Microsoft Intune で管理用テンプレートを使用して USB デバイスを制限し、特定の USB デバイスを許可します。
多くの組織で、USB フラッシュ ドライブやカメラなど、特定の種類の USB デバイスをブロックする必要があります。 キーボードやマウスなど、特定の USB デバイスを許可することもできます。
管理用テンプレート (ADMX) テンプレートを使用して、これらの設定をポリシーで構成し、このポリシーを Windows デバイスに展開することができます。 管理用テンプレートの詳細については、「Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成する」を参照してください。
この記事では、次の内容を示します。
- Intune 管理センターで USB 設定を使用して ADMX ポリシーを作成する方法
- ログ ファイルを使用して、ブロックすべきではないデバイスのトラブルシューティングを行う方法
この記事は、次の項目に適用されます:
- Windows 11
- Windows 10
プロファイルを作成する
このポリシーでは、USB デバイスに影響を与える機能をブロック (または許可) する方法の例を示します。 このポリシーを出発点として使用し、組織に必要に応じて設定を追加または削除できます。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- プロファイルの種類: [テンプレート]>[管理用テンプレート] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: プロファイルのわかりやすい名前を入力します。 たとえば、「USB デバイスを制限する」と入力します。
- 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[構成設定] で、次の設定を構成します。
他のポリシー設定によって記述されていないデバイスのインストールの防止: [有効]、>[OK] の順に選択します。
![Intune で、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] 設定を [有効] に設定します。](media/administrative-templates-restrict-usb/prevent-installation-of-devices-not-described-setting.png)
これらのデバイス セットアップ クラスに一致するドライバを使用するデバイスのインストールを許可: [有効] を選択します。 次に、許可するデバイス クラスのクラス GUID を追加します。
次の例では、キーボード、 マウス、マルチメディア クラスを許可しています。
[OK] をクリックします。
これらのデバイス ID のいずれかに一致するデバイスのインストールの許可: [有効] を選択します。 次に、許可するデバイスのデバイス/ハードウェア ID を追加します。
デバイス/ハードウェア ID を取得するには、デバイス マネージャーを使用して、デバイスを検索し、プロパティを確認します。 具体的な手順については、「Windows デバイスのハードウェア ID を見つける」を参照してください。
また、Microsoft Defender for Endpoint Device Control Device Installation: Intune を使用したポリシーの展開と管理に関するページにも役立つデバイス ID 情報があります。
[OK] を選択します。
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT TeamやJohnGlenn_ITDepartmentなど、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。[次へ] を選択します。
[割り当て] で、プロファイルを受け取るデバイス グループを選択します。 [次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。
Windows デバイスでの検証
デバイス構成プロファイルを対象デバイスに展開した後、正しく動作することを確認します。
USB デバイスのインストールがブロックされている場合は、次のようなメッセージが表示されます。
The installation of this device is forbidden by system policy. Contact your system administrator.
