如果你用 Intune 來管理 Defender for Endpoint 的設定,也可以用它來部署和管理裝置控制功能。 Intune 中不同裝置控制面向的管理方式不同,詳見以下章節。
在 Intune 中設定與管理裝置控制
在 Microsoft Intune 管理中心https://intune.microsoft.com,請前往「端點安全>管理」區塊>「攻擊面減少」。 或者,直接進入 端點安全 |攻擊面減少 頁面,請使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr。
在端點安全 |攻擊面縮小頁面,選擇建立政策。
在開啟的 「建立設定檔 」飛出視窗中,請設定以下設定:
- 平台:選擇 視窗。 目前 Windows Server 不支援裝置控制,儘管此政策適用於顯示。
- 設定檔:選擇 裝置控制。
當你完成 端點安全 |攻擊面減少 頁面,選擇**建立。
建立 政策 向靈會開啟。 在 基礎 標籤中,請設定以下設定:
- 名稱:輸入原則的唯一描述性名稱。
- 描述:輸入選擇性描述。
選取 [下一步]。
在 設定 標籤中,請設定以下部分或全部:
- Defender:請參考 「允許全掃描可拆卸硬碟掃描 設定」。
- 裝置控制:設定自訂政策並具備可重複使用的設定。 請參閱本文後面的 裝置控制設定檔 章節及 裝置控制概覽:規則......
- 裝置安裝限制:請參閱 裝置安裝 設定。
- 可移除儲存存取:請參閱可移除儲存存取設定。
- 資料保護:請參見 允許直接存取記憶體 的設定。
- DMA Guard:請參閱 裝置列舉政策 設定。
- 儲存裝置:請參閱 可移除磁碟拒絕寫入存取 設定。
- 連線:請參考 「允許 USB 連線**」和 「允許藍牙 設定」。
- 藍牙:與藍牙連線及服務相關的設定。 請參見 政策 CSP - 藍牙。
- 系統:請參見 「允許儲存卡 設定」。
提示
你不需要一次設定所有可用設定。 請考慮從下一節所述 的裝置控制 設定開始。
完成 設定 標籤後,選擇 「下一步」。
在 範圍標籤 標籤中,預設選擇了名為 Default 的範圍標籤,但你可以移除它並選擇其他現有 範圍標籤。 完成時,按 [下一步]。
在 「指派」 標籤中,指定要接收政策的使用者或裝置群組。 欲了解更多資訊,請參閱 Intune 中的「指派政策」。
在 「檢視+建立 」標籤中,檢視你的設定,並做出必要的修改。 準備好後,選擇 建立 以建立裝置控制政策。
裝置控制規範
在 Intune 中,裝置控制區段的每一列代表一個裝置控制政策。 你可以用 + 新增 和 – 移除來新增和移除政策。 該政策名稱會出現在用戶警告、進階狩獵和報告中。
選擇 + Add 後,以下設定可用:
- 包含裝置:政策適用的可重用設定。
- 排除裝置:政策中排除的可重複使用設定。
- 存取權:政策適用時允許的權限及裝置控制行為。
關於如何新增每個裝置控制政策列中可重複使用的設定群組,請參見 「將可重複使用群組加入裝置控制設定檔」。
你可以新增稽核政策,也可以加入允許/拒絕政策。 我們一直建議在新增稽核政策時,先加上允許和/或拒絕政策,以避免出現意外結果。
重要事項
如果你只設定稽核政策,權限會繼承自預設的強制設定。
使用者介面中政策列出的順序不會被保留以執行政策。 最佳做法是使用 允許/拒絕政策。 請明確新增要排除的裝置,確保允許 /拒絕政策 選項不相交。 使用 Intune 的圖形介面,你無法更改預設的強制執行。 如果你把預設強制設定改成 Deny,並建立 Allow 政策來套用特定裝置,除了政策中 Allow 設定的裝置外,所有裝置都會被封鎖。
使用 OMA-URI 定義設定
重要事項
使用 Intune OMA-URI 來設定裝置控制時,若裝置與 Configuration Manager 共同管理,則裝置組態工作負載必須由 Intune 管理。 欲了解更多資訊,請參閱如何將 Configuration Manager 工作負載切換至 Intune。
在下表中,請確認你想設定的設定,然後利用 OMA-URI 和資料型別 & 值欄位中的資訊。 設定依字母順序排列。
| 設定 | OMA-URI、資料型別、& 值 |
|---|---|
|
