Restreindre les périphériques USB et autoriser des périphériques USB spécifiques à l’aide de la fonctionnalité Modèles d’administration dans Microsoft Intune
De nombreuses organisations souhaitent bloquer des types spécifiques de périphériques USB, tels que des disques mémoire flash USB ou des caméras USB. Vous pouvez également autoriser des périphériques USB spécifiques, tels qu’un clavier ou une souris.
Vous pouvez utiliser des modèles de la fonctionnalité Modèles d’administration (ADMX) pour configurer ces paramètres dans une stratégie, puis déployer cette stratégie sur vos appareils Windows. Pour plus d’informations sur la fonctionnalité Modèles d’administration et son rôle, consultez Utiliser les modèles Windows 10/11 pour configurer les paramètres de stratégie de groupe dans Microsoft Intune.
Cet article vous présente les éléments suivants :
- Comment créer une stratégie ADMX avec des paramètres USB dans le Centre d’administration Intune
- Comment utiliser un fichier journal pour résoudre les problèmes liés aux appareils qui ne doivent pas être bloqués
Cet article s’applique à :
- Windows 11
- Windows 10
Créer le profil
Cette stratégie fournit un exemple de blocage (ou d’autorisation) des fonctionnalités qui affectent les périphériques USB. Vous pouvez utiliser cette stratégie comme point de départ, puis ajouter ou supprimer des paramètres en fonction des besoins de votre organisation.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>stratégie.
Entrez les propriétés suivantes :
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profile : sélectionnez Modèles>Modèles d’administration.
Sélectionnez Créer.
Dans Informations de base, entrez les propriétés suivantes :
- Nom: Entrez un nom descriptif pour le profil. Par exemple, entrez Restreindre les périphériques USB.
- Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.
Sélectionnez Suivant.
Dans Paramètres de configuration, configurez les paramètres suivants :
Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie : sélectionnez Activé>OK :
Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil : sélectionnez Activé. Ensuite, ajoutez le GUID de classe des classes d’appareil que vous souhaitez autoriser.
Dans l’exemple suivant, les classes Clavier, Souris et Multimédia sont autorisées :
Sélectionnez OK.
Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil : sélectionnez Activé. Ensuite, ajoutez les ID d’appareil/matériel pour les appareils que vous souhaitez autoriser :
Pour obtenir l’ID d’appareil/matériel, vous pouvez utiliser Gestionnaire de périphériques, rechercher l’appareil et examiner les propriétés. Pour connaître les étapes spécifiques, consultez Rechercher l’ID matériel sur un appareil Windows.
Vous trouverez également des informations utiles sur l’ID d’appareil dans Microsoft Defender pour point de terminaison Device Control Device Installation : Deploying and managing policy via Intune.
Sélectionnez OK.
Sélectionnez Suivant.
Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple
US-NC IT Team
ouJohnGlenn_ITDepartment
. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.Sélectionnez Suivant.
Dans Affectations, sélectionnez les groupes d’appareils qui doivent recevoir le profil. Sélectionnez Suivant.
Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.
Vérifier sur les appareils Windows
Une fois le profil de configuration de l’appareil déployé sur vos appareils ciblés, vous pouvez vérifier qu’il fonctionne correctement.
Si l’installation d’un périphérique USB est bloquée, vous voyez un message semblable au message suivant :
The installation of this device is forbidden by system policy. Contact your system administrator.
Dans l’exemple suivant, le iPad est bloqué car son ID d’appareil ne figure pas dans la liste des ID d’appareil autorisés :
Un appareil est bloqué, mais doit être autorisé
Certains périphériques USB ont plusieurs GUID et il est courant d’en manquer dans vos paramètres de stratégie. Par conséquent, un périphérique USB autorisé dans vos paramètres peut être bloqué sur l’appareil.
Dans l’exemple suivant, dans le paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, le GUID de classe multimédia est entré et l’appareil photo est bloqué :
Résolution :
Pour rechercher le GUID de votre appareil, utilisez procédez comme suit :
Sur l’appareil, ouvrez le fichier
%windir%\inf\setupapi.dev.log
.Dans le fichier :
Recherchez Installation restreinte d’appareils non décrits par la stratégie.
Dans cette section, recherchez le texte
Class GUID of device changed to: {GUID}
. Ajoutez-le{GUID}
à votre stratégie.Dans l’exemple suivant, vous voyez le texte
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}
:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
Dans le profil de configuration de l’appareil, accédez au paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, puis ajoutez le GUID de classe à partir du fichier journal.
Si le problème persiste, répétez ces étapes pour ajouter les autres GUID de classe jusqu’à ce que l’appareil soit correctement installé.
Dans notre exemple, les GUID de classe suivants sont ajoutés au profil d’appareil :
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
{36fc9e60-c465-11cf-8056-444553540000}
- Périphériques d’interface utilisateur (HID) :
{745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Périphériques de la caméra :
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Périphérique d’acquisition d’images :
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
GUID de classe courants pour autoriser les périphériques USB
Clavier et souris : ajoutez les GUID suivants au profil d’appareil :
- Clavier :
{4d36e96b-e325-11ce-bfc1-08002be10318}
- Souris :
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Clavier :
Appareils photo, casques et microphones : ajoutez les GUID suivants au profil d’appareil :
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
{36fc9e60-c465-11cf-8056-444553540000}
- Périphériques d’interface utilisateur (HID) :
{745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Périphériques multimédia :
{4d36e96c-e325-11ce-bfc1-08002be10318}
- Périphériques de la caméra :
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Périphérique d’acquisition d’images :
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Périphériques système :
{4D36E97D-E325-11CE-BFC1-08002BE10318}
- Périphériques biométriques :
{53d29ef7-377c-4d14-864b-eb3a85769359}
- Périphériques logiciels génériques :
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
Casque 3,5 mm : ajoutez les GUID suivants au profil d’appareil :
- Périphériques multimédia :
{4d36e96c-e325-11ce-bfc1-08002be10318}
- Point de terminaison audio :
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Périphériques multimédia :
Remarque
Les GUID réels peuvent être différents pour vos appareils spécifiques.