Microsoft Intune'da Yönetim Şablonları kullanarak USB cihazlarını kısıtlama ve belirli USB cihazlarına izin verme
Birçok kuruluş, USB flash sürücüler veya kameralar gibi belirli USB cihaz türlerini engellemek ister. Klavye veya fare gibi belirli USB cihazlarına da izin vermek isteyebilirsiniz.
Yönetim Şablonları (ADMX) şablonlarını kullanarak bu ayarları bir ilkede yapılandırabilir ve ardından bu ilkeyi Windows cihazlarınıza dağıtabilirsiniz. Yönetim Şablonları ve bunların ne olduğu hakkında daha fazla bilgi için bkz. Microsoft Intune'da grup ilkesi ayarlarını yapılandırmak için Windows 10/11 şablonlarını kullanma.
Bu makalede şunları gösterir:
- Intune yönetim merkezinde USB ayarlarıyla ADMX ilkesi oluşturma
- Engellenmemesi gereken cihazlarda sorun gidermek için günlük dosyası kullanma
Bu makale şunlar için geçerlidir:
- Windows 11
- Windows 10
Profili oluştur
Bu ilke, USB cihazlarını etkileyen özelliklerin nasıl engellendiğini (veya izin verildiğini) gösteren bir örnek verir. Bu ilkeyi başlangıç noktası olarak kullanabilir ve ardından kuruluşunuz için gereken ayarları ekleyebilir veya kaldırabilirsiniz.
Microsoft Intune yönetim merkezinde oturum açın.
Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.
Aşağıdaki özellikleri girin:
- Platform: Windows 10 ve üzerini seçin.
- Profil türü: Şablonlar>Yönetim Şablonları'nı seçin.
Oluştur’u seçin.
Temel Bilgiler’de aşağıdaki özellikleri girin:
- Ad: İlke için açıklayıcı bir ad girin. Örneğin, USB cihazlarını kısıtla yazın.
- Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.
İleri'yi seçin.
Yapılandırma ayarları'nda aşağıdaki ayarları yapılandırın:
Diğer ilke ayarları tarafından açıklanmayan cihazların yüklenmesini engelle: Etkin>Tamam'ı seçin:
Bu cihaz kurulum sınıfları ile eşleşen sürücüleri kullanarak cihazların yüklenmesine izin ver: Etkin'i seçin. Ardından, izin vermek istediğiniz cihaz sınıflarının sınıf GUID'sini ekleyin.
Aşağıdaki örnekte Klavye, Fare ve Multimedya sınıflara izin verilir:
Tamam'ı seçin.
Bu Cihaz Kimliklerinden herhangi biriyle eşleşen cihazların yüklenmesine izin ver: Etkin'i seçin. Ardından, izin vermek istediğiniz cihazlar için cihaz/donanım kimliklerini ekleyin:
Cihaz/donanım kimliğini almak için Cihaz Yöneticisi'ni kullanabilir, cihazı bulabilir ve özelliklere bakabilirsiniz. Belirli adımlar için bkz. Windows cihazında donanım kimliğini bulma.
Uç Nokta Için Microsoft Defender Cihaz Denetimi Cihazı Yüklemesi: Intune aracılığıyla ilke dağıtma ve yönetme makalesinde bazı yararlı cihaz kimliği bilgileri de bulunur.
Tamam'ı seçin.
İleri'yi seçin.
Kapsam etiketleri’nde (isteğe bağlı), profili
US-NC IT TeamveyaJohnGlenn_ITDepartmentgibi belirli BT gruplarına göre filtrelemek için bir etiket atayın. Kapsam etiketleri hakkında daha fazla bilgi için bkz. Dağıtılmış BT için rol tabanlı erişim denetimini (RBAC) ve kapsam etiketlerini kullanma.İleri'yi seçin.
Atamalar'da profili alacak cihaz gruplarını seçin. İleri'yi seçin.
Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır.
Windows cihazlarında doğrulama
Cihaz yapılandırma profili hedeflenen cihazlarınıza dağıtıldıktan sonra düzgün çalıştığını onaylayabilirsiniz.
Bir USB cihazının yüklenmesi engellenmişse aşağıdaki iletiye benzer bir ileti görürsünüz:
The installation of this device is forbidden by system policy. Contact your system administrator.
Aşağıdaki örnekte cihaz kimliği izin verilen cihaz kimliği listesinde olmadığından iPad engellenmiştir:
Bir cihaz engellendi ancak izin verilmelidir
Bazı USB cihazlarının birden çok GUID'i vardır ve ilke ayarlarınızdaki bazı GUID'leri kaçırmanız yaygın olarak görülür. Sonuç olarak, ayarlarınızda izin verilen bir USB cihazı cihazda engellenebilir.
Aşağıdaki örnekte, Bu cihaz kurulum sınıfları ile eşleşen sürücüleri kullanarak cihazların yüklenmesine izin ver ayarında Multimedya sınıfı GUID'si girilir ve kamera engellenir:
Çözüm:
Cihazınızın GUID'sini bulmak için aşağıdaki adımları kullanın:
Cihazda dosyayı açın
%windir%\inf\setupapi.dev.log.Dosyada:
İlke tarafından açıklanmayan cihazların Sınırlı yüklemesi için arama yapın.
Bu bölümde metni bulun
Class GUID of device changed to: {GUID}. Bunu{GUID}ilkenize ekleyin.Aşağıdaki örnekte metni görürsünüz
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}:>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
Cihaz yapılandırma profilinde, Bu cihaz kurulum sınıfları ile eşleşen sürücüleri kullanarak cihazların yüklenmesine izin ver ayarına gidin ve günlük dosyasından sınıf GUID'sini ekleyin.
Sorun devam ederse, cihaz başarıyla yüklenene kadar diğer sınıf GUID'leri eklemek için bu adımları yineleyin.
Örneğimizde, cihaz profiline aşağıdaki sınıf GUID'leri eklenir:
- USB Veri Yolu cihazları (hub'lar ve konak denetleyicileri):
{36fc9e60-c465-11cf-8056-444553540000} - İnsan Arabirim Cihazları (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Kamera cihazları:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Görüntüleme cihazları:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- USB Veri Yolu cihazları (hub'lar ve konak denetleyicileri):
USB cihazlarına izin veren ortak sınıf GUID'ler
Klavye ve fare: Cihaz profiline aşağıdaki GUID'leri ekleyin:
- Klavye:
{4d36e96b-e325-11ce-bfc1-08002be10318} - Fare:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- Klavye:
Kameralar, kulaklıklar ve mikrofonlar: Cihaz profiline aşağıdaki GUID'leri ekleyin:
- USB Veri Yolu cihazları (hub'lar ve konak denetleyicileri):
{36fc9e60-c465-11cf-8056-444553540000} - İnsan Arabirim Cihazları (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - Multimedya cihazları:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Kamera cihazları:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - Görüntüleme cihazları:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - Sistem cihazları:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - Biyometrik cihazlar:
{53d29ef7-377c-4d14-864b-eb3a85769359} - Genel yazılım cihazları:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- USB Veri Yolu cihazları (hub'lar ve konak denetleyicileri):
3,5 mm kulaklık: Cihaz profiline aşağıdaki GUID'leri ekleyin:
- Multimedya cihazları:
{4d36e96c-e325-11ce-bfc1-08002be10318} - Ses uç noktası:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- Multimedya cihazları:
Not
Gerçek GUID'ler belirli cihazlarınız için farklı olabilir.