提示
此 CSP 包含 ADMX 支援的原則,需要特殊的 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料類型指定為 <Format>chr</Format>。 如需詳細資訊,請參閱 瞭解 ADMX 支援的原則。
SyncML 的承載必須是 XML 編碼;對於此 XML 編碼,您可以使用各種線上編碼器。 若要避免對承載進行編碼,如果您的 MDM 支援,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
AllowInstallationOfMatchingDeviceIDs
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
此原則設定可讓您指定允許 Windows 安裝之裝置的隨插即用硬體識別碼和相容識別碼清單。 只有在啟用「跨所有裝置相符準則套用允許和防止裝置安裝原則的分層評估順序」原則設定時,才會使用此原則設定,不過它也可以與舊版原則定義的「防止安裝未由其他原則設定描述的裝置」原則設定搭配使用。
當此原則設定與「套用跨所有裝置相符準則的允許和防止裝置安裝原則的分層評估順序」原則設定時,Windows 可以安裝或更新任何裝置,其隨插即用硬體識別碼或相容識別碼會出現在您建立的清單中,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:
- 防止安裝符合這些裝置 ID 的裝置
- 防止安裝符合任何這些裝置執行個體 ID 的裝置。
如果此原則設定未啟用「套用允許和防止跨所有裝置相符準則的裝置安裝原則的分層評估順序」原則設定,則任何其他特別防止安裝的原則設定都會優先。
注意
「防止安裝未由其他原則設定描述的裝置」原則設定已取代為支援的目標 Windows 10 版本的「套用分層評估順序,以允許和阻止跨所有裝置相符準則的裝置安裝原則」原則設定。 建議您盡可能使用「在所有裝置相符準則上套用允許和防止裝置安裝原則的分層評估順序」原則設定。
或者,如果此原則設定與 [防止安裝未由其他原則設定描述的裝置] 原則設定一起啟用,則允許 Windows 安裝或更新任何裝置,其隨插即用硬體識別碼或相容識別碼出現在您建立的清單中,除非另一個原則設定特別防止該安裝 (,例如「防止安裝符合任何這些裝置識別碼的裝置」原則設定, 「防止安裝這些裝置類別的裝置」原則設定、「防止安裝符合任何這些裝置實例識別碼的裝置」原則設定,或「防止安裝卸除式裝置」原則設定) 。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,且沒有其他原則設定描述裝置,則「防止安裝其他原則設定未描述的裝置」原則設定會決定是否可以安裝裝置。
周邊裝置可以由其 硬體身分識別來指定。 如需常見識別碼結構的清單,請參閱 裝置識別碼格式。 在推出設定之前測試設定,以確保它允許預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_IDs_Allow |
| 易記名稱 | 允許安裝符合任何這些裝置識別碼的裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 允許裝置識別碼 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例可讓 Windows 安裝裝置識別碼為 USB\Composite 或 USB\Class_FF 的相容裝置。 若要設定多個類別,請使用作為  分隔符號。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_IDs_Allow_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceInstanceIDs
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 2004 版 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
此原則設定可讓您為允許 Windows 安裝之裝置指定隨插即用裝置實例識別碼清單。 只有在啟用「跨所有裝置相符準則套用允許和防止裝置安裝原則的分層評估順序」原則設定時,才會使用此原則設定,不過它也可以與舊版原則定義的「防止安裝未由其他原則設定描述的裝置」原則設定搭配使用。
當此原則設定與「套用跨所有裝置相符準則的允許和防止裝置安裝原則的分層評估順序」原則設定時,Windows 可以安裝或更新任何裝置,其隨插即用裝置實例識別碼會出現在您建立的清單中,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:
- 防止安裝符合任何這些裝置執行個體 ID 的裝置。
如果此原則設定未啟用「套用允許和防止跨所有裝置相符準則的裝置安裝原則的分層評估順序」原則設定,則任何其他特別防止安裝的原則設定都會優先。
注意
「防止安裝未由其他原則設定描述的裝置」原則設定已取代為支援的目標 Windows 10 版本的「套用分層評估順序,以允許和阻止跨所有裝置相符準則的裝置安裝原則」原則設定。 建議您盡可能使用「在所有裝置相符準則上套用允許和防止裝置安裝原則的分層評估順序」原則設定。
