Uç Nokta için Microsoft Defender'da cihaz denetimi ilkeleri

Makale
10/11/2024

Şunlar için geçerlidir:

Bu makalede cihaz denetim ilkeleri, kurallar, girişler, gruplar ve gelişmiş koşullar açıklanmaktadır. Temel olarak, cihaz denetim ilkeleri bir cihaz kümesi için erişimi tanımlar. Kapsamdaki cihazlar, dahil edilen cihaz gruplarının listesi ve dışlanan cihaz gruplarının listesi tarafından belirlenir. İlke, cihaz dahil edilen tüm cihaz gruplarında yer alıyorsa ve dışlanan cihaz gruplarından hiçbiri değilse geçerlidir. İlke uygulanmazsa, varsayılan zorlama uygulanır.

Varsayılan olarak cihaz denetimi devre dışıdır, bu nedenle tüm cihaz türlerine erişime izin verilir. Cihaz denetimi hakkında daha fazla bilgi edinmek için bkz. Uç Nokta için Microsoft Defender'de cihaz denetimi.

Varsayılan davranışı denetleme

Cihaz denetimi etkinleştirildiğinde, varsayılan olarak tüm cihaz türleri için etkinleştirilir. Varsayılan zorlama , İzin Ver'denReddet olarak da değiştirilebilir. Güvenlik ekibiniz, cihaz denetiminin koruduğu cihaz türlerini de yapılandırabilir. Aşağıdaki tabloda, çeşitli ayar bileşimlerinin erişim denetimi kararını nasıl değiştireceği gösterilmektedir.

Cihaz denetimi etkin mi?	Varsayılan davranış	Cihaz türleri
Hayır	Erişime izin verilir	- CD/DVD sürücüleri -Yazıcı - Çıkarılabilir medya cihazları - Windows taşınabilir cihazlar
Evet	(Belirtilmedi) Erişime izin verilir	- CD/DVD sürücüleri -Yazıcı - Çıkarılabilir medya cihazları - Windows taşınabilir cihazlar
Evet	Reddetmek	- CD/DVD sürücüleri -Yazıcı - Çıkarılabilir medya cihazları - Windows taşınabilir cihazlar
Evet	Çıkarılabilir medya cihazlarını ve yazıcılarını reddet	- Yazıcılar ve çıkarılabilir medya cihazları (engellendi) - CD/DVD sürücüleri ve Windows taşınabilir cihazları (izin verilir)

Cihaz türleri yapılandırıldığında, Uç Nokta için Defender'daki cihaz denetimi diğer cihaz ailelerine yönelik istekleri yoksayar.

Daha fazla bilgi için aşağıdaki makalelere bakın:

İlkeler

Cihaz denetimi, cihazlara erişimi daha da geliştirmek için ilkeleri kullanır. İlke, bir dizi kural ve gruptır. Kuralların ve grupların tanımlanma şekli, aşağıdaki tabloda açıklandığı gibi yönetim deneyimleri ve işletim sistemleri arasında biraz değişiklik gösterir.

Yönetim aracı	İşletim sistemi	Kurallar ve gruplar nasıl yönetilir?
Intune – Cihaz denetimi ilkesi	Windows	Cihaz ve yazıcı grupları yeniden kullanılabilir ayarlar olarak yönetilebilir ve kurallara dahil edilebilir. Cihaz denetimi ilkesinde tüm özellikler kullanılamaz (bkz. Microsoft Intune ile cihaz denetimini dağıtma ve yönetme)
Intune – Özel	Windows	Her grup/kural, özel yapılandırma ilkesinde xml dizesi olarak depolanır. OMA-URI, grubun/kuralın GUID'sini içerir. GUID oluşturulmalıdır.
Grup İlkesi	Windows	Gruplar ve kurallar grup ilkesi Nesnesinde ayrı XML ayarlarında tanımlanır (bkz. grup ilkesi ile cihaz denetimini dağıtma ve yönetme).
Intune	Mac	Kurallar ve ilkeler tek bir JSON'da birleştirilir ve Intune kullanılarak dağıtılan dosyaya `mobileconfig` eklenir
JAMF	Mac	Kurallar ve ilkeler tek bir JSON'da birleştirilir ve cihaz denetimi ilkesi olarak JAMF kullanılarak yapılandırılır (bkz. macOS için Cihaz Denetimi)

Kurallar ve gruplar Genel Benzersiz Kimlik (GUID) ile tanımlanır. Cihaz denetimi ilkeleri Intune dışında bir yönetim aracı kullanılarak dağıtılıyorsa GUID'lerin oluşturulması gerekir. Guid'leri PowerShell kullanarak oluşturabilirsiniz.

Şema ayrıntıları için bkz. Mac için JSON şeması.

Kullanıcılar

Cihaz denetimi ilkeleri kullanıcılara ve/veya kullanıcı gruplarına uygulanabilir.

Not

Cihaz denetimiyle ilgili makalelerde kullanıcı grupları kullanıcı grupları olarak adlandırılır. Gruplar terimi, cihaz denetimi ilkesinde tanımlanan gruplara başvurur.

Mac ve Windows'da Intune kullanılarak cihaz denetim ilkeleri, Entra Id'de tanımlanan kullanıcı gruplarına hedeflenebilir.

Windows'da bir kullanıcı veya kullanıcı grubu, ilkedeki bir girdinin koşulu olabilir.

Kullanıcı veya kullanıcı gruplarına sahip girişler, Entra Kimliği'nden veya yerel bir Active Directory'den nesnelere başvurabilir.

