Omezení zařízení USB a povolení konkrétních zařízení USB pomocí šablon pro správu v Microsoft Intune

  • Článek

Mnoho organizací chce blokovat konkrétní typy zařízení USB, jako jsou USB flash disky nebo kamery. Můžete také povolit určitá zařízení USB, například klávesnici nebo myš.

Pomocí šablon Šablon pro správu (ADMX) můžete nakonfigurovat tato nastavení v zásadách a pak tuto zásadu nasadit do zařízení s Windows. Další informace o šablonách pro správu a o tom, co to jsou, najdete v tématu Použití šablon Windows 10/11 ke konfiguraci nastavení zásad skupiny v Microsoft Intune.

V tomto článku se dozvíte:

  • Jak vytvořit zásadu ADMX s nastavením USB v Centru pro správu Intune
  • Jak používat soubor protokolu k řešení potíží se zařízeními, která by neměla být blokovaná

Platí pro:

  • Windows 11
  • Windows 10

Vytvoření profilu

Tato zásada poskytuje příklad blokování (nebo povolení) funkcí, které mají vliv na zařízení USB. Tuto zásadu můžete použít jako výchozí bod a pak podle potřeby pro vaši organizaci přidat nebo odebrat nastavení.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Vyberte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony Šablony>pro správu.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Zadejte například Omezit zařízení USB.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

  6. Vyberte Další.

  7. V Nastavení konfigurace nakonfigurujte následující nastavení:

  8. Vyberte Další.

  9. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

    Vyberte Další.

  10. V části Přiřazení vyberte skupiny zařízení, které obdrží profil. Vyberte Další.

  11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí.

Ověření na zařízeních s Windows

Po nasazení konfiguračního profilu zařízení do cílových zařízení můžete ověřit, že funguje správně.

Pokud je instalace zařízení USB zablokovaná, zobrazí se zpráva podobná následující zprávě:

The installation of this device is forbidden by system policy. Contact your system administrator.

V následujícím příkladu je iPad blokovaný, protože jeho ID zařízení není v seznamu povolených ID zařízení:

Zařízení blokované zásadami skupiny

Zařízení je zablokované, ale mělo by být povolené.

Některá zařízení USB mají více identifikátorů GUID a v nastavení zásad často chybí některé identifikátory GUID. V důsledku toho může být zařízení USB, které je povolené ve vašem nastavení, na zařízení zablokované.

V následujícím příkladu je v nastavení Povolit instalaci zařízení pomocí ovladačů odpovídajících těmto třídám nastavení zařízení zadán identifikátor GUID třídy Multimedia a kamera je zablokovaná:

Systém Windows nemůže najít zprávu z fotoaparátu na zařízení s Windows.

Kamera je blokovaná zprávou zásad skupiny na zařízení s Windows.

Řešení:

Pokud chcete zjistit identifikátor GUID vašeho zařízení, postupujte následovně:

  1. Na zařízení otevřete %windir%\inf\setupapi.dev.log soubor.

  2. V souboru:

    1. Vyhledejte omezenou instalaci zařízení, která nejsou popsaná zásadami.

    2. V této části vyhledejte Class GUID of device changed to: {GUID} text. Přidejte tuto {GUID} možnost do zásad.

      V následujícím příkladu Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} uvidíte text:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. V konfiguračním profilu zařízení přejděte na nastavení Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení , a přidejte identifikátor GUID třídy ze souboru protokolu.

  4. Pokud problém přetrvává, opakujte tyto kroky a přidejte identifikátory GUID ostatních tříd, dokud se zařízení úspěšně nenainstaluje.

    V našem příkladu se do profilu zařízení přidají následující identifikátory GUID třídy:

    • Zařízení USB Bus (rozbočovače a hostitelské řadiče): {36fc9e60-c465-11cf-8056-444553540000}
    • Zařízení HID (Human Interface Devices): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Kamerová zařízení: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Zařízení pro zpracování obrázků: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Společné identifikátory GUID třídy pro povolení zařízení USB

  • Klávesnice a myš: Přidejte do profilu zařízení následující identifikátory GUID:

    • Klávesnice: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Myši: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Kamery, sluchátka a mikrofony: Přidejte do profilu zařízení následující identifikátory GUID:

    • Zařízení USB Bus (rozbočovače a hostitelské řadiče): {36fc9e60-c465-11cf-8056-444553540000}
    • Zařízení HID (Human Interface Devices): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimediální zařízení: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Kamerová zařízení: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Zařízení pro zpracování obrázků: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Systémová zařízení: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometrická zařízení: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Obecná softwarová zařízení: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Sluchátka 3,5 mm: Přidejte do profilu zařízení následující identifikátory GUID:

    • Multimediální zařízení: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Koncový bod zvuku: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Poznámka

Skutečné identifikátory GUID se pro vaše konkrétní zařízení můžou lišit.

Další kroky

Další informace o šablonách ADMX v Microsoft Intune