Eszközvezérlési szabályzatok a Végponthoz készült Microsoft Defender

Cikk
02/05/2025

Érintett szolgáltatás:

Ez a cikk az eszközvezérlési szabályzatokat, szabályokat, bejegyzéseket, csoportokat és speciális feltételeket ismerteti. Az eszközvezérlési szabályzatok lényegében egy eszközkészlethez határozzák meg a hozzáférést. A hatókörbe tartozó eszközöket a belefoglalt eszközcsoportok listája és a kizárt eszközcsoportok listája határozza meg. A szabályzat akkor érvényes, ha az eszköz az összes belefoglalt eszközcsoportban található, és egyik kizárt eszközcsoportban sem. Ha nincsenek érvényben szabályzatok, akkor az alapértelmezett kényszerítés lesz alkalmazva.

Alapértelmezés szerint az eszközvezérlés le van tiltva, így minden eszköztípushoz engedélyezve van a hozzáférés. További információ az eszközvezérlésről: Eszközvezérlés Végponthoz készült Microsoft Defender.

Az alapértelmezett viselkedés szabályozása

Ha az eszközvezérlés engedélyezve van, alapértelmezés szerint minden eszköztípushoz engedélyezve van. Az alapértelmezett kényszerítés az Engedélyezésről a Megtagadás értékre is módosítható. A biztonsági csapat az eszközvezérlés által védett eszköztípusokat is konfigurálhatja. Az alábbi táblázat bemutatja, hogy a beállítások különböző kombinációi hogyan módosítják a hozzáférés-vezérlési döntést.

Engedélyezve van az eszközvezérlés?	Alapértelmezett viselkedés	Eszköztípusok
Nem	A hozzáférés engedélyezve van	- CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök
Igen	(Nincs megadva) A hozzáférés engedélyezve van	- CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök
Igen	Tagad	- CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök
Igen	Cserélhető adathordozó-eszközök és nyomtatók megtagadása	- Nyomtatók és cserélhető adathordozók (letiltva) - CD-/DVD-meghajtók és windowsos hordozható eszközök (engedélyezett)

Az eszköztípusok konfigurálásakor a Végponthoz készült Defender eszközvezérlése figyelmen kívül hagyja a más eszközcsaládokra irányuló kéréseket.

További információért olvassa el az alábbi témaköröket:

Irányelvek

Az eszközökhöz való hozzáférés további finomításához az eszközvezérlés szabályzatokat használ. A szabályzat szabályok és csoportok halmaza. A szabályok és csoportok definiálása kissé eltér a felügyeleti szolgáltatások és az operációs rendszerek között, az alábbi táblázatban leírtak szerint.

Felügyeleti eszköz	Operációs rendszer	Szabályok és csoportok kezelése
Intune – Eszközvezérlési szabályzat	A Windows	Az eszköz- és nyomtatócsoportok újrahasználható beállításokként kezelhetők, és a szabályokba is belefoglalhatók. Nem minden funkció érhető el az eszközvezérlési szabályzatban (lásd: Eszközvezérlés telepítése és kezelése Microsoft Intune)
Intune – Egyéni	A Windows	Minden csoport/szabály XML-sztringként van tárolva az egyéni konfigurációs szabályzatban. Az OMA-URI tartalmazza a csoport/szabály GUID azonosítóját. A GUID azonosítót létre kell hoznunk.
Csoportházirend	A Windows	A csoportok és szabályok külön XML-beállításokban vannak meghatározva a Csoportházirend objektumban (lásd: Eszközvezérlés üzembe helyezése és kezelése Csoportházirend).
Intune	Mac	A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a `mobileconfig` Intune
JAMF	Mac	A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a JAMF eszközvezérlési szabályzatként való használatával vannak konfigurálva (lásd: MacOS-eszközök vezérlése)

A szabályokat és csoportokat globális egyedi azonosító (GUID) azonosítja. Ha az eszközvezérlési szabályzatok a Intune kivételével más felügyeleti eszközzel vannak üzembe helyezve, a GUID-okat létre kell hoznunk. A GUID azonosítókat a PowerShell használatával hozhatja létre.

A séma részleteiért tekintse meg a Mac JSON-sémáját.

Felhasználók

Az eszközvezérlési szabályzatok felhasználókra és/vagy felhasználói csoportokra is alkalmazhatók. Windows rendszeren az eszközvezérlési házirendek olyan feltétellel rendelkezhetnek, amely Microsoft Entra ID vagy Windows Server Active Directory meghatározott felhasználókat vagy felhasználói csoportokat céloz meg. Olyan szabályzatokat definiálhat, amelyek lehetővé teszik, hogy bizonyos felhasználók az üzleti igényeknek megfelelően több vagy kevesebb engedéllyel rendelkezzenek. Az eszközvezérlés aktívan megvizsgálja a felhasználói munkameneteket, és meghatározott felhasználókat vagy csoportokat megcélzó szabályzatok alapján kényszerítési döntéseket hoz. Ez azt jelenti, hogy egyes műveletek, például egy eszköz zárolása vagy a felhasználói profilból való kijelentkezés, a felhasználói feltételek nem kielégítőek lehetnek, ami a várt viselkedés.

Megjegyzés:

Az eszközvezérléssel kapcsolatos cikkekben felhasználói csoportoknak nevezzük a felhasználói csoportokat. A csoportok kifejezés az eszközvezérlési szabályzatban meghatározott csoportokra vonatkozik.

