Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie Intune verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit Gerätesteuerungsfunktionen bereitstellen und verwalten. Verschiedene Aspekte der Gerätesteuerung werden in Intune unterschiedlich verwaltet, wie in den folgenden Abschnitten beschrieben.
Konfigurieren und Verwalten der Gerätesteuerung in Intune
Wechseln Sie zum Intune Admin Center, und melden Sie sich an.
Wechseln Sie zu Endpunktsicherheit>Verringerung der Angriffsfläche.
Wählen Sie auf der Registerkarte Richtlinien der Seite Verringerung der Angriffsflächedie Option + Richtlinie erstellen aus, um eine neue Richtlinie mit den folgenden Einstellungen einzurichten:
- Plattform: Wählen Sie Windows aus. Derzeit wird die Gerätesteuerung auf Windows Server nicht unterstützt, obwohl diese Richtlinie für gilt.
- Profil: Wählen Sie Gerätesteuerung aus.
Wählen Sie Erstellen aus.
Der Assistent zum Erstellen von Richtlinien wird geöffnet. Konfigurieren Sie auf der Registerkarte Grundlagen die folgenden Einstellungen:
- Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
- Beschreibung: Geben Sie eine optionale Beschreibung ein.
Konfigurieren Sie auf der Registerkarte Konfigurationseinstellungen einige oder alle der folgenden Einstellungen:
- Defender: Weitere Informationen finden Sie unter Zulassen der Einstellungen für die Vollständige Überprüfung von Wechseldatenträgern .
- Gerätesteuerung: Konfigurieren Sie benutzerdefinierte Richtlinien mit wiederverwendbaren Einstellungen. Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Gerätesteuerungsprofile und Gerätesteuerungsübersicht: Regeln.
- Geräteinstallationseinschränkungen: Weitere Informationen finden Sie unter Geräteinstallationseinstellungen .
- Wechseldatenträgerzugriff: Weitere Informationen finden Sie unter Einstellungen für den Wechseldatenträgerzugriff .
- Datenschutz: Weitere Informationen finden Sie unter Zulassen von Einstellungen für direkten Speicherzugriff .
- Dma Guard: Weitere Informationen finden Sie unter Einstellungen für Geräteenumerationsrichtlinien .
- Speicher: Weitere Informationen finden Sie unter Einstellungen für Den Schreibzugriff auf Wechseldatenträger .
- Konnektivität: Weitere Informationen finden Sie unter Usb-Verbindung zulassen** und Bluetooth-Einstellungen zulassen .
- Bluetooth: Einstellungen im Zusammenhang mit Bluetooth-Verbindungen und -Diensten. Weitere Informationen finden Sie unter Richtlinien-CSP – Bluetooth.
- System: Weitere Informationen finden Sie unter Zulassen von Einstellungen für Die Speicherkarte .
Tipp
Sie müssen nicht alle verfügbaren Einstellungen gleichzeitig konfigurieren. Erwägen Sie, mit den Einstellungen für die Gerätesteuerung zu beginnen, wie im nächsten Abschnitt beschrieben.
Auf der Registerkarte Bereichstags , auf der Sie Bereichstags für die Richtlinie angeben können.
Geben Sie auf der Registerkarte Zuweisungen Gruppen von Benutzern oder Geräten an, die Ihre Richtlinie erhalten sollen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien in Intune.
Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen, und nehmen Sie alle erforderlichen Änderungen vor. Wenn Sie bereit sind, wählen Sie Erstellen aus, um Ihre Gerätesteuerungsrichtlinie zu erstellen.
Gerätesteuerungsprofile
In Intune stellt jede Zeile im Abschnitt Gerätesteuerung eine Gerätesteuerungsrichtlinie dar. Sie können Richtlinien mithilfe von + Hinzufügen und – Entfernen hinzufügen und entfernen. Der Name der Richtlinie wird in der Warnung für Benutzer sowie in erweiterten Huntings und Berichten angezeigt.
Nachdem Sie + Hinzufügen ausgewählt haben, sind die folgenden Einstellungen verfügbar:
- Eingeschlossene Geräte: Die wiederverwendbare Einstellung, für die die Richtlinie gilt.
- Ausgeschlossene Geräte: Die wiederverwendbare Einstellung, die von der Richtlinie ausgeschlossen ist.
- Zugriff: Die zulässigen Berechtigungen und das Verhalten für die Gerätesteuerung, das in Kraft tritt, wenn die Richtlinie angewendet wird.
Informationen zum Hinzufügen der wiederverwendbaren Gruppen von Einstellungen, die in der Zeile jeder Gerätesteuerungsrichtlinie enthalten sind, finden Sie unter Hinzufügen wiederverwendbarer Gruppen zu einem Gerätesteuerungsprofil.
Sie können Überwachungsrichtlinien und Richtlinien zum Zulassen/Verweigern hinzufügen. Es wird immer empfohlen, beim Hinzufügen einer Überwachungsrichtlinie eine Richtlinie zulassen und/oder verweigern hinzuzufügen, damit keine unerwarteten Ergebnisse auftreten.
Wichtig
Wenn Sie nur Überwachungsrichtlinien konfigurieren, werden die Berechtigungen von der Standardeinstellung für die Erzwingung geerbt.