或者,如果此原則設定與 [防止安裝未由其他原則設定描述的裝置] 原則設定一起啟用,則允許 Windows 安裝或更新任何裝置,其隨插即用裝置實例識別碼出現在您建立的清單中,除非另一個原則設定特別防止該安裝 (,例如「防止安裝符合任何這些裝置識別碼的裝置」原則設定, 「防止安裝這些裝置類別的裝置」原則設定、「防止安裝符合任何這些裝置實例識別碼的裝置」原則設定,或「防止安裝卸除式裝置」原則設定) 。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,且沒有其他原則設定描述裝置,則「防止安裝其他原則設定未描述的裝置」原則設定會決定是否可以安裝裝置。
周邊裝置可以由其 裝置實例識別碼指定。 在推出設定之前測試設定,以確保它允許預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Instance_IDs_Allow |
| 易記名稱 | 允許安裝符合任何這些裝置執行個體識別碼的裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 允許實例識別碼 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Instance_IDs_Allow_List" value="1USB\VID_1F75&PID_0917\47802411805883"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
AllowInstallationOfMatchingDeviceSetup類別
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
此原則設定可讓您針對 Windows 安裝的驅動程式套件指定裝置安裝類別全域唯一識別碼) (GUID 清單。 只有在啟用「跨所有裝置相符準則套用允許和防止裝置安裝原則的分層評估順序」原則設定時,才會使用此原則設定,不過它也可以與舊版原則定義的「防止安裝未由其他原則設定描述的裝置」原則設定搭配使用。
當此原則設定與「套用跨所有裝置相符準則的允許和防止裝置安裝原則的分層評估順序」原則設定時,Windows 可以安裝或更新驅動程式套件,其裝置安裝類別 GUID 會出現在您建立的清單中,除非階層中相同或更高層的另一個原則設定特別防止該安裝, 例如下列原則設定:
- 防止安裝這些裝置類別的裝置
- 防止安裝符合這些裝置 ID 的裝置
- 防止安裝符合任何這些裝置執行個體 ID 的裝置。
如果此原則設定未啟用「套用允許和防止跨所有裝置相符準則的裝置安裝原則的分層評估順序」原則設定,則任何其他特別防止安裝的原則設定都會優先。
注意
「防止安裝未由其他原則設定描述的裝置」原則設定已取代為支援的目標 Windows 10 版本的「套用分層評估順序,以允許和阻止跨所有裝置相符準則的裝置安裝原則」原則設定。 建議您盡可能使用「在所有裝置相符準則上套用允許和防止裝置安裝原則的分層評估順序」原則設定。
或者,如果此原則設定與「防止安裝其他原則設定未描述的裝置」原則設定一起啟用,則允許 Windows 安裝或更新驅動程式套件,其裝置安裝類別 GUID 會出現在您建立的清單中,除非另一個原則設定特別防止安裝 (例如,「防止安裝符合這些裝置標識碼的裝置」原則設定, 「防止安裝這些裝置類別的裝置」原則設定、「防止安裝符合任何這些裝置實例識別碼的裝置」原則設定,或「防止安裝卸除式裝置」原則設定) 。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,且沒有其他原則設定描述裝置,則「防止安裝其他原則設定未描述的裝置」原則設定會決定是否可以安裝裝置。
周邊裝置可以由其 硬體身分識別來指定。 如需常見識別碼結構的清單,請參閱 裝置識別碼格式。 在推出設定之前測試設定,以確保它允許預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Classes_Allow |
| 易記名稱 | 允許使用符合這些裝置安裝類別的驅動程式來安裝裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 允許裝置類別 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例可讓 Windows 安裝:
- 軟碟, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM,類別 = {4d36e965-e325-11ce-bfc1-08002be10318}
- 數據機,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
將類別 GUID 括在大括弧 {}內。 若要設定多個類別,請使用作為  分隔符號。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="DeviceInstall_Classes_Allow_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
EnableInstallationPolicyLayering