Kullanıcılar ve kullanıcı gruplarıyla cihaz denetimini kullanmak için en iyi yöntemler

Windows'da tek bir kullanıcıya kural oluşturmak için, kuralda foreach kullanıcı koşuluna sahip Sidbir giriş oluşturun
Windows'da ve Intune bir kullanıcı grubu için kural oluşturmak için, [rule] içindeki her kullanıcı grubu için bir Sid koşul içeren bir girdi oluşturun ve ilkeyi Intune bir makine grubuna hedefleyin ya da koşulsuz bir kural oluşturun ve ilkeyi kullanıcı grubuna Intune ile hedefleyin.
Mac'te Intune kullanın ve ilkeyi Entra Id'deki bir kullanıcı grubuna hedefle.

Uyarı

Intune'da kurallarda ve kullanıcı grubu hedeflemesinde hem kullanıcı/kullanıcı grubu koşullarını kullanmayın.

Not

Ağ bağlantısı bir sorunsa, Intune kullanıcı grubu hedeflemesini veya yerel bir Active Directory gruplarını kullanın. Entra Kimliği'ne başvuran kullanıcı/kullanıcı grubu koşulları yalnızca Entra Kimliği'ne güvenilir bir bağlantıya sahip ortamlarda kullanılmalıdır.

Kurallar

Kural, dahil edilen grupların listesini ve dışlanan grupların listesini tanımlar. Kuralın uygulanabilmesi için cihazın dahil edilen tüm gruplarda olması ve dışlanan gruplardan hiçbirinin olmaması gerekir. Cihaz kuralla eşleşiyorsa, bu kuralın girişleri değerlendirilir. Giriş, istek koşullarla eşleşiyorsa uygulanan eylem ve bildirim seçeneklerini tanımlar. Kural uygulanmazsa veya istekle eşleşen giriş yoksa, varsayılan zorlama uygulanır.

Örneğin, bazı USB cihazları için yazma erişimine ve diğer tüm USB cihazları için okuma erişimine izin vermek için, aşağıdaki ilkeleri, grupları ve girişleri varsayılan zorlamayı reddedecek şekilde ayarlayın.

Grup	Açıklama
Tüm Çıkarılabilir Depolama Cihazları	Çıkarılabilir Depolama Cihazları
Yazılabilir USB'ler	Yazma erişimine izin verilen USB'lerin listesi

Kural	Dahil Edilen Cihaz Gruplar	Dışlanan Cihaz Gruplar	Giriş
USB'ler için salt okunur erişim	Tüm Çıkarılabilir depolama cihazları	Yazılabilir USB'ler	Salt Okunur Erişim
USB'ler için yazma erişimi	Yazılabilir USB'ler		Yazma Erişimi

Kuralın adı portalda raporlama için ve kullanıcılara bildirimde görünür, bu nedenle kurallara açıklayıcı adlar verdiğinizden emin olun.

Intune'da ilkeleri düzenleyerek, Windows'da XML dosyası kullanarak veya Mac'te JSON dosyası kullanarak kuralları yapılandırabilirsiniz. Daha fazla ayrıntı için her sekmeyi seçin.

Aşağıdaki görüntüde, Intune'daki bir cihaz denetim ilkesinin yapılandırma ayarları gösterilir:

Ekran görüntüsünde, Dahil Edilen Kimlik ve Dışlanan Kimlik, dahil edilen ve dışlanan yeniden kullanılabilir ayar gruplarına başvurulardır. İlkenin birden çok kuralı olabilir.

Intune kurallara uymaz. Kurallar herhangi bir sırada değerlendirilebilir, bu nedenle kural kapsamında olmayan cihaz gruplarını açıkça dışlamayı unutmayın.

Aşağıdaki kod parçacığı, XML'de cihaz denetimi ilkesi kuralının söz dizimini gösterir:


<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  </ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

Aşağıdaki tabloda XML kod parçacığı için daha fazla bağlam sağlanır:

Özellik Adı	Açıklama	Seçenekler
`PolicyRule Id`	Benzersiz bir kimlik olan GUID, ilkeyi temsil eder ve raporlama ve sorun gidermede kullanılır.	Kimliği PowerShell aracılığıyla oluşturabilirsiniz.
`Name`	Dize, ilkenin adıdır ve ilke ayarına göre bildirimde görüntülenir.
`IncludedIdList`	İlkenin uygulandığı gruplar. Birden çok grup eklenirse, medyanın dahil edilecek listedeki her grubun üyesi olması gerekir.	Bu örnekte Grup Kimliği/GUID kullanılmalıdır. Aşağıdaki örnekte GroupID kullanımı gösterilmektedir: `<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>`
`ExcludedIDList`	İlkenin uygulanmadığı gruplar. Birden çok grup eklenirse, medyanın dışlanması için listedeki bir grubun üyesi olması gerekir.	Bu örnekte Grup Kimliği/GUID kullanılmalıdır.
`Entry`	Bir PolicyRule birden çok girdiye sahip olabilir; benzersiz GUID'ye sahip her giriş, cihaz denetimine bir kısıtlama bildirir.	Ayrıntıları almak için aşağıdaki Giriş özellikleri tablosuna bakın.

