Поставщик служб CSP политики — DeviceInstallation

  • Статья

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

AllowInstallationOfMatchingDeviceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1809 [10.0.17763] и более поздних версий 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Этот параметр политики позволяет указать список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для разрешить и запретить политики установки устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор Plug and Play которого отображается в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии не препятствует такой установке. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих этим идентификаторам устройств
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", заменен параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых Windows 10 версий. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных в других параметрах политики", Windows может устанавливать или обновлять любое устройство, идентификатор Plug and Play оборудования или идентификатор совместимости которого отображается в создаваемом списке, если другой параметр политики специально не запрещает эту установку (например, политика "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств" параметр, параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств".

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_IDs_Allow
Понятное имя Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDeviceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. Этот пример позволяет Windows установить совместимые устройства с идентификатором usb\Composite или USB\Class_FF. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 2004 [10.0.19041] и более поздние 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows разрешено устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для разрешенных и запретить политики установки устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра Plug and Play которого отображается в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально не предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", заменен параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых Windows 10 версий. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных в других параметрах политики", Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра Plug and Play которого отображается в создаваемом списке, если другой параметр политики специально не запрещает эту установку (например, параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств".

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью идентификатора экземпляра устройства. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Instance_IDs_Allow
Понятное имя Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowInstanceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1809 [10.0.17763] и более поздних версий 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политики разрешить и запретить установку устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять пакеты драйверов, guids class setupd которых отображаются в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально не предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств для этих классов устройств
  • Запретить установку устройств, соответствующих этим идентификаторам устройств
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", заменен параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых Windows 10 версий. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных другими параметрами политики", Windows может устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки которых отображаются в создаваемом списке, если другой параметр политики специально не запрещает установку (например, параметр политики "Запретить установку устройств, соответствующих этим идентификаторам устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств".

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Classes_Allow
Понятное имя Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDeviceClasses
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере windows можно установить:

  • Дискеты, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Модемы, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Заключите GUID класса в фигурные скобки {}. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅ [10.0.20348.256] и более поздних версий
✅Windows 10, версия 1809 [10.0.17763.2145] и более поздних версий
✅Windows 10, версия 1903 [10.0.18362.1714] и более поздние
✅Windows 10, версия 2004 [10.0.19041.1151] и более поздние версии
✅Windows 11, версия 21H2 [10.0.22000] и более поздние		 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

Этот параметр политики изменит порядок оценки, в котором применяются параметры политики "Разрешить" и "Запретить", если для данного устройства применимо несколько параметров политики установки. Включите этот параметр политики, чтобы обеспечить применение перекрывающихся условий соответствия устройств на основе установленной иерархии, где более конкретные критерии соответствия заменяют менее конкретные критерии соответствия. Иерархический порядок оценки параметров политики, определяющих критерии соответствия устройств, выглядит следующим образом:

Идентификаторы экземпляров устройств Идентификаторы >> устройств Класс > установки устройства Съемные устройства.

Идентификаторы экземпляров устройств.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств.

Идентификаторы устройств.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.

Класс настройки устройства.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

Съемные устройства.

  1. Запретить установку съемных устройств.

Примечание.

Этот параметр политики обеспечивает более детализированное управление, чем параметр политики "Запретить установку устройств, не описанных другими параметрами политики". Если эти конфликтующие параметры политики включены одновременно, будет включен параметр политики "Применить многоуровневый порядок оценки для разрешить и запретить установку устройств по всем критериям соответствия устройств" будет включен, а другой параметр политики будет игнорироваться.

Если этот параметр политики отключен или не настроен, используется оценка по умолчанию. По умолчанию все "Запретить установку". Параметры политики имеют приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Allow_Deny_Layered
Понятное имя Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDenyLayered
Имя файла ADMX DeviceInstallation.admx

Пример:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете изменить порядок оценки параметров политики установки устройств с помощью пользовательского профиля в Intune.

Это изображение редактируемой строки.

PreventDeviceMetadataFromNetwork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1809 [10.0.17763] и более поздних версий 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

Этот параметр политики позволяет запретить Windows получать метаданные устройства из Интернета.

  • Если этот параметр политики включен, Windows не будет получать метаданные устройства для установленных устройств из Интернета. Этот параметр политики переопределяет параметр в диалоговом окне Параметры установки устройства (панель управления > вкладка "Дополнительные параметры > системы системы и системы безопасности >>".

