Política CSP – DeviceInstallation

  • Artigo

Dica

Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.

AllowInstallationOfMatchingDeviceIDs

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1809 [10.0.17763] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Essa configuração de política permite especificar uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a configuração da política "Aplicar uma ordem em camadas de avaliação para permitir e impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivo" estiver habilitada, no entanto, também pode ser usada com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração de política "Aplicar ordem em camadas de avaliação para permitir e impedir políticas de instalação de dispositivo em todos os critérios de correspondência do dispositivo", o Windows pode instalar ou atualizar qualquer dispositivo cuja ID de hardware Plug and Play ou ID compatível apareça na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo.

Se a configuração da política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Observação

A configuração da política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" para versões de Windows 10 de destino com suporte. É recomendável que você use a configuração da política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência de dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar qualquer dispositivo cuja ID de hardware Plug and Play ou ID compatível apareça na lista criada, a menos que outra configuração de política impeça especificamente essa instalação (por exemplo, a política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo" configuração, a configuração da política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo" ou a configuração de política "Impedir a instalação de dispositivos removíveis").

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Os periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificadores comuns, consulte Formatos de Identificador de Dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_IDs_Allow
Nome Amigável Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro AllowDeviceIDs
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo permite que o Windows instale dispositivos compatíveis com uma ID do dispositivo de USB\Composite ou USB\Class_FF. Para configurar várias classes, use &#xF000; como delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 2004 [10.0.19041] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a configuração da política "Aplicar uma ordem em camadas de avaliação para permitir e impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivo" estiver habilitada, no entanto, também pode ser usada com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração da política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo", o Windows pode instalar ou atualizar qualquer dispositivo cuja ID da instância do dispositivo Plug and Play aparece na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo.

Se a configuração da política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Observação

A configuração da política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" para versões de Windows 10 de destino com suporte. É recomendável que você use a configuração da política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência de dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar qualquer dispositivo cuja ID da instância do dispositivo Plug and Play aparece na lista criada, a menos que outra configuração de política impeça especificamente essa instalação (por exemplo, a configuração "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo", a configuração da política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo" ou a configuração de política "Impedir a instalação de dispositivos removíveis").

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Os periféricos podem ser especificados pela ID da instância do dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Instance_IDs_Allow
Nome Amigável Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro AllowInstanceIDs
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1809 [10.0.17763] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Essa configuração de política permite especificar uma lista de GUIDs (identificadores globalmente exclusivos) de classe de configuração de dispositivo para pacotes de driver que o Windows tem permissão para instalar. Essa configuração de política destina-se a ser usada somente quando a configuração da política "Aplicar uma ordem em camadas de avaliação para permitir e impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivo" estiver habilitada, no entanto, também pode ser usada com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração da política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação de dispositivos em todos os critérios de correspondência do dispositivo", o Windows pode instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação de dispositivo aparecem na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos para essas classes de dispositivo
  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo.

Se a configuração da política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" não estiver habilitada com essa configuração de política, qualquer outra configuração de política especificamente impedindo a instalação terá precedência.

Observação

A configuração da política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação de dispositivo em todos os critérios de correspondência de dispositivo" para versões de Windows 10 de destino com suporte. É recomendável que você use a configuração da política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência de dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação do dispositivo aparecem na lista que você cria, a menos que outra configuração de política impeça especificamente a instalação (por exemplo, a configuração de política "Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo", a configuração da política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo" ou a configuração de política "Impedir a instalação de dispositivos removíveis").

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Os periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificadores comuns, consulte Formatos de Identificador de Dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Classes_Allow
Nome Amigável Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro AllowDeviceClasses
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo permite que o Windows instale:

  • Disquetes, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Inclua a classe GUID dentro de colchetes {}encaracolados . Para configurar várias classes, use &#xF000; como delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅ [10.0.20348.256] e posterior
✅Windows 10, versão 1809 [10.0.17763.2145] e posterior
✅Windows 10, versão 1903 [10.0.18362.1714] e posterior
✅Windows 10, versão 2004 [10.0.19041.1151] e posterior
✅Windows 11, versão 21H2 [10.0.22000] e posterior		 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

Essa configuração de política alterará a ordem de avaliação na qual as configurações Permitir e Impedir políticas são aplicadas quando mais de uma configuração de política de instalação for aplicável a um determinado dispositivo. Habilite essa configuração de política para garantir que os critérios de correspondência de dispositivo sobrepostos sejam aplicados com base em uma hierarquia estabelecida em que critérios de correspondência mais específicos substituem critérios de correspondência menos específicos. A ordem hierárquica de avaliação para configurações de política que especificam critérios de correspondência de dispositivo é a seguinte:

IDs de instância do > dispositivo Dispositivo IDs > Dispositivo classe > dispositivo removível dispositivos.

