ポリシー CSP - DeviceInstallation
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
AllowInstallationOfMatchingDeviceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
このポリシー設定を使用すると、Windows でインストールが許可されているデバイスプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止する] ポリシー設定と共に [レイヤー化された評価順序を適用する] ポリシー設定と共に有効になっている場合、Windows は、プラグ アンド プレイハードウェア ID または互換性のある ID が作成された一覧に表示されるすべてのデバイスをインストールまたは更新できます。ただし、階層内の同じ以上のレイヤーにある別のポリシー設定によってインストールが特に妨げられる場合を除きます。 次のポリシー設定など:
- これらのデバイス ID に一致するデバイスのインストールを禁止する
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイス一致条件でデバイスインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定で特にそのインストールが禁止されていない限り、Windows は、作成した一覧にプラグ アンド プレイハードウェア ID または互換性 ID が表示されるデバイスをインストールまたは更新できます (たとえば、これらのデバイス ID に一致するデバイスのインストールを禁止する) ポリシー設定。 "これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_IDs_Allow |
| フレンドリ名 | これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDeviceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、Windows が USB\Composite または USB\Class_FF のデバイス ID を持つ互換性のあるデバイスをインストールできます。 複数のクラスを構成するには、区切り記号として を使用  します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceInstanceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
このポリシー設定を使用すると、Windows でインストールが許可されているデバイスプラグ アンド プレイデバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [許可] ポリシーと [すべてのデバイス一致条件でデバイスのインストール ポリシーを禁止する] ポリシー設定と共に [レイヤー化された順序で評価を適用する] ポリシー設定を有効にすると、階層内の同じレイヤー以上の別のポリシー設定によってインストールが特に妨げられる場合を除き、作成した一覧にプラグ アンド プレイデバイス インスタンス ID が表示されるデバイスをインストールまたは更新できます。 次のポリシー設定など:
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイス一致条件でデバイスインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定で特にそのインストールが禁止されていない限り、Windows は、作成した一覧にプラグ アンド プレイデバイス インスタンス ID が表示されるデバイスをインストールまたは更新できます (たとえば、「これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する」ポリシー設定)。 "これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 デバイス インスタンス ID で指定できます。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Instance_IDs_Allow |
| フレンドリ名 | これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowInstanceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1USB\VID_1F75&PID_0917\47802411805883"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceSetupClasses
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
このポリシー設定を使用すると、Windows のインストールが許可されているドライバー パッケージのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [すべてのデバイス一致条件にデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の階層化された順序で有効になっている場合、階層内の同じ層以上の別のポリシー設定でそのインストールが特に妨げられる場合を除き、Windows はデバイス セットアップ クラスの GUID が一覧に表示されるドライバー パッケージをインストールまたは更新できます。 次のポリシー設定など:
- これらのデバイス クラスのデバイスのインストールを禁止する
- これらのデバイス ID に一致するデバイスのインストールを禁止する
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイス一致条件でデバイスインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定でインストールが特に禁止されていない限り、Windows はデバイス セットアップ クラスの GUID が一覧に表示されるドライバー パッケージをインストールまたは更新できます (たとえば、「これらのデバイス ID に一致するデバイスのインストールを禁止する」ポリシー設定)。 "これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Classes_Allow |
| フレンドリ名 | これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDeviceClasses |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 次の例では、Windows をインストールできます。
- フロッピー ディスク、ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM、ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- モデム、ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
クラス GUID を中かっこで囲みます {}。 複数のクラスを構成するには、区切り記号として を使用  します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
EnableInstallationPolicyLayering
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.256] 以降 ✅Windows 10 Version 1809 [10.0.17763.2145] 以降 ✅Windows 10バージョン 1903 [10.0.18362.1714] 以降 ✅Windows 10バージョン 2004 [10.0.19041.1151] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering
