Eszközvezérlési szabályzatok a Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
Ez a cikk az eszközvezérlési szabályzatokat, szabályokat, bejegyzéseket, csoportokat és speciális feltételeket ismerteti. Az eszközvezérlési szabályzatok lényegében egy eszközkészlethez határozzák meg a hozzáférést. A hatókörbe tartozó eszközöket a belefoglalt eszközcsoportok listája és a kizárt eszközcsoportok listája határozza meg. A szabályzat akkor érvényes, ha az eszköz az összes belefoglalt eszközcsoportban található, és egyik kizárt eszközcsoportban sem. Ha nincsenek érvényben szabályzatok, akkor az alapértelmezett kényszerítés lesz alkalmazva.
Alapértelmezés szerint az eszközvezérlés le van tiltva, így minden eszköztípushoz engedélyezve van a hozzáférés. További információ az eszközvezérlésről: Eszközvezérlés Végponthoz készült Microsoft Defender.
Az alapértelmezett viselkedés szabályozása
Ha az eszközvezérlés engedélyezve van, alapértelmezés szerint minden eszköztípushoz engedélyezve van. Az alapértelmezett kényszerítés az Engedélyezésről a Megtagadás értékre is módosítható. A biztonsági csapat az eszközvezérlés által védett eszköztípusokat is konfigurálhatja. Az alábbi táblázat bemutatja, hogy a beállítások különböző kombinációi hogyan módosítják a hozzáférés-vezérlési döntést.
Engedélyezve van az eszközvezérlés? | Alapértelmezett viselkedés | Eszköztípusok |
---|---|---|
Nem | A hozzáférés engedélyezve van | - CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök |
Igen | (Nincs megadva) A hozzáférés engedélyezve van |
- CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök |
Igen | Tagad | - CD-/DVD-meghajtók -Nyomtatók - Cserélhető adathordozók - Hordozható Windows-eszközök |
Igen | Cserélhető adathordozó-eszközök és nyomtatók megtagadása | - Nyomtatók és cserélhető adathordozók (letiltva) - CD-/DVD-meghajtók és windowsos hordozható eszközök (engedélyezett) |
Az eszköztípusok konfigurálásakor a Végponthoz készült Defender eszközvezérlése figyelmen kívül hagyja a más eszközcsaládokra irányuló kéréseket.
További információért olvassa el az alábbi témaköröket:
- Eszközvezérlés üzembe helyezése és kezelése Intune
- Eszközvezérlés üzembe helyezése és kezelése Csoportházirend
Irányelvek
Az eszközökhöz való hozzáférés további finomításához az eszközvezérlés szabályzatokat használ. A szabályzat szabályok és csoportok halmaza. A szabályok és csoportok definiálása kissé eltér a felügyeleti szolgáltatások és az operációs rendszerek között, az alábbi táblázatban leírtak szerint.
Felügyeleti eszköz | Operációs rendszer | Szabályok és csoportok kezelése |
---|---|---|
Intune – Eszközvezérlési szabályzat | A Windows | Az eszköz- és nyomtatócsoportok újrahasználható beállításokként kezelhetők, és a szabályokba is belefoglalhatók. Nem minden funkció érhető el az eszközvezérlési szabályzatban (lásd: Eszközvezérlés telepítése és kezelése Microsoft Intune) |
Intune – Egyéni | A Windows | Minden csoport/szabály XML-sztringként van tárolva az egyéni konfigurációs szabályzatban. Az OMA-URI tartalmazza a csoport/szabály GUID azonosítóját. A GUID azonosítót létre kell hoznunk. |
Csoportházirend | A Windows | A csoportok és szabályok külön XML-beállításokban vannak meghatározva a Csoportházirend objektumban (lásd: Eszközvezérlés üzembe helyezése és kezelése Csoportházirend). |
Intune | Mac | A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a mobileconfig Intune |
JAMF | Mac | A szabályok és szabályzatok egyetlen JSON-fájlba vannak kombinálva, és a JAMF eszközvezérlési szabályzatként való használatával vannak konfigurálva (lásd: MacOS-eszközök vezérlése) |
A szabályokat és csoportokat globális egyedi azonosító (GUID) azonosítja. Ha az eszközvezérlési szabályzatok a Intune kivételével más felügyeleti eszközzel vannak üzembe helyezve, a GUID-okat létre kell hoznunk. A GUID azonosítókat a PowerShell használatával hozhatja létre.
