原則 CSP - DeviceInstallation

提示

此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則

SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段

AllowInstallationOfMatchingDeviceIDs

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

此原則設定可讓您針對允許 Windows 安裝的裝置,指定 隨插即用 硬體識別碼和相容識別碼的清單。 此原則設定僅適用於啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,不過也可以搭配舊版原則定義的 [防止其他原則設定未描述的裝置安裝] 原則設定使用。

當此原則設定與 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定一起啟用時,Windows 可以安裝或更新任何 隨插即用 硬體標識碼或相容標識符出現在您所建立清單中的裝置,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:

  • 防止安裝符合這些裝置標識碼的裝置
  • 防止安裝符合任何這些裝置實例標識碼的裝置。

如果此原則設定未啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,則會優先使用任何其他特別防止安裝的原則設定。

注意

針對支援的目標 Windows 10 版本,[禁止安裝其他原則設定未描述的裝置] 原則設定已由 [在所有裝置上套用允許和防止裝置安裝原則的分層評估順序] 原則設定所取代。 建議您盡可能使用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定。

或者,如果此原則設定與 [防止安裝其他原則設定未描述的裝置] 原則設定一起啟用,則允許 Windows 安裝或更新任何裝置,其 隨插即用 硬體標識碼或相容標識符出現在您建立的清單中,除非另一個原則設定特別防止該安裝 (例如[防止安裝符合任何這些裝置識別符的裝置] 原則設定, [防止安裝這些裝置類別的裝置] 原則設定、[防止安裝符合這些裝置實例標識符的裝置] 原則設定,或 [防止安裝卸除式裝置] 原則設定) 。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,而且沒有其他原則設定描述裝置,[防止安裝其他原則設定未描述的裝置] 原則設定會決定是否可以安裝裝置。

介面設備可以透過其 硬體身分識別來指定。 如需一般標識碼結構的清單,請參閱 裝置識別碼格式。 在推出之前先測試設定,以確保它允許預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_IDs_Allow
易記名稱 允許安裝符合任何這些裝置標識碼的裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 AllowDeviceIDs
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例可讓 Windows 安裝裝置識別碼為 USB\Composite 或 USB\Class_FF 的相容裝置。 若要設定多個類別,請使用 &#xF000; 作為分隔符。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

此原則設定可讓您針對允許 Windows 安裝的裝置,指定 隨插即用 裝置實例識別碼的清單。 此原則設定僅適用於啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,不過也可以搭配舊版原則定義的 [防止其他原則設定未描述的裝置安裝] 原則設定使用。

當此原則設定與 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定一起啟用時,Windows 可以安裝或更新任何 隨插即用 裝置實例標識符出現在您所建立清單中的裝置,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:

  • 防止安裝符合任何這些裝置實例標識碼的裝置。

如果此原則設定未啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,則會優先使用任何其他特別防止安裝的原則設定。

注意

針對支援的目標 Windows 10 版本,[禁止安裝其他原則設定未描述的裝置] 原則設定已由 [在所有裝置上套用允許和防止裝置安裝原則的分層評估順序] 原則設定所取代。 建議您盡可能使用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定。

或者,如果此原則設定與 [防止安裝其他原則設定未描述的裝置] 原則設定一起啟用,則允許 Windows 安裝或更新任何裝置,其 隨插即用 裝置實例標識碼會出現在您建立的清單中,除非另一個原則設定特別防止該安裝 (例如[防止安裝符合任何這些裝置標識符的裝置] 原則設定, [防止安裝這些裝置類別的裝置] 原則設定、[防止安裝符合這些裝置實例標識符的裝置] 原則設定,或 [防止安裝卸除式裝置] 原則設定) 。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,而且沒有其他原則設定描述裝置,[防止安裝其他原則設定未描述的裝置] 原則設定會決定是否可以安裝裝置。

周邊可以由其 裝置實例標識碼指定。 在推出之前先測試設定,以確保它允許預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Instance_IDs_Allow
易記名稱 允許安裝符合任何這些裝置實例標識碼的裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 AllowInstanceIDs
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

此原則設定可讓您針對允許 Windows 安裝的驅動程式套件,指定裝置安裝類別的全域唯一標識符清單 (GUID) 。 此原則設定僅適用於啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,不過也可以搭配舊版原則定義的 [防止其他原則設定未描述的裝置安裝] 原則設定使用。

當此原則設定與 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定一起啟用時,Windows 可以安裝或更新驅動程式套件,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:

  • 防止安裝這些裝置類別的裝置
  • 防止安裝符合這些裝置標識碼的裝置
  • 防止安裝符合任何這些裝置實例標識碼的裝置。

如果此原則設定未啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,則會優先使用任何其他特別防止安裝的原則設定。

注意

針對支援的目標 Windows 10 版本,[禁止安裝其他原則設定未描述的裝置] 原則設定已由 [在所有裝置上套用允許和防止裝置安裝原則的分層評估順序] 原則設定所取代。 建議您盡可能使用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定。