Ajánlott eljárások az eszközvezérlés felhasználókkal és felhasználói csoportokkal való használatához

Ha windowsos felhasználók számára szeretne szabályt létrehozni, hozzon létre egy bejegyzést a Sidszabály minden felhasználója számára.
Ha windowsos és Intune felhasználói csoporthoz szeretne szabályt létrehozni, hozzon létre egy feltételt tartalmazó Sid bejegyzést egy [szabály] minden felhasználói csoportjához, és a szabályzatot egy gépcsoportra célozza a Intune, vagy hozzon létre feltételek nélküli szabályt, és a szabályzatot a felhasználói csoportra Intune megcélzva.
Mac gépen használja a Intune, és a szabályzatot a Microsoft Entra ID felhasználói csoportjára célozza meg.

Figyelmeztetés

Ne használja a felhasználói/felhasználói csoportokra vonatkozó feltételeket a szabályokban és a felhasználói csoportok megcélzásában a Intune.

Megjegyzés:

Ha a hálózati kapcsolat probléma, használjon Intune felhasználói csoportokat vagy helyi Active Directory-csoportokat. A Microsoft Entra ID hivatkozó felhasználói/felhasználói csoportokra vonatkozó feltételek csak olyan környezetekben használhatók, amelyek megbízható kapcsolattal rendelkeznek Microsoft Entra ID.

Szabályok

A szabályok a belefoglalt csoportok listáját és a kizárt csoportok listáját határozzák meg. A szabály alkalmazásához az eszköznek az összes belefoglalt csoportban kell lennie, és a kizárt csoportok egyikében sem. Ha az eszköz megfelel a szabálynak, a rendszer kiértékeli a szabály bejegyzéseit. Egy bejegyzés határozza meg az alkalmazott művelet- és értesítési beállításokat, ha a kérelem megfelel a feltételeknek. Ha nincsenek szabályok, vagy egyetlen bejegyzés sem felel meg a kérésnek, a rendszer az alapértelmezett kényszerítést alkalmazza.

Ha például engedélyezni szeretné bizonyos USB-eszközök írási hozzáférését, és olvasási hozzáférést szeretne az összes többi USB-eszközhöz, használja az alábbi házirendeket, csoportokat és bejegyzéseket, amelyek alapértelmezett kényszerítési beállítása megtagadás.

Csoport	Leírás
Minden cserélhető tárolóeszköz	Cserélhető tárolóeszközök
Írható USB-k	Azon USB-k listája, ahol engedélyezett az írási hozzáférés

Szabály	Belefoglalt eszközcsoportok	Kizárt eszközcsoportok	Bejegyzés
Írásvédett hozzáférés usbs-hez	Minden cserélhető tárolóeszköz	Írható USB-k	Írásvédett hozzáférés
Írási hozzáférés USB-khez	Írható USB-k		Írási hozzáférés

A szabály neve megjelenik a portálon a jelentéskészítéshez és a bejelentési értesítésben a felhasználóknak, ezért mindenképpen adjon leíró neveket a szabályoknak.

A szabályokat a házirendek szerkesztésével konfigurálhatja a Intune-ben, xml-fájl használatával Windowsban vagy JSON-fájllal Mac gépen. További részletekért válassza ki az egyes lapokat.

Az alábbi képen egy eszközvezérlési szabályzat konfigurációs beállításai láthatók Intune:

A képernyőképen a Belefoglalt azonosító és a Kizárt azonosító a belefoglalt és kizárt újrahasználható beállításcsoportokra mutató hivatkozások. Egy szabályzat több szabmánnyal is rendelkezhet.

Intune nem tartja tiszteletben a szabályok sorrendjét. A szabályok bármilyen sorrendben kiértékelhetők, ezért ügyeljen arra, hogy explicit módon kizárja azokat az eszközcsoportokat, amelyek nem tartoznak a szabály hatókörébe.

Az alábbi kódrészlet egy eszközvezérlési szabályzatszabály szintaxisát mutatja be XML-ben:


<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

Az alábbi táblázat további kontextust biztosít az XML-kódrészlethez:

Tulajdonság neve	Leírás	Beállítások
`PolicyRule Id`	A GUID egy egyedi azonosító, amely a szabályzatot jelöli, és a jelentéskészítéshez és a hibaelhárításhoz használatos.	Az azonosítót a PowerShell használatával hozhatja létre.
`Name`	Sztring, a szabályzat neve, és a szabályzatbeállítás alapján jelenik meg a bejelentésen.
`IncludedIdList`	Azok a csoportok, amelyekre a szabályzat vonatkozik. Ha több csoportot ad hozzá, az adathordozónak a listában szereplő minden csoport tagjának kell lennie.	A csoportazonosítót/GUID azonosítót ebben a példányban kell használni. Az alábbi példa a GroupID használatát mutatja be: `<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>`
`ExcludedIDList`	Azok a csoportok, amelyekre a szabályzat nem vonatkozik. Ha több csoportot ad hozzá, az adathordozónak a listában szereplő csoport tagjának kell lennie a kizáráshoz.	A csoportazonosítót/GUID azonosítót ebben a példányban kell használni.
`Entry`	Egy PolicyRule több bejegyzést is tartalmazhat; minden egyedi GUID azonosítóval rendelkező bejegyzés egy korlátozást jelez az eszköz vezérlésére.	A részletekért tekintse meg a cikk Entry Properties (Bejegyzés tulajdonságai) táblázatát.

