Um dos maiores desafios para um administrador de TI em uma empresa é bloquear o acesso a dispositivos como USB , Disco Rígido Externo^{(External Hard Drive)} e até Impressoras aos dispositivos da organização. Para tornar isso um pouco mais fácil, a Microsoft lançou o recurso Diretiva de Grupo em Camadas^{(Layered Group Policy feature)} que dá aos administradores a capacidade de dividir quais dispositivos podem ser instalados em máquinas em toda a organização.

O que é a Diretiva de Grupo^{(Group Policy)} em Camadas no Windows 11 ?

Essa Diretiva de Grupo^{(Group Policy)} visa garantir que as máquinas obtenham menos corrupção, o número de casos de suporte caia e o mais importante é reduzir o roubo de dados. A política garante a restrição de qualquer instalação, ou seja, o uso de dispositivos tanto no ambiente interno quanto no externo é bloqueado. Os administradores de TI podem optar por dispositivos pré-autorizados a serem usados/instalados.

Disponível^(Available) aqui, o script garante que nem todas as classes sejam bloqueadas:

Computer Configuration > System > Device Installation > Device Installation Restrictions

isso significa que, se você optar por bloquear o uso do dispositivo USB , ele apenas o bloqueará. Dando um passo à frente, o novo recurso resolve o problema anterior em que vários conjuntos precisam ser criados para evitar conflitos. Em vez disso, você tem uma camada hierárquica de Instance ID > Device ID > Class > Removable propriedade do dispositivo removível.

Como aplicar a Diretiva de Grupo em Camadas^{(Layered Group Policy)} no Windows 11

A primeira política que você precisa habilitar é — Aplicar ordem de avaliação em camadas para permitir e impedir as políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Uma vez feito, há um conjunto adicional de políticas, e você precisa manter a ordem hierárquica ( IDs de instância do dispositivo ^(Device)IDs > Device IDs > Device Classe de configuração do dispositivo > Dispositivos > Removable ) em mente. Aqui estão as políticas relacionadas a cada um:

IDs de instância do dispositivo

• Impedir^(Prevent) a instalação de dispositivos usando drivers que correspondam a esses IDs de instância de dispositivo^(IDs)
• Permita^(Allow) a instalação de dispositivos usando drivers que correspondam a esses IDs de instância de dispositivo .

IDs de dispositivos

• Impedir^(Prevent) a instalação de dispositivos usando drivers que correspondam a esses IDs de dispositivo
• Permitir^(Allow) a instalação de dispositivos usando drivers que correspondam a esses IDs de dispositivo

Classe de configuração do dispositivo

• Impedir^(Prevent) a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivos
• Permita^(Allow) a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivos.

Dispositivos removíveis

• Impedir^(Prevent) a instalação de dispositivos removíveis

Configure cada um deles adicionando o ID do dispositivo ou o ID da classe e aplique as alterações.

A Microsoft^(Microsoft) recomenda o uso dessa política em vez da configuração de política " Impedir a instalação de dispositivos não descritos por outras configurações de^{(Prevent installation of devices not described by other policy settings)} política " devido à estrutura em camadas.

Como encontrar o ID de hardware^{(Hardware ID)} ou ID compatível?

• Abra o Gerenciador de Dispositivos^{(Device Manager)} usando Win + X , seguido de M.
• Localize o dispositivo. Clique com o botão direito do mouse e selecione Propriedades
• Mude para a guia Detalhes
• Clique^(Click) no menu suspenso Propriedade^(Property) e aqui você pode selecionar ID de hardware, ID de classe e outros detalhes. O valor exato estará disponível na seção de valor.

Como adicionar IDs de dispositivo^{(Device IDs)} à lista de permissões^(Allow) ?

• Abra a política— Permitir a instalação de dispositivos que correspondam a qualquer um desses IDs de dispositivo^{(Allow installation of devices that match any of these device IDs)} .
• Selecione Ativado^{(Select Enabled)} e clique no botão Mostrar^(Show) em Opções.
• Adicionar ID compatível^{(Add Compatible ID)} ou ID de hardware^{(Hardware ID)} à lista
• Aplique as alterações.

Você também pode bloquear a instalação de dispositivos específicos usando as políticas de prevenção de instalação.^(Prevent)

Como permitir que os administradores substituam as restrições de instalação do dispositivo?

Existe uma política específica para isso que você pode habilitar. Uma vez ativado, os membros do grupo Administradores^{(Administrators)} podem usar o assistente Adicionar hardware^{(Add Hardware)} ou o assistente de atualização de driver para instalar e atualizar o dispositivo.

Como configurar um tempo limite para impor a mudança de política?

Se você quiser impor a alteração de política, será necessário reinicializar. Uma configuração permite configurar um tempo limite^(Timeout) de reinicialização exibido ao usuário final para garantir que não haja perda de dados.

Espero que a postagem tenha explicado claramente a você sobre a Diretiva de Grupo em Camadas^{(Layered Group Policy)} no Windows 11 .

A política^{(The policy)} também está disponível no Windows 10  como parte da versão opcional do cliente “C” de julho de 2021^{(July 2021)} e será disponibilizada de forma mais ampla a partir da versão de terça-feira de atualização de ^{(Update Tuesday)}agosto de 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a cоmpany is to block access to devices such as USB, External Hard Drive, and even Printers to thе organization’s devices. To make this a little easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Como adicionar Group Policy Editor para Windows 10 Home Edition

• Como habilitar ou desativar Win32 Long Paths no Windows 10

• Delete Perfis e arquivos antigos do usuário automaticamente em Windows 10

• Como desativar Picture Password Sign-In option em Windows 10

• Como rastrear User Activity em WorkGroup Mode no Windows 11/10

• Como forçar Group Policy Update em Windows 10

• Group Policy Configurações em falta no Windows 10

• Como Import or Export Group Policy settings em Windows 10

• Como limitar a carga da bateria a uma certa porcentagem no Windows 11/10

• Ativar, Autocorrect and Highlight Misspelled Words Disable - Windows 10

• Como manter seu monitor ligado quando o laptop está fechado no Windows 11/10

• Como especificar Minimum and Maximum PIN length em Windows 10

• Access Local User and Group Management em Windows 10 Home

• Ativar ou Desativar Fast Logon Optimization em Windows 10

• Como mesclar pastas facilmente no Windows 11/10

• Como instalar o Group Policy editor (gpedit.msc)

• Limit Reservable Bandwidth Setting em Windows 10

• Group Policy Registry Location em Windows 10

• Como solucionar problemas comuns de áudio no Windows 11/10

• Como agendar um arquivo em lote para execução no Windows 11/10 usando o Agendador de tarefas