適用於端點的 Microsoft Defender中的裝置控制件
適用於:
適用於端點的 Microsoft Defender 中的裝置控制功能可讓您的安全性小組控制使用者是否可以安裝及使用周邊裝置,例如卸載式存儲設備 (USB Thumb 磁碟驅動器、CD、磁碟等。) 、印表機、藍牙裝置或其他裝置及其計算機。 您的安全性小組可以設定裝置控制原則來設定如下的規則:
- 防止使用者安裝和使用特定裝置 (例如 USB 磁碟驅動器)
- 防止使用者安裝和使用具有特定例外狀況 的任何 外部裝置
- 允許使用者安裝和使用特定裝置
- 允許使用者使用 Windows 電腦安裝和使用 BitLocker 加密的裝置
此清單旨在提供一些範例。 這不是詳盡的清單;還有其他範例需要考慮 (請參閱本文 ) 中的 Windows 裝置控 件一節。
裝置控制可藉由允許或防止特定裝置連線到使用者的計算機,協助保護您的組織免於潛在的數據遺失、惡意代碼或其他網路威脅。 透過裝置控制,您的安全性小組可以判斷使用者是否可以在其電腦上安裝和使用哪些周邊裝置。
提示
作為本文的附隨,建議您在登入 Microsoft 365 系統管理中心 時使用 適用於端點的 Microsoft Defender 自動化設定指南。 本指南會根據您的環境自定義您的體驗。 若要檢閱最佳做法而不登入和啟用自動化安裝功能,請移至 Microsoft 365 安裝指南。
Windows 中的裝置控制件
本節列出 Windows 中裝置控制的案例。
提示
如果您使用 Mac,裝置控制可以控制對藍牙、iOS 裝置、相機等可攜式裝置,以及 USB 裝置等抽取式媒體的存取。 請參閱 macOS的裝置控制。
選取索引標籤、檢閱案例,然後識別要建立的裝置控制原則類型。
案例 | 裝置控制原則 |
---|---|
防止安裝特定 USB 裝置 | Windows 中的裝置控制件。 請參閱 裝置控制原則。 |
防止安裝所有 USB 裝置,同時只允許安裝授權的 USB | Windows 中的裝置控制件。 請參閱 裝置控制原則。 |
防止所有專案的寫入和執行存取,但允許特定核准的USB | 適用於端點的Defender中的裝置控制。 請參閱 裝置控制原則。 |
稽核所有封鎖特定封鎖的USB的寫入和執行存取 | 適用於端點的Defender中的裝置控制。 請參閱 裝置控制原則。 |
封鎖特定擴展名的讀取和執行存取 | Microsoft Defender中的裝置控制件。 請參閱 裝置控制原則。 |
當計算機未連線到公司網路時,封鎖人員存取抽取式記憶體 | Microsoft Defender中的裝置控制件。 請參閱 裝置控制原則。 |
封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取 | Windows 中的裝置控制件。 請參閱 BitLocker。 |
封鎖對另一個組織中所設定裝置的寫入存取 | Windows 中的裝置控制件。 請參閱 BitLocker。 |
防止將敏感性檔案複製到USB | 端點 DLP |
支援的裝置
裝置控制裝置支援藍牙裝置、CD/ROM 和 DVD 裝置、印表機、USB 裝置和其他類型的可攜式裝置。 在 Windows 裝置上,根據驅動程式,某些周邊裝置會標示為卸載式裝置。 下表列出裝置控制項以其 primary_id
值和媒體類別名稱支援的裝置範例:
裝置類型 | PrimaryId 在 Windows 中 |
primary_id 在macOS中 |
媒體類別名稱 |
---|---|---|---|
藍牙裝置 | bluetoothDevice |
Bluetooth Devices |
|
CD/ROM、DVD | CdRomDevices |
CD-Roms |
|
iOS 裝置 | appleDevice |
||
可攜式裝置 (例如相機) | portableDevice |
||
印表機 | PrinterDevices |
Printers |
|
卸除式媒體 (USB 裝置) | RemovableMediaDevices |
removableMedia |
USB |
Windows 可攜式裝置 | WpdDevices |
Windows Portable Devices (WPD) |
Microsoft 裝置控制項功能的類別
