Freigeben über


Richtlinien-CSP – DeviceInstallation

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowInstallationOfMatchingDeviceIDs

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs für Geräte angeben, die Windows installieren darf. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien zulassen und verhindern auf alle Geräteübereinstimmungskriterien anwenden" aktiviert ist. Sie kann jedoch auch mit der Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" für Legacyrichtliniendefinitionen verwendet werden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Alle Geräteübereinstimmungskriterien zulassen und Verhindern von Geräteinstallationsrichtlinien anwenden" aktiviert ist, darf Windows jedes Gerät installieren oder aktualisieren, dessen Plug-and-Play-Hardware-ID oder kompatible ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung auf derselben oder höherer Ebene in der Hierarchie verhindert diese Installation ausdrücklich. z. B. die folgenden Richtlinieneinstellungen:

  • Verhindern der Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen
  • Verhindern Sie die Installation von Geräten, die mit einer dieser Geräteinstanz-IDs übereinstimmen.

Wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" nicht mit dieser Richtlinieneinstellung aktiviert ist, haben alle anderen Richtlinieneinstellungen Vorrang, die die Installation speziell verhindern.

Hinweis

Die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden" wurde durch die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" für unterstützte Windows 10-Zielversionen ersetzt. Es wird empfohlen, nach Möglichkeit die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" zu verwenden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" aktiviert ist, kann Windows jedes Gerät installieren oder aktualisieren, dessen Plug-and-Play-Hardware-ID oder kompatible ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation ausdrücklich (z. B. Die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen", die Richtlinieneinstellung "Installation von Geräten für diese Geräteklassen verhindern", die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräteinstanz-IDs übereinstimmen" oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern").

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden", ob das Gerät installiert werden kann.

Peripheriegeräte können durch ihre Hardwareidentität angegeben werden. Eine Liste allgemeiner Bezeichnerstrukturen finden Sie unter Gerätebezeichnerformate. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass sie die erwarteten Geräte zulässt. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_IDs_Allow
Anzeigename Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes AllowDeviceIDs
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel kann Windows kompatible Geräte mit der Geräte-ID USB\Composite oder USB\Class_FF installieren. Verwenden Sie &#xF000; zum Konfigurieren mehrerer Klassen als Trennzeichen.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug-and-Play-Geräteinstanz-IDs für Geräte angeben, die Windows installieren darf. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien zulassen und verhindern auf alle Geräteübereinstimmungskriterien anwenden" aktiviert ist. Sie kann jedoch auch mit der Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" für Legacyrichtliniendefinitionen verwendet werden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Alle Geräteübereinstimmungskriterien zulassen und Verhindern von Geräteinstallationsrichtlinien anwenden" aktiviert ist, darf Windows jedes Gerät installieren oder aktualisieren, dessen Plug-and-Play-Geräteinstanz-ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung auf derselben oder höherer Ebene in der Hierarchie verhindert diese Installation ausdrücklich. z. B. die folgenden Richtlinieneinstellungen:

  • Verhindern Sie die Installation von Geräten, die mit einer dieser Geräteinstanz-IDs übereinstimmen.

Wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" nicht mit dieser Richtlinieneinstellung aktiviert ist, haben alle anderen Richtlinieneinstellungen Vorrang, die die Installation speziell verhindern.

Hinweis

Die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden" wurde durch die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" für unterstützte Windows 10-Zielversionen ersetzt. Es wird empfohlen, nach Möglichkeit die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" zu verwenden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Installation von Geräten, die nicht von anderen Richtlinieneinstellungen beschrieben werden" aktiviert ist, kann Windows jedes Gerät installieren oder aktualisieren, dessen Plug-and-Play-Geräteinstanz-ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation ausdrücklich (z. B. die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen", Die Richtlinieneinstellung "Installation von Geräten für diese Geräteklassen verhindern", die Richtlinieneinstellung "Installation von Geräten verhindern, die mit diesen Geräteinstanz-IDs übereinstimmen" oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern").

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden", ob das Gerät installiert werden kann.