A séma részleteiért tekintse meg a Mac JSON-sémáját.
Felhasználók
Az eszközvezérlési szabályzatok felhasználókra és/vagy felhasználói csoportokra is alkalmazhatók. Windows rendszeren az eszközvezérlési házirendek olyan feltétellel rendelkezhetnek, amely Microsoft Entra ID vagy Windows Server Active Directory meghatározott felhasználókat vagy felhasználói csoportokat céloz meg. Olyan szabályzatokat definiálhat, amelyek lehetővé teszik, hogy bizonyos felhasználók az üzleti igényeknek megfelelően több vagy kevesebb engedéllyel rendelkezzenek. Az eszközvezérlés aktívan megvizsgálja a felhasználói munkameneteket, és meghatározott felhasználókat vagy csoportokat megcélzó szabályzatok alapján kényszerítési döntéseket hoz. Ez azt jelenti, hogy egyes műveletek, például egy eszköz zárolása vagy a felhasználói profilból való kijelentkezés, a felhasználói feltételek nem kielégítőek lehetnek, ami a várt viselkedés.
Megjegyzés:
Az eszközvezérléssel kapcsolatos cikkekben felhasználói csoportoknak nevezzük a felhasználói csoportokat. A csoportok kifejezés az eszközvezérlési szabályzatban meghatározott csoportokra vonatkozik.
Ajánlott eljárások az eszközvezérlés felhasználókkal és felhasználói csoportokkal való használatához
Ha windowsos felhasználók számára szeretne szabályt létrehozni, hozzon létre egy bejegyzést a
Sid
szabály minden felhasználója számára.Ha windowsos és Intune felhasználói csoporthoz szeretne szabályt létrehozni, hozzon létre egy feltételt tartalmazó
Sid
bejegyzést egy [szabály] minden felhasználói csoportjához, és a szabályzatot egy gépcsoportra célozza a Intune, vagy hozzon létre feltételek nélküli szabályt, és a szabályzatot a felhasználói csoportra Intune megcélzva.Mac gépen használja a Intune, és a szabályzatot a Microsoft Entra ID felhasználói csoportjára célozza meg.
Figyelmeztetés
Ne használja a felhasználói/felhasználói csoportokra vonatkozó feltételeket a szabályokban és a felhasználói csoportok megcélzásában a Intune.
Megjegyzés:
Ha a hálózati kapcsolat probléma, használjon Intune felhasználói csoportokat vagy helyi Active Directory-csoportokat. A Microsoft Entra ID hivatkozó felhasználói/felhasználói csoportokra vonatkozó feltételek csak olyan környezetekben használhatók, amelyek megbízható kapcsolattal rendelkeznek Microsoft Entra ID.
Szabályok
A szabályok a belefoglalt csoportok listáját és a kizárt csoportok listáját határozzák meg. A szabály alkalmazásához az eszköznek az összes belefoglalt csoportban kell lennie, és a kizárt csoportok egyikében sem. Ha az eszköz megfelel a szabálynak, a rendszer kiértékeli a szabály bejegyzéseit. Egy bejegyzés határozza meg az alkalmazott művelet- és értesítési beállításokat, ha a kérelem megfelel a feltételeknek. Ha nincsenek szabályok, vagy egyetlen bejegyzés sem felel meg a kérésnek, a rendszer az alapértelmezett kényszerítést alkalmazza.
Ha például engedélyezni szeretné bizonyos USB-eszközök írási hozzáférését, és olvasási hozzáférést szeretne az összes többi USB-eszközhöz, használja az alábbi házirendeket, csoportokat és bejegyzéseket, amelyek alapértelmezett kényszerítési beállítása megtagadás.
