グループ ポリシーを使用してデバイス インストールを管理する

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

管理者は、Windows オペレーティング システムを使用して、管理するコンピューターにインストールできるデバイスを決定できます。 このガイドでは、デバイスのインストール プロセスを要約し、グループ ポリシーを使用してデバイスのインストールを制御するためのいくつかの手法を示します。

はじめに

全般

このステップ バイ ステップ ガイドでは、ユーザーがインストールできるデバイスとインストールできないデバイスの指定など、管理するコンピューターへのデバイスのインストールを制御する方法について説明します。 このガイドは、Windows 10 Version 1809以降のすべての Windows バージョンに適用されます。 このガイドには、次のシナリオが含まれています。

  • ユーザーが "禁止" リストに含まれるデバイスをインストールできないようにします。 デバイスが一覧にない場合、ユーザーはそれをインストールできます。
  • ユーザーが "承認済み" リストに含まれるデバイスのみをインストールできるようにします。 デバイスが一覧にない場合、ユーザーはそれをインストールできません。

このガイドでは、デバイスのインストール プロセスについて説明し、Windows がデバイスとコンピューターで利用可能なデバイス ドライバー パッケージを照合するために使用するデバイス識別文字列について説明します。 このガイドでは、デバイスのインストールを制御する 2 つの方法についても説明します。 各シナリオでは、特定のデバイスまたはデバイス クラスのインストールを許可または禁止するために使用できる 1 つの方法を段階的に示します。

シナリオで使用されるデバイスの例は、USB ストレージ デバイスです。 このガイドの手順は、別のデバイスを使用して実行できます。 ただし、別のデバイスを使用する場合、ガイドの手順は、コンピューターに表示されるユーザー インターフェイスと完全には一致しません。

このガイドに記載されているグループ ポリシーは、ユーザー/ユーザー グループではなく、マシン/マシン グループにのみ適用されることを理解しておくことが重要です。

重要

このガイドに記載されている手順は、テスト ラボ環境での使用を目的としています。 このステップ バイ ステップ ガイドは、ドキュメントを添付せずに Windows Server 機能を展開するために使用する目的ではなく、スタンドアロン ドキュメントとして随意で使用する必要があります。

このガイドを使用する必要があるユーザー

このガイドは、次の対象ユーザーを対象としています。

  • Windows 10、Windows 11、または Windows Server 2022 を評価している情報テクノロジ プランナーとアナリスト
  • エンタープライズ情報テクノロジ プランナーとデザイナー
  • organizationでの信頼できるコンピューティングの実装を担当するセキュリティ アーキテクト
  • テクノロジに慣れたい管理者

グループ ポリシーを使用してデバイスのインストールを制御する利点

ユーザーがインストールできるデバイスを制限すると、データの盗難のリスクが軽減され、サポートコストが削減されます。

データの盗難のリスクを軽減する

ユーザーのコンピューターがリムーバブル メディアをサポートする承認されていないデバイスをインストールできない場合、ユーザーが会社のデータの未承認のコピーを作成することはより困難です。 たとえば、ユーザーが USB サム ドライブ デバイスをインストールできない場合、会社のデータのコピーをリムーバブル ストレージにダウンロードすることはできません。 この利点は、データの盗難を排除することはできませんが、データの不正な削除に対する別の障壁を生み出します。

サポート コストを削減する

ユーザーがインストールできるのは、テクニカル サポート チームがトレーニングを受け、サポートに備えているデバイスのみです。 この利点により、サポート コストとユーザーの混乱が軽減されます。

シナリオの概要

このガイドに示されているシナリオは、管理するコンピューターでのデバイスのインストールと使用状況を制御する方法を示しています。 このシナリオでは、ローカル コンピューターでグループ ポリシーを使用して、ラボ環境での手順の使用を簡略化します。 複数のクライアント コンピューターを管理する環境では、グループ ポリシーを使用してこれらの設定を適用する必要があります。 Active Directory によって展開されたグループ ポリシーを使用すると、ドメインまたはドメイン内の組織単位のメンバーであるすべてのコンピューターに設定を適用できます。 クライアント コンピューターを管理するためのグループ ポリシー オブジェクトを作成する方法の詳細については、「グループ ポリシー オブジェクトの作成」を参照してください。

シナリオ 説明
シナリオ #1: すべてのプリンターのインストールを禁止する このシナリオでは、管理者はユーザーがプリンターをインストールできないようにしたいと考えています。 したがって、グループ ポリシーのデバイス インストール ポリシーの "防止/許可" 機能を紹介する基本的なシナリオです。
シナリオ #2: 特定のプリンターのインストールを禁止する このシナリオでは、管理者は標準ユーザーにすべてのプリンターをインストールできますが、特定のプリンターをインストールできないようにします。
シナリオ #3: 特定のプリンターのインストールを許可しながら、すべてのプリンターのインストールを禁止する このシナリオでは、シナリオ #1 とシナリオ #2 の両方から学習した内容を組み合わせます。 管理者は、標準ユーザーが特定のプリンターのみをインストールできるようにしながら、他のすべてのプリンターのインストールを禁止したいと考えています。 このシナリオはより現実的なシナリオであり、デバイスインストール制限ポリシーの理解に一歩先を行きます。
シナリオ #4: 特定の USB デバイスのインストールを禁止する このシナリオは、シナリオ #2 と同様ですが、PnP ツリーでデバイス接続がどのように機能するかという複雑さの別のレイヤーをもたらします。 管理者は、標準ユーザーが特定の USB デバイスをインストールできないようにしたいと考えています。 シナリオの終わりまでに、PnP デバイス接続ツリーの下のレイヤーでデバイスを入れ子にする方法を理解する必要があります。
シナリオ #5: 承認された USB サム ドライブのみのインストールを許可しながら、すべての USB デバイスのインストールを禁止する このシナリオでは、前の 4 つのシナリオをすべて組み合わせて、すべての未承認の USB デバイスからマシンを保護する方法について説明します。 管理者は、他の USB デバイスがインストールされないようにしながら、承認された少数の USB デバイスのみをインストールすることをユーザーに許可したいと考えています。 さらに、このシナリオには、マシンに既にインストールされている既存の USB デバイスに "防止" 機能を適用する方法の説明が含まれており、管理者は、それらとのより遠い相互作用を防ぐことが好きです (それらをすべて一緒にブロックします)。 このシナリオは、最初の 4 つのシナリオで導入したポリシーと構造に基づいています。そのため、このシナリオを試みる前に、最初にそれらを確認することをお勧めします。

