多くの組織で、USB フラッシュ ドライブやカメラなど、特定の種類の USB デバイスをブロックする必要があります。 キーボードやマウスなど、特定の USB デバイスを許可することもできます。
Microsoft Intune の設定カタログを使用して、ポリシーでこれらの設定を構成し、このポリシーを Windows デバイスに展開できます。 設定カタログの詳細については、「 設定カタログを使用して Microsoft Intune でデバイス設定を構成する」を参照してください。
この記事では、次の内容を示します。
- Intune 管理センターで USB 設定を使用して設定カタログ ポリシーを作成する方法
- ログ ファイルを使用して、ブロックすべきではないデバイスのトラブルシューティングを行う方法
この記事は、次の項目に適用されます:
- Windows
前提条件
- 設定カタログ ポリシーを構成するには、少なくとも、 ポリシーとプロファイル マネージャー の役割を使用して Intune 管理センターにサインインします。 Intune の組み込みロールと、その機能の詳細については、「Microsoft Intune を使用した ロールベースのアクセス制御 (RBAC)」を参照してください。
プロファイルを作成する
このポリシーでは、USB デバイスに影響を与える機能をブロック (または許可) する方法の例を示します。 このポリシーを出発点として使用し、organizationに必要に応じて設定を追加または削除できます。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- プロファイルの種類: [設定カタログ] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: プロファイルのわかりやすい名前を入力します。 たとえば、「USB デバイスを制限する」と入力します。
- 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[構成設定] で、[追加の追加] を選択します。 設定ピッカーで、[ 管理用テンプレート>System>Device installation>Device Installation Restrictions]\(デバイスのインストール制限\) に移動します。 次の設定を選択します。
- これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する
- これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する
- 他のポリシー設定で説明されていないデバイスのインストールを禁止する
![Microsoft Intune の設定カタログの [デバイスのインストール制限] 設定を示すスクリーンショット。](media/settings-catalog-restrict-usb/settings-catalog-select-device-installation-restrictions.png)
設定ピッカーを閉じます。 選択した設定を構成します。
これらのデバイス ID のいずれかに一致するデバイスのインストールの許可: [有効] を選択します。 許可するデバイスのデバイス/ハードウェア ID を追加します。
デバイス/ハードウェア ID を取得するには、デバイス マネージャーを使用して、デバイスを検索し、プロパティを確認します。 具体的な手順については、「Windows デバイスのハードウェア ID を見つける」を参照してください。
また、Microsoft Intune を使用したMicrosoft Defender for Endpointでのデバイス制御の展開と管理に関するページにも役立つデバイス ID 情報があります。
これらのデバイス セットアップ クラスに一致するドライバを使用するデバイスのインストールを許可: [有効] を選択します。 許可する ベンダーが使用できるシステム定義のデバイス セットアップ クラス を追加します。
次の図では、 キーボード、 マウス、 マルチメディア の各クラスを使用できます。
他のポリシー設定で説明されていないデバイスのインストールを禁止する: [ 有効] を選択します。
設定を有効にして構成すると、ポリシーは次のポリシー設定のようになります。
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT TeamやJohnGlenn_ITDepartmentなど、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。[次へ] を選択します。
[割り当て] で、プロファイルを受け取るデバイス グループを選択します。 [次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。
![Microsoft Intune の設定カタログの [デバイスのインストール制限] 設定を示すスクリーンショット。](media/settings-catalog-restrict-usb/settings-catalog-select-device-installation-restrictions.png#lightbox)
Windows デバイスでの検証
デバイス構成プロファイルを対象デバイスに展開した後、正しく動作することを確認します。
USB デバイスのインストールがブロックされている場合は、次のようなメッセージが表示されます。
The installation of this device is forbidden by system policy. Contact your system administrator.
次の例では、iPad ID が許可されているデバイス ID リストにないためブロックされます。
ブロックされているものの、本来は許可されているデバイス
USB デバイスの中には、複数の GUID を持つものがあり、ポリシー設定で一部の GUID を見落とすことがよくあります。 その結果、設定上は許可されている USB デバイスが、デバイスではブロックされる可能性があります。
以下の例では、「これらのデバイス セットアップ クラスに一致するドライバを使用するデバイスのインストールを許可する」設定において、以下のマルチメディア クラスの GUID を入力し、カメラをブロックします。
解決策:
デバイスの GUID を見つけるには、次の手順を使用します。
デバイスで、
%windir%\inf\setupapi.dev.logファイルを開きます。ファイル内:
「ポリシーで記述されていないデバイスの制限付きインストール」を検索します。
このセクションで、
Class GUID of device changed to: {GUID}テキストを検索します。 この{GUID}をポリシーに追加します。次の例では、
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}テキストが表示されます。>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
デバイス構成プロファイルの「これらのデバイス セットアップ クラスに一致するドライバーを使用するデバイスのインストールを許可する」設定に移動し、ログ ファイルからクラス GUID を追加します。
問題が解決しない場合は、デバイスが正常にインストールされるまで、この手順を繰り返して他のクラス GUID を追加してください。
この例では、次のクラス GUID がデバイス プロファイルに追加されます。
- USB バス デバイス (ハブとホスト コントローラー):
{36fc9e60-c465-11cf-8056-444553540000} - ヒューマン インターフェイス デバイス (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - カメラ デバイス:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - イメージング デバイス:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- USB バス デバイス (ハブとホスト コントローラー):
USB デバイスを許可する一般的なクラス GUID
キーボードとマウス: デバイス プロファイルに次の GUID を追加します。
- キーボード:
{4d36e96b-e325-11ce-bfc1-08002be10318} - マウス:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- キーボード:
カメラ、ヘッドホン、マイク: デバイス プロファイルに次の GUID を追加します。
- USB バス デバイス (ハブとホスト コントローラー):
{36fc9e60-c465-11cf-8056-444553540000} - ヒューマン インターフェイス デバイス (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - マルチメディア デバイス:
{4d36e96c-e325-11ce-bfc1-08002be10318} - カメラ デバイス:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - イメージング デバイス:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - システム デバイス:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - 生体認証デバイス:
{53d29ef7-377c-4d14-864b-eb3a85769359} - 汎用ソフトウェア デバイス:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- USB バス デバイス (ハブとホスト コントローラー):
3.5 mm ヘッドホン: デバイス プロファイルに次の GUID を追加します。
- マルチメディア デバイス:
{4d36e96c-e325-11ce-bfc1-08002be10318} - オーディオ エンドポイント:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- マルチメディア デバイス:
注:
実際の GUID は、特定のデバイスで異なる場合があります。