Az alábbi kódrészlet a macOS JSON-ban lévő eszközvezérlési szabályzatszabály szintaxisát mutatja be:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

Az alábbi táblázat további kontextust biztosít az XML-kódrészlethez:

Tulajdonság neve	Leírás	Beállítások
`id`	A GUID, egy egyedi azonosító, a szabályt jelöli, és a szabályzatban használatos.	`New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen`
`name`	Sztring, a szabályzat neve, és a szabályzatbeállítás alapján jelenik meg a bejelentésen.
`includeGroups`	Azok a csoportok, amelyekre a szabályzat vonatkozik. Ha több csoport van megadva, a szabályzat az összes csoport összes adathordozójára érvényes. Ha nincs megadva, a szabály minden eszközre érvényes.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel az includeGroupsban, akkor a következő: `AND`. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	Az a csoport, amelyre a szabályzat nem vonatkozik.	Ebben `id` a példányban a csoporton belüli értéket kell használni. Ha több csoport is szerepel az excludeGroupsban, akkor a következő: `OR`.
`entries`	Egy szabály több bejegyzést is tartalmazhat; minden egyedi GUID azonosítóval rendelkező bejegyzés egy korlátozást jelez az Eszközvezérlés számára.	A részletekért tekintse meg a cikk későbbi, bejegyzéstulajdonságokat tartalmazó táblázatát.

Bejegyzések

Az eszközvezérlési szabályzatok hozzáférést (más néven bejegyzést) határoznak meg az eszközök egy csoportjához. A bejegyzések a szabályzatnak és a bejegyzésben meghatározott feltételeknek megfelelő eszközök művelet- és értesítési beállításait határozzák meg.

Bejegyzés beállítása	Beállítások
AccessMask	A műveletet csak akkor alkalmazza, ha a hozzáférési műveletek megfelelnek a hozzáférési maszknak – A hozzáférési maszk a bitalapú VAGY a hozzáférési értékek egyike: 1 – Eszközolvasás 2 – Eszközírás 4 – Eszköz végrehajtása 8 – Fájlolvasás 16 – Fájlírás 32 – Fájl végrehajtása 64 – Nyomtatás Például: Eszköz olvasása, írása és végrehajtása = 7 (1+2+4) Eszközolvasás, Lemezolvasás = 9 (1+8)
Művelet	Engedélyezés Tagad Naplózás Engedélyezése AuditDeny
Értesítés	Nincs (alapértelmezett) Esemény jön létre A felhasználó értesítést kap

Belépés kiértékelése

Kétféle bejegyzéstípus létezik: kényszerítési bejegyzések (engedélyezés/megtagadás) és auditbejegyzések (AuditAllow/AuditDeny).

A szabályhoz tartozó kényszerítési bejegyzések kiértékelése sorrendben történik, amíg az összes kért engedély meg nem egyezik. Ha egyetlen bejegyzés sem felel meg egy szabálynak, a következő szabály lesz kiértékelve. Ha nem egyeznek szabályok, a rendszer az alapértelmezett értéket alkalmazza.

Naplóbejegyzések

A naplózási események szabály kényszerítésekor (engedélyezés/megtagadás) vezérli a viselkedést. Az eszközvezérlő megjeleníthet egy értesítést a végfelhasználónak. A felhasználó értesítést kap, amely tartalmazza az eszközvezérlési szabályzat nevét és az eszköz nevét. Az értesítés a kezdeti hozzáférés megtagadása után óránként egyszer jelenik meg.

Az eszközvezérlés speciális veszélyforrás-keresésben elérhető eseményt is létrehozhat.

Fontos

Eszközönként naponta legfeljebb 300 esemény lehet. A rendszer a végrehajtási döntés meghozatala után dolgozza fel a naplóbejegyzéseket. A rendszer kiértékeli az összes kapcsolódó naplóbejegyzést.

Feltételek

A bejegyzések a következő opcionális feltételeket támogatják:

Felhasználó/felhasználói csoport feltétel: A műveletet csak az SID által azonosított felhasználóra/felhasználói csoportra alkalmazza

Megjegyzés:

A Microsoft Entra ID-ben tárolt felhasználói csoportok és felhasználók esetében használja a feltételben szereplő objektumazonosítót. A helyileg tárolt felhasználói csoportokhoz és felhasználókhoz használja a biztonsági azonosítót (SID)

Megjegyzés:

Windows rendszeren a bejelentkezett felhasználó SID-azonosítója a PowerShell-parancs whoami /userfuttatásával kérhető le.

Gép állapota: A műveletet csak az SID által azonosított eszközre/csoportra alkalmazza
Paraméterek feltétel: A műveletet csak akkor alkalmazza, ha a paraméterek egyeznek (lásd: Speciális feltételek)

A bejegyzések hatóköre további felhasználókra és eszközökre is kiterjedhet. Például csak ezen az eszközön engedélyezze az olvasási hozzáférést ezekhez a usBs-ekhez ehhez a felhasználóhoz.

Politika	Belefoglalt eszközcsoportok	Kizárt eszközcsoportok	Bejegyzés(ek)
Írásvédett hozzáférés usbs-hez	Minden cserélhető tárolóeszköz	Írható USB-k	Írásvédett hozzáférés
Írási hozzáférés USB-khez	Írható USB-k		Írási hozzáférés az 1. felhasználóhoz Írási hozzáférés a 2. felhasználóhoz az A eszközcsoporton

A bejegyzésben szereplő összes feltételnek igaznak kell lennie ahhoz, hogy a műveletet alkalmazni lehessen.

