共用方式為

在 Microsoft Intune 中使用系統管理範本來限制 USB 裝置並允許特定 USB 裝置

  • 發行項

許多組織想要封鎖特定類型的USB裝置,例如USB快閃磁碟驅動器或相機。 您可能也想要允許特定的 USB 裝置,例如鍵盤或滑鼠。

您可以使用系統管理範本 (ADMX) 範本在原則中設定這些設定,然後將此原則部署到您的 Windows 裝置。 如需系統管理範本及其功能的詳細資訊,請參閱使用 Windows 10/11 範本在 Microsoft Intune 中設定組策略設定

本文說明:

  • 如何在 Intune 系統管理中心使用 USB 設定建立 ADMX 原則
  • 如何使用記錄檔對不應封鎖的裝置進行疑難解答

適用於:

  • Windows 11
  • Windows 10

建立設定檔

此原則提供如何封鎖 (或允許影響 USB 裝置) 功能的範例。 您可以使用此原則作為起點,然後視需要為組織新增或移除設定。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>建立]

  3. 輸入下列內容:

    • 平台:選取 Windows 10 和更新版本
    • 配置檔類型:選取 [範>本系統管理範本]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 例如,輸入 限制USB裝置
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  6. 選取[下一步]。

  7. 在 [組態設定] 中,進行下列設定:

    • 防止安裝其他原則設定未描述的裝置:選取 [ 已啟用>][確定]

      在 Intune 中,將 [防止其他原則設定未描述的裝置安裝] 設定設為 [已啟用]。

    • 允許使用符合這些裝置安裝類別的驅動程式來安裝裝置:選取 [ 已啟用]。 然後,新增您想要允許 之裝置類別的類別 GUID

      在下列範例中,允許 鍵盤滑鼠多媒體 類別:

      顯示如何使用 Microsoft Intune 設定 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置] 設定,以及新增類別 GUID 的螢幕快照。

      選取 [確定]

    • 允許安裝符合下列任一裝置標識碼的裝置:選取 [ 已啟用]。 然後,為您想要允許的裝置新增裝置/硬體識別碼:

      顯示如何使用 Intune 來設定 [允許安裝符合上述任何裝置識別符的裝置] 設定,以及新增硬體識別碼的螢幕快照。

      若要取得裝置/硬體識別碼,您可以使用 裝置管理員、尋找裝置,以及查看屬性。 如需特定步驟,請 參閱尋找 Windows 裝置上的硬體識別碼

      適用於端點的 Microsoft Defender 裝置控制裝置安裝:透過 Intune 部署和管理原則,也有一些實用的裝置標識碼資訊。

      選取 [確定]

  8. 選取 [下一步]

  9. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

    選取 [下一步]

  10. 在 [ 指派] 中,選取將接收配置檔的裝置群組。 選取[下一步]。

  11. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,會儲存您的變更並指派配置檔。

在 Windows 裝置上驗證

將裝置組態配置檔部署至目標裝置之後,您可以確認其運作正常。

如果 USB 裝置遭到封鎖而無法安裝,則您會看到類似下列訊息的訊息:

The installation of this device is forbidden by system policy. Contact your system administrator.

在下列範例中,iPad 會遭到封鎖,因為其裝置識別碼不在允許的裝置標識碼清單中:

裝置遭到組策略封鎖。

裝置遭到封鎖,但應允許

某些USB裝置有多個 GUID,而且通常會遺漏原則設定中的一些 GUID。 因此,您設定中允許的USB裝置可能會在裝置上遭到封鎖。

在下列範例中,在 [ 允許使用符合這些裝置安裝類別的驅動程式安裝裝置 ] 設定中,輸入多媒體類別 GUID,並封鎖相機:

Windows 在 Windows 裝置上找不到您的相機訊息。

Windows 裝置上的組策略訊息會封鎖相機。

解決方案

若要尋找裝置的 GUID,請使用下列步驟:

  1. 在裝置上,開啟 %windir%\inf\setupapi.dev.log 檔案。

  2. 在檔案中:

    1. 搜尋原則 未描述的受限裝置安裝

    2. 在本節中 Class GUID of device changed to: {GUID} ,尋找文字。 將此 {GUID} 新增至您的原則。

      在下列範例中 Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} ,您會看到文字:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. 在裝置組態配置檔中,移至 [ 允許使用符合這些裝置安裝類別的驅動程式安裝裝置 ] 設定,然後從記錄檔新增類別 GUID。

  4. 如果問題持續發生,請重複這些步驟以新增其他類別 GUID,直到裝置安裝成功為止。

    在我們的範例中,下列類別 GUID 會新增至裝置配置檔:

    • USB 總線裝置 (中樞和主機控制器) : {36fc9e60-c465-11cf-8056-444553540000}
    • 人性化介面裝置 (HID) : {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • 相機裝置: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • 映像處理裝置: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

允許 USB 裝置的通用類別 GUID

  • 鍵盤和滑鼠:將下列 GUID 新增至裝置設定檔:

    • 鍵盤: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • 滑鼠: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • 相機、耳機和麥克風:將下列 GUID 新增至裝置配置檔:

    • USB 總線裝置 (中樞和主機控制器) : {36fc9e60-c465-11cf-8056-444553540000}
    • 人性化介面裝置 (HID) : {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • 多媒體裝置: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • 相機裝置: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • 映像處理裝置: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • 系統裝置: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • 生物特徵辨識裝置: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • 一般軟體裝置: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • 3.5 公厘耳機:將下列 GUID 新增至裝置配置檔:

    • 多媒體裝置: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • 音訊端點: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

注意事項

您特定裝置的實際 GUID 可能不同。

後續步驟

深入瞭解 Microsoft Intune 中的 ADMX 範本