Dela via


Begränsa USB-enheter och tillåt specifika USB-enheter med administrativa mallar i Microsoft Intune

Många organisationer vill blockera specifika typer av USB-enheter, till exempel USB-flashenheter eller kameror. Du kanske också vill tillåta specifika USB-enheter, till exempel ett tangentbord eller en mus.

Du kan använda ADMX-mallar (Administrationsmallar) för att konfigurera dessa inställningar i en princip och sedan distribuera den här principen till dina Windows-enheter. Mer information om administrativa mallar och vad de är finns i Använda Windows 10/11-mallar för att konfigurera grupprincipinställningar i Microsoft Intune.

Den här artikeln visar dig:

  • Så här skapar du en ADMX-princip med USB-inställningar i Administrationscenter för Intune
  • Så här använder du en loggfil för att felsöka enheter som inte ska blockeras

Den här artikeln gäller för:

  • Windows 11
  • Windows 10

Skapa profilen

Den här principen ger ett exempel på hur du blockerar (eller tillåter) funktioner som påverkar USB-enheter. Du kan använda den här principen som utgångspunkt och sedan lägga till eller ta bort inställningar efter behov för din organisation.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj Windows 10 och senare.
    • Profiltyp: Välj Mallar>Administrativa mallar.
  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Ange till exempel Begränsa USB-enheter.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. I Konfigurationsinställningar, konfigurerar du följande inställningar:

  8. Välj Nästa.

  9. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerade IT-.

    Välj Nästa.

  10. I Tilldelningar väljer du de enhetsgrupper som ska ta emot profilen. Välj Nästa.

  11. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas ändringarna och profilen tilldelas.

Verifiera på Windows-enheter

När enhetskonfigurationsprofilen har distribuerats till dina målenheter kan du bekräfta att den fungerar korrekt.

Om en USB-enhet blockeras från att installeras visas ett meddelande som liknar följande meddelande:

The installation of this device is forbidden by system policy. Contact your system administrator.

I följande exempel blockeras iPad eftersom dess enhets-ID inte finns i listan över tillåtna enhets-ID:

Enheten blockeras av en grupprincip.

En enhet är blockerad men bör tillåtas

Vissa USB-enheter har flera GUID:er och det är vanligt att missa vissa GUID:er i dina principinställningar. Därför kan en USB-enhet som tillåts i inställningarna blockeras på enheten.

I följande exempel, i inställningen Tillåt installation av enheter som använder drivrutiner som matchar dessa enhetskonfigurationsklasser , anges GUID för multimediaklassen och kameran blockeras:

Windows kan inte hitta kamerameddelandet på en Windows-enhet.

Kameran blockeras av grupprincipmeddelande på en Windows-enhet.

Lösning:

Använd följande steg för att hitta GUID för din enhet:

  1. Öppna filen på enheten %windir%\inf\setupapi.dev.log .

  2. I filen:

    1. Sök efter begränsad installation av enheter som inte beskrivs av principen.

    2. I det här avsnittet letar du Class GUID of device changed to: {GUID} upp texten. Lägg till detta {GUID} i principen.

      I följande exempel visas Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} texten:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      
  3. I enhetskonfigurationsprofilen går du till inställningen Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser och lägger till klassen GUID från loggfilen.

  4. Om problemet kvarstår upprepar du de här stegen för att lägga till de andra klass-GUID:erna tills enheten har installerats.

    I vårt exempel läggs följande klass-GUID till i enhetsprofilen:

    • USB Bus-enheter (hubbar och värdstyrenheter): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Kameraenheter: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Avbildningsenheter: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Vanliga klass-GUID:er som tillåter USB-enheter

  • Tangentbord och mus: Lägg till följande GUID i enhetsprofilen:

    • Tangentbord: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Mus: {4d36e96f-e325-11ce-bfc1-08002be10318}
  • Kameror, hörlurar och mikrofoner: Lägg till följande GUID i enhetsprofilen:

    • USB Bus-enheter (hubbar och värdstyrenheter): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimedieenheter: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Kameraenheter: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Avbildningsenheter: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Systemenheter: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometriska enheter: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Allmänna programvaruenheter: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
  • 3,5 mm hörlurar: Lägg till följande GUID i enhetsprofilen:

    • Multimedieenheter: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Ljudslutpunkt: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Obs!

De faktiska GUID:erna kan skilja sig åt för dina specifika enheter.