Windows11/10で階層化されたグループポリシーを適用する方法

企業のIT管理者にとって最大の課題の1つは、USB外付けハードドライブ(External Hard Drive)、さらには組織のデバイスへのプリンタなどのデバイスへのアクセスをブロックすることです。これを少し簡単にするために、Microsoftは、管理者が組織全体のマシンにインストールできるデバイスを分割できるようにする階層化グループポリシー機能を展開しました。(Layered Group Policy feature)

Windows 11の階層化されたグループポリシー(Group Policy)とは何ですか?

このグループポリシー(Group Policy)は、マシンの破損を減らし、サポートケースの数を減らすことを目的としています。最も重要なのは、データの盗難を減らすことです。ポリシーにより、インストールが制限されます。つまり、内部環境と外部環境の両方でのデバイスの使用がブロックされます。IT管​​理者は、使用/インストールする事前承認済みデバイスを選択できます。

Windows11の階層化されたグループポリシー

ここで利用できる(Available)スクリプトは、すべてのクラスがブロックされていないことを確認します。

Computer Configuration > System > Device Installation > Device Installation Restrictions

これは、 USB(USB)デバイスの使用をブロックすることを選択した場合、それをブロックするだけであることを意味します。この新機能は、一歩先を行くことで、競合を回避するために複数のセットを作成する必要があるという以前の問題を解決します。代わりに、階層化されたInstance ID > Device ID > Class > Removableデバイスプロパティがあります。

Windows11で階層化されたグループポリシー(Layered Group Policy)を適用する方法

有効にする必要がある最初のポリシーは次のとおりです—すべてのデバイス一致基準にデバイスインストールポリシーを許可および防止するための評価の階層化された順序を適用します(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)

完了すると、追加のポリシーセットがあり、階層的な順序( [デバイス(Device)インスタンスIDs > Device IDs > Deviceセットアップクラス] > Removableデバイス])を念頭に置く必要があります。それぞれに関連するポリシーは次のとおりです。

デバイスインスタンスID

  • これら(Prevent)のデバイスインスタンスIDと一致するドライバーを使用してデバイスをインストールしないようにする(IDs)
  • (Allow)これらのデバイスインスタンスIDに一致するドライバーを使用したデバイスのインストールを(IDs)許可します。

デバイスID

  • これら(Prevent)のデバイスIDと一致するドライバーを使用してデバイスをインストールしないようにする
  • (Allow)これらのデバイスIDと一致するドライバーを使用したデバイスのインストールを許可する

デバイスセットアップクラス

  • これら(Prevent)のデバイスセットアップクラスに一致するドライバーを使用してデバイスをインストールしないようにする
  • (Allow)これらのデバイスセットアップクラスに一致するドライバーを使用してデバイスをインストールできるようにします。

取り外しできる装置

  • (Prevent)リムーバブルデバイスのインストールを防ぐ

(Configure)デバイスIDまたはクラスIDを追加してそれぞれを構成し、変更を適用します。

(Microsoft)階層構造のため、「他のポリシー設定で説明されていないデバイスのインストールを防止する(Prevent installation of devices not described by other policy settings)」ポリシー設定よりも、このポリシーを使用することをお勧めします。

ハードウェアID(Hardware ID)または互換性のあるIDを見つける方法は?

互換性のあるIDを見つけるDeviceManager

  • Win + Xを使用してデバイスマネージャ(Device Manager)を開き、Mを押します。
  • デバイスを見つけます。それを右クリックし、[プロパティ]を選択します
  • [詳細]タブに切り替えます
  • [(Click)プロパティ(Property)]ドロップダウンをクリックすると、ここでハードウェアID、クラスID、およびその他の詳細を選択できます。正確な値は、値のセクションに表示されます。

デバイスID(Device IDs)許可(Allow)リストに追加するにはどうすればよいですか?

グループポリシーでデバイスのインストールを許可する

  • ポリシーを開きます—これらのデバイスIDのいずれかに一致するデバイスのインストールを許可します(Allow installation of devices that match any of these device IDs)
  • [有効]を選択(Select Enabled)し、[オプション]の下の[表示(Show)]ボタンをクリックします。
  • 互換性のあるID(Add Compatible ID)またはハードウェアID(Hardware ID)をリストに追加します
  • 変更を適用します。

インストールの防止(Prevent)ポリシーを使用して、特定のデバイスのインストールをブロックすることもできます。

管理者がデバイスのインストール制限を上書きできるようにするにはどうすればよいですか?

管理者がデバイスのインストール制限ポリシーを上書きできるようにする

これに固有のポリシーがあり、有効にすることができます。有効にすると、Administratorsグループのメンバーは、ハードウェアの追加(Add Hardware)ウィザードまたはドライバーの更新ウィザードを使用して、デバイスをインストールおよび更新できます。

ポリシーの変更を強制するためにタイムアウトを設定するにはどうすればよいですか?

ポリシーの変更を強制する場合は、再起動する必要があります。設定により、エンドユーザーに表示される再起動タイムアウトを設定して、データが失われないようにすることができます。(Timeout)

投稿で、Windows11の(Windows 11)階層化グループポリシー(Layered Group Policy)について明確に説明されていることを願っています。

このポリシーは、 (The policy)2021年7月(July 2021)のオプションの「C」クライアントリリース  の一部としてWindows 10でも利用可能であり、 2021年8月の(August 2021)更新火曜日(Update Tuesday)リリースからより広く利用できるようになります。



真綾 山田

About the author

私は、Windows 11/10 と Apple の最新の iOS プラットフォームの両方の経験を持つ iPhone と macOS の開発者です。10 年以上の経験があるため、両方のプラットフォームでファイルを作成および管理する方法を深く理解しています。私のスキルは、ファイルを作成するだけではありません。また、Apple 製品、その機能、およびそれらの使用方法についての深い知識も持っています。


Related posts