访问设置

在访问设置页上，可以允许或拒绝访问特定类型的设备，以及启用或禁用 OS 通知和设备控制警报。

访问设置允许您限制用户访问以下设备类型和端口：

• 可移动（按设备类型的访问控制）- 具有连接到计算机的任意接口的设备（USB、FireWire、PCMCIA、IDE、SATA、SCSI 等），操作系统将其识别为可移动存储设备（例如，记忆棒、卡读取器、磁光光驱等）。设备控制将所有通过 USB、FireWire 和 PCMCIA 连接的硬盘分类为可移动设备。如果某些硬盘（通常具有 SATA 和 SCSI）支持热插拔功能并且没有安装正在运行的操作系统，也会将这些硬盘分类为可移动设备。

  可以对可移动设备允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何可移动设备之间进行的数据复制操作。访问权限不会影响使用 BitLocker 或 FileVault（仅限于 HFS+ 文件系统）加密的设备。

  此设备类型在 Windows 和 macOS 上受支持。

• 加密的可移动设备（按设备类型的访问控制）- 使用 BitLocker（在 Windows 上）或 FileVault（在 macOS 上）驱动器加密进行加密的可移动设备。

  在 macOS 上，仅支持使用 HFS+（也称为 HFS Plus 或 Mac OS Extended，或 HFS Extended）文件系统的加密可移动驱动器。使用 APFS 文件系统的加密可移动驱动器被当作可移动驱动器。

  可以对加密的可移动设备允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何加密的可移动设备之间进行的数据复制操作。访问权限仅影响使用 BitLocker 或 FileVault（仅限于 HFS+ 文件系统）加密的设备。

  此设备类型在 Windows 和 macOS 上受支持。
  

• 打印机（按设备类型的访问控制）- 具有连接到打印机的任何接口（USB、LPT、蓝牙等）的物理打印机，以及从网络上的计算机访问的打印机。

  可以允许或拒绝访问打印机，以控制在受保护计算机中的任何打印机上打印文档。

  当将打印机的访问设置更改为拒绝时，必须重新启动访问打印机的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。

  此设备类型仅在 Windows 上受支持。

• 剪贴板（按设备类型的访问控制）- Windows 剪贴板。

  可以允许或拒绝访问剪贴板，以控制通过受保护计算机上的 Windows 剪贴板进行的复制和粘贴操作。

  当将剪贴板的访问设置更改为拒绝时，必须重新启动访问剪贴板的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。

  此设备类型仅在 Windows 上受支持。

• 屏幕截图捕获（按设备类型的访问控制）- 支持捕获整个屏幕、活动窗口或屏幕选定部分的屏幕截图。

  可以允许或拒绝访问屏幕截图捕获，以控制在受保护计算机上进行的屏幕截图捕获。

  当将屏幕截图捕获的访问设置更改为拒绝时，必须重新启动访问屏幕截图捕获的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。

  此设备类型仅在 Windows 上受支持。

• 移动设备（按设备类型的访问控制）- 通过媒体传输协议 (MTP) 与计算机通信的设备（例如基于 Android 的智能手机等），具有用于连接计算机的任何接口（USB、IP、Bluetooth）。

  可以对移动设备允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何基于 MTP 的移动设备之间进行的数据复制操作。

  当将移动设备的访问设置更改为只读或拒绝时，必须重新启动访问移动设备的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。

  此设备类型仅在 Windows 上受支持。

• 蓝牙（按设备类型的访问控制）- 具有连接到计算机的任何接口（USB、PCMCIA 等）的外部和内部蓝牙设备。此设置控制使用此类型的设备而不是使用此类设备的数据交换。

  可以允许或拒绝访问蓝牙，以对在受保护计算机上使用任何蓝牙设备进行控制。

  在 macOS 上，蓝牙的访问权限不影响蓝牙 HID 设备。始终允许对这些设备的访问权限，以防止无线 HID 设备（鼠标和键盘）在 iMac 和 Mac Pro 硬件上被禁用。

