Condividi tramite


Provider di servizi di configurazione dei criteri - DeviceInstallation

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

AllowInstallationOfMatchingDeviceIDs

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs

Questa impostazione di criterio consente di specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi che Windows può installare. Questa impostazione di criterio deve essere usata solo quando è abilitata l'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione dei dispositivi in tutti i criteri di corrispondenza del dispositivo", ma può essere usata anche con l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" per le definizioni dei criteri legacy.

Quando questa impostazione di criterio è abilitata insieme all'impostazione del criterio "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo", Windows può installare o aggiornare qualsiasi dispositivo il cui ID hardware Plug and Play o ID compatibile viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri allo stesso livello o superiore nella gerarchia non impedisca specificamente tale installazione, ad esempio le impostazioni dei criteri seguenti:

  • Impedire l'installazione di dispositivi che corrispondono a questi ID dispositivo
  • Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo.

Se l'impostazione del criterio "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" non è abilitata con questa impostazione di criterio, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.

Nota

L'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" è stata sostituita dall'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" per le versioni di Windows 10 di destinazione supportate. È consigliabile usare l'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" quando possibile.

In alternativa, se questa impostazione di criterio è abilitata insieme all'impostazione del criterio "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri", Windows può installare o aggiornare qualsiasi dispositivo il cui ID hardware Plug and Play o l'ID compatibile viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri non impedisca specificamente tale installazione (ad esempio, l'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo", l'impostazione dei criteri "Impedisci l'installazione dei dispositivi per queste classi di dispositivi", l'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID istanza del dispositivo" o l'impostazione dei criteri "Impedisci installazione di dispositivi rimovibili".

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se si disabilita o non si configura questa impostazione di criterio e nessun'altra impostazione di criterio descrive il dispositivo, l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" determina se il dispositivo può essere installato.

Le periferiche possono essere specificate dalla relativa identità hardware. Per un elenco delle strutture di identificatori comuni, vedere Formati di identificatori di dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che consenta i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_IDs_Allow
Nome descrittivo Consentire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro AllowDeviceIDs
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio consente a Windows di installare dispositivi compatibili con un ID dispositivo USB\Composito o USB\Class_FF. Per configurare più classi, usare &#xF000; come delimitatore.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Per verificare che il criterio sia applicato, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceInstanceIDs

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 [10.0.19041] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs

Questa impostazione di criterio consente di specificare un elenco di ID dell'istanza del dispositivo Plug and Play per i dispositivi che Windows può installare. Questa impostazione di criterio deve essere usata solo quando è abilitata l'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione dei dispositivi in tutti i criteri di corrispondenza del dispositivo", ma può essere usata anche con l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" per le definizioni dei criteri legacy.

Quando questa impostazione di criterio è abilitata insieme all'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo", Windows è autorizzato a installare o aggiornare qualsiasi dispositivo il cui ID istanza del dispositivo Plug and Play viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri allo stesso livello o superiore nella gerarchia non impedisca in modo specifico l'installazione, ad esempio le impostazioni dei criteri seguenti:

  • Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo.

Se l'impostazione del criterio "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" non è abilitata con questa impostazione di criterio, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.

Nota

L'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" è stata sostituita dall'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" per le versioni di Windows 10 di destinazione supportate. È consigliabile usare l'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" quando possibile.

In alternativa, se questa impostazione di criterio è abilitata insieme all'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri", Windows è autorizzato a installare o aggiornare qualsiasi dispositivo il cui ID istanza del dispositivo Plug and Play viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri non impedisca specificamente tale installazione (ad esempio, l'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo", l'impostazione dei criteri "Impedisci l'installazione dei dispositivi per queste classi di dispositivi", l'impostazione dei criteri "Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID istanza di dispositivo" o l'impostazione dei criteri "Impedisci l'installazione di dispositivi rimovibili").

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se si disabilita o non si configura questa impostazione di criterio e nessun'altra impostazione di criterio descrive il dispositivo, l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" determina se il dispositivo può essere installato.

Le periferiche possono essere specificate dall'ID dell'istanza del dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che consenta i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Instance_IDs_Allow
Nome descrittivo Consentire l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro AllowInstanceIDs
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che i criteri siano applicati, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

AllowInstallationOfMatchingDeviceSetupClasses

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

Questa impostazione di criterio consente di specificare un elenco di identificatori univoci globali (GUID) della classe di configurazione del dispositivo per i pacchetti driver che Windows è autorizzato a installare. Questa impostazione di criterio deve essere usata solo quando è abilitata l'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione dei dispositivi in tutti i criteri di corrispondenza del dispositivo", ma può essere usata anche con l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" per le definizioni dei criteri legacy.