Csoport | Leírás |
---|---|
Minden cserélhető tárolóeszköz | Cserélhető tárolóeszközök |
Írható USB-k | Azon USB-k listája, ahol engedélyezett az írási hozzáférés |
Szabály | Belefoglalt eszközcsoportok | Kizárt eszközcsoportok | Bejegyzés |
---|---|---|---|
Írásvédett hozzáférés usbs-hez | Minden cserélhető tárolóeszköz | Írható USB-k | Írásvédett hozzáférés |
Írási hozzáférés USB-khez | Írható USB-k | Írási hozzáférés |
A szabály neve megjelenik a portálon a jelentéskészítéshez és a bejelentési értesítésben a felhasználóknak, ezért mindenképpen adjon leíró neveket a szabályoknak.
A szabályokat a házirendek szerkesztésével konfigurálhatja a Intune-ben, xml-fájl használatával Windowsban vagy JSON-fájllal Mac gépen. További részletekért válassza ki az egyes lapokat.
Az alábbi képen egy eszközvezérlési szabályzat konfigurációs beállításai láthatók Intune:
A képernyőképen a Belefoglalt azonosító és a Kizárt azonosító a belefoglalt és kizárt újrahasználható beállításcsoportokra mutató hivatkozások. Egy szabályzat több szabmánnyal is rendelkezhet.
Intune nem tartja tiszteletben a szabályok sorrendjét. A szabályok bármilyen sorrendben kiértékelhetők, ezért ügyeljen arra, hogy explicit módon kizárja azokat az eszközcsoportokat, amelyek nem tartoznak a szabály hatókörébe.
Bejegyzések
Az eszközvezérlési szabályzatok hozzáférést (más néven bejegyzést) határoznak meg az eszközök egy csoportjához. A bejegyzések a szabályzatnak és a bejegyzésben meghatározott feltételeknek megfelelő eszközök művelet- és értesítési beállításait határozzák meg.
Bejegyzés beállítása | Beállítások |
---|---|
AccessMask | A műveletet csak akkor alkalmazza, ha a hozzáférési műveletek megfelelnek a hozzáférési maszknak – A hozzáférési maszk a bitalapú VAGY a hozzáférési értékek egyike: 1 – Eszközolvasás 2 – Eszközírás 4 – Eszköz végrehajtása 8 – Fájlolvasás 16 – Fájlírás 32 – Fájl végrehajtása 64 – Nyomtatás Például: Eszköz olvasása, írása és végrehajtása = 7 (1+2+4) Eszközolvasás, Lemezolvasás = 9 (1+8) |
Művelet | Engedélyezés Tagad Naplózás Engedélyezése AuditDeny |
Értesítés | Nincs (alapértelmezett) Esemény jön létre A felhasználó értesítést kap |
Belépés kiértékelése
Kétféle bejegyzéstípus létezik: kényszerítési bejegyzések (engedélyezés/megtagadás) és auditbejegyzések (AuditAllow/AuditDeny).
A szabályhoz tartozó kényszerítési bejegyzések kiértékelése sorrendben történik, amíg az összes kért engedély meg nem egyezik. Ha egyetlen bejegyzés sem felel meg egy szabálynak, a következő szabály lesz kiértékelve. Ha nem egyeznek szabályok, a rendszer az alapértelmezett értéket alkalmazza.
Naplóbejegyzések
A naplózási események szabály kényszerítésekor (engedélyezés/megtagadás) vezérli a viselkedést. Az eszközvezérlő megjeleníthet egy értesítést a végfelhasználónak. A felhasználó értesítést kap, amely tartalmazza az eszközvezérlési szabályzat nevét és az eszköz nevét. Az értesítés a kezdeti hozzáférés megtagadása után óránként egyszer jelenik meg.
Az eszközvezérlés speciális veszélyforrás-keresésben elérhető eseményt is létrehozhat.
