Microsoft Defender for Endpoint中的设备控制策略

项目
10/11/2024

适用于：

本文介绍设备控制策略、规则、条目、组和高级条件。实质上，设备控制策略定义一组设备的访问权限。范围内的设备由包含的设备组列表和排除的设备组列表确定。如果设备位于所有包含的设备组中，并且没有排除的设备组，则应用策略。如果未应用任何策略，则应用默认强制实施。

默认情况下，设备控制处于禁用状态，因此允许访问所有类型的设备。若要了解有关设备控制的详细信息，请参阅 Microsoft Defender for Endpoint 中的设备控制。

控制默认行为

启用设备控制后，默认情况下会为所有设备类型启用设备控制。默认强制措施也可以从 “允许” 更改为 “拒绝”。安全团队还可以配置设备控制保护的设备类型。下表说明了各种设置组合如何更改访问控制决策。

是否启用了设备控制？	默认行为	设备类型
否	允许访问	- CD/DVD 驱动器 -打印机 - 可移动媒体设备 - Windows 便携式设备
是	(未指定) 允许访问	- CD/DVD 驱动器 -打印机 - 可移动媒体设备 - Windows 便携式设备
是	拒绝	- CD/DVD 驱动器 -打印机 - 可移动媒体设备 - Windows 便携式设备
是	拒绝可移动媒体设备和打印机	- 打印机和可移动媒体设备 (阻止) - cd/DVD 驱动器和 Windows 便携式设备 (允许)

配置设备类型后，Defender for Endpoint 中的设备控制将忽略对其他设备系列的请求。

有关详细信息，请参阅以下文章：

策略

为了进一步优化对设备的访问，设备控制使用策略。策略是一组规则和组。规则和组的定义方式因管理体验和操作系统而异，如下表所述。

管理工具	操作系统	如何管理规则和组
Intune - 设备控制策略	Windows	设备和打印机组可以作为可重用设置进行管理，并包含在规则中。并非所有功能都可用于设备控制策略 (请参阅使用Microsoft Intune)
Intune – 自定义	Windows	每个组/规则都存储为自定义配置策略中的 XML 字符串。 OMA-URI 包含组/规则的 GUID。必须生成 GUID。
组策略	Windows	组和规则在组策略对象中的单独 XML 设置中定义 (请参阅使用组策略) 部署和管理设备控制。
Intune	Mac	规则和策略合并到单个 JSON 中`mobileconfig`，并包含在使用 Intune 部署的文件中
JAMF	Mac	规则和策略合并为单个 JSON，并使用 JAMF 作为设备控制策略进行配置 (请参阅 macOS 设备控制)

规则和组由全局唯一 ID (GUID) 标识。如果使用Intune以外的管理工具部署设备控制策略，则必须生成 GUID。可以使用 PowerShell 生成 GUID。

有关架构详细信息，请参阅 Mac 的 JSON 架构。

用户

设备控制策略可以应用于用户和/或用户组。

注意

在与设备控制相关的文章中，用户组称为 用户组。术语 “组” 是指在设备控制策略中定义的组。

使用 Intune，在 Mac 和 Windows 上，设备控制策略可以面向 Entra Id 中定义的用户组。

在 Windows 上，用户或用户组可以是策略中条目的条件。

具有用户或用户组的条目可以引用 Entra Id 或本地 Active Directory 中的对象。

将设备控制与用户和用户组配合使用的最佳做法

若要在 Windows 上为单个用户创建规则，请在规则中创建具有Sid条件的条目，
若要在 Windows 和 Intune 上为用户组创建规则，请为 [rule] 中的每个用户组创建一个Sid具有条件的条目，并将策略定向到 Intune 中的计算机组，或者创建一个无条件的规则，并将策略Intune到用户组。
在 Mac 上，使用 Intune并将策略定向到 Entra Id 中的用户组。

警告

请勿在规则中使用用户/用户组条件，也不要在 Intune 中使用用户组目标。

注意

如果网络连接存在问题，请使用Intune用户组目标或本地 Active Directory 组。引用 Entra Id 的用户/用户组条件 应仅在 与 Entra Id 建立可靠连接的环境中使用。

Rules

规则定义包含的组的列表和排除的组的列表。若要应用规则，设备必须位于所有包含的组中，并且不包含任何已排除的组。如果设备与规则匹配，则会评估该规则的条目。如果请求与条件匹配，则条目定义应用的操作和通知选项。如果没有应用规则或条目与请求匹配，则应用默认强制实施。