IDs da instância do dispositivo.

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs da instância do dispositivo
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs da instância do dispositivo.

IDs do dispositivo.

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs de dispositivo
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs do dispositivo.

Classe de configuração do dispositivo.

  1. Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
  2. Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo.

Dispositivos removíveis.

  1. Impedir a instalação de dispositivos removíveis.

Observação

Essa configuração de política fornece um controle mais granular do que a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política". Se essas configurações de política conflitantes estiverem habilitadas ao mesmo tempo, a configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos" será habilitada e a outra configuração de política será ignorada.

Se você desabilitar ou não configurar essa configuração de política, a avaliação padrão será usada. Por padrão, todos "Impedir a instalação". As configurações de política têm precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Allow_Deny_Layered
Nome Amigável Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro AllowDenyLayered
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode alterar a ordem de avaliação das configurações da política de instalação do dispositivo usando um perfil personalizado no Intune.

Essa imagem é uma imagem de linha de edição.

PreventDeviceMetadataFromNetwork

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1809 [10.0.17763] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

Essa configuração de política permite impedir que o Windows recupere metadados do dispositivo da Internet.

  • Se você habilitar essa configuração de política, o Windows não recuperará metadados de dispositivo para dispositivos instalados da Internet. Essa configuração de política substitui a configuração na caixa de diálogo Configurações de Instalação do Dispositivo (Painel de Controle > guia Hardware de Configurações avançadas > do sistema e do sistema > de segurança>).

  • Se você desabilitar ou não configurar essa configuração de política, a configuração na caixa de diálogo Configurações de Instalação do Dispositivo controlará se o Windows recupera metadados do dispositivo da Internet.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceMetadata_PreventDeviceMetadataFromNetwork
Nome Amigável Impedir a recuperação de metadados do dispositivo da Internet
Localização Configuração do Computador
Caminho Instalação do dispositivo do sistema >
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\Windows\Metadados de dispositivo
Nome do Valor do Registro PreventDeviceMetadataFromNetwork
Nome do Arquivo ADMX DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1809 [10.0.17763] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Essa configuração de política permite impedir a instalação de dispositivos que não são descritos especificamente por qualquer outra configuração de política.

Observação

Essa configuração de política foi substituída pela configuração da política "Aplicar uma ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" para fornecer um controle mais granular. É recomendável que você use a configuração da política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" em vez dessa configuração de política.

  • Se você habilitar essa configuração de política, o Windows será impedido de instalar ou atualizar o pacote de driver para qualquer dispositivo que não seja descrito pela política "Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo", "Permitir a instalação de dispositivos para essas classes de dispositivo" ou a configuração de política "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo".

  • Se você desabilitar ou não configurar essa configuração de política, o Windows poderá instalar ou atualizar o pacote de driver para qualquer dispositivo que não seja descrito pela configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo", "Impedir a instalação de dispositivos para essas classes de dispositivo", "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo", ou configuração da política "Impedir a instalação de dispositivos removíveis".

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Unspecified_Deny
Nome Amigável Impedir a instalação de dispositivos não descritos por outras configurações de política
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro DenyUnspecified
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede que o Windows instale dispositivos que não são descritos por nenhuma outra configuração de política.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação usando um perfil personalizado no Intune.

O perfil personalizado impede dispositivos.

PreventInstallationOfMatchingDeviceIDs

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1703 [10.0.15063] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Essa configuração de política permite especificar uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Observação

Para habilitar a configuração de política "Permitir a instalação de dispositivos que correspondem a qualquer uma dessas IDs de instância de dispositivo" para substituir essa configuração de política para dispositivos aplicáveis, habilite a configuração da política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo".