テクノロジ レビュー

以降のセクションでは、このガイドで説明するコア テクノロジの概要と、シナリオを理解するために必要な背景情報について説明します。

Windows でのデバイスのインストール

デバイスは、Windows が何らかの機能を実行するために対話するハードウェアの一部です。またはより技術的な定義では、Windows プラグ アンド プレイ サブシステムで一意の表現を持つハードウェア コンポーネントの単一インスタンスです。 Windows は、デバイス ドライバー ( ドライバーとも呼ばれます) と呼ばれるソフトウェアを介してのみデバイスと通信できます。 ドライバーをインストールするために、Windows はデバイスを検出し、その種類を認識し、その種類に一致するドライバーを見つけます。

コンピューターにインストールされていないデバイスが Windows によって検出されると、オペレーティング システムはデバイスに対してクエリを実行して、デバイス識別文字列の一覧を取得します。 デバイスには通常、デバイスの製造元が割り当てる複数のデバイス識別文字列があります。 ドライバー パッケージの一部である .inf ファイル ( INF とも呼ばれます) には、同じデバイス識別文字列が含まれています。 Windows では、デバイスから取得したデバイス識別文字列とドライバー パッケージに含まれる文字列を照合することで、インストールするドライバー パッケージを選択します。

Windows では、4 種類の識別子を使用して、デバイスのインストールと構成を制御します。 Windows のグループ ポリシー設定を使用して、許可またはブロックする識別子を指定できます。

識別子の 4 種類は次のとおりです。

  • デバイス インスタンス ID
  • デバイス ID
  • デバイス セットアップ クラス
  • 'リムーバブル デバイス' デバイスの種類

デバイス インスタンス ID

デバイス インスタンス ID は、システム内のデバイスを一意に識別するシステム提供のデバイス識別文字列です。 プラグ アンド プレイ (PnP) マネージャーは、システムのデバイス ツリー内の各デバイス ノード (devnode) にデバイス インスタンス ID を割り当てます。

デバイス ID

Windows では、各文字列を使用して、デバイスをドライバー パッケージに一致させることができます。 文字列の範囲は、デバイスの 1 つのメイクとモデルに一致する特定の文字列から、一般的なデバイス クラス全体に適用される場合があります。 デバイス識別文字列には、ハードウェア ID と互換性のある ID の 2 種類があります。

ハードウェア ID

ハードウェア ID は、デバイスとドライバー パッケージの完全一致を提供する識別子です。 ハードウェア ID の一覧の最初の文字列は、デバイスの厳密な作成、モデル、リビジョンと一致するため、デバイス ID と呼ばれます。 一覧内の他のハードウェア ID は、デバイスの詳細とあまり正確に一致しなくなります。 たとえば、ハードウェア ID は、特定のリビジョンではなく、デバイスのメイクとモデルを識別する場合があります。 このスキームでは、正しいリビジョンのドライバーが使用できない場合、デバイスの別のリビジョンにドライバーを使用できます。

互換性のある ID

オペレーティング システムがデバイス ID またはその他のハードウェア ID と一致するものを見つけることができない場合、Windows はこれらの識別子を使用してドライバーを選択します。 互換性のある ID は、適合性を低下させる順序で一覧表示されます。 これらの文字列は省略可能であり、指定された場合は Disk などの汎用文字列です。 互換性のある ID を使用して一致する場合は、通常、デバイスの最も基本的な機能のみを使用できます。

プリンター、USB ストレージ デバイス、キーボードなどのデバイスをインストールすると、インストールしようとしているデバイスに一致するドライバー パッケージが Windows によって検索されます。 この検索中に、Windows は検出した各ドライバー パッケージに"ランク" を割り当て、ハードウェアまたは互換性のある ID に少なくとも 1 つの一致を持ちます。 ランクは、ドライバーがデバイスとどの程度一致しているかを示します。 ランク番号が小さいと、ドライバーとデバイスの間の一致が適切であることを示します。 ランク 0 は、可能な限り最適な一致を表します。 デバイス ID とドライバー パッケージ内の 1 つのデバイス ID が一致すると、他のハードウェア ID の 1 つと一致するランクよりも低い (優れた) ランクになります。 同様に、ハードウェア ID と一致すると、互換性のある ID のいずれかに一致するランクよりもランクが向上します。 Windows はすべてのドライバー パッケージをランク付けすると、全体的なランクが最も低いものがインストールされます。 ドライバー パッケージのランク付けと選択のプロセスの詳細については、「 Windows がデバイスのドライバー パッケージを選択する方法」を参照してください。

ドライバーのインストール プロセスの詳細については、「ドライバーの署名とステージングに関するステップ バイ ステップ ガイド」の「テクノロジ レビュー」セクションを参照してください。

一部の物理デバイスでは、インストール時に 1 つ以上の論理デバイスが作成されます。 各論理デバイスは、物理デバイスの機能の一部を処理する場合があります。 たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、関数ごとに異なるデバイス識別文字列が含まれる場合があります。

デバイス インストール ポリシーを使用して、論理デバイスを使用するデバイスのインストールを許可または禁止する場合は、そのデバイスのすべてのデバイス識別文字列を許可または禁止する必要があります。 たとえば、ユーザーが多機能デバイスをインストールしようとしたときに、物理デバイスと論理デバイスの両方のすべての識別文字列を許可または防止しなかった場合、インストール試行によって予期しない結果が得られる可能性があります。 ハードウェア ID の詳細については、「 デバイス識別文字列」を参照してください。

デバイス セットアップ クラス

デバイス セットアップ クラス ( クラスとも呼ばれます) は、別の種類の識別文字列です。 製造元は、ドライバー パッケージ内のデバイスにクラスを割り当てます。 クラスは、同じ方法でインストールおよび構成されたデバイスをグループ化します。 たとえば、すべての生体認証デバイスは生体認証クラス (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359} に属しており、インストール時に同じ共同インストーラーを使用します。 グローバル一意識別子 (GUID) と呼ばれる長い数値は、各デバイス セットアップ クラスを表します。 Windows が起動すると、検出されたすべてのデバイスの GUID を使用してメモリ内ツリー構造が構築されます。 デバイス自体のクラスの GUID と共に、Windows は、デバイスがアタッチされているバスのクラスの GUID をツリーに挿入する必要がある場合があります。

