Comentários

CSP de política – DeviceInstallation

  • Artigo
  • 12 minutos para ler

Dica

Essas são políticas com suporte admX e exigem um formato SyncML especial para habilitar ou desabilitar. Para obter detalhes, consulte Noções básicas sobre políticas com suporte de ADMX.

Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter um exemplo de SyncML, consulte Habilitar uma política.

O conteúdo do SyncML deve ser codificado em XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você poderá usar CDATA se o MDM der suporte a ele. Para obter mais informações, consulte Seções CDATA.

Políticas de DeviceInstallation

DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/EnableInstallationPolicyLayering
DeviceInstallation/PreventDeviceMetadataFromNetwork
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de IDs de hardware plug-and-play e IDs compatíveis para dispositivos que Windows têm permissão para instalar.

Dica

Essa configuração de política destina-se a ser usada somente quando a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" estiver habilitada, no entanto, ela também poderá ser usada com a configuração de política "Impedir instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação de dispositivo em todos os critérios de correspondência do dispositivo", o Windows tem permissão para instalar ou atualizar qualquer dispositivo cuja ID de hardware ou ID compatível do Plug and Play aparece na lista que você cria, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente que instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo.
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo.

Se a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" não estiver habilitada com essa configuração de política, quaisquer outras configurações de política especificamente impedindo a instalação terão precedência.

Observação

A configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" para versões de Windows 10 de destino com suporte. É recomendável usar a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação do dispositivo aparecem na lista criada, a menos que outra configuração de política impeça especificamente a instalação (por exemplo, a configuração de política "Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo", a configuração de política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo" ou a configuração de política "Impedir instalação de dispositivos removíveis").

Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificador comuns, consulte Formatos de identificador de dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da POLÍTICA de Grupo: Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo
  • Nome da Política de Grupo: DeviceInstall_IDs_Allow
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir. Este exemplo permite Windows dispositivos compatíveis com uma ID de dispositivo USB\Composite ou USB\Class_FF. Para configurar várias classes, use &#xF000; como um delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, verifique C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de Plug and Play IDs de instância de dispositivo para dispositivos que Windows tem permissão para instalar.

Dica

Essa configuração de política destina-se a ser usada somente quando a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" estiver habilitada, no entanto, ela também poderá ser usada com a configuração de política "Impedir instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação de dispositivo em todos os critérios de correspondência do dispositivo", o Windows tem permissão para instalar ou atualizar qualquer dispositivo cuja ID de instância do dispositivo Plug and Play aparece na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente que instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo.

Se a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" não estiver habilitada com essa configuração de política, quaisquer outras configurações de política especificamente impedindo a instalação terão precedência.

Observação

A configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" para versões de Windows 10 de destino com suporte. É recomendável usar a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar qualquer dispositivo cuja ID de instância de dispositivo do Plug and Play apareça na lista criada, a menos que outra configuração de política impeça especificamente essa instalação (por exemplo, "Impedir a instalação de dispositivos que correspondam a qualquer um desses dispositivos" configuração da política "IDs do dispositivo", a configuração de política "Impedir instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo" ou a configuração de política "Impedir instalação de dispositivos removíveis").

Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Periféricos podem ser especificados pela ID da instância do dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da POLÍTICA de Grupo: Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo
  • Nome da Política de Grupo: DeviceInstall_Instance_IDs_Allow
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marque C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de GUIDs (identificadores globalmente exclusivos) da classe de instalação do dispositivo para pacotes de driver que Windows tem permissão para instalar.

Dica

Essa configuração de política destina-se a ser usada somente quando a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" estiver habilitada, no entanto, ela também poderá ser usada com a configuração de política "Impedir instalação de dispositivos não descritos por outras configurações de política" para definições de política herdadas.

Quando essa configuração de política é habilitada junto com a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação de dispositivo em todos os critérios de correspondência do dispositivo", o Windows tem permissão para instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação do dispositivo aparecem na lista criada, a menos que outra configuração de política na mesma camada ou superior na hierarquia impeça especificamente essa instalação, como as seguintes configurações de política:

  • Impedir a instalação de dispositivos para essas classes de dispositivo
  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo
  • Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo

Se a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" não estiver habilitada com essa configuração de política, quaisquer outras configurações de política especificamente impedindo a instalação terão precedência.

Observação

A configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" foi substituída pela configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" para versões de Windows 10 de destino com suporte. É recomendável usar a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" quando possível.

Como alternativa, se essa configuração de política estiver habilitada junto com a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política", o Windows poderá instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação do dispositivo aparecem na lista criada, a menos que outra configuração de política impeça especificamente a instalação (por exemplo, a configuração de política "Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo", a configuração de política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo" ou a configuração de política "Impedir instalação de dispositivos removíveis").

Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política" determinará se o dispositivo pode ser instalado.

Periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificador comuns, consulte Formatos de identificador de dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da POLÍTICA de Grupo: Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
  • Nome da Política de Grupo: DeviceInstall_Classes_Allow
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir. Este exemplo permite Windows instalar:

  • Disquetes, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Coloque o GUID da classe entre colchetes {}. Para configurar várias classes, use &#xF000; como um delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, verifique C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

DeviceInstallation/EnableInstallationPolicyLayering

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo adicionado no Windows 10, versão 2106

Essa configuração de política alterará a ordem de avaliação na qual as configurações de política Permitir e Impedir serão aplicadas quando mais de uma configuração de política de instalação for aplicável a um determinado dispositivo. Habilite essa configuração de política para garantir que os critérios de correspondência do dispositivo sobrepostos seja aplicado com base em uma hierarquia estabelecida em que critérios de correspondência mais específicos substituem critérios de correspondência menos específicos. A ordem hierárquica de avaliação para configurações de política que especificam critérios de correspondência do dispositivo é a seguinte:

IDs de instância de dispositivo > IDs de dispositivo > de configuração de dispositivo > dispositivos removíveis

IDs de instância do dispositivo

  • Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs de instância do dispositivo.
  • Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs de instância do dispositivo.

IDs do dispositivo

  • Impedir a instalação de dispositivos usando drivers que correspondam a essas IDs de dispositivo.
  • Permitir a instalação de dispositivos usando drivers que correspondam a essas IDs de dispositivo.

Classe de configuração do dispositivo

  • Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo.
  • Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo.

Dispositivos removíveis

  • Impedir a instalação de dispositivos removíveis.

Observação

Essa configuração de política fornece um controle mais granular do que a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política". Se essas configurações de política conflitantes forem habilitadas ao mesmo tempo, a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" será habilitada e a outra configuração de política será ignorada.

Se você desabilitar ou não definir essa configuração de política, a avaliação padrão será usada. Por padrão, todos os "Impedir instalação..." as configurações de política têm precedência sobre qualquer outra configuração de política que Windows instalar um dispositivo.

Informações do ADMX:

  • Nome amigável da POLÍTICA de Grupo: aplicar a ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo
  • Nome da Política de Grupo: DeviceInstall_Allow_Deny_Layered
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx
<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, verifique C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode alterar a ordem de avaliação das configurações da política de instalação do dispositivo usando um perfil personalizado Intune.

Esta imagem é uma imagem de linha de edição.

DeviceInstallation/PreventDeviceMetadataFromNetwork

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite impedir Windows recuperar metadados do dispositivo da Internet.

Se você habilitar essa configuração de política, Windows não recuperará metadados do dispositivo para dispositivos instalados da Internet. Essa configuração de política substitui a configuração na caixa de diálogo Configurações instalação do dispositivo (Painel de Controle > sistema e segurança > sistema > guia Hardware avançado Configurações > sistema).

Se você desabilitar ou não definir essa configuração de política, a configuração na caixa de diálogo Instalação do Dispositivo Configurações controlará se Windows recupera metadados do dispositivo da Internet.

Informações do ADMX:

  • Nome amigável da POLÍTICA de Grupo: Impedir a recuperação de metadados do dispositivo da Internet
  • Nome da Política de Grupo: DeviceMetadata_PreventDeviceMetadataFromNetwork
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo
  • Nome do arquivo ADMX da GP: DeviceSetup.admx

DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite impedir a instalação de dispositivos que não são descritos por nenhuma outra configuração de política.

Observação

Essa configuração de política foi substituída pela configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" para fornecer um controle mais granular. É recomendável que você use a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo" em vez dessa configuração de política.

Se você habilitar essa configuração de política, o Windows será impedido de instalar ou atualizar o pacote de driver para qualquer dispositivo que não esteja descrito pela configuração de política "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo", "Permitir instalação de dispositivos para essas classes de dispositivo" ou a configuração de política "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo".

Se você desabilitar ou não definir essa configuração de política, o Windows poderá instalar ou atualizar o pacote de driver para qualquer dispositivo que não esteja descrito pela configuração de política "Impedir instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo", configuração de política "Impedir instalação de dispositivos para essas classes de dispositivo", "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo", ou configuração de política "Impedir instalação de dispositivos removíveis".

Informações do ADMX:

  • Nome amigável da Política de Grupo: impedir a instalação de dispositivos não descritos por outras configurações de política
  • Nome da Política de Grupo: DeviceInstall_Unspecified_Deny
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede Windows instalação de dispositivos que não são descritos por nenhuma outra configuração de política.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marque C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação usando um perfil personalizado no Intune.

O perfil personalizado impede dispositivos.

DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de IDs de hardware Plug and Play E IDs compatíveis para dispositivos que Windows são impedidos de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita Windows instalar um dispositivo.