或者,如果此原則設定與 [防止其他原則設定未描述的裝置安裝] 原則設定一起啟用,則允許 Windows 安裝或更新其裝置安裝類別 GUID 出現在您所建立清單中的驅動程式套件,除非另一個原則設定特別防止安裝 (例如[防止安裝符合這些裝置標識符的裝置] 原則設定, [防止安裝這些裝置類別的裝置] 原則設定、[防止安裝符合這些裝置實例標識符的裝置] 原則設定,或 [防止安裝卸除式裝置] 原則設定) 。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,而且沒有其他原則設定描述裝置,[防止安裝其他原則設定未描述的裝置] 原則設定會決定是否可以安裝裝置。

介面設備可以透過其 硬體身分識別來指定。 如需一般標識碼結構的清單,請參閱 裝置識別碼格式。 在推出之前先測試設定,以確保它允許預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Classes_Allow
易記名稱 允許使用符合這些裝置安裝類別的驅動程式來安裝裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 AllowDeviceClasses
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例可讓 Windows 安裝:

  • 磁片片,ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM,ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

將類別 GUID 括在大括弧 {}內。 若要設定多個類別,請使用 &#xF000; 作為分隔符。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅ [10.0.20348.256] 和更新版本
✅Windows 10 版本 1809 [10.0.17763.2145] 和更新版本
✅Windows 10,版本 1903 [10.0.18362.1714] 和更新版本
✅Windows 10 版本 2004 [10.0.19041.1151] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

當一個以上的安裝原則設定適用於指定的裝置時,此原則設定會變更套用允許和防止原則設定的評估順序。 啟用此原則設定,以確保根據已建立的階層套用重疊裝置比對準則,其中更特定的比對準則會取代較不明確的比對準則。 指定裝置比對準則之原則設定的評估階層順序如下:

裝置實例標識 > 碼 裝置標識 > 碼 裝置安裝類別 > 卸除式裝置。

裝置實例標識碼。

  1. 使用符合這些裝置實例標識碼的驅動程式來防止安裝裝置
  2. 允許使用符合這些裝置實例標識碼的驅動程式來安裝裝置。

裝置標識碼。

  1. 防止使用符合這些裝置標識碼的驅動程式安裝裝置
  2. 允許使用符合這些裝置標識碼的驅動程式來安裝裝置。

裝置安裝類別。

  1. 使用符合這些裝置安裝類別的驅動程式來防止安裝裝置
  2. 允許使用符合這些裝置安裝類別的驅動程式來安裝裝置。

卸除式裝置。

  1. 防止安裝卸載式裝置。

注意

此原則設定提供比 [防止安裝其他原則設定未描述的裝置] 原則設定更細微的控制。 如果同時啟用這些衝突的原則設定,將會啟用 [允許和防止所有裝置比對準則的裝置安裝原則套用分層評估順序] 原則設定,並忽略其他原則設定。

如果您停用或未設定此原則設定,則會使用預設評估。 根據預設,所有「防止安裝」。 原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Allow_Deny_Layered
易記名稱 針對所有裝置比對準則套用允許和防止裝置安裝原則的分層評估順序
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 AllowDenyLayered
ADMX 檔案名稱 DeviceInstallation.admx

範例

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

您也可以使用 Intune 中的自訂設定檔來變更裝置安裝原則設定的評估順序。

此影像是編輯數據列影像。

PreventDeviceMetadataFromNetwork

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

此原則設定可讓您防止 Windows 從因特網擷取裝置元數據。

  • 如果您啟用此原則設定,Windows 不會從因特網擷取已安裝裝置的裝置元數據。 此原則設定會覆寫 [裝置安裝設定] 對話框中的設定, (控制台 > [系統與安全>性系統進階系統>設定>硬體] 索引標籤) 。

  • 如果您停用或未設定此原則設定,[裝置安裝設定] 對話框中的設定會控制 Windows 是否從因特網擷取裝置元數據。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceMetadata_PreventDeviceMetadataFromNetwork
易記名稱 防止從因特網擷取裝置元數據
位置 [電腦設定]
路徑 系統 > 裝置安裝
登錄機碼名稱 SOFTWARE\Policies\Microsoft\Windows\Device Metadata
登錄值名稱 PreventDeviceMetadataFromNetwork
ADMX 檔案名稱 DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

此原則設定可讓您防止安裝任何其他原則設定未特別描述的裝置。

注意

此原則設定已由 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定取代,以提供更細微的控制。 建議您使用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定,而不是此原則設定。

  • 如果啟用此原則設定,Windows 將無法針對「允許安裝符合這些裝置識別碼的裝置」、「允許安裝這些裝置類別的裝置」或「允許安裝符合這些裝置實例標識碼的裝置」原則設定所描述的任何裝置,安裝或更新驅動程式套件。

  • 如果停用或未設定此原則設定,則 Windows 可以安裝或更新任何裝置的驅動程式套件,但「防止安裝符合這些裝置識別碼的裝置」、「防止安裝這些裝置類別的裝置」原則設定、「防止安裝符合這些裝置實例標識符的裝置」。 或 [防止安裝卸除式裝置] 原則設定。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Unspecified_Deny
易記名稱 防止安裝其他原則設定未描述的裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 DenyUnspecified
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝任何其他原則設定未描述的裝置。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