Aşağıdaki kod parçacığı, macOS için JSON'da cihaz denetimi ilkesi kuralının söz dizimini gösterir:

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

Aşağıdaki tabloda XML kod parçacığı için daha fazla bağlam sağlanır:

Özellik adı	Açıklama	Seçenekler
`id`	Benzersiz bir kimlik olan GUID, kuralı temsil eder ve ilkede kullanılır.	`New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen`
`name`	Dize, ilkenin adı ve ilke ayarına göre bildirimde görüntülenir.
`includeGroups`	İlkenin uygulandığı gruplar. Birden çok grup belirtilirse, ilke tüm bu gruplardaki tüm medyalara uygulanır. Belirtilmezse, kural tüm cihazlar için geçerlidir.	Grubun içindeki kimlik değeri bu örnekte kullanılmalıdır. includeGroups içinde birden çok grup varsa, bu olur `AND`. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	İlkenin uygulanmadığı grup.	Grubun `id` içindeki değer bu örnekte kullanılmalıdır. excludeGroups içinde birden çok grup varsa, bu olur `OR`.
`entries`	Bir kuralın birden çok girdisi olabilir; benzersiz GUID'ye sahip her giriş, Cihaz Denetimi'ne bir kısıtlama bildirir.	Ayrıntıları almak için bu makalenin devamında yer alan giriş özellikleri tablosuna bakın.

Giriş

Cihaz denetimi ilkeleri, bir cihaz kümesi için erişimi (giriş olarak adlandırılır) tanımlar. Girdiler, ilkeyle ve girdide tanımlanan koşullarla eşleşen cihazlar için eylem ve bildirim seçeneklerini tanımlar.

Giriş ayarı	Seçenekler
AccessMask	Eylemi yalnızca erişim işlemleri erişim maskesiyle eşleşiyorsa uygular - Erişim maskesi, erişim değerlerinin bit tabanlı VEYA değeridir: 1 - Cihaz Okuma 2 - Cihaz Yazma 4 - Cihaz Yürütme 8 - Dosya Okuma 16 - Dosya Yazma 32 - Dosya Yürütme 64 - Yazdır Örneğin: Cihaz Okuma, Yazma ve Yürütme = 7 (1+2+4) Cihaz Okuma, Disk Okuma = 9 (1+8)
Eylem	İzin ver Reddetmek AuditAllow AuditDeny
Bildirim	Yok (varsayılan) Bir olay oluşturulur Kullanıcı bildirim alır

Giriş değerlendirmesi

İki tür girdi vardır: zorlama girdileri (İzin Ver/Reddet) ve denetim girdileri (AuditAllow/AuditDeny).

Bir kural için zorlama girişleri, istenen tüm izinler eşleştirilene kadar sırayla değerlendirilir. Bir kuralla eşleşen girdi yoksa, sonraki kural değerlendirilir. Hiçbir kural eşleşmiyorsa varsayılan değer uygulanır.

Denetim girdileri

Denetim olayları, cihaz denetimi bir kuralı (izin ver/reddet) zorladığında davranışı denetler. Cihaz denetimi son kullanıcıya bir bildirim görüntüleyebilir. Kullanıcı, cihaz denetim ilkesinin adını ve cihazın adını içeren bir bildirim alır. İlk erişim reddedildikten sonra bildirim saatte bir görüntülenir.

Cihaz denetimi, Gelişmiş Avcılık'ta kullanılabilen bir olay da oluşturabilir.

Önemli

Cihaz başına günlük 300 olay sınırı vardır. Denetim girişleri, zorlama kararı alındıktan sonra işlenir. İlgili tüm denetim girişleri değerlendirilir.

Koşul -ları

Giriş aşağıdaki isteğe bağlı koşulları destekler:

Kullanıcı/Kullanıcı Grubu Koşulu: Eylemi yalnızca SID tarafından tanımlanan kullanıcı/kullanıcı grubuna uygular

Not

Microsoft Entra Kimliği'nde depolanan kullanıcı grupları ve kullanıcılar için koşuldaki nesne kimliğini kullanın. Yerel olarak depolanan kullanıcı grupları ve kullanıcılar için Güvenlik Tanımlayıcısı'nı (SID) kullanın

Not

Windows'da, oturum açmış olan kullanıcının SID'i PowerShell komutu whoami /userçalıştırılarak alınabilir.

Makine Koşulu: Eylemi yalnızca SID tarafından tanımlanan cihaza/gruba uygular
Parametre Koşulu: Eylemi yalnızca parametreler eşleşiyorsa uygular (Bkz. Gelişmiş Koşullar)

Girdilerin kapsamı belirli kullanıcılar ve cihazlar için daha ayrıntılı olabilir. Örneğin, yalnızca bu cihazda bu kullanıcı için bu USB'lere okuma erişimine izin verin.

Politika	Dahil Edilen Cihaz Gruplar	Dışlanan Cihaz Gruplar	Giriş(ies)
USB'ler için salt okunur erişim	Tüm Çıkarılabilir depolama cihazları	Yazılabilir USB'ler	Salt Okunur Erişim
USB'ler için yazma erişimi	Yazılabilir USB'ler		Kullanıcı 1 için Yazma Erişimi Cihaz Grubu A'da Kullanıcı 2 için Yazma Erişimi

Eylemin uygulanabilmesi için girişteki tüm koşulların doğru olması gerekir.

Intune, Windows'da xml dosyası veya Mac'teki bir JSON dosyası kullanarak girdileri yapılandırabilirsiniz. Daha fazla ayrıntı için her sekmeyi seçin.

Intune erişim maskesi alanında şunlar gibi seçenekler bulunur:

Okuma (Disk Düzeyi Okuma = 1)
Yazma (Disk Düzeyinde Yazma = 2)
Execute (Disk Düzeyi Yürütme = 4)
Yazdır (Yazdırma = 64).

Tüm özellikler Intune kullanıcı arabiriminde gösterilmez. Daha fazla bilgi için bkz. Intune ile cihaz denetimini dağıtma ve yönetme.