デバイス クラスを使用して、ユーザーによるドライバーのインストールを許可または禁止する場合は、デバイスのすべてのデバイス セットアップ クラスの GUID を指定する必要があります。または、目的の結果が得られない可能性があります。 インストールが失敗する場合 (成功する場合)、または成功する可能性があります (失敗する場合)。

たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、汎用多機能デバイスの GUID、プリンター関数の GUID、スキャナー関数の GUID などがあります。 個々の関数の GUID は、マルチファンクション デバイス GUID の下の "子ノード" です。 子ノードをインストールするには、Windows で親ノードをインストールできる必要もあります。 プリンターおよびスキャナー関数の子 GUID に加えて、多機能デバイスの親 GUID のデバイス セットアップ クラスのインストールを許可する必要があります。

詳しくは、「デバイス セットアップ クラス」をご覧ください。

このガイドでは、デバイス セットアップ クラスを使用するシナリオは示されていません。 ただし、このガイドのデバイス識別文字列で示されている基本的な原則は、デバイス セットアップ クラスにも適用されます。 特定のデバイスのデバイス セットアップ クラスを検出したら、ポリシーでそれを使用して、そのクラスのデバイスのドライバーのインストールを許可または禁止できます。

次の 2 つのリンクは、デバイス セットアップ クラスの完全な一覧を提供します。 "System Use" クラスは、ほとんどの場合、工場のコンピューター/マシンに付属するデバイスと呼ばれますが、'Vendor' クラスは、ほとんどの場合、既存のコンピューター/コンピューターに接続できるデバイスと呼ばれます。

'リムーバブル デバイス' デバイスの種類

一部のデバイスは リムーバブル デバイスとして分類できます。 デバイスが 取り外し可能 と見なされるのは、デバイスが接続されているデバイスのドライバーが、デバイスがリムーバブルであることを示している場合です。 たとえば、USB デバイスは、デバイスが接続されている USB ハブのドライバーによって取り外し可能であると報告されます。

デバイスインストールのグループ ポリシー設定

グループ ポリシーは、グループ ポリシー設定とグループ ポリシー基本設定を使用して、ユーザーとコンピューターのマネージド構成を指定できるインフラストラクチャです。

グループ ポリシーの [デバイスのインストール] セクションは、コンピューターにインストールできるデバイスまたはインストールできなかったデバイスを制御する一連のポリシーです。 設定をスタンドアロン コンピューターに適用する場合も、Active Directory ドメイン内の多くのコンピューターに適用する場合でも、グループ ポリシー オブジェクト エディターを使用してポリシー設定を構成して適用します。 詳細については、「オブジェクト エディターグループ ポリシー」を参照してください。

このガイドで使用されるデバイス インストール ポリシーの簡単な説明を次に示します。

デバイスのインストール制御は、Windows OS 設計の性質上、コンピューター ('コンピューターの構成') にのみ適用され、ユーザー ('ユーザー構成') には適用されません。 これらのポリシー設定は、ポリシー設定が適用されているコンピューターにログオンするすべてのユーザーに影響します。 これらのポリシーを特定のユーザーまたはグループに適用することはできません。ただし、「管理者がデバイスのインストール ポリシーをオーバーライドすることを許可する」ポリシーを除きます。 このポリシーは、このセクションで説明するように他のポリシー設定を構成することで、コンピューターに適用するデバイスのインストール制限からローカル管理者グループのメンバーを除外します。

管理者がデバイスのインストール制限ポリシーをオーバーライドできるようにする

このポリシー設定を使用すると、ローカルの Administrators グループのメンバーは、他のポリシー設定に関係なく、任意のデバイスのドライバーをインストールして更新できます。 このポリシー設定を有効にした場合、管理者はハードウェアの追加ウィザードまたはドライバーの更新ウィザードを使用して、任意のデバイスのドライバーをインストールおよび更新できます。 このポリシー設定を無効にするか、構成しない場合、管理者はデバイスのインストールを制限するすべてのポリシー設定の対象となります。

これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する

このポリシー設定では、ユーザーがインストールできるデバイスを記述プラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 この設定は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定が有効になっていて、ユーザーがデバイスをインストールできないポリシー設定よりも優先されない場合にのみ使用することを目的としています。 このポリシー設定を有効にした場合、ユーザーは、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定の [これらのデバイス クラスのデバイスのインストールを禁止する] ポリシー設定によってインストールが禁止されていない場合、この一覧の ID と一致するハードウェア ID または互換性のある ID を持つデバイスをインストールして更新できます。 または、[リムーバブル デバイスのインストールを禁止する] ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、このポリシー設定の値によってデバイスも記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にした場合、または構成していない場合に、他のポリシーでデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、ユーザーがデバイスをインストールできるかどうかを決定します。

これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを許可する

このポリシー設定を使用すると、Windows でインストールが許可されているデバイスプラグ アンド プレイデバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定が有効になっている場合にのみ使用します。 デバイスのインストールを妨げるその他のポリシー設定は、この設定よりも優先されます。 このポリシー設定を有効にした場合、別のポリシー設定でそのインストールが特に禁止されていない限り、作成した一覧にデバイス インスタンス ID プラグ アンド プレイが表示されるデバイスをインストールまたは更新できます (たとえば、「これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する」ポリシー設定、"これらのデバイス クラスのデバイスのインストールを禁止する" ポリシー設定、 "これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する" ポリシー設定、または "リムーバブル デバイスのインストールを禁止する" ポリシー設定)。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。

これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する

このポリシー設定では、ユーザーがインストールできるデバイスを記述するデバイス セットアップ クラス GUID の一覧を指定します。 この設定は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定が有効になっていて、ユーザーがデバイスをインストールできないポリシー設定よりも優先されない場合にのみ使用することを目的としています。 この設定を有効にした場合、ユーザーは、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定の [これらのデバイス クラスのデバイスのインストールを禁止する] ポリシー設定でインストールが禁止されていない場合は、この一覧のいずれかの ID に一致するハードウェア ID または互換性のある ID を持つデバイスをインストールして更新できます。 または、[リムーバブル デバイスのインストールを禁止する] ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、このポリシー設定の値によってデバイスも記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にした場合、または構成していない場合、その他のポリシー設定でデバイスが説明されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、ユーザーがデバイスをインストールできるかどうかを決定します。

