策略 CSP - DeviceInstallation
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
AllowInstallationOfMatchingDeviceIDs
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
此策略设置允许你为 Windows 安装的设备指定即插即用硬件 ID 和兼容 ID 的列表。 此策略设置仅在启用“跨所有设备匹配条件应用允许和阻止设备安装策略的分层评估顺序”策略设置时使用,但它也可以与旧策略定义的“阻止安装未由其他策略设置描述的设备”策略设置一起使用。
当此策略设置与“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置一起启用时,Windows 将允许安装或更新其即插即用硬件 ID 或兼容 ID 显示在你创建的列表中的任何设备,除非层次结构中同一层或更高层的另一个策略设置专门阻止该安装, 例如以下策略设置:
- 阻止安装与这些设备 ID 匹配的设备
- 阻止安装与上述任何设备实例 ID 匹配的设备。
如果此策略设置未启用“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置,则专门阻止安装的任何其他策略设置将优先。
注意
“阻止安装未由其他策略设置描述的设备”策略设置已替换为支持的目标Windows 10版本的“允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置。 建议尽可能使用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置。
或者,如果此策略设置与“阻止安装未由其他策略设置描述的设备”策略设置一起启用,则允许 Windows 安装或更新其即插即用硬件 ID 或兼容 ID 显示在你创建的列表中的任何设备,除非另一个策略设置专门阻止该安装 (例如,“阻止安装与任何这些设备 ID 匹配的设备”策略设置, “阻止安装这些设备类的设备”策略设置、“阻止安装与这些设备实例 ID 匹配的设备”策略设置或“阻止安装可移动设备”策略设置) 。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,则“阻止安装其他策略设置未描述的设备”策略设置将确定是否可以安装该设备。
外围设备可以按 其硬件标识进行指定。 有关常见标识符结构的列表,请参阅 设备标识符格式。 在推出配置之前对其进行测试,以确保它允许预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_IDs_Allow |
| 友好名称 | 允许安装与上述任何设备 ID 匹配的设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | AllowDeviceIDs |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例允许 Windows 安装设备 ID 为 USB\Composite 或 USB\Class_FF 的兼容设备。 若要配置多个类,请使用  作为分隔符。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log,并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceInstanceIDs
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
通过此策略设置,可以指定允许 Windows 安装的设备即插即用设备实例 ID 的列表。 此策略设置仅在启用“跨所有设备匹配条件应用允许和阻止设备安装策略的分层评估顺序”策略设置时使用,但它也可以与旧策略定义的“阻止安装未由其他策略设置描述的设备”策略设置一起使用。
当此策略设置与“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置一起启用时,Windows 将允许安装或更新其即插即用设备实例 ID 显示在你创建的列表中的任何设备,除非层次结构中同一层或更高层的另一个策略设置专门阻止该安装, 例如以下策略设置:
- 阻止安装与上述任何设备实例 ID 匹配的设备。
如果此策略设置未启用“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置,则专门阻止安装的任何其他策略设置将优先。
注意
“阻止安装未由其他策略设置描述的设备”策略设置已替换为支持的目标Windows 10版本的“允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置。 建议尽可能使用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置。
或者,如果此策略设置与“阻止安装未由其他策略设置描述的设备”策略设置一起启用,则 Windows 可以安装或更新其即插即用设备实例 ID 显示在你创建的列表中的任何设备,除非另一个策略设置专门阻止该安装 (例如,“阻止安装与任何这些设备 ID 匹配的设备”策略设置, “阻止安装这些设备类的设备”策略设置、“阻止安装与这些设备实例 ID 匹配的设备”策略设置或“阻止安装可移动设备”策略设置) 。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,则“阻止安装其他策略设置未描述的设备”策略设置将确定是否可以安装该设备。
外围设备可以通过其 设备实例 ID 指定。 在推出配置之前对其进行测试,以确保它允许预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Instance_IDs_Allow |
| 友好名称 | 允许安装与其中任何设备实例 ID 匹配的设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | AllowInstanceIDs |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1USB\VID_1F75&PID_0917\47802411805883"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceSetupClasses
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
此策略设置允许指定设备安装程序类全局唯一标识符的列表, (GUID) 允许 Windows 安装的驱动程序包。 此策略设置仅在启用“跨所有设备匹配条件应用允许和阻止设备安装策略的分层评估顺序”策略设置时使用,但它也可以与旧策略定义的“阻止安装未由其他策略设置描述的设备”策略设置一起使用。
当此策略设置与“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置一起启用时,Windows 将允许安装或更新其设备安装类 GUID 出现在你创建的列表中的驱动程序包,除非层次结构中同一层或更高层的另一个策略设置专门阻止该安装, 例如以下策略设置:
- 阻止安装这些设备类的设备
- 阻止安装与这些设备 ID 匹配的设备
- 阻止安装与上述任何设备实例 ID 匹配的设备。
如果此策略设置未启用“针对允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置,则专门阻止安装的任何其他策略设置将优先。
注意
“阻止安装未由其他策略设置描述的设备”策略设置已替换为支持的目标Windows 10版本的“允许和阻止设备安装策略跨所有设备匹配条件应用分层评估顺序”策略设置。 建议尽可能使用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置。