Aşağıdaki kod parçacığı, XML'de bir cihaz denetimi girdisinin söz dizimini gösterir:


  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

Aşağıdaki tabloda XML kod parçacığı için daha fazla bağlam sağlanır:

Özellik adı	Açıklama	Seçenek
`Entry Id`	Benzersiz bir kimlik olan GUID, girdiyi temsil eder ve raporlama ve sorun gidermede kullanılır.	POWERShell kullanarak GUID oluşturabilirsiniz.
`Type`	içindeki `IncludedIDList`çıkarılabilir depolama grupları için eylemi tanımlar. - `Allow` - `Deny` - `AuditAllowed`: Erişime izin verildiğinde bildirimi ve olayı tanımlar - `AuditDenied`: Erişim reddedildiğinde bildirim ve olayı tanımlar; bir `Deny` girişle birlikte çalışır. Aynı medya için çakışma türleri olduğunda, sistem ilkedeki ilki uygular. Çakışma türüne örnek olarak ve örnek olarak verilmiştir `AllowDeny`.	- `Allow` - `Deny` - `AuditAllowed` - `AuditDenied`
`Option`	Tür ise `Allow`	- `0`:hiç - `4`: bu girdi için ve'yi `AuditDenied` devre dışı bırakın`AuditAllowed`. Gerçekleşirse ve `AuditAllowed` ayar yapılandırılırsa`Allow`, olaylar oluşturulmaz.
`Option`	Tür ise `Deny`	- `0`:hiç - `4`: bu Giriş için devre dışı bırakın `AuditDenied` . Engelle gerçekleşirse ve `AuditDenied` ayarı yapılandırıldıysa sistem bildirimleri göstermez.
`Option`	Tür ise `AuditAllowed`	- `0`:hiç - `1`:hiç - `2`: send olayı
`Option`	Tür ise `AuditDenied`	- `0`:hiç - `1`: bildirim göster - `2`: send olayı - `3`: bildirim göster ve olayı gönder
`AccessMask`	Erişimi tanımlar	Aşağıdaki Maske erişimini anlama bölümüne bakın
`Sid`	Yerel kullanıcı SID'si veya kullanıcı SID grubu ya da Microsoft Entra nesnesinin VEYA Nesne Kimliğinin SID'si. Bu ilkenin belirli bir kullanıcı veya kullanıcı grubuna uygulanıp uygulanmayacağını tanımlar. Bir girdi en fazla bir SID'ye ve sid içermeyen bir girişe sahip olabilir ve ilkeyi cihaz üzerinden uygulamak için bir giriş anlamına gelir.	SID
`ComputerSid`	Yerel bilgisayar SID veya bilgisayar SID grubu ya da Microsoft Entra nesnesinin SID'si ya da Nesne Kimliği. Bu ilkenin belirli bir cihaz veya cihaz grubuna uygulanıp uygulanmayacağını tanımlar. Bir girdi en fazla bir ComputerSID'ye sahip olabilir ve herhangi bir ComputerSID içermeyen bir giriş, ilkeyi cihaza uygulamak anlamına gelir. Belirli bir kullanıcıya ve belirli bir cihaza Giriş uygulamak istiyorsanız, aynı Girişe hem SID hem de ComputerSID ekleyin.	SID
`Parameters`	Ağ koşulu gibi bir girdinin koşulu.	Gruplar (cihaz olmayan türler) ekleyebilir ve hatta parametrelere parametre ekleyebilir. Daha fazla bilgi için gelişmiş koşullar bölümüne (bu makalede) bakın.

Maske erişimini anlama (Windows)

Cihaz denetimi, isteğin girişle eşleşip eşleşmediğini belirlemek için bir erişim maskesi uygular. , ve WpdDevicesüzerinde CdRomDevicesRemovableMediaDevicesaşağıdaki eylemler kullanılabilir:

Access	Maske
Disk düzeyinde okuma	1
Disk düzeyinde yazma	2
Disk düzeyinde yürütme	4
Dosya sistemi okuma	8
Dosya sistemi yazma	16
Dosya sistemi yürütme	32

PrinterDevices'te aşağıdaki eylemler kullanılabilir:

Erişim: Yazdır
Maske: 64

bir ikili OR işlemi gerçekleştirerek birden çok erişim ayarına sahip olabilirsiniz. İşte bir örnek:

Okuma ve Yazma ve Yürütme için AccessMask 7'dir
Okuma ve Yazma için AccessMask 3'dür

Aşağıdaki kod parçacığı, macOS için JSON'da bir cihaz denetimi girişinin söz dizimini gösterir:


{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

Aşağıdaki tabloda JSON kod parçacığı için daha fazla bağlam sağlanır:

Özellik adı	Açıklama	Seçenekler
`id`	Benzersiz bir kimlik olan GUID, girdiyi temsil eder ve raporlama ve sorun gidermede kullanılır.	PowerShell kullanarak kimliği oluşturabilirsiniz.
`enforcement $type`	içindeki `includedGroups`çıkarılabilir depolama grupları için eylemi tanımlar. - `allow` - `deny` - `auditAllow`: Erişime izin verildiğinde bildirimi ve olayı tanımlar - `AuditDeny`: Erişim reddedildiğinde bildirim ve olayı tanımlar; Deny girdisiyle birlikte çalışması gerekir. Aynı medya için çakışma türleri olduğunda, sistem ilkedeki ilki uygular. Çakışma türüne örnek olarak İzin Ver ve Reddet yer alır.	`enforcement $type` Öznitelik aşağıdaki değerlerden biri olabilir: - `allow` - `deny` - `auditAllow` - `auditDeny`
`enforcement $options`	Zorlama $type izin verirseniz	`disable_audit_allow`: İzin ver gerçekleşirse ve auditAllow ayarı yapılandırıldıysa sistem olayları göndermez.
`enforcement $options`	Zorlama $type reddediliyorsa	`disable_audit_deny`: Engelle gerçekleşirse ve auditDeny ayarı yapılandırıldıysa sistem bildirim göstermez veya olay göndermez.
`enforcement $options`	Zorlama $type auditAllow ise	`send_event`: Telemetri gönderir
`enforcement $options`	Zorlama $type auditDeny ise	- `send_event`: Telemetri gönderir - `show_notification`: Kullanıcıya gelen blok iletisini görüntüler
`$type`	Girdi türü. Tür, cihaz denetimi tarafından korunabilecek işlemleri belirler	`$type` Öznitelikler aşağıdaki değerlerden herhangi biri olabilir: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice`
`access`	Bu girdinin aldığı işlemlerin listesi	Sonraki "Mac'te erişimi anlama" bölümüne bakın

Erişimi anlama (Mac)

Bir giriş için iki tür erişim vardır: genel ve cihaz türüne özgü.

Genel erişim seçenekleri arasında generic_read, generic_writeve generic_executebulunur.
Cihaz türüne özgü erişim değerleri genel erişim türlerine dahil edildiğinden, cihaz türüne özgü erişim daha ayrıntılı denetim sağlar.

Aşağıdaki tabloda cihaz türüne özgü erişim ve bunların genel erişim türleriyle nasıl eşlediği açıklanmaktadır.

Cihaz Türü ($type)	Cihaz Türüne Özgü Erişim	Açıklama	Okuma	Yazma	Yürütme
`appleDevice`	`backup_device`		X
`appleDevice`	`update_device`			X
`appleDevice`	`download_photos_from_device`	fotoğrafları belirli bir iOS cihazından yerel cihaza indirme	X
`appleDevice`	`download_files_from_device`	dosyaları belirli bir iOS cihazından yerel cihaza indirme	X
`appleDevice`	`sync_content_to_device`	yerel cihazdan belirli bir iOS cihazına içerik eşitleme		X
`portableDevice`	`download_files_from_device`	X
`portableDevice`	`send_files_to_device`			X
`portableDevice`	`download_photos_from_device`		X
`portableDevice`	`debug`	ADB araç denetimi			X
`removableMedia`	`read`		X
`removableMedia`	`write`			X
`removableMedia`	`execute`				X
`bluetoothDevice`	`download_files_from_device`		X
`bluetoothDevice`	`send_files_to_device`			X

Gruplar

Gruplar nesneleri özelliklerine göre filtreleme ölçütleri tanımlayın. Özellikleri grup için tanımlanan özelliklerle eşleşiyorsa, nesne gruba atanır.

Not

Bu bölümdeki Gruplar kullanıcı gruplarınabaşvurmaz.

Örneğin:

İzin verilen USB'ler, bu üreticilerin herhangi biriyle eşleşen tüm cihazlardır
Kayıp USB'ler bu seri numaralarından herhangi biriyle eşleşen tüm cihazlardır
İzin verilen yazıcılar, bu VID/PID'lerden herhangi biriyle eşleşen tüm cihazlardır

Özellikler dört yolla eşleştirilebilir: MatchAll, MatchAny, MatchExcludeAllve MatchExcludeAny

MatchAll: Özellikler bir "Ve" ilişkisidir; örneğin, yönetici bağlı her USB için ve InstancePathIDeklerse DeviceID sistem USB'nin her iki değeri de karşılayıp karşılamadığını denetler.
MatchAny: Özellikler bir "Or" ilişkisidir; örneğin, yönetici bağlı her USB için DeviceID ve InstancePathID'yi koyarsa, USB'nin özdeş DeviceID veya InstanceID değere sahip olduğu sürece sistem zorlar.
MatchExcludeAll: Özellikler bir "Ve" ilişkisidir, UYMAYAN tüm öğeler kapsanmıştır. Örneğin, yönetici DeviceIDInstancePathID bağlı her USB için ve kullanırsa MatchExcludeAll, USB'nin hem özdeş DeviceIDInstanceID hem de değere sahip olmadığı sürece sistem zorlar.
MatchExcludeAny: Özellikler bir "Veya" ilişkisidir, uymayan tüm öğeler kapsanmıştır. Örneğin, yönetici bağlı her USB için öğesini koyar DeviceID ve kullanırsaMatchExcludeAny, USB'nin özdeş DeviceID veya InstanceID değere sahip olmadığı sürece InstancePathID sistem zorlar.

Gruplar iki şekilde kullanılır: kuralları dahil etmek/dışlamak için cihazları seçmek ve gelişmiş koşullar için erişimi filtrelemek. Bu tabloda grup türleri ve bunların nasıl kullanıldığı özetlenmiştir.

