Ograniczanie urządzeń USB i zezwalanie na określone urządzenia USB przy użyciu szablonów administracyjnych w usłudze Microsoft Intune

Wiele organizacji chce blokować określone typy urządzeń USB, takich jak dyski flash USB lub kamery. Możesz również zezwolić na określone urządzenia USB, takie jak klawiatura lub mysz.

Szablony szablonów administracyjnych (ADMX) umożliwiają skonfigurowanie tych ustawień w zasadach, a następnie wdrożenie tych zasad na urządzeniach z systemem Windows. Aby uzyskać więcej informacji na temat szablonów administracyjnych i ich właściwości, zobacz Konfigurowanie ustawień zasad grupy w usłudze Microsoft Intune za pomocą szablonów systemu Windows 10/11.

W tym artykule przedstawiono następujące informacje:

• Jak utworzyć zasady ADMX z ustawieniami USB w centrum administracyjnym usługi Intune
• Jak używać pliku dziennika do rozwiązywania problemów z urządzeniami, które nie powinny być blokowane

Ten artykuł dotyczy:

• System Windows 11
• Windows 10

Tworzenie profilu

Te zasady przedstawiają przykład sposobu blokowania (lub zezwalania) funkcji wpływających na urządzenia USB. Tych zasad można użyć jako punktu początkowego, a następnie dodać lub usunąć ustawienia zgodnie z potrzebami organizacji.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję Windows 10 i nowsze.
   • Typ profilu: wybierz pozycję Szablony Szablony Szablony>administracyjne.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Na przykład wprowadź wartość Ogranicz urządzenia USB.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:

   • Zapobiegaj instalacji urządzeń, które nie są opisane w innych ustawieniach zasad: wybierz pozycję Włączone>OK:

     

   • Zezwalaj na instalację urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń: wybierz pozycję Włączone. Następnie dodaj identyfikator GUID klasy klas urządzeń , na które chcesz zezwolić.

     W poniższym przykładzie dozwolone są klasy Klawiatura, Mysz i Multimedia :

     

     Wybierz przycisk OK.

   • Zezwalaj na instalację urządzeń zgodnych z dowolnym z tych identyfikatorów urządzeń: wybierz pozycję Włączone. Następnie dodaj identyfikatory urządzeń/sprzętu dla urządzeń, na które chcesz zezwolić:

     

     Aby uzyskać identyfikator urządzenia/sprzętu, możesz użyć Menedżera urządzeń, znaleźć urządzenie i przyjrzeć się właściwościom. Aby zapoznać się z konkretnymi krokami, zobacz znajdowanie identyfikatora sprzętu na urządzeniu z systemem Windows.

     Istnieje również kilka przydatnych informacji o identyfikatorze urządzenia w usłudze Microsoft Defender for Endpoint Device Control Device Installation: Deploying and managing policy via Intune (Instalowanie zasad i zarządzanie nimi za pośrednictwem usługi Intune).

     Wybierz przycisk OK.

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz grupy urządzeń, które otrzymają profil. Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane i zostanie przypisany profil.

Weryfikowanie na urządzeniach z systemem Windows

Po wdrożeniu profilu konfiguracji urządzenia na urządzeniach docelowych możesz potwierdzić, że działa on poprawnie.

Jeśli instalacja urządzenia USB jest zablokowana, zostanie wyświetlony komunikat podobny do następującego:

The installation of this device is forbidden by system policy. Contact your system administrator.

W poniższym przykładzie tablet iPad jest zablokowany, ponieważ jego identyfikator urządzenia nie znajduje się na liście dozwolonych identyfikatorów urządzeń:

Urządzenie jest zablokowane, ale powinno być dozwolone

Niektóre urządzenia USB mają wiele identyfikatorów GUID i często brakuje niektórych identyfikatorów GUID w ustawieniach zasad. W związku z tym urządzenie USB, które jest dozwolone w ustawieniach, może zostać zablokowane na urządzeniu.

W poniższym przykładzie w ustawieniu Zezwalaj na instalację urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń wprowadzany jest identyfikator GUID klasy Multimedia, a aparat jest zablokowany:

Rozwiązanie:

Aby znaleźć identyfikator GUID urządzenia, wykonaj następujące kroki:

1. Na urządzeniu otwórz %windir%\inf\setupapi.dev.log plik.

2. W pliku:

   1. Wyszukaj pozycję Ograniczona instalacja urządzeń, które nie są opisane przez zasady.

   2. W tej sekcji znajdź Class GUID of device changed to: {GUID} tekst. Dodaj tę wartość {GUID} do zasad.

      W poniższym przykładzie zostanie wyświetlony Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} tekst:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      

3. W profilu konfiguracji urządzenia przejdź do pozycji Zezwalaj na instalację urządzeń przy użyciu sterowników zgodnych z tym ustawieniem klas konfiguracji urządzeń i dodaj identyfikator GUID klasy z pliku dziennika.

4. Jeśli problem będzie się powtarzać, powtórz te kroki, aby dodać inne identyfikatory GUID klas, dopóki urządzenie nie zostanie pomyślnie zainstalowane.

   W naszym przykładzie do profilu urządzenia są dodawane następujące identyfikatory GUID klas:

   • Urządzenia magistrali USB (koncentratory i kontrolery hostów): {36fc9e60-c465-11cf-8056-444553540000}
   • Urządzenia interfejsu ludzkiego (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
   • Urządzenia z aparatem fotograficznym: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
   • Urządzenia do przetwarzania obrazów: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Typowe identyfikatory GUID klas umożliwiające korzystanie z urządzeń USB

• Klawiatura i mysz: dodaj następujące identyfikatory GUID do profilu urządzenia:

  • Klawiatura: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • Mysz: {4d36e96f-e325-11ce-bfc1-08002be10318}

• Aparaty fotograficzne, słuchawki i mikrofony: dodaj następujące identyfikatory GUID do profilu urządzenia:

  • Urządzenia magistrali USB (koncentratory i kontrolery hostów): {36fc9e60-c465-11cf-8056-444553540000}
  • Urządzenia interfejsu ludzkiego (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • Urządzenia multimedialne: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Urządzenia z aparatem fotograficznym: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • Urządzenia do przetwarzania obrazów: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • Urządzenia systemowe: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • Urządzenia biometryczne: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • Ogólne urządzenia programowe: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

• Słuchawki 3,5 mm: Dodaj następujące identyfikatory GUID do profilu urządzenia:

  • Urządzenia multimedialne: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Punkt końcowy dźwięku: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Uwaga

Rzeczywiste identyfikatory GUID mogą być inne w przypadku konkretnych urządzeń.

Artykuły pokrewne

• Dowiedz się więcej o szablonach ADMX w usłudze Microsoft Intune