none
ローカルグループポリシーによるUSBメモリのデバイス制御ができません RRS feed

  • 質問

  • ローカルグループポリシーによるUSBメモリのデバイス制御ができません
    ローカルグループポリシーを使って、特定のUSBメモリのみ利用できるようにしたいと考えています。
    以下のように設定を行ったのですが、「このデバイスのインストールはシステムポリシーで許可されていません」と出てしまい、許可のポリシーが効きません。
    デバイスIDの設定方法が間違っているのでしょうか。

    【バージョン】

    Windows10 1903

    【ローカルグループポリシー】

    コンピュータの構成→管理用テンプレート→システム→デバイスのインストール→デバイスのインストール制限

    【設定方法】

    1.[これらのデバイスインスタンスIDと一致するデバイスのインストールを許可する]と[他のポリシー設定で記述されていないデバイスのインストールを禁止する]

    を有効
    2.[これらの~]の表示ボタンをクリックし、デバイスIDを入力
     デバイスIDについては、以下の方法IDを取得
     2-1.USBメモリを挿す
     2-2.エクスプローラからUSBメモリのドライブを右クリックし、プロパティを選択
     2-3.ハードウェアタブのプロパティをクリック
     2-4.詳細タブからハードウェアIDを選択し、値の項目で一番上の値をコピー
     
    3.レジストリにも設定が反映されていることを確認
    コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions
    AllowInstanceIDs=1
    DenyUnspecified=1
    コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\AllowInstanceIDs
    データにデバイスIDが入っていることを確認

    なお、設定時に一度挿したUSBメモリは上記グループポリシーを有効化する前に、USBメモリを挿した状態で、
    Windowsボタン→設定→Bluetoothとその他のデバイスからデバイスの削除をしないとすでにデバイスがインストールされてしまっているため、禁止のポリシーを有効としても利用できてしまいますので、削除をしてから検証しています。
    2019年12月2日 2:08

すべての返信

  • デバイス ID は

    USB\VID_045E&&PID_0123\01234567890123456789

    のように入力されていますか?


    Hebikuzure aka Murachi Akira

    2019年12月2日 3:20
  • USBSTOR\DiskELECOM__MF-CAU31________PMAP

    と入力しました。

    何かちょっと違いますね。上記のIDはどこを参照したものなのでしょうか?

    2019年12月2日 3:53
  • これですね。以下の情報を参考にしてます。

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeviceInstallation::DeviceInstall_Instance_IDs_Deny&Language=ja-jp

    それと「サポートされるバージョン: Windows Server または Windows 10 Version 1903 以降」である点も確認されると良いでしょう。


    Hebikuzure aka Murachi Akira

    2019年12月2日 12:59
  • ありがとうございます。

    以下の手順でデバイスインスタンスパスを確認たところ、パスが少し違ったので、デバイスマネージャーから確認し、その値をセットしましたが、前回同様「このデバイスのインストールはシステムポリシーで許可されていません」と表示されてしまいました。
    手持ちのUSBメモリ3つで試したのですが、どれも同じ結果でした。

    何か他に条件があったりするのでしょうか?

    ※OSはWindows10 1909です。


    【取得手順】

    1.USBメモリを挿す 2.エクスプローラからUSBメモリのドライブを右クリックし、プロパティを選択 3.ハードウェアタブのプロパティをクリック 4.詳細タブからデバイスインスタンスパスを選択し、値の項目で一番上の値をコピー

    この手順の場合、デバイスインスタンスパスが「USBSTOR\DISK&VEN_ELECOM&PROD_MF-CAU31&REV_PMAP\070883803320BD67&0」

    だったため、デバイスマネージャよりデバイスインスタンスパスを取得

    1.デバイスマネージャ→ユニバーサルシリアルバスコントローラ→USB大容量記憶装置のプロパティを選択

    2.デバイスインスタンスパスを参照し、以下の値をローカルグループポリシーにセット 「USB\VID_056E&PID_6035\070883803320BD67」



    2019年12月4日 2:04
  • kiusoilさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    その後のご状況いかがでしょうか。

    何か情報をお持ちの方がいたら、共有いただけますと幸いです。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月19日 8:18
    モデレータ
  • もう解決しているかもですが・・・

    他社製品でインスタンスIDで許可登録する場合、末尾 &0をトリムした値と「値を含む」という条件で許可しています。

    つまり下記67の後が「&1」でも「&0」でも許可されるようにできました。

    Microsoftのグループポリシーの場合、ワイルドカード文字がOKなのかは知りませんが・・・

    USB\VID_056E&PID_6035\070883803320BD67_

    などでいけないでしょうか?

    なお、調べて見るとドライバテスト用のツールもあるみたいですね。

    https://docs.microsoft.com/ja-jp/windows-hardware/drivers/devtest/devcon-find


    • 編集済み JJJ-Ran 2019年12月26日 9:33
    2019年12月26日 9:33
  • 回答ありがとうございます。

    https://docs.microsoft.com/ja-jp/archive/blogs/askcorejp/12388

    を見る限り、"_"でワイルドカードはOKそうだったので、「USB\VID_056E&PID_6035\070883803320BD67_」で試してみましたが、結果変わらずでした。

    USBメモリも3本くらい試したのですが、ダメだったので、この機能の利用はちょっと厳しいのかなと感じています。
    2020年1月10日 10:07
  • できませんでしたか、すみません。あまり複雑なことはできない仕様なのかもしれませんね。

    _070883803320BD67_

    など短くしても無理でしょうね・・・いけたとしてもたまたま同一のUSB装置(メーカが違う)のも対象となってしまいますし。

    サードパーティで年間保守がお手頃なUSB監視制御製品が出そろってますので、そちらを検討するのもありではないかと思います。

    2020年1月14日 6:59