例如，若要允许某些 USB 设备的写入访问，以及所有其他 USB 设备的读取访问权限，请使用以下策略、组和条目，并将默认强制设置为“拒绝”。

组	说明
所有可移动存储设备	可移动存储设备
可写 USB	允许写入访问的 USB 列表

Rule	包含的设备组	排除的设备组	条目
USB 的只读访问权限	所有可移动存储设备	可写 USB	只读访问
USB 的写入访问权限	可写 USB		写入访问权限

规则的名称显示在门户上用于报告和向用户的 Toast 通知中，因此请务必为规则提供描述性名称。

可以通过在 Intune 中编辑策略、在 Windows 中使用 XML 文件或在 Mac 上使用 JSON 文件来配置规则。有关更多详细信息，请选择每个选项卡。

下图描述了Intune中的设备控制策略的配置设置：

在屏幕截图中，“包含 ID”和“排除的 ID”是对包含和排除的可重用设置组的引用。一个策略可以有多个规则。

Intune不遵循规则的排序。可以按任意顺序评估规则，因此请确保显式排除不在规则范围内的设备组。

以下代码片段显示了 XML 中设备控制策略规则的语法：


<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

下表提供了 XML 代码片段的更多上下文：

属性名	说明	选项
`PolicyRule Id`	GUID 是唯一的 ID，表示策略，用于报告和故障排除。	可以通过 PowerShell 生成 ID。
`Name`	字符串，策略的名称，并基于策略设置显示在 Toast 上。
`IncludedIdList`	策略应用于的组。如果添加了多个组，则媒体必须是列表中要包含的每个组的成员。	必须在此实例上使用组 ID/GUID。以下示例显示了 GroupID 的用法： `<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>`
`ExcludedIDList`	策略不适用于的组。如果添加了多个组，则媒体必须是列表中要排除的组的成员。	必须在此实例上使用组 ID/GUID。
`Entry`	一个 PolicyRule 可以有多个条目;具有唯一 GUID 的每个条目都会告知设备控制一个限制。	有关详细信息，请参阅下面的条目属性表。

以下代码片段显示了用于 macOS 的 JSON 中的设备控制策略规则的语法：

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

下表提供了 XML 代码片段的更多上下文：

属性名称	说明	选项
`id`	GUID 是唯一的 ID，表示规则，在策略中使用。	`New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen`
`name`	字符串、策略的名称，并根据策略设置显示在 Toast 上。
`includeGroups`	应用策略的组。如果指定了多个组，则策略将应用于所有这些组中的任何媒体。如果未指定，则规则将应用于所有设备。	组内的 ID 值必须在此实例中使用。如果 includeGroup 中有多个组，则为 `AND`。 `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	策略不适用于的组。	组 `id` 内的值必须在此实例中使用。如果 excludeGroups 中有多个组，则为 `OR`。
`entries`	一个规则可以有多个条目;每个具有唯一 GUID 的条目都会告知设备控制一个限制。	若要获取详细信息，请参阅本文后面的条目属性表。

Entries

设备控制策略定义一组设备的访问 (称为条目) 。条目定义与条目中定义的策略和条件匹配的设备的操作和通知选项。

条目设置	选项
AccessMask	仅当访问操作与访问掩码匹配时应用操作 - 访问掩码是访问值的按位 OR： 1 - 设备读取 2 - 设备写入 4 - 设备执行 8 - 文件读取 16 - 文件写入 32 - 文件执行 64 - 打印例如：设备读取、写入和执行 = 7 (1+2+4) 设备读取、磁盘读取 = 9 (1+8)
操作	允许拒绝 AuditAllow AuditDeny
通知	无 (默认) 生成事件用户接收通知

条目评估

有两种类型的条目：强制条目 (允许/拒绝) 和审核条目 (AuditAllow/AuditDeny) 。

在匹配所有请求的权限之前，将按顺序评估规则的强制条目。如果没有条目与规则匹配，则计算下一个规则。如果没有匹配的规则，则应用默认值。

审核条目

当设备控制强制实施规则 (允许/拒绝) 时，审核事件控制行为。设备控件可以向最终用户显示通知。用户会收到一条通知，其中包含设备控制策略的名称和设备名称。初始访问被拒绝后，每隔一小时显示一次通知。

