Einschränken von USB-Geräten und Zulassen bestimmter USB-Geräte mithilfe von administrativen Vorlagen in Microsoft Intune

  • Artikel

Viele Organisationen möchten bestimmte Arten von USB-Geräten blockieren, z. B. USB-Flashlaufwerke oder Kameras. Möglicherweise möchten Sie auch bestimmte USB-Geräte zulassen, z. B. eine Tastatur oder Maus.

Sie können Vorlagen für administrative Vorlagen (ADMX) verwenden, um diese Einstellungen in einer Richtlinie zu konfigurieren, und diese Richtlinie dann auf Ihren Windows-Geräten bereitstellen. Weitere Informationen zu administrativen Vorlagen und deren Bedeutung finden Sie unter Verwenden von Vorlagen für Windows 10/11 zum Konfigurieren von Gruppenrichtlinieneinstellungen in Microsoft Intune.

In diesem Artikel wird Folgendes erläutert:

  • Erstellen einer ADMX-Richtlinie mit USB-Einstellungen im Intune Admin Center
  • Verwenden einer Protokolldatei zur Problembehandlung von Geräten, die nicht blockiert werden sollten

Gilt für:

  • Windows 11
  • Windows 10

Erstellen des Profils

Diese Richtlinie enthält ein Beispiel für das Blockieren (oder Zulassen) von Features, die sich auf USB-Geräte auswirken. Sie können diese Richtlinie als Ausgangspunkt verwenden und dann nach Bedarf Einstellungen für Ihre organization hinzufügen oder entfernen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonfiguration>>Erstellen aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen>Administrative Vorlagenaus.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für das Profil ein. Geben Sie z. B. USB-Geräte einschränkenein.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  6. Wählen Sie Weiter aus.

  7. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

  8. Wählen Sie Weiter aus.

  9. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  10. Wählen Sie in Zuweisungendie Gerätegruppen aus, die das Profil erhalten sollen. Wählen Sie Weiter aus.

  11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie Erstellen auswählen, werden Ihre Änderungen gespeichert, und das Profil wird zugewiesen.

Überprüfen auf Windows-Geräten

Nachdem das Gerätekonfigurationsprofil auf Ihren Zielgeräten bereitgestellt wurde, können Sie überprüfen, ob es ordnungsgemäß funktioniert.

Wenn die Installation eines USB-Geräts blockiert ist, wird eine Meldung ähnlich der folgenden angezeigt:

The installation of this device is forbidden by system policy. Contact your system administrator.

Im folgenden Beispiel wird das iPad blockiert, da seine Geräte-ID nicht in der Liste der zulässigen Geräte-IDs enthalten ist:

Gerät, das durch eine Gruppenrichtlinie blockiert wird.

Ein Gerät ist blockiert, sollte aber zugelassen sein.

Einige USB-Geräte haben mehrere GUIDs, und es kommt häufig vor, dass einige GUIDs in Ihren Richtlinieneinstellungen fehlen. Daher kann ein USB-Gerät, das in Ihren Einstellungen zulässig ist, auf dem Gerät blockiert werden.

Im folgenden Beispiel wird in der Einstellung Installation von Geräten mit Treibern zulassen, die diesen Geräte-Setup-Klassen entsprechen die GUID der Multimedia-Klasse eingegeben und die Kamera blockiert:

Windows kann Ihre Kamerameldung auf einem Windows-Gerät nicht finden.

Die Kamera wird durch eine Gruppenrichtlinienmeldung auf einem Windows-Gerät blockiert.

Auflösung:

Führen Sie die folgenden Schritte aus, um die GUID Ihres Geräts zu finden:

  1. Öffnen Sie auf dem Gerät die Datei %windir%\inf\setupapi.dev.log.

  2. In der Datei:

    1. Suchen Sie nach Eingeschränkte Installation von Geräten, die nicht durch die Richtlinie beschrieben werden.

    2. Suchen Sie in diesem Abschnitt nach dem Class GUID of device changed to: {GUID} Text. Fügen Sie dies {GUID} Ihrer Richtlinie hinzu.

      Im folgenden Beispiel wird der Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} Text angezeigt:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. Wechseln Sie im Gerätekonfigurationsprofil zur Einstellung Installation von Geräten mit Treibern zulassen, die diesen Geräteeinrichtungsklassen entsprechen,, und fügen Sie die Klassen-GUID aus der Protokolldatei hinzu.

  4. Wenn das Problem weiterhin besteht, wiederholen Sie diese Schritte, um die anderen Klassen-GUIDs hinzuzufügen, bis das Gerät erfolgreich installiert wurde.

    In unserem Beispiel werden dem Geräteprofil die folgenden Klassen-GUIDs hinzugefügt:

    • USB-Busgeräte (Hubs und Hostcontroller): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Kamerageräte: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Bildverarbeitungsgeräte: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

Allgemeine Klassen-GUIDs zum Zulassen von USB-Geräten

  • Tastatur und Maus: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:

    • Tastatur: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Maus: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Kameras, Kopfhörer und Mikrofone: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:

    • USB-Busgeräte (Hubs und Hostcontroller): {36fc9e60-c465-11cf-8056-444553540000}
    • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Multimediageräte: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Kamerageräte: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Bildverarbeitungsgeräte: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Systemgeräte: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Biometrische Geräte: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Generische Softwaregeräte: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • 3,5-mm-Kopfhörer: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:

    • Multimediageräte: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Audioendpunkt: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Hinweis

Die tatsächlichen GUIDs können für Ihre spezifischen Geräte unterschiedlich sein.

Nächste Schritte

Weitere Informationen zu ADMX-Vorlagen in Microsoft Intune