Partager via


Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison à l’aide de stratégie de groupe

S’applique à :

Si vous utilisez stratégie de groupe pour gérer les paramètres de Defender pour point de terminaison, vous pouvez l’utiliser pour déployer et gérer le contrôle de l’appareil.

Activer ou désactiver le contrôle d’accès au stockage amovible

Capture d’écran de l’activation de la désactivation de rsac.

  1. Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft DefenderFonctionnalités>antivirus>Contrôle d’appareil.

  2. Dans la fenêtre Contrôle d’appareil , sélectionnez Activé.

Remarque

Si vous ne voyez pas ces objets stratégie de groupe, vous devez ajouter les modèles d’administration stratégie de groupe (ADMX). Vous pouvez télécharger le modèle d’administration (WindowsDefender.adml et WindowsDefender.admx) à partir de mdatp-devicecontrol/exemples Windows dans GitHub.

Définir l’application par défaut

Vous pouvez définir l’accès par défaut tel Deny que ou Allow pour toutes les fonctionnalités de contrôle d’appareil, telles que RemovableMediaDevices, CdRomDevices, WpdDeviceset PrinterDevices.

Capture d’écran de définir l’application par défaut.

Par exemple, vous pouvez avoir une Deny stratégie ou pour AllowRemovableMediaDevices, mais pas pour CdRomDevices ou WpdDevices. Si vous définissez Default Deny cette stratégie, l’accès en lecture/écriture/exécution à CdRomDevices ou WpdDevices est bloqué. Si vous souhaitez uniquement gérer le stockage, veillez à créer Allow une stratégie pour les imprimantes. Sinon, l’application par défaut (Deny) est également appliquée aux imprimantes.

  1. Sur un appareil exécutant Windows, accédez à Configuration> ordinateur Modèles >d’administrationComposants> Windows Microsoft Defender Fonctionnalités> antivirus >Contrôle d’appareil>Sélectionnez Contrôle d’appareil Stratégie d’application par défaut.

  2. Dans la fenêtre Sélectionner la stratégie d’application par défaut du contrôle d’appareil , sélectionnez Refuser par défaut.

Configurer les types d’appareils

Capture d’écran de la configuration des types d’appareils.

Pour configurer les types d’appareils auxquels une stratégie de contrôle d’appareil est appliquée, procédez comme suit :

  1. Sur un ordinateur exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Activer le contrôle d’appareil pour des types d’appareils spécifiques.

  2. Dans la fenêtre Activer le contrôle d’appareil pour des types spécifiques , spécifiez les ID de famille de produits, séparés par un canal (|). Ce paramètre doit être une chaîne unique sans espace, sinon il sera analysé de manière incorrecte par le moteur de contrôle de l’appareil, ce qui entraînera des comportements inattendus. Les ID de famille de produits incluent RemovableMediaDevices, CdRomDevices, WpdDevicesou PrinterDevices.

Définir des groupes

Capture d’écran de définir des groupes.

  1. Créez un fichier XML pour chaque groupe de stockage amovible.

  2. Utilisez les propriétés de votre groupe de stockage amovible pour créer un fichier XML pour chaque groupe de stockage amovible.

  3. Enregistrez chaque fichier XML dans votre partage réseau.

  4. Définissez les paramètres comme suit :

    1. Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Définir des groupes de stratégies de contrôle d’appareil.

    2. Dans la fenêtre Définir des groupes de stratégies de contrôle d’appareil , spécifiez le chemin du fichier de partage réseau contenant les données des groupes XML.

Vous pouvez créer différents types de groupes. Voici un exemple de fichier XML de groupe pour tout stockage amovible et CD-ROM, appareils portables Windows et groupe USBs approuvé : fichier XML

Remarque

Les commentaires utilisant la notation <!--COMMENT--> de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.

Définir des stratégies

Capture d’écran de définir des stratégies.

  1. Créez un fichier XML pour la règle de stratégie d’accès.

  2. Utilisez les propriétés de la ou des règles de stratégie d’accès de stockage amovible pour créer un code XML pour la règle de stratégie d’accès au stockage amovible de chaque groupe.

  3. Enregistrez le fichier XML dans le partage réseau.

  4. Définissez les paramètres comme suit :

    1. Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Définir des règles de stratégie de contrôle d’appareil.

    2. Dans la fenêtre Définir les règles de stratégie de contrôle d’appareil , sélectionnez Activé, puis spécifiez le chemin du fichier de partage réseau contenant les données des règles XML.

Remarque

Pour capturer la preuve de la copie ou de l’impression de fichiers, utilisez endpoint DLP.

Remarque

Les commentaires utilisant la notation <!-- COMMENT --> de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.

Voir aussi