Tür	Açıklama	O/S	Kuralları Dahil Et/Dışla	Gelişmiş koşullar
Cihaz (varsayılan)	Cihazları ve yazıcıları filtreleme	Windows/Mac	X
Ağ	Ağ koşullarını filtreleme	Windows		X
VPN Bağlantısı	VPN koşullarını filtreleme	Windows		X
Dosya	Dosya özelliklerini filtreleme	Windows		X
Yazdırma İşi	Yazdırılmakta olan dosyanın özelliklerini filtreleme	Windows		X

dahil edilen grupların listesi ve dışlanan grupların listesi tarafından belirlenen ilke kapsamındaki cihazlar. Cihaz tüm dahil edilen gruplarda yer alıyorsa ve dışlanan gruplardan hiçbiri değilse bir kural geçerlidir. Gruplar, cihazların özelliklerinden oluşturulabilir. Aşağıdaki özellikler kullanılabilir:

Mülk	Açıklama	Windows cihazları	Mac cihazlar	Yazıcılar
`FriendlyNameId`	Windows Aygıt Yöneticisi'daki kolay ad	E	N	E
`PrimaryId`	Cihazın türü	E	E	E
`VID_PID`	Satıcı Kimliği, USB komitesinin satıcıya atadığını dört basamaklı satıcı kodudur. Ürün Kimliği, satıcının cihaza atadığını dört basamaklı ürün kodudur. Joker karakterler desteklenir. Mesela `0751_55E0`	E	N	E
`PrinterConnectionId`	Yazıcı bağlantısının türü: - `USB`: Bir bilgisayarın USB bağlantı noktası üzerinden bağlanan bir yazıcı. - `Network`: Ağ yazıcısı, ağ bağlantısıyla erişilebilen ve ağa bağlı diğer bilgisayarlar tarafından kullanılabilir hale gelen bir yazıcıdır. - `Corporate`: Şirket yazıcısı, şirket içi Windows Print Server aracılığıyla paylaşılan bir yazdırma kuyruğudur. - `Universal`: Evrensel Yazdırma, kuruluşların yazdırma altyapılarını Microsoft'un bulut hizmetleri aracılığıyla yönetmek için kullanabileceği modern bir yazdırma çözümüdür. Evrensel Yazdırma nedir? - Evrensel Yazdırma \| Microsoft Docs - `File`: 'Microsoft Print to PDF' ve 'Microsoft XPS Document Writer' ya da FILE: veya PORTPROMPT: bağlantı noktası kullanan diğer yazıcılar - `Custom`: Microsoft yazdırma bağlantı noktası üzerinden bağlanmayan yazıcı - `Local`: yazıcı yukarıdaki türlerden herhangi biri değil, örneğin RDP aracılığıyla yazdırın veya yazıcıları yeniden yönlendirin	N	N	E
`BusId`	Cihaz hakkında bilgi (daha fazla bilgi için bu tabloyu izleyen bölümlere bakın)	E	N	N
`DeviceId`	Cihaz hakkında bilgi (daha fazla bilgi için bu tabloyu izleyen bölümlere bakın)	E	N	N
`HardwareId`	Cihaz hakkında bilgi (daha fazla bilgi için bu tabloyu izleyen bölümlere bakın)	E	N	N
`InstancePathId`	Cihaz hakkında bilgi (daha fazla bilgi için bu tabloyu izleyen bölümlere bakın)	E	N	N
`SerialNumberId`	Cihaz hakkında bilgi (daha fazla bilgi için bu tabloyu izleyen bölümlere bakın)	E	E	N
`PID`	Ürün Kimliği, satıcının cihaza atadığını dört basamaklı ürün kodudur	E	E	N
`VID`	Satıcı Kimliği, USB komitesinin satıcıya atadığını dört basamaklı satıcı kodudur.	E	E	N
`DeviceEncryptionStateId`	(Önizleme) Bir cihazın BitLocker şifreleme durumu. Geçerli değerler şunlardır `BitlockerEncrypted` : veya `Plain`	E	N	N
`APFS Encrypted`	Cihaz APFS şifreliyse	N	E	N

Cihaz özelliklerini belirlemek için Windows Aygıt Yöneticisi kullanma

Windows cihazları için Aygıt Yöneticisi kullanarak cihazların özelliklerini anlayabilirsiniz.

Aygıt Yöneticisi açın, cihazı bulun, Özellikler'e sağ tıklayın ve ayrıntılar sekmesini seçin.
Özellik listesinde Cihaz örneği yolu'nu seçin.

Cihaz örneği yolu için gösterilen değer değeridir InstancePathId, ancak diğer özellikleri de içerir:
- USB\VID_090C&PID_1000\FBH1111183300721
- {BusId}\{DeviceId}\{SerialNumberId}
Cihaz yöneticisindeki özellikler, aşağıdaki tabloda gösterildiği gibi cihaz denetimiyle eşleniyor:

Aygıt Yöneticisi Cihaz Denetimi

Donanım Kimlikleri HardwareId

Kolay ad FriendlyNameId

Ebeveyn VID_PID

DeviceInstancePath InstancePathId

Aygıt Yöneticisi	Cihaz Denetimi
Donanım Kimlikleri	`HardwareId`
Kolay ad	`FriendlyNameId`
Ebeveyn	`VID_PID`
DeviceInstancePath	`InstancePathId`

Cihazların özelliklerini belirlemek için raporları ve gelişmiş avcılığı kullanma

Cihaz özellikleri, gelişmiş avcılıkta biraz farklı etiketlere sahiptir. Aşağıdaki tablo portaldaki etiketleri bir cihaz denetimi ilkesindeki ile propertyId eşler.

portal özelliğini Microsoft Defender	Cihaz denetimi özellik kimliği
Medya adı	`FriendlyNameId`
Satıcı Kimliği	`HardwareId`
DeviceId	`InstancePathId`
Seri Numarası	`SerialNumberId`

Not

Seçilen nesnenin ilke için doğru Media Sınıfına sahip olduğundan emin olun. Genel olarak, çıkarılabilir depolama için kullanın Class Name == USB.

