Поставщик служб CSP политики — DeviceInstallation

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

AllowInstallationOfMatchingDeviceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Этот параметр политики позволяет указать список идентификаторов оборудования Plug and Play и совместимых идентификаторов для устройств, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор оборудования которого Plug and Play или совместимый идентификатор отображается в создаваемом списке, если только другой параметр политики на том же или более высоком уровне иерархии специально предотвращает эту установку. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих этим идентификаторам устройств
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", был заменен параметром политики "Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых версий Windows 10. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных в других параметрах политики", Windows может устанавливать или обновлять любое устройство, идентификатор оборудования которого Plug and Play или совместимый идентификатор отображается в созданном списке, если другой параметр политики специально не запрещает такую установку (например, параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запрет установки съемных устройств").

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_IDs_Allow
Понятное имя Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDeviceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. Этот пример позволяет Windows установить совместимые устройства с идентификатором usb\Composite или USB\Class_FF. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Этот параметр политики позволяет указать список идентификаторов экземпляров устройств Plug and Play для устройств, которые Windows разрешено устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политики разрешить и запретить установку устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра которого Plug and Play отображается в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально не предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", был заменен параметром политики "Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых версий Windows 10. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных в других параметрах политики", Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра которого Plug and Play отображается в созданном списке, если другой параметр политики специально не запрещает эту установку (например, параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств".

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью идентификатора экземпляра устройства. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Instance_IDs_Allow
Понятное имя Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowInstanceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, отображаются ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", однако он также может использоваться с параметром политики "Запретить установку устройств, не описанных другими параметрами политики" для определений устаревших политик.

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политики разрешить и запретить установку устройств по всем критериям соответствия устройств", Windows может устанавливать или обновлять пакеты драйверов, guids class setupd которых отображаются в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально не предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств для этих классов устройств
  • Запретить установку устройств, соответствующих этим идентификаторам устройств
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики "Запретить установку устройств, не описанных другими параметрами политики", был заменен параметром политики "Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств" для поддерживаемых целевых версий Windows 10. По возможности рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

Кроме того, если этот параметр политики включен вместе с параметром политики "Запретить установку устройств, не описанных другими параметрами политики", Windows может устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки которых отображаются в создаваемом списке, если другой параметр политики специально не запрещает установку (например, параметр политики "Запретить установку устройств, соответствующих этим идентификаторам устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств".

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, параметр политики "Запретить установку устройств, не описанных другими параметрами политики" определяет, можно ли установить устройство.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Classes_Allow
Понятное имя Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDeviceClasses
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере windows можно установить:

  • Дискеты, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Модемы, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Заключите GUID класса в фигурные скобки {}. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.256] и более поздних версий
✅ Windows 10 версии 1809 с KB5005102 [10.0.17763.2145] и более поздних версий
✅ Windows 10 версии 1903 [10.0.18362.1714] и более поздних версий
✅ Windows 10 версии 2004 с KB5004296 [10.0.19041.1151] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

Этот параметр политики изменит порядок оценки, в котором применяются параметры политики "Разрешить" и "Запретить", если для данного устройства применимо несколько параметров политики установки. Включите этот параметр политики, чтобы обеспечить применение перекрывающихся условий соответствия устройств на основе установленной иерархии, где более конкретные критерии соответствия заменяют менее конкретные критерии соответствия. Иерархический порядок оценки параметров политики, определяющих критерии соответствия устройств, выглядит следующим образом:

Идентификаторы экземпляров устройств Идентификаторы >> устройств Класс > установки устройства Съемные устройства.

Идентификаторы экземпляров устройств.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств.

Идентификаторы устройств.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.

Класс настройки устройства.

  1. Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

Съемные устройства.

  1. Запретить установку съемных устройств.

Примечание.

Этот параметр политики обеспечивает более детализированное управление, чем параметр политики "Запретить установку устройств, не описанных другими параметрами политики". Если эти конфликтующие параметры политики включены одновременно, будет включен параметр политики "Применить многоуровневый порядок оценки для разрешить и запретить установку устройств по всем критериям соответствия устройств" будет включен, а другой параметр политики будет игнорироваться.

Если этот параметр политики отключен или не настроен, используется оценка по умолчанию. По умолчанию все "Запретить установку". Параметры политики имеют приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Allow_Deny_Layered
Понятное имя Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра AllowDenyLayered
Имя файла ADMX DeviceInstallation.admx

Пример:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, указаны ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете изменить порядок оценки параметров политики установки устройств с помощью пользовательского профиля в Intune.

Это изображение редактируемой строки.

PreventDeviceMetadataFromNetwork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

Этот параметр политики позволяет запретить Windows получать метаданные устройства из Интернета.

  • Если этот параметр политики включен, Windows не будет получать метаданные устройства для установленных устройств из Интернета. Этот параметр политики переопределяет параметр в диалоговом окне Параметры установки устройства (вкладка "Панель управления Система > и система > безопасности>" Расширенные параметры > системы оборудования).

  • Если этот параметр политики отключен или не настроен, параметр в диалоговом окне Параметры установки устройства определяет, извлекает ли Windows метаданные устройства из Интернета.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceMetadata_PreventDeviceMetadataFromNetwork
Понятное имя Запрет получения метаданных устройства из Интернета
Location Конфигурация компьютера
Путь Установка системного > устройства
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\Device Metadata
Имя значения реестра PreventDeviceMetadataFromNetwork
Имя файла ADMX DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtPolicySettings

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Этот параметр политики позволяет запретить установку устройств, которые не описаны в других параметрах политики.