次の例では、iPad ID が許可されているデバイス ID リストにないためブロックされます。
ブロックされているものの、本来は許可されているデバイス
USB デバイスの中には、複数の GUID を持つものがあり、ポリシー設定で一部の GUID を見落とすことがよくあります。 その結果、設定上は許可されている USB デバイスが、デバイスではブロックされる可能性があります。
以下の例では、「これらのデバイス セットアップ クラスに一致するドライバを使用するデバイスのインストールを許可する」設定において、以下のマルチメディア クラスの GUID を入力し、カメラをブロックします。
解決策:
デバイスの GUID を見つけるには、次の手順を使用します。
デバイスで、
%windir%\inf\setupapi.dev.logファイルを開きます。ファイル内:
「ポリシーで記述されていないデバイスの制限付きインストール」を検索します。
このセクションで、
Class GUID of device changed to: {GUID}テキストを検索します。 この{GUID}をポリシーに追加します。次の例では、
Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}テキストが表示されます。>>> [Device Install (Hardware initiated) - USB\VID_046D&PID_C534\5&bd89ed7&0&2] >>> Section start 2020/01/20 17:26:03.547 dvi: {Build Driver List} 17:26:03.597 … dvi: {Build Driver List - exit(0x00000000)} 17:26:03.645 dvi: {DIF_SELECTBESTCOMPATDRV} 17:26:03.647 dvi: Default installer: Enter 17:26:03.647 dvi: {Select Best Driver} dvi: Class GUID of device changed to: {36fc9e60-c465-11cf-8056-444553540000}. dvi: Selected Driver: dvi: Description - USB Composite Device dvi: InfFile - c:\windows\system32\driverstore\filerepository\usb.inf_amd64_9646056539e4be37\usb.inf dvi: Section - Composite.Dev dvi: {Select Best Driver - exit(0x00000000)} dvi: Default installer: Exit dvi: {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 17:26:03.664 dvi: {Core Device Install} 17:26:03.666 dvi: {Install Device - USB\VID_046D&PID_C534\5&BD89ED7&0&2} 17:26:03.667 dvi: Device Status: 0x01806400, Problem: 0x1 (0xc0000361) dvi: Parent device: USB\ROOT_HUB30\4&278ca476&0&0 !!! pol: The device is explicitly restricted by the following policy settings: !!! pol: [-] Restricted installation of devices not described by policy !!! pol: {Device installation policy check [USB\VID_046D&PID_C534\5&BD89ED7&0&2] exit(0xe0000248)} !!! dvi: Installation of device is blocked by policy! ! dvi: Queueing up error report for device install failure. dvi: {Install Device - exit(0xe0000248)} 17:26:03.692 dvi: {Core Device Install - exit(0xe0000248)} 17:26:03.694 <<< Section end 2020/01/20 17:26:03.697 <<< [Exit status: FAILURE(0xe0000248)]
デバイス構成プロファイルの「これらのデバイス セットアップ クラスに一致するドライバーを使用するデバイスのインストールを許可する」設定に移動し、ログ ファイルからクラス GUID を追加します。
問題が解決しない場合は、デバイスが正常にインストールされるまで、この手順を繰り返して他のクラス GUID を追加してください。
この例では、次のクラス GUID がデバイス プロファイルに追加されます。
- USB バス デバイス (ハブとホスト コントローラー):
{36fc9e60-c465-11cf-8056-444553540000} - ヒューマン インターフェイス デバイス (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - カメラ デバイス:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - イメージング デバイス:
{6bdd1fc6-810f-11d0-bec7-08002be2092f}
- USB バス デバイス (ハブとホスト コントローラー):
USB デバイスを許可する一般的なクラス GUID
キーボードとマウス: デバイス プロファイルに次の GUID を追加します。
- キーボード:
{4d36e96b-e325-11ce-bfc1-08002be10318} - マウス:
{4d36e96f-e325-11ce-bfc1-08002be10318}
- キーボード:
カメラ、ヘッドホン、マイク: デバイス プロファイルに次の GUID を追加します。
- USB バス デバイス (ハブとホスト コントローラー):
{36fc9e60-c465-11cf-8056-444553540000} - ヒューマン インターフェイス デバイス (HID):
{745a17a0-74d3-11d0-b6fe-00a0c90f57da} - マルチメディア デバイス:
{4d36e96c-e325-11ce-bfc1-08002be10318} - カメラ デバイス:
{ca3e7ab9-b4c3-4ae6-8251-579ef933890f} - イメージング デバイス:
{6bdd1fc6-810f-11d0-bec7-08002be2092f} - システム デバイス:
{4D36E97D-E325-11CE-BFC1-08002BE10318} - 生体認証デバイス:
{53d29ef7-377c-4d14-864b-eb3a85769359} - 汎用ソフトウェア デバイス:
{62f9c741-b25a-46ce-b54c-9bccce08b6f2}
- USB バス デバイス (ハブとホスト コントローラー):
3.5 mm ヘッドホン: デバイス プロファイルに次の GUID を追加します。
- マルチメディア デバイス:
{4d36e96c-e325-11ce-bfc1-08002be10318} - オーディオ エンドポイント:
{c166523c-fe0c-4a94-a586-f1a80cfbbf3e}
- マルチメディア デバイス:
注:
実際の GUID は、特定のデバイスで異なる場合があります。