Peripheriegeräte können durch ihre Geräteinstanz-ID angegeben werden. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass sie die erwarteten Geräte zulässt. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Instance_IDs_Allow
Anzeigename Installation von Geräten zulassen, die mit einer dieser Geräteinstanz-IDs übereinstimmen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes AllowInstanceIDs
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Mit dieser Richtlinieneinstellung können Sie eine Liste der GUIDs (Globally Unique Identifier) der Gerätesetupklasse für Treiberpakete angeben, die Windows installieren darf. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien zulassen und verhindern auf alle Geräteübereinstimmungskriterien anwenden" aktiviert ist. Sie kann jedoch auch mit der Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" für Legacyrichtliniendefinitionen verwendet werden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Alle Geräteübereinstimmungskriterien zulassen und Verhindern von Geräteinstallationsrichtlinien anwenden" aktiviert ist, darf Windows Treiberpakete installieren oder aktualisieren, deren Gerätesetupklassen-GUIDs in der von Ihnen erstellten Liste angezeigt werden, es sei denn, eine andere Richtlinieneinstellung auf derselben oder höherer Ebene in der Hierarchie verhindert diese Installation ausdrücklich. z. B. die folgenden Richtlinieneinstellungen:

  • Verhindern der Installation von Geräten für diese Geräteklassen
  • Verhindern der Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen
  • Verhindern Sie die Installation von Geräten, die mit einer dieser Geräteinstanz-IDs übereinstimmen.

Wenn die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" nicht mit dieser Richtlinieneinstellung aktiviert ist, haben alle anderen Richtlinieneinstellungen Vorrang, die die Installation speziell verhindern.

Hinweis

Die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden" wurde durch die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" für unterstützte Windows 10-Zielversionen ersetzt. Es wird empfohlen, nach Möglichkeit die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" zu verwenden.

Wenn diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung "Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden" aktiviert ist, darf Windows Treiberpakete installieren oder aktualisieren, deren GUIDs der Geräteeinrichtungsklasse in der von Ihnen erstellten Liste angezeigt werden, es sei denn, eine andere Richtlinieneinstellung verhindert die Installation ausdrücklich (z. B. die Richtlinieneinstellung "Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen", Die Richtlinieneinstellung "Installation von Geräten für diese Geräteklassen verhindern", die Richtlinieneinstellung "Installation von Geräten verhindern, die mit diesen Geräteinstanz-IDs übereinstimmen" oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern").

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden", ob das Gerät installiert werden kann.

Peripheriegeräte können durch ihre Hardwareidentität angegeben werden. Eine Liste allgemeiner Bezeichnerstrukturen finden Sie unter Gerätebezeichnerformate. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass sie die erwarteten Geräte zulässt. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Classes_Allow
Anzeigename Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes AllowDeviceClasses
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel kann Windows Folgendes installieren:

  • Disketten, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD-ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems; ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Schließen Sie die Klassen-GUID in geschweifte Klammern ein {}. Verwenden Sie &#xF000; zum Konfigurieren mehrerer Klassen als Trennzeichen.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.256] und höher
✅ Windows 10, Version 1809 mit KB5005102 [10.0.17763.2145] und höher
✅ Windows 10, Version 1903 [10.0.18362.1714] und höher
✅ Windows 10, Version 2004 mit KB5004296 [10.0.19041.1151] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

Diese Richtlinieneinstellung ändert die Auswertungsreihenfolge, in der die Richtlinieneinstellungen Zulassen und Verhindern angewendet werden, wenn mehrere Installationsrichtlinieneinstellungen für ein bestimmtes Gerät gelten. Aktivieren Sie diese Richtlinieneinstellung, um sicherzustellen, dass sich überlappende Geräteübereinstimmungskriterien basierend auf einer festgelegten Hierarchie angewendet werden, in der spezifischere Übereinstimmungskriterien weniger spezifische Übereinstimmungskriterien ersetzen. Die hierarchische Reihenfolge der Auswertung für Richtlinieneinstellungen, die Geräte-Übereinstimmungskriterien angeben, lautet wie folgt:

Geräteinstanz-IDs > Geräte-IDs > Geräteeinrichtungsklasse > Wechselmedien.

Geräteinstanz-IDs.

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteinstanz-IDs entsprechen
  2. Lassen Sie die Installation von Geräten mit Treibern zu, die diesen Geräteinstanz-IDs entsprechen.

Geräte-IDs.

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die mit diesen Geräte-IDs übereinstimmen
  2. Lassen Sie die Installation von Geräten mit Treibern zu, die diesen Geräte-IDs entsprechen.

Geräteeinrichtungsklasse.

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen
  2. Lassen Sie die Installation von Geräten mit Treibern zu, die diesen Gerätesetupklassen entsprechen.

Wechselmedien.

  1. Verhindern sie die Installation von Wechselmedien.

Hinweis

Diese Richtlinieneinstellung bietet eine präzisere Steuerung als die Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden". Wenn diese in Konflikt stehenden Richtlinieneinstellungen gleichzeitig aktiviert sind, wird die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" aktiviert, und die andere Richtlinieneinstellung wird ignoriert.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardauswertung verwendet. Standardmäßig alle "Installation verhindern". Richtlinieneinstellungen haben Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Allow_Deny_Layered
Anzeigename Anwenden der mehrstufigen Auswertungsreihenfolge für die Richtlinien zum Zulassen und Verhindern von Geräteinstallationen für alle Geräteübereinstimmungskriterien
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes AllowDenyLayered
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Sie können auch die Auswertungsreihenfolge der Geräteinstallationsrichtlinieneinstellungen ändern, indem Sie ein benutzerdefiniertes Profil in Intune verwenden.

