Restringir dispositivos USB y permitir dispositivos USB específicos mediante plantillas administrativas en Microsoft Intune

Muchas organizaciones desean bloquear tipos específicos de dispositivos USB, como unidades flash USB o cámaras. También puede permitir dispositivos USB específicos, como un teclado o un mouse.

Puede usar plantillas de plantillas administrativas (ADMX) para configurar estas opciones en una directiva y, a continuación, implementar esta directiva en los dispositivos Windows. Para obtener más información sobre las plantillas administrativas y cuáles son, vea Usar plantillas en Windows 10/11 para configurar las opciones de directiva de grupo en Microsoft Intune.

En este artículo se muestra lo siguiente:

  • Creación de una directiva ADMX con la configuración usb en el Centro de administración de Intune
  • Cómo usar un archivo de registro para solucionar problemas de dispositivos que no deben bloquearse

Este artículo se aplica a:

  • Windows 11
  • Windows 10

Creación del perfil

Esta directiva proporciona un ejemplo de cómo bloquear (o permitir) las características que afectan a los dispositivos USB. Puede usar esta directiva como punto de partida y, a continuación, agregar o quitar la configuración según sea necesario para su organización.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: Seleccione Plantillas>Plantillas administrativas.
  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Por ejemplo, escriba Restringir dispositivos USB.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Opciones de configuración, establezca los siguientes parámetros:

  8. Seleccione Siguiente.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

  10. En Asignaciones, seleccione los grupos de dispositivos que van a recibir este perfil. Seleccione Siguiente.

  11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil.

Verificar en dispositivos Windows

Después de implementar el perfil de configuración del dispositivo en los dispositivos de destino, puede confirmar que funciona correctamente.

Si se bloquea la instalación de un dispositivo USB, verá un mensaje similar al siguiente:

The installation of this device is forbidden by system policy. Contact your system administrator.

En el siguiente ejemplo, el iPad se bloqueó porque su identificador de dispositivo no está en la lista de identificadores de dispositivo permitidos:

Dispositivo bloqueado por la directiva de grupo.

Un dispositivo está bloqueado pero debería permitirse

Algunos dispositivos USB tienen varios GUID y es común perder algunos GUID en la configuración de la directiva. Como resultado, es posible que un dispositivo USB permitido en la configuración se bloquee en el dispositivo.

En el siguiente ejemplo, en la configuración Permitir la instalación de dispositivos con controladores que coincidan con estas clases de configuración de dispositivo, se introduce el GUID de clase multimedia y se bloquea la cámara:

Windows no puede encontrar su mensaje de cámara en un dispositivo Windows.

La cámara se bloquea por un mensaje de directiva de grupo en un dispositivo Windows.

Solución:

Para buscar el GUID del dispositivo, siga estos pasos:

  1. En el dispositivo, abra el archivo %windir%\inf\setupapi.dev.log.

  2. En el archivo:

    1. Busque Instalación restringida de dispositivos no descritos por la directiva.

    2. En esta sección, busque el texto Class GUID of device changed to: {GUID}. Agregue esto {GUID} a la directiva.

      En el siguiente ejemplo, verá el texto Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      
  3. En el perfil de configuración del dispositivo, vaya a la configuración Permitir la instalación de dispositivos con controladores que coincidan con estas clases de configuración del dispositivo y agregue el GUID de clase desde el archivo de registro.

  4. Si el problema continúa, repita estos pasos para agregar los demás GUID de clase hasta que el dispositivo se instale correctamente.

    En nuestro ejemplo, se agregan los GUID de clase siguientes al perfil de dispositivo:

    • Dispositivos de bus USB (concentradores y controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
    • Dispositivos de interfaz de usuario (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivos de cámara: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivo de imagen: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUID de clase comunes para permitir dispositivos USB

  • Teclado y ratón: agregue los siguientes GUID al perfil del dispositivo:

    • Teclado: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Ratón: {4d36e96f-e325-11ce-bfc1-08002be10318}
  • Cámaras, auriculares y micrófonos: agregue los siguientes GUID al perfil del dispositivo:

    • Dispositivos de bus USB (concentradores y controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
    • Dispositivos de interfaz de usuario (HID): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivos multimedia: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Dispositivos de cámara: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivo de imagen: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Dispositivos del sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Dispositivos biométricos: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Dispositivos de software genéricos: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
  • Auriculares de 3,5 mm: agregue los siguientes GUID al perfil del dispositivo:

    • Dispositivos multimedia: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Punto de conexión de audio: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Nota:

Los GUID reales pueden ser diferentes para los dispositivos específicos.