konfigurerad visas inte meddelanden i systemet.
Option	Om typen är AuditAllowed	- 0:Ingenting - 1:Ingenting - 2: skicka händelse
Option	Om typen är AuditDenied	- 0:Ingenting - 1: visa meddelande - 2: skicka händelse - 3: visa meddelande och skicka händelse
AccessMask	Definierar åtkomsten	Se följande avsnitt Förstå maskåtkomst
Sid	Lokalt användar-SID eller användar-SID eller SID för Microsoft Entra-objektet eller objekt-ID. Den definierar om den här principen ska tillämpas på en viss användare eller användargrupp. En post kan ha högst ett SID och en post utan SID-medel för att tillämpa principen på enheten.	SID
ComputerSid	Sid- eller dator-SID-grupp på den lokala datorn, sid för Microsoft Entra-objektet eller objekt-ID:t. Den definierar om den här principen ska tillämpas på en specifik enhet eller enhetsgrupp. En post kan ha högst ett ComputerSID och en post utan computerSID-medel för att tillämpa principen på enheten. Om du vill tillämpa en post på en specifik användare och en specifik enhet lägger du till både SID och ComputerSID i samma post.	SID
Parameters	Villkor för en post, till exempel nätverksvillkor.	Kan lägga till grupper (icke-enhetstyper) eller till och med placera parametrar i parametrar. Mer information finns i avsnittet avancerade villkor (i den här artikeln).

Förstå maskåtkomst (Windows)

Enhetskontrollen använder en åtkomstmask för att avgöra om begäran matchar posten. Följande åtgärder är tillgängliga för CdRomDevices, RemovableMediaDevicesoch WpdDevices:

Åtkomst	Mask
Läsa på disknivå	1
Skrivning på disknivå	2
Köra disknivå	4
Filsystemläsning	8
Skrivning av filsystem	16
Kör filsystem	32

Följande åtgärder är tillgängliga på PrinterDevices:

• Åtkomst: Skriv ut
• Mask: 64

Du kan ha flera åtkomstinställningar genom att utföra en binär ELLER-åtgärd. Här är ett exempel:

• AccessMask för läsa och skriva och köra är 7
• AccessMask för läsning och skrivning är 3

JSON (Mac)

Följande kodfragment visar syntaxen för en enhetskontrollpost i JSON för macOS:

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

Följande tabell innehåller mer kontext för JSON-kodfragmentet:

Egenskapsnamn	Beskrivning	Alternativ
id	GUID, ett unikt ID, representerar posten och används i rapportering och felsökning.	Du kan generera ID:t med hjälp av PowerShell.
enforcement $type	Definierar åtgärden för flyttbara lagringsgrupper i includedGroups. - allow - deny - auditAllow: Definierar meddelande och händelse när åtkomst tillåts - AuditDeny: Definierar meddelande och händelse när åtkomst nekas; måste arbeta tillsammans med neka-posten. När det finns konflikttyper för samma media tillämpar systemet den första i principen. Ett exempel på en konflikttyp är Tillåt och Neka.	Attributet enforcement $type kan vara något av följande värden: - allow - deny - auditAllow - auditDeny
enforcement $options	Om tvingande $type tillåts	disable_audit_allow: Om Tillåt inträffar och inställningen auditAllow har konfigurerats skickar systemet inte händelser.
enforcement $options	Om $type nekas	disable_audit_deny: Om Blockera inträffar och inställningen auditDeny är konfigurerad visar systemet inte meddelanden eller skickar händelser.
enforcement $options	Om tvingande $type är auditAllow	send_event: Skickar telemetri
enforcement $options	Om $type är auditDeny	- send_event: Skickar telemetri - show_notification: Visar blockeringsmeddelande för användaren
$type	Typ av post. Typen avgör vilka åtgärder som kan skyddas av enhetskontroll	Attributen $type kan vara något av följande värden: - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	En lista över åtgärder som den här posten beviljar	Se nästa avsnitt, "Förstå åtkomst på Mac"

Förstå åtkomst (Mac)

Det finns två typer av åtkomst för en post: generisk och enhetstypspecifik.