A bejegyzéseket konfigurálhatja Intune, Egy XML-fájl a Windowsban vagy egy JSON-fájl Mac gépen. További részletekért válassza ki az egyes lapokat.

A Intune access mask (Hozzáférési maszk) mezőben a következő lehetőségek közül választhat:

Olvasás (Lemezszintű olvasás = 1)
Írás (Lemezszintű írás = 2)
Végrehajtás (Lemezszintű végrehajtás = 4)
Nyomtatás (Nyomtatás = 64).

Nem minden funkció jelenik meg a Intune felhasználói felületén. További információ: Eszközvezérlés üzembe helyezése és kezelése Intune.

Az alábbi kódrészlet egy eszközvezérlő-bejegyzés szintaxisát mutatja be XML-ben:


  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

Az alábbi táblázat további kontextust biztosít az XML-kódrészlethez:

Tulajdonság neve	Leírás	Választási lehetőség
`Entry Id`	A GUID egy egyedi azonosító, amely a bejegyzést jelöli, és jelentéskészítéshez és hibaelhárításhoz használatos.	A GUID-t a PowerShell használatával hozhatja létre.
`Type`	Meghatározza a cserélhető tárolócsoportok műveletét a fájlban `IncludedIDList`. - `Allow` - `Deny` - `AuditAllowed`: Meghatározza az értesítést és az eseményt, ha a hozzáférés engedélyezve van - `AuditDenied`: Meghatározza az értesítést és az eseményt, ha a hozzáférés megtagadva; egy bejegyzéssel `Deny` együtt működik. Ha ugyanahhoz az adathordozóhoz ütközéstípusok tartoznak, a rendszer az elsőt alkalmazza a szabályzatban. Az ütközési típusra példa a és `Deny`a `Allow` .	- `Allow` - `Deny` - `AuditAllowed` - `AuditDenied`
`Option`	Ha a típus `Allow`	- `0`:semmi - `4`: tiltsa le `AuditAllowed` a és `AuditDenied` a elemet ehhez a bejegyzéshez. Ha `Allow` bekövetkezik, és a `AuditAllowed` beállítás konfigurálva van, a rendszer nem hoz létre eseményeket.
`Option`	Ha a típus `Deny`	- `0`:semmi - `4`: tiltsa le `AuditDenied` ezt a bejegyzést. Ha a Blokkolás történik, és a `AuditDenied` beállítás konfigurálva van, a rendszer nem jelenít meg értesítéseket.
`Option`	Ha a típus `AuditAllowed`	- `0`:semmi - `1`:semmi - `2`: esemény küldése
`Option`	Ha a típus `AuditDenied`	- `0`:semmi - `1`: értesítés megjelenítése - `2`: esemény küldése - `3`: értesítés megjelenítése és esemény küldése
`AccessMask`	Meghatározza a hozzáférést	Lásd a következő szakaszt: A maszkhozzáférés ismertetése
`Sid`	Helyi felhasználói biztonsági azonosító vagy felhasználói SID-csoport, illetve a Microsoft Entra objektum vagy az objektumazonosító SID-azonosítója. Meghatározza, hogy a szabályzatot egy adott felhasználóra vagy felhasználói csoportra alkalmazza-e. Egy bejegyzés legfeljebb egy BIZTONSÁGI azonosítóval rendelkezhet, és a biztonsági azonosító nélküli bejegyzéssel alkalmazhatja a szabályzatot az eszközön.	SID
`ComputerSid`	Helyi számítógép BIZTONSÁGI AZONOSÍTÓJA vagy számítógép BIZTONSÁGI AZONOSÍTÓJA csoport, illetve a Microsoft Entra objektum vagy az objektumazonosító SID-azonosítója. Meghatározza, hogy a szabályzatot egy adott eszközre vagy eszközcsoportra alkalmazza-e. Egy bejegyzés legfeljebb egy ComputerSID azonosítóval rendelkezhet, és egy ComputerSID nélküli bejegyzéssel alkalmazhatja a házirendet az eszközön. Ha egy bejegyzést egy adott felhasználóra és adott eszközre szeretne alkalmazni, adja hozzá az SID és a ComputerSID azonosítót is ugyanabba a bejegyzésbe.	SID
`Parameters`	Egy bejegyzés feltétele, például hálózati feltétel.	Hozzáadhat csoportokat (nem eszköztípusok), vagy akár paramétereket is elhelyezhet a paraméterekben. További információt a speciális feltételek szakaszában talál (ebben a cikkben).

A maszk-hozzáférés ismertetése (Windows)

Az eszközvezérlés egy hozzáférési maszkot alkalmaz annak megállapításához, hogy a kérelem megfelel-e a bejegyzésnek. A következő műveletek érhetők el a következőn: CdRomDevices, RemovableMediaDevicesés WpdDevices:

Access	Maszk
Lemezszintű olvasás	1
Lemezszintű írás	2
Lemezszintű végrehajtás	4
Fájlrendszer olvasása	8
Fájlrendszer írása	16
Fájlrendszer végrehajtása	32

A PrinterDevicesben a következő műveletek érhetők el:

Hozzáférés: Nyomtatás
Maszk: 64

Bináris VAGY művelet végrehajtásával több hozzáférési beállítás is megadható. Íme egy példa:

Az AccessMask for Read and Write and Execute (AccessMask olvasáshoz és íráshoz és végrehajtáshoz) 7
Az AccessMask for Read and Write (AccessMask for Read and Write) 3