  • Если этот параметр политики отключен или не настроен, параметр в диалоговом окне Параметры установки устройства определяет, извлекает ли Windows метаданные устройства из Интернета.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceMetadata_PreventDeviceMetadataFromNetwork
Понятное имя Запрет получения метаданных устройства из Интернета
Location Конфигурация компьютера
Путь Установка системного > устройства
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\Device Metadata
Имя значения реестра PreventDeviceMetadataFromNetwork
Имя файла ADMX DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtPolicySettings

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1809 [10.0.17763] и более поздних версий 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Этот параметр политики позволяет запретить установку устройств, которые не описаны в других параметрах политики.

Примечание.

Этот параметр политики был заменен параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", чтобы обеспечить более детальный контроль. Вместо этого параметра политики рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать или обновлять пакет драйверов для любого устройства, которое не описано в параметрах политики "Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств", "Разрешить установку устройств для этих классов устройств" или "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств".

  • Если этот параметр политики отключен или не настроен, Windows может устанавливать или обновлять пакет драйверов для любого устройства, которое не описано в параметрах политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", "Запретить установку устройств для этих классов устройств", "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", или параметр политики "Запретить установку съемных устройств".

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Unspecified_Deny
Понятное имя Запретить установку устройств, не описанных другими параметрами политики
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyUnspecified
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку устройств, которые не описаны другим параметром политики.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку с помощью пользовательского профиля в Intune.

Настраиваемый профиль запрещает устройства.

PreventInstallationOfMatchingDeviceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1703 [10.0.15063] и более поздние 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Этот параметр политики позволяет указать список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows запрещено устанавливать. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметр политики "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", чтобы заменять этот параметр политики для соответствующих устройств, включите параметр политики "Применить многоуровневый порядок оценки для разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать устройство с идентификатором оборудования или совместимым идентификатором в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она блокирует ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_IDs_Deny
Понятное имя Запретить установку устройств, соответствующих любому из этих идентификаторов устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyDeviceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку совместимых устройств с идентификатором устройства USB\Composite или USB\Class_FF. Чтобы настроить несколько классов, используйте &amp;#xF000; в качестве разделителя. Чтобы применить политику к соответствующим классам устройств, которые уже установлены, задайте для DeviceInstall_IDs_Deny_Retroactive значение true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку и использование запрещенных периферийных устройств с помощью пользовательского профиля в Intune.

Например, этот пользовательский профиль блокирует установку и использование USB-устройств с идентификаторами оборудования "USB\Composite" и "USB\Class_FF", а также применяется к USB-устройствам с соответствующими идентификаторами оборудования, которые уже установлены.

Настраиваемый профиль запрещает идентификаторы устройств.

PreventInstallationOfMatchingDeviceInstanceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 2004 [10.0.19041] и более поздние 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

  • Если этот параметр политики включен, Windows не будет устанавливать устройство, идентификатор экземпляра которого отображается в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью идентификатора экземпляра устройства. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Instance_IDs_Deny
Понятное имя Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyInstanceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку совместимых устройств с идентификаторами экземпляров устройств USB\VID_1F75 и USB\VID_0781. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку и использование запрещенных периферийных устройств с помощью пользовательского профиля в Intune.

Например, этот настраиваемый профиль запрещает установку устройств с соответствующими идентификаторами экземпляров устройств.

Пользовательский профиль.

Чтобы предотвратить установку устройств с соответствующими идентификаторами экземпляров устройств с помощью пользовательского профиля в Intune:

  1. Найдите идентификатор экземпляра устройства.

  2. Замените & идентификаторы экземпляров &amp;устройств на . Например: замените на USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0.

    Примечание.

    Не используйте пробелы в значении.

  3. Замените идентификаторы экземпляров &amp; устройств на в примере SyncML. Добавьте SyncML в профиль конфигурации пользовательского устройства Intune.

PreventInstallationOfMatchingDeviceSetupClasses

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 10, версия 1703 [10.0.15063] и более поздние 
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows не может установить. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметры политик "Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств" и "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", чтобы заменять этот параметр политики для соответствующих устройств, включите параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки устройств которых отображаются в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, Windows может устанавливать и обновлять устройства, как это разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она блокирует ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Classes_Deny
Понятное имя Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyDeviceClasses
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. Этот пример предотвращает установку Windows:

  • Дискеты, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Модемы, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Заключите GUID класса в фигурные скобки {}. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя. Чтобы применить политику к соответствующим классам устройств, которые уже установлены, задайте для DeviceInstall_Classes_Deny_Retroactive значение true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверка C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Поставщик служб конфигурации политики