USB-apparaten beperken en specifieke USB-apparaten toestaan met behulp van de instellingencatalogus in Microsoft Intune

Veel organisaties willen specifieke typen USB-apparaten blokkeren, zoals USB-flashstations of camera's. U kunt ook specifieke USB-apparaten toestaan, zoals een toetsenbord of muis.

U kunt de instellingencatalogus in Microsoft Intune gebruiken om deze instellingen in een beleid te configureren en dit beleid vervolgens te implementeren op uw Windows-apparaten. Zie De instellingencatalogus gebruiken om apparaatinstellingen te configureren in Microsoft Intune voor meer informatie over de instellingencatalogus.

In dit artikel ziet u het volgende:

• Catalogusbeleid voor instellingen maken met USB-instellingen in het Intune-beheercentrum
• Een logboekbestand gebruiken voor het oplossen van problemen met apparaten die niet mogen worden geblokkeerd

Dit artikel is van toepassing op:

• Windows

Vereisten

• Als u het catalogusbeleid voor instellingen wilt configureren, meldt u zich minimaal aan bij het Intune-beheercentrum met de rol Beleids- en profielbeheerder . Ga naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor informatie over de ingebouwde rollen in Intune en wat ze kunnen doen.

Het profiel maken

Dit beleid geeft een voorbeeld van het blokkeren (of toestaan) van functies die van invloed zijn op USB-apparaten. U kunt dit beleid als uitgangspunt gebruiken en vervolgens instellingen toevoegen of verwijderen als dat nodig is voor uw organisatie.

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.

3. Geef de volgende eigenschappen op:

   • Platform: selecteer Windows 10 en hoger.
   • Profieltype: selecteer Instellingencatalogus.

4. Selecteer Maken.

5. Voer in Basisinformatie de volgende eigenschappen in:

   • Naam: een unieke beschrijvende naam voor het beleid. Voer bijvoorbeeld USB-apparaten beperken in.
   • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

6. Selecteer Volgende.

7. Selecteer in Configuratie-instellingende optie Instellingen toevoegen. Ga in de instellingenkiezer naar Beheersjablonen>Systeemapparaatinstallatie>>Apparaatinstallatie Beperkingen voor installatie van apparaten. Selecteer de volgende instellingen:

   • Installatie toestaan van apparaten die overeenkomen met een van deze apparaat-id's
   • Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen
   • Installatie van apparaten voorkomen die niet worden beschreven door andere beleidsinstellingen

   

8. Sluit de instellingenkiezer. Configureer de instellingen die u hebt geselecteerd:

   • Installatie van apparaten toestaan die overeenkomen met een van deze apparaat-id's: Selecteer Ingeschakeld. Voeg de apparaat-/hardware-id's toe voor apparaten die u wilt toestaan.

     Als u de apparaat-/hardware-id wilt ophalen, kunt u Apparaatbeheer gebruiken, het apparaat zoeken en de eigenschappen bekijken. Zie De hardware-id op een Windows-apparaat zoeken voor de specifieke stappen.

     Er vindt u ook nuttige informatie over apparaat-id's in Apparaatbeheer implementeren en beheren in Microsoft Defender voor Eindpunt met Microsoft Intune.

   • Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen: Selecteer Ingeschakeld. Voeg de door het systeem gedefinieerde apparaatinstallatieklassen toe die beschikbaar zijn voor leveranciers die u wilt toestaan.

     In de volgende afbeelding zijn de klassen Toetsenbord, Muis en Multimedia toegestaan.

   • Installatie van apparaten voorkomen die niet worden beschreven in andere beleidsinstellingen: Selecteer Ingeschakeld.

   Wanneer de instellingen zijn ingeschakeld en geconfigureerd, ziet uw beleid eruit als de volgende beleidsinstellingen:

   

9. Selecteer Volgende.

10. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

    Selecteer Volgende.

11. Selecteer in Toewijzingen de apparaatgroepen die het profiel ontvangen. Selecteer Volgende.

12. Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen.

Controleren op Windows-apparaten

Nadat het apparaatconfiguratieprofiel is geïmplementeerd op uw doelapparaten, kunt u controleren of het correct werkt.

Als de installatie van een USB-apparaat is geblokkeerd, ziet u een bericht dat lijkt op het volgende bericht:

The installation of this device is forbidden by system policy. Contact your system administrator.

In het volgende voorbeeld wordt de iPad geblokkeerd omdat de apparaat-id niet in de lijst met toegestane apparaat-id's staat:

Een apparaat is geblokkeerd, maar moet worden toegestaan

Sommige USB-apparaten hebben meerdere GUID's en het is gebruikelijk dat sommige GUID's in uw beleidsinstellingen worden gemist. Als gevolg hiervan kan een USB-apparaat dat is toegestaan in uw instellingen, worden geblokkeerd op het apparaat.

In het volgende voorbeeld wordt in de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen , de GUID van de multimediaklasse ingevoerd en wordt de camera geblokkeerd:

Oplossing:

Voer de volgende stappen uit om de GUID van uw apparaat te vinden:

1. Open het bestand op het %windir%\inf\setupapi.dev.log apparaat.

2. In het bestand:

   1. Zoek naar Beperkte installatie van apparaten die niet door het beleid worden beschreven.

   2. Zoek in deze sectie de Class GUID of device changed to: {GUID} tekst. Voeg dit {GUID} toe aan uw beleid.

      In het volgende voorbeeld ziet u de Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} tekst:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      

3. Ga in het apparaatconfiguratieprofiel naar de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen en voeg de klasse-GUID toe vanuit het logboekbestand.

4. Als het probleem zich blijft voordoen, herhaalt u deze stappen om de andere klasse-GUID's toe te voegen totdat het apparaat is geïnstalleerd.

   In ons voorbeeld worden de volgende klasse-GUID's toegevoegd aan het apparaatprofiel:

   • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
   • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
   • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
   • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Algemene klasse-GUID's om USB-apparaten toe te staan

• Toetsenbord en muis: voeg de volgende GUID's toe aan het apparaatprofiel:

  • Toetsenbord: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • Muis: {4d36e96f-e325-11ce-bfc1-08002be10318}

• Camera's, hoofdtelefoons en microfoons: voeg de volgende GUID's toe aan het apparaatprofiel:

  • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
  • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • Systeemapparaten: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • Biometrische apparaten: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • Algemene softwareapparaten: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

• Hoofdtelefoon van 3,5 mm: voeg de volgende GUID's toe aan het apparaatprofiel:

  • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Audio-eindpunt: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Opmerking

De werkelijke GUID's kunnen afwijken voor uw specifieke apparaten.

Verwante artikelen

• De intune-instellingencatalogus gebruiken om instellingen te configureren