ポリシー CSP - DeviceInstallation
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
AllowInstallationOfMatchingDeviceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
このポリシー設定を使用すると、Windows のインストールが許可されているデバイスのプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止する] ポリシー設定と共に [レイヤー化された評価順序を適用する] ポリシー設定と共に有効になっている場合、Windows は、作成したリストにプラグ アンド プレイ ハードウェア ID または互換性 ID が表示されるデバイスをインストールまたは更新できます。ただし、階層内の同じ以上のレイヤーにある別のポリシー設定によってインストールが特に禁止されている場合を除きます。 次のポリシー設定など:
- これらのデバイス ID に一致するデバイスのインストールを禁止する
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定でそのインストールが特に禁止されていない限り、Windows は、作成したリストにプラグ アンド プレイ ハードウェア ID または互換性 ID が表示されるデバイスをインストールまたは更新できます (たとえば、 [これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する] ポリシー設定、"これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_IDs_Allow |
| フレンドリ名 | これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDeviceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、Windows が USB\Composite または USB\Class_FF のデバイス ID を持つ互換性のあるデバイスをインストールできます。 複数のクラスを構成するには、区切り記号として  を使用します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceInstanceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
このポリシー設定では、Windows のインストールが許可されているデバイスのプラグ アンド プレイ デバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [すべてのデバイス一致条件に対してデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の階層化された順序を適用するポリシー設定と共に有効になっている場合、Windows は、作成したリストにプラグ アンド プレイ デバイス インスタンス ID が表示されるデバイスをインストールまたは更新できます。ただし、階層内の同じ以上のレイヤーにある別のポリシー設定でそのインストールが特に妨げられる場合を除きます。 次のポリシー設定など:
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定でインストールが特に禁止されていない限り、Windows はプラグ アンド プレイ デバイス インスタンス ID がリストに表示されるデバイスをインストールまたは更新できます (たとえば、これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する)。 "これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 デバイス インスタンス ID で指定できます。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Instance_IDs_Allow |
| フレンドリ名 | これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowInstanceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1USB\VID_1F75&PID_0917\47802411805883"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceSetupClasses
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
このポリシー設定を使用すると、Windows のインストールが許可されているドライバー パッケージのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定できます。 このポリシー設定は、従来のポリシー定義に対して "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された順序の評価を適用する場合にのみ使用することを目的としていますが、従来のポリシー定義の [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定でも使用できます。
このポリシー設定が [すべてのデバイス一致条件にデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の階層化された順序で有効になっている場合、階層内の同じ層以上の別のポリシー設定でそのインストールが特に妨げられる場合を除き、Windows はデバイス セットアップ クラスの GUID が一覧に表示されるドライバー パッケージをインストールまたは更新できます。 次のポリシー設定など:
- これらのデバイス クラスのデバイスのインストールを禁止する
- これらのデバイス ID に一致するデバイスのインストールを禁止する
- これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止します。
このポリシー設定で [すべてのデバイスのインストール ポリシーを許可および禁止する] ポリシー設定が有効になっていない場合は、特にインストールを妨げている他のポリシー設定が優先されます。
注
"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定は、サポートされているターゲット Windows 10 バージョンの "すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する" の階層化された評価順序に置き換えられました。 可能な場合は、「すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する」ポリシー設定を使用することをお勧めします。
または、このポリシー設定が [他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定と共に有効になっている場合、別のポリシー設定でインストールが特に禁止されていない限り、Windows はデバイス セットアップ クラスの GUID が一覧に表示されるドライバー パッケージをインストールまたは更新できます (たとえば、「これらのデバイス ID に一致するデバイスのインストールを禁止する」ポリシー設定)。 "これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にした場合、または構成していない場合に、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、デバイスをインストールできるかどうかを決定します。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Classes_Allow |
| フレンドリ名 | これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDeviceClasses |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 次の例では、Windows をインストールできます。
- フロッピー ディスク、ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM、ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- モデム、ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
クラス GUID を中かっこで囲 {}。 複数のクラスを構成するには、区切り記号として  を使用します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
