Enhetskontroll för skrivarskydd
Gäller för
Microsoft Defender för Endpoint Device Control Printer Protection blockerar personer från att skriva ut via icke-företagsskrivare eller icke-godkänd USB-skrivare.
Licensiering
Innan du börjar med skrivarskyddet bör du bekräfta din prenumeration Microsoft 365. För att komma åt och använda skrivarskydd måste du ha följande:
- Microsoft 365 E3 för funktionalitets-/principdistribution
- Microsoft 365 E5 för rapportering
Behörighet
För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort enhetskonfigurationsprofiler för att distribuera principen via OMA-URI. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med följande behörigheter:
- Rollen Princip och profilhanterare.
- Eller en anpassad roll med behörigheten Skapa/redigera/uppdatera/Läsa/Ta bort/Visa rapporter aktiverad för enhetskonfigurationsprofiler
- Eller global administratör
För att kunna se enhetkonfigurationsrapporter måste kontot ha behörighet att visa rapporter. Du kan skapa anpassade roller eller använda de inbyggda rollerna med följande behörigheter:
- Global säkerhetsadministratör
- Säkerhetsadministratör
- Säkerhetsläsare
Förbered dina slutpunkter
Kontrollera att de Windows 10 eller Windows 11 som du planerar att distribuera Skrivarskydd för att uppfylla dessa krav.
Följande Windows-uppdateringar installeras.
Om du planerar att distribuera principen via grupprincip måste enheten vara ansluten till Microsoft Defender för Endpoint. Om du planerar att distribuera principen via Microsoft Endpoint Manager måste enheten vara ansluten med hjälp av Microsoft Intune.
Princip för skrivarskydd för enhetskontroll
Du kan distribuera principen via Grupprincip eller Intune.
| Rubrik | Beskrivning | Stöd för CSP | GPO-support | Användarbaserad support | Maskinbaserad support |
|---|---|---|---|---|---|
| Aktivera enhetskontrollens utskriftsbegränsningar | Blockera personer från att skriva ut via skrivare som inte finns i företaget | Ja | Ja | Ja | Ja |
| Lista över godkända USB-anslutna utskriftsenheter* | Tillåt specifik USB-skrivare | Ja | Ja | Ja | Ja |
*Den här principen måste användas tillsammans med Aktivera begränsningar för utskriftskontroll på enheten.
Distribuera princip via Intune
För Intune stöder för närvarande Device Control Printer Protection ENDAST OMA-URI.
Scenario 1: Blockera personer från att skriva ut via en skrivare som inte är en företagsskrivare med Intune
Tillämpa principen på datorn:
./Vendor/MSFT/Policy/Config/Printers/EnableDeviceControlTillämpa princip över användare:
./Vendor/MSFT/Policy/Config/Printers/EnableDeviceControlUser
CSP-supportsträngen <enabled/> med:
Scenario 2: Tillåta specifika godkända USB-skrivare med Intune
Tillämpa principen på datorn:
./Vendor/MSFT/Policy/Config/Printers/ApprovedUsbPrintDevicesTillämpa princip över användare:
./Vendor/MSFT/Policy/Config/Printers/ApprovedUsbPrintDevicesUser
CSP-supportsträngen med godkända USB-skrivare via egenskapen ApprovedUsbPrintDevices, till <enabled><data id="ApprovedUsbPrintDevices_List" value="03F0/0853,0351/0872"> exempel:
Distribuera princip via grupprincip
Om enheten inte är Intune ansluten kan du även distribuera principen via Grupprincip.
Scenario 1: Blockera personer från att skriva ut via en skrivare som inte finns i företaget med grupprinciper
Tillämpa principen på datorn:
Skrivare med > administrativa mallar för > datorkonfiguration: Aktivera begränsningar för utskrift i enhetskontrollen
Tillämpa princip över användare:
Skrivare på > Kontrollpanelen för > användarkonfigurationsmallar: > Aktivera begränsningar för utskrift i enhetskontroller
Scenario 2: Tillåta specifika godkända USB-skrivare med grupprincip
Tillämpa principen på datorn:
Skrivare för > administrativa > datorkonfigurationer: Lista över godkända USB-anslutna utskriftsenheter
Tillämpa princip över användare:
Administrativa mallar > för användarkonfiguration > – Skrivare > på Kontrollpanelen: Lista över godkända USB-anslutna utskriftsenheter
Visa data om skrivarskydd för enhetskontroll i Microsoft Defender för Endpoint-portalen
I Microsoft 365 Defender visas utskrift som blockerats av principen för skrivarskydd för enhetskontroll ovan.
DeviceEvents
| where ActionType == 'PrintJobBlocked'
| extend parsed=parse_json(AdditionalFields)
| extend PrintedFile=tostring(parsed.JobOrDocumentName)
| extend PrintPortName=tostring(parsed.PortName)
| extend PrinterName=tostring(parsed.PrinterName)
| extend Policy=tostring(parsed.RestrictionReason)
| project Timestamp, DeviceId, DeviceName, ActionType, InitiatingProcessAccountName, Policy, PrintedFile, PrinterName, PrintPortName, AdditionalFields
| order by Timestamp desc
Du kan använda PnP-händelsen till att hitta den USB-skrivare som används i organisationen:
//find the USB Printer VID/PID
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend DeviceDescription = tostring(parsed.DeviceDescription)
| extend PrinterDeviceId = tostring(parsed.DeviceId)
| extend VID_PID_Array = split(split(PrinterDeviceId, "\\")[1], "&")
| extend VID_PID = replace_string(strcat(VID_PID_Array[0], '/', VID_PID_Array[1]), 'VID_', '')
| extend VID_PID = replace_string(VID_PID, 'PID_', '')
| extend ClassId = tostring(parsed.ClassId)
| extend VendorIds = tostring(parsed.VendorIds)
| where DeviceDescription == 'USB Printing Support'
| project Timestamp , DeviceId, DeviceName, ActionType, DeviceDescription, VID_PID, ClassId, PrinterDeviceId, VendorIds, parsed
| order by Timestamp desc