裝置控制預設強制執行 預設強制規定在裝置控制存取檢查時,當所有政策規則不符時,會做出哪些決策 |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement 整數: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
|
裝置類型 裝置類型,透過主要 ID 識別,並開啟裝置控制保護。 你必須指定產品家族 ID,並以管子分隔。 選擇多種裝置類型時,你需要確保字串全是單字且沒有空格。 若設定不遵循此語法,則會導致意想不到的行為。 |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration 弦: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
|
啟用裝置控制 啟用或停用裝置控制 |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled 整數: - 失效 = 0 - 使得 = 1 |
使用 OMA-URI 建立政策
在 Intune 中使用 OMA-URI 建立政策時,請為每個政策建立一個 XML 檔案。 作為最佳實務,使用裝置控制設定檔或裝置控制規則設定檔來撰寫自訂政策。
在 新增列 面板中,請指定以下設定:
- 在 名稱 欄位輸入
Allow Read Activity。 - 在 OMA-URI 欄位中,類型
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData為 。 (你可以用 PowerShell 指令New-Guid產生新的 Guid,並替換[PolicyRule Id].) - 在 資料型別 欄位,選擇 String (XML 檔案) ,並使用 Custom XML。
你可以用參數來設定特定條目條件。 這裡有一個 針對每個可移除儲存裝置的 Allow Read 存取群組 XML 檔案範例。
注意事項
使用 XML 註解符號 <!-- COMMENT --> 的註解可以在規則與群組 XML 檔案中使用,但必須置於第一個 XML 標籤內,而非 XML 檔案的第一行。
使用 OMA-URI 建立群組
當你在 Intune 中用 OMA-URI 建立群組時,為每個群組建立一個 XML 檔案。 作為最佳實務,使用可重用的設定來定義群組。
在 新增列 面板中,請指定以下設定:
- 在 名稱 欄位輸入
Any Removable Storage Group。 - 在 OMA-URI 欄位中,類型
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData為 。 (要取得你的 GroupID,請在 Intune 管理中心進入「群組」,然後選擇「複製物件 ID」。或者,你可以用 PowerShell 指令New-Guid產生新的 Guid,然後替換[GroupId].) - 在 資料型別 欄位,選擇 String (XML 檔案) ,並使用 Custom XML。
注意事項
使用 XML 註解符號 <!-- COMMENT -- > 的註解可以在規則與群組 XML 檔案中使用,但必須置於第一個 XML 標籤內,而非 XML 檔案的第一行。
使用 OMA-URI 配置可移除儲存存取控制
請前往 Microsoft Intune 管理中心並登入。
選擇 裝置>設定檔。 設定 設定頁面 會出現。
在預設) 選擇 的政策 標籤中 (,選擇 + 建立,然後從出現的下拉選單中選擇 + 新政策 。 「 建立個人檔案 」頁面會出現。
在平台清單中,從平台下拉選單選擇 Windows 10、Windows 11 和 Windows Server,然後從設定檔類型下拉選單選擇範本。
一旦你從個人檔案類型下拉選單選擇範本,就會顯示範本名稱窗格,並有一個搜尋框, (可以搜尋個人檔案名稱) 。
從範本名稱窗格選擇自訂,然後選擇建立。
透過實施步驟 1-5,為每個環境、群組或政策建立一列。
查看裝置控制群組 (可重用設定)
在 Intune 中,裝置控制群組會以可重複使用的設定顯示。
請前往 Microsoft Intune 管理中心並登入。
請前往「 端點安全>攻擊面縮減」。
選擇 可重複使用設定 標籤。