Az alábbi kódrészlet a macOS JSON-ban lévő eszközvezérlési bejegyzés szintaxisát mutatja be:


{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

Az alábbi táblázat további kontextust biztosít a JSON-kódrészlethez:

Tulajdonság neve	Leírás	Beállítások
`id`	A GUID egy egyedi azonosító, amely a bejegyzést jelöli, és jelentéskészítéshez és hibaelhárításhoz használatos.	Az azonosítót a PowerShell használatával hozhatja létre.
`enforcement $type`	Meghatározza a cserélhető tárolócsoportok műveletét a fájlban `includedGroups`. - `allow` - `deny` - `auditAllow`: Meghatározza az értesítést és az eseményt, ha a hozzáférés engedélyezve van - `AuditDeny`: Meghatározza az értesítést és az eseményt, ha a hozzáférés megtagadva; A műveletnek együtt kell működnie a Megtagadás bejegyzéssel. Ha ugyanahhoz az adathordozóhoz ütközéstípusok tartoznak, a rendszer az elsőt alkalmazza a szabályzatban. Ütközéstípus például az Engedélyezés és a Megtagadás.	Az `enforcement $type` attribútum a következő értékek egyike lehet: - `allow` - `deny` - `auditAllow` - `auditDeny`
`enforcement $options`	Ha a kényszerítési $type engedélyezve van	`disable_audit_allow`: Ha az Engedélyezés történik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményeket.
`enforcement $options`	Ha a kényszerítési $type megtagadják	`disable_audit_deny`: Ha a Blokkolás történik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítéseket, és nem küld eseményeket.
`enforcement $options`	Ha a kényszerítési $type auditAllow	`send_event`: Telemetriát küld
`enforcement $options`	Ha a kényszerítési $type auditDeny	- `send_event`: Telemetriát küld - `show_notification`: Letiltott üzenetet jelenít meg a felhasználónak
`$type`	A bejegyzés típusa. A típus határozza meg az eszközvezérlés által védhető műveleteket	Az `$type` attribútumok a következő értékek bármelyike lehetnek: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice`
`access`	A bejegyzés által biztosított műveletek listája	Lásd a következő szakaszt: "Hozzáférés megértése Macen"

A hozzáférés ismertetése (Mac)

Egy bejegyzéshez kétféle hozzáférés érhető el: általános és eszköztípus-specifikus.

Az általános hozzáférési lehetőségek a következők: generic_read, generic_writeés generic_execute.
Az eszköztípus-specifikus hozzáférés a vezérlés finomabb részletességét biztosítja, mivel az általános hozzáférési típusok tartalmazzák az eszköztípus-specifikus hozzáférési értékeket.

Az alábbi táblázat az eszköztípus-specifikus hozzáféréseket és az általános hozzáférési típusok leképezésének módját ismerteti.

Eszköz típusa ($type)	Eszköztípus-specifikus hozzáférés	Leírás	Olvas	Ír	Kivégez
`appleDevice`	`backup_device`		X
`appleDevice`	`update_device`			X
`appleDevice`	`download_photos_from_device`	fényképek letöltése az adott iOS-eszközről a helyi eszközre	X
`appleDevice`	`download_files_from_device`	fájlok letöltése az adott iOS-eszközről a helyi eszközre	X
`appleDevice`	`sync_content_to_device`	tartalom szinkronizálása helyi eszközről adott iOS-eszközre		X
`portableDevice`	`download_files_from_device`	X
`portableDevice`	`send_files_to_device`			X
`portableDevice`	`download_photos_from_device`		X
`portableDevice`	`debug`	ADB-eszközvezérlő			X
`removableMedia`	`read`		X
`removableMedia`	`write`			X
`removableMedia`	`execute`				X
`bluetoothDevice`	`download_files_from_device`		X
`bluetoothDevice`	`send_files_to_device`			X

Csoportok

A csoportok feltételeket határoznak meg az objektumok tulajdonságaik szerinti szűréséhez. Az objektum akkor van hozzárendelve a csoporthoz, ha tulajdonságai megegyeznek a csoporthoz definiált tulajdonságokkal.

Megjegyzés:

Az ebben a szakaszban szereplő csoportok nem hivatkoznak felhasználói csoportokra.

Például:

Az engedélyezett USB-k az összes olyan eszköz, amely megfelel ezeknek a gyártóknak
Az elveszett USB-k azok az eszközök, amelyek megfelelnek ezeknek a sorozatszámoknak
Az engedélyezett nyomtatók azok az eszközök, amelyek megfelelnek ezeknek a VID/PID-knek

A tulajdonságok négyféleképpen feleltethetők meg: MatchAll, MatchAny, MatchExcludeAllés MatchExcludeAny

MatchAll: A tulajdonságok egy "And" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a és InstancePathIDa értéket adja DeviceID meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek.
MatchAny: A tulajdonságok egy "Or" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a DeviceID és InstancePathIDa értéket helyezi el, a rendszer mindaddig kényszeríti, amíg az USB azonos DeviceID vagy InstanceID értékkel rendelkezik.
MatchExcludeAll: A tulajdonságok "És" kapcsolatnak számítanak, és minden olyan elem szerepel benne, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyezi DeviceID és InstancePathID használja MatchExcludeAlla elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonos DeviceID és InstanceID értékekkel.
MatchExcludeAny: A tulajdonságok "Vagy" kapcsolatnak számítanak, és minden olyan elemre kiterjed, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyezi DeviceID és InstancePathID használja MatchExcludeAnya elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonos DeviceID értékkel vagy InstanceID értékkel.