Примечание.

Этот параметр политики был заменен параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств", чтобы обеспечить более детальный контроль. Вместо этого параметра политики рекомендуется использовать параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать или обновлять пакет драйверов для любого устройства, которое не описано в параметрах политики "Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств", "Разрешить установку устройств для этих классов устройств" или "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств".

  • Если этот параметр политики отключен или не настроен, Windows может устанавливать или обновлять пакет драйверов для любого устройства, которое не описано в параметрах политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", "Запретить установку устройств для этих классов устройств", "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", или параметр политики "Запретить установку съемных устройств".

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Unspecified_Deny
Понятное имя Запретить установку устройств, не описанных другими параметрами политики
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyUnspecified
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку устройств, которые не описаны другим параметром политики.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, отображаются ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку с помощью пользовательского профиля в Intune.

Настраиваемый профиль запрещает устройства.

PreventInstallationOfMatchingDeviceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Этот параметр политики позволяет указать список идентификаторов оборудования Plug and Play и совместимых идентификаторов для устройств, которые Windows не может установить. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметр политики "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", чтобы заменять этот параметр политики для соответствующих устройств, включите параметр политики "Применить многоуровневый порядок оценки для разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать устройство с идентификатором оборудования или совместимым идентификатором в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она блокирует ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_IDs_Deny
Понятное имя Запретить установку устройств, соответствующих любому из этих идентификаторов устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyDeviceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку совместимых устройств с идентификатором устройства USB\Composite или USB\Class_FF. Чтобы настроить несколько классов, используйте &amp;#xF000; в качестве разделителя. Чтобы применить политику к соответствующим классам устройств, которые уже установлены, задайте для DeviceInstall_IDs_Deny_Retroactive значение true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, отображаются ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку и использование запрещенных периферийных устройств с помощью пользовательского профиля в Intune.

Например, этот пользовательский профиль блокирует установку и использование USB-устройств с идентификаторами оборудования "USB\Composite" и "USB\Class_FF", а также применяется к USB-устройствам с соответствующими идентификаторами оборудования, которые уже установлены.

Настраиваемый профиль запрещает идентификаторы устройств.

PreventInstallationOfMatchingDeviceInstanceIDs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Этот параметр политики позволяет указать список идентификаторов экземпляров устройств Plug and Play для устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

  • Если этот параметр политики включен, Windows не будет устанавливать устройство, идентификатор экземпляра которого отображается в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью идентификатора экземпляра устройства. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет использовать ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Instance_IDs_Deny
Понятное имя Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyInstanceIDs
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. В этом примере Windows запрещает установку совместимых устройств с идентификаторами экземпляров устройств USB\VID_1F75 и USB\VID_0781. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, отображаются ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Вы также можете заблокировать установку и использование запрещенных периферийных устройств с помощью пользовательского профиля в Intune.

Например, этот настраиваемый профиль запрещает установку устройств с соответствующими идентификаторами экземпляров устройств.

Пользовательский профиль.

Чтобы запретить установку устройств с соответствующими идентификаторами экземпляров устройств с помощью пользовательского профиля в Intune, выполните следующие действия:

  1. Найдите идентификатор экземпляра устройства.

  2. Замените & идентификаторы экземпляров &amp;устройств на . Например: замените на USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0.

    Примечание.

    Не используйте пробелы в значении.

  3. Замените идентификаторы экземпляров &amp; устройств на в примере SyncML. Добавьте SyncML в профиль настраиваемой конфигурации устройства Intune.

PreventInstallationOfMatchingDeviceSetupClasses

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows не может установить. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметры политик "Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств" и "Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств", чтобы заменять этот параметр политики для соответствующих устройств, включите параметр политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств".

  • Если этот параметр политики включен, Windows не будет устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки устройств которых отображаются в создаваемом списке.

  • Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

  • Если этот параметр политики отключен или не настроен, Windows может устанавливать и обновлять устройства, как это разрешено или запрещено другими параметрами политики.

Периферийные устройства можно указать с помощью удостоверения оборудования. Список общих структур идентификаторов см. в разделе Форматы идентификаторов устройств. Протестируйте конфигурацию перед развертыванием, чтобы убедиться, что она блокирует ожидаемые устройства. В идеале протестируйте различные экземпляры оборудования. Например, протестируйте несколько USB-ключей, а не только один.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя DeviceInstall_Classes_Deny
Понятное имя Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Location Конфигурация компьютера
Путь Ограничения установки устройств для установки > системных > устройств
Имя раздела реестра Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Имя значения реестра DenyDeviceClasses
Имя файла ADMX DeviceInstallation.admx

Пример:

Чтобы включить эту политику, используйте следующую команду SyncML. Этот пример предотвращает установку Windows:

  • Дискеты, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROM, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Модемы, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Заключите GUID класса в фигурные скобки {}. Чтобы настроить несколько классов, используйте &#xF000; в качестве разделителя. Чтобы применить политику к соответствующим классам устройств, которые уже установлены, задайте для DeviceInstall_Classes_Deny_Retroactive значение true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Проверьте:

Чтобы убедиться, что политика применена, проверьте C:\windows\INF\setupapi.dev.log и проверьте, отображаются ли следующие сведения в конце журнала:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Поставщик служб конфигурации политики