Observação

Para habilitar a configuração de política "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo" para substituir essa configuração de política para dispositivos aplicáveis, habilite a configuração de política "Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo".

Se você habilitar essa configuração de política, Windows será impedido de instalar um dispositivo cuja ID de hardware ou ID compatível apareça na lista que você criar. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificador comuns, consulte Formatos de identificador de dispositivo. Teste a configuração antes de implantá-la para garantir que ela bloqueie os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da GP: impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo
  • Nome da Política de Grupo: DeviceInstall_IDs_Deny
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx
Para habilitar essa política, use o SyncML a seguir. Este exemplo impede Windows dispositivos compatíveis com uma ID de dispositivo USB\Composite ou USB\Class_FF. Para configurar várias classes, use &#xF000; como um delimitador. Para aplicar a política a classes de dispositivo correspondentes que já estão instaladas, defina DeviceInstall_IDs_Deny_Retroactive como true. 
<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marque C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação e o uso de periféricos proibidos usando um perfil personalizado Intune.

Por exemplo, esse perfil personalizado bloqueia a instalação e o uso de dispositivos USB com IDs de hardware "USB\Composite" e "USB\Class_FF" e se aplica a dispositivos USB com IDs de hardware correspondentes que já estão instaladas.

O perfil personalizado impede ids do dispositivo.

DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que Windows é impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que Windows instalar um dispositivo.

Se você habilitar essa configuração de política, Windows será impedido de instalar um dispositivo cuja ID de instância do dispositivo aparece na lista que você cria. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Periféricos podem ser especificados pela ID da instância do dispositivo. Teste a configuração antes de implantá-la para garantir que ela permita os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da GP: impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo
  • Nome da Política de Grupo: DeviceInstall_Instance_IDs_Deny
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede Windows dispositivos compatíveis com IDs de instância de dispositivo de USB\VID_1F75 e USB\VID_0781. Para configurar várias classes, use &#xF000; como um delimitador.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marque C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Você também pode bloquear a instalação e o uso de periféricos proibidos usando um perfil personalizado Intune.

Por exemplo, esse perfil personalizado impede a instalação de dispositivos com IDs de instância de dispositivo correspondentes.

Perfil personalizado.

Para impedir a instalação de dispositivos com IDs de instância de dispositivo correspondentes usando o perfil personalizado Intune:

  1. Localize a ID da instância do dispositivo.
  2. Substitua & as IDs da instância do dispositivo por &amp;.
    Por exemplo:
    Substituir
    USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0
    Com
    USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0

    Observação

    não use espaços no valor.

  3. Substitua as IDs de instância do dispositivo no &amp; SyncML de exemplo. Adicione o SyncML ao perfil de configuração Intune dispositivo personalizado.

DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política permite que você especifique uma lista de GUIDs (identificadores globalmente exclusivos) da classe de instalação do dispositivo para pacotes de driver que Windows é impedido de instalar. Por padrão, essa configuração de política tem precedência sobre qualquer outra configuração de política que permita Windows instalar um dispositivo.

Observação

Para habilitar as configurações de política "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo" e "Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo" para substituir essa configuração de política para dispositivos aplicáveis, habilite a configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo".

Se você habilitar essa configuração de política, Windows será impedido de instalar ou atualizar pacotes de driver cujos GUIDs de classe de instalação do dispositivo aparecem na lista que você cria. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração de política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Se você desabilitar ou não definir essa configuração de política, o Windows poderá instalar e atualizar dispositivos conforme permitido ou impedido por outras configurações de política.

Periféricos podem ser especificados por sua identidade de hardware. Para obter uma lista de estruturas de identificador comuns, consulte Formatos de identificador de dispositivo. Teste a configuração antes de implantá-la para garantir que ela bloqueie os dispositivos esperados. O ideal é testar várias instâncias do hardware. Por exemplo, teste várias chaves USB em vez de apenas uma.

Informações do ADMX:

  • Nome amigável da GP: impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
  • Nome da Política de Grupo: DeviceInstall_Classes_Deny
  • Caminho da Política de Grupo: Instalação do Sistema/Dispositivo/Restrições de Instalação do Dispositivo
  • Nome do arquivo ADMX da GP: deviceinstallation.admx

Para habilitar essa política, use o SyncML a seguir. Este exemplo impede Windows instalação:

  • Disquetes, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Coloque o GUID da classe entre colchetes {}. Para configurar várias classes, use &#xF000; como um delimitador. Para aplicar a política a classes de dispositivo correspondentes que já estão instaladas, defina DeviceInstall_Classes_Deny_Retroactive como true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Para verificar se a política é aplicada, marque C:\windows\INF\setupapi.dev.log e veja se os seguintes detalhes estão listados perto do final do log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Tópicos relacionados

Provedor de serviços de configuração de política