A csoportok kétféleképpen használhatók: a szabályokba való belefoglalásra/kizárásra szolgáló eszközök kiválasztására, valamint a speciális feltételekhez való hozzáférés szűrésére. Ez a táblázat összefoglalja a csoporttípusokat és azok felhasználási módját.

Típus	Leírás	O/S	Szabályok belefoglalása/kizárása	Speciális feltételek
Eszköz (alapértelmezett)	Eszközök és nyomtatók szűrése	Windows/Mac	X
Hálózat	Hálózati feltételek szűrése	A Windows		X
VPN-kapcsolat	VPN-feltételek szűrése	A Windows		X
Fájl	Fájltulajdonságok szűrése	A Windows		X
Nyomtatási feladat	A nyomtatandó fájl tulajdonságainak szűrése	A Windows		X

A szabályzat hatókörébe tartozó eszközök, amelyeket a belefoglalt csoportok listája és a kizárt csoportok listája határoz meg. A szabály akkor érvényes, ha az eszköz az összes belefoglalt csoporthoz tartozik, és egyik kizárt csoporthoz sem tartozik. A csoportok az eszközök tulajdonságaiból állíthatók össze. A következő tulajdonságok használhatók:

Tulajdonság	Leírás	Windows-eszközök	Mac-eszközök	Nyomtatók
`FriendlyNameId`	A Windows Eszközkezelő felhasználóbarát neve	I	N	I
`PrimaryId`	Az eszköz típusa	I	I	I
`VID_PID`	A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz. A helyettesítő karakterek támogatottak. Például: `0751_55E0`	I	N	I
`PrinterConnectionId`	A nyomtatókapcsolat típusa: - `USB`: Egy számítógép USB-portjához csatlakoztatott nyomtató. - `Network`: A hálózati nyomtató olyan nyomtató, amely hálózati kapcsolattal érhető el, így a hálózathoz csatlakozó más számítógépek is használják. - `Corporate`: A vállalati nyomtatók a helyszíni Windows nyomtatókiszolgálón keresztül megosztott nyomtatási várólista. - `Universal`: Az Univerzális nyomtatás egy modern nyomtatási megoldás, amellyel a szervezetek a Microsoft felhőszolgáltatásain keresztül kezelhetik nyomtatási infrastruktúrájukat. Mi az az univerzális nyomtatás? - Univerzális nyomtatás \| Microsoft Docs - `File`: "Microsoft Print to PDF" és "Microsoft XPS Document Writer" vagy más nyomtatók FILE: vagy PORTPROMPT: port használatával - `Custom`: nyomtató, amely nem a Microsoft nyomtatási porton keresztül csatlakozik - `Local`: a nyomtató nem a korábban említett típusok egyikét sem. Nyomtathat például RDP-vel vagy átirányíthatja a nyomtatókat	N	N	I
`BusId`	Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat)	I	N	N
`DeviceId`	Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat)	I	N	N
`HardwareId`	Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat)	I	N	N
`InstancePathId`	Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat)	I	N	N
`SerialNumberId`	Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat)	I	I	N
`PID`	A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz	I	I	N
`VID`	A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz.	I	I	N
`DeviceEncryptionStateId`	(Előzetes verzió) Az eszköz BitLocker titkosítási állapota. Az érvényes értékek a következők: `BitlockerEncrypted` vagy `Plain`	I	N	N
`APFS Encrypted`	Ha az eszköz APFS-titkosítással rendelkezik	N	I	N

Eszköztulajdonságok meghatározása a Windows Eszközkezelő használatával

Windows-eszközök esetén a Eszközkezelő segítségével megismerheti az eszközök tulajdonságait.

Nyissa meg Eszközkezelő, keresse meg az eszközt, kattintson a jobb gombbal a Tulajdonságok elemre, majd válassza a Részletek lapot.
A Tulajdonság listában válassza az Eszközpéldány elérési útja lehetőséget.

Az eszközpéldány elérési útjának értéke a InstancePathId, de más tulajdonságokat is tartalmaz:
- USB\VID_090C&PID_1000\FBH1111183300721
- {BusId}\{DeviceId}\{SerialNumberId}
Az eszközkezelő tulajdonságai az eszközvezérlőre vannak leképazva az alábbi táblázatban látható módon:

Eszközkezelő Eszközvezérlő

Hardverazonosítók HardwareId

Rövid név FriendlyNameId

Szülő VID_PID

DeviceInstancePath InstancePathId

Eszközkezelő	Eszközvezérlő
Hardverazonosítók	`HardwareId`
Rövid név	`FriendlyNameId`
Szülő	`VID_PID`
DeviceInstancePath	`InstancePathId`

Jelentések és speciális veszélyforrás-keresés használata az eszközök tulajdonságainak meghatározásához

Az eszköztulajdonságok címkéi kissé eltérőek a speciális veszélyforrás-keresésben. Az alábbi táblázat a portálon lévő címkéket egy eszközvezérlési szabályzatban lévő propertyId címkére képezi le.

Microsoft Defender Portal tulajdonság	Eszközvezérlés tulajdonságazonosítója
Adathordozó neve	`FriendlyNameId`
Szállító azonosítója	`HardwareId`
DeviceId	`InstancePathId`
Sorozatszám	`SerialNumberId`

Megjegyzés:

Győződjön meg arról, hogy a kijelölt objektum a megfelelő Médiaosztályt biztosítja a szabályzathoz. A cserélhető tárolókhoz általában használja a következőt Class Name == USB: .