EnableInstallationPolicyLayering
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.256] 以降 ✅ Windows 10 バージョン 1809 と KB5005102 [10.0.17763.2145] 以降 ✅ Windows 10 バージョン 1903 [10.0.18362.1714] 以降 ✅ Windows 10 バージョン 2004 と KB5004296 [10.0.19041.1151] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering
このポリシー設定は、特定のデバイスに複数のインストール ポリシー設定が適用されている場合にポリシー設定を許可および禁止する評価順序を変更します。 このポリシー設定を有効にして、より具体的な一致条件があまり特定の一致条件よりも優先される確立された階層に基づいて、重複するデバイスの一致条件が適用されるようにします。 デバイスの一致条件を指定するポリシー設定の階層的な評価順序は次のとおりです。
デバイス インスタンス ID > デバイス ID > デバイス セットアップ クラス > リムーバブル デバイスです。
デバイス インスタンス ID。
- これらのデバイス インスタンス ID に一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス インスタンス ID に一致するドライバーを使用して、デバイスのインストールを許可します。
デバイス ID。
- これらのデバイス ID に一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス ID に一致するドライバーを使用して、デバイスのインストールを許可します。
デバイス セットアップ クラス。
- これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを禁止する
- これらのデバイス セットアップ クラスに一致するドライバーを使用して、デバイスのインストールを許可します。
リムーバブル デバイス。
- リムーバブル デバイスのインストールを禁止します。
注
このポリシー設定では、"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定よりも詳細な制御が提供されます。 これらの競合するポリシー設定が同時に有効になっている場合は、ポリシー設定が有効になり、他のポリシー設定は無視されます。
このポリシー設定を無効にするか、構成しない場合は、既定の評価が使用されます。 既定では、すべての "インストールの禁止"。 ポリシー設定は、Windows がデバイスをインストールできる他のポリシー設定よりも優先されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Allow_Deny_Layered |
| フレンドリ名 | すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止するための階層化された評価順序を適用する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | AllowDenyLayered |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
Intune でカスタム プロファイルを使用して、デバイス インストール ポリシー設定の評価順序を変更することもできます。
PreventDeviceMetadataFromNetwork
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork
このポリシー設定を使用すると、Windows がインターネットからデバイス メタデータを取得できないようにすることができます。
このポリシー設定を有効にした場合、Windows はインターネットからインストールされているデバイスのデバイス メタデータを取得しません。 このポリシー設定は、[デバイスのインストール設定] ダイアログ ボックス ([コントロール パネル] > [システムとセキュリティ] > [システム] > [システムの詳細設定] > [ハードウェア] タブ) の設定をオーバーライドします。
このポリシー設定を無効にするか、構成しない場合、[デバイスのインストール設定] ダイアログ ボックスの設定によって、Windows がインターネットからデバイス メタデータを取得するかどうかを制御します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceMetadata_PreventDeviceMetadataFromNetwork |
| フレンドリ名 | インターネットからのデバイス メタデータの取得を禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\Device Metadata |
| レジストリ値の名前 | PreventDeviceMetadataFromNetwork |
| ADMX ファイル名 | DeviceSetup.admx |
PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
このポリシー設定を使用すると、他のポリシー設定で特に説明されていないデバイスのインストールを防ぐことができます。
注
このポリシー設定は、より詳細な制御を提供するために、"すべてのデバイス一致条件でデバイスのインストール ポリシーを許可および禁止する" ポリシー設定の階層化された評価順序に置き換えられました。 このポリシー設定の代わりに、[すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の [階層化された評価順序を適用する] ポリシー設定を使用することをお勧めします。
このポリシー設定を有効にした場合、[これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する]、[これらのデバイス クラスのデバイスのインストールを許可する]、または [これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定で説明されていないデバイスのドライバー パッケージのインストールまたは更新が Windows で禁止されます。
このポリシー設定を無効にするか、構成しなかった場合、Windows は、"これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する"、"これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、"これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" で説明されていないすべてのデバイスのドライバー パッケージをインストールまたは更新できます。 または "リムーバブル デバイスのインストールを禁止する" ポリシー設定。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Unspecified_Deny |
| フレンドリ名 | 他のポリシー設定で説明されていないデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyUnspecified |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、Windows が他のポリシー設定で説明されていないデバイスをインストールできないようにします。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
Intune でカスタム プロファイルを使用してインストールをブロックすることもできます。
PreventInstallationOfMatchingDeviceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
このポリシー設定を使用すると、Windows がインストールできないようにしているデバイスのプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定できます。 既定では、このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。
注
[これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定を有効にして、該当するデバイスのこのポリシー設定を置き換える場合は、[すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の階層化された評価順序を有効にします。