您也可以在 Intune 中使用自訂設定檔來封鎖安裝。

自訂配置檔會防止裝置。

PreventInstallationOfMatchingDeviceIDs

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

此原則設定可讓您針對 Windows 無法安裝的裝置,指定 隨插即用 硬體識別碼和相容識別碼的清單。 根據預設,此原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。

注意

若要啟用 [允許安裝符合任何這些裝置實例標識符的裝置] 原則設定,以取代適用裝置的此原則設定,請啟用 [在所有裝置比對準則上套用裝置安裝原則的分層評估順序] 原則設定。

  • 如果啟用此原則設定,Windows 將無法安裝硬體識別碼或相容標識碼出現在您所建立清單中的裝置。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,則可以依照其他原則設定所允許或防止的方式來安裝和更新裝置。

介面設備可以透過其 硬體身分識別來指定。 如需一般標識碼結構的清單,請參閱 裝置識別碼格式。 在推出之前先測試組態,以確保它會封鎖預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_IDs_Deny
易記名稱 防止安裝符合任何這些裝置標識碼的裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 DenyDeviceIDs
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝具有 USB\Composite 或 USB\Class_FF 裝置識別碼的相容裝置。 若要設定多個類別,請使用 &amp;#xF000; 作為分隔符。 若要將原則套用至已安裝的相符裝置類別,請將 DeviceInstall_IDs_Deny_Retroactive設為 true。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

您也可以在 Intune 中使用自訂設定檔來封鎖禁止周邊的安裝和使用。

例如,此自定義配置檔會封鎖安裝及使用具有硬體標識碼 「USB\Composite」 和 「USB\Class_FF」 的 USB 裝置,並套用至具有相符硬體識別碼且已安裝的 USB 裝置。

自訂配置檔可防止裝置識別碼。

PreventInstallationOfMatchingDeviceInstanceIDs

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

此原則設定可讓您針對 Windows 無法安裝的裝置,指定 隨插即用 裝置實例識別碼的清單。 此原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。

  • 如果啟用此原則設定,Windows 將無法安裝裝置實例標識碼出現在您所建立清單中的裝置。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,則可以依照其他原則設定所允許或防止的方式來安裝和更新裝置。

周邊可以由其 裝置實例標識碼指定。 在推出之前先測試設定,以確保它允許預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Instance_IDs_Deny
易記名稱 防止安裝符合任何這些裝置實例標識碼的裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 DenyInstanceIDs
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝具有 USB\VID_1F75 和 USB\VID_0781 裝置實例識別符的相容裝置。 若要設定多個類別,請使用 &#xF000; 作為分隔符。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

您也可以在 Intune 中使用自訂設定檔來封鎖禁止周邊的安裝和使用。

例如,此自定義配置檔會防止安裝具有相符裝置實例標識符的裝置。

自訂配置檔。

若要防止在 Intune 中使用自訂設定檔安裝具有相符裝置實例識別碼的裝置:

  1. 找出裝置實例標識碼。

  2. 將裝置實例識別碼中的 取代 &&amp;。 例如:將 取代 USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0

    注意

    請勿在值中使用空格。

  3. 將裝置實例標識碼取代為 &amp; 範例 SyncML。 將 SyncML 新增至 Intune 自訂裝置組態配置檔。

PreventInstallationOfMatchingDeviceSetupClasses

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

此原則設定可讓您針對 Windows 無法安裝的驅動程式套件,指定全域唯一標識碼 (GUID) 的裝置安裝類別清單。 根據預設,此原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。

注意

若要啟用 [允許安裝符合任何這些裝置標識符的裝置] 和 [允許安裝符合任何這些裝置實例標識符的裝置] 原則設定,以取代適用裝置的原則設定,請啟用 [在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序] 原則設定。

  • 如果啟用此原則設定,Windows 將無法安裝或更新驅動程式套件,其裝置安裝類別 GUID 會出現在您建立的清單中。

  • 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

  • 如果您停用或未設定此原則設定,Windows 可以依照其他原則設定所允許或禁止的方式安裝和更新裝置。

介面設備可以透過其 硬體身分識別來指定。 如需一般標識碼結構的清單,請參閱 裝置識別碼格式。 在推出之前先測試組態,以確保它會封鎖預期的裝置。 在理想的情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DeviceInstall_Classes_Deny
易記名稱 使用符合這些裝置安裝類別的驅動程式來防止安裝裝置
位置 [電腦設定]
路徑 系統 > 裝置安裝 > 裝置安裝限制
登錄機碼名稱 Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
登錄值名稱 DenyDeviceClasses
ADMX 檔案名稱 DeviceInstallation.admx

範例

若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝:

  • 磁片片,ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM,ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

將類別 GUID 括在大括弧 {}內。 若要設定多個類別,請使用 &#xF000; 作為分隔符。 若要將原則套用至已安裝的相符裝置類別,請將 DeviceInstall_Classes_Deny_Retroactive 設為 true。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

確認

若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看下列詳細數據是否列在記錄結尾附近:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

原則設定服務提供者