Microsoft 的裝置控制功能可以組織成三個主要類別:Windows 中的裝置控制、適用於端點的 Defender 中的裝置控制件,以及端點數據外洩防護 (端點 DLP) 。
Windows 中的裝置控制件。 Windows 作業系統具有內建的裝置控制功能。 您的安全性小組可以設定裝置安裝設定,以防止 (或允許) 使用者在其計算機上安裝特定裝置。 原則會套用在裝置層級,並使用各種裝置屬性來判斷使用者是否可以安裝/使用裝置。 Windows 中的裝置控制項可與 BitLocker 和 ADMX 範本搭配使用,而且可以使用 Intune 來管理。
BitLocker 和 Intune。 BitLocker 是一項 Windows 安全性功能,可為整個磁碟區提供加密。 與 Intune 一起,您可以設定原則,以使用適用於 Windows (的 BitLocker 和適用於 Mac 的 FileVault) ,在裝置上強制執行加密。 如需詳細資訊,請參閱 Intune 中端點安全性的磁碟加密原則設定。
系統管理範本 (ADMX) 和 Intune。 您可以使用ADMX範本來建立原則,以限制或允許特定類型的USB裝置搭配電腦使用。 如需詳細資訊,請參閱在 Intune 中使用 ADMX 範本來限制 USB 裝置並允許特定 USB 裝置。
適用於端點的Defender中的裝置控制。 適用於端點的 Defender 中的裝置控制提供更進階的功能,而且跨平臺。 您可以設定裝置控制項設定,以防止 (或允許) 用戶擁有卸載式儲存設備上內容的讀取、寫入或執行存取權。 您可以定義例外狀況,而且您可以選擇採用稽核原則來偵測但不會封鎖使用者存取其抽取式存儲設備。 原則會套用在裝置層級、用戶層級或兩者。 Microsoft Defender 中的裝置控制件可以使用 Intune 來管理。
- Microsoft Defender 和 Intune 中的裝置控制件。 Intune 為組織提供管理複雜裝置控制原則的豐富體驗。 例如,您可以在適用於端點的Defender中設定及部署裝置限制設定。 請參閱在 Microsoft Intune 中設定裝置限制設定。
端點數據外洩防護 (端點 DLP) 。 端點 DLP 會監視已上線至 Microsoft Purview 解決方案之裝置上的敏感性資訊。 DLP 原則可以對敏感性資訊及其儲存或使用位置強制執行保護動作。 瞭解端點 DLP。
如需這些功能的詳細資訊,請參閱本文中 () 裝置控 件案例一節。
裝置控件範例和案例
適用於端點的 Defender 中的裝置控制為您的安全性小組提供強大的存取控制模型,可讓您進行各種案例 (請參閱 裝置控制 原則) 。 我們已將 GitHub 存放庫放在一起,其中包含您可以探索的範例和案例。 請參閱下列資源:
如果您不熟悉裝置控制件,請參閱 裝置控制項逐步解說。
必要條件
適用於端點的 Defender 中的裝置控制項可以套用至執行 Windows 10 或 Windows 11 具有反惡意代碼用戶端版本或更新版本4.18.2103.3
的裝置。 (目前不支援伺服器。)
4.18.2104
或更新版本:新增SerialNumberId
、VID_PID
、以檔案路徑為基礎的 GPO 支援,以及ComputerSid
4.18.2105
或更新版本:新增 的HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
通配符支援、特定計算機上的特定用戶組合、卸除式 SSD (SanDisk Extreme SSD) /USB 附加 SCSI (UAS) 支援4.18.2107
或更新版本:為行動裝置新增 Windows 可攜式裝置 (WPD) 支援 (,例如) 的電腦;將新AccountName
增至進階搜捕4.18.2205
或更新版本:將默認強制執行擴充至 [印表機]。 如果您將它設定為 [拒絕],它也會封鎖印表機,因此如果您只想要管理記憶體,請務必建立自定義原則以允許印表機4.18.2207
或更新版本:新增檔案支援;常見的使用案例可以是:封鎖人員在抽取式記憶體上的讀取/寫入/執行存取特定檔案。 新增網路和 VPN 連線支援;常見的使用案例可以是:當計算機未連線到公司網路時,封鎖人員存取抽取式存儲設備。
針對Mac,請參閱 macOS的裝置控制。
目前伺服器不支援裝置控制。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應