Intune, Windows'da XML veya Mac'te JSON'da grupları yapılandırma

Intune'da, Windows için XML dosyası kullanarak veya Mac'te JSON dosyası kullanarak grupları yapılandırabilirsiniz. Daha fazla ayrıntı için her sekmeyi seçin.

Not

Group Id in XML ve id JSON, cihaz denetimindeki grubu tanımlamak için kullanılır. Entra Id'deki bir kullanıcı grubu gibi diğer kullanıcılara yönelik bir başvuru değildir.

Intune cihaz gruplarıyla eşle'deki yeniden kullanılabilir ayarlar. yeniden kullanılabilir ayarları Intune yapılandırabilirsiniz.

İki tür grup vardır: Yazıcı Cihazı ve Çıkarılabilir Depolama Birimi. Aşağıdaki tabloda bu grupların özellikleri listelenir.

Grup türü	Özellikler
Yazıcı cihazı	- `FriendlyNameId` - `PrimaryId` - `PrinterConnectionId` - `VID_PID`
Çıkarılabilir depolama birimi	- `BusId` - `DeviceId` - `FriendlyNameId` - `HardwareId` - `InstancePathId` - `PID` - `PrimaryId` - `SerialNumberId` - `VID` - `VID_PID`

Aşağıdaki XML kod parçacığı eşleşen grupların söz dizimini gösterir:


<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

Aşağıdaki tabloda grupların özellikleri açıklanmaktadır.

Özellik Adı	Açıklama	Seçenekler
`Group Id`	Benzersiz bir kimlik olan GUID, ilkede kullanılacak grubu ve grubu temsil eder.	Kimliği PowerShell aracılığıyla oluşturabilirsiniz.
`Type`	Grubun türü	Cihaz (Varsayılan) Diğer grup türleri (`File`, `VPNConnection`, `PrintJob`, `Network`) gelişmiş koşullar için kullanılabilir. Kurallarla `Device`kullanılan grupların türü, varsayılan olan türüdür.
`MatchType`	Kullanılan eşleşen algoritma	- `MatchAny` - `MatchAll` - `MatchExcludeAll` - `MatchExcludeAny`
`DescriptionIdList`	Gruba dahil edilmesi için değerlendirilen özelliklerin listesi	Bkz . DescriptionIdList özellikleri (bu tablodan sonraki bölüm)

DescriptionIdList özellikleri

Aşağıdaki tabloda açıklanan özellikler' e DescriptionIdListeklenebilir:

Mülk	Açıklama
`PrimaryId`	, , `CdRomDevicesWpdDevices`ve `PrinterDevices`içerir`RemovableMediaDevices`.
`InstancePathId`	Sistemdeki cihazı benzersiz olarak tanımlayan dize, örneğin. `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0` Windows'da Aygıt Yöneticisi cihaz örneği yoluna karşılık gelir. Sonundaki sayı (örneğin `&0`) kullanılabilir yuvayı temsil eder ve cihazdan cihaza değişebilir. En iyi sonuçları elde için sonunda joker karakter kullanın. Örneğin, `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*`.
`DeviceId`	Cihaz örneği yolunu Cihaz Kimliği biçimine dönüştürmek için aşağıdaki örnekte olduğu gibi Standart USB Tanımlayıcıları kullanın: `USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07`
`HardwareId`	Sistemdeki cihazı tanımlayan dize( gibi `USBSTOR\DiskGeneric_Flash_Disk___8.07`). Windows'da Aygıt Yöneticisi donanım kimliğine karşılık gelir. Benzersiz olmadığını unutmayın `HardwareId` ; farklı cihazlar aynı değeri paylaşabilir.
`FriendlyNameId`	Cihaza bağlı dize, gibi `Generic Flash Disk USB Device`. Windows'da Aygıt Yöneticisi kolay adına karşılık gelir.
`BusId`	Örneğin, `USB`, `SCSI`
`SerialNumberId`	Windows'da Aygıt Yöneticisi'daki Cihaz örneği yolundan bulabilirsiniz`SerialNumberId`. Örneğin, `03003324080520232521SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0`
`VID_PID`	- Satıcı Kimliği, USB komitesinin satıcıya atadığını dört basamaklı satıcı kodudur. - Ürün kimliği, satıcının cihaza atayarak dört basamaklı ürün kodudur. Joker karakterleri destekler. - Cihaz örneği yolunu Satıcı Kimliği ve Ürün Kimliği biçimine dönüştürmek için Standart USB Tanımlayıcıları'nı kullanın. İşte birkaç örnek: `0751_55E0`: bu tam VID/PID çifti eşleştir `_55E0`: ile herhangi bir medyayı eşleştirme `PID=55E0` `0751_`: ile herhangi bir medyayı eşleştirme `VID=0751`
`DeviceEncryptionStateId`	BitLocker şifreleme durumu - `Plain` veya `BitlockerEncrpted`

Cihaz denetim örnekleri deposundaki cihaz grubu tanımlarına bazı örnekler aşağıda verilmiştir:

Aşağıdaki JSON kod parçacığı, Mac'te grupları tanımlama söz dizimini gösterir:


    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

Aşağıdaki tabloda grupların özellikleri açıklanmaktadır:

Mülk	Açıklama	Seçenekler
`$type`	Grup türü	aygıt
`id`	Benzersiz bir kimlik olan GUID, ilkede kullanılacak grubu temsil eder.	Windows PowerShell New-Guid cmdlet'ini veya `uuidgen` macOS'ta komutunu kullanarak kimliği oluşturabilirsiniz
`name`	Grubun kolay adı.	dize
`query`	Bu grubun altındaki medya kapsamı	Ayrıntılar için aşağıdaki sorgu özellikleri tablolarına bakın.

