限制 USB 设备,并允许在 Microsoft Intune 中使用“管理模板”的特定 USB 设备

  • 项目

许多组织希望阻止特定类型的 USB 设备,例如 USB 闪存驱动器或相机。 你可能还希望允许特定 USB 设备,例如键盘或鼠标。

可以使用“管理模板”(ADMX) 模板在策略中配置这些设置,然后将此策略部署到 Windows 设备。 更多关于“管理模板”及其内容的信息,请参阅 使用 Windows 10/11 模板在 Microsoft Intune 中配置组策略设置

本文介绍:

  • 如何在 Intune 管理中心使用 USB 设置创建 ADMX 策略
  • 如何使用日志文件对不应阻止的设备进行故障排除

应用于:

  • Windows 11
  • Windows 10

创建配置文件

此策略提供了如何阻止 (或允许影响 USB 设备的) 功能的示例。 可以将此策略用作起点,然后根据需要为组织添加或删除设置。

  1. 登录到Microsoft Intune管理中心

  2. 选择“ 设备>配置>创建”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型: 选择 模板>管理模板

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 例如,输入 限制 USB 设备
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  6. 选择 下一步

  7. 在“配置设置”中,配置以下设置:

    • 阻止安装其他策略设置未描述的设备: 选择启用>正常:

      在 Intune 中,将“阻止安装其他策略设置未描述的设备”设置设置为“已启用”。

    • 允许使用与这些设备安装程序类匹配的驱动程序安装设备: 选择 已启用。 然后,添加需要允许的 设备类别 GUID

      在下面的示例中,允许 键盘鼠标多媒体 类:

      显示如何使用Microsoft Intune设置“允许使用与这些设备设置类匹配的驱动程序安装设备”设置并添加类 GUID 的屏幕截图。

      选择“确定”。

    • 允许安装与以下任何设备 ID 匹配的设备: 选择 已启用。 然后,为要允许的设备添加设备/硬件 ID:

      显示如何使用 Intune 设置“允许安装与其中任一设备 ID 匹配的设备”设置并添加硬件 ID 的屏幕截图。

      若要获取设备/硬件 ID,可以使用设备管理器、查找设备并查看其属性。 有关具体步骤,请参阅 在 Windows 设备上查找硬件 ID

      Microsoft Defender for Endpoint设备控制设备安装:通过 Intune 部署和管理策略中还提供了一些有用的设备 ID 信息。

      选择“确定”。

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

    选择 下一步

  10. 分配 中,选择将接收配置文件的设备组。 选择 下一步

  11. 在“查看并创建”中查看设置。 选择 创建 时,将保存更改并分配配置文件。

在 Windows 设备上验证

将设备配置文件部署到目标设备后,可以确认它是否正常工作。

如果阻止 USB 设备安装,则会看到类似于以下消息的消息:

The installation of this device is forbidden by system policy. Contact your system administrator.

在下面的示例中,iPad 因为其设备 ID 不在允许的设备 ID 列表中而受到阻止:

组策略阻止的设备。

设备受到阻止,但应允许

某些 USB 设备具有多个 GUID,通常会在策略设置中错过某些 GUID。 因此,在你的设置中允许的 USB 设备,可能在设备上会受到阻止。

在下面的示例中,在 允许使用与这些设备设置类匹配的驱动程序安装设备 设置中,输入多媒体类 GUID,并阻止相机:

Windows 在 Windows 设备上无法找到相机消息。

Windows 设备上的组策略消息阻止相机。

解决方法:

若要查找设备的 GUID,请使用以下步骤:

  1. 在设备上,打开 %windir%\inf\setupapi.dev.log 文件。

  2. 在文件中:

    1. 搜索 策略未描述的受限设备安装

    2. 在本部分中,查找 Class GUID of device changed to: {GUID} 文本。 将此 {GUID} 添加到策略。

      在下面的示例中,将看到 Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} 文本:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. 在设备配置文件中,转到 允许使用与这些设备设置类设置匹配的驱动程序安装设备,然后从日志文件中添加类 GUID。

  4. 如果问题仍然存在,请重复这些步骤以添加其他类 GUID,直到设备成功安装。

    在我们的示例中,以下类 GUID 将添加到设备配置文件中:

    • USB 总线设备 (集线器和主机控制器): {36fc9e60-c465-11cf-8056-444553540000}
    • 人机接口设备 (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • 相机设备: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • 映像设备: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

允许 USB 设备的常见类 GUID

  • 键盘和鼠标: 向设备配置文件添加以下 GUID:

    • 键盘: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • 鼠标: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • 相机、耳机和麦克风: 向设备配置文件添加以下 GUID:

    • USB 总线设备 (集线器和主机控制器): {36fc9e60-c465-11cf-8056-444553540000}
    • 人机接口设备 (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • 多媒体设备: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • 相机设备: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • 映像设备: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • 系统设备: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • 生物识别设备: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • 通用软件设备: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • 3.5 mm 耳机: 向设备配置文件添加以下 GUID:

    • 多媒体设备: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • 音频终结点: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

注意

对于特定设备,实际 GUID 可能有所不同。

后续步骤

了解更多关于 Microsoft Intune 中 ADMX 模板的信息