Csoportok konfigurálása Intune, XML windowsos vagy JSON-fájlban Mac gépen

A csoportokat Intune konfigurálhatja, windowsos XML-fájllal vagy Mac gépen JSON-fájllal. További részletekért válassza ki az egyes lapokat.

Megjegyzés:

Az Group Id XML-ben és id a JSON-ban a csoport azonosítására szolgál az eszközvezérlőn belül. Nem hivatkozik másra, például a Microsoft Entra ID felhasználói csoportjára.

A Intune újrahasználható beállításai eszközcsoportokra vannak leképezve. Az újrahasználható beállításokat a Intune konfigurálhatja.

Kétféle csoport létezik: nyomtatóeszköz és cserélhető tároló. Az alábbi táblázat ezen csoportok tulajdonságait sorolja fel.

Csoport típusa	Tulajdonságok
Nyomtatóeszköz	- `FriendlyNameId` - `PrimaryId` - `PrinterConnectionId` - `VID_PID`
Cserélhető tároló	- `BusId` - `DeviceId` - `FriendlyNameId` - `HardwareId` - `InstancePathId` - `PID` - `PrimaryId` - `SerialNumberId` - `VID` - `VID_PID`

Az alábbi XML-kódrészlet az egyező csoportok szintaxisát mutatja be:


<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

Az alábbi táblázat a csoportok tulajdonságait ismerteti.

Tulajdonság neve	Leírás	Beállítások
`Group Id`	A GUID egy egyedi azonosító, amely a szabályzatban használni kívánt csoportot jelöli.	Az azonosítót a PowerShell használatával hozhatja létre.
`Type`	A csoport típusa	Eszköz (alapértelmezett) A többi csoporttípus (`File`, , `VPNConnectionPrintJob`, `Network`) speciális feltételekhez használható. A szabályokkal használt csoportok típusa , `Device`amely az alapértelmezett.
`MatchType`	A használt egyező algoritmus	- `MatchAny` - `MatchAll` - `MatchExcludeAll` - `MatchExcludeAny`
`DescriptionIdList`	A csoportba való felvételre kiértékelt tulajdonságok listája	Lásd : DescriptionIdList properties (a táblázat utáni szakasz)

DescriptionIdList tulajdonságai

A következő táblázatban ismertetett tulajdonságok a következő helyen DescriptionIdListtalálhatók:

Tulajdonság	Leírás
`PrimaryId`	A következőket tartalmazza: `RemovableMediaDevices`, `CdRomDevices`, `WpdDevices`és `PrinterDevices`.
`InstancePathId`	Sztring, amely egyedileg azonosítja az eszközt a rendszerben, például `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0`: . Megfelel a Windows Eszközkezelő eszközpéldányának. A végén lévő szám (például `&0`) az elérhető pontot jelöli, és eszközről eszközre változhat. A legjobb eredmény érdekében használjon helyettesítő karaktert a végén. Használja például a `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*` címet.
`DeviceId`	Az Eszközpéldány elérési útjának eszközazonosító formátumba való átalakításához használja a standard USB-azonosítókat, például az alábbi példát: `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07`
`HardwareId`	A rendszerben lévő eszközt azonosító sztring, például `USBSTOR\DiskGeneric_Flash_Disk___8.07`: . Megfelel a Windows Eszközkezelő hardverazonosítójának. Ne feledje, hogy `HardwareId` ez nem egyedi; a különböző eszközök ugyanazt az értéket érhetik el.
`FriendlyNameId`	Az eszközhöz csatolt sztring, például `Generic Flash Disk USB Device`: . A Windows Eszközkezelő felhasználóbarát nevének felel meg.
`BusId`	Például: `USB`, `SCSI`
`SerialNumberId`	Az Eszközpéldány elérési útja a Windows Eszközkezelő területén található`SerialNumberId`. Például: `03003324080520232521SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0`
`VID_PID`	- A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. - A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz. Támogatja a helyettesítő karaktereket. – Az Eszközpéldány elérési útjának a Szállítóazonosító és a Termékazonosító formátumba való átalakításához használja a Standard USB-azonosítókat. Néhány példa: `0751_55E0`: egyezzen ezzel a pontos VID/PID pár `_55E0`: bármely adathordozó egyeztetése a következővel: `PID=55E0` `0751_`: bármely adathordozó egyeztetése a következővel: `VID=0751`
`DeviceEncryptionStateId`	A BitLocker titkosítási állapota – `Plain` vagy `BitlockerEncrpted`

Íme néhány példa az eszközcsoport-definíciókra az eszközvezérlési mintaadattárban:

Az alábbi JSON-kódrészlet a maces csoportok definiálása szintaxisát mutatja be:


    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

Az alábbi táblázat a csoportok tulajdonságait ismerteti:

Tulajdonság	Leírás	Beállítások
`$type`	A csoport típusa	eszköz
`id`	A GUID egy egyedi azonosító, amely a szabályzatban használni kívánt csoportot jelöli.	Az azonosítót a Windows PowerShell New-Guid parancsmaggal vagy macOS rendszeren elérhető `uuidgen` paranccsal hozhatja létre
`name`	A csoport rövid neve.	sztring
`query`	A csoporthoz tartozó médialefedettség	A részletekért tekintse meg az alábbi lekérdezéstulajdonság-táblázatokat.