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ [10.0.20348.256] 及更新版本 ✅ Windows 10 版本 1809 KB5005102 [10.0.17763.2145] 及更新版本 ✅Windows 10 版本 1903 [10.0.18362.1714] 和更新版本 ✅Windows 10 版本 2004 和 KB5004296 [10.0.19041.1151] 及更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering
此原則設定會變更當多個安裝原則設定適用於指定裝置時,套用 [允許] 和 [防止] 原則設定的評估順序。 啟用此原則設定,以確保根據已建立的階層套用重疊的裝置比對準則,其中更具體的比對準則會取代較不具體的比對準則。 指定裝置比對準則之原則設定的評估階層式順序如下:
裝置執行個體 ID 裝置 > ID 裝置 > 設定類別 > 卸除式裝置。
裝置執行個體識別碼。
- 防止使用符合這些裝置執行個體識別碼的驅動程式來安裝裝置
- 允許使用符合這些裝置執行個體識別碼的驅動程式來安裝裝置。
裝置 ID。
- 防止使用符合這些裝置標識碼的驅動程式安裝裝置
- 允許使用符合這些裝置標識碼的驅動程式來安裝裝置。
裝置設定類別。
- 防止使用符合這些裝置安裝類別的驅動程式來安裝裝置
- 允許使用符合這些裝置安裝類別的驅動程式來安裝裝置。
卸除式裝置。
- 防止安裝可拆卸設備。
注意
此原則設定提供比「防止安裝其他原則設定未描述的裝置」原則設定更細微的控制。 如果同時啟用這些衝突的原則設定,則會啟用「套用跨所有裝置相符準則的允許和防止裝置安裝原則的分層評估順序」原則設定,並忽略其他原則設定。
如果您停用或未設定此原則設定,則會使用預設評估。 預設情況下,所有「阻止安裝」。 原則設定優先於允許 Windows 安裝裝置的任何其他原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Allow_Deny_Layered |
| 易記名稱 | 在所有裝置相符準則中套用 [允許] 和 [防止] 裝置安裝原則的分層評估順序 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 允許拒絕分層 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/EnableInstallationPolicyLayering</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><Data id="AllowDenyLayered" value="1"/></Data>;
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
您也可以使用 Intune 中的自定義配置檔來變更裝置安裝原則設定的評估順序。
防止裝置中繼資料從網路
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventDeviceMetadataFromNetwork
此原則設定可讓您防止 Windows 下載與裝置中繼資料相關聯的應用程式。
如果您啟用此原則設定,Windows 不會下載與已安裝裝置的裝置中繼資料相關聯的應用程式。 此原則設定會覆寫 [裝置安裝設定] 對話方塊中的設定 (控制台 > [系統和安全性>系統>] 進階系統設定 > [硬體] 索引標籤) 。
如果您停用或未設定此原則設定,則 [裝置安裝設定] 對話方塊中的設定會控制 Windows 是否下載與裝置中繼資料相關聯的應用程式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceMetadata_PreventDeviceMetadataFromNetwork |
| 易記名稱 | 防止自動下載與裝置中繼資料相關聯的應用程式 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置中繼資料 |
| 登錄值名稱 | 防止裝置中繼資料從網路 |
| ADMX 檔案名稱 | 裝置設定.admx |
PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
此原則設定可讓您防止安裝任何其他原則設定未特別描述的裝置。
注意
此原則設定已取代為「套用跨所有裝置相符準則的允許和防止裝置安裝原則的分層評估順序」原則設定,以提供更細微的控制。 建議您使用「跨所有裝置相符準則套用允許和防止裝置安裝原則的分層評估順序」原則設定,而不是此原則設定。
如果您啟用此原則設定,則 Windows 無法安裝或更新任何裝置的驅動程式套件,而這些裝置未由「允許安裝符合任何這些裝置標識碼的裝置」、「允許安裝符合任何這些裝置實例標識碼的裝置」原則設定所描述。
如果您停用或未設定此原則設定,則允許 Windows 安裝或更新「防止安裝符合任何這些裝置標識碼的裝置」、「防止安裝符合任何這些裝置識別碼的裝置」、「防止安裝符合任何這些裝置實例識別碼的裝置」、 或 [防止安裝卸除式裝置] 原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Unspecified_Deny |