このポリシー設定は、特定のデバイスに複数のインストール ポリシー設定が適用されている場合にポリシー設定を許可および禁止する評価順序を変更します。 このポリシー設定を有効にして、より具体的な一致条件があまり特定の一致条件よりも優先される確立された階層に基づいて、重複するデバイスの一致条件が適用されるようにします。 デバイスの一致条件を指定するポリシー設定の階層的な評価順序は次のとおりです。
デバイス インスタンス ID > デバイス ID > デバイス セットアップ クラス > リムーバブル デバイス。
デバイス インスタンス ID。
- これらのデバイス インスタンス ID に一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス インスタンス ID に一致するドライバーを使用して、デバイスのインストールを許可します。
デバイス ID。
- これらのデバイス ID に一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス ID に一致するドライバーを使用して、デバイスのインストールを許可します。
デバイス セットアップ クラス。
- これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス セットアップ クラスに一致するドライバーを使用して、デバイスのインストールを許可します。
リムーバブル デバイス。
- リムーバブル デバイスのインストールを禁止します。
注
このポリシー設定では、"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定よりも詳細な制御が提供されます。 これらの競合するポリシー設定が同時に有効になっている場合は、ポリシー設定が有効になり、他のポリシー設定は無視されます。
このポリシー設定を無効にするか、構成しない場合は、既定の評価が使用されます。 既定では、すべての "インストールの禁止"。 ポリシー設定は、Windows がデバイスをインストールできる他のポリシー設定よりも優先されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Allow_Deny_Layered |
| フレンドリ名 | すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止するための階層化された評価順序を適用する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDenyLayered |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
また、Intuneのカスタム プロファイルを使用して、デバイスのインストール ポリシー設定の評価順序を変更することもできます。
PreventDeviceMetadataFromNetwork
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork
このポリシー設定を使用すると、Windows がインターネットからデバイス メタデータを取得できないようにすることができます。
このポリシー設定を有効にした場合、Windows はインターネットからインストールされているデバイスのデバイス メタデータを取得しません。 このポリシー設定は、[デバイスのインストール設定] ダイアログ ボックス ([システムとセキュリティ > システム>の詳細設定] [ハードウェア] タブコントロール パネル>) の設定>をオーバーライドします。
このポリシー設定を無効にするか、構成しない場合、[デバイスのインストール設定] ダイアログ ボックスの設定によって、Windows がインターネットからデバイス メタデータを取得するかどうかを制御します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceMetadata_PreventDeviceMetadataFromNetwork |
| フレンドリ名 | インターネットからのデバイス メタデータの取得を禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム デバイスの > インストール |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\Device Metadata |
| レジストリ値の名前 | PreventDeviceMetadataFromNetwork |
| ADMX ファイル名 | DeviceSetup.admx |
PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
このポリシー設定を使用すると、他のポリシー設定で特に説明されていないデバイスのインストールを防ぐことができます。
注
このポリシー設定は、より詳細な制御を提供するために、"すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された評価順序に置き換えられました。 このポリシー設定の代わりに、[すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の [階層化された評価順序を適用する] ポリシー設定を使用することをお勧めします。
このポリシー設定を有効にした場合、[これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する]、[これらのデバイス クラスのデバイスのインストールを許可する]、または [これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定で説明されていないデバイスのドライバー パッケージのインストールまたは更新が Windows で禁止されます。
このポリシー設定を無効にするか、構成しなかった場合、Windows は、"これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する"、"これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" で説明されていないすべてのデバイスのドライバー パッケージをインストールまたは更新できます。 または "リムーバブル デバイスのインストールを禁止する" ポリシー設定。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Unspecified_Deny |
| フレンドリ名 | 他のポリシー設定で説明されていないデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyUnspecified |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、Windows が他のポリシー設定で説明されていないデバイスをインストールできないようにします。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
Intuneでカスタム プロファイルを使用してインストールをブロックすることもできます。
PreventInstallationOfMatchingDeviceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
このポリシー設定を使用すると、Windows がインストールできないようにプラグ アンド プレイデバイスのハードウェア ID と互換性のある ID の一覧を指定できます。 既定では、このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。
注
[これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定を有効にして、該当するデバイスのこのポリシー設定を置き換える場合は、[すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の階層化された評価順序を有効にします。
