Installazione dei dispositivi di Controllo dispositivo di Microsoft Defender per endpoint
Articolo
11/25/2021
7 minuti per la lettura
L
Questa pagina è stata utile? Classifica la tua esperienza Sì No Hai feedback aggiuntivo? Il feedback verrà inviato a Microsoft: se selezioni il pulsante Invia, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. Informativa sulla privacy. Invia Grazie.
In questo articolo
Si applica a
Microsoft Defender for Endpoint Device Control Removable Archiviazione Access Control consente di eseguire l'attività seguente:
Impedire agli utenti di installare dispositivi specifici.
Consenti agli utenti di installare dispositivi specifici ma impedirne altri.
Nota Per trovare la differenza tra Installazione dispositivo e Controllo di accesso all'archiviazione rimovibile, vedere Microsoft Defender for Endpoint Device Control Removable Archiviazione Protection.
Privilegio Autorizzazione Access Installazione del dispositivo Modalità azione Consenti, Impedisci Supporto CSP Sì Supporto oggetti Criteri di gruppo Sì Supporto basato sull'utente No Supporto basato su computer Sì
Preparare gli endpoint
Distribuire Installazione dispositivi in Windows 10, Windows 11 dispositivi, Windows Server 2022.
Proprietà del dispositivo
Le proprietà del dispositivo seguenti sono supportate dal supporto per l'installazione dei dispositivi:
ID dispositivo
Hardware ID
ID compatibile
Classe Device
Tipo di dispositivo "Dispositivo rimovibile": alcuni dispositivi potrebbero essere classificati come Dispositivo rimovibile. Un dispositivo viene considerato rimovibile quando il driver per il dispositivo a cui è connesso indica che il dispositivo è rimovibile. Ad esempio, un dispositivo USB viene segnalato come rimovibile dai driver per l'hub USB a cui è connesso il dispositivo. Per ulteriori informazioni, vedere Device Installation in Windows.
Criteri
Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo
Questa impostazione di criteri consente di specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi Windows possono essere installati. Questa impostazione dei criteri deve essere utilizzata solo quando è abilitata l'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Quando questa impostazione dei criteri è abilitata insieme all'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo, Windows è autorizzato a installare o aggiornare qualsiasi dispositivo il cui ID hardware Plug and Play o ID compatibile venga visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri allo stesso livello o superiore della gerarchia impedisca in modo specifico tale installazione, ad esempio le impostazioni dei criteri seguenti:
Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo.
Impedisci l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo.
Se l'impostazione dei criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo non è abilitata con questa impostazione di criteri, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.
Nota L'impostazione del criterio Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri è stata sostituita dall'impostazione dei criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo per le versioni di Windows 10 di destinazione supportate e Windows 11. Se possibile, è consigliabile usare l'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Consenti l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo
Questa impostazione di criteri consente di specificare un elenco di ID istanza del dispositivo Plug and Play per i dispositivi Windows possono essere installati. Questa impostazione dei criteri deve essere utilizzata solo quando è abilitata l'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Quando questa impostazione dei criteri è abilitata insieme all'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo, Windows può installare o aggiornare qualsiasi dispositivo il cui ID istanza del dispositivo Plug and Play sia visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri nello stesso livello o livello superiore della gerarchia impedisca in modo specifico tale installazione, ad esempio le impostazioni dei criteri seguenti:
Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID istanza del dispositivo
Se l'impostazione dei criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo non è abilitata con questa impostazione di criteri, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.
Consenti l'installazione di dispositivi con driver che corrispondono a queste classi di configurazione dei dispositivi
Questa impostazione dei criteri consente di specificare un elenco di identificatori univoci globali (GUID) della classe di installazione dei dispositivi per i pacchetti driver che Windows possono essere installati. Questa impostazione dei criteri deve essere utilizzata solo quando è abilitata l'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Quando questa impostazione dei criteri è abilitata insieme all'impostazione di criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo, Windows è autorizzato a installare o aggiornare pacchetti driver i cui GUID della classe di installazione del dispositivo vengono visualizzati nell'elenco creato, a meno che un'altra impostazione di criteri allo stesso livello o superiore nella gerarchia impedisca in modo specifico tale installazione, ad esempio le impostazioni dei criteri seguenti:
Impedisci l'installazione di dispositivi per queste classi di dispositivi
Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo
Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID istanza del dispositivo
Se l'impostazione dei criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo non è abilitata con questa impostazione di criteri, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.