Fontos
Eszközönként naponta legfeljebb 300 esemény lehet. A rendszer a végrehajtási döntés meghozatala után dolgozza fel a naplóbejegyzéseket. A rendszer kiértékeli az összes kapcsolódó naplóbejegyzést.
Feltételek
A bejegyzések a következő opcionális feltételeket támogatják:
- Felhasználó/felhasználói csoport feltétel: A műveletet csak az SID által azonosított felhasználóra/felhasználói csoportra alkalmazza
Megjegyzés:
A Microsoft Entra ID-ben tárolt felhasználói csoportok és felhasználók esetében használja a feltételben szereplő objektumazonosítót. A helyileg tárolt felhasználói csoportokhoz és felhasználókhoz használja a biztonsági azonosítót (SID)
Megjegyzés:
Windows rendszeren a bejelentkezett felhasználó SID-azonosítója a PowerShell-parancs whoami /user
futtatásával kérhető le.
- Gép állapota: A műveletet csak az SID által azonosított eszközre/csoportra alkalmazza
- Paraméterek feltétel: A műveletet csak akkor alkalmazza, ha a paraméterek egyeznek (lásd: Speciális feltételek)
A bejegyzések hatóköre további felhasználókra és eszközökre is kiterjedhet. Például csak ezen az eszközön engedélyezze az olvasási hozzáférést ezekhez a usBs-ekhez ehhez a felhasználóhoz.
Politika | Belefoglalt eszközcsoportok | Kizárt eszközcsoportok | Bejegyzés(ek) |
---|---|---|---|
Írásvédett hozzáférés usbs-hez | Minden cserélhető tárolóeszköz | Írható USB-k | Írásvédett hozzáférés |
Írási hozzáférés USB-khez | Írható USB-k | Írási hozzáférés az 1. felhasználóhoz Írási hozzáférés a 2. felhasználóhoz az A eszközcsoporton |
A bejegyzésben szereplő összes feltételnek igaznak kell lennie ahhoz, hogy a műveletet alkalmazni lehessen.
A bejegyzéseket konfigurálhatja Intune, Egy XML-fájl a Windowsban vagy egy JSON-fájl Mac gépen. További részletekért válassza ki az egyes lapokat.
A Intune access mask (Hozzáférési maszk) mezőben a következő lehetőségek közül választhat:
- Olvasás (Lemezszintű olvasás = 1)
- Írás (Lemezszintű írás = 2)
- Végrehajtás (Lemezszintű végrehajtás = 4)
- Nyomtatás (Nyomtatás = 64).
Nem minden funkció jelenik meg a Intune felhasználói felületén. További információ: Eszközvezérlés üzembe helyezése és kezelése Intune.
Csoportok
A csoportok feltételeket határoznak meg az objektumok tulajdonságaik szerinti szűréséhez. Az objektum akkor van hozzárendelve a csoporthoz, ha tulajdonságai megegyeznek a csoporthoz definiált tulajdonságokkal.
Megjegyzés:
Az ebben a szakaszban szereplő csoportok nem hivatkoznak felhasználói csoportokra.
Például:
- Az engedélyezett USB-k az összes olyan eszköz, amely megfelel ezeknek a gyártóknak
- Az elveszett USB-k azok az eszközök, amelyek megfelelnek ezeknek a sorozatszámoknak
- Az engedélyezett nyomtatók azok az eszközök, amelyek megfelelnek ezeknek a VID/PID-knek
A tulajdonságok négyféleképpen feleltethetők meg: MatchAll
, MatchAny
, MatchExcludeAll
és MatchExcludeAny
-
MatchAll
: A tulajdonságok egy "And" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a ésInstancePathID
a értéket adjaDeviceID
meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek. -
MatchAny
: A tulajdonságok egy "Or" kapcsolat; Ha például a rendszergazda minden csatlakoztatott USB esetében a DeviceID ésInstancePathID
a értéket helyezi el, a rendszer mindaddig kényszeríti, amíg az USB azonosDeviceID
vagyInstanceID
értékkel rendelkezik. -
MatchExcludeAll
: A tulajdonságok "És" kapcsolatnak számítanak, és minden olyan elem szerepel benne, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyeziDeviceID
ésInstancePathID
használjaMatchExcludeAll
a elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonosDeviceID
ésInstanceID
értékekkel. -
MatchExcludeAny
: A tulajdonságok "Vagy" kapcsolatnak számítanak, és minden olyan elemre kiterjed, amely nem felel meg. Ha például a rendszergazda minden csatlakoztatott USB-n elhelyeziDeviceID
ésInstancePathID
használjaMatchExcludeAny
a elemet, a rendszer mindaddig kényszeríti, amíg az USB nem rendelkezik azonosDeviceID
értékkel vagyInstanceID
értékkel.
