存取設定
在 [存取設定] 頁面上,您可以允許或拒絕存取特定類型的裝置,以及啟用或停用作業系統通知和裝置控制警示。
存取設定可讓您限制使用者對下列裝置類型和連接埠的存取:
-
卸除式 (依裝置類型的存取控制) - 具有任何介面的裝置,這些介面可連接至作業系統視為卸除式儲存裝置 (例如,USB 隨身碟、讀卡機、電磁光碟機等) 的電腦 (USB、FireWire、PCMCIA、IDE、SATA、SCSI 等)。裝置控制可將透過 USB、FireWire 和 PCMCIA 連接的所有硬碟機分類為卸除式裝置。如果某些硬碟機 (通常具有 SATA 和 SCSI) 支援熱插拔功能,而且其上未安裝執行中的作業系統,則裝置控制也會將這些硬碟機分類為卸除式裝置。
您可以對卸除式裝置允許完整存取、唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上的任何卸除式裝置,或從受保護電腦上的任何卸除式裝置複製資料的作業。存取權限不會影響使用 BitLocker 或 FileVault 加密的裝置 (僅限 HFS+ 檔案系統)。
Windows 和 macOS 都支援此裝置類型。
-
加密的卸除式裝置 (依裝置類型的存取控制) - 使用 BitLocker (在 Windows 上) 或 FileVault (在 macOS 上) 磁碟機加密來加密的卸除式裝置。
在 macOS 上,僅支援使用 HFS+ (亦稱為 HFS Plus 或 Mac OS Extended,或 HFS Extended) 檔案系統的已加密卸除式磁碟機。使用 APFS 檔案系統的已加密卸除式裝置會被視為卸除式磁碟機。
您可以對加密的卸除式裝置允許完整存取、唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上的任何加密的卸除式裝置,或從受保護電腦上的任何加密的卸除式裝置複製資料的作業。存取權限僅會影響使用 BitLocker 或 FileVault 加密的裝置 (僅限 HFS+ 檔案系統)。
Windows 和 macOS 都支援此裝置類型。
-
印表機 (依裝置類型的存取控制) - 具有可連接至電腦 (USB、LPT、藍牙等) 之任何介面的實體印表機,以及從網路上的電腦存取的印表機。
您可以允許或拒絕存取印表機,從而控制在受保護電腦的任何印表機上列印文件。
當您將印表機的存取設定變更為 [拒絕] 時,必須重新啟動存取印表機的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。僅 Windows 支援此裝置類型。
-
剪貼簿 (依裝置類型的存取控制) - Windows 剪貼簿。
您可以允許或拒絕存取剪貼簿,從而控制透過受保護電腦上 Windows 剪貼簿的複製和貼上作業。
當您將剪貼簿的存取設定變更為 [拒絕] 時,必須重新啟動存取剪貼簿的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。僅 Windows 支援此裝置類型。
-
螢幕擷取畫面擷取 (依裝置類型的存取控制) - 可擷取整個畫面、作用中視窗或畫面所選部分的螢幕擷取畫面。
您可以允許或拒絕存取螢幕擷取畫面擷取,從而控制受保護電腦上的螢幕擷取畫面擷取。
當您將螢幕擷取畫面擷取的存取設定變更為 [拒絕] 時,必須重新啟動存取螢幕擷取畫面擷取的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。
僅 Windows 支援此裝置類型。
-
行動裝置 (依裝置類型的存取控制) - 透過媒體傳輸通訊協定 (MTP) 通訊,且具有用於連接至電腦 (USB、IP、藍牙) 的任何介面的裝置 (例如,Android 智慧手機等)。
您可以對行動裝置允許完整存取、允許唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上的任何 MTP 型行動裝置,或從受保護電腦上的任何 MTP 型行動裝置複製資料的作業。
當您將行動裝置的存取設定變更為 [唯讀] 或 [拒絕] 時,必須重新啟動存取行動裝置的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。僅 Windows 支援此裝置類型。
-
藍牙 (依裝置類型的存取控制) - 具有連接至電腦 (USB、PCMCIA 等) 的任何介面的外接式和內建式藍牙裝置。這個設定可控制此類型裝置的使用,而不是控制使用這類裝置交換資料。
您可以允許或拒絕存取藍牙,從而控制在受保護的電腦上使用任何藍牙裝置。
在 macOS 上,藍牙的存取權限不會影響藍牙 HID 裝置。系統一律允許對這些裝置的存取,以防在 iMac 和 Mac Pro 硬體上停用無線 HID 裝置 (滑鼠和鍵盤)。
Windows 和 macOS 都支援此裝置類型。
-