• Allmänna åtkomstalternativ är generic_read, generic_writeoch generic_execute.
• Enhetstypsspecifik åtkomst ger en finare kontrollkornighet, eftersom enhetstypens specifika åtkomstvärden ingår i de allmänna åtkomsttyperna.

I följande tabell beskrivs enhetstypens specifika åtkomst och hur de mappas till de allmänna åtkomsttyperna.

Enhetstyp ($type)	Specifik åtkomst för enhetstyp	Beskrivning	Läsa	Skriv	Verkställ
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	ladda ned foton från den specifika iOS-enheten till den lokala enheten	X
appleDevice	download_files_from_device	ladda ned filer från den specifika iOS-enheten till den lokala enheten	X
appleDevice	sync_content_to_device	synkronisera innehåll från en lokal enhet till en specifik iOS-enhet		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	ADB-verktygskontroll			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

Grupper

Grupper definierar kriterier för filtrering av objekt efter deras egenskaper. Objektet tilldelas till gruppen om dess egenskaper matchar de egenskaper som definierats för gruppen.

Obs!

Grupper i det här avsnittet refererar inte till användargrupper.

Till exempel:

• Tillåtna USB:er är alla enheter som matchar någon av dessa tillverkare
• Förlorade USB:er är alla enheter som matchar något av dessa serienummer
• Tillåtna skrivare är alla enheter som matchar någon av dessa VID/PID

Egenskaperna kan matchas på fyra sätt: MatchAll, MatchAny, MatchExcludeAlloch MatchExcludeAny

• MatchAll: Egenskaperna är en "And"-relation; Om administratören till exempel placerar DeviceID och InstancePathID, för varje ansluten USB, kontrollerar systemet om USB uppfyller båda värdena.
• MatchAny: Egenskaperna är en "Eller"-relation; Om administratören till exempel placerar DeviceID och InstancePathID, för varje ansluten USB, framtvingar systemet så länge USB har antingen ett identiskt DeviceID eller InstanceID värde.
• MatchExcludeAll: Egenskaperna är en "And"-relation. Alla objekt som INTE uppfyller omfattas. Om administratören till exempel placerar DeviceID och InstancePathID använder MatchExcludeAll, för varje ansluten USB, framtvingar systemet så länge USB inte har både identiska DeviceID värden och InstanceID värden.
• MatchExcludeAny: Egenskaperna är en "Eller"-relation. Alla objekt som INTE uppfyller omfattas. Om administratören till exempel placerar DeviceID och InstancePathID använder MatchExcludeAny, för varje ansluten USB, framtvingar systemet så länge USB inte har något identiskt DeviceID eller InstanceID värde.

Grupper används på två sätt: för att välja enheter för inkludering/exkludering i regler och för att filtrera åtkomst för avancerade villkor. Den här tabellen sammanfattar grupptyperna och hur de används.

Typ	Beskrivning	O/S	Inkludera/exkludera regler	Avancerade villkor
Enhet (standard)	Filtrera enheter och skrivare	Windows/Mac	X
Nätverk	Filtrera nätverksvillkor	Windows		X
VPN-anslutning	Filtrera VPN-villkor	Windows		X
Fil	Filtrera filegenskaper	Windows		X
Utskriftsjobb	Filteregenskaper för filen som skrivs ut	Windows		X

De enheter som omfattas av principen som bestäms av en lista över inkluderade grupper och en lista över undantagna grupper. En regel gäller om enheten finns i alla inkluderade grupper och ingen av de undantagna grupperna. Grupper kan bestå av egenskaperna för enheter. Följande egenskaper kan användas:

