Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison à l’aide de stratégie de groupe
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
Si vous utilisez stratégie de groupe pour gérer les paramètres de Defender pour point de terminaison, vous pouvez l’utiliser pour déployer et gérer le contrôle de l’appareil.
Activer ou désactiver le contrôle d’accès au stockage amovible
Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft DefenderFonctionnalités>antivirus>Contrôle d’appareil.
Dans la fenêtre Contrôle d’appareil , sélectionnez Activé.
Remarque
Si vous ne voyez pas ces objets stratégie de groupe, vous devez ajouter les modèles d’administration stratégie de groupe (ADMX). Vous pouvez télécharger le modèle d’administration (WindowsDefender.adml et WindowsDefender.admx) à partir de mdatp-devicecontrol/exemples Windows dans GitHub.
Définir l’application par défaut
Vous pouvez définir l’accès par défaut tel Deny
que ou Allow
pour toutes les fonctionnalités de contrôle d’appareil, telles que RemovableMediaDevices
, CdRomDevices
, WpdDevices
et PrinterDevices
.
Par exemple, vous pouvez avoir une Deny
stratégie ou pour Allow
RemovableMediaDevices
, mais pas pour CdRomDevices
ou WpdDevices
. Si vous définissez Default Deny
cette stratégie, l’accès en lecture/écriture/exécution à CdRomDevices
ou WpdDevices
est bloqué. Si vous souhaitez uniquement gérer le stockage, veillez à créer Allow
une stratégie pour les imprimantes. Sinon, l’application par défaut (Deny) est également appliquée aux imprimantes.
Sur un appareil exécutant Windows, accédez à Configuration> ordinateur Modèles >d’administrationComposants> Windows Microsoft Defender Fonctionnalités> antivirus >Contrôle d’appareil>Sélectionnez Contrôle d’appareil Stratégie d’application par défaut.
Dans la fenêtre Sélectionner la stratégie d’application par défaut du contrôle d’appareil , sélectionnez Refuser par défaut.
Configurer les types d’appareils
Pour configurer les types d’appareils auxquels une stratégie de contrôle d’appareil est appliquée, procédez comme suit :
Sur un ordinateur exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Activer le contrôle d’appareil pour des types d’appareils spécifiques.
Dans la fenêtre Activer le contrôle d’appareil pour des types spécifiques , spécifiez les ID de famille de produits, séparés par un canal (
|
). Ce paramètre doit être une chaîne unique sans espace, sinon il sera analysé de manière incorrecte par le moteur de contrôle de l’appareil, ce qui entraînera des comportements inattendus. Les ID de famille de produits incluentRemovableMediaDevices
,CdRomDevices
,WpdDevices
ouPrinterDevices
.
Définir des groupes
Créez un fichier XML pour chaque groupe de stockage amovible.
Utilisez les propriétés de votre groupe de stockage amovible pour créer un fichier XML pour chaque groupe de stockage amovible.
Enregistrez chaque fichier XML dans votre partage réseau.
Définissez les paramètres comme suit :
Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Définir des groupes de stratégies de contrôle d’appareil.
Dans la fenêtre Définir des groupes de stratégies de contrôle d’appareil , spécifiez le chemin du fichier de partage réseau contenant les données des groupes XML.
Vous pouvez créer différents types de groupes. Voici un exemple de fichier XML de groupe pour tout stockage amovible et CD-ROM, appareils portables Windows et groupe USBs approuvé : fichier XML
Remarque
Les commentaires utilisant la notation <!--COMMENT-->
de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.
Définir des stratégies
Créez un fichier XML pour la règle de stratégie d’accès.
Utilisez les propriétés de la ou des règles de stratégie d’accès de stockage amovible pour créer un code XML pour la règle de stratégie d’accès au stockage amovible de chaque groupe.
Enregistrez le fichier XML dans le partage réseau.
Définissez les paramètres comme suit :
Sur un appareil exécutant Windows, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Device Control>Définir des règles de stratégie de contrôle d’appareil.
Dans la fenêtre Définir les règles de stratégie de contrôle d’appareil , sélectionnez Activé, puis spécifiez le chemin du fichier de partage réseau contenant les données des règles XML.
Remarque
Pour capturer la preuve de la copie ou de l’impression de fichiers, utilisez endpoint DLP.
Remarque
Les commentaires utilisant la notation <!-- COMMENT -->
de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.