Megosztás a következőn keresztül:

USB-eszközök korlátozása és adott USB-eszközök engedélyezése felügyeleti sablonok használatával a Microsoft Intune-ban

  • Cikk

Számos szervezet szeretné letiltani az USB-eszközök bizonyos típusait, például az USB flash meghajtókat vagy a kamerákat. Adott USB-eszközöket is engedélyezhet, például billentyűzetet vagy egeret.

A felügyeleti sablonok (ADMX) sablonjaival konfigurálhatja ezeket a beállításokat egy házirendben, majd telepítheti ezt a házirendet a Windows-eszközeire. A felügyeleti sablonokról és azok használatáról a Csoportházirend-beállítások konfigurálása Windows 10/11-sablonok használatával a Microsoft Intune-ban című témakörben talál további információt.

Ez a cikk a következőt mutatja be:

  • ADMX-szabályzat létrehozása USB-beállításokkal az Intune Felügyeleti központban
  • Naplófájl használata olyan eszközök hibaelhárításához, amelyeket nem szabad blokkolni

Érintett szolgáltatás:

  • Windows 11
  • Windows 10

A profil létrehozása

Ez a szabályzat egy példát mutat be az USB-eszközöket érintő funkciók letiltására (vagy engedélyezésére). Ezt a házirendet kiindulási pontként használhatja, majd szükség szerint hozzáadhatja vagy eltávolíthatja a szervezet beállításait.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>Kezelése eszközök>konfigurációja>Új szabályzatlétrehozása> lehetőséget.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza a Windows 10 vagy újabb lehetőséget.
    • Profil típusa: Válassza a Sablonok>Felügyeleti sablonok lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Írja be például az USB-eszközök korlátozása kifejezést.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. Válassza a Tovább gombot.

  7. A Konfigurációs beállítások területen konfigurálja a következő beállításokat:

    • Az egyéb házirend-beállítások által nem leírt eszközök telepítésének megakadályozása: Válassza az Engedélyezett>OK lehetőséget:

      Az Intune-ban állítsa a Más házirend-beállítások által nem ismertetett eszközök telepítésének megakadályozása beállítást Engedélyezve értékre.

    • Eszközök telepítésének engedélyezése az alábbi eszközbeállítási osztályoknak megfelelő illesztőprogramokkal: Válassza az Engedélyezve lehetőséget. Ezután adja hozzá az engedélyezni kívánt eszközosztályok GUID azonosítóját .

      Az alábbi példában a Billentyűzet, az Egér és a Multimédia osztály engedélyezett:

      Képernyőkép, amely bemutatja, hogyan állíthatja be a Microsoft Intune-ból az Eszközök telepítésének engedélyezése az eszközbeállítási osztályoknak megfelelő illesztőprogramokkal beállítást, és hogyan adhatja hozzá az osztály GUID azonosítóit.

      Kattintson az OK gombra.

    • Az alábbi eszközazonosítók bármelyikének megfelelő eszközök telepítésének engedélyezése: Válassza az Engedélyezve lehetőséget. Ezután adja hozzá az engedélyezni kívánt eszközök eszköz-/hardverazonosítóit:

      Képernyőkép arról, hogy az Intune használatával hogyan állíthatja be az Ezen eszközazonosítók beállításnak megfelelő eszközök telepítésének engedélyezése és a hardverazonosítók hozzáadása beállítást.

      Az eszköz/hardver azonosítójának lekéréséhez használhatja az Eszközkezelőt, megkeresheti az eszközt, és megtekintheti a tulajdonságokat. A konkrét lépésekért lásd : Hardverazonosító megkeresése Windows-eszközön.

      A Végponthoz készült Microsoft Defender eszközfelügyeleti eszköztelepítése: Szabályzat üzembe helyezése és kezelése az Intune-on keresztül című cikkben is találhat hasznos eszközazonosító-információkat.

      Kattintson az OK gombra.