Applicare l'ordine di valutazione a più livelli per i criteri Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo
Questa impostazione dei criteri modifica l'ordine di valutazione in cui vengono applicate le impostazioni dei criteri Consenti e Impedisci quando sono applicabili più di un'impostazione di criteri di installazione per un determinato dispositivo. Abilita questa impostazione dei criteri per garantire che i criteri di corrispondenza dei dispositivi sovrapposti siano applicati in base a una gerarchia stabilita in cui criteri di corrispondenza più specifici sovrinsciede criteri di corrispondenza meno specifici. L'ordine gerarchico di valutazione per le impostazioni dei criteri che specificano i criteri di corrispondenza del dispositivo è il seguente:
ID istanza dispositivo > ID dispositivo > classe di installazione dispositivo > dispositivi rimovibili
ID istanza dispositivo
Impedisci l'installazione di dispositivi che usano driver che corrispondono a questi ID istanza del dispositivo. Consenti l'installazione di dispositivi che usano driver che corrispondono a questi ID istanza del dispositivo.
ID dispositivo
Impedisci l'installazione di dispositivi che usano driver che corrispondono a questi ID dispositivo. Consenti l'installazione di dispositivi che usano driver che corrispondono a questi ID dispositivo.
Classe di configurazione del dispositivo
Impedisci l'installazione di dispositivi che usano driver che corrispondono a queste classi di installazione dei dispositivi. Consenti l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione dei dispositivi.
Dispositivi rimovibili
Impedire l'installazione di dispositivi rimovibili
Nota Questa impostazione dei criteri offre un controllo più granulare rispetto all'impostazione di criterio Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri. Se queste impostazioni dei criteri in conflitto vengono abilitate contemporaneamente, verrà abilitata l'impostazione dei criteri Applica ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo e l'altra impostazione verrà ignorata.
Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo
Questa impostazione dei criteri consente di specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi che Windows non possono essere installati. Per impostazione predefinita, questa impostazione dei criteri ha la precedenza su qualsiasi altra impostazione di criteri che Windows installare un dispositivo.
Nota Per abilitare l'impostazione del criterio Consenti l'installazione di dispositivi che corrispondono a uno di questi ID istanza dispositivo per sostituisce questa impostazione di criteri per i dispositivi applicabili, abilita l'impostazione di criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Se abiliti questa impostazione di criteri, Windows non sarà possibile installare un dispositivo il cui ID hardware o ID compatibile viene visualizzato nell'elenco creato. Se si abilita questa impostazione dei criteri in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
Se disabiliti o non configure questa impostazione di criteri, i dispositivi possono essere installati e aggiornati come consentito o impedito da altre impostazioni dei criteri.
Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID istanza del dispositivo
Questa impostazione di criteri consente di specificare un elenco di ID istanza dispositivo Plug and Play per i dispositivi a cui Windows non è consentita l'installazione. Questa impostazione dei criteri ha la precedenza su qualsiasi altra impostazione di criteri che Windows installare un dispositivo.
Se abiliti questa impostazione di criteri, Windows non sarà possibile installare un dispositivo il cui ID istanza del dispositivo viene visualizzato nell'elenco creato. Se si abilita questa impostazione dei criteri in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
Se disabiliti o non configure questa impostazione di criteri, i dispositivi possono essere installati e aggiornati come consentito o impedito da altre impostazioni dei criteri.
Impedisci l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione dei dispositivi
Questa impostazione dei criteri consente di specificare un elenco di identificatori univoci globali (GUID) della classe di installazione dei dispositivi per i pacchetti driver che Windows non possono essere installati. Per impostazione predefinita, questa impostazione dei criteri ha la precedenza su qualsiasi altra impostazione di criteri che Windows installare un dispositivo.
Nota Per abilitare le impostazioni dei criteri Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo e Consenti l'installazione di dispositivi che corrispondono a una qualsiasi di queste impostazioni dei criteri per gli ID istanza del dispositivo per sostituisce questa impostazione di criteri per i dispositivi applicabili, abilitare l'impostazione di criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Se abiliti questa impostazione di criteri, Windows non sarà possibile installare o aggiornare pacchetti driver i cui GUID della classe di installazione del dispositivo vengono visualizzati nell'elenco creato. Se si abilita questa impostazione dei criteri in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
Se disabiliti o non configure questa impostazione di criteri, Windows installare e aggiornare i dispositivi come consentito o impedito da altre impostazioni dei criteri.