このポリシー設定を有効にすると、Windows は、作成した一覧にハードウェア ID または互換性のある ID が表示されるデバイスをインストールできなくなります。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、想定されるデバイスがブロックされていることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_IDs_Deny |
| フレンドリ名 | これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyDeviceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、WINDOWS が USB\Composite または USB\Class_FF のデバイス ID を持つ互換性のあるデバイスをインストールできないようにします。 複数のクラスを構成するには、区切り記号として &#xF000; を使用します。 既にインストールされている一致するデバイス クラスにポリシーを適用するには、DeviceInstall_IDs_Deny_Retroactive を true に設定します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
Intune でカスタム プロファイルを使用して、禁止されている周辺機器のインストールと使用をブロックすることもできます。
たとえば、このカスタム プロファイルでは、ハードウェア ID "USB\Composite" と "USB\Class_FF" を使用した USB デバイスのインストールと使用がブロックされ、一致するハードウェア ID が既にインストールされている USB デバイスに適用されます。
PreventInstallationOfMatchingDeviceInstanceIDs
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
このポリシー設定を使用すると、Windows がインストールできないようにしているデバイスのプラグ アンド プレイ デバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。
このポリシー設定を有効にすると、作成したリストにデバイス インスタンス ID が表示されるデバイスが Windows にインストールされなくなります。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 デバイス インスタンス ID で指定できます。 展開する前に構成をテストして、デバイスが想定どおりであることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Instance_IDs_Deny |
| フレンドリ名 | これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyInstanceIDs |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 この例では、WINDOWS が USB\VID_1F75 と USB\VID_0781 のデバイス インスタンス ID と互換性のあるデバイスをインストールできないようにします。 複数のクラスを構成するには、区切り記号として  を使用します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1USB\VID_1F75&PID_0917\478024118058832USB\VID_0781&PID_5530\4C530001191214116305"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
Intune でカスタム プロファイルを使用して、禁止されている周辺機器のインストールと使用をブロックすることもできます。
たとえば、このカスタム プロファイルでは、デバイス インスタンス ID が一致するデバイスのインストールが防止されます。
Intune でカスタム プロファイルを使用して、一致するデバイス インスタンス ID を持つデバイスのインストールを防ぐには、次の手順を実行します。
デバイス インスタンス ID を見つけます。
デバイス インスタンス ID の
&を&に置き換えます。 たとえば、USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0をUSBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0に置き換えます。注
値にスペースを使用しないでください。
デバイス インスタンス ID を
&に置き換えて、サンプルの SyncML に置き換えます。 Intune カスタム デバイス構成プロファイルに SyncML を追加します。
PreventInstallationOfMatchingDeviceSetupClasses
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
このポリシー設定を使用すると、Windows がインストールできないようにするドライバー パッケージのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定できます。 既定では、このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。
注
[これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定と [これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する] ポリシー設定を有効にして、該当するデバイスに対してこのポリシー設定を置き換える場合は、[すべてのデバイスの一致条件でデバイスのインストール ポリシーを許可および禁止する] ポリシー設定の [階層化された評価順序を適用する] を有効にします。
このポリシー設定を有効にすると、作成した一覧にデバイス セットアップ クラス GUID が表示されるドライバー パッケージのインストールまたは更新が Windows で禁止されます。
リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
このポリシー設定を無効にするか、構成しない場合、Windows は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。
周辺機器は、 ハードウェア ID で指定できます。 一般的な識別子構造の一覧については、「 デバイス識別子の形式」を参照してください。 展開する前に構成をテストして、想定されるデバイスがブロックされていることを確認します。 理想的には、ハードウェアのさまざまなインスタンスをテストします。 たとえば、1 つだけではなく、複数の USB キーをテストします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DeviceInstall_Classes_Deny |
| フレンドリ名 | これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを禁止する |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイスのインストール > デバイスのインストール制限 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| レジストリ値の名前 | DenyDeviceClasses |
| ADMX ファイル名 | DeviceInstallation.admx |
例:
このポリシーを有効にするには、次の SyncML を使用します。 次の例では、Windows がインストールされないようにします。
- フロッピー ディスク、ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM、ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- モデム、ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
クラス GUID を中かっこで囲 {}。 複数のクラスを構成するには、区切り記号として  を使用します。 既にインストールされている一致するデバイス クラスにポリシーを適用するには、DeviceInstall_Classes_Deny_Retroactive を true に設定します。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
確認:
ポリシーが適用されていることを確認するには、C:\windows\INF\setupapi.dev.log を確認し、ログの末尾付近に次の詳細が一覧表示されているかどうかを確認します。
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]