Egenskap	Beskrivning	Windows-enheter	Mac-enheter	Skrivare
FriendlyNameId	Det egna namnet i Windows Enhetshanteraren	J	N	J
PrimaryId	Enhetens typ	J	J	J
VID_PID	Leverantörs-ID är den fyrsiffriga leverantörskod som USB-kommittén tilldelar leverantören. Produkt-ID är den fyrsiffriga produktkod som leverantören tilldelar enheten. Jokertecken stöds. Till exempel 0751_55E0	J	N	J
PrinterConnectionId	Typ av skrivaranslutning: -USB -Företags -Nätverk -Universella -Filen -Anpassade -Lokala	N	N	J
BusId	Information om enheten (mer information finns i avsnitten som följer den här tabellen)	J	N	N
DeviceId	Information om enheten (mer information finns i avsnitten som följer den här tabellen)	J	N	N
HardwareId	Information om enheten (mer information finns i avsnitten som följer den här tabellen)	J	N	N
InstancePathId	Information om enheten (mer information finns i avsnitten som följer den här tabellen)	J	N	N
SerialNumberId	Information om enheten (mer information finns i avsnitten som följer den här tabellen)	J	J	N
PID	Produkt-ID är den fyrsiffriga produktkod som leverantören tilldelar enheten	J	J	N
VID	Leverantörs-ID är den fyrsiffriga leverantörskod som USB-kommittén tilldelar leverantören.	J	J	N
APFS Encrypted	Om enheten är APFS-krypterad	N	J	N

Använda Windows Enhetshanteraren för att fastställa enhetsegenskaper

För Windows-enheter kan du använda Enhetshanteraren för att förstå egenskaperna för enheter.

1. Öppna Enhetshanteraren, leta upp enheten, högerklicka på Egenskaper och välj sedan fliken Information.

2. I listan Egenskap väljer du Enhetsinstanssökväg.

   Värdet som visas för enhetsinstanssökvägen är InstancePathId, men det innehåller även andra egenskaper:

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   Egenskaperna i enhetshanteraren mappas till enhetskontroll enligt följande tabell:

   Enhetshanteraren	Enhetskontroll
   Maskinvaru-ID:t	HardwareId
   Visningsnamn	FriendlyNameId
   Överordnade	VID_PID
   DeviceInstancePath	InstancePathId

Använda rapporter och avancerad jakt för att fastställa egenskaper för enheter

Enhetsegenskaper har lite olika etiketter i avancerad jakt. Tabellen nedan mappar etiketterna i portalen till propertyId i en enhetskontrollprincip.

Microsoft Defender portalegenskap	Egenskaps-ID för enhetskontroll
Medienamn	FriendlyNameId
Leverantörs-ID	HardwareId
Deviceid	InstancePathId
Serienummer	SerialNumberId

Obs!

Kontrollera att det markerade objektet har rätt medieklass för principen. I allmänhet använder du Class Name == USBför flyttbar lagring .

Konfigurera grupper i Intune, XML i Windows eller JSON på Mac

Du kan konfigurera grupper i Intune, med hjälp av en XML-fil för Windows eller med hjälp av en JSON-fil på Mac. Välj varje flik för mer information.

Obs!

Group Id I XML och id i JSON används för att identifiera gruppen i enhetskontrollen. Det är inte en referens till någon annan, till exempel en användargrupp i Entra-ID.

Intune

Återanvändbara inställningar i Intune mappa till enhetsgrupper. Du kan konfigurera återanvändbara inställningar i Intune.

Det finns två typer av grupper: Skrivarenhet och flyttbar lagring. I följande tabell visas egenskaperna för dessa grupper.

Grupptyp	Egenskaper
Skrivarenhet	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
Flyttbar lagring	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

Följande XML-kodfragment visar syntaxen för matchande grupper:

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

I följande tabell beskrivs egenskaper för grupper.