これらのデバイス ID に一致するデバイスのインストールを禁止する

このポリシー設定では、ユーザーがインストールできないデバイスプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 このポリシー設定を有効にした場合、ハードウェア ID または互換性のある ID がこの一覧のドライバーと一致する場合、ユーザーはデバイスのドライバーをインストールまたは更新できません。 このポリシー設定を無効にするか、構成しない場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているように、デバイスをインストールし、ドライバーを更新できます。 注: このポリシー設定は、ユーザーがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 このポリシー設定は、デバイスのインストールを許可する別のポリシー設定と一致する場合でも、ユーザーがデバイスをインストールできないようにします。

これらのデバイス インスタンス ID のいずれかに一致するデバイスのインストールを禁止する

このポリシー設定を使用すると、Windows がインストールできないようにプラグ アンド プレイデバイス インスタンス ID の一覧を指定できます。 このポリシー設定は、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 このポリシー設定を有効にすると、作成したリストにデバイス インスタンス ID が表示されるデバイスが Windows にインストールされなくなります。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。 このポリシー設定を無効にするか、構成しない場合は、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。

これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを禁止する

このポリシー設定では、ユーザーがインストールできないデバイスプラグ アンド プレイデバイス セットアップ クラス GUID の一覧を指定します。 このポリシー設定を有効にした場合、ユーザーは、一覧表示されているデバイス セットアップ クラスのいずれかに属するデバイスをインストールまたは更新できません。 このポリシー設定を無効にするか、構成しない場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているとおりにデバイスをインストールおよび更新できます。 注: このポリシー設定は、ユーザーがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 このポリシー設定は、デバイスのインストールを許可する別のポリシー設定と一致する場合でも、ユーザーがデバイスをインストールできないようにします。

すべてのデバイスの一致条件に対してデバイスのインストール ポリシーを許可および禁止するための階層化された評価順序を適用する

このポリシー設定は、特定のデバイスに複数のインストール ポリシー設定が適用される場合にポリシー設定を許可および禁止する評価順序を変更します。 このポリシー設定を有効にして、より具体的な一致条件があまり特定の一致条件よりも優先される確立された階層に基づいて、重複するデバイスの一致条件が適用されるようにします。 デバイスの一致条件を指定するポリシー設定の階層的な評価順序は次のとおりです。

デバイス インスタンス ID>デバイス ID>デバイス セットアップ クラス>リムーバブル デバイス

このポリシー設定では、"他のポリシー設定で説明されていないデバイスのインストールを禁止する" ポリシー設定よりも詳細な制御が提供されます。 これらの競合するポリシー設定が同時に有効になっている場合は、ポリシー設定が有効になり、他のポリシー設定は無視されます。

このポリシー設定を無効にするか、構成しない場合は、既定の評価が使用されます。 既定では、すべての "インストールの防止... "ポリシー設定は、Windows がデバイスをインストールできる他のポリシー設定よりも優先されます。

これらのポリシーの一部は、他のポリシーよりも優先されます。 次のフローチャートは、ユーザーがデバイスをインストールできるかどうかを判断するために Windows がどのように処理されるかを示しています。

デバイス インストール ポリシーのフローチャート。
デバイス インストール ポリシーのフローチャート

シナリオを完了するための要件

全般

各シナリオを完了するには、次のことを確認します。

  • Windows を実行しているクライアント コンピューター。
  • USB サム ドライブ。 このガイドで説明するシナリオでは、USB サム ドライブをデバイスの例として使用します ("リムーバブル ディスク ドライブ"、"メモリ ドライブ"、"フラッシュ ドライブ"、または "キーリング ドライブ" とも呼ばれます)。 ほとんどの USB サム ドライブでは、製造元が提供するドライバーは必要ありません。これらのデバイスは、Windows ビルドで提供される受信トレイ ドライバーと連携します。
  • コンピューターに事前にインストールされている USB/ネットワーク プリンター。
  • テスト マシン上の管理者アカウントにアクセスします。 このガイドの手順では、ほとんどの手順で管理者特権が必要です。

"防止" ポリシーを遡及的に適用することの影響を理解する

すべての "防止" ポリシーは、ポリシーが有効となる前にマシンにインストールされている既にインストールされているデバイスにブロック機能を適用できます。 管理者がマシン上のデバイスのインストール履歴を確認せず、ポリシーがすべてのデバイスに適用されることを確認する場合は、このオプションを使用することをお勧めします。

たとえば、プリンターが既にマシンにインストールされているため、すべてのプリンターをインストールできないと、インストールされているプリンターのみが使用可能な状態で、将来のプリンターのインストールが妨げられます。 ブロックをさかのぼって適用するには、管理者チェック [このポリシーを既にインストールされているデバイスに適用する] オプションをマークする必要があります。 このオプションをオンにすると、今後のデバイスに加えて、既にインストールされているデバイスにアクセスできなくなります。

このオプションは強力なツールですが、慎重に使用する必要があります。

重要

重要なデバイスに '事後的な防止' オプションを適用すると、マシンが役に立たない/受け入れられない可能性があります。 たとえば、すべての 'Disk Drives' をさかのぼって防止すると、OS が起動するディスクへのアクセスがブロックされる可能性があります。すべての 'Net' をさかのぼって防ぐと、このマシンがネットワークにアクセスできなくなる可能性があり、管理者が直接接続する必要がある問題を解決できます。

デバイス識別文字列を決定する

次の手順に従って、デバイスのデバイス識別文字列を決定できます。 デバイスのハードウェア ID と互換性のある ID が、このガイドに示されている ID と一致しない場合は、デバイスに適した ID を使用します (このポリシーはインスタンス ID とクラスに適用されますが、このガイドでは例を示しません)。

デバイスのハードウェア ID と互換性のある ID は、2 つの方法で決定できます。 デバイス マネージャー、オペレーティング システムに含まれるグラフィカル ツール、またはすべての Windows バージョンで使用できるコマンド ライン ツールである PnPUtil を使用できます。 次の手順に従って、デバイスのデバイス識別文字列を表示します。