Sorgu, tümü ve (tümüyle aynı), herhangi bir veya (herhangi bir türle aynı) türleri destekler. Bu, yan tümcelerdeki özellikleri birleştirmek için kullanılan mantıktır.

Aşağıdaki değerler yan tümce olarak desteklenir:

Cümlecik `$type`	Değer	Açıklama
`primaryId`	Bunlardan biri: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	dört basamaklı onaltılık dize	Bir cihazın satıcı kimliğiyle eşleşir
`productId`	dört basamaklı onaltılık dize	Bir cihazın ürün kimliğiyle eşleşir
`serialNumber`	dize	Bir cihazın seri numarasıyla eşleşir. Cihazın seri numarası yoksa eşleşmez.
`encryption`	apfs	Bir cihaz apfs ile şifrelenmişse eşleştirin.
`groupId`	UUID dizesi	Cihaz başka bir grubun üyesiyse eşleştirin. değeri, eşleşecek grubun UUID değerini temsil eder. Grup, yan tümceden önce ilke içinde tanımlanmalıdır.

Aşağıda örnek bir sorgu verilmişti:


"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

Örnek sorgumuz, aşağıdaki gibi "not" türü kullanılarak ExcludedMatchAll ve ExcludedMatchAny ile eşdeğer bir davranış elde etmek için düzenlenebilir:


"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

Bu sorgu, belirtilen seri numarasına sahip olmayan tüm cihazlarla eşleşir.

Gelişmiş koşullar

Girişler parametrelere göre daha da kısıtlanabilir. Parametreler, cihazın ötesine giden gelişmiş koşullar uygular. Gelişmiş koşullar, değerlendirilen Ağ, VPN Bağlantısı, Dosya veya Yazdırma İşi temelinde ayrıntılı denetime olanak tanır.

Not

Gelişmiş koşullar yalnızca XML biçiminde desteklenir.

Ağ Koşulları

Aşağıdaki tabloda ağ grubu özellikleri açıklanmaktadır:

Mülk	Açıklama
`NameId`	Ağın adı. Joker karakterler desteklenir.
`NetworkCategoryId`	Geçerli seçenekler : `Public`, `Private`veya `DomainAuthenticated`.
`NetworkDomainId`	Geçerli seçenekler : `NonDomain`, `Domain`, `DomainAuthenticated`.

Bu özellikler, Ağ türündeki bir grubun DescriptorIdList öğesine eklenir. İşte örnek bir kod parçacığı:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

Ardından aşağıdaki kod parçacığında gösterildiği gibi gruba girişte parametre olarak başvurulur:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN Bağlantı Koşulları

Aşağıdaki tabloda VPN bağlantı koşulları açıklanmaktadır:

Name	Açıklama
`NameId`	VPN Bağlantısının adı. Joker karakterler desteklenir.
`VPNConnectionStatusId`	Geçerli değerler veya `Disconnected`şeklindedir`Connected`.
`VPNServerAddressId`	dize değeri `VPNServerAddress`. Joker karakterler desteklenir.
`VPNDnsSuffixId`	dize değeri `VPNDnsSuffix`. Joker karakterler desteklenir.

Bu özellikler, aşağıdaki kod parçacığında gösterildiği gibi VPNConnection türünde bir grubun DescriptorIdList öğesine eklenir:


    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

Ardından aşağıdaki kod parçacığında gösterildiği gibi gruba bir girdide parametre olarak başvurulur:


       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

Ardından aşağıdaki kod parçacığında gösterildiği gibi gruba bir girdide parametre olarak başvurulur:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

Yazdırma İşi Koşulları

Aşağıdaki tabloda grup özellikleri açıklanmaktadır PrintJob :

Name	Açıklama
`PrintOutputFileNameId`	Dosyaya yazdırılacak çıkış hedef dosya yolu. Joker karakterler desteklenir. Mesela `C:\*\Test.pdf`
`PrintDocumentNameId`	Kaynak dosya yolu. Joker karakterler desteklenir. Bu yol mevcut olmayabilir. Örneğin, Not Defteri'nde yeni bir dosyaya metin ekleyin ve dosyayı kaydetmeden yazdırın.

Bu özellikler, aşağıdaki kod parçacığında DescriptorIdList gösterildiği gibi türündeki PrintJobbir gruba eklenir:


<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

Ardından aşağıdaki kod parçacığında gösterildiği gibi gruba bir girdide parametre olarak başvurulur:


   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

Aracılığıyla paylaş

Uç Nokta için Microsoft Defender'da cihaz denetimi ilkeleri

Varsayılan davranışı denetleme

İlkeler

Kullanıcılar

Kullanıcılar ve kullanıcı gruplarıyla cihaz denetimini kullanmak için en iyi yöntemler

Kurallar

Giriş

Giriş değerlendirmesi

Denetim girdileri

Koşul -ları

Maske erişimini anlama (Windows)

Erişimi anlama (Mac)

Gruplar

Cihaz özelliklerini belirlemek için Windows Aygıt Yöneticisi kullanma

Cihazların özelliklerini belirlemek için raporları ve gelişmiş avcılığı kullanma

Intune, Windows'da XML veya Mac'te JSON'da grupları yapılandırma

DescriptionIdList özellikleri

Gelişmiş koşullar

Ağ Koşulları

VPN Bağlantı Koşulları

Yazdırma İşi Koşulları

Sonraki adımlar

Geri Bildirim

Ek kaynaklar