USB-apparaten beperken en specifieke USB-apparaten toestaan met beheersjablonen in Microsoft Intune

  • Artikel

Veel organisaties willen specifieke typen USB-apparaten blokkeren, zoals USB-flashstations of camera's. U kunt ook specifieke USB-apparaten toestaan, zoals een toetsenbord of muis.

U kunt ADMX-sjablonen (Beheersjablonen) gebruiken om deze instellingen in een beleid te configureren en dit beleid vervolgens te implementeren op uw Windows-apparaten. Zie Windows 10/11-sjablonen gebruiken om groepsbeleidsinstellingen in Microsoft Intune te configureren voor meer informatie over beheersjablonen en wat ze zijn.

In dit artikel ziet u het volgende:

  • Een ADMX-beleid maken met USB-instellingen in het Intune-beheercentrum
  • Een logboekbestand gebruiken voor het oplossen van problemen met apparaten die niet mogen worden geblokkeerd

Van toepassing op:

  • Windows 11
  • Windows 10

Het profiel maken

Dit beleid geeft een voorbeeld van het blokkeren (of toestaan) van functies die van invloed zijn op USB-apparaten. U kunt dit beleid als uitgangspunt gebruiken en vervolgens instellingen toevoegen of verwijderen als dat nodig is voor uw organisatie.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Configuratie>maken.

  3. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>Beheersjablonen.

  4. Selecteer Maken.

  5. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Voer bijvoorbeeld USB-apparaten beperken in.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  6. Selecteer Volgende.

  7. Configureer in Configuratie-instellingen de volgende instellingen:

    • Installatie van apparaten voorkomen die niet worden beschreven door andere beleidsinstellingen: Selecteer Ingeschakeld>OK:

      Stel in Intune de instelling Installatie van apparaten voorkomen die niet worden beschreven door andere beleidsinstellingen in op Ingeschakeld.

    • Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen: Selecteer Ingeschakeld. Voeg vervolgens de klasse-GUID toe van de apparaatklassen die u wilt toestaan.

      In het volgende voorbeeld zijn de klassen Toetsenbord, Muis en Multimedia toegestaan:

      Schermopname die laat zien hoe u Microsoft Intune gebruikt om de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen in te stellen en uw klasse-GUID's toe te voegen.

      Selecteer OK.

    • Installatie van apparaten toestaan die overeenkomen met een van deze apparaat-id's: Selecteer Ingeschakeld. Voeg vervolgens de apparaat-/hardware-id's toe voor apparaten die u wilt toestaan:

      Schermopname die laat zien hoe u Intune gebruikt om de instelling Installatie van apparaten die overeenkomen met een van deze apparaat-id's in te stellen en uw hardware-id's toe te voegen.

      Als u de apparaat-/hardware-id wilt ophalen, kunt u Apparaatbeheer gebruiken, het apparaat zoeken en de eigenschappen bekijken. Zie De hardware-id op een Windows-apparaat zoeken voor de specifieke stappen.

      Er vindt u ook nuttige informatie over apparaat-id's op Microsoft Defender voor Eindpunt Apparaatbeheer Apparaatinstallatie: Beleid implementeren en beheren via Intune.

      Selecteer OK.

  8. Selecteer Volgende.

  9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

    Selecteer Volgende.

  10. Selecteer in Toewijzingen de apparaatgroepen die het profiel ontvangen. Selecteer Volgende.

  11. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen.

Controleren op Windows-apparaten

Nadat het apparaatconfiguratieprofiel is geïmplementeerd op uw doelapparaten, kunt u controleren of het correct werkt.

Als de installatie van een USB-apparaat is geblokkeerd, ziet u een bericht dat lijkt op het volgende bericht:

The installation of this device is forbidden by system policy. Contact your system administrator.

In het volgende voorbeeld wordt de iPad geblokkeerd omdat de apparaat-id niet in de lijst met toegestane apparaat-id's staat:

Apparaat geblokkeerd door groepsbeleid.

Een apparaat is geblokkeerd, maar moet worden toegestaan

Sommige USB-apparaten hebben meerdere GUID's en het is gebruikelijk dat sommige GUID's in uw beleidsinstellingen worden gemist. Als gevolg hiervan kan een USB-apparaat dat is toegestaan in uw instellingen, worden geblokkeerd op het apparaat.

In het volgende voorbeeld wordt in de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen , de GUID van de multimediaklasse ingevoerd en wordt de camera geblokkeerd:

Windows kan uw camerabericht niet vinden op een Windows-apparaat.

De camera wordt geblokkeerd door een bericht over groepsbeleid op een Windows-apparaat.

Oplossing:

Voer de volgende stappen uit om de GUID van uw apparaat te vinden:

  1. Open het bestand op het %windir%\inf\setupapi.dev.log apparaat.

  2. In het bestand:

    1. Zoek naar Beperkte installatie van apparaten die niet door het beleid worden beschreven.

    2. Zoek in deze sectie de Class GUID of device changed to: {GUID} tekst. Voeg dit {GUID} toe aan uw beleid.

      In het volgende voorbeeld ziet u de Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} tekst:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. Ga in het apparaatconfiguratieprofiel naar de instelling Installatie van apparaten toestaan met stuurprogramma's die overeenkomen met deze apparaatinstallatieklassen en voeg de klasse-GUID toe vanuit het logboekbestand.

  4. Als het probleem zich blijft voordoen, herhaalt u deze stappen om de andere klasse-GUID's toe te voegen totdat het apparaat is geïnstalleerd.

    In ons voorbeeld worden de volgende klasse-GUID's toegevoegd aan het apparaatprofiel:

    • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Algemene klasse-GUID's om USB-apparaten toe te staan

  • Toetsenbord en muis: voeg de volgende GUID's toe aan het apparaatprofiel:

    • Toetsenbord: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Muis: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Camera's, hoofdtelefoons en microfoons: voeg de volgende GUID's toe aan het apparaatprofiel:

    • USB Bus-apparaten (hubs en hostcontrollers): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Cameraapparaten: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Beeldapparaten: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Systeemapparaten: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometrische apparaten: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Algemene softwareapparaten: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Hoofdtelefoon van 3,5 mm: voeg de volgende GUID's toe aan het apparaatprofiel:

    • Multimediaapparaten: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Audio-eindpunt: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Opmerking

De werkelijke GUID's kunnen verschillen voor uw specifieke apparaten.

Volgende stappen

Meer informatie over ADMX-sjablonen in Microsoft Intune