Quando questa impostazione di criterio è abilitata insieme all'impostazione del criterio "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo", Windows è autorizzato a installare o aggiornare i pacchetti driver i cui GUID della classe di configurazione del dispositivo vengono visualizzati nell'elenco creato, a meno che un'altra impostazione di criteri allo stesso livello o superiore nella gerarchia non impedisca specificamente l'installazione, ad esempio le impostazioni dei criteri seguenti:

  • Impedire l'installazione di dispositivi per queste classi di dispositivi
  • Impedire l'installazione di dispositivi che corrispondono a questi ID dispositivo
  • Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo.

Se l'impostazione del criterio "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" non è abilitata con questa impostazione di criterio, tutte le altre impostazioni dei criteri che impediscono in modo specifico l'installazione avranno la precedenza.

Nota

L'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" è stata sostituita dall'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" per le versioni di Windows 10 di destinazione supportate. È consigliabile usare l'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" quando possibile.

In alternativa, se questa impostazione di criterio è abilitata insieme all'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri", Windows può installare o aggiornare i pacchetti driver i cui GUID della classe di configurazione del dispositivo vengono visualizzati nell'elenco creato, a meno che un'altra impostazione di criteri non impedisca specificamente l'installazione (ad esempio, l'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo", l'impostazione dei criteri "Impedisci l'installazione dei dispositivi per queste classi di dispositivi", l'impostazione dei criteri "Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID istanza di dispositivo" o l'impostazione dei criteri "Impedisci l'installazione di dispositivi rimovibili").

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se si disabilita o non si configura questa impostazione di criterio e nessun'altra impostazione di criterio descrive il dispositivo, l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" determina se il dispositivo può essere installato.

Le periferiche possono essere specificate dalla relativa identità hardware. Per un elenco delle strutture di identificatori comuni, vedere Formati di identificatori di dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che consenta i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Classes_Allow
Nome descrittivo Consentire l'installazione di dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro AllowDeviceClasses
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio consente a Windows di installare:

  • Dischi floppy, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modem, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Racchiudere il GUID della classe tra parentesi {}graffe. Per configurare più classi, usare &#xF000; come delimitatore.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che il criterio sia applicato, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

EnableInstallationPolicyLayering

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.256] e versioni successive
✅ Windows 10, versione 1809 con KB5005102 [10.0.17763.2145] e versioni successive
✅ Windows 10, versione 1903 [10.0.18362.1714] e versioni successive
✅ Windows 10, versione 2004 con KB5004296 [10.0.19041.1151] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering

Questa impostazione di criterio modifica l'ordine di valutazione in cui vengono applicate le impostazioni dei criteri Consenti e Impedisci quando è applicabile più di un'impostazione dei criteri di installazione per un determinato dispositivo. Abilitare questa impostazione di criterio per assicurarsi che i criteri di corrispondenza dei dispositivi sovrapposti vengano applicati in base a una gerarchia stabilita in cui criteri di corrispondenza più specifici sostituiscono criteri di corrispondenza meno specifici. L'ordine gerarchico di valutazione per le impostazioni dei criteri che specificano i criteri di corrispondenza del dispositivo è il seguente:

ID > istanza dispositivo ID dispositivo > Classe di > configurazione dispositivo Dispositivi rimovibili.

ID dell'istanza del dispositivo.

  1. Impedire l'installazione di dispositivi che usano driver che corrispondono a questi ID dell'istanza del dispositivo
  2. Consentire l'installazione di dispositivi usando driver che corrispondono a questi ID istanza del dispositivo.

ID dispositivo.

  1. Impedire l'installazione di dispositivi che usano driver che corrispondono a questi ID dispositivo
  2. Consentire l'installazione di dispositivi usando driver che corrispondono a questi ID del dispositivo.

Classe di configurazione del dispositivo.

  1. Impedire l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo
  2. Consentire l'installazione di dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo.

Dispositivi rimovibili.

  1. Impedire l'installazione di dispositivi rimovibili.

Nota

Questa impostazione di criterio fornisce un controllo più granulare rispetto all'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri". Se queste impostazioni dei criteri in conflitto sono abilitate contemporaneamente, verrà abilitata l'impostazione dei criteri "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" e l'altra impostazione di criteri verrà ignorata.

Se si disabilita o non si configura questa impostazione di criterio, viene usata la valutazione predefinita. Per impostazione predefinita, tutto "Impedisci installazione". Le impostazioni dei criteri hanno la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Allow_Deny_Layered
Nome descrittivo Applicare l'ordine di valutazione a più livelli per consenti e impedisci i criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro AllowDenyLayered
Nome file ADMX DeviceInstallation.admx

Esempio:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che il criterio sia applicato, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

È anche possibile modificare l'ordine di valutazione delle impostazioni dei criteri di installazione del dispositivo usando un profilo personalizzato in Intune.

