USB 장치를 제한하고 Microsoft Intune 관리 템플릿을 사용하여 특정 USB 장치 허용하기

많은 조직에서 USB 플래시 드라이브 또는 카메라와 같은 특정 유형의 USB 장치를 차단하려고 합니다. 키보드나 마우스 같은 특정 USB 장치를 허용할 수도 있습니다.

ADMX(관리 템플릿) 템플릿을 사용하여 정책에서 이러한 설정을 구성한 다음 이 정책을 Windows 장치에 배포할 수 있습니다. 관리 템플릿에 대해 자세한 내용은 Windows 10/11 관리 템플릿을 사용하여 Microsoft Intune에서 그룹 정책 설정 구성을 참조하세요.

이 문서에서는 다음을 보여줍니다.

• Intune 관리 센터에서 USB 설정을 사용하여 ADMX 정책을 만드는 방법
• 로그 파일을 사용하여 차단해서는 안 되는 디바이스 문제를 해결하는 방법

적용 대상:

• Windows 11
• Windows 10

프로필 만들기

이 정책은 USB 디바이스에 영향을 주는 기능을 차단(또는 허용)하는 방법의 예를 제공합니다. 이 정책을 시작점으로 사용한 다음, 조직에 필요한 설정을 추가하거나 제거할 수 있습니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>>디바이스 관리구성>새 정책만들기>를 선택합니다.

3. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 템플릿>관리 템플릿을 선택합니다.

4. 만들기를 선택합니다.

5. 기본에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 예를 들어 USB 장치 제한을 입력합니다.
   • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

6. 다음을 선택합니다.

7. 구성 설정에서 다음 설정을 구성합니다.

   • 다른 정책 설정으로 설명되지 않는 장치 설치 방지: 사용>확인을 선택합니다.:

     

   • 이러한 장치 설정 클래스와 일치하는 드라이버를 사용하여 장치 설치를 허용: 사용을 선택합니다. 그런 다음, 허용하려는 장치 클래스의 클래스 GUID를 추가합니다.

     다음 예제에서는 키보드, 마우스, 멀티미디어 클래스가 허용됩니다.

     

     확인을 선택합니다.

   • 장치 ID와 일치하는 장치 설치 허용: 사용을 선택합니다. 그런 다음, 허용하려는 장치의 장치/하드웨어 ID를 추가합니다.

     

     장치 관리자를 사용하고 장치를 찾아 속성을 확인하는 것으로 장치/하드웨어 ID를 가져올 수 있습니다. 특정 단계는 Windows 장치에서 하드웨어 ID 찾기를 참조합니다.

     엔드포인트용 Microsoft Defender 디바이스 제어 디바이스 설치: Intune을 통한 정책 배포 및 관리에 유용한 디바이스 ID 정보도 있습니다.

     확인을 선택합니다.

8. 다음을 선택합니다.

9. 범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링하는 태그를 할당합니다. 범위 태그에 대한 자세한 내용은 역할 기반 액세스 컨트롤(RBAC) 및 배포된 IT의 범위 태그 사용을 참조하세요.

   다음을 선택합니다.

10. 할당에서 프로필을 수신할 장치 그룹을 선택합니다. 다음을 선택합니다.

11. 검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다.

Windows 장치에서 확인하기

장치 구성 프로필을 대상 장치에 배포한 뒤 올바르게 작동하는지 확인할 수 있습니다.

USB 장치 설치를 차단한 경우, 다음과 유사한 메시지가 표시됩니다.

The installation of this device is forbidden by system policy. Contact your system administrator.

다음 예제에서는 iPad의 장치 ID가 허용된 장치 ID 목록에 없어 차단된 상태입니다.

장치는 차단된 상태이지만 허용되어야 합니다.

일부 USB 장치에는 GUID가 여러 개 있고 정책 설정에서 일부 GUID를 누락하는 경우가 많습니다. 그러므로 설정에서 허용하지 않은 USB 장치라면 장치에서 차단될 수 있습니다.

다음 예제에서는 이러한 장치 설정 클래스와 일치하는 드라이버를 사용하여 장치 설치를 허용 설정에서, 멀티미디어 클래스 GUID 는 입력되지만 카메라는 차단된 상태입니다.

해결 방법:

다음 단계를 통해 장치의 GUID를 찾습니다.

1. 장치에서 %windir%\inf\setupapi.dev.log 파일을 엽니다.

2. 파일에서 다음을 수행합니다.

   1. 정책에 설명되지 않은 장치의 제한적인 설치를 검색합니다.

   2. 해당 구역에서 Class GUID of device changed to: {GUID} 텍스트를 찾습니다. 정책에 이 {GUID} 항목을 추가합니다.

      다음 예제에서는 Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} 텍스트가 표시됩니다.

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      

3. 장치 구성 프로필에서, 이러한 장치 설정 클래스와 일치하는 드라이버를 사용하여 장치 설치를 허용 설정으로 이동하여, 로그 파일의 클래스 GUID를 추가합니다.

4. 문제가 계속되면 이 단계를 반복해가며 장치를 성공적으로 설치할 때까지 다른 클래스 GUID들을 추가합니다.

   예제에서는 다음 클래스 GUID가 장치 프로필에 추가됩니다.

   • USB 버스 장치(허브 및 호스트 컨트롤러): {36fc9e60-c465-11cf-8056-444553540000}
   • HID(휴먼 인터페이스 장치): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
   • 카메라 장치: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
   • 이미징 장치: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

USB 장치를 허용하는 공용 클래스 GUID

• 키보드 및 마우스: 장치 프로필에 다음 GUID를 추가합니다.

  • 키보드: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • 마우스: {4d36e96f-e325-11ce-bfc1-08002be10318}

• 카메라, 헤드폰 및 마이크: 디바이스 프로필에 다음 GUID를 추가합니다.

  • USB 버스 장치(허브 및 호스트 컨트롤러): {36fc9e60-c465-11cf-8056-444553540000}
  • HID(휴먼 인터페이스 장치): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • 멀티미디어 장치: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • 카메라 장치: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • 이미징 장치: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • 시스템 장치: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • 생체 인식 장치: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • 일반 소프트웨어 장치: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

• 3.5mm 헤드폰: 장치 프로필에 다음 GUID를 추가합니다.

  • 멀티미디어 장치: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • 오디오 끝점: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

참고

실제 GUID는 특정 장치에 따라 다를 수 있습니다.

다음 단계

Microsoft Intune에서 ADMX 템플릿에 대해 자세히 알아보기