Enhetskontroll för skrivarskydd

Gäller för

Microsoft Defender för Endpoint Device Control Printer Protection blockerar personer från att skriva ut via icke-företagsskrivare eller icke-godkänd USB-skrivare.

Licensiering

Innan du börjar med skrivarskyddet bör du bekräfta din prenumeration Microsoft 365. För att komma åt och använda skrivarskydd måste du ha följande:

  • Microsoft 365 E3 för funktionalitets-/principdistribution
  • Microsoft 365 E5 för rapportering

Behörighet

För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort enhetskonfigurationsprofiler för att distribuera principen via OMA-URI. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med följande behörigheter:

  • Rollen Princip och profilhanterare.
  • Eller en anpassad roll med behörigheten Skapa/redigera/uppdatera/Läsa/Ta bort/Visa rapporter aktiverad för enhetskonfigurationsprofiler
  • Eller global administratör

För att kunna se enhetkonfigurationsrapporter måste kontot ha behörighet att visa rapporter. Du kan skapa anpassade roller eller använda de inbyggda rollerna med följande behörigheter:

  • Global säkerhetsadministratör
  • Säkerhetsadministratör
  • Säkerhetsläsare

Förbered dina slutpunkter

Kontrollera att de Windows 10 eller Windows 11 som du planerar att distribuera Skrivarskydd för att uppfylla dessa krav.

  1. Följande Windows-uppdateringar installeras.

    • För Windows 1809: installera Windows KB5003217
    • För Windows 1909: installera Windows KB5003212
    • För Windows 2004 eller senare
  2. Om du planerar att distribuera principen via grupprincip måste enheten vara ansluten till Microsoft Defender för Endpoint. Om du planerar att distribuera principen via Microsoft Endpoint Manager måste enheten vara ansluten med hjälp av Microsoft Intune.

Princip för skrivarskydd för enhetskontroll

Du kan distribuera principen via Grupprincip eller Intune.



Rubrik Beskrivning Stöd för CSP GPO-support Användarbaserad support Maskinbaserad support
Aktivera enhetskontrollens utskriftsbegränsningar Blockera personer från att skriva ut via skrivare som inte finns i företaget Ja Ja Ja Ja
Lista över godkända USB-anslutna utskriftsenheter* Tillåt specifik USB-skrivare Ja Ja Ja Ja

*Den här principen måste användas tillsammans med Aktivera begränsningar för utskriftskontroll på enheten.

Distribuera princip via Intune

För Intune stöder för närvarande Device Control Printer Protection ENDAST OMA-URI.

Scenario 1: Blockera personer från att skriva ut via en skrivare som inte är en företagsskrivare med Intune

  • Tillämpa principen på datorn:

    ./Vendor/MSFT/Policy/Config/Printers/EnableDeviceControl

  • Tillämpa princip över användare:

    ./Vendor/MSFT/Policy/Config/Printers/EnableDeviceControlUser

CSP-supportsträngen <enabled/> med:

anpassad redigeringsrad.

Scenario 2: Tillåta specifika godkända USB-skrivare med Intune

  • Tillämpa principen på datorn:

    ./Vendor/MSFT/Policy/Config/Printers/ApprovedUsbPrintDevices

  • Tillämpa princip över användare:

    ./Vendor/MSFT/Policy/Config/Printers/ApprovedUsbPrintDevicesUser

CSP-supportsträngen med godkända USB-skrivare via egenskapen ApprovedUsbPrintDevices, till <enabled><data id="ApprovedUsbPrintDevices_List" value="03F0/0853,0351/0872"> exempel:

redigera rad.

Distribuera princip via grupprincip

Om enheten inte är Intune ansluten kan du även distribuera principen via Grupprincip.

Scenario 1: Blockera personer från att skriva ut via en skrivare som inte finns i företaget med grupprinciper

  • Tillämpa principen på datorn:

    Skrivare med > administrativa mallar för > datorkonfiguration: Aktivera begränsningar för utskrift i enhetskontrollen

  • Tillämpa princip över användare:

    Skrivare på > Kontrollpanelen för > användarkonfigurationsmallar: > Aktivera begränsningar för utskrift i enhetskontroller

aktivera begränsningar för utskrift av enheter.

Scenario 2: Tillåta specifika godkända USB-skrivare med grupprincip

  • Tillämpa principen på datorn:

    Skrivare för > administrativa > datorkonfigurationer: Lista över godkända USB-anslutna utskriftsenheter

  • Tillämpa princip över användare:

    Administrativa mallar > för användarkonfiguration > – Skrivare > på Kontrollpanelen: Lista över godkända USB-anslutna utskriftsenheter

lista över godkända USB-anslutna utskriftsenheter.

Visa data om skrivarskydd för enhetskontroll i Microsoft Defender för Endpoint-portalen

I Microsoft 365 Defender visas utskrift som blockerats av principen för skrivarskydd för enhetskontroll ovan.

DeviceEvents
| where ActionType == 'PrintJobBlocked'
| extend parsed=parse_json(AdditionalFields)
| extend PrintedFile=tostring(parsed.JobOrDocumentName)
| extend PrintPortName=tostring(parsed.PortName)
| extend PrinterName=tostring(parsed.PrinterName)
| extend Policy=tostring(parsed.RestrictionReason) 
| project Timestamp, DeviceId, DeviceName, ActionType, InitiatingProcessAccountName, Policy, PrintedFile, PrinterName, PrintPortName, AdditionalFields
| order by Timestamp desc

avancerad sökning.

Du kan använda PnP-händelsen till att hitta den USB-skrivare som används i organisationen:

//find the USB Printer VID/PID
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend DeviceDescription = tostring(parsed.DeviceDescription) 
| extend PrinterDeviceId = tostring(parsed.DeviceId) 
| extend VID_PID_Array = split(split(PrinterDeviceId, "\\")[1], "&")
| extend VID_PID = replace_string(strcat(VID_PID_Array[0], '/', VID_PID_Array[1]), 'VID_', '')
| extend VID_PID = replace_string(VID_PID, 'PID_', '')
| extend ClassId = tostring(parsed.ClassId) 
| extend VendorIds = tostring(parsed.VendorIds) 
| where DeviceDescription == 'USB Printing Support'
| project Timestamp , DeviceId, DeviceName, ActionType, DeviceDescription, VID_PID, ClassId, PrinterDeviceId, VendorIds, parsed
| order by Timestamp desc

avancerad sökning