Restringir dispositivos USB e permitir dispositivos USB específicos através do catálogo de definições no Microsoft Intune

Muitas organizações desejam bloquear tipos específicos de dispositivos USB, como unidades flash ou câmeras USB. Também poderá querer permitir dispositivos USB específicos, como um teclado ou rato.

Utilize o catálogo de definições no Microsoft Intune para configurar estas definições numa política e, em seguida, implemente esta política nos seus dispositivos Windows. Para obter mais informações sobre o catálogo de definições, veja Utilizar o catálogo de definições para configurar as definições do dispositivo no Microsoft Intune.

Este artigo mostra-lhe:

Como criar uma política de catálogo de definições com definições USB no centro de administração do Intune
Como utilizar um ficheiro de registo para resolver problemas de dispositivos que não devem ser bloqueados

Este artigo se aplica ao:

Windows

Pré-requisitos

Requisitos de funções

Para configurar a política de catálogo de definições, no mínimo, inicie sessão no centro de administração do Intune com a função Gestor de Políticas e Perfis. Para obter mais informações sobre as funções incorporadas no Intune, veja Controlo de acesso baseado em funções (RBAC) com Microsoft Intune.

Criar o perfil

Esta política fornece um exemplo de como bloquear (ou permitir) funcionalidades que afetam dispositivos USB. Utilize esta política como ponto de partida e, em seguida, adicione ou remova as definições conforme necessário para a sua organização.

Entre no Centro de administração do Microsoft Intune.
Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.
Insira as seguintes propriedades:
- Plataforma: selecione Windows 10 e posteriores.
- Tipo de perfil: selecione Catálogo de definições.
Selecionar Criar.
Em Noções básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para o perfil. Por exemplo, insira Restringir dispositivos USB.
- Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
Selecione Avançar.
Em Definições de configuração, selecione Adicionar configurações. No seletor de definições, aceda a Modelos administrativos>Instalação> do Dispositivosistema>Restrições de Instalação de Dispositivos. Selecione as seguintes configurações:
- Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de Dispositivo
- Permitir a instalação de dispositivos com controladores que correspondam a estas classes de configuração de dispositivos
- Impedir a instalação de dispositivos não descritos por outras definições de política
Feche o seletor de configurações. Configure as definições que selecionou:
- Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo: Selecione Habilitado. Adicione os IDs de dispositivo ou hardware para os dispositivos que pretende permitir.
  
  Para obter o ID do dispositivo ou hardware, utilize Gerenciador de Dispositivos, localize o dispositivo e observe as propriedades. Para obter as etapas específicas, confira encontrar a ID do hardware em um dispositivo Windows.
  
  Também existem algumas informações de ID de dispositivo úteis em Implementar e gerir o controlo de dispositivos no Microsoft Defender para Ponto de Extremidade com Microsoft Intune.
- Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo: Selecione Habilitado. Adicione as classes de configuração de dispositivos definidas pelo sistema disponíveis aos fornecedores que pretende permitir.
  
  Na imagem seguinte, as classes Teclado, Rato e Multimédia são permitidas.
- Impedir a instalação de dispositivos não descritos por outras definições de política: selecione Ativado.
Quando ativa e configura estas definições, a sua política tem um aspeto semelhante às seguintes definições de política:
Selecione Avançar.
Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

Selecione Avançar.
Em Atribuições, selecione os grupos de dispositivos que recebem o perfil. Selecione Avançar.
Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído.

Verificar as restrições de dispositivos USB em dispositivos Windows

Depois de implementar o perfil de configuração do dispositivo nos dispositivos visados, confirme que funciona corretamente.

Se a instalação de um dispositivo USB for bloqueada, verá uma mensagem semelhante à seguinte mensagem:

The installation of this device is forbidden by system policy. Contact your system administrator.

No exemplo a seguir, o iPad está bloqueado porque sua ID de dispositivo não está na lista de IDs de dispositivos permitidos:

Um dispositivo está bloqueado, mas deve ser permitido

Alguns dispositivos USB têm vários GUIDs e é comum perder alguns GUIDs nas configurações de política. Como resultado, um dispositivo USB permitido nas suas definições poderá estar bloqueado no dispositivo.

No exemplo a seguir, na configuração Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo, o GUID da classe Multimídia é inserido e a câmera é bloqueada:

Solução:

Para localizar o GUID do seu dispositivo, use as seguintes etapas:

No dispositivo, abra o arquivo %windir%\inf\setupapi.dev.log.

No arquivo:

Pesquise por Instalação restrita de dispositivos não descritos pela política.

Nesta seção, localize o texto Class GUID of device changed to: {GUID}. Adicione isto {GUID} à sua política.

No exemplo a seguir, você verá o texto Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}:

>>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

No perfil de configuração do dispositivo, vá para a configuração Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo e adicione o GUID de classe do arquivo de log.
Se o problema persistir, repita essas etapas para adicionar os outros GUIDs de classe até que o dispositivo seja instalado com êxito.

Em nosso exemplo, os seguintes GUIDs de classe são adicionados ao perfil do dispositivo:
- Dispositivos de Barramento USB (hubs e controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
- HID (Dispositivos de Interface Humana): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Dispositivos de câmera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Dispositivos de geração de imagens: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUIDs de classe comuns para permitir dispositivos USB

Teclado e mouse: adicione os seguintes GUIDs ao perfil do dispositivo:
- Teclado: {4d36e96b-e325-11ce-bfc1-08002be10318}
- Mouse: {4d36e96f-e325-11ce-bfc1-08002be10318}
Câmeras, fones de ouvido e microfones: adicione os seguintes GUIDs ao perfil do dispositivo:
- Dispositivos de Barramento USB (hubs e controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
- HID (Dispositivos de Interface Humana): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
- Dispositivos multimídia: {4d36e96c-e325-11ce-bfc1-08002be10318}
- Dispositivos de câmera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
- Dispositivos de geração de imagens: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
- Dispositivos do sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
- Dispositivos biométricos: {53d29ef7-377c-4d14-864b-eb3a85769359}
- Dispositivos de software genéricos: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
Fones de ouvido de 3,5 mm: adicione os seguintes GUIDs ao perfil do dispositivo:
- Dispositivos multimídia: {4d36e96c-e325-11ce-bfc1-08002be10318}
- Ponto de extremidade de áudio: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Observação

Os GUIDs reais podem ser diferentes para os seus dispositivos específicos.

Utilizar o catálogo de definições de Intune para configurar as definições

Comentários

Esta página foi útil?

Last updated on 2026-04-30