L'un des plus grands défis pour un administrateur informatique dans une entreprise est de bloquer l'accès à des périphériques tels que USB , disque dur externe^{(External Hard Drive)} et même des imprimantes aux périphériques de l'organisation. Pour rendre cela un peu plus facile, Microsoft a déployé la fonctionnalité de stratégie de groupe en couches^{(Layered Group Policy feature)} qui donne aux administrateurs la possibilité de diviser les appareils pouvant être installés sur les machines de l'organisation.

Qu'est-ce que la stratégie de groupe^{(Group Policy)} en couches dans Windows 11 ?

Cette stratégie de groupe^{(Group Policy)} vise à garantir que les machines sont moins corrompues, que le nombre de cas de support diminue et que le plus important est de réduire le vol de données. La politique garantit de restreindre toute installation, c'est-à-dire que l'utilisation des appareils à la fois dans l'environnement interne et externe est bloquée. Les administrateurs informatiques peuvent choisir de pré-autoriser les appareils à utiliser/installer.

Disponible^(Available) ici, le script s'assure que toutes les classes ne sont pas bloquées :

Computer Configuration > System > Device Installation > Device Installation Restrictions

cela signifie que si vous avez choisi de bloquer l' utilisation du périphérique USB , cela ne fera que le bloquer. En faisant un pas en avant, la nouvelle fonctionnalité résout le problème précédent où plusieurs ensembles doivent être créés pour éviter les conflits. Au lieu de cela, vous disposez d'une couche hiérarchique Instance ID > Device ID > Class > Removable propriété de périphérique amovible.

Comment appliquer la stratégie de groupe en couches^{(Layered Group Policy)} dans Windows 11

La première stratégie que vous devez activer est — Appliquer l'ordre d'évaluation en couches pour les stratégies d'installation d'appareil Autoriser et Empêcher sur tous les critères de correspondance d'appareil^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Une fois cela fait, il existe un ensemble supplémentaire de stratégies et vous devez vous assurer de garder à l'esprit l'ordre hiérarchique ( ID d' instance de périphérique ^(Device)IDs > Device IDs > Device Classe de configuration de périphérique > Périphériques > Removable ). Voici les politiques liées à chacun :

ID d'instance d'appareil

• Empêcher^(Prevent) l'installation de périphériques à l'aide de pilotes correspondant à ces ID d'instance de périphérique^(IDs)
• Autorisez^(Allow) l'installation de périphériques à l'aide de pilotes correspondant à ces ID^(IDs) d'instance de périphérique .

ID d'appareil

• Empêcher^(Prevent) l'installation de périphériques à l'aide de pilotes correspondant à ces ID de périphérique
• Autoriser^(Allow) l'installation de périphériques à l'aide de pilotes correspondant à ces ID de périphérique

Classe de configuration de l'appareil

• Empêcher^(Prevent) l'installation de périphériques à l'aide de pilotes correspondant à ces classes de configuration de périphérique
• Autoriser^(Allow) l'installation de périphériques à l'aide de pilotes correspondant à ces classes de configuration de périphérique.

Périphériques amovibles

• Empêcher^(Prevent) l'installation de périphériques amovibles

Configurez^(Configure) chacun d'eux en ajoutant l'ID de l'appareil ou l'ID de classe et appliquez les modifications.

Microsoft recommande d'utiliser cette stratégie plutôt que le paramètre de stratégie « Empêcher l'installation d'appareils non décrits par d'autres paramètres de^{(Prevent installation of devices not described by other policy settings)} stratégie » en raison de la structure en couches.

Comment trouver l' ID matériel^{(Hardware ID)} ou l'ID compatible ?

• Ouvrez le Gestionnaire^{(Device Manager)} de périphériques à l'aide de Win + X , puis appuyez sur M.
• Localisez l'appareil. Faites un clic droit dessus, puis sélectionnez Propriétés
• Passez à l'onglet Détails
• Cliquez^(Click) sur le menu déroulant Propriété^(Property) , et ici vous pouvez sélectionner l'ID du matériel, l'ID de classe et d'autres détails. La valeur exacte sera disponible dans la section valeur.

Comment ajouter des identifiants^{(Device IDs)} d'appareils à la liste d' autorisation^(Allow) ?

• Ouvrir la politique— Autoriser l'installation d'appareils qui correspondent à l'un de ces ID d'appareil^{(Allow installation of devices that match any of these device IDs)} .
• Sélectionnez Activé^{(Select Enabled)} , puis cliquez sur le bouton Afficher^(Show) sous Options.
• Ajouter un ID compatible^{(Add Compatible ID)} ou un ID matériel^{(Hardware ID)} à la liste
• Appliquez les modifications.

Vous pouvez également bloquer l'installation de périphériques spécifiques à l'aide des stratégies d'installation Empêcher .^(Prevent)

Comment autoriser les administrateurs à passer outre les restrictions d'installation des appareils ?

Il existe une politique spécifique à cela que vous pouvez activer. Une fois activé, les membres du groupe Administrateurs^{(Administrators)} peuvent utiliser l' assistant d' ajout de matériel^{(Add Hardware)} ou l'assistant de mise à jour du pilote pour installer et mettre à jour le périphérique.

Comment configurer un délai d'expiration pour appliquer le changement de stratégie ?

Si vous souhaitez appliquer le changement de stratégie, vous devez redémarrer. Un paramètre vous permet de configurer un délai^(Timeout) de redémarrage affiché à l'utilisateur final pour vous assurer qu'il n'y a pas de perte de données.

J'espère que le message vous a expliqué clairement la stratégie de groupe en couches^{(Layered Group Policy)} dans Windows 11 .

La politique^{(The policy)} est également disponible dans Windows 10  dans le cadre de la version facultative du client « C » de juillet 2021^{(July 2021)} et sera rendue plus largement disponible à partir de la version du mardi de la mise à jour d' ^{(Update Tuesday)}août 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in а company is to block acсess to devices such as USΒ, External Hard Drіve, and even Printers to thе organization’s devices. To mаke this a little easiеr, Microsoft has rolled oυt the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Comment ajouter Group Policy Editor à Windows 10 Home Edition

• Comment activer ou désactiver Win32 Long Paths sur Windows 10

• Delete Vieux profils d'utilisateur et fichiers automatiquement dans Windows 10

• Comment désactiver Picture Password Sign-In option dans Windows 10

• Comment suivre User Activity dans WorkGroup Mode sur Windows 11/10

• Comment activer la journalisation Windows Installer sur Windows 10

• Changer Windows Update Delivery Optimization Max Cache Age

• Changer Delivery Optimization Cache Drive pour Windows Updates

• Comment garder votre moniteur allumé lorsque l'ordinateur portable est fermé sous Windows 11/10

• Limit Reservable Bandwidth Setting en Windows 10

• Comment empêcher les utilisateurs de supprimer Diagnostic Data dans Windows 10

• Importation, Export, Repair, Restore Default Firewall Policy dans Windows 10

• Group Policy Registry Location en Windows 10

• Access Local User and Group Management en Windows 10 Home

• Comment réparer "Configuration incomplète en raison d'une connexion limitée" dans Windows 11/10

• Comment installer Group Policy editor (gpedit.msc)

• Comment fusionner facilement des dossiers dans Windows 11/10

• Customize Ctrl+Alt+Del Screen en utilisant Group Policy or Registry en Windows

• Comment désactiver le démarrage rapide dans Windows 11/10 (et pourquoi vous devriez)

• Comment mapper un Network Drive en utilisant Group Policy sur Windows 10