Die Reihenfolge, in der die Richtlinien auf der Benutzeroberfläche aufgeführt sind, wird für die Richtlinienerzwingung nicht beibehalten. Die bewährte Methode besteht darin, Richtlinien zum Zulassen/Verweigern zu verwenden. Stellen Sie sicher, dass sich die Option Richtlinien zulassen/verweigern nicht überschneiden, indem Sie explizit auszuschließende Geräte hinzufügen. Mithilfe der grafischen Benutzeroberfläche von Intune können Sie die Standarderzwingung nicht ändern. Wenn Sie die Standarderzwingung in Denyändern und eine Allow Richtlinie erstellen, um bestimmte Geräte anzuwenden, werden alle Geräte mit Ausnahme aller Geräte blockiert, die in der Allow Richtlinie festgelegt sind.
Definieren von Einstellungen mit OMA-URI
Wichtig
Die Verwendung Intune OMA-URI zum Konfigurieren der Gerätesteuerung erfordert, dass die Workload Device Configuration von Intune verwaltet wird, wenn das Gerät gemeinsam mit Configuration Manager verwaltet wird. Weitere Informationen finden Sie unter Wechseln von Configuration Manager Workloads zu Intune.
Identifizieren Sie in der folgenden Tabelle die Einstellung, die Sie konfigurieren möchten, und verwenden Sie dann die Informationen im OMA-URI und datentyp & Wertespalten. Die Einstellungen werden in alphabetischer Reihenfolge aufgeführt.
| Einstellung | OMA-URI, Datentyp, & Werte |
|---|---|
|
Standarderzwingung der Gerätesteuerung Die Standarderzwingung legt fest, welche Entscheidungen bei Zugriffsprüfungen der Gerätesteuerung getroffen werden, wenn keine der Richtlinienregeln übereinstimmt |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Ganzzahl: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
|
Gerätetypen Gerätetypen, die durch ihre primären IDs identifiziert werden und der Gerätesteuerungsschutz aktiviert ist. Sie müssen die Produktfamilien-IDs angeben, die durch eine Pipe getrennt sind. Wenn Sie mehrere Gerätetypen auswählen, müssen Sie sicherstellen, dass die Zeichenfolge nur ein Wort ohne Leerzeichen ist. Eine Konfiguration, die dieser Syntax nicht folgt, führt zu unerwartetem Verhalten. |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Schnur: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
|
Aktivieren der Gerätesteuerung Aktivieren oder Deaktivieren der Gerätesteuerung auf dem Gerät |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Ganzzahl: - Disable = 0 – Aktivieren = 1 |
Erstellen von Richtlinien mit OMA-URI
Wenn Sie Richtlinien mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Richtlinie. Verwenden Sie als bewährte Methode das Gerätesteuerungsprofil oder das Gerätesteuerungsregelprofil, um benutzerdefinierte Richtlinien zu erstellen.
Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
- Geben Sie im Feld Name den Namen ein
Allow Read Activity. - Geben Sie im Feld OMA-URI ein
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Sie können den PowerShell-BefehlNew-Guidverwenden, um eine neue GUID zu generieren und zu ersetzen[PolicyRule Id].) - Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.
Sie können Parameter verwenden, um Bedingungen für bestimmte Einträge festzulegen. Hier sehen Sie eine GRUPPENbeispiel-XML-Datei für Lesezugriff für jeden Wechselspeicher zulassen.
Hinweis
Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.
Erstellen von Gruppen mit OMA-URI
Wenn Sie Gruppen mit OMA-URI in Intune erstellen, erstellen Sie eine XML-Datei für jede Gruppe. Als bewährte Methode sollten Sie wiederverwendbare Einstellungen verwenden, um Gruppen zu definieren.
Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
- Geben Sie im Feld Name den Namen ein
Any Removable Storage Group. - Geben Sie im Feld OMA-URI ein
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Um Ihre GroupID abzurufen, wechseln Sie im Intune Admin Center zu Gruppen, und wählen Sie dann Objekt-ID kopieren aus. Alternativ können Sie den PowerShell-BefehlNew-Guidverwenden, um eine neue GUID zu generieren und zu ersetzen[GroupId]. - Wählen Sie im Feld Datentyp die Option Zeichenfolge (XML-Datei) aus, und verwenden Sie Benutzerdefiniertes XML.
Hinweis
Kommentare mit XML-Kommentarnotation <!-- COMMENT -- > können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.
Konfigurieren der Zugriffssteuerung für Wechselspeicher mit OMA-URI
Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.
Wählen SieGeräteKonfigurationsprofile> aus. Die Seite Konfigurationsprofile wird angezeigt.
Wählen Sie auf der Registerkarte Richtlinien (standardmäßig ausgewählt) die Option + Erstellen und dann in der angezeigten Dropdownliste + Neue Richtlinie aus. Die Seite Profil erstellen wird angezeigt.
Wählen Sie in der Liste Plattformdie Option Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform aus, und wählen Sie in der Dropdownliste Profiltyp die Option Vorlagen aus.
Nachdem Sie vorlagen aus der Dropdownliste Profiltyp ausgewählt haben, wird der Bereich Vorlagenname zusammen mit einem Suchfeld (zum Durchsuchen des Profilnamens) angezeigt.
Wählen Sie im Bereich Vorlagenname die Option Benutzerdefiniert und dann Erstellen aus.
Erstellen Sie eine Zeile für jede Einstellung, Gruppe oder Richtlinie, indem Sie die Schritte 1 bis 5 implementieren.
Anzeigen von Gerätesteuerungsgruppen (wiederverwendbare Einstellungen)
In Intune werden Gerätesteuerungsgruppen als wiederverwendbare Einstellungen angezeigt.
Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.
Wechseln Sie zu Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche fürEndpunktsicherheit>).
Wählen Sie die Registerkarte Wiederverwendbare Einstellungen aus.