Dieses Bild ist ein Zeilenbild bearbeiten.

PreventDeviceMetadataFromNetwork

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Windows Gerätemetadaten aus dem Internet abruft.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, ruft Windows keine Gerätemetadaten für installierte Geräte aus dem Internet ab. Diese Richtlinieneinstellung überschreibt die Einstellung im Dialogfeld Geräteinstallationseinstellungen (Registerkarte "Systemsteuerung > System" und "Sicherheitssystem >> Erweiterte Systemeinstellungen > Hardware").

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, steuert die Einstellung im Dialogfeld Geräteinstallationseinstellungen, ob Windows Gerätemetadaten aus dem Internet abruft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceMetadata_PreventDeviceMetadataFromNetwork
Anzeigename Verhindern des Abrufs von Gerätemetadaten aus dem Internet
Position Computerkonfiguration
Pfad Systemgeräteinstallation >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\Device Metadata
Name des Registrierungswertes PreventDeviceMetadataFromNetwork
ADMX-Dateiname DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Mit dieser Richtlinieneinstellung können Sie die Installation von Geräten verhindern, die von keiner anderen Richtlinieneinstellung ausdrücklich beschrieben werden.

Hinweis

Diese Richtlinieneinstellung wurde durch die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" ersetzt, um eine präzisere Kontrolle zu ermöglichen. Es wird empfohlen, anstelle dieser Richtlinieneinstellung die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" zu verwenden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, das Treiberpaket für jedes Gerät zu installieren oder zu aktualisieren, das nicht durch die Richtlinieneinstellung "Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen", "Installation von Geräten für diese Geräteklassen zulassen" oder "Installation von Geräten zulassen, die mit einer dieser Geräteinstanz-IDs übereinstimmen" beschrieben wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, darf Windows das Treiberpaket für jedes Gerät installieren oder aktualisieren, das nicht durch die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen", "Installation von Geräten für diese Geräteklassen verhindern" beschrieben wird, "Installation von Geräten verhindern, die mit diesen Geräteinstanz-IDs übereinstimmen", oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern".

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Unspecified_Deny
Anzeigename Verhindern der Installation von Geräten, die nicht in anderen Richtlinieneinstellungen beschrieben sind
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes DenyUnspecified
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel wird verhindert, dass Windows Geräte installiert, die von keiner anderen Richtlinieneinstellung beschrieben werden.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Sie können die Installation auch mithilfe eines benutzerdefinierten Profils in Intune blockieren.

Benutzerdefinierte Profile verhindern Geräte.

PreventInstallationOfMatchingDeviceIDs

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs für Geräte angeben, die von Windows nicht installiert werden können. Standardmäßig hat diese Richtlinieneinstellung Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Hinweis

Um die Richtlinieneinstellung "Installation von Geräten zulassen, die mit einer dieser Geräteinstanz-IDs übereinstimmen" zu aktivieren, um diese Richtlinieneinstellung für anwendbare Geräte zu ersetzen, aktivieren Sie die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Alle Geräteübereinstimmungskriterien zulassen und verhindern".

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Hardware-ID oder kompatible ID in der von Ihnen erstellten Liste angezeigt wird.

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte installiert und aktualisiert werden, da sie von anderen Richtlinieneinstellungen zugelassen oder verhindert werden.

Peripheriegeräte können durch ihre Hardwareidentität angegeben werden. Eine Liste allgemeiner Bezeichnerstrukturen finden Sie unter Gerätebezeichnerformate. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass die erwarteten Geräte blockiert werden. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_IDs_Deny
Anzeigename Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes DenyDeviceIDs
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel wird verhindert, dass Windows kompatible Geräte mit der Geräte-ID USB\Composite oder USB\Class_FF installiert. Verwenden Sie &amp;#xF000; zum Konfigurieren mehrerer Klassen als Trennzeichen. Um die Richtlinie auf übereinstimmende Geräteklassen anzuwenden, die bereits installiert sind, legen Sie DeviceInstall_IDs_Deny_Retroactive auf true fest.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Sie können auch die Installation und Verwendung verbotener Peripheriegeräte blockieren, indem Sie ein benutzerdefiniertes Profil in Intune verwenden.