これらの手順は、キヤノンのプリンターに固有です。 別の種類のデバイスを使用している場合は、それに応じて手順を調整する必要があります。 大きな違いは、デバイス マネージャー階層内のデバイスの場所です。 [プリンター] ノードに配置する代わりに、適切なノードでデバイスを見つける必要があります。

デバイス マネージャーを使用してデバイス識別文字列を検索するには

  1. プリンターが接続され、インストールされていることを確認します。

  2. デバイス マネージャー開くには、[スタート] ボタンを選択し、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押すか、アプリケーションとしてデバイス マネージャーを検索します。

  3. デバイス マネージャーが起動し、コンピューターで検出されたすべてのデバイスを表すツリーが表示されます。 ツリーの上部には、コンピューター名が横にあるノードがあります。 下位ノードは、コンピューターデバイスをグループ化するハードウェアのさまざまなカテゴリを表します。

  4. [プリンター] セクションを見つけて、ターゲット プリンターを見つけます

    デバイス マネージャーでプリンターを選択します。
    デバイス マネージャーでプリンターを選択する

  5. プリンターをダブルクリックし、[詳細] タブに移動します。

    [詳細] タブ。
    [詳細] タブを開き、デバイス識別子を探します

  6. [値] ウィンドウで、最も詳細なハードウェア ID をコピーします。この値はポリシーで使用します。

    Hwid。

    互換性のある ID。
    HWID と互換性のある ID

    ヒント

    PnPUtil コマンド ライン ユーティリティを使用して、デバイス識別文字列を決定することもできます。 詳細については、「 PnPUtil - Windows ドライバー」を参照してください。

PnPUtil を使用したデバイス識別子の取得

pnputil /enum-devices /ids

マシン上の 1 つのデバイスの出力の例を次に示します。

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

シナリオ #1: すべてのプリンターのインストールを禁止する

この単純なシナリオでは、クラスのデバイス全体がインストールされないようにする方法について説明します。

環境の設定

次の手順でシナリオの環境を設定します。

  1. グループ ポリシー エディター開き、[デバイスのインストール制限] セクションに移動します。

  2. [評価の階層化された順序を適用する] を除く、以前のすべてのデバイス インストール ポリシーを無効にします。ポリシーは既定では無効になっていますが、ほとんどの実用的なアプリケーションでこのポリシーを有効にすることをお勧めします。

  3. 有効なポリシーがある場合、その状態を "無効" に変更すると、すべてのパラメーターからポリシーがクリアされます

  4. でポリシーをテストするために使用できる USB/ネットワーク プリンターを用意する

シナリオの手順 - 禁止されているデバイスのインストールを防止する

インストールされないように適切なデバイス識別子を取得する:

  1. システム上でブロックするクラスのデバイスがある場合は、前のセクションの手順に従って、デバイス マネージャーまたは PnPUtil (クラス GUID) を使用してデバイス クラス識別子を見つけることができます。

  2. このようなデバイスがシステムにインストールされていない場合、またはクラスの名前がわかっている場合は、次の 2 つのリンクをチェックできます。

  3. 現在のシナリオでは、市場のほとんどのプリンターの Class GUID を次に示すように、すべてのプリンターがインストールされないようにすることに重点を置きます。

    Printers
    クラス = プリンター
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    このクラスにはプリンターが含まれます。

    前に説明したように、クラス全体を防ぐと、システムを完全に使用できなくなる可能性があります。 クラスを指定するときにブロックされるデバイスを確認してください。 このシナリオでは、プリンターに関連する他のクラスがありますが、適用する前に、システムにとって重要な他の既存のデバイスをブロックしていないことを確認してください。

すべてのプリンターがインストールされないようにポリシーを作成する:

  1. グループ ポリシー オブジェクト エディター開き、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押すか、Windows 検索 「グループ ポリシー エディター」と入力して UI を開きます。

  2. [デバイスのインストール制限] ページに移動します。

    コンピューターの構成 > 管理用テンプレート > システム > デバイスのインストール > デバイスのインストールの制限

  3. すべてのポリシーが無効になっていることを確認します ("評価の適用された階層化された順序" ポリシーを有効にしておくことをお勧めします)。

  4. [これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する] ポリシーを開き、[有効にする] ラジオ ボタンを選択します。

  5. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションは、ブロックするクラス識別子を入力できるテーブルに移動します。

  6. 中かっこで見つかったプリンター クラス GUID を入力します。 {4d36e979-e325-11ce-bfc1-08002be10318}

    防止クラス GUID の一覧
    防止クラス GUID の一覧

  7. [OK] をクリックします。

  8. ポリシーのウィンドウの右下にある [適用] をクリックします。このオプションはポリシーをプッシュし、今後のすべてのプリンターのインストールをブロックしますが、既存のインストールには適用されません。

  9. 省略可能-既存のインストールにポリシーを適用する場合: [これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する ] ポリシーをもう一度開きます。[オプション] ウィンドウで、"既にインストールされている一致するデバイスにも適用されます" というチェック ボックスをオンにします

重要

防止ポリシー (上記のシナリオ #1 で使用したポリシーと同様) を使用し、以前にインストールしたすべてのデバイスに適用すると (手順 9 を参照)、重要なデバイスが使用できなくなる可能性があります。そのため、注意して使用してください。 たとえば、IT 管理者が、すべてのリムーバブル ストレージ デバイスがマシンにインストールされないようにしたい場合は、'Disk Drive' クラスを使用してブロックし、それを遡及的に適用すると、内部ハード ドライブが使用できなくなり、マシンが破損する可能性があります。

テスト シナリオ 1

  1. 手順 9 を完了していない場合は、次の手順に従います。

    1. お使いのプリンタをアンインストールします: デバイス マネージャー>プリンター>右クリックキヤノンプリンター>クリック "デバイスのアンインストール".
    2. USB プリンターの場合は、ケーブルを取り外してプラグを差し込みます。ネットワーク デバイスの場合は、Windows 設定アプリでプリンターを検索します。
    3. プリンターを再インストールすることはできません。

  2. 上記の手順 9 を完了してコンピューターを再起動した場合は、デバイス マネージャーまたは Windows 設定アプリの下でプリンターを探し、使用できなくなったことを確認します。

