Ограничение USB-устройств и разрешение определенных USB-устройств с помощью административных шаблонов в Microsoft Intune
Многие организации хотят заблокировать определенные типы USB-устройств, например, USB-устройства флэш-памяти или камеры. Вы также можете разрешить определенные USB-устройства, например клавиатуру или мышь.
Вы можете использовать шаблоны административных шаблонов (ADMX) для настройки этих параметров в политике, а затем развернуть эту политику на устройствах с Windows. Дополнительные сведения об административных шаблонах и о том, что это такое, см. в статье Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11.
В этой статье показано следующее:
- Создание политики ADMX с параметрами USB в Центре администрирования Intune
- Использование файла журнала для устранения неполадок устройств, которые не должны быть заблокированы
Эта статья относится к:
- Windows 11
- Windows 10
Создание профиля
Эта политика содержит пример блокировки (или разрешения) функций, влияющих на USB-устройства. Эту политику можно использовать в качестве отправной точки, а затем добавлять или удалять параметры по мере необходимости для вашей организации.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Шаблоны>Административные шаблоны.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя. Введите описательное имя для профиля. Например, введите Ограничение USB-устройств.
- Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации настройте следующие параметры:
Запретить установку устройств, не описанных другими параметрами политики: выберите Включено>ОК:
Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств: выберите Включено. Затем добавьте класс GUID классов устройств, которые вы хотите разрешить.
В следующем примере разрешены классы Клавиатура, Мышь и Мультимедиа:
Нажмите кнопку ОК.
Разрешить установку устройств с указанными кодами устройств: выберите Включено. Затем добавьте идентификатор устройства или оборудования для устройств, которые вы хотите разрешить:
Чтобы получить идентификатор устройства или оборудования, можно использовать "Диспетчер устройств", где следует найти устройство и посмотреть его свойства. Конкретные действия см. в статье Поиск идентификатора оборудования на устройстве с Windows.
Нажмите OK.
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT TeamилиJohnGlenn_ITDepartment. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.Нажмите кнопку Далее.
В разделе Назначения выберите группы устройств, которые получат этот профиль. Нажмите кнопку Далее.
В окне Проверка и создание проверьте параметры. При выборе Создать внесенные изменения сохраняются и назначается профиль.
Проверка на устройствах с Windows
После развертывания профиля конфигурации устройства на целевых устройствах можно проверить, что он работает правильно.
Если установка USB-устройства заблокирована, вы увидите сообщение, аналогичное следующему:
The installation of this device is forbidden by system policy. Contact your system administrator.
В следующем примере iPad заблокирован, так как его идентификатор устройства не находится в списке разрешенных:
Устройство заблокировано, но должно быть разрешено
Некоторые USB-устройства имеют несколько GUID, и некоторые из них часто пропускаются в параметрах политики. В результате USB-устройство, разрешенное в параметрах, может быть заблокировано на устройстве.
В следующем примере в параметре Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств введен GUID класса "Мультимедиа", но камера заблокирована:
Решение:
Чтобы найти GUID устройства, выполните следующие действия.
На устройстве откройте файл
%windir%\inf\setupapi.dev.log.В файле выполните следующие действия.
Выполните поиск Ограниченная установка устройств, не описанных политиков.
В этом разделе найдите текст
Class GUID of device changed to: {GUID}. Добавьте его{GUID}в политику.В следующем примере вы видите текст
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
В профиле конфигурации устройства перейдите к параметру Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств и добавьте GUID класса из файла журнала.
Если проблема сохранится, повторите эти действия, чтобы добавить другие GUID класса, пока устройство не будет успешно установлено.
В нашем примере в профиль устройства добавляются следующие GUID класса.
- Устройства шины USB (концентраторы и хост-контроллеры):
{36fc9e60-c465-11cf-8056-444553540000} - Устройства HID:
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Устройства с камерой:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Устройство обработки изображений:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Устройства шины USB (концентраторы и хост-контроллеры):
Распространенные GUID класса, позволяющие использовать USB-устройства
Клавиатура и мышь: добавьте следующие GUID в профиль устройства.
- Клавиатура:
{4d36e96b-e325-11ce-bfc1-08002be10318} - Мышь:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Клавиатура:
Камеры, наушники и микрофоны: добавьте следующие GUID в профиль устройства.
- Устройства шины USB (концентраторы и хост-контроллеры):
{36fc9e60-c465-11cf-8056-444553540000} - Устройства HID:
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Мультимедийное устройство:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Устройства с камерой:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Устройство обработки изображений:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - Системные устройства:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - Биометрическое устройство:
{53d29ef7-377c-4d14-864b-eb3a85769359} - Универсальные программные устройства:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- Устройства шины USB (концентраторы и хост-контроллеры):
Наушники 3,5 мм: добавьте следующие GUID в профиль устройства.
- Мультимедийное устройство:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Конечная точка звука:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Мультимедийное устройство:
Примечание.
Фактические идентификаторы GUID могут отличаться для конкретных устройств.