使用 Microsoft Intune 在 Microsoft Defender for Endpoint 中部署和管理设备控制

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 商业版

如果使用 Intune 来管理 Defender for Endpoint 设置，则可以使用它来部署和管理设备控制功能。 Intune中以不同的方式管理设备控制的不同方面，如以下各节所述。

在 Intune 中配置和管理设备控制

1. 转到Intune管理中心并登录。

2. 转到 “终结点安全>攻击面减少”。

3. 在“攻击面减少策略”下，选择现有策略，或选择“+ Create策略”，使用以下设置设置新策略：

   • 在“平台”列表中，选择“Windows 10”、“Windows 11”和“Windows Server”。 (Windows Server 上当前不支持设备控制，即使你为设备控制策略选择了此配置文件。)
   • 在 “配置文件” 列表中，选择“ 设备控制”。

4. 在“ 基本信息 ”选项卡上，指定策略的名称和说明。

5. 在“ 配置设置 ”选项卡上，可以看到设置列表。 无需同时配置所有这些设置。 请考虑从 设备控制开始。

   

   • 在“管理模板”下，具有“设备安装”和“可移动存储访问”设置。
   • 在 Defender 下，请参阅 允许完全扫描可移动驱动器扫描 设置。
   • 在 “数据保护”下，请参阅 “允许直接内存访问 设置”。
   • 在 Dma Guard 下，请参阅 设备枚举策略 设置。
   • 在 “存储”下，请参阅 可移动磁盘拒绝写入访问 设置。
   • 在 “连接”下，请参阅 “允许 USB 连接”和 “允许蓝牙 设置”。
   • 在 “蓝牙”下，查看与蓝牙连接和服务相关的设置列表。 有关详细信息，请参阅 策略 CSP - 蓝牙。
   • 在 “设备控制”下，可以使用可重用设置配置自定义策略。 有关详细信息，请参阅 设备控制概述：规则。

6. 配置设置后，请转到“ 范围标记 ”选项卡，可在其中指定策略 的范围标记 。

7. 在“ 分配 ”选项卡上，指定要接收策略的用户或设备组。 有关详细信息，请参阅在 Intune 中分配策略。

8. 在“ 审阅 + 创建 ”选项卡上，查看设置并进行任何所需的更改。

9. 准备就绪后，选择“Create”以创建设备控制策略。

设备控制配置文件

在 Intune 中，每一行表示设备控制策略。 包含的 ID 是策略应用到的可重用设置。 排除的 ID 是从策略中排除的可重用设置。 策略的条目包含允许的权限，以及应用策略时生效的设备控制行为。

有关如何添加每个设备控制策略行中包含的可重用设置组的信息，请参阅将可重用组添加到设备控制配置文件部分，请参阅将可重用的设置组与Intune策略配合使用。

可以使用 和 图标添加和删除+策略。 策略名称显示在向用户的警告以及高级搜寻和报告中。

可以添加审核策略，也可以添加允许/拒绝策略。 建议在添加审核策略时始终添加“允许”和/或“拒绝”策略，以免遇到意外结果。

重要

如果仅配置审核策略，则权限继承自默认强制设置。

注意

• 不会保留在用户界面中列出策略的顺序，以便实施策略。 最佳做法是使用 允许/拒绝策略。 通过显式添加要排除的设备，确保 “允许/拒绝策略 ”选项不相交。 使用 Intune 的图形界面，无法更改默认强制实施。 如果将默认强制措施更改为“拒绝”，则任何允许策略都会导致阻止操作。

使用 OMA-URI 定义设置

在下表中，确定要配置的设置，然后使用 OMA-URI 和数据类型中的信息 & 值列。 设置按字母顺序列出。

Setting	OMA-URI、数据类型 & 值
设备控制默认强制实施 当策略规则都不匹配时，默认强制确定在设备控制访问检查期间做出的决策	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement 整数： - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
设备类型 设备类型，由其主要 ID 标识，并打开设备控制保护	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration 字符串： - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
启用设备控制 在设备上启用或禁用设备控制	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled 整数： - Disable = 0 - Enable = 1
证据数据远程位置 设备控制移动捕获的证据数据	./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation String
本地证据缓存持续时间 设置本地设备控制缓存中文件的保留期（天）	./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod 整数 示例： 60 (60 天)

使用 OMA-URI 创建策略

在 Intune 中使用 OMA-URI 创建策略时，请为每个策略创建一个 XML 文件。 最佳做法是使用设备控制配置文件或设备控制规则配置文件来创作自定义策略。

在“ 添加行 ”窗格中，指定以下设置：

• 在 “名称” 字段中，键入 Allow Read Activity。
• 在 “OMA-URI” 字段中，键入 /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData。
• 在“ 数据类型” 字段中，选择“ 字符串 (XML 文件) ”，并使用 “自定义 XML”。

可以使用参数为特定条目设置条件。 下面是 每个可移动存储的“允许读取访问”的组示例 XML 文件。

注意

使用 XML 注释表示法 的注释可以在规则和组 XML 文件中使用，但它们必须位于第一个 XML 标记内，而不是 XML 文件的第一行内。

使用 OMA-URI 创建组

在 Intune 中使用 OMA-URI 创建组时，请为每个组创建一个 XML 文件。 最佳做法是使用可重用设置来定义组。

在“ 添加行 ”窗格中，指定以下设置：

• 在 “名称” 字段中，键入 Any Removable Storage Group。
• 在 “OMA-URI” 字段中，键入 ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData。 (若要获取 GroupID，请在Intune管理中心转到“组”，然后选择“复制对象 ID”。)
• 在“ 数据类型” 字段中，选择“ 字符串 (XML 文件) ”，并使用 “自定义 XML”。

注意

使用 XML 注释表示法 <!-- COMMENT -- > 的注释可以在规则和组 XML 文件中使用，但它们必须位于第一个 XML 标记内，而不是 XML 文件的第一行内。

使用 OMA-URI 配置可移动存储访问控制

1. 转到Microsoft Intune管理中心并登录。

2. 选择 “设备>配置文件”。 此时会显示 “配置文件” 页。

3. 在“策略”选项卡 (默认选中) ，选择“+ Create”，然后从显示的下拉列表中选择“+ 新建策略”。 此时会显示配置文件页Create。

4. 在“平台”列表中，从“平台”下拉列表中选择“Windows 10”、“Windows 11”和“Windows Server”，然后从“配置文件类型”下拉列表中选择“模板”。

   从“配置文件类型”下拉列表中选择“模板”后，将显示“模板名称”窗格以及搜索框， (搜索配置文件名称) 。

5. 从“模板名称”窗格中选择“自定义”，然后选择“Create”。

6. 通过实施步骤 1-5，为每个设置、组或策略Create一行。

查看设备控制组 (可重用设置)

在 Intune 中，设备控制组显示为可重用设置。

1. 转到Microsoft Intune管理中心并登录。

2. 转到 “终结点安全>攻击面减少”。

3. 选择“ 可重用设置” 选项卡。

另请参阅

• Defender for Endpoint 中的设备控制
• 设备控制策略和设置
• 适用于 macOS 的设备控制