或者,如果此策略设置与“阻止安装未由其他策略设置描述的设备”策略设置一起启用,则允许 Windows 安装或更新其设备安装类 GUID 出现在你创建的列表中,除非其他策略设置专门阻止安装 (例如“阻止安装与这些设备 ID 匹配的设备”策略设置, “阻止安装这些设备类的设备”策略设置、“阻止安装与这些设备实例 ID 匹配的设备”策略设置或“阻止安装可移动设备”策略设置) 。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,则“阻止安装其他策略设置未描述的设备”策略设置将确定是否可以安装该设备。
外围设备可以按 其硬件标识进行指定。 有关常见标识符结构的列表,请参阅 设备标识符格式。 在推出配置之前对其进行测试,以确保它允许预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Classes_Allow |
| 友好名称 | 允许使用与这些设备安装类匹配的驱动程序安装设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | AllowDeviceClasses |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例允许 Windows 安装:
- 软盘,ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM,ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- 调制解调器,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
将类 GUID 括在大括号 内 {}。 若要配置多个类,请使用  作为分隔符。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log,并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
EnableInstallationPolicyLayering
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.256] 及更高版本 ✅Windows 10 版本 1809 [10.0.17763.2145] 及更高版本 ✅Windows 10版本 1903 [10.0.18362.1714] 及更高版本 ✅Windows 10版本 2004 [10.0.19041.1151] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering
当多个安装策略设置适用于给定设备时,此策略设置将更改应用“允许”和“阻止”策略设置的评估顺序。 启用此策略设置,确保基于已建立的层次结构应用重叠的设备匹配条件,其中更具体的匹配条件取代了不太具体的匹配条件。 指定设备匹配条件的策略设置的评估层次结构顺序如下:
设备实例 ID > 设备 ID > 设备设置类 > 可移动设备。
设备实例 ID。
- 阻止使用与这些设备实例 ID 匹配的驱动程序安装设备
- 允许使用与这些设备实例 ID 匹配的驱动程序安装设备。
设备 ID。
- 阻止使用与这些设备 ID 匹配的驱动程序安装设备
- 允许使用与这些设备 ID 匹配的驱动程序安装设备。
设备设置类。
- 阻止使用与这些设备安装类匹配的驱动程序安装设备
- 允许使用与这些设备安装类匹配的驱动程序安装设备。
可移动设备。
- 阻止安装可移动设备。
注意
此策略设置提供比“阻止安装其他策略设置未描述的设备”策略设置更精细的控制。 如果同时启用这些冲突的策略设置,则会启用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置,并将忽略其他策略设置。
如果禁用或未配置此策略设置,则使用默认评估。 默认情况下,所有“阻止安装”。 策略设置优先于允许 Windows 安装设备的任何其他策略设置。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Allow_Deny_Layered |
| 友好名称 | 对所有设备匹配条件的“允许”和“阻止”设备安装策略应用分层评估顺序 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | AllowDenyLayered |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log,并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
还可以通过在 Intune 中使用自定义配置文件来更改设备安装策略设置的评估顺序。
PreventDeviceMetadataFromNetwork
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork
此策略设置允许阻止 Windows 从 Internet 检索设备元数据。
如果启用此策略设置,Windows 不会从 Internet 检索已安装设备的设备元数据。 此策略设置替代“设备安装设置”对话框中的设置,> (控制面板“系统和安全>系统>高级系统设置”>选项卡) 。
如果禁用或不配置此策略设置,“设备安装设置”对话框中的设置控制 Windows 是否从 Internet 检索设备元数据。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceMetadata_PreventDeviceMetadataFromNetwork |
| 友好名称 | 阻止从 Internet 检索设备元数据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Device Metadata |
| 注册表值名称 | PreventDeviceMetadataFromNetwork |
| ADMX 文件名 | DeviceSetup.admx |
PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
使用此策略设置,可以阻止安装任何其他策略设置未专门描述的设备。
注意
此策略设置已替换为“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置,以提供更精细的控制。 建议使用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置,而不是此策略设置。
如果启用此策略设置,将阻止 Windows 为任何设备安装或更新驱动程序包,而“允许安装与其中任何设备 ID 匹配的设备”、“允许安装与这些设备实例 ID 匹配的设备”策略设置未描述的任何设备。
如果禁用或未配置此策略设置,则允许 Windows 为“阻止安装与这些设备 ID 匹配的设备”策略设置“”阻止安装与这些设备实例 ID 匹配的设备“策略设置”“阻止安装与这些设备实例 ID 匹配的设备”描述的任何设备安装或更新驱动程序包, 或“阻止安装可移动设备”策略设置。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Unspecified_Deny |
| 友好名称 | 阻止安装其他策略设置未描述的设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | DenyUnspecified |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例阻止 Windows 安装任何其他策略设置未描述的设备。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
还可以通过在 Intune 中使用自定义配置文件来阻止安装。
PreventInstallationOfMatchingDeviceIDs