| 易記名稱 | 防止安裝其他原則設定未描述的裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 拒絕未指定 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例可防止 Windows 安裝任何其他原則設定未描述的裝置。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DenyUnspecified" value="1"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
您也可以使用 Intune 中的自定義配置檔來封鎖安裝。
PreventInstallationOfMatchingDeviceIDs
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
此原則設定可讓您針對 Windows 無法安裝之裝置指定隨插即用硬體識別碼和相容識別碼的清單。 根據預設,此原則設定優先於任何其他允許 Windows 安裝裝置的原則設定。
注意
若要啟用 [允許安裝符合任何這些裝置實例識別碼的裝置] 原則設定,以取代適用裝置的此原則設定,請啟用 [套用分層評估順序] 以跨所有裝置相符準則的 [允許和防止裝置安裝原則] 原則設定。
如果您啟用此原則設定,則 Windows 無法安裝其硬體識別碼或相容識別碼出現在您建立的清單中的裝置。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,則可以安裝和更新裝置,以其他原則設定允許或防止的方式進行安裝和更新。
周邊裝置可以由其 硬體身分識別來指定。 如需常見識別碼結構的清單,請參閱 裝置識別碼格式。 在推出設定之前測試設定,以確保它封鎖預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_IDs_Deny |
| 易記名稱 | 防止安裝符合任何這些裝置 ID 的裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 拒絕裝置識別碼 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例可防止 Windows 安裝裝置識別碼為 USB\Composite 或 USB\Class_FF 的相容裝置。 若要設定多個類別,請使用作為 &#xF000; 分隔符號。 若要將原則套用至已安裝的相符裝置類別,請將 DeviceInstall_IDs_Deny_Retroactive 設為 true。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_IDs_Deny_List" value="1USB\Composite2USB\Class_FF"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
您也可以使用 Intune 中的自定義配置檔來封鎖禁止周邊裝置的安裝和使用。
例如,此自訂配置檔會封鎖硬體識別碼為 「USB\Composite」 和 「USB\Class_FF」 的 USB 裝置的安裝和使用,並套用至已安裝之相符硬體識別碼的 USB 裝置。
PreventInstallationOfMatchingDeviceInstanceIDs
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 2004 版 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
此原則設定可讓您針對 Windows 無法安裝之裝置指定隨插即用裝置實例識別碼清單。 此原則設定優先於任何其他允許 Windows 安裝裝置的原則設定。
如果您啟用此原則設定,則 Windows 無法安裝裝置實例識別碼出現在您建立的清單中的裝置。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,則可以安裝和更新裝置,以其他原則設定允許或防止的方式進行安裝和更新。
周邊裝置可以由其 裝置實例識別碼指定。 在推出設定之前測試設定,以確保它允許預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Instance_IDs_Deny |
| 易記名稱 | 防止安裝符合任何這些裝置執行個體識別碼的裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 拒絕實例識別碼 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝裝置實例識別碼為 USB\VID_1F75 和 USB\VID_0781 的相容裝置。 若要設定多個類別,請使用作為  分隔符號。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Instance_IDs_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Instance_IDs_Deny_List" value="1USB\VID_1F75&PID_0917\478024118058832USB\VID_0781&PID_5530\4C530001191214116305"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]
