Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Organisationen möchten bestimmte Arten von USB-Geräten blockieren, z. B. USB-Flashlaufwerke oder Kameras. Möglicherweise möchten Sie auch bestimmte USB-Geräte wie Tastatur oder Maus zulassen.
Verwenden Sie den Einstellungskatalog in Microsoft Intune, um diese Einstellungen in einer Richtlinie zu konfigurieren, und stellen Sie diese Richtlinie dann auf Ihren Windows-Geräten bereit. Weitere Informationen zum Einstellungskatalog finden Sie unter Verwenden des Einstellungskatalogs zum Konfigurieren von Geräteeinstellungen in Microsoft Intune.
In diesem Artikel wird Folgendes erläutert:
- Erstellen einer Einstellungskatalogrichtlinie mit USB-Einstellungen im Intune Admin Center
- Verwenden einer Protokolldatei zur Problembehandlung von Geräten, die nicht blockiert werden sollten
Dieser Artikel gilt für:
- Windows
Voraussetzungen
Rollenanforderungen
Um die Einstellungskatalogrichtlinie zu konfigurieren, melden Sie sich mindestens beim Intune Admin Center mit der Rolle Richtlinien- und Profil-Manager an. Weitere Informationen zu den integrierten Rollen in Intune finden Sie unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Microsoft Intune.
Erstellen des Profils
Diese Richtlinie enthält ein Beispiel für das Blockieren (oder Zulassen) von Features, die sich auf USB-Geräte auswirken. Verwenden Sie diese Richtlinie als Ausgangspunkt, und fügen Sie dann nach Bedarf Einstellungen für Ihre organization hinzu oder entfernen Sie sie.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Windows 10 und höher aus.
- Profiltyp: Wählen Sie Einstellungskatalog aus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen beschreibenden Namen für das Profil ein. Geben Sie z. B. USB-Geräte einschränkenein.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus. Wechseln Sie in der Einstellungsauswahl zu Administrative Vorlagen>Systemgeräteinstallation>>Geräteinstallationseinschränkungen. Wählen Sie die folgenden Einstellungen aus:
- Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen
- Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen
- Verhindern der Installation von Geräten, die nicht in anderen Richtlinieneinstellungen beschrieben sind
Schließen Sie die Einstellungsauswahl. Konfigurieren Sie die ausgewählten Einstellungen:
Installation von Geräten zulassen, die einer dieser Geräte-IDs entsprechen: Wählen Sie Aktiviertaus. Fügen Sie die Geräte- oder Hardware-IDs für Geräte hinzu, die Sie zulassen möchten.
Um die Geräte- oder Hardware-ID abzurufen, verwenden Sie Geräte-Manager, suchen Sie das Gerät, und sehen Sie sich die Eigenschaften an. Die spezifischen Schritte finden Sie unter Finden Sie die Hardware-ID auf einem Windows-Gerät.
Unter Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mit Microsoft Intune finden Sie auch hilfreiche Informationen zur Geräte-ID.
Installation von Geräten mit Treibern zulassen, die diesen Geräte-Setup-Klassen entsprechen: Wählen Sie Aktiviert. Fügen Sie die Vom System definierten Gerätesetupklassen hinzu, die für Anbieter verfügbar sind, die Sie zulassen möchten.
In der folgenden Abbildung sind die Klassen Tastatur, Maus und Multimedia zulässig.
Installation von Geräten verhindern, die nicht in anderen Richtlinieneinstellungen beschrieben sind: Wählen Sie Aktiviert aus.
Wenn Sie diese Einstellungen aktivieren und konfigurieren, sieht Ihre Richtlinie in etwa wie die folgenden Richtlinieneinstellungen aus:
Wählen Sie Weiter aus.
Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie
US-NC IT TeamoderJohnGlenn_ITDepartmentzu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die Gerätegruppen aus, die das Profil erhalten. Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie Erstellen auswählen, werden Ihre Änderungen gespeichert, und das Profil wird zugewiesen.
Überprüfen von USB-Geräteeinschränkungen auf Windows-Geräten
Nachdem Sie das Gerätekonfigurationsprofil auf Ihren Zielgeräten bereitgestellt haben, vergewissern Sie sich, dass es ordnungsgemäß funktioniert.
Wenn die Installation eines USB-Geräts blockiert wird, wird eine Meldung ähnlich der folgenden angezeigt:
The installation of this device is forbidden by system policy. Contact your system administrator.
Im folgenden Beispiel wird das iPad blockiert, da seine Geräte-ID nicht in der Liste der zulässigen Geräte-IDs enthalten ist:
Ein Gerät ist blockiert, sollte aber zugelassen sein.
Einige USB-Geräte haben mehrere GUIDs, und es kommt häufig vor, dass einige GUIDs in Ihren Richtlinieneinstellungen fehlen. Daher kann ein USB-Gerät, das Sie in Ihren Einstellungen zulassen, auf dem Gerät blockiert werden.
Im folgenden Beispiel wird in der Einstellung Installation von Geräten mit Treibern zulassen, die diesen Geräte-Setup-Klassen entsprechen die GUID der Multimedia-Klasse eingegeben und die Kamera blockiert:
Auflösung:
Führen Sie die folgenden Schritte aus, um die GUID Ihres Geräts zu finden:
Öffnen Sie auf dem Gerät die Datei
%windir%\inf\setupapi.dev.log.In der Datei:
Suchen Sie nach Eingeschränkte Installation von Geräten, die nicht durch die Richtlinie beschrieben werden.
Suchen Sie in diesem Abschnitt nach dem
Class GUID of device changed to: {GUID}Text. Fügen Sie dies{GUID}Ihrer Richtlinie hinzu.Im folgenden Beispiel wird der
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}Text angezeigt:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
Wechseln Sie im Gerätekonfigurationsprofil zur Einstellung Installation von Geräten mit Treibern zulassen, die diesen Geräteeinrichtungsklassen entsprechen,, und fügen Sie die Klassen-GUID aus der Protokolldatei hinzu.
Wenn das Problem weiterhin besteht, wiederholen Sie diese Schritte, um die anderen Klassen-GUIDs hinzuzufügen, bis das Gerät erfolgreich installiert wurde.
In unserem Beispiel werden dem Geräteprofil die folgenden Klassen-GUIDs hinzugefügt:
- USB-Busgeräte (Hubs und Hostcontroller):
{36fc9e60-c465-11cf-8056-444553540000} - Human Interface Devices (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Kamerageräte:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Bildverarbeitungsgeräte:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- USB-Busgeräte (Hubs und Hostcontroller):
Allgemeine Klassen-GUIDs zum Zulassen von USB-Geräten
Tastatur und Maus: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:
- Tastatur:
{4d36e96b-e325-11ce-bfc1-08002be10318} - Maus:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Tastatur:
Kameras, Kopfhörer und Mikrofone: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:
- USB-Busgeräte (Hubs und Hostcontroller):
{36fc9e60-c465-11cf-8056-444553540000} - Human Interface Devices (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Multimediageräte:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Kamerageräte:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Bildverarbeitungsgeräte:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - Systemgeräte:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - Biometrische Geräte:
{53d29ef7-377c-4d14-864b-eb3a85769359} - Generische Softwaregeräte:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- USB-Busgeräte (Hubs und Hostcontroller):
3,5-mm-Kopfhörer: Fügen Sie dem Geräteprofil die folgenden GUIDs hinzu:
- Multimediageräte:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Audioendpunkt:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Multimediageräte:
Hinweis
Die tatsächlichen GUIDs können für Ihre spezifischen Geräte unterschiedlich sein.