シナリオ #2: 特定のプリンターのインストールを禁止する

このシナリオは、シナリオ #1「すべてのプリンターのインストールを禁止する」に基づいています。 このシナリオでは、特定のプリンターをターゲットにして、コンピューターにインストールされないようにします。

環境の設定

次の手順でシナリオの環境を設定します。

  1. グループ ポリシー エディター開き、[デバイスのインストール制限] セクションに移動します。

  2. [評価の階層化された順序を適用する] を除き、以前のすべてのデバイス インストール ポリシーが無効になっていることを確認します (この前提条件は、このシナリオのオン/オフにオプションです)。 ポリシーは既定では無効になっていますが、ほとんどの実用的なアプリケーションで有効にすることをお勧めします。 シナリオ #2 の場合は省略可能です。

シナリオの手順 - 特定のデバイスのインストールを防止する

インストールされないように適切なデバイス識別子を取得する:

  1. プリンターのハードウェア ID を取得します。 この例では、前に見つけた識別子を使用します。

    プリンターハードウェア ID 識別子。
    プリンター ハードウェア ID

  2. デバイス ID (この場合はハードウェア ID) WSDPRINT\CanonMX920_seriesC1A0;を書き留めます。 特定の識別子を使用して、プリンターのファミリではなく、特定のプリンターをブロックすることを確認します

1 台のプリンターがインストールされないようにポリシーを作成する:

  1. オブジェクト エディターグループ ポリシー開きます。

  2. [デバイスのインストール制限] ページに移動します。

    コンピューターの構成 > 管理用テンプレート > システム > デバイスのインストール > デバイスのインストールの制限

  3. [これらのデバイス ID ポリシーのいずれかに一致するデバイスのインストールを禁止する] を開き、[有効にする] ラジオ ボタンを選択します。

  4. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションを選択すると、ブロックするデバイス識別子を入力できるテーブルが表示されます。

  5. 上で見つけたプリンター デバイス ID を入力します。 WSDPRINT\CanonMX920_seriesC1A0

    デバイス ID の一覧を禁止します。
    [デバイス ID の一覧を禁止する]

  6. [OK] をクリックします。

  7. ポリシーのウィンドウの右下にある [適用] をクリックします。 このオプションは、ポリシーをプッシュし、将来のインストールでターゲット プリンターをブロックしますが、既存のインストールには適用されません。

  8. 必要に応じて、ポリシーを既存のインストールに適用する場合は、[ これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する ] ポリシーをもう一度開きます。 [オプション] ウィンドウで、"既にインストールされている一致するデバイスにも適用されます" というチェック ボックスをオンにします。

テスト シナリオ 2

上記の手順 8 を完了し、コンピューターを再起動した場合は、デバイス マネージャーまたは Windows 設定アプリの下でプリンターを探し、使用できなくなったことを確認します。

手順 8 を完了していない場合は、次の手順に従います。

  1. お使いのプリンタをアンインストールします: デバイス マネージャー>プリンター>右クリックキヤノンプリンター>クリック "デバイスのアンインストール".

  2. USB プリンターの場合は、ケーブルを取り外してプラグを差し込みます。ネットワーク デバイスの場合は、Windows 設定アプリでプリンターを検索します。

  3. プリンターを再インストールすることはできません。

シナリオ #3: 特定のプリンターのインストールを許可しながら、すべてのプリンターのインストールを禁止する

ここでは、前の両方のシナリオの知識を使用して、単一のプリンターのインストールを許可しながら、デバイスのクラス全体のインストールを防ぐ方法について説明します。

環境の設定

次の手順でシナリオの環境を設定します。

  1. グループ ポリシー エディター開き、[デバイスのインストール制限] セクションに移動します。

  2. 以前のすべてのデバイス インストール ポリシーを無効にし、[評価の階層化された順序を適用する] を有効にします。

  3. 有効なポリシーがある場合、その状態を "無効" に変更すると、すべてのパラメーターからポリシーがクリアされます。

  4. ポリシーのテストに使用できる USB/ネットワーク プリンターを用意します。

シナリオステップ - 特定のプリンターを許可しながらクラス全体をインストールできないようにする

プリンター クラスと特定のプリンターの両方のデバイス識別子を取得するシナリオ #1 の手順に従って、クラス識別子とシナリオ #2 を見つけて、このシナリオに必要な識別子を取得できるデバイス識別子を見つけます。

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • ハードウェア ID = WSDPRINT\CanonMX920_seriesC1A0

最初に "クラスの禁止" ポリシーを作成し、次に "デバイスを許可する" ポリシーを作成します。

  1. グループ ポリシー オブジェクト エディター開き、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押すか、Windows 検索 「グループ ポリシー エディター」と入力して UI を開きます。

  2. [デバイスのインストール制限] ページに移動します。

    コンピューターの構成 > 管理用テンプレート > システム > デバイスのインストール > デバイスのインストールの制限

  3. すべてのポリシーが無効になっていることを確認する

  4. [これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する] ポリシーを開き、[有効にする] ラジオ ボタンを選択します。

  5. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションを選択すると、ブロックするクラス識別子を入力できるテーブルが表示されます。

  6. 上で見つけたプリンター クラス GUID を中かっこで入力します (この値は重要です)。それ以外の場合は機能しません: {4d36e979-e325-11ce-bfc1-08002be10318}

    防止クラス ID の一覧
    防止クラス GUID の一覧

  7. [OK] をクリックします。

  8. ポリシーのウィンドウの右下にある [適用] をクリックします。このオプションはポリシーをプッシュし、今後のすべてのプリンターのインストールをブロックしますが、既存のインストールには適用されません。

  9. 将来のすべてのプリンターと既存のプリンターのカバレッジを完了するには、[ これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する ] ポリシーをもう一度開きます。[オプション] ウィンドウで、"既にインストールされている一致するデバイスにも適用されます" というチェック ボックスをオンにし、[OK] をクリックします

  10. すべてのデバイス一致条件ポリシーでデバイスのインストールポリシーを許可および禁止するための階層化された評価順序の適用ポリシーを開き、これを有効にすると、特定のデバイスで "防止" ポリシーの広範なカバレッジをオーバーライドできます。