Egenskapsnamn	Beskrivning	Alternativ
Group Id	GUID, ett unikt ID, representerar gruppen och som ska användas i principen.	Du kan generera ID:t via PowerShell.
Type	Typ av grupp	Enhet (standard) Andra typer av grupper (File, VPNConnection, PrintJob, Network) kan användas för avancerade villkor. Typen för grupper som används med regler är Device, vilket är standard.
MatchType	Matchande algoritm som används	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	Listan över egenskaper som utvärderats för inkludering i gruppen	Se DescriptionIdList-egenskaper (avsnitt efter den här tabellen)

DescriptionIdList-egenskaper

Egenskaperna som beskrivs i följande tabell kan inkluderas i DescriptionIdList:

Egenskap	Beskrivning
PrimaryId	Innehåller RemovableMediaDevices, CdRomDevices, WpdDevicesoch PrinterDevices.
InstancePathId	Sträng som unikt identifierar enheten i systemet, till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0. Den motsvarar enhetsinstanssökvägen i Enhetshanteraren i Windows. Talet i slutet (till exempel &0) representerar det tillgängliga facket och kan ändras från enhet till enhet. Använd ett jokertecken i slutet för bästa resultat. Till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.
DeviceId	Om du vill omvandla enhetsinstanssökvägen till enhets-ID-format använder du USB-standardidentifierare, till exempel följande exempel: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	Sträng som identifierar enheten i systemet, till exempel USBSTOR\DiskGeneric_Flash_Disk___8.07. Det motsvarar maskinvaru-ID:t i Enhetshanteraren i Windows. Tänk på att det HardwareId inte är unikt. Olika enheter kan dela samma värde.
FriendlyNameId	Sträng som är kopplad till enheten, till exempel Generic Flash Disk USB Device. Det motsvarar det egna namnet i Enhetshanteraren i Windows.
BusId	Till exempel , USBSCSI
SerialNumberId	Du hittar SerialNumberId sökvägen till enhetsinstansen i Enhetshanteraren i Windows. Är till exempel 03003324080520232521SerialNumberId i USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	– Leverantörs-ID är den fyrsiffriga leverantörskod som USB-kommittén tilldelar leverantören. – Produkt-ID är den fyrsiffriga produktkod som leverantören tilldelar enheten. Den stöder jokertecken. – Om du vill omvandla enhetsinstansens sökväg till leverantörs-ID och produkt-ID-format använder du USB-standardidentifierare. Här är några exempel: 0751_55E0: matcha det här exakta VID/PID-paret _55E0: matcha alla media med PID=55E0 0751_: matcha alla media med VID=0751

Här är några exempel på enhetsgruppsdefinitioner på lagringsplatsen för enhetskontrollexempel:

• Grupp av enheter efter instanssökvägs-ID
• Grupp av enheter efter VID_PID
• Grupp av enheter efter primärt ID

JSON (Mac)

Följande JSON-kodfragment visar syntaxen för att definiera grupper på Mac:

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

I följande tabell beskrivs egenskaper för grupper:

Egenskap	Beskrivning	Alternativ
$type	Typen av grupp	Enhet
id	GUID, ett unikt ID, representerar den grupp som ska användas i principen.	Du kan generera ID:t med hjälp av cmdleten Windows PowerShell New-Guid eller uuidgen kommandot på macOS
name	Eget namn för gruppen.	sträng
query	Mediebevakningen under denna grupp	Mer information finns i tabellerna för frågeegenskaper nedan.

Frågan stöder alla och (samma som alla), alla eller (samma som alla) typer. Det här är den logik som används för att kombinera egenskaperna i -satserna.

Följande värden stöds som satser:

Klausul $type	Värde	Beskrivning
primaryId	Något av: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	fyrsiffrig hexadecimal sträng	Matchar en enhets leverantörs-ID
productId	fyrsiffrig hexadecimal sträng	Matchar en enhets produkt-ID
serialNumber	sträng	Matchar en enhets serienummer. Matchar inte om enheten inte har ett serienummer.
encryption	apfs	Matcha om en enhet är apfs-krypterad.
groupId	UUID-sträng	Matcha om en enhet är medlem i en annan grupp. Värdet representerar UUID för gruppen som ska matchas mot. Gruppen måste definieras i principen före -satsen.

Här är en exempelfråga:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

Vår exempelfråga kan redigeras för att få ett beteende som motsvarar ExcludedMatchAll och ExcludedMatchAny med hjälp av typen "inte" enligt följande:

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Den här frågan matchar alla enheter som inte har det angivna serienumret.