设备控制还可以创建在高级搜寻中可用的事件。

重要

每个设备每天有 300 个事件的限制。在做出强制决定后，将处理审核条目。将评估所有相应的审核条目。

条件

条目支持以下可选条件：

用户/用户组条件：仅对 SID 标识的用户/用户组应用操作

注意

对于存储在 Microsoft Entra ID 中的用户组和用户，请在条件中使用对象 ID。对于本地存储的用户组和用户，请使用安全标识符 (SID)

注意

在 Windows 上，可以通过运行 PowerShell 命令 whoami /user来检索已登录用户的 SID。

计算机条件：仅将操作应用于由 SID 标识的设备/组
参数条件：仅当参数匹配时应用操作 (请参阅高级条件)

条目的范围可以进一步限定为特定的用户和设备。例如，仅允许此用户在此设备上读取这些 USB。

Policy	包含的设备组	排除的设备组	参赛 ()
USB 的只读访问权限	所有可移动存储设备	可写 USB	只读访问
USB 的写入访问权限	可写 USB		用户 1 的写入访问权限设备组 A 上用户 2 的写入访问权限

条目中的所有条件都必须为 true，才能应用操作。

可以使用 Intune、Windows 中的 XML 文件或 Mac 上的 JSON 文件来配置条目。有关更多详细信息，请选择每个选项卡。

在 Intune 中，“访问掩码”字段具有选项，例如：

读取 (磁盘级别读取 = 1)
写入 (磁盘级别写入 = 2)
执行 (磁盘级别执行 = 4)
打印 (打印 = 64) 。

并非所有功能都显示在Intune用户界面中。有关详细信息，请参阅使用Intune部署和管理设备控制。

以下代码片段显示了 XML 中设备控件条目的语法：


  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

下表提供了 XML 代码片段的更多上下文：

属性名称	说明	选项
`Entry Id`	GUID 是唯一的 ID，表示条目，用于报告和故障排除。	可以使用 PowerShell 生成 GUID。
`Type`	在中 `IncludedIDList`定义可移动存储组的操作。 - `Allow` - `Deny` - `AuditAllowed`：定义允许访问时的通知和事件 - `AuditDenied`：定义拒绝访问时的通知和事件;与条目一 `Deny` 起使用。当同一介质存在冲突类型时，系统会应用策略中的第一个冲突类型。冲突类型的一个示例是 `Allow` 和 `Deny`。	- `Allow` - `Deny` - `AuditAllowed` - `AuditDenied`
`Option`	如果类型为 `Allow`	- `0`：无 - `4`：为此条目禁用 `AuditAllowed` 和 `AuditDenied` 。如果 `Allow` 发生并且 `AuditAllowed` 配置了设置，则不会生成事件。
`Option`	如果类型为 `Deny`	- `0`：无 - `4`：禁用 `AuditDenied` 此条目。如果发生“阻止”并且 `AuditDenied` 已配置设置，则系统不显示通知。
`Option`	如果类型为 `AuditAllowed`	- `0`：无 - `1`：无 - `2`：send 事件
`Option`	如果类型为 `AuditDenied`	- `0`：无 - `1`：显示通知 - `2`：send 事件 - `3`：显示通知和发送事件
`AccessMask`	定义访问权限	请参阅以下部分了解掩码访问
`Sid`	本地用户 SID 或用户 SID 组，或者Microsoft Entra 对象的 SID 或对象 ID。它定义是将此策略应用于特定用户还是用户组。一个条目最多可以有一个 SID，一个没有任何 SID 的条目可用于在设备上应用策略。	SID
`ComputerSid`	本地计算机 SID 或计算机 SID 组，或者 Microsoft Entra 对象的 SID 或对象 ID。它定义是将此策略应用于特定设备还是设备组。一个条目最多可以有一个 ComputerSID 和一个没有任何 ComputerSID 的条目，用于对设备应用策略。如果要将条目应用于特定用户和特定设备，请将 SID 和 ComputerSID 添加到同一条目中。	SID
`Parameters`	条目的条件，例如网络条件。	可以添加组 (非设备类型) ，甚至将参数放入参数中。有关详细信息，请参阅本文 () 的高级条件部分。