Questa immagine è un'immagine di riga di modifica.

PreventDeviceMetadataFromNetwork

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork

Questa impostazione di criterio consente di impedire a Windows di recuperare i metadati del dispositivo da Internet.

  • Se si abilita questa impostazione di criterio, Windows non recupera i metadati del dispositivo per i dispositivi installati da Internet. Questa impostazione di criterio sostituisce l'impostazione nella finestra di dialogo Impostazioni di installazione del dispositivo (scheda Hardware impostazioni > avanzate sistema e sistema > di sicurezza > del Pannello > di controllo).

  • Se si disabilita o non si configura questa impostazione di criterio, l'impostazione nella finestra di dialogo Impostazioni installazione dispositivo controlla se Windows recupera i metadati del dispositivo da Internet.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceMetadata_PreventDeviceMetadataFromNetwork
Nome descrittivo Impedire il recupero dei metadati del dispositivo da Internet
Posizione Configurazione computer
Percorso Installazione del dispositivo di sistema >
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\Windows\Device Metadata
Nome del valore del registro PreventDeviceMetadataFromNetwork
Nome file ADMX DeviceSetup.admx

PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings

Questa impostazione di criterio consente di impedire l'installazione di dispositivi non descritti in modo specifico da altre impostazioni dei criteri.

Nota

Questa impostazione di criterio è stata sostituita dall'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" per fornire un controllo più granulare. È consigliabile usare l'impostazione dei criteri "Applica ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" anziché questa impostazione di criterio.

  • Se abiliti questa impostazione di criterio, a Windows viene impedito di installare o aggiornare il pacchetto driver per qualsiasi dispositivo non descritto dall'impostazione dei criteri "Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo", "Consenti l'installazione dei dispositivi per queste classi di dispositivi" o "Consenti l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo".

  • Se disabiliti o non configuri questa impostazione di criterio, Windows può installare o aggiornare il pacchetto driver per qualsiasi dispositivo non descritto dall'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo", "Impedisci l'installazione dei dispositivi per queste classi di dispositivi", "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo", o l'impostazione del criterio "Impedisci l'installazione di dispositivi rimovibili".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Unspecified_Deny
Nome descrittivo Impedire l'installazione di dispositivi non descritti da altre impostazioni dei criteri
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro DenyUnspecified
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio impedisce a Windows di installare dispositivi non descritti da altre impostazioni dei criteri.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che i criteri siano applicati, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

È anche possibile bloccare l'installazione usando un profilo personalizzato in Intune.

Il profilo personalizzato impedisce i dispositivi.

PreventInstallationOfMatchingDeviceIDs

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

Questa impostazione di criterio consente di specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi a cui è impedito l'installazione di Windows. Per impostazione predefinita, questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo.

Nota

Per abilitare l'impostazione dei criteri "Consenti l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo" per sostituire questa impostazione di criteri per i dispositivi applicabili, abilitare l'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo".

  • Se si abilita questa impostazione di criterio, a Windows viene impedito di installare un dispositivo il cui ID hardware o ID compatibile viene visualizzato nell'elenco creato.

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se si disabilita o non si configura questa impostazione di criterio, i dispositivi possono essere installati e aggiornati come consentito o impedito da altre impostazioni dei criteri.

Le periferiche possono essere specificate dalla relativa identità hardware. Per un elenco delle strutture di identificatori comuni, vedere Formati di identificatori di dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che blocchi i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_IDs_Deny
Nome descrittivo Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro DenyDeviceIDs
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio impedisce a Windows di installare dispositivi compatibili con un ID dispositivo USB\Composite o USB\Class_FF. Per configurare più classi, usare &amp;#xF000; come delimitatore. Per applicare i criteri alle classi di dispositivi corrispondenti già installate, impostare DeviceInstall_IDs_Deny_Retroactive su true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;USB\Composite&#xF000;2&#xF000;USB\Class_FF"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che i criteri siano applicati, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

È anche possibile bloccare l'installazione e l'utilizzo di periferiche non consentite usando un profilo personalizzato in Intune.

Ad esempio, questo profilo personalizzato blocca l'installazione e l'utilizzo dei dispositivi USB con ID hardware "USB\Composite" e "USB\Class_FF" e si applica ai dispositivi USB con ID hardware corrispondenti già installati.

Il profilo personalizzato impedisce gli ID dispositivo.

PreventInstallationOfMatchingDeviceInstanceIDs

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 [10.0.19041] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs

Questa impostazione di criterio consente di specificare un elenco di ID dell'istanza del dispositivo Plug and Play per i dispositivi a cui è impedito l'installazione di Windows. Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo.