A lekérdezés támogatja az összes típust, és (ugyanaz, mint az összes), bármely vagy (ugyanaz, mint bármely) típust. Ez az a logika, amely a záradékok tulajdonságainak kombinálására szolgál.

Záradékként a következő értékek támogatottak:

Záradék `$type`	Érték	Leírás
`primaryId`	Az alábbiak egyike: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	négyjegyű hexadecimális sztring	Megfelel egy eszköz szállítóazonosítójának
`productId`	négyjegyű hexadecimális sztring	Megfelel egy eszköz termékazonosítójának
`serialNumber`	sztring	Egy eszköz sorozatszámának felel meg. Nem egyezik, ha az eszköz nem rendelkezik sorozatszámmal.
`encryption`	apfs	Egyezés, ha egy eszköz apfs-titkosított.
`groupId`	UUID sztring	Egyezés, ha egy eszköz egy másik csoport tagja. Az érték annak a csoportnak az UUID-ját jelöli, amely alapján egyezni szeretne. A csoportot a záradék előtt kell definiálni a szabályzatban.

Íme egy példa lekérdezésre:


"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

A példa lekérdezés a "not" típus használatával szerkeszthető, hogy a viselkedése megegyezik a ExcludedMatchAll és a ExcludedMatchAny típussal, az alábbiak szerint:


"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Ez a lekérdezés megfelel minden olyan eszköznek, amely nem rendelkezik a megadott sorozatszámmal.

Speciális feltételek

A bejegyzések a paraméterek alapján tovább korlátozhatók. A paraméterek speciális feltételeket alkalmaznak, amelyek túlmutatnak az eszközön. A speciális feltételek lehetővé teszik a részletes vezérlést a hálózat, a VPN-kapcsolat, a fájl vagy a nyomtatási feladat kiértékelése alapján.

Megjegyzés:

A speciális feltételek csak XML formátumban támogatottak.

Hálózati feltételek

Az alábbi táblázat a hálózati csoport tulajdonságait ismerteti:

Tulajdonság	Leírás
`NameId`	A hálózat neve. A helyettesítő karakterek támogatottak.
`NetworkCategoryId`	Az érvényes lehetőségek a következők: `Public`, `Private`vagy `DomainAuthenticated`.
`NetworkDomainId`	Az érvényes lehetőségek a következők: `NonDomain`, `Domain`, `DomainAuthenticated`.

Ezek a tulajdonságok egy Hálózat típusú csoport DescriptorIdList eleméhez lesznek hozzáadva. Íme egy példarészlet:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

A csoportra ezután a bejegyzésben paraméterekként hivatkozunk, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN-kapcsolat feltételei

Az alábbi táblázat a VPN-kapcsolati feltételeket ismerteti:

Name (Név)	Leírás
`NameId`	A VPN-kapcsolat neve. A helyettesítő karakterek támogatottak.
`VPNConnectionStatusId`	Az érvényes értékek a következők: `Connected` vagy `Disconnected`.
`VPNServerAddressId`	A sztring `VPNServerAddress`értéke. A helyettesítő karakterek támogatottak.
`VPNDnsSuffixId`	A sztring `VPNDnsSuffix`értéke. A helyettesítő karakterek támogatottak.

Ezeket a tulajdonságokat a rendszer hozzáadja egy DescriptorIdList típusú VPNConnectioncsoporthoz, az alábbi kódrészletben látható módon:


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Ezután a csoportra paraméterként hivatkozik egy bejegyzésben, az alábbi kódrészletben látható módon:


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Nyomtatási feladatok feltételei

A következő táblázat a csoporttulajdonságokat ismerteti PrintJob :

Name (Név)	Leírás
`PrintOutputFileNameId`	A kimeneti célfájl elérési útja a fájlba való nyomtatáshoz. A helyettesítő karakterek támogatottak. Például: `C:\*\Test.pdf`
`PrintDocumentNameId`	A forrásfájl elérési útja. A helyettesítő karakterek támogatottak. Előfordulhat, hogy ez az elérési út nem létezik. Hozzáadhat például szöveget egy új fájlhoz a Jegyzettömbben, majd a fájl mentése nélkül nyomtathat.

Ezeket a tulajdonságokat a rendszer hozzáadja egy DescriptorIdList típusú PrintJobcsoporthoz, ahogy az az alábbi kódrészletben látható:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Megosztás a következőn keresztül:

Eszközvezérlési szabályzatok a Végponthoz készült Microsoft Defender

Az alapértelmezett viselkedés szabályozása

Irányelvek

Felhasználók

Ajánlott eljárások az eszközvezérlés felhasználókkal és felhasználói csoportokkal való használatához

Szabályok

Bejegyzések

Belépés kiértékelése

Naplóbejegyzések

Feltételek

A maszk-hozzáférés ismertetése (Windows)

A hozzáférés ismertetése (Mac)

Csoportok

Eszköztulajdonságok meghatározása a Windows Eszközkezelő használatával

Jelentések és speciális veszélyforrás-keresés használata az eszközök tulajdonságainak meghatározásához

Csoportok konfigurálása Intune, XML windowsos vagy JSON-fájlban Mac gépen

DescriptionIdList tulajdonságai

Speciális feltételek

Hálózati feltételek

VPN-kapcsolat feltételei

Nyomtatási feladatok feltételei

Következő lépések

Visszajelzés

További források