了解 Windows) (掩码访问

设备控制应用访问掩码来确定请求是否与条目匹配。、和 WpdDevices上提供CdRomDevicesRemovableMediaDevices以下操作：

Access	Mask
磁盘级别读取	1
磁盘级别写入	2
磁盘级别执行	4
文件系统读取	8
文件系统写入	16
文件系统执行	32

PrinterDevices 上提供以下操作：

访问：打印
掩码：64

可以通过执行二进制 OR 操作来拥有多个访问设置。下面是一个示例：

读取和写入和执行的 AccessMask 为 7
读取和写入的 AccessMask 为 3

以下代码片段显示了用于 macOS 的 JSON 中的设备控件条目的语法：


{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

下表提供了 JSON 代码片段的更多上下文：

属性名称	说明	选项
`id`	GUID 是唯一的 ID，表示条目，用于报告和故障排除。	可以使用 PowerShell 生成 ID。
`enforcement $type`	在中 `includedGroups`定义可移动存储组的操作。 - `allow` - `deny` - `auditAllow`：定义允许访问时的通知和事件 - `AuditDeny`：定义拒绝访问时的通知和事件;必须与“拒绝”条目协同工作。当同一介质存在冲突类型时，系统会应用策略中的第一个冲突类型。冲突类型的一个示例是“允许”和“拒绝”。	属性 `enforcement $type` 可以是以下值之一： - `allow` - `deny` - `auditAllow` - `auditDeny`
`enforcement $options`	如果允许强制$type	`disable_audit_allow`：如果发生“允许”并且已配置 auditAllow，则系统不会发送事件。
`enforcement $options`	如果强制$type是拒绝	`disable_audit_deny`：如果发生“阻止”并且已配置 auditDeny，则系统不会显示通知或发送事件。
`enforcement $options`	如果强制实施$type是 auditAllow	`send_event`：发送遥测数据
`enforcement $options`	如果强制$type是 auditDeny	- `send_event`：发送遥测数据 - `show_notification`：向用户显示阻止消息
`$type`	条目的类型。类型确定可由设备控制保护的操作	属性 `$type` 可以是以下任何值： - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice`
`access`	此条目授予的操作列表	请参阅下一部分“了解 Mac 上的访问权限”

了解 Mac) (访问权限

条目有两种类型的访问：泛型和特定于设备类型的访问。

泛型访问选项包括 generic_read、 generic_write和 generic_execute。
特定于设备类型的访问提供了更精细的控制粒度，因为特定于设备的访问值包含在泛型访问类型中。

下表介绍了特定于设备的访问类型，以及它们如何映射到泛型访问类型。

设备类型 ($type)	设备类型特定的访问	说明	读取	写入	执行
`appleDevice`	`backup_device`		X
`appleDevice`	`update_device`			X
`appleDevice`	`download_photos_from_device`	将照片 () 从特定 iOS 设备下载到本地设备	X
`appleDevice`	`download_files_from_device`	将文件 () 从特定 iOS 设备下载到本地设备	X
`appleDevice`	`sync_content_to_device`	将内容从本地设备同步到特定的 iOS 设备		X
`portableDevice`	`download_files_from_device`	X
`portableDevice`	`send_files_to_device`			X
`portableDevice`	`download_photos_from_device`		X
`portableDevice`	`debug`	ADB 工具控件			X
`removableMedia`	`read`		X
`removableMedia`	`write`			X
`removableMedia`	`execute`				X
`bluetoothDevice`	`download_files_from_device`		X
`bluetoothDevice`	`send_files_to_device`			X

组

组定义按对象属性筛选对象的条件。如果对象属性与为组定义的属性匹配，则对象将分配给组。

注意

本节中的组不引用用户组。

例如：

允许的 USB 是与这些制造商中的任何一个匹配的所有设备
丢失的 USB 是与这些序列号中的任何一个匹配的所有设备
允许的打印机是匹配其中任何 VID/PID 的所有设备

可以通过四种方式匹配属性： MatchAll、 MatchAny、 MatchExcludeAll和 MatchExcludeAny

MatchAll：属性是“And”关系;例如，如果管理员为每个连接的 USB 放置 DeviceID 和 InstancePathID，系统会检查 USB 是否同时满足这两个值。
MatchAny：属性是“Or”关系;例如，如果管理员为每个连接的 USB 放置 DeviceID 和 InstancePathID，则只要 USB 具有相同的 DeviceID 或 InstanceID 值，系统就会强制实施。
MatchExcludeAll：属性是“And”关系，涵盖不满足的任何项。例如，如果管理员放置 DeviceID 和 InstancePathID 并使用 MatchExcludeAll，对于每个连接的 USB，只要 USB 不具有相同 DeviceID 的和 InstanceID 值，系统就会强制实施。
MatchExcludeAny：属性是“或”关系，涵盖不满足的任何项。例如，如果管理员放置 DeviceID 和 InstancePathID 并使用 MatchExcludeAny，对于每个连接的 USB，只要 USB 没有相同的 DeviceID 值或 InstanceID 值，系统就会强制实施。

