Limitare i dispositivi USB e consentire dispositivi USB specifici usando modelli amministrativi in Microsoft Intune

  • Articolo

Molte organizzazioni vogliono bloccare tipi specifici di dispositivi USB, ad esempio unità flash USB o fotocamere. È anche possibile consentire dispositivi USB specifici, ad esempio una tastiera o un mouse.

È possibile usare modelli amministrativi (ADMX) per configurare queste impostazioni in un criterio e quindi distribuire questi criteri nei dispositivi Windows. Per altre informazioni sui modelli amministrativi e sul relativo contenuto, vedere Usare i modelli Windows 10/11 per configurare le impostazioni di Criteri di gruppo in Microsoft Intune.

Questo articolo illustra quanto segue:

  • Come creare un criterio ADMX con impostazioni USB nell'interfaccia di amministrazione di Intune
  • Come usare un file di log per risolvere i problemi dei dispositivi che non devono essere bloccati

Si applica a:

  • Windows 11
  • Windows 10

Creare il profilo

Questo criterio fornisce un esempio di come bloccare (o consentire) le funzionalità che influiscono sui dispositivi USB. È possibile usare questo criterio come punto di partenza e quindi aggiungere o rimuovere le impostazioni in base alle esigenze dell'organizzazione.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

  3. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli>amministrativi modelli.

  4. Selezionare Crea.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Ad esempio, immettere Restrict USB devices (Limita dispositivi USB).
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  6. Selezionare Avanti.

  7. In Impostazioni di configurazione completare le impostazioni seguenti:

  8. Seleziona Avanti.

  9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

    Seleziona Avanti.

  10. In Assegnazioni selezionare i gruppi di dispositivi che riceveranno il profilo. Seleziona Avanti.

  11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato.

Verificare nei dispositivi Windows

Dopo aver distribuito il profilo di configurazione del dispositivo nei dispositivi di destinazione, è possibile verificare che funzioni correttamente.

Se l'installazione di un dispositivo USB è bloccata, viene visualizzato un messaggio simile al seguente:

The installation of this device is forbidden by system policy. Contact your system administrator.

Nell'esempio seguente l'iPad viene bloccato perché l'ID dispositivo non è incluso nell'elenco di ID dispositivo consentito:

Dispositivo bloccato dai criteri di gruppo.

Un dispositivo è bloccato ma deve essere consentito

Alcuni dispositivi USB hanno più GUID ed è comune perdere alcuni GUID nelle impostazioni dei criteri. Di conseguenza, un dispositivo USB consentito nelle impostazioni potrebbe essere bloccato nel dispositivo.

Nell'esempio seguente, nell'impostazione Consenti l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo , viene immesso il GUID della classe Multimedia e la fotocamera è bloccata:

Windows non riesce a trovare il messaggio della fotocamera in un dispositivo Windows.

La fotocamera è bloccata dal messaggio di Criteri di gruppo in un dispositivo Windows.

Risoluzione:

Per trovare il GUID del dispositivo, seguire questa procedura:

  1. Nel dispositivo aprire il %windir%\inf\setupapi.dev.log file.

  2. Nel file:

    1. Cercare Installazione con restrizioni dei dispositivi non descritti dai criteri.

    2. In questa sezione trovare il Class GUID of device changed to: {GUID} testo. Aggiungerlo {GUID} ai criteri.

      Nell'esempio seguente viene visualizzato il Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} testo:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. Nel profilo di configurazione del dispositivo passare all'impostazione Consenti l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo e aggiungere il GUID della classe dal file di log.

  4. Se il problema persiste, ripetere questi passaggi per aggiungere gli altri GUID di classe fino a quando il dispositivo non viene installato correttamente.

    Nell'esempio vengono aggiunti al profilo del dispositivo i GUID di classe seguenti:

    • Dispositivi bus USB (hub e controller host): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivi fotocamera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivi di imaging: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUID di classe comune per consentire i dispositivi USB

  • Tastiera e mouse: aggiungere i GUID seguenti al profilo del dispositivo:

    • Tastiera: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Mouse: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Fotocamere, cuffie e microfoni: aggiungere i GUID seguenti al profilo del dispositivo:

    • Dispositivi bus USB (hub e controller host): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivi multimediali: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Dispositivi fotocamera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivi di imaging: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Dispositivi di sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Dispositivi biometrici: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Dispositivi software generici: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Cuffie da 3,5 mm: aggiungere i GUID seguenti al profilo del dispositivo:

    • Dispositivi multimediali: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Endpoint audio: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Nota

I GUID effettivi possono essere diversi per i dispositivi specifici.

Passaggi successivi

Altre informazioni sui modelli ADMX in Microsoft Intune