Limitare i dispositivi USB e consentire dispositivi USB specifici usando il catalogo delle impostazioni in Microsoft Intune

Molte organizzazioni vogliono bloccare tipi specifici di dispositivi USB, ad esempio unità flash USB o fotocamere. È anche possibile consentire dispositivi USB specifici, ad esempio una tastiera o un mouse.

È possibile usare il catalogo delle impostazioni in Microsoft Intune per configurare queste impostazioni in un criterio e quindi distribuire questi criteri nei dispositivi Windows. Per altre informazioni sul catalogo delle impostazioni, vedere Usare il catalogo delle impostazioni per configurare le impostazioni dei dispositivi in Microsoft Intune.

Questo articolo illustra quanto segue:

• Come creare criteri di catalogo delle impostazioni con le impostazioni USB nell'interfaccia di amministrazione di Intune
• Come usare un file di log per risolvere i problemi dei dispositivi che non devono essere bloccati

Questo articolo si applica a:

• Windows

Prerequisiti

• Per configurare i criteri del catalogo delle impostazioni, accedere almeno all'interfaccia di amministrazione di Intune con il ruolo Gestione criteri e profili . Per informazioni sui ruoli predefiniti in Intune e sulle operazioni che possono eseguire, passare a Controllo degli accessi in base al ruolo con Microsoft Intune.

Creare il profilo

Questo criterio fornisce un esempio di come bloccare (o consentire) le funzionalità che influiscono sui dispositivi USB. È possibile usare questo criterio come punto di partenza e quindi aggiungere o rimuovere le impostazioni in base alle esigenze dell'organizzazione.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.

3. Immettere le proprietà seguenti:

   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Catalogo impostazioni.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Ad esempio, immettere Restrict USB devices (Limita dispositivi USB).
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione selezionare Aggiungi impostazioni. Nella selezione delle impostazioni passare a Modelli> amministrativiInstallazione del dispositivo>Restrizioni per l'installazione> deldispositivo. Selezionare le seguenti impostazioni:

   • Consentire l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo
   • Consentire l'installazione di dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo
   • Impedire l'installazione di dispositivi non descritti da altre impostazioni dei criteri

   

8. Chiudere il selettore delle impostazioni. Configurare le impostazioni selezionate:

   • Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo: selezionare Abilitato. Aggiungere gli ID dispositivo/hardware per i dispositivi che si desidera consentire.

     Per ottenere l'ID dispositivo/hardware, è possibile usare Gestione dispositivi, trovare il dispositivo e esaminare le proprietà. Per i passaggi specifici, vedere trovare l'ID hardware in un dispositivo Windows.

     Sono disponibili anche alcune informazioni utili sull'ID dispositivo in Distribuire e gestire il controllo del dispositivo in Microsoft Defender per endpoint con Microsoft Intune.

   • Consenti l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo: selezionare Abilitato. Aggiungere le classi di configurazione dei dispositivi definite dal sistema disponibili per i fornitori che si desidera consentire.

     Nell'immagine seguente sono consentite le classi Keyboard, Mouse e Multimedia .

   • Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri: selezionare Abilitato.

   Quando le impostazioni sono abilitate e configurate, i criteri sono simili alle impostazioni dei criteri seguenti:

   

9. Seleziona Avanti.

10. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

    Seleziona Avanti.

11. In Assegnazioni selezionare i gruppi di dispositivi che riceveranno il profilo. Seleziona Avanti.

12. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato.

Verificare nei dispositivi Windows

Dopo aver distribuito il profilo di configurazione del dispositivo nei dispositivi di destinazione, è possibile verificare che funzioni correttamente.

Se l'installazione di un dispositivo USB è bloccata, viene visualizzato un messaggio simile al seguente:

The installation of this device is forbidden by system policy. Contact your system administrator.

Nell'esempio seguente l'iPad viene bloccato perché l'ID dispositivo non è incluso nell'elenco di ID dispositivo consentito:

Un dispositivo è bloccato ma deve essere consentito

Alcuni dispositivi USB hanno più GUID ed è comune perdere alcuni GUID nelle impostazioni dei criteri. Di conseguenza, un dispositivo USB consentito nelle impostazioni potrebbe essere bloccato nel dispositivo.

Nell'esempio seguente, nell'impostazione Consenti l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo , viene immesso il GUID della classe Multimedia e la fotocamera è bloccata:

Risoluzione:

Per trovare il GUID del dispositivo, seguire questa procedura:

1. Nel dispositivo aprire il %windir%\inf\setupapi.dev.log file.

2. Nel file:

   1. Cercare Installazione con restrizioni dei dispositivi non descritti dai criteri.

   2. In questa sezione trovare il Class GUID of device changed to: {GUID} testo. Aggiungerlo {GUID} ai criteri.

      Nell'esempio seguente viene visualizzato il Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} testo:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      

3. Nel profilo di configurazione del dispositivo passare all'impostazione Consenti l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo e aggiungere il GUID della classe dal file di log.

4. Se il problema persiste, ripetere questi passaggi per aggiungere gli altri GUID di classe fino a quando il dispositivo non viene installato correttamente.

   Nell'esempio vengono aggiunti al profilo del dispositivo i GUID di classe seguenti:

   • Dispositivi bus USB (hub e controller host): {36fc9e60-c465-11cf-8056-444553540000}
   • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
   • Dispositivi fotocamera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
   • Dispositivi di imaging: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUID di classe comune per consentire i dispositivi USB

• Tastiera e mouse: aggiungere i GUID seguenti al profilo del dispositivo:

  • Tastiera: {4d36e96b-e325-11ce-bfc1-08002be10318}
  • Topo: {4d36e96f-e325-11ce-bfc1-08002be10318}

• Fotocamere, cuffie e microfoni: aggiungere i GUID seguenti al profilo del dispositivo:

  • Dispositivi bus USB (hub e controller host): {36fc9e60-c465-11cf-8056-444553540000}
  • Human Interface Devices (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
  • Dispositivi multimediali: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Dispositivi fotocamera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
  • Dispositivi di imaging: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
  • Dispositivi di sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
  • Dispositivi biometrici: {53d29ef7-377c-4d14-864b-eb3a85769359}
  • Dispositivi software generici: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

• Cuffie da 3,5 mm: aggiungere i GUID seguenti al profilo del dispositivo:

  • Dispositivi multimediali: {4d36e96c-e325-11ce-bfc1-08002be10318}
  • Endpoint audio: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Articoli correlati

• Usare il catalogo delle impostazioni di Intune per configurare le impostazioni