组有两种方式使用：选择要包含在规则中的设备，以及筛选高级条件的访问权限。下表汇总了组类型及其使用方式。

类型	说明	O/S	包含/排除规则	高级条件
设备 (默认)	筛选设备和打印机	Windows/Mac	X
网络	筛选网络条件	Windows		X
VPN 连接	筛选 VPN 条件	Windows		X
文件	筛选器文件属性	Windows		X
打印作业	正在打印的文件的筛选器属性	Windows		X

由包含的组列表和排除的组列表确定的策略范围内的设备。如果设备位于所有包含的组中，但没有排除的组，则应用规则。组可以由设备的属性组成。可以使用以下属性：

属性	说明	Windows 设备	Mac 设备	打印机
`FriendlyNameId`	Windows 设备管理器中的友好名称	Y	N	Y
`PrimaryId`	设备的类型	Y	Y	Y
`VID_PID`	供应商 ID 是 USB 委员会分配给供应商的四位数供应商代码。产品 ID 是供应商分配给设备的四位数产品代码。支持通配符。例如，`0751_55E0`	Y	N	Y
`PrinterConnectionId`	打印机连接类型： - `USB`：通过计算机的 USB 端口连接的打印机。 - `Network`：网络打印机是可通过网络连接访问的打印机，使其可供连接到网络的其他计算机使用。 - `Corporate`：公司打印机是通过本地 Windows 打印服务器共享的打印队列。 - `Universal`：通用打印是一种新式打印解决方案，组织可以使用它通过云服务从Microsoft管理其打印基础结构。什么是通用打印？ - 通用打印 \|Microsoft Docs - `File`：“Microsoft打印到 PDF”和“Microsoft XPS 文档编写器”或其他使用 FILE：或 PORTPROMPT：端口的打印机 - `Custom`：未通过Microsoft打印端口连接的打印机 - `Local`：打印机不是上述任何类型，例如通过 RDP 打印或重定向打印机	N	N	Y
`BusId`	有关设备 (的信息，有关详细信息，请参阅此表后面的部分)	Y	N	N
`DeviceId`	有关设备 (的信息，有关详细信息，请参阅此表后面的部分)	Y	N	N
`HardwareId`	有关设备 (的信息，有关详细信息，请参阅此表后面的部分)	Y	N	N
`InstancePathId`	有关设备 (的信息，有关详细信息，请参阅此表后面的部分)	Y	N	N
`SerialNumberId`	有关设备 (的信息，有关详细信息，请参阅此表后面的部分)	Y	Y	N
`PID`	产品 ID 是供应商分配给设备的四位数产品代码	Y	Y	N
`VID`	供应商 ID 是 USB 委员会分配给供应商的四位数供应商代码。	Y	Y	N
`DeviceEncryptionStateId`	(预览) 设备的 BitLocker 加密状态。有效值为 `BitlockerEncrypted` 或 `Plain`	Y	N	N
`APFS Encrypted`	如果设备是 APFS 加密的	N	Y	N

使用 Windows 设备管理器确定设备属性

对于 Windows 设备，可以使用设备管理器来了解设备的属性。

打开设备管理器，找到设备，右键单击“属性”，然后选择“详细信息”选项卡。
在“属性”列表中，选择“ 设备实例路径”。

设备实例路径显示的值是 InstancePathId，但它也包含其他属性：
- USB\VID_090C&PID_1000\FBH1111183300721
- {BusId}\{DeviceId}\{SerialNumberId}
设备管理器中的属性映射到设备控件，如下表所示：

设备管理器设备控制

硬件 ID HardwareId

友好名称 FriendlyNameId

Parent VID_PID

DeviceInstancePath InstancePathId

设备管理器	设备控制
硬件 ID	`HardwareId`
友好名称	`FriendlyNameId`
Parent	`VID_PID`
DeviceInstancePath	`InstancePathId`

