使用 Microsoft Intune 在 適用於端點的 Microsoft Defender 中部署和管理裝置控制件
適用於:
如果您使用 Intune 來管理適用於端點的 Defender 設定,您可以使用它來部署和管理裝置控制功能。 裝置控制的不同層面在 Intune 中有不同的管理方式,如下列各節所述。
在 Intune 中設定和管理裝置控制項
移至 Intune 系統管理中心並登入。
移至 [端點安全>性攻擊表面縮小]。
在 [受攻擊面縮小原則] 底下,選取現有原則,或使用下列設定選取 [+ 建立 原則] 以設定新的原則:
- 在 [平臺] 列表中,選取 [Windows 10]、[Windows 11] 和 [Windows Server]。 (目前不支援 Windows Server 裝置控制件,即使您針對裝置控制原則選取此配置檔。)
- 在 [ 配置檔 ] 清單中,選取 [ 裝置控制]。
在 [ 基本] 索引標籤上 ,指定原則的名稱和描述。
在 [ 組態設定] 索引標籤上 ,您會看到設定清單。 您不需要一次設定所有這些設定。 請考慮從 裝置控制件開始。
- 在 [ 系統管理範本] 下,您有 [裝置安裝 ] 和 [ 抽取式記憶體存取] 設定。
- 在 Defender 下方,請參閱 允許完整掃描卸載式磁碟驅動器掃描 設定。
- 在 [數據保護] 底下,請參閱 允許直接記憶體存取 設定。
- 在 [Dma Guard] 底下,請參閱 裝置列舉原則 設定。
- 在 [記憶體] 底下,請參閱 卸除式磁碟拒絕寫入存取 設定。
- 在 [ 連線能力] 下,請參閱 允許 USB 連線** 和 [允許藍牙 設定]。
- 在 [藍牙] 下方,查看與藍牙聯機和服務相關的設定清單。 如需詳細資訊,請參閱 原則 CSP - 藍牙。
- 在 [裝置控制] 下,您可以使用可重複使用的設定來設定自定義原則。 如需詳細資訊,請參閱 裝置控件概觀:規則。
- 在 [系統] 底下,請參閱 允許記憶體卡 片設定。
設定設定之後,請繼續前往 [ 範圍卷標] 索引標籤,您可以在其中指定原則 的範圍標籤 。
在 [ 指派] 索引標籤上 ,指定要接收您原則的使用者或裝置群組。 如需詳細資訊,請參閱在 Intune 中指派原則。
在 [ 檢閱 + 建立] 索 引標籤上,檢閱您的設定,並進行任何必要的變更。
當您準備好時,請選取 [建立 ] 以建立裝置控制原則。
裝置控制項配置檔
在 Intune 中,每個數據列都代表裝置控制原則。 包含的標識碼是原則適用的可重複使用設定。 排除的標識碼是原則中排除的可重複使用設定。 原則的專案包含允許的許可權,以及套用原則時生效之裝置控件的行為。
如需如何新增每個裝置控制原則數據列中所包含之可重複使用設定群組的資訊,請參閱搭配使用可重複使用的設定群組與 Intune 原則中的將可重複使用的群組新增至裝置控件配置檔一節。
您可以使用 + 和 – 圖示來新增和移除原則。 原則的名稱會出現在警告中,並出現在進階搜捕和報告中。
您可以新增審核策略,也可以新增允許/拒絕原則。 建議您在新增審核策略時一律新增允許和/或拒絕原則,以免發生非預期的結果。
重要事項
如果您只設定審核策略,則許可權會繼承自預設強制設定。
注意事項
- 不會保留在使用者介面中列出原則的順序,以強制執行原則。 最佳做法是使用 允許/拒絕原則。 藉由明確新增要排除的裝置,確定 [ 允許/拒絕 原則] 選項不交集。 使用 Intune 圖形化介面時,您無法變更預設強制執行。 如果您將默認強制執行變更為
Deny,並建立Allow要套用特定裝置的原則,則除了原則中Allow設定的任何裝置以外,所有裝置都會遭到封鎖。
使用 OMA-URI 定義設定
重要事項
使用 Intune OMA-URI 來設定裝置控制件時,如果裝置是與 Configuration Manager 共同管理,則裝置設定工作負載必須由 Intune 管理。 如需詳細資訊,請參閱如何將 Configuration Manager 工作負載切換至 Intune。
在下表中,識別您想要設定的設定,然後使用 OMA-URI 和數據類型中的資訊 & 值數據行。 設定會依字母順序列出。
| 設定 | OMA-URI、數據類型、& 值 |
|---|---|
|
