Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Se estiver a utilizar Intune para gerir as definições do Defender para Endpoint, pode utilizá-lo para implementar e gerir as capacidades de controlo de dispositivos. Diferentes aspetos do controlo de dispositivos são geridos de forma diferente no Intune, conforme descrito nas secções seguintes.
Configurar e gerir o controlo de dispositivos no Intune
Aceda ao centro de administração do Intune e inicie sessão.
Aceda a Segurança >de ponto finalRedução da superfície de ataque.
No separador Políticas da página Redução da superfície de ataque , selecione + Criar Política para configurar uma nova política com as seguintes definições:
- Plataforma: selecione Windows. Atualmente, o controlo de dispositivos não é suportado no Windows Server, embora esta política se aplique para o mostrar.
- Perfil: selecione Controlo de Dispositivos.
Selecione Criar.
O assistente Criar Política é aberto. No separador Informações básicas , configure as seguintes definições:
- Nome: introduza um nome exclusivo e descritivo para a política.
- Descrição: introduza uma descrição opcional.
No separador Definições de configuração , configure algumas ou todas as seguintes definições:
- Defender: veja Permitir definições de Análise de Unidade Amovível de Análise Completa .
- Controlo de Dispositivos: configure políticas personalizadas com definições reutilizáveis. Consulte a secção Perfis de controlo de dispositivos mais adiante neste artigo e Descrição geral do controlo de dispositivos: Regras..
- Restrições de Instalação do Dispositivo: veja Definições de instalação do dispositivo .
- Acesso ao Armazenamento Amovível: veja Definições de Acesso ao Armazenamento Amovível .
- Proteção de Dados: veja Permitir definições de Acesso Direto à Memória .
- Dma Guard: veja Definições da Política de Enumeração de Dispositivos .
- Armazenamento: veja Definições de Acesso de Escrita de Negação de Disco Amovível .
- Conectividade: consulte Permitir Ligação USB** e Permitir definições de Bluetooth .
- Bluetooth: definições relacionadas com ligações e serviços Bluetooth. Veja Política CSP - Bluetooth.
- Sistema: veja Permitir definições do Cartão de Armazenamento .
Sugestão
Não precisa de configurar todas as definições disponíveis de uma só vez. Considere começar com as definições de Controlo de Dispositivos , conforme descrito na secção seguinte.
No separador Etiquetas de âmbito , onde pode especificar etiquetas de âmbito para a política.
No separador Atribuições, especifique grupos de utilizadores ou dispositivos para receber a sua política. Para obter mais informações, veja Atribuir políticas no Intune.
No separador Rever + criar , reveja as suas definições e faça as alterações necessárias. Quando estiver pronto, selecione Criar para criar a política de controlo de dispositivos.
Perfis de controlo de dispositivos
No Intune, cada linha na secção Controlo de Dispositivos representa uma política de controlo de dispositivos. Pode adicionar e remover políticas com + Adicionar e – Remover. O nome da política é apresentado no aviso aos utilizadores e na investigação e relatórios avançados.
Depois de selecionar + Adicionar, estão disponíveis as seguintes definições:
- Dispositivos Incluídos: a definição reutilizável à qual a política se aplica.
- Dispositivos Excluídos: a definição reutilizável excluída da política.
- Acesso: as permissões permitidas e o comportamento do controlo do dispositivo que entra em vigor quando a política se aplica.
Para obter informações sobre como adicionar os grupos reutilizáveis das definições incluídas na linha de cada política de controlo de dispositivos, veja Adicionar grupos reutilizáveis a um perfil de Controlo de Dispositivos.
Pode adicionar políticas de auditoria e adicionar políticas de Permissão/Negação. Sempre recomendamos adicionar uma política Permitir e/ou Negar ao adicionar uma política de auditoria para que não tenha resultados inesperados.
Importante
Se configurar apenas políticas de auditoria, as permissões serão herdadas da predefinição de imposição.
A ordem pela qual as políticas estão listadas na interface de utilizador não é preservada para a imposição de políticas. A melhor prática é utilizar as políticas Permitir/Negar. Certifique-se de que a opção Permitir/Negar políticas não está a intersecionar ao adicionar explicitamente dispositivos a serem excluídos. Ao utilizar a interface gráfica do Intune, não pode alterar a imposição predefinida. Se alterar a imposição predefinida para Denye criar uma Allow política para ser aplicada a dispositivos específicos, todos os dispositivos serão bloqueados, exceto todos os dispositivos definidos na Allow política.