Impedire l'installazione di dispositivi rimovibili
Questa impostazione dei criteri consente di impedire Windows l'installazione di dispositivi rimovibili. Un dispositivo viene considerato rimovibile quando il driver per il dispositivo a cui è connesso indica che il dispositivo è rimovibile. Ad esempio, un dispositivo USB (Universal Serial Bus) viene segnalato come rimovibile dai driver per l'hub USB a cui è connesso il dispositivo. Per impostazione predefinita, questa impostazione dei criteri ha la precedenza su qualsiasi altra impostazione di criteri che Windows installare un dispositivo.
Nota Per abilitare l'opzione Consenti l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione dei dispositivi, Consenti l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID dispositivo e Consenti l'installazione di dispositivi che corrispondono a una qualsiasi di queste impostazioni dei criteri per l'impostazione dei criteri di corrispondenza dispositivo per i dispositivi applicabili, abilita l'impostazione di criteri Applica ordine di valutazione su più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza dispositivo.
Se abiliti questa impostazione di criteri, Windows non sarà possibile installare dispositivi rimovibili e i dispositivi rimovibili esistenti non possono aggiornare i relativi driver. Se si abilita questa impostazione dei criteri in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi rimovibili da un client desktop remoto al server desktop remoto.
Se si disabilita o non si configura questa impostazione dei criteri, Windows installare e aggiornare i pacchetti driver per i dispositivi rimovibili come consentito o impedito da altre impostazioni dei criteri.
Scenari comuni di controllo dell'Archiviazione rimovibili
Per acquisire familiarità con Microsoft Defender for Endpoint Removable Archiviazione Access Control, abbiamo creato alcuni scenari comuni da seguire.
Scenario 1: impedire l'installazione di tutti i dispositivi USB consentendo l'installazione solo di un'unità usb autorizzata
Per questo scenario verranno utilizzati i criteri seguenti:
Impedisci l'installazione di dispositivi che usano driver che corrispondono a queste classi di installazione dei dispositivi.
Applica l'ordine di valutazione a più livelli per Consenti e Impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza del dispositivo.
Consenti l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo o Consenti l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID dispositivo.
Distribuzione e gestione dei criteri tramite Intune
La funzionalità di installazione dei dispositivi consente di applicare i criteri tramite Intune al dispositivo.
Licenze
Prima di iniziare con l'installazione del dispositivo, è consigliabile confermareâ¯l'Microsoft 365 abbonamento. Per accedere e usare Installazione dispositivo, è necessario disporre di Microsoft 365 E3.
Autorizzazione
Per la distribuzione dei criteri in Intune, l'account deve disporre delle autorizzazioni per creare, modificare, aggiornare o eliminare i profili di configurazione dei dispositivi. Ã possibile creare ruoli personalizzati o utilizzare uno qualsiasi dei ruoli incorporati con queste autorizzazioni:
Ruolo Gestione criteri e profili
Oppure un ruolo personalizzato con le autorizzazioni Crea/Modifica/Aggiornamento/Lettura/Eliminazione/Visualizzazione report attivate per i profili di configurazione dei dispositivi
O Amministratore globale
Distribuzione dei criteri
In Microsoft Endpoint Manager
Configura Impedisci l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione dei dispositivi. Apri Sicurezza endpoint > riduzione della superficie di attacco > Crea criteri > Piattaforma: Windows 10 (e versioni successive) & profilo: controllo dispositivo. Collega un dispositivo USB e verrà visualizzato il seguente messaggio di errore: Abilita Applica ordine di valutazione su più livelli per Consenti e impedisci l'installazione dei dispositivi in tutti i criteri di corrispondenza del dispositivo. supporta solo URI OMA per il momento : Profili di configurazione di > dispositivi > Crea piattaforma > profili: Windows 10 (e versioni successive) & profilo: personalizzato Abilitare e aggiungere l'ID istanza USB consentito: consente