Una delle maggiori sfide per un amministratore IT in un'azienda è bloccare l'accesso a dispositivi come USB , disco rigido esterno^{(External Hard Drive)} e persino stampanti ai dispositivi dell'organizzazione. Per rendere questo un po' più semplice, Microsoft ha implementato la funzionalità Criteri di gruppo a più livelli^{(Layered Group Policy feature)} che offre agli amministratori la possibilità di dividere i dispositivi che possono essere installati sui computer dell'organizzazione.

Che cosa sono i criteri di gruppo^{(Group Policy)} a più livelli in Windows 11 ?

Questa politica di gruppo^{(Group Policy)} mira a garantire che le macchine subiscano meno danneggiamenti, il numero di richieste di supporto diminuisca e la cosa più importante è ridurre il furto di dati. La politica garantisce di limitare qualsiasi installazione, ovvero l'utilizzo dei dispositivi sia nell'ambiente interno che esterno è bloccato. Gli amministratori IT possono scegliere di preautorizzare i dispositivi da utilizzare/installare.

Disponibile^(Available) qui, lo script assicura che non tutte le classi siano bloccate:

Computer Configuration > System > Device Installation > Device Installation Restrictions

ciò significa che se hai scelto di bloccare l' utilizzo del dispositivo USB , lo blocca solo. Facendo un passo avanti, la nuova funzionalità risolve il problema precedente in cui è necessario creare più set per evitare conflitti. Al contrario, hai la stratificazione gerarchica Instance ID > Device ID > Class > Removable Proprietà dispositivo rimovibile.

Come applicare i criteri di gruppo a più livelli^{(Layered Group Policy)} in Windows 11

Il primo criterio che devi abilitare è — Applicare l'ordine di valutazione a più livelli per i criteri Consenti e Impedisci l'installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Una volta terminato, è disponibile un set aggiuntivo di criteri ed è necessario assicurarsi di tenere presente l'ordine gerarchico ( ID istanza dispositivo ^(Device)IDs > Device IDs > Device Classe di configurazione dispositivo > Dispositivi > Removable ). Ecco le politiche relative a ciascuno:

ID istanza del dispositivo

• Impedisci^(Prevent) l'installazione di dispositivi utilizzando driver che corrispondono a questi ID di istanza del dispositivo^(IDs)
• Consenti^(Allow) l'installazione di dispositivi utilizzando driver che corrispondono a questi ID^(IDs) di istanza del dispositivo .

ID dispositivo

• Impedisci^(Prevent) l'installazione di dispositivi che utilizzano driver che corrispondono a questi ID dispositivo
• Consenti^(Allow) l'installazione di dispositivi che utilizzano driver che corrispondono a questi ID dispositivo

Classe di configurazione del dispositivo

• Impedisci^(Prevent) l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione del dispositivo
• Consenti^(Allow) l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di installazione del dispositivo.

Dispositivi rimovibili

• Impedire^(Prevent) l'installazione di dispositivi rimovibili

Configura^(Configure) ciascuno di essi aggiungendo l'ID dispositivo o l'ID classe e applica le modifiche.

Microsoft consiglia di utilizzare questo criterio sull'impostazione dei criteri " Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri^{(Prevent installation of devices not described by other policy settings)} " a causa della struttura a più livelli.

Come trovare l' ID hardware^{(Hardware ID)} o l'ID compatibile?

• Apri Gestione dispositivi^{(Device Manager)} usando Win + X , quindi premi M.
• Individua il dispositivo. Fare clic con il pulsante destro del mouse su di esso, quindi selezionare Proprietà
• Passa alla scheda Dettagli
• Fai clic^(Click) sul menu a discesa Proprietà^(Property) e qui puoi selezionare l'ID hardware, l'ID classe e altri dettagli. Il valore esatto sarà disponibile nella sezione del valore.

Come aggiungere ID dispositivo^{(Device IDs)} all'elenco Consenti^(Allow) ?

• Apri il criterio : consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo^{(Allow installation of devices that match any of these device IDs)} .
• Seleziona Abilitato^{(Select Enabled)} , quindi fai clic sul pulsante Mostra^(Show) in Opzioni.
• Aggiungi ID compatibile^{(Add Compatible ID)} o ID hardware^{(Hardware ID)} all'elenco
• Applicare le modifiche.

È inoltre possibile bloccare l'installazione di dispositivi specifici utilizzando i criteri di Impedisci installazione.^(Prevent)

Come consentire agli amministratori di ignorare le restrizioni di installazione del dispositivo?

C'è una politica specifica per questo che puoi abilitare. Una volta abilitato, i membri del gruppo Administrators possono utilizzare la procedura guidata Aggiungi hardware^{(Add Hardware)} o la procedura guidata di aggiornamento del driver per installare e aggiornare il dispositivo.

Come impostare un timeout per imporre la modifica dei criteri?

Se si desidera applicare la modifica del criterio, è necessario riavviare. Un'impostazione consente di impostare un timeout di riavvio visualizzato per l'utente finale per assicurarsi che non vi siano perdite di dati.

Spero che il post ti abbia spiegato chiaramente i criteri di gruppo a più livelli^{(Layered Group Policy)} in Windows 11 .

Il criterio^{(The policy)} è disponibile anche in Windows 10  come parte della versione client "C" facoltativa di luglio 2021^{(July 2021)} e sarà reso più ampiamente disponibile a partire dalla versione di aggiornamento di martedì di ^{(Update Tuesday)}agosto 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

Onе of the biggest challenges for an IT admin in a company is to block access to devices such as USB, External Hard Drive, and even Printers to the organization’s dеvices. To make this a little easier, Microѕoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Come aggiungere Group Policy Editor a Windows 10 Home Edition

• Come abilitare o disabilitare Win32 Long Paths su Windows 10

• Delete Vecchi profili utente e file automaticamente in Windows 10

• Come disabilitare Picture Password Sign-In option in Windows 10

• Come tenere traccia User Activity in WorkGroup Mode su Windows 11/10

• Attiva o Disattiva Fast Logon Optimization in Windows 10

• Come disabilitare l'avvio rapido in Windows 11/10 (e perché dovresti)

• i siti di reindirizzamento da IE a Microsoft Edge utilizzando Group Policy in Windows 10

• Come controllare lo stato del disco rigido in Windows 11/10

• Cambio Delivery Optimization Cache Drive per Windows Updates

• Come forzare Group Policy Update in Windows 10

• Access Local User and Group Management in Windows 10 Home

• Come risolvere "Installazione incompleta a causa di una connessione a consumo" in Windows 11/10

• Disabilita Internet Explorer 11 come standalone browser utilizzando Group Policy

• Errore durante l'apertura locale Group Policy Editor in Windows 10

• Come Import or Export Group Policy settings in Windows 10

• 6 migliori strumenti di riparazione gratuiti per Windows 11/10

• Come pianificare un file batch da eseguire in Windows 11/10 utilizzando l'Utilità di pianificazione

• Group Policy Registry Location in Windows 10

• Come specificare Minimum and Maximum PIN length in Windows 10