共用方式為


使用 Microsoft Intune 在適用於端點的 Microsoft Defender 中部署和管理裝置控制

適用於:

如果您使用 Intune 來管理適用於端點的 Defender 設定,您可以使用它來部署和管理裝置控制功能。 裝置控制的不同層面在 Intune 中的管理方式不同,如下列各節所述。

在 Intune 中設定和管理裝置控制

  1. 移至 Intune 系統管理中心 並登入。

  2. 移至 [端點安全>性攻擊表面縮小]

  3. [受攻擊面縮小原則] 底下,選取現有原則,或使用下列設定選取 [+ 建立 原則] 以設定新的原則:

    • 在 [ 平臺] 列表中,選取 [Windows 10]、[Windows 11] 和 [Windows Server]。 (Windows Server 目前不支援裝置控制件,即使您針對裝置控制原則選取此設定檔。)
    • 在 [ 配置檔 ] 清單中,選取 [ 裝置控制]
  4. 在 [ 基本] 索引標籤上 ,指定原則的名稱和描述。

  5. 在 [ 組態設定] 索引標籤上 ,您會看到設定清單。 您不需要一次設定所有這些設定。 請考慮從 裝置控制件開始。

    裝置控制原則的 Intune 使用者介面螢幕快照。

  6. 設定設定之後,請繼續前往 [ 範圍卷標] 索引標籤,您可以在其中指定原則 的範圍標籤

  7. 在 [ 指派] 索引標籤上 ,指定要接收您原則的使用者或裝置群組。 如需詳細資訊, 請參閱在 Intune 中指派原則

  8. 在 [ 檢閱 + 建立] 索 引標籤上,檢閱您的設定,並進行任何必要的變更。

  9. 當您準備好時,請選取 [建立 ] 以建立裝置控制原則。

裝置控制項配置檔

在 Intune 中,每個數據列都代表裝置控制原則。 包含的標識碼是原則適用的可重複使用設定。 排除的標識碼是原則中排除的可重複使用設定。 原則的專案包含允許的許可權,以及套用原則時生效之裝置控件的行為。

顯示頁面的螢幕快照,您可以在該頁面上設定裝置控制功能的設定。

如需如何新增每個裝置控制原則數據列中所包含之可重複使用設定群組的資訊,請參閱搭配 Intune 原則使用可重複使用的設定群組中的將可重複使用的群組新增至裝置控制配置檔一節。

您可以使用 + 圖示來新增和移除原則。 原則的名稱會出現在警告中,並出現在進階搜捕和報告中。

您可以新增審核策略,也可以新增允許/拒絕原則。 建議您在新增審核策略時一律新增允許和/或拒絕原則,以免發生非預期的結果。

重要事項

如果您只設定審核策略,則許可權會繼承自預設強制設定。

注意事項

  • 不會保留在使用者介面中列出原則的順序,以強制執行原則。 最佳做法是使用 允許/拒絕原則。 藉由明確新增要排除的裝置,確定 [ 允許/拒絕 原則] 選項不交集。 使用 Intune 的圖形化介面,您無法變更預設強制執行。 如果您將默認強制執行變更為 Deny,並建立 Allow 要套用特定裝置的原則,則除了原則中 Allow 設定的任何裝置以外,所有裝置都會遭到封鎖。

使用 OMA-URI 定義設定

重要事項

如果裝置是與 Configuration Manager 共同管理,則使用 Intune OMA-URI 設定裝置控制需要 Intune 管理裝置 設定工作負 載。 如需詳細資訊,請 參閱如何將 Configuration Manager 工作負載切換至 Intune

在下表中,識別您想要設定的設定,然後使用 OMA-URI 和數據類型中的資訊 & 值數據行。 設定會依字母順序列出。

設定 OMA-URI、數據類型、& 值
裝置控制項預設強制執行
默認強制執行會在沒有任何原則規則相符時,於裝置控制存取檢查期間建立哪些決策
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

整數:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
裝置類型
以其主要標識碼識別且已開啟裝置控制件保護的裝置類型
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

字串:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
啟用裝置控制
啟用或停用裝置上的裝置控制
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

整數:
- 停用 = 0
- 啟用 = 1

使用 OMA-URI 建立原則

此螢幕快照顯示您可以在其中使用 OMA-URI 建立原則的頁面。

當您在 Intune 中使用 OMA-URI 建立原則時,請為每個原則建立一個 XML 檔案。 最佳做法是使用裝置控制項設定檔或裝置控制項規則配置檔來撰寫自定義原則。

在 [ 新增數據列 ] 窗格中,指定下列設定:

  • 在 [ 名稱] 欄 位中, 輸入 Allow Read Activity
  • [OMA-URI] 欄位中, 輸入 ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData。 (您可以使用 PowerShell 命令 New-Guid 來產生新的 Guid,並取代 [PolicyRule Id].)
  • 在 [ 數據類型] 欄位中,選 取 [字串 (XML 檔案) ,然後使用 [自定義 XML]

您可以使用參數來設定特定項目的條件。 以下是 允許每個抽取式記憶體的讀取存取的群組範例 XML 檔案

注意事項

使用 XML 批註表示法 <!-- COMMENT --> 的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。

使用 OMA-URI 建立群組

顯示頁面的螢幕快照,您可以在該頁面上建立具有 OMA-URI 的群組。

當您在 Intune 中使用 OMA-URI 建立群組時,請為每個群組建立一個 XML 檔案。 最佳做法是使用可重複使用的設定來定義群組。

在 [ 新增數據列 ] 窗格中,指定下列設定:

  • 在 [ 名稱] 欄 位中, 輸入 Any Removable Storage Group
  • [OMA-URI] 欄位中, 輸入 ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData。 (若要取得您的 GroupID,請在 Intune 系統管理中心移至 [ 群組],然後選取 [ 複製物件標識符]。或者,您可以使用 PowerShell 命令 New-Guid 來產生新的 Guid,並取代 [GroupId].)
  • 在 [ 數據類型] 欄位中,選 取 [字串 (XML 檔案) ,然後使用 [自定義 XML]

注意事項

使用 XML 批註表示法 <!-- COMMENT -- > 的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。

使用 OMA-URI 設定抽取式記憶體存取控制

  1. 移至 Microsoft Intune 系統管理中心 並登入。

  2. 選擇 [裝置>組態配置檔]。 [ 組態配置檔] 頁面隨即 出現。

  3. 在默認 (選取的 [原則] 索引標籤下,) 選取 [+ 建立],然後從出現的下拉式清單中選擇 [+ 新增原則]。 [ 建立配置檔] 頁面隨即出現。

  4. 在 [平臺] 清單中,從 [平臺] 下拉式清單中選取 [Windows 10、Windows 11 和 Windows Server],然後從 [配置檔類型] 下拉式清單中選擇 [範本]。

    一旦您從 [配置檔類型] 下拉式清單中選擇 [範本],即會顯示 [範本名稱] 窗格,以及搜尋 (搜尋配置檔名稱) 的搜尋方塊。

  5. 從 [範本名稱] 窗格中選取 [自定義],然後選取 [建立]

  6. 實作步驟 1-5,為每個設定、群組或原則建立數據列。

(可重複使用的設定檢視裝置控制群組)

在 Intune 中,裝置控制群組會顯示為可重複使用的設定。

  1. 移至 Microsoft Intune 系統管理中心 並登入。

  2. 移至 [端點安全性>攻擊面縮小]

  3. 選取 [ 可重複使用的設定] 索引標籤

另請參閱