Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met Microsoft Intune

Als u Intune gebruikt om Defender for Endpoint-instellingen te beheren, kunt u deze gebruiken om mogelijkheden voor apparaatbeheer te implementeren en te beheren. Verschillende aspecten van apparaatbeheer worden verschillend beheerd in Intune, zoals beschreven in de volgende secties.

Apparaatbeheer configureren en beheren in Intune

1. Ga in het Microsoft Intune beheercentrum op https://intune.microsoft.comnaar de sectie >Eindpuntbeveiliging>Beheren. Of ga rechtstreeks naar eindpuntbeveiliging | Pagina voor het verminderen van kwetsbaarheid voor aanvallen, gebruik https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.

2. Op het tabblad Beleid van eindpuntbeveiliging | Pagina Kwetsbaarheid voor aanvallen verminderen selecteert u Beleid maken.

3. Configureer in de flyout Een profiel maken die wordt geopend de volgende instellingen:

   • Platform: selecteer Windows. Op dit moment wordt apparaatbeheer niet ondersteund op Windows Server, ook al is dit beleid van toepassing op toont.
   • Profiel: selecteer Apparaatbeheer.

   Wanneer u klaar bent met eindpuntbeveiliging | Pagina Voor het verminderen van kwetsbaarheid voor aanvallen selecteert u **Maken.

4. De wizard Beleid maken wordt geopend. Configureer op het tabblad Basisinformatie de volgende instellingen:

   • Naam: een unieke beschrijvende naam voor het beleid.
   • Beschrijving: voer een optionele beschrijving in.

   Selecteer Volgende.

5. Configureer op het tabblad Configuratie-instellingen enkele of alle van de volgende instellingen:

   • Defender: zie Scaninstellingen voor verwisselbare stations toestaan voor volledige scan .
   • Apparaatbeheer: configureer aangepast beleid met herbruikbare instellingen. Zie de sectie Apparaatbeheerprofielen verderop in dit artikel en Overzicht van apparaatbeheer: Regels.
   • Apparaatinstallatiebeperkingen: zie Apparaatinstallatie-instellingen .
   • Verwisselbare opslagtoegang: zie Instellingen voor verwisselbare opslagtoegang .
   • Gegevensbeveiliging: zie Instellingen voor directe geheugentoegang toestaan .
   • Dma Guard: zie Instellingen voor apparaatinventarisatiebeleid .
   • Opslag: zie Instellingen voor schrijftoegang weigeren voor verwisselbare schijven .
   • Connectiviteit: zie USB-verbinding toestaan** en Bluetooth-instellingen toestaan .
   • Bluetooth: instellingen met betrekking tot Bluetooth-verbindingen en -services. Zie Beleids-CSP - Bluetooth.
   • Systeem: zie Opslagkaartinstellingen toestaan .

   Tip

   U hoeft niet alle beschikbare instellingen tegelijk te configureren. Overweeg om te beginnen met instellingen voor apparaatbeheer , zoals beschreven in de volgende sectie.

   

   Wanneer u klaar bent op het tabblad Configuratie-instellingen , selecteert u Volgende.

6. Op het tabblad Bereiktags wordt de bereiktag met de naam Standaard standaard geselecteerd, maar u kunt deze verwijderen en andere bestaande bereiktags selecteren. Selecteer Volgende wanneer u klaar bent.

7. Geef op het tabblad Toewijzingen groepen gebruikers of apparaten op die uw beleid moeten ontvangen. Zie Beleid toewijzen in Intune voor meer informatie.

8. Controleer op het tabblad Controleren en maken uw instellingen en breng de benodigde wijzigingen aan. Wanneer u klaar bent, selecteert u Maken om uw apparaatbeheerbeleid te maken.

Profielen voor apparaatbeheer

In Intune vertegenwoordigt elke rij in de sectie Apparaatbeheer een apparaatbeheerbeleid. U kunt beleid toevoegen en verwijderen met behulp van + Toevoegen en – Verwijderen. De naam van het beleid wordt weergegeven in de waarschuwing voor gebruikers en in geavanceerde opsporing en rapporten.

