Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
De nombreuses organisations souhaitent bloquer des types spécifiques de périphériques USB, tels que des disques mémoire flash USB ou des caméras USB. Vous pouvez également autoriser des périphériques USB spécifiques, tels qu’un clavier ou une souris.
Vous pouvez utiliser le catalogue de paramètres dans Microsoft Intune pour configurer ces paramètres dans une stratégie, puis déployer cette stratégie sur vos appareils Windows. Pour plus d’informations sur le catalogue de paramètres, consultez Utiliser le catalogue de paramètres pour configurer les paramètres de l’appareil dans Microsoft Intune.
Cet article vous présente les éléments suivants :
- Comment créer une stratégie de catalogue de paramètres avec des paramètres USB dans le centre d’administration Intune
- Comment utiliser un fichier journal pour résoudre les problèmes liés aux appareils qui ne doivent pas être bloqués
Cet article s’applique à :
- Windows
Configuration requise
- Pour configurer la stratégie de catalogue des paramètres, connectez-vous au minimum au centre d’administration Intune avec le rôle Gestionnaire de stratégies et de profils. Pour plus d’informations sur les rôles intégrés dans Intune et ce qu’ils peuvent faire, accédez à Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Créer le profil
Cette stratégie fournit un exemple de blocage (ou d’autorisation) des fonctionnalités qui affectent les périphériques USB. Vous pouvez utiliser cette stratégie comme point de départ, puis ajouter ou supprimer des paramètres en fonction des besoins de votre organization.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>stratégie.
Entrez les propriétés suivantes :
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profil : sélectionnez Catalogue de paramètres.
Sélectionnez Créer.
Dans Informations de base, entrez les propriétés suivantes :
- Nom: Entrez un nom descriptif pour le profil. Par exemple, entrez Restreindre les périphériques USB.
- Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.
Sélectionnez Suivant.
Dans Paramètres de configuration, sélectionnez Ajouter des paramètres. Dans le sélecteur de paramètres, accédezà Modèles >d’administrationInstallation de >l’appareil>Système Restrictions d’installation de l’appareil. Sélectionnez les paramètres suivants :
- Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil
- Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil
- Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie
Fermez la fenêtre Paramètres. Configurez les paramètres que vous avez sélectionnés :
Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil : sélectionnez Activé. Ajoutez les ID d’appareil/matériel pour les appareils que vous souhaitez autoriser.
Pour obtenir l’ID d’appareil/matériel, vous pouvez utiliser Gestionnaire de périphériques, rechercher l’appareil et examiner les propriétés. Pour connaître les étapes spécifiques, consultez Rechercher l’ID matériel sur un appareil Windows.
Vous trouverez également des informations utiles sur l’ID d’appareil dans Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison avec Microsoft Intune.
Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil : sélectionnez Activé. Ajoutez les classes de configuration des appareils définis par le système disponibles pour les fournisseurs que vous souhaitez autoriser.
Dans l’image suivante, les classes Clavier, Souris et Multimédia sont autorisées.
Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie : sélectionnez Activé.
Lorsque les paramètres sont activés et configurés, votre stratégie ressemble aux paramètres de stratégie suivants :
Sélectionnez Suivant.
Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple
US-NC IT TeamouJohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.Sélectionnez Suivant.
Dans Affectations, sélectionnez les groupes d’appareils qui doivent recevoir le profil. Sélectionnez Suivant.
Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.
Vérifier sur les appareils Windows
Une fois le profil de configuration de l’appareil déployé sur vos appareils ciblés, vous pouvez vérifier qu’il fonctionne correctement.
Si l’installation d’un périphérique USB est bloquée, vous voyez un message semblable au message suivant :
The installation of this device is forbidden by system policy. Contact your system administrator.
Dans l’exemple suivant, le iPad est bloqué car son ID d’appareil ne figure pas dans la liste des ID d’appareil autorisés :
Un appareil est bloqué, mais doit être autorisé
Certains périphériques USB ont plusieurs GUID et il est courant d’en manquer dans vos paramètres de stratégie. Par conséquent, un périphérique USB autorisé dans vos paramètres peut être bloqué sur l’appareil.
Dans l’exemple suivant, dans le paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, le GUID de classe multimédia est entré et l’appareil photo est bloqué :
Résolution :
Pour rechercher le GUID de votre appareil, utilisez procédez comme suit :
Sur l’appareil, ouvrez le fichier
%windir%\inf\setupapi.dev.log.Dans le fichier :
Recherchez Installation restreinte d’appareils non décrits par la stratégie.
Dans cette section, recherchez le texte
Class GUID of device changed to: {GUID}. Ajoutez-le{GUID}à votre stratégie.Dans l’exemple suivant, vous voyez le texte
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
Dans le profil de configuration de l’appareil, accédez au paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, puis ajoutez le GUID de classe à partir du fichier journal.
Si le problème persiste, répétez ces étapes pour ajouter les autres GUID de classe jusqu’à ce que l’appareil soit correctement installé.
Dans notre exemple, les GUID de classe suivants sont ajoutés au profil d’appareil :
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
{36fc9e60-c465-11cf-8056-444553540000} - Périphériques d’interface utilisateur (HID) :
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Périphériques de la caméra :
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Périphérique d’acquisition d’images :
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
GUID de classe courants pour autoriser les périphériques USB
Clavier et souris : ajoutez les GUID suivants au profil d’appareil :
- Clavier :
{4d36e96b-e325-11ce-bfc1-08002be10318} - Souris :
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Clavier :
Appareils photo, casques et microphones : ajoutez les GUID suivants au profil d’appareil :
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
{36fc9e60-c465-11cf-8056-444553540000} - Périphériques d’interface utilisateur (HID) :
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Périphériques multimédia :
{4d36e96c-e325-11ce-bfc1-08002be10318} - Périphériques de la caméra :
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Périphérique d’acquisition d’images :
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - Périphériques système :
{4D36E97D-E325-11CE-BFC1-08002BE10318} - Périphériques biométriques :
{53d29ef7-377c-4d14-864b-eb3a85769359} - Périphériques logiciels génériques :
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- Périphériques de bus USB (hubs et contrôleurs hôtes) :
Casque 3,5 mm : ajoutez les GUID suivants au profil d’appareil :
- Périphériques multimédia :
{4d36e96c-e325-11ce-bfc1-08002be10318} - Point de terminaison audio :
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Périphériques multimédia :
Remarque
Les GUID réels peuvent être différents pour vos appareils spécifiques.