このポリシー設定を有効にすると、Windows は、作成した一覧にハードウェア ID または互換性のある ID が表示されるデバイスをインストールできなくなります。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、想定されるデバイスがブロックされていることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_IDs_Deny |
| フレンドリ名 | これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyDeviceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、WINDOWS が USB\Composite または USB\Class_FF のデバイス ID を持つ互換性のあるデバイスをインストールできないようにします。 複数のクラスを構成するには、区切り記号として を使用 &#xF000; します。 既にインストールされている一致するデバイス クラスにポリシーを適用するには、DeviceInstall_IDs_Deny_Retroactive を true に設定します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
また、Intuneのカスタム プロファイルを使用して、禁止されている周辺機器のインストールと使用をブロックすることもできます。
たとえば、このカスタム プロファイルでは、ハードウェア ID "USB\Composite" と "USB\Class_FF" を使用した USB デバイスのインストールと使用がブロックされ、一致するハードウェア ID が既にインストールされている USB デバイスに適用されます。
PreventInstallationOfMatchingDeviceInstanceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
このポリシー設定を使用すると、Windows がインストールできないようにプラグ アンド プレイデバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。
このポリシー設定を有効にすると、作成したリストにデバイス インスタンス ID が表示されるデバイスが Windows にインストールされなくなります。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 デバイス インスタンス ID で指定できます。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Instance_IDs_Deny |
| フレンドリ名 | これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyInstanceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、WINDOWS が USB\VID_1F75 と USB\VID_0781 のデバイス インスタンス ID と互換性のあるデバイスをインストールできないようにします。 複数のクラスを構成するには、区切り記号として を使用  します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1USB\VID_1F75&PID_0917\478024118058832USB\VID_0781&PID_5530\4C530001191214116305"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
また、Intuneのカスタム プロファイルを使用して、禁止されている周辺機器のインストールと使用をブロックすることもできます。
たとえば、このカスタム プロファイルでは、デバイス インスタンス ID が一致するデバイスのインストールが防止されます。
Intuneでカスタム プロファイルを使用して、一致するデバイス インスタンス ID を持つデバイスのインストールを防ぐには、次の手順を実行します。
デバイス インスタンス ID を見つけます。
デバイス インスタンス
&ID を に置き換えます&。 たとえば、 を にUSBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0置き換えますUSBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0。注
値にスペースを使用しないでください。
デバイス インスタンス ID を
&に置き換えて、サンプルの SyncML に置き換えます。 SyncML を Intune カスタム デバイス構成プロファイルに追加します。
PreventInstallationOfMatchingDeviceSetupClasses
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
このポリシー設定を使用すると、Windows がインストールできないようにするドライバー パッケージのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定できます。 既定では、このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。
注
[これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定と [これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定を有効にして、該当するデバイスに対してこのポリシー設定を置き換える場合は、[すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の [階層化された評価順序を適用する] を有効にします。
このポリシー設定を有効にすると、作成した一覧にデバイス セットアップ クラス GUID が表示されるドライバー パッケージのインストールまたは更新が Windows で禁止されます。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合、Windows は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、想定されるデバイスがブロックされていることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Classes_Deny |
| フレンドリ名 | これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストールの制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyDeviceClasses |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 次の例では、Windows がインストールされないようにします。
- フロッピー ディスク、ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM、ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- モデム、ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
クラス GUID を中かっこで囲みます {}。 複数のクラスを構成するには、区切り記号として を使用  します。 既にインストールされている一致するデバイス クラスにポリシーを適用するには、DeviceInstall_Classes_Deny_Retroactive を true に設定します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log をチェックし、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示