  • Se si abilita questa impostazione di criterio, a Windows viene impedito di installare un dispositivo il cui ID istanza del dispositivo viene visualizzato nell'elenco creato.

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se si disabilita o non si configura questa impostazione di criterio, i dispositivi possono essere installati e aggiornati come consentito o impedito da altre impostazioni dei criteri.

Le periferiche possono essere specificate dall'ID dell'istanza del dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che consenta i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Instance_IDs_Deny
Nome descrittivo Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro DenyInstanceIDs
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio impedisce a Windows di installare dispositivi compatibili con ID istanza del dispositivo di USB\VID_1F75 e USB\VID_0781. Per configurare più classi, usare &#xF000; come delimitatore.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1&#xF000;USB\VID_1F75&amp;PID_0917\47802411805883&#xF000;2&#xF000;USB\VID_0781&amp;PID_5530\4C530001191214116305"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che i criteri siano applicati, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

È anche possibile bloccare l'installazione e l'utilizzo di periferiche non consentite usando un profilo personalizzato in Intune.

Ad esempio, questo profilo personalizzato impedisce l'installazione di dispositivi con ID di istanza del dispositivo corrispondenti.

Profilo personalizzato.

Per impedire l'installazione di dispositivi con ID istanza di dispositivo corrispondenti usando un profilo personalizzato in Intune:

  1. Individuare l'ID istanza del dispositivo.

  2. Sostituire & negli ID dell'istanza del dispositivo con &amp;. Ad esempio: sostituire USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0 con USBSTOR\DISK&amp;VEN_SAMSUNG&amp;PROD_FLASH_DRIVE&amp;REV_1100\0376319020002347&amp;0.

    Nota

    Non usare spazi nel valore.

  3. Sostituire gli ID dell'istanza del dispositivo con &amp; nell'esempio SyncML. Aggiungere SyncML al profilo di configurazione del dispositivo personalizzato di Intune.

PreventInstallationOfMatchingDeviceSetupClasses

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses

Questa impostazione di criterio consente di specificare un elenco di identificatori univoci globali (GUID) della classe di configurazione del dispositivo per i pacchetti driver che Windows non può installare. Per impostazione predefinita, questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo.

Nota

Per abilitare le impostazioni dei criteri "Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo" e "Consenti l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo" per sostituire questa impostazione di criteri per i dispositivi applicabili, abilitare l'impostazione dei criteri "Applica ordine a più livelli di valutazione per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo".

  • Se si abilita questa impostazione di criterio, a Windows non viene impedito di installare o aggiornare i pacchetti driver i cui GUID della classe di configurazione del dispositivo vengono visualizzati nell'elenco creato.

  • Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Se disabiliti o non configuri questa impostazione di criterio, Windows può installare e aggiornare i dispositivi come consentito o impedito da altre impostazioni dei criteri.

Le periferiche possono essere specificate dalla relativa identità hardware. Per un elenco delle strutture di identificatori comuni, vedere Formati di identificatori di dispositivo. Testare la configurazione prima di distribuirla per assicurarsi che blocchi i dispositivi previsti. Idealmente, testare varie istanze dell'hardware. Ad esempio, testare più chiavi USB anziché una sola.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DeviceInstall_Classes_Deny
Nome descrittivo Impedire l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo
Posizione Configurazione computer
Percorso Restrizioni per l'installazione del > dispositivo di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Nome del valore del registro DenyDeviceClasses
Nome file ADMX DeviceInstallation.admx

Esempio:

Per abilitare questo criterio, usare il codice SyncML seguente. Questo esempio impedisce l'installazione di Windows:

  • Dischi floppy, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
  • CD ROMs, ClassGUID = {4d36e965-e325-11ce-bfc1-08002be10318}
  • Modem, ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}

Racchiudere il GUID della classe tra parentesi {}graffe. Per configurare più classi, usare &#xF000; come delimitatore. Per applicare i criteri alle classi di dispositivi corrispondenti già installate, impostare DeviceInstall_Classes_Deny_Retroactive su true.

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">string</Format>
                </Meta>
                <Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;{4d36e980-e325-11ce-bfc1-08002be10318}&#xF000;2&#xF000;{4d36e965-e325-11ce-bfc1-08002be10318}&#xF000;3&#xF000;{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

Verificare:

Per verificare che i criteri siano applicati, controllare C:\windows\INF\setupapi.dev.log e verificare se i dettagli seguenti sono elencati alla fine del log:

>>>  [Device Installation Restrictions Policy Check]
>>>  Section start 2018/11/15 12:26:41.659
<<<  Section end 2018/11/15 12:26:41.751
<<<  [Exit status: SUCCESS]

Provider del servizio di configurazione dei criteri