光碟機 (依裝置類型的存取控制) - 具有連接至電腦 (IDE、SATA、USB、FireWire、PCMCIA 等) 的任何介面的外接式和內建式 CD/DVD/BD 光碟機 (包括編寫器)。
您可以對光碟機允許完整存取、允許唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上的任何光碟機,或從受保護電腦上的任何光碟機複製資料的作業。
Windows 和 macOS 都支援此裝置類型。
-
軟碟機 (依裝置類型的存取控制) - 具有連接至電腦 (IDE、USB、PCMCIA 等) 的任何介面的外接式和內建式軟碟機。作業系統會將某些軟碟機型號視為卸除式磁碟機,在此情況下,裝置控制也會將這些磁碟機視為卸除式裝置。
您可以對軟碟機允許完整存取、允許唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上的任何軟碟機,或從受保護電腦上的任何軟碟機複製資料的作業。
僅 Windows 支援此裝置類型。
-
USB (依裝置介面的存取控制) - 連接至 USB 連接埠的任何裝置,但集線器除外。
您可以對 USB 連接埠允許完整存取、允許唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上連接到任何 USB 連接埠的裝置,或從受保護電腦上連接到任何 USB 連接埠的裝置複製資料的作業。
Windows 和 macOS 都支援此裝置類型。
-
FireWire (依裝置介面的存取控制) - 連接至 FireWire (IEEE 1394) 連接埠的任何裝置,但集線器除外。
您可以對 FireWire 連接埠允許完整存取、允許唯讀存取,或拒絕存取,從而控制將資料複製到受保護電腦上連接到任何 FireWire 連接埠的裝置,或從受保護電腦上連接到任何 FireWire 連接埠的裝置複製資料的作業。
Windows 和 macOS 都支援此裝置類型。
-
重新導向的裝置 (依裝置介面的存取控制) - 重新導向至虛擬應用程式/桌面工作階段的對應磁碟機 (硬碟機、卸除式磁碟機、光碟機)、USB 裝置以及剪貼簿。
裝置控制在受保護 Windows 電腦上託管的 Microsoft RDS、Citrix XenDesktop、Citrix XenApp、Citrix XenServer 和 VMware Horizon 虛擬化環境中,可識別透過 Microsoft RDP、Citrix ICA、VMware PCoIP 和 HTML5/WebSocket 遠端通訊協定重新導向的裝置。它也可以控制在 VMware Workstation、VMware Player、Oracle VM VirtualBox 或 Windows Virtual PC 上執行之客體作業系統的 Windows 剪貼簿,以及在受保護 Windows 電腦上執行之主機作業系統的剪貼簿之間的資料複製作業。
僅 Windows 支援此裝置類型。
您可以設定對重新導向裝置的存取,如下所示:
- 對應磁碟機 - 允許完整存取、允許唯讀存取或拒絕存取,從而控制將資料複製到重新導向至受保護電腦上託管之工作階段的任何硬碟機、卸除式磁碟機或光碟機,或從重新導向至受保護電腦上託管之工作階段的任何硬碟機、卸除式磁碟機或光碟機複製資料的作業。
- 剪貼簿傳入 - 允許或拒絕存取,從而控制透過剪貼簿,將資料複製到受保護電腦上託管的工作階段的作業。當您將剪貼簿傳入的存取設定變更為 [拒絕] 時,必須重新啟動存取剪貼簿的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。
- 剪貼簿傳出 - 允許或拒絕存取,從而控制透過剪貼簿,從受保護電腦上託管的工作階段複製資料的作業。當您將剪貼簿傳出的存取設定變更為 [拒絕] 時,必須重新啟動存取剪貼簿的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。
- USB 連接埠 - 允許或拒絕存取,從而控制將資料複製到連接至任何 USB 連接埠 (重新導向至受保護電腦上託管的工作階段) 的裝置,或從連接至任何 USB 連接埠 (重新導向至受保護電腦上託管的工作階段) 的裝置複製資料的作業。
裝置控制設定會同樣地影響所有使用者。例如,如果您拒絕存取卸除式裝置,您會防止任何使用者將資料複製到受保護電腦上的這類裝置,以及從受保護電腦上的這類裝置複製資料。您可以從存取控制排除個別的 USB 裝置,以選擇性地允許存取個別的 USB 裝置 (請參閱裝置類型允許名單和 USB 裝置允許名單)。
對裝置的存取同時受到其類型和介面的控制時,在介面層級拒絕存取優先。例如,如果拒絕存取 USB 連接埠 (裝置介面),則無論允許還是拒絕存取行動裝置 (裝置類型),都會拒絕存取連接至 USB 連接埠的行動裝置。若要允許存取這種裝置,您必須同時允許其介面和類型。
如果在 macOS 上使用的保護計劃的設定適用於僅在 Windows 上受支援的裝置類型,則在 macOS 上將忽略這些裝置類型的設定。
另請參閱