Dieses benutzerdefinierte Profil blockiert beispielsweise die Installation und Verwendung von USB-Geräten mit den Hardware-IDs "USB\Composite" und "USB\Class_FF" und gilt für USB-Geräte mit übereinstimmenden Hardware-IDs, die bereits installiert sind.

Benutzerdefinierte Profile verhindern Geräte-IDs.

PreventInstallationOfMatchingDeviceInstanceIDs

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug-and-Play-Geräteinstanz-IDs für Geräte angeben, die von Windows nicht installiert werden können. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Geräteinstanz-ID in der von Ihnen erstellten Liste angezeigt wird.

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte installiert und aktualisiert werden, da sie von anderen Richtlinieneinstellungen zugelassen oder verhindert werden.

Peripheriegeräte können durch ihre Geräteinstanz-ID angegeben werden. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass sie die erwarteten Geräte zulässt. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Instance_IDs_Deny
Anzeigename Verhindern der Installation von Geräten, die mit einer dieser Geräteinstanz-IDs übereinstimmen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes DenyInstanceIDs
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel wird verhindert, dass Windows kompatible Geräte mit geräteinstanzen-IDs usb\VID_1F75 und USB\VID_0781 installiert. Verwenden Sie &#xF000; zum Konfigurieren mehrerer Klassen als Trennzeichen.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Sie können auch die Installation und Verwendung verbotener Peripheriegeräte blockieren, indem Sie ein benutzerdefiniertes Profil in Intune verwenden.

Dieses benutzerdefinierte Profil verhindert beispielsweise die Installation von Geräten mit übereinstimmenden Geräteinstanz-IDs.

Benutzerdefiniertes Profil.

So verhindern Sie die Installation von Geräten mit übereinstimmenden Geräteinstanz-IDs mithilfe eines benutzerdefinierten Profils in Intune:

  1. Suchen Sie die Geräteinstanz-ID.

  2. Ersetzen Sie & in den Geräteinstanz-IDs durch &amp;. Beispiel: Ersetzen Sie durch USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0.

    Hinweis

    Verwenden Sie keine Leerzeichen im -Wert.

  3. Ersetzen Sie die Geräteinstanz-IDs durch &amp; in das SyncML-Beispiel. Fügen Sie syncML dem benutzerdefinierten Intune-Gerätekonfigurationsprofil hinzu.

PreventInstallationOfMatchingDeviceSetupClasses

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Mit dieser Richtlinieneinstellung können Sie eine Liste der GUIDs (Globally Unique Identifier) der Gerätesetupklasse für Treiberpakete angeben, die von Windows nicht installiert werden können. Standardmäßig hat diese Richtlinieneinstellung Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Hinweis

Um die Richtlinieneinstellungen "Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen" und "Installation von Geräten zulassen, die mit einer dieser Geräteinstanz-IDs übereinstimmen" zu aktivieren, um diese Richtlinieneinstellung für anwendbare Geräte zu ersetzen, aktivieren Sie die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern".

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, Treiberpakete zu installieren oder zu aktualisieren, deren Gerätesetupklassen-GUIDs in der von Ihnen erstellten Liste angezeigt werden.

  • Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann Windows Geräte installieren und aktualisieren, die von anderen Richtlinieneinstellungen zugelassen oder verhindert werden.

Peripheriegeräte können durch ihre Hardwareidentität angegeben werden. Eine Liste allgemeiner Bezeichnerstrukturen finden Sie unter Gerätebezeichnerformate. Testen Sie die Konfiguration vor dem Rollout, um sicherzustellen, dass die erwarteten Geräte blockiert werden. Testen Sie idealerweise verschiedene Instanzen der Hardware. Testen Sie beispielsweise mehrere USB-Schlüssel statt nur einen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DeviceInstall_Classes_Deny
Anzeigename Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen
Position Computerkonfiguration
Pfad Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Name des Registrierungswertes DenyDeviceClasses
ADMX-Dateiname DeviceInstallation.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu aktivieren. In diesem Beispiel wird verhindert, dass Windows Folgendes installiert:

  • Disketten, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD-ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modems; ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Schließen Sie die Klassen-GUID in geschweifte Klammern ein {}. Verwenden Sie &#xF000; zum Konfigurieren mehrerer Klassen als Trennzeichen. Um die Richtlinie auf übereinstimmende Geräteklassen anzuwenden, die bereits installiert sind, legen Sie DeviceInstall_Classes_Deny_Retroactive auf true fest.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Überprüfen Sie Folgendes:

Um zu überprüfen, ob die Richtlinie angewendet wird, überprüfen Sie C:\windows\INF\setupapi.dev.log, und überprüfen Sie, ob die folgenden Details am Ende des Protokolls aufgeführt sind:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Dienstanbieter für die Richtlinienkonfiguration