Zenn
📵

Microsoft Intune による特定の USB デバイスの制限

2023/02/16に公開約4,100字
Windows
Intune
tech

はじめに

ここでは Microsoft Intune を利用して特定の USB デバイスの「インストール」を制限する方法を記載します。以下の learn の手順を少しかみ砕いて説明している内容になります。
https://learn.microsoft.com/ja-jp/mem/intune/configuration/administrative-templates-restrict-usb

しくみ

本機能は Windows 10/11 の OS 自体が持つ機能となります。
これを Windows のグループ ポリシー経由で有効化することもできますし、Microsoft Intune の構成プロファイルから有効化することもできます。

手順概要

ざっくりとした流れは以下のようになります。

  1. 除外する USB デバイスの「デバイス インスタンス ID」を調べる
  2. デバイスのインストールを禁止するポリシーを設定
  3. 上記禁止ポリシーから除外するデバイスの設定

0. 除外する USB デバイスの「デバイス インスタンス ID」を調べる

今回は許可した USB のみを使用させるために、その USB 固有のデバイス インスタンス ID を調べておいて、そのデバイス インスタンス ID をもつ USB のみを許可することにします。

ハードウェア ID の調べ方はいくつかありますが、今回はエクスプローラーから、対象の USB のプロパティから値をとります。
対象の USB をどこかの PC に挿入し、その PC のエクスプローラーから下図の通り「USB メモリ」を右クリックし [プロパティ] から、[デバイス インスタンス パス] のプロパティ値をコピーしておきます。

ここでは以下のような値をメモ帳に残しておきます。

USBSTOR\DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_4000\IG20420200006158&0

これは「手順 2.」で使いますのでお忘れなきよう。

1. デバイスのインストールを禁止するポリシーの設定

実際に Microsoft Intune の管理コンソールにて構成プロファイルを作成します。

[デバイス] - [構成プロファイル] - [プロファイルの作成] - [Wiundows 10 以降] - [テンプレート] を選択

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

その後 [管理用テンプレート] - [作成] をクリック

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

「プロファイルの作成」の項目に移りますので、分かりやすい名前を入れて [次へ] をクリック

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

「構成設定」の項目で 「他のポリシー設定で」 で検索を行い、[他のポリシー設定で記述されていないデバイスのインストールを禁止する」 の項目を見つけ、[有効] を選択し、[OK] をクリック

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)


これで USB デバイスの全般のインストールの禁止が設定されることになります。

2. 上記禁止ポリシーから除外するデバイスの設定

次に、特定の USB のみを許可するポリシーも設定します。

先ほどの要領で 「これらのデバイス」 で検索を行い、[これらのデバイス ID と一致するデバイスのインストールを許可する」 の項目を見つけ、[有効] を選択し、「手順 0.」でメモをした以下の値を入れます。
USBSTOR\DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_4000\IG20420200006158&0
その後 [OK] をクリックします。

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

「スコープ タグ」の項目にて、今回はそのまま [次へ]

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

「割り当て」の項目にて、適用したいグループを選択し [次へ]

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

「確認及び作成」の項目にて、今回の設定が「有効」であることを確認し [作成]

Microsoft Intune の管理コンソール (https://endpoint.microsoft.com/)

以上で Microsoft Intune での設定が完了です。
あとは当該 PC にポリシーが適用するのを待ちましょう。

動作確認

実際にポリシーを設定した PC にて USB を挿入してみるだけです。
許可した USB 以外を挿入するとブロックされます!

ポリシーを設定した PC にて対象外の USB をブロック

注意事項

本機能の検証やテストの際にハマるポイントとして、既に一度 USB を認識させてしまった後にこのポリシーをテストして上手く動作しない、ということがあります。

USB を使用したことが無い PC でテストする、もしくは一度でも USB を挿入してしまった場合には、以下のように [デバイス マネージャー] で [デバイスのアンインストール] を実施してください。

繰り返しですが、ポリシー適用前に USB を挿してしまった場合には、忘れずに手動で [デバイスのアンインストール] だ!

参考 : グループ ポリシーの場合

参考までにグループポリシーで設定したい場合には、以下の項目になります。
場合によって、ローカル ポリシーなどで動きをテストとしてみても良いでしょう。

[コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール制限]


[他のポリシー設定で記述されていないデバイスのインストールを禁止する」


[これらのデバイス ID と一致するデバイスのインストールを許可する」

Discussion

ログインするとコメントできます