Omezení zařízení USB a povolení konkrétních zařízení USB pomocí šablon pro správu v Microsoft Intune
Mnoho organizací chce blokovat konkrétní typy zařízení USB, jako jsou USB flash disky nebo kamery. Můžete také chtít povolit konkrétní zařízení USB, například klávesnici nebo myš.
Pomocí šablon Šablon pro správu (ADMX) můžete nakonfigurovat tato nastavení v zásadách a pak tuto zásadu nasadit do zařízení s Windows. Další informace o šablonách pro správu a o tom, co to jsou, najdete v tématu Použití šablon Windows 10/11 ke konfiguraci nastavení zásad skupiny v Microsoft Intune.
V tomto článku se dozvíte:
- Jak vytvořit zásadu ADMX s nastavením USB v Centru pro správu Intune
- Jak používat soubor protokolu k řešení potíží se zařízeními, která by neměla být blokovaná
Tento článek se týká:
- Windows 11
- Windows 10
Vytvoření profilu
Tato zásada poskytuje příklad blokování (nebo povolení) funkcí, které mají vliv na zařízení USB. Tuto zásadu můžete použít jako výchozí bod a pak podle potřeby pro vaši organizaci přidat nebo odebrat nastavení.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.
Zadejte tyto vlastnosti:
- Platforma: Zvolte Windows 10 a novější.
- Typ profilu: Vyberte Šablony Šablony>pro správu.
Vyberte Vytvořit.
V Základy zadejte následující vlastnosti:
- Název: Zadejte popisný název profilu. Zadejte například Omezit zařízení USB.
- Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
Vyberte Další.
V Nastavení konfigurace nakonfigurujte následující nastavení:
Zabránit instalaci zařízení, která nejsou popsaná v jiných nastaveních zásad: Vyberte Povoleno>OK:
Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení: Vyberte Povoleno. Pak přidejte identifikátor GUID třídy tříd zařízení , které chcete povolit.
V následujícím příkladu jsou povolené třídy Klávesnice, Myš a Multimédia :
Vyberte OK.
Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení: Vyberte Povoleno. Pak přidejte ID zařízení nebo hardwaru pro zařízení, která chcete povolit:
Pokud chcete získat ID zařízení nebo hardwaru, můžete použít Správce zařízení, najít zařízení a podívat se na vlastnosti. Konkrétní postup najdete v tématu Vyhledání ID hardwaru na zařízení s Windows.
Některé užitečné informace o ID zařízení najdete také v tématu Instalace zařízení pro řízení zařízení v programu Microsoft Defender for Endpoint: Nasazení a správa zásad přes Intune.
Vyberte OK.
Vyberte Další.
V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například
US-NC IT TeamneboJohnGlenn_ITDepartment. Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.Vyberte Další.
V části Přiřazení vyberte skupiny zařízení, které obdrží profil. Vyberte Další.
V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí.
Ověření na zařízeních s Windows
Po nasazení konfiguračního profilu zařízení do cílových zařízení můžete ověřit, že funguje správně.
Pokud je instalace zařízení USB zablokovaná, zobrazí se zpráva podobná následující zprávě:
The installation of this device is forbidden by system policy. Contact your system administrator.
V následujícím příkladu je iPad blokovaný, protože jeho ID zařízení není v seznamu povolených ID zařízení:
Zařízení je zablokované, ale mělo by být povolené.
Některá zařízení USB mají více identifikátorů GUID a v nastavení zásad často chybí některé identifikátory GUID. V důsledku toho může být zařízení USB, které je povolené ve vašem nastavení, na zařízení zablokované.
V následujícím příkladu je v nastavení Povolit instalaci zařízení pomocí ovladačů odpovídajících těmto třídám nastavení zařízení zadán identifikátor GUID třídy Multimedia a kamera je zablokovaná:
Řešení:
Pokud chcete zjistit identifikátor GUID vašeho zařízení, postupujte následovně:
Na zařízení otevřete
%windir%\inf\setupapi.dev.logsoubor.V souboru:
Vyhledejte omezenou instalaci zařízení, která nejsou popsaná zásadami.
V této části vyhledejte
Class GUID of device changed to: {GUID}text. Přidejte tuto{GUID}možnost do zásad.V následujícím příkladu
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}uvidíte text:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
V konfiguračním profilu zařízení přejděte na nastavení Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení , a přidejte identifikátor GUID třídy ze souboru protokolu.
Pokud problém přetrvává, opakujte tyto kroky a přidejte identifikátory GUID ostatních tříd, dokud se zařízení úspěšně nenainstaluje.
V našem příkladu se do profilu zařízení přidají následující identifikátory GUID třídy:
- Zařízení USB Bus (rozbočovače a hostitelské řadiče):
{36fc9e60-c465-11cf-8056-444553540000} - Zařízení HID (Human Interface Devices):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Kamerová zařízení:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Zařízení pro zpracování obrázků:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Zařízení USB Bus (rozbočovače a hostitelské řadiče):
Společné identifikátory GUID třídy pro povolení zařízení USB
Klávesnice a myš: Přidejte do profilu zařízení následující identifikátory GUID:
- Klávesnice:
{4d36e96b-e325-11ce-bfc1-08002be10318} - Myš:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Klávesnice:
Kamery, sluchátka a mikrofony: Přidejte do profilu zařízení následující identifikátory GUID:
- Zařízení USB Bus (rozbočovače a hostitelské řadiče):
{36fc9e60-c465-11cf-8056-444553540000} - Zařízení HID (Human Interface Devices):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Multimediální zařízení:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Kamerová zařízení:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Zařízení pro zpracování obrázků:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - Systémová zařízení:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - Biometrická zařízení:
{53d29ef7-377c-4d14-864b-eb3a85769359} - Obecná softwarová zařízení:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- Zařízení USB Bus (rozbočovače a hostitelské řadiče):
Sluchátka 3,5 mm: Přidejte do profilu zařízení následující identifikátory GUID:
- Multimediální zařízení:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Koncový bod zvuku:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Multimediální zařízení:
Poznámka
Skutečné identifikátory GUID se můžou lišit pro vaše konkrétní zařízení.