Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Depuis le Patch Tuesday d’août 2021, Microsoft a introduit un nouveau paramètre de stratégie de groupes (GPO) permettant une meilleure gestion des périphériques d’une machine. Le paramètre Apply Layered order of evaluation for Allow and Prevent device installation policies s’adresse à Windows 10, Windows 11 et prochainement Windows Server. Le paramètre a été backporté sur toutes les versions de Windows 10 supportées à l’occasion du Patch Tuesday d’août.

On retrouvait déjà les Device Installation Policies mais qui démontrait des limitations.

Il n’est plus nécessaire de connaître les différentes classes de périphériques pour empêcher l'installation des classes USB uniquement. La nouvelle stratégie vous permet de concentrer les scripts sur les classes USB et d'être sûr qu'aucune autre classe ne sera bloquée, sauf si l'administrateur le spécifie.

En outre auparavant, chaque politique de prévention (Prevent) avait la priorité sur toute politique d'autorisation (allow), ce qui créait un ensemble de définitions et un ensemble rigide d'autorisation/prévention de périphériques, provoquant des problématiques de mise à jour chaque fois qu'un nouvel ensemble de périphérique entrait sur le marché. Avec la nouvelle stratégie, Microsoft introduit une hiérarchisation dans l'ordre suivant :

  • ID de l'instance : le rang le plus élevé
  • IDs de matériel et IDs compatibles (Device IDs)
  • Classe
  • Propriété du périphérique amovible : le rang le plus bas

Le classement de l'identifiant du périphérique est évalué et, si le classement est le même, la priorité d'empêcher est donnée sur la priorité d'autoriser. Par exemple, les administrateurs peuvent empêcher toutes les classes USB et n'autoriser qu'un petit ensemble de périphériques USB par le biais d'identifiants matériels, car ils ont un rang plus élevé ; toutefois, la liste des autorisations ne prend le pas sur la liste des interdictions que lorsque les périphériques répertoriés dans la liste des autorisations sont connectés à la machine.

Plus d’informations sur : Manage Device Installation with Group Policy (Windows 10) - Windows Client Management | Microsoft Docs

Facebook Like