    [デバイスのインストール制限] の下のポリシーと、この手順で指定したポリシーを示すローカル グループ ポリシー エディターのスクリーンショット。

    この手順で指定したポリシーの現在の設定を示す画像。
    評価ポリシーの階層化された順序を適用する

  11. [ これらのデバイス ID ポリシーのいずれかに一致するデバイスのインストールを許可 する] を開き、[有効にする] ラジオ ボタンを選択します。

  12. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションを選択すると、許可するデバイス識別子を入力できるテーブルが表示されます。

  13. 上記のプリンター デバイス ID を入力します:WSDPRINT\CanonMX920_seriesC1A0。

    プリンターのハードウェア ID を許可します。
    プリンターのハードウェア ID を許可する

  14. [OK] をクリックします。

  15. ポリシーのウィンドウの右下にある [適用] をクリックします。このオプションはポリシーをプッシュし、ターゲット プリンターのインストール (またはインストールの維持) を許可します。

テスト シナリオ 3

  1. デバイス マネージャーまたは Windows 設定アプリでプリンターを探し、そのプリンターがまだ存在し、アクセス可能であることを確認します。 または、テスト ドキュメントを印刷するだけです。

  2. グループ ポリシー エディターに戻る、すべてのデバイス一致条件ポリシーでデバイスのインストール ポリシーを許可および禁止するための階層化された評価順序の適用を無効にし、プリンターを再度テストします。何かを印刷したり、プリンターにアクセスしたりすることはできません。

シナリオ #4: 特定の USB デバイスのインストールを禁止する

このシナリオは、シナリオ #2 の「特定のプリンターのインストールを禁止する」の知識に基づいています。 このシナリオでは、一部のデバイスが PnP (プラグ アンド プレイ) デバイス ツリーにどのように組み込まれているかを理解します。

環境の設定

次の手順でシナリオの環境を設定します。

  1. グループ ポリシー エディターを開き、[デバイスのインストール制限] セクションに移動します

  2. [評価の階層化された順序を適用する] を除き、以前のすべてのデバイス インストール ポリシーが無効になっていることを確認します。 この前提条件は、このシナリオのオン/オフには省略可能です。 ポリシーは既定では無効になっていますが、ほとんどの実用的なアプリケーションで有効にすることをお勧めします。

シナリオの手順 - 特定のデバイスのインストールを防止する

適切なデバイス識別子を取得して、インストールされないようにし、PnP ツリー内の場所を確認します。

  1. USB サム ドライブをマシンに接続する

  2. デバイス マネージャーを開く

  3. USB サム ドライブを見つけて選択します。

    デバイス マネージャーで usb サム ドライブを選択します。
    デバイス マネージャーで USB サム ドライブを選択する

  4. [ビュー] (上部のメニュー) を [接続別のデバイス] に変更します。 このビューは、PnP ツリーにデバイスをインストールする方法を表します。

    デバイス マネージャーのビューを変更して PnP 接続ツリーを表示します。
    デバイス マネージャーのビューを変更して PnP 接続ツリーを表示する

    ブロック中\PnP ツリーの上位にあるデバイスを防止すると、その下に座っているすべてのデバイスがブロックされます。 たとえば、"汎用 USB ハブ" がインストールされないようにすると、"汎用 USB ハブ" の下に置かれているすべてのデバイスがブロックされます。

    入れ子になったデバイスをルートからブロックする。
    1 つのデバイスをブロックすると、その下に入れ子になっているすべてのデバイスもブロックされます

  5. USB サム ドライブをダブルクリックし、[詳細] タブに移動します。

  6. [値] ウィンドウで、最も詳細なハードウェア ID をコピーします。この値はポリシーで使用します。 この場合、デバイス ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

    USB デバイス ハードウェア ID。
    USB デバイス ハードウェア ID

1 つの USB サム ドライブがインストールされないようにポリシーを作成する:

  1. オブジェクト エディターグループ ポリシー開き、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押すか、Windows 検索の 「グループ ポリシー エディター」と入力して UI を開きます。

  2. [デバイスのインストール制限] ページに移動します。

    コンピューターの構成 > 管理用テンプレート > システム > デバイスのインストール > デバイスのインストールの制限

  3. [これらのデバイス ID ポリシーのいずれかに一致するデバイスのインストールを禁止する] を開き、[有効にする] ラジオ ボタンを選択します。

  4. 左下の [オプション] ウィンドウで、[表示] ボックスをクリックします。 このオプションを選択すると、ブロックするデバイス識別子を入力できるテーブルが表示されます。

  5. 上記USBSTOR\DiskGeneric_Flash_Disk______8.07の USB サム ドライブ デバイス ID を入力します。

    デバイス ID の一覧を禁止します。
    デバイス ID の一覧を禁止する

  6. [OK] をクリックします。

  7. ポリシーのウィンドウの右下にある [適用] をクリックします。 このオプションはポリシーをプッシュし、今後のインストールでターゲット USB サム ドライブをブロックしますが、既存のインストールには適用されません。

  8. 省略可能 - ポリシーを既存のインストールに適用する場合は、 これらのデバイス ID のいずれかに一致するデバイスのインストールを禁止する ポリシーをもう一度開きます。 [オプション] ウィンドウで、"既にインストールされている一致するデバイスにも適用されます" というチェック ボックスをオンにします。

テスト シナリオ 4

  1. 手順 8 を完了していない場合は、次の手順に従います。

    • USB サム ドライブをアンインストールする: デバイス マネージャー>ディスク ドライブ>でターゲット USB サム ドライブ>を右クリックし、[デバイスのアンインストール] をクリックします。
    • デバイスを再インストールすることはできません。

  2. 上記の手順 8 を完了し、コンピューターを再起動した場合は、デバイス マネージャーの下にあるディスク ドライブを探して、使用できなくなったことを確認します。

シナリオ #5: 承認された USB サム ドライブのみのインストールを許可しながら、すべての USB デバイスのインストールを禁止する

ここでは、前の 4 つのシナリオのすべての知識を使用して、1 つの承認された USB サム ドライブのインストールを許可しながら、デバイスのクラス全体のインストールを防ぐ方法について説明します。