A csoportok kétféleképpen használhatók: a szabályokba való belefoglalásra/kizárásra szolgáló eszközök kiválasztására, valamint a speciális feltételekhez való hozzáférés szűrésére. Ez a táblázat összefoglalja a csoporttípusokat és azok felhasználási módját.
Típus | Leírás | O/S | Szabályok belefoglalása/kizárása | Speciális feltételek |
---|---|---|---|---|
Eszköz (alapértelmezett) | Eszközök és nyomtatók szűrése | Windows/Mac | X | |
Hálózat | Hálózati feltételek szűrése | A Windows | X | |
VPN-kapcsolat | VPN-feltételek szűrése | A Windows | X | |
Fájl | Fájltulajdonságok szűrése | A Windows | X | |
Nyomtatási feladat | A nyomtatandó fájl tulajdonságainak szűrése | A Windows | X |
A szabályzat hatókörébe tartozó eszközök, amelyeket a belefoglalt csoportok listája és a kizárt csoportok listája határoz meg. A szabály akkor érvényes, ha az eszköz az összes belefoglalt csoporthoz tartozik, és egyik kizárt csoporthoz sem tartozik. A csoportok az eszközök tulajdonságaiból állíthatók össze. A következő tulajdonságok használhatók:
Tulajdonság | Leírás | Windows-eszközök | Mac-eszközök | Nyomtatók |
---|---|---|---|---|
FriendlyNameId |
A Windows Eszközkezelő felhasználóbarát neve | I | N | I |
PrimaryId |
Az eszköz típusa | I | I | I |
VID_PID |
A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz. A helyettesítő karakterek támogatottak. Például: 0751_55E0 |
I | N | I |
PrinterConnectionId |
A nyomtatókapcsolat típusa: - USB : Egy számítógép USB-portjához csatlakoztatott nyomtató. - Network : A hálózati nyomtató olyan nyomtató, amely hálózati kapcsolattal érhető el, így a hálózathoz csatlakozó más számítógépek is használják.- Corporate : A vállalati nyomtatók a helyszíni Windows nyomtatókiszolgálón keresztül megosztott nyomtatási várólista.- Universal : Az Univerzális nyomtatás egy modern nyomtatási megoldás, amellyel a szervezetek a Microsoft felhőszolgáltatásain keresztül kezelhetik nyomtatási infrastruktúrájukat. Mi az az univerzális nyomtatás? - Univerzális nyomtatás | Microsoft Docs - File : "Microsoft Print to PDF" és "Microsoft XPS Document Writer" vagy más nyomtatók FILE: vagy PORTPROMPT: port használatával- Custom : nyomtató, amely nem a Microsoft nyomtatási porton keresztül csatlakozik- Local : a nyomtató nem a korábban említett típusok egyikét sem. Nyomtathat például RDP-vel vagy átirányíthatja a nyomtatókat |
N | N | I |
BusId |
Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) | I | N | N |
DeviceId |
Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) | I | N | N |
HardwareId |
Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) | I | N | N |
InstancePathId |
Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) | I | N | N |
SerialNumberId |
Az eszközre vonatkozó információk (további információért tekintse meg a táblázatot követő szakaszokat) | I | I | N |
PID |
A termékazonosító az a négyjegyű termékkód, amelyet a szállító hozzárendel az eszközhöz | I | I | N |
VID |
A szállító azonosítója az a négyjegyű szállítókód, amelyet az USB-bizottság hozzárendel a szállítóhoz. | I | I | N |
DeviceEncryptionStateId |
(Előzetes verzió) Az eszköz BitLocker titkosítási állapota. Az érvényes értékek a következők: BitlockerEncrypted vagy Plain |
I | N | N |
APFS Encrypted |
Ha az eszköz APFS-titkosítással rendelkezik | N | I | N |
Eszköztulajdonságok meghatározása a Windows Eszközkezelő használatával
Windows-eszközök esetén a Eszközkezelő segítségével megismerheti az eszközök tulajdonságait.