使用报表和高级搜寻来确定设备的属性

在高级搜寻中，设备属性的标签略有不同。下表将门户中的标签映射到 propertyId 设备控制策略中的。

Microsoft Defender门户属性	设备控件属性 ID
媒体名称	`FriendlyNameId`
供应商 ID	`HardwareId`
DeviceId	`InstancePathId`
序列号	`SerialNumberId`

注意

确保所选对象具有策略的正确媒体类。通常，对于可移动存储，请使用 Class Name == USB。

在 Intune、Windows 中的 XML 或 Mac 上的 JSON 中配置组

可以在 Intune、Windows 中使用 XML 文件或在 Mac 上使用 JSON 文件来配置组。有关更多详细信息，请选择每个选项卡。

注意

Group Id XML 和 id JSON 中的用于标识设备控制中的组。它不是对 Entra Id 中的任何其他（例如用户组）的引用。

Intune中的可重用设置映射到设备组。可以在 Intune 中配置可重用设置。

有两种类型的组：打印机设备和可移动存储。下表列出了这些组的属性。

组类型	属性
打印机设备	- `FriendlyNameId` - `PrimaryId` - `PrinterConnectionId` - `VID_PID`
可移动存储	- `BusId` - `DeviceId` - `FriendlyNameId` - `HardwareId` - `InstancePathId` - `PID` - `PrimaryId` - `SerialNumberId` - `VID` - `VID_PID`

以下 XML 代码片段显示了匹配组的语法：


<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

下表描述了组的属性。

属性名	说明	选项
`Group Id`	GUID 是唯一 ID，表示要在策略中使用的组和。	可以通过 PowerShell 生成 ID。
`Type`	组的类型	设备 (默认) (、、 `VPNConnectionPrintJobNetwork`) 的其他类型的组`File`可用于高级条件。与规则一起使用的组的类型为 `Device`，这是默认值。
`MatchType`	使用的匹配算法	- `MatchAny` - `MatchAll` - `MatchExcludeAll` - `MatchExcludeAny`
`DescriptionIdList`	评估要包含在组中的属性列表	请参阅此表) 后面的 DescriptionIdList 属性 (部分

DescriptionIdList 属性

下表中所述的属性可以包含在中 DescriptionIdList：

属性	说明
`PrimaryId`	包括 `RemovableMediaDevices`、 `CdRomDevices`、 `WpdDevices`和 `PrinterDevices`。
`InstancePathId`	唯一标识系统中设备的字符串，例如 `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0`。它对应于 Windows 设备管理器中的设备实例路径。例如 `&0` ， (末尾的数字) 表示可用槽，并且可能会因设备而变化。为了获得最佳结果，请在末尾使用通配符。例如，`USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*`。
`DeviceId`	若要将设备实例路径转换为设备 ID 格式，请使用标准 USB 标识符，如以下示例： `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07`
`HardwareId`	标识系统中设备的字符串，例如 `USBSTOR\DiskGeneric_Flash_Disk___8.07`。它对应于 Windows 设备管理器中的硬件 ID。请记住， `HardwareId` 这并不唯一;不同的设备可能共享相同的值。
`FriendlyNameId`	附加到设备的字符串，如 `Generic Flash Disk USB Device`。它对应于 Windows 设备管理器中的友好名称。
`BusId`	例如， `USBSCSI`
`SerialNumberId`	可以从 Windows 设备管理器中的设备实例路径中找到`SerialNumberId`。例如， `03003324080520232521SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0`
`VID_PID`	- 供应商 ID 是 USB 委员会分配给供应商的四位数供应商代码。 - 产品 ID 是供应商分配给设备的四位数产品代码。它支持通配符。 - 若要将设备实例路径转换为供应商 ID 和产品 ID 格式，请使用标准 USB 标识符。下面是一些示例： `0751_55E0`：匹配此完全的 VID/PID 对 `_55E0`：将任何媒体与匹配 `PID=55E0` `0751_`：将任何媒体与匹配 `VID=0751`
`DeviceEncryptionStateId`	BitLocker 加密状态 - `Plain` 或 `BitlockerEncrpted`

