ビュー:
デバイスコントロールモジュールを設定して、ポリシーに対する動作を定義します。
モジュールの動作を設計し、APIを使用して実装する場合は、で提供されている背景情報とガイダンスを使用してください。デバイスコントロールについて
ポリシーオブジェクトには、デバイスコントロールモジュールの設定に使用する2つのオブジェクトが含まれています。
  • DeviceControlPolicyExtension : モジュールの状態 (オンまたはオフ) を制御し、適用されるデバイス制御ルールを識別し、モジュールで使用するステートフル設定を識別します。
  • PolicySettings: ポリシー設定には、モジュールの実行時の動作を制御するデバイスコントロール関連の設定が含まれます。
    • の処理USB Mass StorageそしてMobile (MTP/PTP)
    • の許可USB AutoRun Function
ポリシーと初期設定のポリシーを設定するの説明に従って、デバイス制御関連のポリシーを設定します。。
次のJSONは、DeviceControlPolicyExtensionオブジェクト:
{ "state": "off", "moduleStatus": {...} }
moduleStatusプロパティは読み取り専用です。デバイスコントロールモジュールのランタイムステータスを提供します。 (「コンピュータのステータスに関するレポート)。

一般な手順 親トピック

デバイスコントロールを設定するには、次の一般的な手順を実行します。

手順

  1. 作成するDeviceControlPolicyExtensionオブジェクトを作成し、プロパティを設定します。
  2. 作成するPolicySettingsオブジェクトを使用して、モジュールの実行時設定を行います。
  3. 作成するPolicyオブジェクトを追加し、DeviceControlPolicyExtensionそしてPolicySettingsオブジェクト。
  4. 使用するPoliciesApiServer & Workload Protectionのポリシーを追加または更新するオブジェクト。
    ヒント
    ヒント
    デバイスコントロール関連のポリシー設定を1つだけ設定する必要がある場合は、を参照してください。単一のポリシーまたは初期設定のポリシー設定を構成する

次に進む前に

作成するDeviceControlPolicyExtensionオブジェクトを作成し、状態IDとルールIDを設定します。
device_control_policy_extension = api.DeviceControlPolicyExtension() device_control_policy_extension.state = "on"
次に、PolicySettingsオブジェクトを使用して、デバイス制御関連の設定を行います。 (ポリシー設定の詳細については、ポリシーと初期設定のポリシーを設定するたとえば、USBマスストレージへのアクセスをブロックできます。
policy_settings = api.PolicySettings() setting_value = api.SettingValue() setting_value.value = "Block" policy_settings.device_control_setting_device_control_usb_storage_device_action = setting_value
この時点で、デバイスコントロールポリシー拡張とポリシー設定が完了しました。次に、それらをPolicyオブジェクト、およびPoliciesApi Server & Workload Protectionのポリシーを変更するオブジェクト。
policy = api.Policy() policy.device_control = device_control_policy_extension policy.policy_settings = policy_settings policies_api = api.PoliciesApi(api.ApiClient(configuration)) returned_policy = policies_api.modify_policy(policy_id, policy, api_version)
policy_id (またはpolicyID ) のパラメータmodifyPolicy変更する Server & Workload Protection 内の実際のポリシーを識別します。このポリシーは、policyパラメータ。のプロパティpolicy設定されていないパラメータは、実際のポリシーでは変更されません。

親トピック

次の例では、Policyオブジェクト、変更DeviceControlPolicyExtensionをクリックし、ポリシー設定を行います。次に、ポリシーが Server & Workload Protectionで更新されます。
policies_api = api.PoliciesApi(api.ApiClient(configuration)) policy = api.Policy() device_control_policy_extension = api.DeviceControlPolicyExtension() # Turn on Device Control device_control_policy_extension.state = "on" # Add the Device Control state to the policy policy.device_control = device_control_policy_extension # Create a policy_settings policy_settings = api.PolicySettings() # Block USB mass storage access usb_mass_storage_setting_value = api.SettingValue() usb_mass_storage_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block policy_settings.device_control_setting_device_control_usb_storage_device_action = usb_mass_storage_setting_value # Block USB autorun usb_autorun_setting_value = api.SettingValue() usb_autorun_setting_value.value = "Block" # Allow values: Allow, Block policy_settings.device_control_setting_device_control_auto_run_usb_action = usb_autorun_setting_value # Block "Mobile (MTP/PTP)" access mobile_setting_value = api.SettingValue() mobile_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block policy_settings.device_control_setting_device_control_mobile_device_action = mobile_setting_value # Add USB mass storage access to the policy policy.policy_settings = policy_settings # Modify the policy on Server & Workload Protection policies_api.modify_policy(policy_id, policy, api_version)Server & Workload Protection
policies_api.modify_policy(policy_id, policy, api_version)
ヒント
ヒント
また、ポリシーの変更操作については、 APIレファレンス/参照情報を参照してください。
API呼び出しの認証の詳細については、を参照してください。 Server & Workload Protectionによる認証

USBデバイスの除外を作成する 親トピック

通常、デバイスコントロールの除外ルールを作成するには、次の手順を実行します。

手順

  1. 作成するUSBDeviceオブジェクト。
  2. USBデバイスを Server & Workload Protection に追加するUSBStorageDevicesApi
  3. でUSBデバイスを「フルアクセス」に設定します。PolicyDeviceControlExceptionRulesApiをクリックします。

次に進む前に

# Create a new USB device device = api.USBDevice() device.name = 'device name' device.vendor = 'device vendor' device.model = 'device model' device.serial_number = 'device serial number' usb_storage_device_api = api.USBStorageDevicesApi(api.ApiClient(configuration)) created_device = usb_storage_device_api.create_usb_device(device, api_version) # Configure exception list exception_rules = api.ExceptionRules([]) exception_rule1 = api.ExceptionRule() exception_rule1.device_id = created_device.id exception_rule1.action = "full-access" exception_rules.exception_rules.append(exception_rule1) # Set the exception list to policy policy_id = 1 policy_exception_rule_api = api.PolicyDeviceControlExceptionRulesApi(api.ApiClient(configuration)) policy_exception_rule_api.set_exception_rules_on_policy(policy_id, exception_rules, api_version)
ヒント
ヒント
こちらもご覧くださいベンダー、モデル、およびserial_numberを取得する方法
ヒント
ヒント
既存のUSBデバイスのみをポリシーに割り当てる必要がある場合は、USBStorageDevicesApi.list_usb_devicesを取得するにはdevice_idそしてset_exception_rules_on_policy直接。