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
此策略设置允许你为禁止安装 Windows 的设备指定即插即用硬件 ID 和兼容 ID 的列表。 默认情况下,此策略设置优先于允许 Windows 安装设备的任何其他策略设置。
注意
若要启用“允许安装与任何这些设备实例 ID 匹配的设备”策略设置以取代适用设备的此策略设置,请启用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置。
如果启用此策略设置,将阻止 Windows 安装其硬件 ID 或兼容 ID 显示在你创建的列表中的设备。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,则可以按照其他策略设置允许或阻止的方式安装和更新设备。
外围设备可以按 其硬件标识进行指定。 有关常见标识符结构的列表,请参阅 设备标识符格式。 在推出配置之前对其进行测试,以确保它阻止预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_IDs_Deny |
| 友好名称 | 阻止安装与其中任何设备 ID 匹配的设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | DenyDeviceIDs |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例阻止 Windows 安装设备 ID 为 USB\Composite 或 USB\Class_FF 的兼容设备。 若要配置多个类,请使用 &#xF000; 作为分隔符。 若要将策略应用于已安装的匹配设备类,请将 DeviceInstall_IDs_Deny_Retroactive 设置为 true。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
还可以通过在 Intune 中使用自定义配置文件来阻止安装和使用禁止的外围设备。
例如,此自定义配置文件阻止安装和使用硬件 ID 为“USB\Composite”和“USB\Class_FF”的 USB 设备,并应用于已安装硬件 ID 匹配的 USB 设备。
PreventInstallationOfMatchingDeviceInstanceIDs
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
此策略设置允许你为禁止安装 Windows 的设备指定即插即用设备实例 ID 的列表。 此策略设置优先于允许 Windows 安装设备的任何其他策略设置。
如果启用此策略设置,将阻止 Windows 安装设备实例 ID 显示在你创建的列表中的设备。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,则可以按照其他策略设置允许或阻止的方式安装和更新设备。
外围设备可以通过其 设备实例 ID 指定。 在推出配置之前对其进行测试,以确保它允许预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Instance_IDs_Deny |
| 友好名称 | 阻止安装与上述任何设备实例 ID 匹配的设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | DenyInstanceIDs |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例阻止 Windows 安装设备实例 ID 为 USB\VID_1F75 和 USB\VID_0781。 若要配置多个类,请使用  作为分隔符。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1USB\VID_1F75&PID_0917\478024118058832USB\VID_0781&PID_5530\4C530001191214116305"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
还可以通过在 Intune 中使用自定义配置文件来阻止安装和使用禁止的外围设备。
例如,此自定义配置文件阻止安装具有匹配设备实例 ID 的设备。
若要在 Intune中使用自定义配置文件阻止安装具有匹配设备实例 ID 的设备:
找到设备实例 ID。
将设备实例 ID 中的 替换为
&&。 例如:将 替换为USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0。注意
不要在 值中使用空格。
将设备实例 ID 替换为
&示例 SyncML。 将 SyncML 添加到Intune自定义设备配置文件中。
PreventInstallationOfMatchingDeviceSetupClasses
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
此策略设置允许指定设备安装程序类全局唯一标识符的列表, (GUID) 阻止 Windows 安装驱动程序包。 默认情况下,此策略设置优先于允许 Windows 安装设备的任何其他策略设置。
注意
若要启用“允许安装与任何这些设备 ID 匹配的设备”和“允许安装与任何这些设备实例 ID 匹配的设备”策略设置,以取代适用于适用设备的此策略设置,请启用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置。
如果启用此策略设置,将阻止 Windows 安装或更新其设备安装类 GUID 显示在你创建的列表中的驱动程序包。
如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。
如果禁用或未配置此策略设置,Windows 可以安装和更新其他策略设置允许或阻止的设备。
外围设备可以按 其硬件标识进行指定。 有关常见标识符结构的列表,请参阅 设备标识符格式。 在推出配置之前对其进行测试,以确保它阻止预期的设备。 理想情况下,测试硬件的各种实例。 例如,测试多个 USB 密钥,而不是只测试一个。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DeviceInstall_Classes_Deny |
| 友好名称 | 阻止使用与这些设备安装类匹配的驱动程序安装设备 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备安装 > 设备安装限制 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions |
| 注册表值名称 | DenyDeviceClasses |
| ADMX 文件名 | DeviceInstallation.admx |
示例:
若要启用此策略,请使用以下 SyncML。 此示例阻止 Windows 安装:
- 软盘,ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM,ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
- 调制解调器,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
将类 GUID 括在大括号 内 {}。 若要配置多个类,请使用  作为分隔符。 若要将策略应用于已安装的匹配设备类,请将 DeviceInstall_Classes_Deny_Retroactive 设置为 true。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
验证:
若要验证策略是否已应用,检查 C:\windows\INF\setupapi.dev.log并查看日志末尾附近是否列出了以下详细信息:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