Ограничение USB-устройств и разрешение определенных USB-устройств с помощью административных шаблонов в Microsoft Intune

  • Статья

Многие организации хотят заблокировать определенные типы USB-устройств, например, USB-устройства флэш-памяти или камеры. Вы также можете разрешить определенные USB-устройства, например клавиатуру или мышь.

Вы можете использовать шаблоны административных шаблонов (ADMX) для настройки этих параметров в политике, а затем развернуть эту политику на устройствах с Windows. Дополнительные сведения об административных шаблонах и о том, что это такое, см. в статье Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11.

В этой статье показано следующее:

  • Создание политики ADMX с параметрами USB в Центре администрирования Intune
  • Использование файла журнала для устранения неполадок устройств, которые не должны быть заблокированы

Применимо к:

  • Windows 11
  • Windows 10

Создание профиля

Эта политика содержит пример блокировки (или разрешения) функций, влияющих на USB-устройства. Эту политику можно использовать в качестве отправной точки, а затем добавлять или удалять параметры по мере необходимости для вашей организации.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеКонфигурация>устройств>Создать.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны>Административные шаблоны.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя. Введите описательное имя для профиля. Например, введите Ограничение USB-устройств.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

  6. Нажмите кнопку Далее.

  7. В разделе Параметры конфигурации настройте следующие параметры:

  8. Нажмите кнопку Далее.

  9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

    Нажмите кнопку Далее.

  10. В разделе Назначения выберите группы устройств, которые получат этот профиль. Нажмите кнопку Далее.

  11. В окне Проверка и создание проверьте параметры. При выборе Создать внесенные изменения сохраняются и назначается профиль.

Проверка на устройствах с Windows

После развертывания профиля конфигурации устройства на целевых устройствах можно проверить, что он работает правильно.

Если установка USB-устройства заблокирована, вы увидите сообщение, аналогичное следующему:

The installation of this device is forbidden by system policy. Contact your system administrator.

В следующем примере iPad заблокирован, так как его идентификатор устройства не находится в списке разрешенных:

Устройство заблокировано групповой политикой.

Устройство заблокировано, но должно быть разрешено

Некоторые USB-устройства имеют несколько GUID, и некоторые из них часто пропускаются в параметрах политики. В результате USB-устройство, разрешенное в параметрах, может быть заблокировано на устройстве.

В следующем примере в параметре Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств введен GUID класса "Мультимедиа", но камера заблокирована:

Сообщение о том, что Windows не может найти камеру на устройстве с Windows.

Сообщение о том, что камера заблокирована групповой политикой на устройстве с Windows.

Решение:

Чтобы найти GUID устройства, выполните следующие действия.

  1. На устройстве откройте файл %windir%\inf\setupapi.dev.log.

  2. В файле выполните следующие действия.

    1. Выполните поиск Ограниченная установка устройств, не описанных политиков.

    2. В этом разделе найдите текст Class GUID of device changed to: {GUID}. Добавьте его {GUID} в политику.

      В следующем примере вы видите текст Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. В профиле конфигурации устройства перейдите к параметру Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств и добавьте GUID класса из файла журнала.

  4. Если проблема сохранится, повторите эти действия, чтобы добавить другие GUID класса, пока устройство не будет успешно установлено.

    В нашем примере в профиль устройства добавляются следующие GUID класса.

    • Устройства шины USB (концентраторы и хост-контроллеры): {36fc9e60-c465-11cf-8056-444553540000}
    • Устройства HID: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Устройства с камерой: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Устройство обработки изображений: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Распространенные GUID класса, позволяющие использовать USB-устройства

  • Клавиатура и мышь: добавьте следующие GUID в профиль устройства.

    • Клавиатура: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Мышь: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Камеры, наушники и микрофоны: добавьте следующие GUID в профиль устройства.

    • Устройства шины USB (концентраторы и хост-контроллеры): {36fc9e60-c465-11cf-8056-444553540000}
    • Устройства HID: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Мультимедийное устройство: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Устройства с камерой: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Устройство обработки изображений: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Системные устройства: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Биометрическое устройство: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Универсальные программные устройства: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Наушники 3,5 мм: добавьте следующие GUID в профиль устройства.

    • Мультимедийное устройство: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Конечная точка звука: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Примечание.

Фактические GUID определенных устройств могут отличаться.

Дальнейшие действия

Дополнительные сведения о шаблонах ADMX в Microsoft Intune