使用 Intune 轻松阻止可移动存储

本文介绍使用 Intune 阻止可移动存储的步骤。您可以使用 Intune (Endpoint Manager) 中的设备控制配置文件限制或阻止对 USB 驱动器的访问。

通过在 Intune 中创建端点安全设备控制配置文件，您可以定义阻止 USB 设备访问的设置。

由于 USB 设备是便携式的并且可以轻松连接到计算机，因此这些设备构成了非常现实的安全威胁。

Microsoft 提供了一种通过使用 Intune 中的管理模板来限制对 USB 设备的访问的替代方法。但是，使用 Intune 设备控制配置文件，阻止可移动存储要容易得多。

如果您不使用 Intune 或任何 MDM 解决方案，您可以使用组策略禁用 USB 设备。

为什么在 Intune 中阻止 USB 驱动器？

对于任何组织来说，安全都是第一位的。 USB 驱动器是恶意软件可以轻松进入计算机的途径之一。

第一次连接插入 USB 端口的设备时，Windows 会自动识别该设备并安装该设备的驱动程序。

为了防止组织中的恶意软件感染或数据丢失，您可能需要使用 Intune 阻止某些类型的 USB 设备。

您应该阻止的一些常见可移动存储示例包括 USB 闪存驱动器、相机等。

另一方面，您希望允许访问其他类型的 USB 设备，例如键盘或鼠标。因此，您必须决定是要阻止所有用户还是部分用户访问 USB 设备。

使用 Intune 阻止可移动存储的步骤

让我们创建一个端点安全设备控制配置文件来使用 Intune 阻止可移动存储。登录 Microsoft Endpoint Manager 管理中心。选择端点安全 > 减少攻击面 > 创建策略。

在“创建配置文件”窗口中，将平台选择为Windows 10 及更高版本，将配置文件选择为设备控制。单击创建。

注意 - Microsoft 建议采用分层方法来保护可移动媒体。 Microsoft Defender for Endpoint 提供多种监视和控制功能，有助于防止未经授权的外围设备中的威胁损害您的设备。

在基本选项卡上，将配置文件的名称指定为块可移动存储。您还可以添加说明，以帮助其他管理员了解此配置文件的含义。单击下一步。

配置设置选项卡是一个重要部分，我们在其中定义阻止通过 Intune 访问可移动存储或 USB 设备的设置。

向下滚动并查找设置名称“阻止可移动存储”。将阻止可移动存储设置为是，该策略现在将阻止在设备上使用可移动存储。

单击下一步。

您可以在范围标签部分选择范围标签。如果没有，请单击下一步。

在分配选项卡上，单击添加组并选择要部署策略的组。属于该组的设备将阻止可移动存储。单击下一步。

最后，在查看+创建选项卡上，查看设置并单击创建。

应出现一条通知，确认配置文件已成功创建。这就完成了使用 Intune 阻止可移动存储或阻止 USB 驱动器访问的步骤。

在设备上成功应用策略后，当用户将可移动存储设备连接到计算机时，用户将看到以下内容。 位置不可用。无法访问驱动器号。访问被拒绝。