Definir Definições com OMA-URI
Importante
Utilizar Intune OMA-URI para configurar o controlo de dispositivos requer que a carga de trabalho configuração do dispositivo seja gerida por Intune, se o dispositivo for cogerido com Configuration Manager. Para obter mais informações, veja Como mudar Configuration Manager cargas de trabalho para Intune.
Na tabela seguinte, identifique a definição que pretende configurar e, em seguida, utilize as informações nas colunas OMA-URI e tipo de dados & valores. As definições são listadas por ordem alfabética.
| Definição | OMA-URI, tipo de dados & valores |
|---|---|
|
Imposição predefinida do controlo do dispositivo A imposição predefinida estabelece que decisões são tomadas durante as verificações de acesso ao controlo do dispositivo quando nenhuma das regras de política corresponde |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement Número inteiro: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
|
Tipos de dispositivo Tipos de dispositivos, identificados pelos respetivos IDs Principais, com a proteção de controlo de dispositivos ativada. Tem de especificar os IDs da família de produtos, separados por um pipe. Ao selecionar vários tipos de dispositivos, tem de garantir que a cadeia é toda uma palavra sem espaços. Uma configuração que não siga esta sintaxe causará um comportamento inesperado. |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration Cadeia: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
|
Ativar o controlo de dispositivos Ativar ou desativar o controlo do dispositivo no dispositivo |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled Número inteiro: - Desativar = 0 - Ativar = 1 |
Criar políticas com o OMA-URI
Quando cria políticas com o OMA-URI no Intune, crie um ficheiro XML para cada política. Como melhor prática, utilize o Perfil de Controlo de Dispositivos ou o Perfil de Regras de Controlo de Dispositivos para criar políticas personalizadas.
No painel Adicionar Linha , especifique as seguintes definições:
- No campo Nome , escreva
Allow Read Activity. - No campo OMA-URI , escreva
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Pode utilizar o comandoNew-Guiddo PowerShell para gerar um novo Guid e substituir[PolicyRule Id].) - No campo Tipo de Dados , selecione Cadeia (ficheiro XML) e utilize XML Personalizado.
Pode utilizar parâmetros para definir condições para entradas específicas. Eis um ficheiro XML de exemplo de grupo para Permitir acesso de Leitura para cada armazenamento amovível.
Nota
Os comentários com notação <!-- COMMENT --> de comentários XML podem ser utilizados nos ficheiros XML de Regra e Grupo, mas têm de estar dentro da primeira etiqueta XML e não na primeira linha do ficheiro XML.
Criar grupos com o OMA-URI
Quando cria grupos com o OMA-URI no Intune, crie um ficheiro XML para cada grupo. Como melhor prática, utilize definições reutilizáveis para definir grupos.
No painel Adicionar Linha , especifique as seguintes definições:
- No campo Nome , escreva
Any Removable Storage Group. - No campo OMA-URI , escreva
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Para obter o GroupID, no centro de administração do Intune, aceda a Grupos e, em seguida, selecione Copiar o ID do Objeto. Em alternativa, pode utilizar o comandoNew-Guiddo PowerShell para gerar um novo Guid e substituir[GroupId].) - No campo Tipo de Dados , selecione Cadeia (ficheiro XML) e utilize XML Personalizado.
Nota
Os comentários com notação <!-- COMMENT -- > de comentários XML podem ser utilizados nos ficheiros XML de Regra e Grupo, mas têm de estar dentro da primeira etiqueta XML e não na primeira linha do ficheiro XML.
Configurar o controlo de acesso ao armazenamento amovível com o OMA-URI
Aceda ao centro de administração do Microsoft Intune e inicie sessão.
Selecione PerfisdeConfiguração de Dispositivos>. É apresentada a página Perfis de configuração .
No separador Políticas (selecionado por predefinição), selecione + Criar e escolha + Nova política no menu pendente apresentado. É apresentada a página Criar um perfil .
Na lista Plataforma, selecione Windows 10, Windows 11 e Windows Server na lista pendente Plataforma e selecione Modelos na lista pendente Tipo de perfil.
Depois de escolher Modelos na lista pendente Tipo de perfil, o painel Nome do modelo é apresentado juntamente com uma caixa de pesquisa (para procurar o nome do perfil).
Selecione Personalizar no painel Nome do modelo e selecione Criar.
Crie uma linha para cada definição, grupo ou política ao implementar os Passos 1 a 5.
Ver grupos de controlo de dispositivos (Definições reutilizáveis)
No Intune, os grupos de controlo de dispositivos aparecem como definições reutilizáveis.
Aceda ao centro de administração do Microsoft Intune e inicie sessão.
Aceda aEndpoint Security Attack Surface Reduction (Redução da Superfície de Ataque de Segurança > de Ponto Final).
Selecione o separador Definições Reutilizáveis .