  8. Válassza a Tovább gombot.

  9. A Hatókörcímkék (nem kötelező) csoportban rendeljen hozzá egy címkét a profil adott informatikai csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz.

    Válassza a Tovább gombot.

  10. A Hozzárendelések területen válassza ki azokat az eszközcsoportokat, amelyek megkapják a profilt. Válassza a Tovább gombot.

  11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Amikor a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt.

Ellenőrzés Windows-eszközökön

Miután üzembe helyezte az eszközkonfigurációs profilt a megcélzott eszközökön, ellenőrizheti, hogy megfelelően működik-e.

Ha egy USB-eszköz telepítése le van tiltva, az alábbihoz hasonló üzenet jelenik meg:

The installation of this device is forbidden by system policy. Contact your system administrator.

Az alábbi példában az iPad le van tiltva, mert az eszközazonosítója nem szerepel az engedélyezett eszközazonosítók listájában:

Csoportházirend által letiltott eszköz.

Egy eszköz le van tiltva, de engedélyezni kell

Egyes USB-eszközök több GUID azonosítóval rendelkeznek, és gyakran előfordul, hogy a házirend-beállításokban nem jelenik meg néhány GUID. Ennek eredményeképpen előfordulhat, hogy egy, a beállításokban engedélyezett USB-eszköz le van tiltva az eszközön.

A következő példában az Eszközök telepítésének engedélyezése olyan illesztőprogramokkal, amelyek megfelelnek ezeknek az eszközbeállítási osztályoknak , a multimédiás osztály GUID azonosítója lesz megadva, és a kamera le van tiltva:

A Windows nem találja a kameraüzenetet egy Windows-eszközön.

A kamerát egy Windows-eszközön lévő csoportházirend-üzenet blokkolja.

Megoldás:

Az eszköz GUID azonosítójának megkereséséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a fájlt az %windir%\inf\setupapi.dev.log eszközön.

  2. A fájlban:

    1. Keressen a szabályzat által nem leírt korlátozott eszközök telepítésére.

    2. Ebben a szakaszban keresse meg a Class GUID of device changed to: {GUID} szöveget. Adja hozzá a {GUID} szabályzathoz.

      Az alábbi példában a Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} következő szöveg látható:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. Az eszközkonfigurációs profilban lépjen az Eszközök telepítésének engedélyezése az eszközbeállítási osztályoknak megfelelő illesztőprogramok használatával területre, és adja hozzá az osztály GUID azonosítóját a naplófájlból.

  4. Ha a probléma továbbra is fennáll, ismételje meg ezeket a lépéseket a többi osztály GUID azonosítójának hozzáadásához az eszköz sikeres telepítéséig.

    A példánkban az eszközprofilhoz a következő osztály GUID azonosítókat adjuk hozzá:

    • USB Bus-eszközök (hubok és gazdavezérlők): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Kameraeszközök: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Képalkotó eszközök: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Az USB-eszközök engedélyezésére használt általános osztályú GUID-azonosítók

  • Billentyűzet és egér: Adja hozzá a következő GUID azonosítókat az eszközprofilhoz:

    • Billentyűzet: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Egér: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Kamerák, fejhallgatók és mikrofonok: Adja hozzá a következő GUID azonosítókat az eszközprofilhoz:

    • USB Bus-eszközök (hubok és gazdavezérlők): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimédiás eszközök: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Kameraeszközök: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Képalkotó eszközök: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Rendszereszközök: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometrikus eszközök: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Általános szoftvereszközök: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • 3,5 mm-es fejhallgató: Adja hozzá a következő GUID azonosítókat az eszközprofilhoz:

    • Multimédiás eszközök: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Hangvégpont: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Megjegyzés:

A tényleges GUID-azonosítók eltérőek lehetnek az adott eszközök esetében.

Következő lépések

További információ az ADMX-sablonokról a Microsoft Intune-ban