Restreindre les périphériques USB et autoriser des périphériques USB spécifiques à l’aide de la fonctionnalité Modèles d’administration dans Microsoft Intune

De nombreuses organisations souhaitent bloquer des types spécifiques de périphériques USB, tels que des disques mémoire flash USB ou des caméras USB. Vous pouvez également autoriser des périphériques USB spécifiques, tels qu’un clavier ou une souris.

Vous pouvez utiliser des modèles de la fonctionnalité Modèles d’administration (ADMX) pour configurer ces paramètres dans une stratégie, puis déployer cette stratégie sur vos appareils Windows. Pour plus d’informations sur la fonctionnalité Modèles d’administration et son rôle, consultez Utiliser les modèles Windows 10/11 pour configurer les paramètres de stratégie de groupe dans Microsoft Intune.

Cet article vous présente les éléments suivants :

  • Comment créer une stratégie ADMX avec des paramètres USB dans le Centre d’administration Intune
  • Comment utiliser un fichier journal pour résoudre les problèmes liés aux appareils qui ne doivent pas être bloqués

Cet article s’applique à :

  • Windows 11
  • Windows 10

Créer le profil

Cette stratégie fournit un exemple de blocage (ou d’autorisation) des fonctionnalités qui affectent les périphériques USB. Vous pouvez utiliser cette stratégie comme point de départ, puis ajouter ou supprimer des paramètres en fonction des besoins de votre organisation.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>stratégie.

  3. Entrez les propriétés suivantes :

    • Plateforme : sélectionnez Windows 10 et ultérieur.
    • Type de profile : sélectionnez Modèles>Modèles d’administration.
  4. Sélectionnez Créer.

  5. Dans Informations de base, entrez les propriétés suivantes :

    • Nom: Entrez un nom descriptif pour le profil. Par exemple, entrez Restreindre les périphériques USB.
    • Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.
  6. Sélectionnez Suivant.

  7. Dans Paramètres de configuration, configurez les paramètres suivants :

    • Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie : sélectionnez Activé>OK :

      Dans Intune, définissez le paramètre Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie sur Activé.

    • Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil : sélectionnez Activé. Ensuite, ajoutez le GUID de classe des classes d’appareil que vous souhaitez autoriser.

      Dans l’exemple suivant, les classes Clavier, Souris et Multimédia sont autorisées :

      Capture d’écran montrant comment utiliser Microsoft Intune pour définir le paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil avec vos GUID de classe.

      Sélectionnez OK.

    • Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil : sélectionnez Activé. Ensuite, ajoutez les ID d’appareil/matériel pour les appareils que vous souhaitez autoriser :

      Capture d’écran montrant comment utiliser Intune pour définir le paramètre Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil avec vos ID matériels.

      Pour obtenir l’ID d’appareil/matériel, vous pouvez utiliser Gestionnaire de périphériques, rechercher l’appareil et examiner les propriétés. Pour connaître les étapes spécifiques, consultez Rechercher l’ID matériel sur un appareil Windows.

      Vous trouverez également des informations utiles sur l’ID d’appareil dans Microsoft Defender pour point de terminaison Device Control Device Installation : Deploying and managing policy via Intune.

      Sélectionnez OK.

  8. Sélectionnez Suivant.

  9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

    Sélectionnez Suivant.

  10. Dans Affectations, sélectionnez les groupes d’appareils qui doivent recevoir le profil. Sélectionnez Suivant.

  11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.

Vérifier sur les appareils Windows

Une fois le profil de configuration de l’appareil déployé sur vos appareils ciblés, vous pouvez vérifier qu’il fonctionne correctement.

Si l’installation d’un périphérique USB est bloquée, vous voyez un message semblable au message suivant :

The installation of this device is forbidden by system policy. Contact your system administrator.

Dans l’exemple suivant, le iPad est bloqué car son ID d’appareil ne figure pas dans la liste des ID d’appareil autorisés :

Appareil bloqué par une stratégie de groupe.

Un appareil est bloqué, mais doit être autorisé

Certains périphériques USB ont plusieurs GUID et il est courant d’en manquer dans vos paramètres de stratégie. Par conséquent, un périphérique USB autorisé dans vos paramètres peut être bloqué sur l’appareil.

Dans l’exemple suivant, dans le paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, le GUID de classe multimédia est entré et l’appareil photo est bloqué :

Windows ne trouve pas le message de votre appareil photo sur un appareil Windows.

L’appareil photo est bloqué par un message de stratégie de groupe sur appareil Windows.

Résolution :

Pour rechercher le GUID de votre appareil, utilisez procédez comme suit :

  1. Sur l’appareil, ouvrez le fichier %windir%\inf\setupapi.dev.log.

  2. Dans le fichier :

    1. Recherchez Installation restreinte d’appareils non décrits par la stratégie.

    2. Dans cette section, recherchez le texte Class GUID of device changed to: {GUID}. Ajoutez-le {GUID} à votre stratégie.

      Dans l’exemple suivant, vous voyez le texte Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000} :

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
      >>>  Section start 2020/01/20 17:26:03.547
      dvi: {Build Driver List} 17:26:03.597
      …
      dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
      dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
      dvi:      Default installer: Enter 17:26:03.647
      dvi:           {Select Best Driver}
      dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
      dvi:                Selected Driver:
      dvi:                     Description - USB Composite Device
      dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
      dvi:                     Section     - Composite.Dev
      dvi:           {Select Best Driver - exit(0x00000000)}
      dvi:      Default installer: Exit
      dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
      dvi: {Core Device Install} 17:26:03.666
      dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
      dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
      dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
      !!! pol:           The device is explicitly restricted by the following policy settings:
      !!! pol:           [-] Restricted installation of devices not described by policy
      !!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
      !!! dvi:      Installation of device is blocked by policy!
      !   dvi:      Queueing up error report for device install failure.
      dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
      dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
      <<<  Section end 2020/01/20 17:26:03.697
      <<<  [Exit status: FAILURE(0xe0000248)]
      
  3. Dans le profil de configuration de l’appareil, accédez au paramètre Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil, puis ajoutez le GUID de classe à partir du fichier journal.

  4. Si le problème persiste, répétez ces étapes pour ajouter les autres GUID de classe jusqu’à ce que l’appareil soit correctement installé.

    Dans notre exemple, les GUID de classe suivants sont ajoutés au profil d’appareil :

    • Périphériques de bus USB (hubs et contrôleurs hôtes) : {36fc9e60-c465-11cf-8056-444553540000}
    • Périphériques d’interface utilisateur (HID) : {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Périphériques de la caméra : {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Périphérique d’acquisition d’images : {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUID de classe courants pour autoriser les périphériques USB

  • Clavier et souris : ajoutez les GUID suivants au profil d’appareil :

    • Clavier : {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Souris : {4d36e96f-e325-11ce-bfc1-08002be10318}
  • Appareils photo, casques et microphones : ajoutez les GUID suivants au profil d’appareil :

    • Périphériques de bus USB (hubs et contrôleurs hôtes) : {36fc9e60-c465-11cf-8056-444553540000}
    • Périphériques d’interface utilisateur (HID) : {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Périphériques multimédia : {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Périphériques de la caméra : {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Périphérique d’acquisition d’images : {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Périphériques système : {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Périphériques biométriques : {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Périphériques logiciels génériques : {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
  • Casque 3,5 mm : ajoutez les GUID suivants au profil d’appareil :

    • Périphériques multimédia : {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Point de terminaison audio : {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Remarque

Les GUID réels peuvent être différents pour vos appareils spécifiques.