Restringir dispositivos USB e permitir dispositivos USB específicos usando os Modelos Administrativos no Microsoft Intune

  • Artigo

Muitas organizações desejam bloquear tipos específicos de dispositivos USB, como unidades flash ou câmeras USB. Também poderá querer permitir dispositivos USB específicos, como um teclado ou rato.

Você pode usar Modelos Administrativos (ADMX) para definir essas configurações em uma política e, em seguida, implantar essa política em seus dispositivos Windows. Para obter mais informações sobre os Modelos Administrativos e o que são, confira como Usar modelos do Windows 10/11 para definir as configurações de política de grupo no Microsoft Intune.

Este artigo mostra-lhe:

  • Como criar uma política ADMX com definições USB no centro de administração do Intune
  • Como utilizar um ficheiro de registo para resolver problemas de dispositivos que não devem ser bloqueados

Este artigo se aplica ao:

  • Windows 11
  • Windows 10

Criar o perfil

Esta política fornece um exemplo de como bloquear (ou permitir) funcionalidades que afetam dispositivos USB. Pode utilizar esta política como ponto de partida e, em seguida, adicionar ou remover definições conforme necessário para a sua organização.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Modelos>Modelos Administrativos.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Por exemplo, insira Restringir dispositivos USB.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  6. Selecione Avançar.

  7. Em Definições de configuração, defina as seguintes configurações:

  8. Selecione Avançar.

  9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

    Selecione Avançar.

  10. Em Atribuições, selecione os grupos de dispositivos que receberão o perfil. Selecione Avançar.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído.

Verifique nos dispositivos Windows

Depois que o perfil de configuração do dispositivo for implantado em seus dispositivos de destino, você poderá confirmar se está funcionando corretamente.

Se a instalação de um dispositivo USB estiver bloqueada, você verá uma mensagem semelhante à seguinte:

The installation of this device is forbidden by system policy. Contact your system administrator.

No exemplo a seguir, o iPad está bloqueado porque sua ID de dispositivo não está na lista de IDs de dispositivos permitidos:

Dispositivo bloqueado pela política de grupo.

Um dispositivo está bloqueado, mas deve ser permitido

Alguns dispositivos USB têm vários GUIDs e é comum perder alguns GUIDs nas configurações de política. Como resultado, um dispositivo USB permitido em suas configurações pode ser bloqueado no dispositivo.

No exemplo a seguir, na configuração Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo, o GUID da classe Multimídia é inserido e a câmera é bloqueada:

O Windows não consegue encontrar a mensagem da câmera em um dispositivo Windows.

A câmera é bloqueada pela mensagem de política de grupo em um dispositivo Windows.

Solução:

Para localizar o GUID do seu dispositivo, use as seguintes etapas:

  1. No dispositivo, abra o arquivo %windir%\inf\setupapi.dev.log.

  2. No arquivo:

    1. Pesquise por Instalação restrita de dispositivos não descritos pela política.

    2. Nesta seção, localize o texto Class GUID of device changed to: {GUID}. Adicione isto {GUID} à sua política.

      No exemplo a seguir, você verá o texto Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}:

      >>>  [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2]
>>>  Section start 2020/01/20 17:26:03.547
dvi: {Build Driver List} 17:26:03.597
…
dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645
dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647
dvi:      Default installer: Enter 17:26:03.647
dvi:           {Select Best Driver}
dvi:                Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}.
dvi:                Selected Driver:
dvi:                     Description - USB Composite Device
dvi:                     InfFile     - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf
dvi:                     Section     - Composite.Dev
dvi:           {Select Best Driver - exit(0x00000000)}
dvi:      Default installer: Exit
dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664
dvi: {Core Device Install} 17:26:03.666
dvi:      {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667
dvi:           Device Status: 0x01806400, Problem: 0x1 (0xc0000361)
dvi:           Parent device: USB\ROOT_HUB30\4&278ca476&0&0
!!! pol:           The device is explicitly restricted by the following policy settings:
!!! pol:           [-] Restricted installation of devices not described by policy
!!! pol:      {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)}
!!! dvi:      Installation of device is blocked by policy!
!   dvi:      Queueing up error report for device install failure.
dvi: {Install Device - exit(0xe0000248)} 17:26:03.692
dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694
<<<  Section end 2020/01/20 17:26:03.697
<<<  [Exit status: FAILURE(0xe0000248)]

  3. No perfil de configuração do dispositivo, vá para a configuração Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo e adicione o GUID de classe do arquivo de log.

  4. Se o problema persistir, repita essas etapas para adicionar os outros GUIDs de classe até que o dispositivo seja instalado com êxito.

    Em nosso exemplo, os seguintes GUIDs de classe são adicionados ao perfil do dispositivo:

    • Dispositivos de Barramento USB (hubs e controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
    • HID (Dispositivos de Interface Humana): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivos de câmera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivos de geração de imagens: {6bdd1fc6-810f-11d0-bec7-08002be2092f}

GUIDs de classe comuns para permitir dispositivos USB

  • Teclado e mouse: adicione os seguintes GUIDs ao perfil do dispositivo:

    • Teclado: {4d36e96b-e325-11ce-bfc1-08002be10318}
    • Mouse: {4d36e96f-e325-11ce-bfc1-08002be10318}

  • Câmeras, fones de ouvido e microfones: adicione os seguintes GUIDs ao perfil do dispositivo:

    • Dispositivos de Barramento USB (hubs e controladores de host): {36fc9e60-c465-11cf-8056-444553540000}
    • HID (Dispositivos de Interface Humana): {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
    • Dispositivos multimídia: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Dispositivos de câmera: {ca3e7ab9-b4c3-4ae6-8251-579ef933890f}
    • Dispositivos de geração de imagens: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
    • Dispositivos do sistema: {4D36E97D-E325-11CE-BFC1-08002BE10318}
    • Dispositivos biométricos: {53d29ef7-377c-4d14-864b-eb3a85769359}
    • Dispositivos de software genéricos: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}

  • Fones de ouvido de 3,5 mm: adicione os seguintes GUIDs ao perfil do dispositivo:

    • Dispositivos multimídia: {4d36e96c-e325-11ce-bfc1-08002be10318}
    • Ponto de extremidade de áudio: {c166523c-fe0c-4a94-a586-f1a80cfbbf3e}

Observação

Os GUIDs reais podem ser diferentes para os seus dispositivos específicos.