Microsoft Intune


Ograniczenie urządzeń USB w systemach operacyjnych Windo2ws 10/11

Data: 03.02.2023

Opis problemu:

Jednym z najczęstszych wektorów wycieku danych z organizacji jest kopiowanie treści firmowych na dyski zewnętrzne za pomocą interfejs-u USB. Jest to najprostszy i najszybszy sposób dla nieuczciwych użytkowników na kradzież danych, jednocześnie jest on trudny do wykrycia i udowodnienia bez specjalnie do tego celu przeznaczonego programowania.


Rozwiązanie problemu:

Jeżeli posiadamy licencje Microsoft zawierające usługę Microsoft Intune oraz nasze komputery są przypięte do tej usługi, za pomocą panelu centrum administracyjnego usługi Microsoft Endpoint Manager możemy ograniczyć możliwość korzystania z dowolnych urządzeń USB na naszych komputerach, czyli możemy również wykluczyć możliwość korzystania z dysków zewnętrznych. Najprościej będzie wskazać z jakich urządzeń będą mogli korzystać nasi użytkownicy, a resztę będziemy blokować.

Konfiguracja:

  • Przejdź do Urządzenia -> Profile konfiguracji -> Utwórz profil.

  • Wybieramy:

Platforma: Windows 10 i nowsze

Typ profilu: Szablony -> Szablony administracyjne

Klikamy Utwórz.

  • Wprowadzamy dowolną nazwę profilu oraz opcjonalnie wypełniamy pole opis, klikamy Dalej.

  • Wyszukujemy ustawienie o nazwie Zapobiegaj instalacji urządzeń nieopisanych w innych ustawieniach zasad, wybieramy Włączone następnie OK.


  • Aby zezwolić na korzystanie z konkretnych urządzeń musimy je dodać do zasad zezwalających na instalacje, możemy to zrobić za pomocą ustawień:

Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom urządzeń,

Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom wystąpień urządzeń,

Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

Ja to zrobię za pomocą ustawienia Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

W tym celu należy podać identyfikator GUID reprezentujący klasę konfiguracji urządzeń, które chcemy dopuści do użytkowania.

Class = Keyboard Class GUID = {4d36e96b-e325-11ce-bfc1-08002be10318}

Class = Mouse Class GUID = {4d36e96f-e325-11ce-bfc1-08002be10318}

Wybieramy Włączone następnie OK.

  • Wybieramy Dalej.

  • Tagi zakresu – opcjonalnie możemy przypisać tagi które mogą nam ułatwić filtrowanie, następnie klikamy Dalej.

  • Przypisania – wybieramy dla jakich użytkowników bądź urządzeń nasz profil ma mieć zastosowanie, możemy też dodać wykluczenia. Następnie wybieramy Dalej. Warto najpierw przetestować poprawne działanie na grupie testowej.

  • Przeglądanie + tworzenie – przedstawione zostaje podsumowanie naszej konfiguracji.


  • Po wybraniu pozycji Utwórz nasz profil zostanie zapisany. Trzeba pamiętać ze nowa konfiguracja nie zacznie działać od razu, czasami będzie trzeba poczekać nawet kilka godzin.

Czym się zajmujemy


  • Outsourcing IT
  • Umowy eksperckie, doradztwo, konsultacje
  • Szkolenia z technologii i produktów w ramach Microsoft 365
  • Wsparcie klienta przy projektach, wdrożeniach, migracjach
  • Solution Assessment: Modern Workplace & Security


© 2023 mscloud