下面是设备控制示例存储库中设备组定义的一些示例：

以下 JSON 代码片段显示了用于在 Mac 上定义组的语法：


    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

下表描述了组的属性：

属性	说明	选项
`$type`	组的类型	设备
`id`	GUID 是唯一的 ID，表示要在策略中使用的组。	可以在 macOS 上使用 Windows PowerShell New-Guid cmdlet 或 `uuidgen` 命令生成 ID
`name`	组的友好名称。	string
`query`	此组下的媒体报道	有关详细信息，请参阅下面的查询属性表。

查询支持所有， (与所有) 、任何或 (相同，与任何) 类型相同。这是用于合并子句中的属性的逻辑。

支持将以下值用作子句：

第 `$type`	值	说明
`primaryId`	下列方法之一： - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	四位数十六进制字符串	匹配设备的供应商 ID
`productId`	四位数十六进制字符串	匹配设备的产品 ID
`serialNumber`	string	与设备的序列号匹配。如果设备没有序列号，则不匹配。
`encryption`	apfs	匹配设备是否为 apfs 加密。
`groupId`	UUID 字符串	如果设备是另一个组的成员，则匹配。值表示要匹配的组的 UUID。该组必须在子句之前在策略中定义。

示例查询如下：


"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

可以使用“not”类型编辑示例查询以获取等效的 ExcludedMatchAll 和 ExcludedMatchAny 的行为，如下所示：


"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

此查询与没有指定序列号的所有设备匹配。

高级条件

可以根据参数进一步限制条目。参数应用超出设备的高级条件。高级条件允许基于正在评估的网络、VPN 连接、文件或打印作业进行精细控制。

注意

仅支持 XML 格式的高级条件。

网络条件

下表描述了网络组属性：

属性	说明
`NameId`	网络的名称。支持通配符。
`NetworkCategoryId`	有效选项为 `Public`、 `Private`或 `DomainAuthenticated`。
`NetworkDomainId`	有效选项为 `NonDomain`、 `Domain`、 `DomainAuthenticated`。

这些属性将添加到 Network 类型的组的 DescriptorIdList 中。下面是一个示例代码片段：


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

然后，该组在条目中作为参数引用，如以下代码片段所示：


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN 连接条件

下表描述了 VPN 连接条件：

名称	说明
`NameId`	VPN 连接的名称。支持通配符。
`VPNConnectionStatusId`	有效值为 `Connected` 或 `Disconnected`。
`VPNServerAddressId`	的 `VPNServerAddress`字符串值。支持通配符。
`VPNDnsSuffixId`	的 `VPNDnsSuffix`字符串值。支持通配符。

这些属性将添加到 VPNConnection 类型的组的 DescriptorIdList，如以下代码片段所示：


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

然后，在条目中将组作为参数引用，如以下代码片段所示：


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

然后，该组在条目中作为参数引用，如以下代码片段所示：


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

打印作业条件

下表描述了 PrintJob 组属性：

名称	说明
`PrintOutputFileNameId`	打印到文件的输出目标文件路径。支持通配符。例如，`C:\*\Test.pdf`
`PrintDocumentNameId`	源文件路径。支持通配符。此路径可能不存在。例如，在记事本中向新文件添加文本，然后打印而不保存该文件。

这些属性将添加到 DescriptorIdList 一组类型的 PrintJob中，如以下代码片段所示：


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

然后，该组在条目中作为参数引用，如以下代码片段所示：


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

通过

Microsoft Defender for Endpoint中的设备控制策略

控制默认行为

策略

用户

将设备控制与用户和用户组配合使用的最佳做法

Rules

Entries

条目评估

审核条目

条件

了解 Windows) (掩码访问

了解 Mac) (访问权限

组

使用 Windows 设备管理器确定设备属性

使用报表和高级搜寻来确定设备的属性

在 Intune、Windows 中的 XML 或 Mac 上的 JSON 中配置组

DescriptionIdList 属性

高级条件

网络条件

VPN 连接条件

打印作业条件

后续步骤

反馈

其他资源

通过

Microsoft Defender for Endpoint中的设备控制策略

控制默认行为

策略

用户

将设备控制与用户和用户组配合使用的最佳做法

Rules

Entries

条目评估

审核条目

条件

组

使用 Windows 设备管理器 确定设备属性

使用报表和高级搜寻来确定设备的属性

在 Intune、Windows 中的 XML 或 Mac 上的 JSON 中配置组

高级条件

网络条件

VPN 连接条件

打印作业条件

后续步骤

反馈

其他资源

使用 Windows 设备管理器确定设备属性