共用方式為


隔離機器 API

適用於:

注意事項

如果您是美國政府客戶,請使用美國政府客戶 適用於端點的 Microsoft Defender 中所列的 URI。

提示

為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API 描述

隔離裝置不存取外部網路。

限制

  1. 此 API 的速率限制為每分鐘 100 次呼叫,每小時 1,500 次呼叫。

注意事項

此頁面著重於透過 API 執行機器動作。 如需透過 適用於端點的 Microsoft Defender 回應動作功能的詳細資訊,請參閱在計算機上採取回應動作

重要事項

  • 完整隔離適用於 Windows 10、版本 1703 和 Windows 11 上的裝置。
  • 完整隔離適用於所有支援的 Linux 裝置。 請參閱 Linux 上的 適用於端點的 Microsoft Defender
  • 選擇性隔離適用於 Windows 10、版本 1709 或更新版本,以及 Windows 11 上的裝置。
  • 隔離裝置時,只允許特定進程和目的地。 因此,在隔離裝置之後,位於完整 VPN 通道後方的裝置將無法連線到 適用於端點的 Microsoft Defender 雲端服務。 我們建議針對 適用於端點的 Microsoft Defender 使用分割通道 VPN,並 Microsoft Defender 防病毒軟體雲端式保護相關流量。
  • 在非受控裝置上呼叫此 API 會 從網路動作觸發包含的裝置 。 IsolationType 值應該設定為 『UnManagedDevice』。

權限

呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參閱使用 適用於端點的 Microsoft Defender API

許可權類型 權限 許可權顯示名稱
應用程式 Machine.Isolate 'Isolate machine'
委派 (公司或學校帳戶) Machine.Isolate 'Isolate machine'

注意事項

使用使用者認證取得權杖時:

適用於端點的Defender方案1和方案2支援裝置群組建立。

HTTP 要求

POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate

要求標頭

名稱 類型 描述
授權 字串 持有人 {token}。 必要
Content-Type 字串 application/json。 必要

要求內文

在要求本文中,提供具有下列參數的 JSON 物件:

參數 Type 描述
留言 字串 要與動作相關聯的批注。 必要
IsolationType 字串 隔離的類型。 允許的值為: FullSelectiveUnManagedDevice

IsolationType 會 控制要執行的隔離類型,而且可以是下列其中一項:

  • 完整:完全隔離。 適用於受控裝置。
  • 選擇性:僅限制一組有限的應用程式存取受管理裝置上的網路。 如需詳細資訊,請 參閱將裝置與網路隔離
  • UnManagedDevice:隔離僅以非受控裝置為目標。

回應

如果成功,這個方法會傳回響應主體中的 201 - 建立的響應碼和 機器動作

範例

請求

以下是要求的範例。

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
  "Comment": "Isolate machine due to alert 1234",
  "IsolationType": "Full" 
}

提示

想要深入了解? Engage 技術社群中Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。