裝置控制項預設強制執行 默認強制執行會在沒有任何原則規則相符時,於裝置控制存取檢查期間建立哪些決策 |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement整數: - DefaultEnforcementAllow = 1- DefaultEnforcementDeny = 2 |
|
裝置類型 裝置類型,由其主要標識碼識別,並開啟裝置控件保護。 您必須指定產品系列識別碼,並以管道分隔。 選取多個裝置類型時,您必須確定字串全都是一個沒有空格的單字。 未遵循此語法的組態會造成非預期的行為。 |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration字串: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
|
啟用裝置控制 啟用或停用裝置上的裝置控制 |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled整數: - 停用 = 0- 啟用 = 1 |
使用 OMA-URI 建立原則
當您在 Intune 中使用 OMA-URI 建立原則時,請為每個原則建立一個 XML 檔案。 最佳做法是使用裝置控制項設定檔或裝置控制項規則配置檔來撰寫自定義原則。
在 [ 新增數據列 ] 窗格中,指定下列設定:
- 在 [ 名稱] 欄 位中, 輸入
Allow Read Activity。 - 在 [OMA-URI] 欄位中, 輸入
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData。 (您可以使用 PowerShell 命令New-Guid來產生新的 Guid,並取代[PolicyRule Id].) - 在 [ 數據類型] 欄位中,選 取 [字串 (XML 檔案) ,然後使用 [自定義 XML]。
您可以使用參數來設定特定項目的條件。 以下是 允許每個抽取式記憶體的讀取存取的群組範例 XML 檔案。
注意事項
使用 XML 批註表示法 <!-- COMMENT --> 的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。
使用 OMA-URI 建立群組
當您在 Intune 中建立具有 OMA-URI 的群組時,請為每個群組建立一個 XML 檔案。 最佳做法是使用可重複使用的設定來定義群組。
在 [ 新增數據列 ] 窗格中,指定下列設定:
- 在 [ 名稱] 欄 位中, 輸入
Any Removable Storage Group。 - 在 [OMA-URI] 欄位中, 輸入
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData。 (若要取得您的 GroupID,請在 Intune 系統管理中心移至 [群組],然後選取 [複製物件標識符]。或者,您可以使用 PowerShell 命令New-Guid來產生新的 Guid,並取代[GroupId].) - 在 [ 數據類型] 欄位中,選 取 [字串 (XML 檔案) ,然後使用 [自定義 XML]。
注意事項
使用 XML 批註表示法 <!-- COMMENT -- > 的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。
使用 OMA-URI 設定抽取式記憶體存取控制
移至 Microsoft Intune 系統管理中心並登入。
選擇 [裝置>組態配置檔]。 [ 組態配置檔] 頁面隨即 出現。
在默認 (選取的 [原則] 索引標籤下,) 選取 [+ 建立],然後從出現的下拉式清單中選擇 [+ 新增原則]。 [ 建立配置檔] 頁面隨即出現。
在 [平臺] 清單中,從 [平臺] 下拉式清單中選取 [Windows 10]、[Windows 11] 和 [Windows Server],然後從 [配置檔類型] 下拉式清單中選擇 [範本]。
一旦您從 [配置檔類型] 下拉式清單中選擇 [範本],即會顯示 [範本名稱] 窗格,以及搜尋 (搜尋配置檔名稱) 的搜尋方塊。
從 [範本名稱] 窗格中選取 [自定義],然後選取 [建立]。
實作步驟 1-5,為每個設定、群組或原則建立數據列。
(可重複使用的設定檢視裝置控制群組)
在 Intune 中,裝置控制群組會顯示為可重複使用的設定。
移至 Microsoft Intune 系統管理中心並登入。
移至 [端點安全性>攻擊面縮小]。
選取 [ 可重複使用的設定] 索引標籤 。