Nyissa meg Eszközkezelő, keresse meg az eszközt, kattintson a jobb gombbal a Tulajdonságok elemre, majd válassza a Részletek lapot.
A Tulajdonság listában válassza az Eszközpéldány elérési útja lehetőséget.
Az eszközpéldány elérési útjának értéke a
InstancePathId
, de más tulajdonságokat is tartalmaz:USB\VID_090C&PID_1000\FBH1111183300721
{BusId}\{DeviceId}\{SerialNumberId}
Az eszközkezelő tulajdonságai az eszközvezérlőre vannak leképazva az alábbi táblázatban látható módon:
Eszközkezelő Eszközvezérlő Hardverazonosítók HardwareId
Rövid név FriendlyNameId
Szülő VID_PID
DeviceInstancePath InstancePathId
Jelentések és speciális veszélyforrás-keresés használata az eszközök tulajdonságainak meghatározásához
Az eszköztulajdonságok címkéi kissé eltérőek a speciális veszélyforrás-keresésben. Az alábbi táblázat a portálon lévő címkéket egy eszközvezérlési szabályzatban lévő propertyId
címkére képezi le.
Microsoft Defender Portal tulajdonság | Eszközvezérlés tulajdonságazonosítója |
---|---|
Adathordozó neve | FriendlyNameId |
Szállító azonosítója | HardwareId |
DeviceId | InstancePathId |
Sorozatszám | SerialNumberId |
Megjegyzés:
Győződjön meg arról, hogy a kijelölt objektum a megfelelő Médiaosztályt biztosítja a szabályzathoz. A cserélhető tárolókhoz általában használja a következőt Class Name == USB
: .
Csoportok konfigurálása Intune, XML windowsos vagy JSON-fájlban Mac gépen
A csoportokat Intune konfigurálhatja, windowsos XML-fájllal vagy Mac gépen JSON-fájllal. További részletekért válassza ki az egyes lapokat.
Megjegyzés:
Az Group Id
XML-ben és id
a JSON-ban a csoport azonosítására szolgál az eszközvezérlőn belül. Nem hivatkozik másra, például a Microsoft Entra ID felhasználói csoportjára.
A Intune újrahasználható beállításai eszközcsoportokra vannak leképezve. Az újrahasználható beállításokat a Intune konfigurálhatja.
Kétféle csoport létezik: nyomtatóeszköz és cserélhető tároló. Az alábbi táblázat ezen csoportok tulajdonságait sorolja fel.
Csoport típusa | Tulajdonságok |
---|---|
Nyomtatóeszköz | - FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID |
Cserélhető tároló | - BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID |
Speciális feltételek
A bejegyzések a paraméterek alapján tovább korlátozhatók. A paraméterek speciális feltételeket alkalmaznak, amelyek túlmutatnak az eszközön. A speciális feltételek lehetővé teszik a részletes vezérlést a hálózat, a VPN-kapcsolat, a fájl vagy a nyomtatási feladat kiértékelése alapján.
Megjegyzés:
A speciális feltételek csak XML formátumban támogatottak.