  此设备类型在 Windows 和 macOS 上受支持。

• 光驱（按设备类型的访问控制）- 具有连接到计算机的任何接口（IDE、SATA、USB、FireWire、PCMCIA 等）的外部和内部 CD/DVD/BD 驱动器（包括写入器）。

  可以对光盘驱动器允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何光盘驱动器之间进行的数据复制操作。

  此设备类型在 Windows 和 macOS 上受支持。

• 软驱（按设备类型的访问控制）- 具有连接到计算机的任何接口（IDE、USB、PCMCIA 等）的外部和内部软驱。有一些操作系统识别为可移动驱动器的软驱型号，在此情况下，设备控制也会将这些驱动器标识为可移动设备。

  可以对软盘驱动器允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何软盘驱动器之间进行的数据复制操作。

  此设备类型仅在 Windows 上受支持。

• USB（按设备接口的访问控制）- 连接到 USB 端口的任何设备，除了集线器。

  可以对 USB 端口允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何 USB 端口连接的设备之间进行的数据复制操作。

  此设备类型在 Windows 和 macOS 上受支持。

• FireWire（按设备接口的访问控制）- 连接到 FireWire (IEEE 1394) 端口的任何设备，除了集线器。

  可以对 FireWire 端口允许完全访问、允许只读访问或拒绝访问，以控制与受保护计算机上任何 FireWire 端口连接的设备之间进行的数据复制操作。

  此设备类型在 Windows 和 macOS 上受支持。

• 重定向的设备（按设备接口的访问控制）- 映射的驱动器（硬盘、可移动驱动器和光驱）、USB 设备以及重定向到虚拟应用程序/桌面会话的剪贴板。

  设备控制识别通过 Microsoft RDP、Citrix ICA、VMware PCoIP 和 HTML5/WebSockets 远程协议重定向的设备，这些协议位于受保护 Windows 计算机上托管的 Microsoft RDS、Citrix XenDesktop、Citrix XenApp、Citrix XenServer 和 VMware Horizon 虚拟环境中。它还控制以下两个剪贴板之间的数据复制操作：运行在 VMware Workstation、VMware Player、Oracle VM VirtualBox 或 Windows Virtual PC 上的来宾操作系统的 Windows 剪贴板，以及运行在受保护 Windows 计算机上的主机操作系统的剪贴板。

  此设备类型仅在 Windows 上受支持。

  可以按以下步骤配置对重定向设备的访问：

  • 映射的驱动器 - 允许完全访问、允许只读访问或拒绝访问，以控制与重定向到受保护计算机上托管的会话的任何硬盘驱动器、可移动驱动器或光盘驱动器之间进行的复制数据操作。
  • 剪贴板传入 - 允许或拒绝访问，以控制通过剪贴板到受保护计算机上托管的会话进行的数据复制操作。
    当将剪贴板传入的访问设置更改为拒绝时，必须重新启动访问剪贴板的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。
  • 剪贴板传出 - 允许或拒绝访问，以控制通过剪贴板从受保护计算机上托管的会话进行的数据复制操作。
    当将剪贴板传出的访问设置更改为拒绝时，必须重新启动访问剪贴板的应用程序和进程，才能强制执行新配置的访问设置。为了确保已正确强制执行访问设置，请重新启动受保护的工作负载。
  • USB 端口 - 允许或拒绝访问，以控制与连接到任何 USB 端口（重定向到受保护计算机上托管的会话）的设备之间进行的复制数据操作。

设备控制设置平等地影响所有用户。例如，如果拒绝访问可移动设备，就会阻止任何用户与受保护计算机上的此类设备之间复制数据。通过将单个 USB 设备从访问控制中排除，可以有选择地允许访问（请参阅设备类型允许列表和 USB 设备允许列表）。

当对设备的访问由其类型及其接口进行控制时，在接口级别上拒绝访问将优先。例如，如果拒绝了对 USB 端口的访问（设备接口），那么将拒绝对连接到 USB 端口的移动设备的访问，而不管是允许还是拒绝访问移动设备（设备类型）。要允许访问此类设备，必须允许其接口和类型。