l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo. Aggiornare il passaggio 1 Profilo di controllo del dispositivo Aggiunta di PCICC_0C03; PCICC_0C0330; PCIVEN_8086; PNP0CA1; PNP0CA1 &HOST; USBROOT_HUB30; USBROOT_HUB20; USBUSB20_HUB'acquisizione dello schermo sopra è perché non è sufficiente abilitare un solo ID hardware per abilitare una singola unità usb. Devi assicurarti che anche tutti i dispositivi USB che precedono quello di destinazione non siano bloccati (consentiti). Puoi aprire Gestione dispositivi e modificare la visualizzazione in "Dispositivi tramite connessioni" per vedere come vengono installati i dispositivi nell'albero PnP. Nel nostro caso, i seguenti dispositivi devono essere consentiti in modo che sia consentita anche la chiavetta USB di destinazione: "Controller host intel(R) USB 3.0 eXtensible â 1.0 (Microsoft)" -> PCICC_0C03
"Hub radice USB (USB 3.0)" -> USBROOT_HUB30
"Hub USB generico" -> USBUSB20_HUB Nota Alcuni dispositivi nel sistema hanno diversi livelli di connettività per definire la loro installazione nel sistema. Le unità usb usb sono dispositivi di questo tipo. Pertanto, quando si desidera bloccarli o consentirli in un sistema, è importante comprendere il percorso di connettività per ogni dispositivo. Esistono diversi ID di dispositivo generici comunemente usati nei sistemi e potrebbero fornire un buon inizio per creare un "elenco Consenti" in questi casi. Di seguito è riportato un esempio (non è sempre lo stesso per tutte le usb; è necessario comprendere l'albero PnP del dispositivo che si desidera gestire tramite Gestione dispositivi): PCICC_0C03; PCICC_0C0330; PCIVEN_8086; PNP0CA1; PNP0CA1&HOST (per controller host)/ USBROOT_HUB30; USBROOT_HUB20 (per hub radice USB)/ USBUSB20_HUB (per hub USB generici)/ In particolare per i computer desktop, è importante elencare tutti i dispositivi USB attraverso i cui tastiere e mouse sono connessi nell'elenco precedente. In caso negativo, un utente potrebbe impedire a un utente di accedere al proprio computer tramite dispositivi HID. I diversi produttori di PC a volte hanno modi diversi per annidare i dispositivi USB nell'albero PnP, ma in generale è così che viene fatto. Collegare di nuovo l'USB consentito. Vedrai che è ora consentito e disponibile.
Distribuzione e gestione dei criteri tramite Criteri di gruppo
La funzionalità di installazione dei dispositivi consente di applicare i criteri tramite Criteri di gruppo.
Licenze
Per accedere e usare Installazione dispositivo, è necessario disporre Windows E3.
Distribuzione dei criteri
Puoi trovare i dettagli della distribuzione qui: Manage Device Installation with Group Policy (Windows 10) - Windows Client.
Visualizzare i dati di Controllo Archiviazione di accesso rimovibile in Microsoft Defender per Endpoint
Il Microsoft 365 di sicurezza mostra l'archiviazione rimovibile bloccata dall'installazione del dispositivo di controllo dei dispositivi. Per accedere alla Microsoft 365 sicurezza, è necessario disporre dell'abbonamento seguente:
Microsoft 365 per i report E5
//events triggered by Device Installation policies DeviceEvents | where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed" | extend parsed=parse_json(AdditionalFields) | extend MediaClassGuid = tostring(parsed.ClassGuid) | extend MediaInstanceId = tostring(parsed.DeviceInstanceId) | extend MediaDeviceId = tostring(parsed.MatchingDeviceId) | project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields | order by Timestamp desc
Domande frequenti
Come è possibile sapere se il computer di destinazione riceve i criteri distribuiti?
à possibile utilizzare la query seguente per ottenere la versione del client antimalware nel portale Microsoft 365 sicurezza:
//check whether the Device installation policy has been deployed to the target machine, event only when modification happens DeviceRegistryEvents | where RegistryKey contains "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\" | order by Timestamp desc
Perché il criterio Consenti non funziona?
Non è sufficiente abilitare un solo ID hardware per abilitare una singola unità usb. Assicurati che anche tutti i dispositivi USB che precedono quello di destinazione non siano bloccati (consentiti).