環境の設定

次の手順でシナリオの環境を設定します。

  1. グループ ポリシー エディター開き、[デバイスのインストール制限] セクションに移動します。

  2. 以前のすべてのデバイス インストール ポリシーを無効にし、[評価の階層化された順序を適用する] を有効にします

  3. 有効なポリシーがある場合、その状態を "無効" に変更すると、すべてのパラメーターからポリシーがクリアされます。

  4. ポリシーのテストに使用できる USB サム ドライブを用意します。

シナリオの手順 - 承認された USB サム ドライブのみを許可しながら、すべての USB デバイスのインストールを防止する

USB クラスと特定の USB サム ドライブの両方のデバイス識別子を取得し、シナリオ #1 の手順に従ってクラス識別子とシナリオ #4 を見つけ、このシナリオに必要な識別子を取得できます。

  • USB Bus デバイス (ハブとホスト コントローラー)

    • クラス = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • このクラスには USB ホスト コントローラーと USB ハブが含まれますが、USB 周辺機器は含まれません。 このクラスのドライバーはシステム提供です。

  • USB デバイス

    • クラス = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice には、別のクラスに属していないすべての USB デバイスが含まれています。 このクラスは、USB ホスト コントローラーとハブには使用されません。

  • ハードウェア ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

シナリオ #4 で説明したように、1 つの USB サム ドライブを有効にするために、1 つのハードウェア ID のみを有効にするだけでは十分ではありません。 IT 管理者は、ターゲットデバイスの前にあるすべての USB デバイスもブロック (許可) されていないことを確認する必要があります。 この場合、ターゲット USB サム ドライブも許可できるように、次のデバイスを許可する必要があります。

  • "Intel(R) USB 3.0 eXtensible ホスト コントローラー - 1.0 (Microsoft)" -> PCI\CC_0C03
  • "USB ルート ハブ (USB 3.0)" -> USB\ROOT_HUB30
  • "汎用 USB ハブ" -> USB\USB20_HUB

PnP ツリーに入れ子になった USB デバイス。
PnP ツリー内の相互に入れ子になった USB デバイス

これらのデバイスは、外部への USB ポート接続を定義するコンピューター上の内部デバイスです。 これらを有効にしても、外部/周辺機器デバイスがマシンにインストールされないようにする必要があります。

重要

システム内の一部のデバイスには、システムへのインストールを定義するための複数の接続層があります。 USB サム ドライブは、このようなデバイスです。 したがって、システムでブロックまたは許可する場合は、各デバイスの接続パスを理解することが重要です。 システムでよく使用されるいくつかの汎用デバイス ID があり、そのような場合に '許可リスト' を構築するための良いスタートを提供する可能性があります。 一覧については、以下を参照してください。

PCI\CC_0C03;PCI\CC_0C0330;PCI\VEN_8086;PNP0CA1。PNP0CA1&HOST (ホスト コントローラーの場合)/USB\ROOT_HUB30;USB\ROOT_HUB20 (USB ルート ハブの場合)/USB\USB20_HUB (汎用 USB ハブの場合)/

デスクトップ コンピューターの場合は、キーボードとマウスが接続されているすべての USB デバイスを上記の一覧に一覧表示することが非常に重要です。 これを行わないと、ユーザーが HID デバイスを介してマシンにアクセスできない可能性があります。

PC の製造元によって、PnP ツリーに USB デバイスを入れ子にする方法が異なる場合がありますが、一般的にはこれがどのように行われます。

最初に "クラスの禁止" ポリシーを作成し、次に "デバイスを許可する" ポリシーを作成します。

  1. オブジェクト エディターグループ ポリシー開く: [スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押すか、Windows 検索 "グループ ポリシー エディター" と入力して UI を開きます。

  2. [デバイスのインストール制限] ページに移動します。

    コンピューターの構成 > 管理用テンプレート > システム > デバイスのインストール > デバイスのインストールの制限

  3. すべてのポリシーが無効になっていることを確認する

  4. [これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する] ポリシーを開き、[有効にする] ラジオ ボタンを選択します。

  5. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションを選択すると、ブロックするクラス識別子を入力できるテーブルが表示されます。

  6. 上で見つけた両方の USB クラス GUID を中かっこで入力します。

    {36fc9e60-c465-11cf-8056-44553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. [OK] をクリックします。

  8. ポリシーのウィンドウの右下にある [適用] をクリックします。 このオプションはポリシーをプッシュし、今後のすべての USB デバイスのインストールをブロックしますが、既存のインストールには適用されません。

    重要

    前の手順では、今後のすべての USB デバイスがインストールされるのを防ぎます。 次の手順に進む前に、キーボードやマウスを介してシステムとの対話を妨げるのを防ぐために使用できるすべての USB ホスト コントローラー、USB ルート ハブ、汎用 USB Hubs デバイス ID の完全な一覧が可能であることを確認してください。

  9. すべてのデバイス一致条件ポリシーでデバイスのインストールポリシーを許可および禁止するための階層化された評価順序を適用するポリシーを開き、有効にします。 このポリシーを使用すると、特定のデバイスで "防止" ポリシーの広範なカバレッジをオーバーライドできます。

    評価ポリシーの階層化された順序を適用します。
    評価ポリシーの階層化された順序を適用する

  10. [ これらのデバイス ID ポリシーのいずれかに一致するデバイスのインストールを許可 する] を開き、[有効にする] ラジオ ボタンを選択します。

  11. 左下の [オプション] ウィンドウで、[表示]をクリックします。ボックス。 このオプションを選択すると、許可するデバイス識別子を入力できるテーブルが表示されます。

  12. インストールUSBSTOR\DiskGeneric_Flash_Disk______8.07を承認する特定の USB サム ドライブを含む、上記の USB デバイス ID の完全な一覧を入力します。

    ポリシー
    許可されている USB デバイス ID の一覧

  13. [OK] をクリックします。

  14. ポリシーのウィンドウの右下にある [適用] をクリックします。

  15. 現在インストールされているすべての USB デバイスの "防止" カバレッジを適用するには、[ これらのデバイス セットアップ クラスに一致するドライバーを使用したデバイスのインストールを禁止する ] ポリシーをもう一度開きます。[オプション] ウィンドウで、[既にインストールされている一致するデバイスにも適用されます] というチェック ボックスをオンにし、[OK] をクリックします。

テスト シナリオ 5

使用を承認した USB サム ドライブを除き、USB サム ドライブをインストールすることはできません。