Avancerade villkor

Poster kan begränsas ytterligare baserat på parametrar. Parametrar tillämpar avancerade villkor som sträcker sig utanför enheten. Avancerade villkor möjliggör detaljerad kontroll baserat på nätverk, VPN-anslutning, fil- eller utskriftsjobb som utvärderas.

Obs!

Avancerade villkor stöds endast i XML-format.

Nätverksvillkor

I följande tabell beskrivs egenskaper för nätverksgrupper:

Egenskap	Beskrivning
NameId	Namnet på nätverket. Jokertecken stöds.
NetworkCategoryId	Giltiga alternativ är Public, Privateeller DomainAuthenticated.
NetworkDomainId	Giltiga alternativ är NonDomain, Domain, DomainAuthenticated.

Dessa egenskaper läggs till i DescriptorIdList för en grupp av typen Nätverk. Här är ett exempelfragment:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Gruppen refereras sedan till som parametrar i posten, vilket visas i följande kodfragment:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VILLKOR FÖR VPN-anslutning

I följande tabell beskrivs VPN-anslutningsvillkoren:

Namn	Beskrivning
NameId	Namnet på VPN-anslutningen. Jokertecken stöds.
VPNConnectionStatusId	Giltiga värden är Connected eller Disconnected.
VPNServerAddressId	Strängvärdet VPNServerAddressför . Jokertecken stöds.
VPNDnsSuffixId	Strängvärdet VPNDnsSuffixför . Jokertecken stöds.

Dessa egenskaper läggs till i DescriptorIdList för en grupp av typen VPNConnection, enligt följande kodfragment:

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Sedan refereras gruppen till som parametrar i en post, vilket visas i följande kodfragment:

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Filvillkor

I följande tabell beskrivs filgruppsegenskaper:

Namn	Beskrivning
PathId	Sträng, värde för filsökväg eller namn. Jokertecken stöds. Gäller endast för filtypsgrupper.

I följande tabell visas hur egenskaper läggs till i DescriptorIdList en filgrupp:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

Gruppen refereras sedan till som parametrar i en post, vilket visas i följande kodfragment:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Villkor för utskriftsjobb

I följande tabell beskrivs PrintJob gruppegenskaper:

Namn	Beskrivning
PrintOutputFileNameId	Utdatamålfilens sökväg för utskrift till fil. Jokertecken stöds. Till exempel C:\*\Test.pdf
PrintDocumentNameId	Källfilens sökväg. Jokertecken stöds. Den här sökvägen kanske inte finns. Lägg till exempel till text i en ny fil i Anteckningar och skriv sedan ut utan att spara filen.

Dessa egenskaper läggs till i DescriptorIdList en grupp av typen PrintJob, vilket visas i följande kodfragment:

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Gruppen refereras sedan till som parametrar i en post, vilket visas i följande kodfragment:

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Filbevis

Med enhetskontroll kan du lagra bevis på filer som har kopierats till flyttbara enheter eller skrivits ut. När filbevis är aktiverat skapas en RemovableStorageFileEvent . Beteendet för filbevis styrs av alternativ i åtgärden Tillåt, enligt beskrivningen i följande tabell:

Alternativ	Beskrivning
8	Skapa en RemovableStorageFileEvent händelse medFileEvidenceLocation
16	Skapa utan RemovableStorageFileEventFileEvidenceLocation

Fältet FileEvidenceLocation i har platsen för bevisfilen, om en har skapats. Bevisfilen har ett namn som slutar i .dupoch dess plats styrs av inställningen DataDuplicationFolder .

Nästa steg

• Visa händelser och information om enhetskontroll i Microsoft Defender för Endpoint
• Distribuera och hantera enhetskontroll i Microsoft Defender för Endpoint med Microsoft Intune
• Distribuera och hantera enhetskontroll i Microsoft Defender för Endpoint med hjälp av grupprincip
• Enhetskontroll för macOS