Begränsa USB-enheter och tillåt specifika USB-enheter med administrativa mallar i Microsoft Intune
Många organisationer vill blockera specifika typer av USB-enheter, till exempel USB-flashenheter eller kameror. Du kanske också vill tillåta specifika USB-enheter, till exempel ett tangentbord eller en mus.
Du kan använda ADMX-mallar (Administrationsmallar) för att konfigurera dessa inställningar i en princip och sedan distribuera den här principen till dina Windows-enheter. Mer information om administrativa mallar och vad de är finns i Använda Windows 10/11-mallar för att konfigurera grupprincipinställningar i Microsoft Intune.
Den här artikeln visar dig:
- Så här skapar du en ADMX-princip med USB-inställningar i Administrationscenter för Intune
- Så här använder du en loggfil för att felsöka enheter som inte ska blockeras
Den här artikeln gäller för:
- Windows 11
- Windows 10
Skapa profilen
Den här principen ger ett exempel på hur du blockerar (eller tillåter) funktioner som påverkar USB-enheter. Du kan använda den här principen som utgångspunkt och sedan lägga till eller ta bort inställningar efter behov för din organisation.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.
Ange följande egenskaper:
- Plattform: Välj Windows 10 och senare.
- Profiltyp: Välj Mallar>Administrativa mallar.
Välj Skapa.
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på profilen. Ange till exempel Begränsa USB-enheter.
- Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
Välj Nästa.
I Konfigurationsinställningar, konfigurerar du följande inställningar:
Förhindra installation av enheter som inte beskrivs av andra principinställningar: Välj Aktiverad>OK:
Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser: Välj Aktiverad. Lägg sedan till klass-GUID för de enhetsklasser som du vill tillåta.
I följande exempel tillåts klasserna Tangentbord, Mus och Multimedia :
Välj OK.
Tillåt installation av enheter som matchar något av dessa enhets-ID:n: Välj Aktiverad. Lägg sedan till enhets-/maskinvaru-ID:n för enheter som du vill tillåta:
Om du vill hämta enhets-/maskinvaru-ID:t kan du använda Enhetshanteraren, hitta enheten och titta på egenskaperna. De specifika stegen finns i hitta maskinvaru-ID:t på en Windows-enhet.
Det finns också användbar information om enhets-ID i Microsoft Defender för Endpoint Device Control Device Installation: Distribuera och hantera principer via Intune.
Välj OK.
Välj Nästa.
Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel
US-NC IT Team
ellerJohnGlenn_ITDepartment
. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerade IT-.Välj Nästa.
I Tilldelningar väljer du de enhetsgrupper som ska ta emot profilen. Välj Nästa.
Granska inställningarna under Granska + skapa. När du väljer Skapa sparas ändringarna och profilen tilldelas.
Verifiera på Windows-enheter
När enhetskonfigurationsprofilen har distribuerats till dina målenheter kan du bekräfta att den fungerar korrekt.
Om en USB-enhet blockeras från att installeras visas ett meddelande som liknar följande meddelande:
The installation of this device is forbidden by system policy. Contact your system administrator.
I följande exempel blockeras iPad eftersom dess enhets-ID inte finns i listan över tillåtna enhets-ID:
En enhet är blockerad men bör tillåtas
Vissa USB-enheter har flera GUID:er och det är vanligt att missa vissa GUID:er i dina principinställningar. Därför kan en USB-enhet som tillåts i inställningarna blockeras på enheten.
I följande exempel, i inställningen Tillåt installation av enheter som använder drivrutiner som matchar dessa enhetskonfigurationsklasser , anges GUID för multimediaklassen och kameran blockeras:
Lösning:
Använd följande steg för att hitta GUID för din enhet:
Öppna filen på enheten
%windir%\inf\setupapi.dev.log
.I filen:
Sök efter begränsad installation av enheter som inte beskrivs av principen.
I det här avsnittet letar du
Class GUID of device changed to: {GUID}
upp texten. Lägg till detta{GUID}
i principen.I följande exempel visas
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}
texten:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
I enhetskonfigurationsprofilen går du till inställningen Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser och lägger till klassen GUID från loggfilen.
Om problemet kvarstår upprepar du de här stegen för att lägga till de andra klass-GUID:erna tills enheten har installerats.
I vårt exempel läggs följande klass-GUID till i enhetsprofilen:
- USB Bus-enheter (hubbar och värdstyrenheter):
{36fc9e60-c465-11cf-8056-444553540000}
- Human Interface Devices (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Kameraenheter:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Avbildningsenheter:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- USB Bus-enheter (hubbar och värdstyrenheter):
Vanliga klass-GUID:er som tillåter USB-enheter
Tangentbord och mus: Lägg till följande GUID i enhetsprofilen:
- Tangentbord:
{4d36e96b-e325-11ce-bfc1-08002be10318}
- Mus:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Tangentbord:
Kameror, hörlurar och mikrofoner: Lägg till följande GUID i enhetsprofilen:
- USB Bus-enheter (hubbar och värdstyrenheter):
{36fc9e60-c465-11cf-8056-444553540000}
- Human Interface Devices (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Multimedieenheter:
{4d36e96c-e325-11ce-bfc1-08002be10318}
- Kameraenheter:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Avbildningsenheter:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Systemenheter:
{4D36E97D-E325-11CE-BFC1-08002BE10318}
- Biometriska enheter:
{53d29ef7-377c-4d14-864b-eb3a85769359}
- Allmänna programvaruenheter:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- USB Bus-enheter (hubbar och värdstyrenheter):
3,5 mm hörlurar: Lägg till följande GUID i enhetsprofilen:
- Multimedieenheter:
{4d36e96c-e325-11ce-bfc1-08002be10318}
- Ljudslutpunkt:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Multimedieenheter:
Obs!
De faktiska GUID:erna kan skilja sig åt för dina specifika enheter.