Hálózati feltételek
Az alábbi táblázat a hálózati csoport tulajdonságait ismerteti:
Tulajdonság | Leírás |
---|---|
NameId |
A hálózat neve. A helyettesítő karakterek támogatottak. |
NetworkCategoryId |
Az érvényes lehetőségek a következők: Public , Private vagy DomainAuthenticated . |
NetworkDomainId |
Az érvényes lehetőségek a következők: NonDomain , Domain , DomainAuthenticated . |
Ezek a tulajdonságok egy Hálózat típusú csoport DescriptorIdList eleméhez lesznek hozzáadva. Íme egy példarészlet:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
<DescriptorIdList>
<NetworkCategoryId>Public</PathId>
<NetworkDomainId>NonDomain</PathId>
</DescriptorIdList>
</Group>
A csoportra ezután a bejegyzésben paraméterekként hivatkozunk, ahogy az a következő kódrészletben látható:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<Network MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
</Network>
</Parameters>
</Entry>
VPN-kapcsolat feltételei
Az alábbi táblázat a VPN-kapcsolati feltételeket ismerteti:
Name (Név) | Leírás |
---|---|
NameId |
A VPN-kapcsolat neve. A helyettesítő karakterek támogatottak. |
VPNConnectionStatusId |
Az érvényes értékek a következők: Connected vagy Disconnected . |
VPNServerAddressId |
A sztring VPNServerAddress értéke. A helyettesítő karakterek támogatottak. |
VPNDnsSuffixId |
A sztring VPNDnsSuffix értéke. A helyettesítő karakterek támogatottak. |
Ezeket a tulajdonságokat a rendszer hozzáadja egy DescriptorIdList
típusú VPNConnection
csoporthoz, az alábbi kódrészletben látható módon:
<Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
<Name>Corporate VPN</Name>
<MatchType>MatchAll</MatchType>
<DescriptorIdList>
<NameId>ContosoVPN</NameId>
<VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
<VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
<VPNConnectionStatusId>Connected</VPNConnectionStatusId>
</DescriptorIdList>
</Group>
Ezután a csoportra paraméterként hivatkozik egy bejegyzésben, az alábbi kódrészletben látható módon:
<Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
<Type>Allow</Type>
<Options>0</Options>
<AccessMask>64</AccessMask>
<Parameters MatchType="MatchAny">
<VPNConnection>
<GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
</VPNConnection>
</Parameters>
</Entry>
A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<File MatchType="MatchAny">
<GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
</File>
</Parameters>
</Entry>
Nyomtatási feladatok feltételei
A következő táblázat a csoporttulajdonságokat ismerteti PrintJob
:
Name (Név) | Leírás |
---|---|
PrintOutputFileNameId |
A kimeneti célfájl elérési útja a fájlba való nyomtatáshoz. A helyettesítő karakterek támogatottak. Például: C:\*\Test.pdf |
PrintDocumentNameId |
A forrásfájl elérési útja. A helyettesítő karakterek támogatottak. Előfordulhat, hogy ez az elérési út nem létezik. Hozzáadhat például szöveget egy új fájlhoz a Jegyzettömbben, majd a fájl mentése nélkül nyomtathat. |
Ezeket a tulajdonságokat a rendszer hozzáadja egy DescriptorIdList
típusú PrintJob
csoporthoz, ahogy az az alábbi kódrészletben látható:
<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
<DescriptorIdList>
<PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
<PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
</DescriptorIdList>
</Group>
A csoportra ezután paraméterként hivatkozik egy bejegyzésben, ahogy az a következő kódrészletben látható:
<Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
<Type>Deny</Type>
<Options>0</Options>
<AccessMask>40</AccessMask>
<Parameters MatchType="MatchAll">
<PrintJob MatchType="MatchAny">
<GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
</PrintJob>
</Parameters>
</Entry>
Következő lépések
- Eszközvezérlési események és információk megtekintése a Végponthoz készült Microsoft Defender
- Eszközvezérlés üzembe helyezése és kezelése Végponthoz készült Microsoft Defender a Microsoft Intune használatával
- Eszközvezérlés üzembe helyezése és kezelése Végponthoz készült Microsoft Defender a Csoportházirend használatával
- Eszközvezérlés macOS-hez