Share via

USB-apparaten beperken en specifieke USB-apparaten toestaan met beheersjablonen in Microsoft Intune

  • Artikel

Veel organisaties willen specifieke typen USB-apparaten blokkeren, zoals USB-flashstations of camera's. U kunt ook specifieke USB-apparaten toestaan, zoals een toetsenbord of muis.

U kunt ADMX-sjablonen (Beheersjablonen) gebruiken om deze instellingen in een beleid te configureren en dit beleid vervolgens te implementeren op uw Windows-apparaten. Zie Windows 10/11-sjablonen gebruiken om groepsbeleidsinstellingen in Microsoft Intune te configureren voor meer informatie over beheersjablonen en wat dit zijn.

In dit artikel ziet u het volgende:

  • Een ADMX-beleid maken met USB-instellingen in het Intune-beheercentrum
  • Een logboekbestand gebruiken voor het oplossen van problemen met apparaten die niet mogen worden geblokkeerd

Dit artikel is van toepassing op:

  • Windows 11
  • Windows 10

Het profiel maken

Dit beleid geeft een voorbeeld van het blokkeren (of toestaan) van functies die van invloed zijn op USB-apparaten. U kunt dit beleid als uitgangspunt gebruiken en vervolgens instellingen toevoegen of verwijderen als dat nodig is voor uw organisatie.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.

  3. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>Beheersjablonen.

  4. Selecteer Maken.

  5. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Voer bijvoorbeeld USB-apparaten beperken in.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  6. Selecteer Volgende.

  7. Configureer in Configuratie-instellingen de volgende instellingen:

    • Installatie van apparaten voorkomen die niet worden beschreven door andere beleidsinstellingen: Selecteer Ingeschakeld>OK:

      Stel in Intune de instelling Installatie van apparaten voorkomen die niet worden beschreven door andere beleidsinstellingen in op Ingeschakeld.

    • Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen: Selecteer Ingeschakeld. Voeg vervolgens de klasse-GUID toe van de apparaatklassen die u wilt toestaan.

      In het volgende voorbeeld zijn de klassen Toetsenbord, Muis en Multimedia toegestaan:

      Schermopname die laat zien hoe u Microsoft Intune gebruikt om de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen in te stellen met uw klasse-GUID's.

      Selecteer OK.

    • Installatie van apparaten toestaan die overeenkomen met een van deze apparaat-id's: Selecteer Ingeschakeld. Voeg vervolgens de apparaat-/hardware-id's toe voor apparaten die u wilt toestaan:

      Schermopname die laat zien hoe u Intune gebruikt om de instelling Installatie van apparaten toestaan die overeenkomen met een van deze apparaat-id's in te stellen met uw hardware-id's.

      Als u de apparaat-/hardware-id wilt ophalen, kunt u Apparaatbeheer gebruiken, het apparaat zoeken en de eigenschappen bekijken. Zie De hardware-id op een Windows-apparaat zoeken voor de specifieke stappen.

      Er zijn ook nuttige informatie over apparaat-id's beschikbaar op Microsoft Defender voor Eindpunt Apparaatbeheer Apparaatinstallatie: Beleid implementeren en beheren via Intune.

      Selecteer OK.

  8. Selecteer Volgende.

  9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

    Selecteer Volgende.

  10. Selecteer in Toewijzingen de apparaatgroepen die het profiel ontvangen. Selecteer Volgende.

  11. Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen.

Controleren op Windows-apparaten

Nadat het apparaatconfiguratieprofiel is geïmplementeerd op uw doelapparaten, kunt u controleren of het correct werkt.

Als de installatie van een USB-apparaat is geblokkeerd, ziet u een bericht dat lijkt op het volgende bericht:

The installation of this device is forbidden by system policy. Contact your system administrator.

In het volgende voorbeeld wordt de iPad geblokkeerd omdat de apparaat-id niet in de lijst met toegestane apparaat-id's staat:

Apparaat geblokkeerd door groepsbeleid.

Een apparaat is geblokkeerd, maar moet worden toegestaan

Sommige USB-apparaten hebben meerdere GUID's en het is gebruikelijk dat sommige GUID's in uw beleidsinstellingen worden gemist. Als gevolg hiervan kan een USB-apparaat dat is toegestaan in uw instellingen, worden geblokkeerd op het apparaat.

In het volgende voorbeeld wordt in de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen , de GUID van de multimediaklasse ingevoerd en wordt de camera geblokkeerd:

Windows kan uw camerabericht niet vinden op een Windows-apparaat.

De camera wordt geblokkeerd door een bericht over groepsbeleid op een Windows-apparaat.

Oplossing:

Voer de volgende stappen uit om de GUID van uw apparaat te vinden:

  1. Open het bestand op het %windir%\inf\setupapi.dev.log apparaat.

  2. In het bestand:

    1. Zoek naar Beperkte installatie van apparaten die niet door het beleid worden beschreven.

    2. Zoek in deze sectie de Class GUID of device changed to: {GUID} tekst. Voeg dit {GUID} toe aan uw beleid.

      In het volgende voorbeeld ziet u de Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} tekst:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. Ga in het apparaatconfiguratieprofiel naar de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen en voeg de klasse-GUID toe vanuit het logboekbestand.

  4. Als het probleem zich blijft voordoen, herhaalt u deze stappen om de andere klasse-GUID's toe te voegen totdat het apparaat is geïnstalleerd.

    In ons voorbeeld worden de volgende klasse-GUID's toegevoegd aan het apparaatprofiel:

    • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Algemene klasse-GUID's om USB-apparaten toe te staan

  • Toetsenbord en muis: voeg de volgende GUID's toe aan het apparaatprofiel:

    • Toetsenbord: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Muis: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Camera's, hoofdtelefoons en microfoons: voeg de volgende GUID's toe aan het apparaatprofiel:

    • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Systeemapparaten: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometrische apparaten: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Algemene softwareapparaten: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Hoofdtelefoon van 3,5 mm: voeg de volgende GUID's toe aan het apparaatprofiel:

    • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Audio-eindpunt: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Opmerking

De werkelijke GUID's kunnen afwijken voor uw specifieke apparaten.