Omezte zařízení USB a povolte konkrétní zařízení USB pomocí katalogu nastavení v Microsoft Intune

Mnoho organizací chce blokovat konkrétní typy zařízení USB, jako jsou USB flash disky nebo kamery. Můžete také chtít povolit konkrétní zařízení USB, například klávesnici nebo myš.

Pomocí katalogu nastavení v Microsoft Intune můžete tato nastavení nakonfigurovat v zásadách a pak tuto zásadu nasadit na zařízení s Windows. Další informace o katalogu nastavení najdete v tématu Použití katalogu nastavení ke konfiguraci nastavení zařízení v Microsoft Intune.

V tomto článku se dozvíte:

• Jak vytvořit zásadu katalogu nastavení s nastavením USB v Centru pro správu Intune
• Jak používat soubor protokolu k řešení potíží se zařízeními, která by neměla být blokovaná

Tento článek se týká:

• Windows

Požadavky

• Pokud chcete nakonfigurovat zásady katalogu nastavení, přihlaste se do Centra pro správu Intune s rolí Správce zásad a profilů. Informace o předdefinovaných rolích v Intune a o tom, co můžou dělat, najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.

Vytvoření profilu

Tato zásada poskytuje příklad blokování (nebo povolení) funkcí, které mají vliv na zařízení USB. Tuto zásadu můžete použít jako výchozí bod a pak podle potřeby pro vaši organizaci přidat nebo odebrat nastavení.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

3. Zadejte tyto vlastnosti:

   • Platforma: Zvolte Windows 10 a novější.
   • Typ profilu: Vyberte Katalog Nastavení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Zadejte například Omezit zařízení USB.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení přejděte na Šablony> pro správuSystém>Instalace> zařízeníOmezení instalace zařízení. Vyberte následující nastavení:

   • Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení
   • Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení
   • Zabránit instalaci zařízení, která nejsou popsaná v jiných nastaveních zásad

   

8. Zavřete výběr nastavení. Nakonfigurujte nastavení, která jste vybrali:

   • Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení: Vyberte Povoleno. Přidejte ID zařízení nebo hardwaru pro zařízení, která chcete povolit.

     Pokud chcete získat ID zařízení nebo hardwaru, můžete použít Správce zařízení, najít zařízení a podívat se na vlastnosti. Konkrétní postup najdete v tématu Vyhledání ID hardwaru na zařízení s Windows.

     Užitečné informace o ID zařízení najdete také v tématu Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Microsoft Intune.

   • Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení: Vyberte Povoleno. Přidejte třídy nastavení zařízení definované systémem, které jsou dostupné dodavatelům , které chcete povolit.

     Na následujícím obrázku jsou povolené třídy Klávesnice, Myš a Multimédia .

   • Zabránit instalaci zařízení, která nejsou popsaná v jiných nastaveních zásad: Vyberte Povoleno.

   Když jsou nastavení povolená a nakonfigurovaná, vaše zásady vypadají podobně jako následující nastavení zásad:

   

9. Vyberte Další.

10. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

    Vyberte Další.

11. V části Přiřazení vyberte skupiny zařízení, které obdrží profil. Vyberte Další.

12. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí.

Ověření na zařízeních s Windows

Po nasazení konfiguračního profilu zařízení do cílových zařízení můžete ověřit, že funguje správně.

Pokud je instalace zařízení USB zablokovaná, zobrazí se zpráva podobná následující zprávě:

The installation of this device is forbidden by system policy. Contact your system administrator.

V následujícím příkladu je iPad blokovaný, protože jeho ID zařízení není v seznamu povolených ID zařízení:

Zařízení je zablokované, ale mělo by být povolené.

Některá zařízení USB mají více identifikátorů GUID a v nastavení zásad často chybí některé identifikátory GUID. V důsledku toho může být zařízení USB, které je povolené ve vašem nastavení, na zařízení zablokované.

V následujícím příkladu je v nastavení Povolit instalaci zařízení pomocí ovladačů odpovídajících těmto třídám nastavení zařízení zadán identifikátor GUID třídy Multimedia a kamera je zablokovaná:

Řešení:

Pokud chcete zjistit identifikátor GUID vašeho zařízení, postupujte následovně:

1. Na zařízení otevřete %windir%\inf\setupapi.dev.log soubor.

2. V souboru:

   1. Vyhledejte omezenou instalaci zařízení, která nejsou popsaná zásadami.

   2. V této části vyhledejte Class GUID of device changed to: {GUID} text. Přidejte tuto {GUID} možnost do zásad.

      V následujícím příkladu Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} uvidíte text:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      

3. V konfiguračním profilu zařízení přejděte na nastavení Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení , a přidejte identifikátor GUID třídy ze souboru protokolu.

4. Pokud problém přetrvává, opakujte tyto kroky a přidejte identifikátory GUID ostatních tříd, dokud se zařízení úspěšně nenainstaluje.

   V našem příkladu se do profilu zařízení přidají následující identifikátory GUID třídy:

   • Zařízení USB Bus (rozbočovače a hostitelské řadiče): {36fc9e60-c465-11cf-8056-444553540000}
   • Zařízení HID (Human Interface Devices): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
   • Kamerová zařízení: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
   • Zařízení pro zpracování obrázků: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Společné identifikátory GUID třídy pro povolení zařízení USB

• Klávesnice a myš: Přidejte do profilu zařízení následující identifikátory GUID:

  • Klávesnice: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • Myši: {4d36e96f-e325-11ce-bfc1-08002be10318}

• Kamery, sluchátka a mikrofony: Přidejte do profilu zařízení následující identifikátory GUID:

  • Zařízení USB Bus (rozbočovače a hostitelské řadiče): {36fc9e60-c465-11cf-8056-444553540000}
  • Zařízení HID (Human Interface Devices): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • Multimediální zařízení: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Kamerová zařízení: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • Zařízení pro zpracování obrázků: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • Systémová zařízení: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • Biometrická zařízení: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • Obecná softwarová zařízení: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

• Sluchátka 3,5 mm: Přidejte do profilu zařízení následující identifikátory GUID:

  • Multimediální zařízení: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Koncový bod zvuku: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Poznámka

Skutečné identifikátory GUID se můžou lišit pro vaše konkrétní zařízení.

Související články

• Konfigurace nastavení pomocí katalogu nastavení Intune