Nadat u + Toevoegen hebt geselecteerd, zijn de volgende instellingen beschikbaar:

• Inbegrepen apparaten: de herbruikbare instelling waarop het beleid van toepassing is.
• Uitgesloten apparaten: de herbruikbare instelling die is uitgesloten van het beleid.
• Toegang: de machtigingen die zijn toegestaan en het gedrag voor apparaatbeheer dat van kracht wordt wanneer het beleid van toepassing is.

Zie Herbruikbare groepen toevoegen aan een apparaatbeheerprofiel voor informatie over het toevoegen van herbruikbare groepen met instellingen die zijn opgenomen in de rij van elk apparaatbeheerbeleid.

U kunt controlebeleid toevoegen en beleid voor toestaan/weigeren toevoegen. We raden altijd aan om een beleid voor toestaan en/of weigeren toe te voegen bij het toevoegen van een controlebeleid, zodat u geen onverwachte resultaten ondervindt.

Instellingen definiëren met OMA-URI

Identificeer in de volgende tabel de instelling die u wilt configureren en gebruik vervolgens de informatie in de kolommen OMA-URI en gegevenstype & waarden. Instellingen worden in alfabetische volgorde weergegeven.

Beleid maken met OMA-URI

Wanneer u beleidsregels maakt met OMA-URI in Intune, maakt u één XML-bestand voor elk beleid. Als best practice kunt u het profiel Apparaatbeheer of Apparaatbeheerregelsprofiel gebruiken om aangepaste beleidsregels te maken.

Geef in het deelvenster Rij toevoegen de volgende instellingen op:

• Typ Allow Read Activityin het veld Naam.
• Typ ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleDatain het veld OMA-URI. (U kunt de PowerShell-opdracht New-Guid gebruiken om een nieuwe GUID te genereren en te vervangen [PolicyRule Id].)
• Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.

U kunt parameters gebruiken om voorwaarden in te stellen voor specifieke vermeldingen. Hier volgt een groepsvoorbeeld van een XML-bestand voor Leestoegang toestaan voor elke verwisselbare opslag.

Groepen maken met OMA-URI

Wanneer u groepen maakt met OMA-URI in Intune, maakt u één XML-bestand voor elke groep. Als best practice kunt u herbruikbare instellingen gebruiken om groepen te definiëren.

Geef in het deelvenster Rij toevoegen de volgende instellingen op:

• Typ Any Removable Storage Groupin het veld Naam.
• Typ ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupDatain het veld OMA-URI. (Als u uw GroupID wilt ophalen, gaat u in het Intune-beheercentrum naar Groepen en selecteert u vervolgens De object-id kopiëren. U kunt ook de PowerShell-opdracht New-Guid gebruiken om een nieuwe GUID te genereren en te vervangen[GroupId].)
• Selecteer tekenreeks (XML-bestand) in het veld Gegevenstype en gebruik Aangepaste XML.

Toegangsbeheer voor verwisselbare opslag configureren met behulp van OMA-URI

1. Ga naar het Microsoft Intune-beheercentrum en meld u aan.

2. Kies Apparaten>Configuratieprofielen. De pagina Configuratieprofielen wordt weergegeven.

3. Selecteer op het tabblad Beleid (standaard geselecteerd) de optie + Maken en kies + Nieuw beleid in de vervolgkeuzelijst die wordt weergegeven. De pagina Een profiel maken wordt weergegeven.

4. Selecteer in de lijst PlatformWindows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform en kies Sjablonen in de vervolgkeuzelijst Profieltype.

5. Zodra u Sjablonen hebt gekozen in de vervolgkeuzelijst Profieltype , wordt het deelvenster Sjabloonnaam weergegeven, samen met een zoekvak (om de profielnaam te doorzoeken).

6. Selecteer Aangepast in het deelvenster Sjabloonnaam en selecteer Maken.

7. Maak een rij voor elke instelling, groep of beleid door stap 1-5 te implementeren.

Apparaatbeheergroepen weergeven (herbruikbare instellingen)

In Intune worden apparaatbeheergroepen weergegeven als herbruikbare instellingen.

1. Ga naar het Microsoft Intune-beheercentrum en meld u aan.

2. Ga naar Kwetsbaarheid voor eindpuntbeveiligingsaanvallen>verminderen.

3. Selecteer het tabblad Herbruikbare instellingen .

Zie ook

• Apparaatbeheer in Defender voor Eindpunt
• Beleid en instellingen voor apparaatbeheer
• Apparaatbeheer voor macOS