Verwaltung externer Geräte (Peripheriegeräte) mit Intune

Die Verwaltung externer Geräte mit Intune ist eine der wirkungsvollsten Möglichkeiten, um das Sicherheitsrisiko der Endgeräte zu reduzieren und sie vor Datenverlust oder schädlichen Geräten zu schützen. Indem du Peripheriegeräte wie USB-Sticks, Bluetooth-Zubehör und Wechseldatenträger gezielt kontrollierst, schließt du einen häufig genutzten Angriffsvektor. Intune Device Control, ein Teil der Attack-Surface-Reduction-Richtlinien, bietet genau hierfür eine Antwort. In diesem Blogbeitrag sehen wir uns Schritt für Schritt an, wie du externe Geräte mit Intune absicherst.

Inhalt

1. Inhalt
2. Eine Device-Control-Richtlinie erstellen
3. Verwaltung von Wechseldatenträgern
   1. Wechseldatenträger blockieren
   2. Nur bestimmte Geräte zulassen
4. Verwaltung von Bluetooth
5. Bestimmte Geräteklassen blockieren

Eine Device-Control-Richtlinie erstellen

• Öffne das Intune Portal
• Navigiere zu Endpoint security -> Attack surface reduction
• Klicke auf + Create Policy

• Wähle Windows 10 and later als Plattform und Device Control als Profil

• Gib einen Namen ein und klicke auf Next

• Ab hier stehen uns viele verschiedene interessante Einstellungen zur Verfügung. Sehen wir uns die interessantesten an. Eine detaillierte Beschreibung der verschiedenen Konfigurationen findest du in den Abschnitten weiter unten. (Eine Liste aller Einstellungen findest du auch in der Microsoft-Dokumentation.)
• Sobald die Konfigurationen erstellt sind, klicke auf Next -> Next
• Erstelle eine Zuweisung

Bevor du eine breitere Zuweisung erstellst, teste das Profil sorgfältig.

• Klicke auf Next und Create, um das Profil zu erstellen

Verwaltung von Wechseldatenträgern

Wechseldatenträger blockieren

Ein zentraler Bestandteil der Verwaltung externer Geräte mit Intune ist die Kontrolle von Wechseldatenträgern. Wenn du Wechseldatenträger vollständig blockieren möchtest, kannst du Removable Disk Deny Write Access auf Disable setzen. Mehr Details zu dieser Einstellung findest du in der offiziellen Microsoft-Learn-Dokumentation.

Diese Einstellung blockiert nicht das Laden über USB

Nur bestimmte Geräte zulassen

Bei der Verwaltung externer Geräte mit Intune möchtest du selten wirklich alles blockieren. Stattdessen kannst du über wiederverwendbare Einstellungen genau festlegen, welche USB-Sticks zugelassen sind. Das ist besonders praktisch, wenn nur freigegebene Firmen-Sticks erlaubt sein sollen, während alle anderen Geräte abgewiesen werden. Gehe dazu wie folgt vor:

• Erstelle eine wiederverwendbare Einstellung, indem du zurück in den Abschnitt Attack surface reduction gehst und Reusable settings auswählst
• Klicke auf +Add

• Gib einen Namen ein und klicke auf Next
• Klicke auf +Add und +Edit instance
• Gib einen Namen und einen Identifier des Geräts ein. Am besten verwendest du die DeviceId.
  • Die DeviceId kannst du auf diese zwei Arten ermitteln:
    • Öffne den Geräte-Manager, wähle ein Gerät aus und wechsle in den Detailbereich.
    • Führe den folgenden Befehl aus: Get-PnpDevice | Select-Object FriendlyName, DeviceID

• Klicke auf Next und Add
• Gehe zurück zur Attack-Surface-Reduction-Richtlinie im Abschnitt Device Control
• Klicke auf +Set reusable settings und wähle die zuvor erstellte Einstellung aus

• Klicke auf +Edit Entity
• Erstelle eine Allow-Liste und lege die Access mask fest.

Verwaltung von Bluetooth

• Bluetooth-Peripheriegeräte sind ein weiterer wichtiger Teil der Verwaltung externer Geräte mit Intune. Um Bluetooth zu blockieren, kannst du die folgende Einstellung setzen:

Bestimmte Geräteklassen blockieren

Ein weiteres Szenario bei der Verwaltung externer Geräte mit Intune ist das Blockieren ganzer Gerätekategorien. Um bestimmte Geräteklassen wie FloppyDisk oder SmartCardReader zu blockieren, kannst du die folgende Einstellung setzen:

• Aktiviere die Option Prevent installation of devices using drivers that match these device setup classes
• Setze außerdem die Option Also apply to matching devices that are already installed auf True

• Öffne die folgende Dokumentation, um eine Liste der GUIDs zu finden, oder führe den folgenden Befehl aus Get-PnpDevice | Select-Object FriendlyName, Class, ClassGUID
• Füge die GUIDs in das Textfeld ein.

Fazit: Externe Geräte mit Intune verwalten

Die Verwaltung externer Geräte mit Intune gibt dir aus einer einzigen Device-Control-Richtlinie heraus granulare Kontrolle über Wechseldatenträger, Bluetooth und ganze Geräteklassen. Fange klein an, teste deine Zuweisungen sorgfältig und rolle die Richtlinie erst breit aus, wenn du dir sicher bist. Behalte die Microsoft-Learn-Übersicht zu Device Control als Nachschlagewerk griffbereit. Mit diesen Einstellungen hast du eine solide Grundlage, um externe Geräte mit Intune in deiner gesamten Umgebung zu verwalten.