您也可以使用 Intune 中的自定義配置檔來封鎖禁止周邊裝置的安裝和使用。
例如,此自訂設定檔可防止安裝具有相符裝置執行個體 ID 的裝置。
若要在 Intune 中使用自定義配置檔來防止安裝具有相符裝置實例識別碼的裝置:
找出裝置執行個體識別碼。
&將裝置執行個體ID取代為&。 例如:替換USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0為USBSTOR\DISK&VEN_SAMSUNG&PROD_FLASH_DRIVE&REV_1100\0376319020002347&0。注意
請勿在值中使用空格。
將裝置執行個體識別碼
&取代為範例 SyncML。 將 SyncML 新增至 Intune 自訂裝置組態配置檔。
PreventInstallationOfMatchingDeviceSetupClasses
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
此原則設定可讓您針對 Windows 無法安裝的驅動程式套件指定裝置安裝類別全域唯一識別碼 (GUI) D 清單。 根據預設,此原則設定優先於任何其他允許 Windows 安裝裝置的原則設定。
注意
若要啟用 [允許安裝符合任何這些裝置標識碼的裝置] 和 [允許安裝符合任何這些裝置實例標識碼的裝置] 原則設定,以取代適用裝置的此原則設定,請啟用 [套用分層評估順序] 原則設定,以允許和防止跨所有裝置相符準則安裝原則」原則設定。
如果您啟用此原則設定,則 Windows 無法安裝或更新驅動程式套件,其裝置安裝類別 GUID 會出現在您建立的清單中。
如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。
如果您停用或未設定此原則設定,Windows 可以安裝和更新其他原則設定所允許或防止的裝置。
周邊裝置可以由其 硬體身分識別來指定。 如需常見識別碼結構的清單,請參閱 裝置識別碼格式。 在推出設定之前測試設定,以確保它封鎖預期的裝置。 理想情況下,測試硬體的各種實例。 例如,測試多個 USB 金鑰,而不是只測試一個。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支援的原則,需要 SyncML 格式進行設定。 如需 SyncML 格式的範例,請參閱啟用 原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DeviceInstall_Classes_Deny |
| 易記名稱 | 防止使用符合這些裝置安裝類別的驅動程式來安裝裝置 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 裝置安裝 > 裝置安裝限制 |
| 登錄機碼名稱 | 軟體\原則\Microsoft\Windows\裝置安裝\限制 |
| 登錄值名稱 | 拒絕裝置類別 |
| ADMX 檔案名稱 | 裝置安裝.admx |
範例:
若要啟用此原則,請使用下列 SyncML。 此範例會防止 Windows 安裝:
- 軟碟, ClassGUID = {4d36e980-e325-11ce-bfc1-08002be10318}
- CD ROM,類別 = {4d36e965-e325-11ce-bfc1-08002be10318}
- 數據機,ClassGUID = {4d36e96d-e325-11ce-bfc1-08002be10318}
將類別 GUID 括在大括弧 {}內。 若要設定多個類別,請使用作為  分隔符號。 若要將原則套用至已安裝的相符裝置類別,請將 DeviceInstall_Classes_Deny_Retroactive 設定為 true。
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">string</Format>
</Meta>
<Data><enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/><Data id="DeviceInstall_Classes_Deny_List" value="1{4d36e980-e325-11ce-bfc1-08002be10318}2{4d36e965-e325-11ce-bfc1-08002be10318}3{4d36e96d-e325-11ce-bfc1-08002be10318}"/></Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
驗證:
若要確認已套用原則,請檢查 C:\windows\INF\setupapi.dev.log,並查看記錄結尾附近是否列出下列詳細數據:
>>> [Device Installation Restrictions Policy Check]
>>> Section start 2018/11/15 12:26:41.659
<<< Section end 2018/11/15 12:26:41.751
<<< [Exit status: SUCCESS]