  • Se você habilitar essa configuração de política, o Windows será impedido de instalar um dispositivo cuja ID de hardware ou ID compatível aparece na lista que você cria.

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Os periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificadores comuns, consulte Formatos de Identificador de Dispositivo. Teste a configuração antes de implantá-la para garantir que ela bloqueie os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_IDs_Deny
Nome Amigável Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro DenyDeviceIDs
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede que o Windows instale dispositivos compatíveis com uma ID do dispositivo de USB\Composite ou USB\Class_FF. Para configurar várias classes, use &amp;#xF000; como delimitador. Para aplicar a política às classes de dispositivo correspondentes que já estão instaladas, defina DeviceInstall_IDs_Deny_Retroactive como true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação e o uso de periféricos proibidos usando um perfil personalizado no Intune.

Por exemplo, esse perfil personalizado bloqueia a instalação e o uso de dispositivos USB com IDs de hardware "USB\Composite" e "USB\Class_FF", e se aplica a dispositivos USB com IDs de hardware correspondentes que já estão instaladas.

O perfil personalizado impede ids do dispositivo.

PreventInstallationOfMatchingDeviceInstanceIDs

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 2004 [10.0.19041] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows está impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

  • Se você habilitar essa configuração de política, o Windows será impedido de instalar um dispositivo cuja ID da instância do dispositivo aparece na lista criada.

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Os periféricos podem ser especificados pela ID da instância do dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Instance_IDs_Deny
Nome Amigável Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro DenyInstanceIDs
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede que o Windows instale dispositivos compatíveis com IDs da instância do dispositivo de USB\VID_1F75 e USB\VID_0781. Para configurar várias classes, use &#xF000; como delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação e o uso de periféricos proibidos usando um perfil personalizado no Intune.

Por exemplo, esse perfil personalizado impede a instalação de dispositivos com IDs de instância de dispositivo correspondentes.

Perfil personalizado.

Para impedir a instalação de dispositivos com IDs de instância de dispositivo correspondentes usando o perfil personalizado em Intune:

  1. Localize a ID da instância do dispositivo.

  2. Substitua & nas IDs da instância do dispositivo por &amp;. Por exemplo: Substituir por USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0.

    Observação

    Não use espaços no valor.

  3. Substitua as IDs da instância do dispositivo pelo &amp; no SyncML de exemplo. Adicione o SyncML ao Intune perfil de configuração de dispositivo personalizado.

PreventInstallationOfMatchingDeviceSetupClasses

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 1703 [10.0.15063] e posterior 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Essa configuração de política permite especificar uma lista de GUIDs (identificadores globalmente exclusivos) de classe de configuração de dispositivo para pacotes de driver que o Windows está impedido de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Observação

Para habilitar as configurações de política "Permitir a instalação de dispositivos que correspondem a qualquer uma dessas IDs de dispositivo" e "Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo" para substituir essa configuração de política para dispositivos aplicáveis, habilite a configuração de política "Aplicar ordem em camadas de avaliação para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo".

  • Se você habilitar essa configuração de política, o Windows será impedido de instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação de dispositivo aparecem na lista que você cria.

  • Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

  • Se você desabilitar ou não configurar essa configuração de política, o Windows poderá instalar e atualizar dispositivos conforme permitido ou impedido por outras configurações de política.

Os periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificadores comuns, consulte Formatos de Identificador de Dispositivo. Teste a configuração antes de implantá-la para garantir que ela bloqueie os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DeviceInstall_Classes_Deny
Nome Amigável Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
Localização Configuração do Computador
Caminho Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome do Valor do Registro DenyDeviceClasses
Nome do Arquivo ADMX DeviceInstallation.admx

Exemplo:

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede que o Windows instale:

  • Disquetes, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Inclua a classe GUID dentro de colchetes {}encaracolados . Para configurar várias classes, use &#xF000; como delimitador. Para aplicar a política às classes de dispositivo correspondentes que já estão instaladas, defina DeviceInstall_Classes_Deny_Retroactive como true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificar:

Para verificar se a política é aplicada, marcar C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Provedor de serviço da configuração de política