適用於端點的 Microsoft Defender 裝置控制功能可讓您稽核、允許或防止讀取、寫入或執行卸除式儲存體的存取權,並可讓您管理 iOS 和可攜式裝置和藍牙媒體,無論是否排除。
授權需求
開始使用抽取式儲存體存取控制之前,您必須先確認您的 Microsoft 365 訂閱。 若要存取和使用抽取式儲存體存取控制,您必須擁有 Microsoft 365 E3。
重要事項
本文包含第三方工具的相關資訊。 提供此功能是為了協助完成整合案例,不過,Microsoft 不提供協力廠商工具的疑難排解支援。
請聯絡第三方廠商以取得支援。
手動部署原則
此方法僅建議用於生產前環境。 它從版本 101.23082.0018 開始可用。 您可以建立原則 JSON 並在單一電腦上試用,然後再透過 MDM 將其部署給所有使用者。 Microsoft 建議將 MDM 用於生產環境。
您可以手動設定原則,前提是它不是透過 MDM (設定為受管理的設定) 。
步驟 1:建立政策 JSON
現在,您有 groups、 、 rulessettings、 將它們組合成一個 JSON。 以下是示範檔案: mdatp-devicecontrol/deny_removable_media_except_kingston.json at main - microsoft/mdatp-devicecontrol (github.com) 。 請務必使用 JSON 結構描述驗證您的原則,以便您的原則格式正確: mdatp-devicecontrol/device_control_policy_schema.json at main - microsoft/mdatp-devicecontrol (github.com) 。
請參閱適用於 macOS 的裝置控制項 ,以取得有關設定、規則和群組的資訊。
步驟 2:套用原則
用於 mdatp config device-control policy set --path <full-path-to-policy.json> 套用原則。
您現在可以嘗試受保護的作業,或使用一般 mdatp device-control 命令來檢查有效的原則。
> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
| |-o Disable: false
|-o Global
|-o Default Enforcement: "allow"
您可以編輯原則檔案、重新套用、並立即查看變更。
步驟 3:復原變更
若要清除原則,請使用 mdatp config device-control policy reset。
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。