Windows 10/11 のレイヤード グループ ポリシー ガイド

今日、組織はいくつかの課題に直面しています。 IT 管理者にとっては、外付けハード ドライブ、プリンター、その他の周辺機器などの許可されていないデバイスへのアクセスを制限することが、大きな問題となる可能性があります。

Microsoft がこの課題を認識しているのは良いことです。これがおそらく、組織のネットワーク上のデバイスに何をインストールできるかをネットワーク管理者が決定できるように、階層化されたグループ ポリシー機能を展開した理由です。

グループ ポリシー エディターは常に、IT 管理者にとって Windows で最も強力なツールの 1 つです。バージョンごとに、Microsoft はグループ ポリシー オブジェクト (GPO) を作成および管理する新しい方法を追加しました。

変更されていないことの 1 つは、企業内でグループ ポリシーを適切に実装する前に、グループ ポリシーがどのように機能するかを理解する必要があることです。このガイドでは、グループ ポリシーの管理の概要と、Windows 11 で階層化されたグループ ポリシーを使用する方法について説明します。

Windows デバイスのグループ ポリシー:概要

何よりもまず、グループ ポリシーとは何ですか?

これは、ネットワーク管理者が幅広い設定を管理および制御できる Windows の機能です。システム管理者がアプリケーション、ユーザー設定などを構成するための一元化された場所として機能します。

グループ ポリシー エディターを適切に使用すると、組織は同じネットワーク内のコンピューターやその他のデバイスのセキュリティを向上させることができます。脅威、マルウェア、その他の攻撃からネットワークを守るのに役立ちます。

グループ ポリシー オブジェクト (GPO) とは

GPO は、Microsoft 管理コンソールのグループ ポリシー エディターを使用して作成される設定のグループです。これらのオブジェクトは、ドメインやサイトなど、さまざまな Active Directory コンテナーに関連付けることができます。

グループ ポリシー オブジェクトは、セキュリティのためにさまざまな方法で使用できます。以下にいくつかのシナリオ例を示します:

• GPO を使用して、ユーザーがブラウザを起動したときや新しいタブを開いたときに表示されるランディング ページを設定できます。
• システム管理者は GPO を使用して、ネットワークで使用可能なプリンタのリストに表示されるネットワーク接続プリンタを定義できます。
• GPO を使用して、インターネット接続の制限や利用時間の設定など、一部のセキュリティ プラクティスやプロトコルを変更することもできます。

GPO はどのように処理されますか?

処理される GPO の階層は、ユーザーのデバイスに適用される設定に影響します。この階層は、ローカル、サイト、ドメイン、組織単位の略称である LSDOU と呼ばれます。

LSDOU では、ローカル コンピュータ ポリシーが最初に処理されます。これに続いて、サイト レベルからドメインへの広告ポリシーが続きます。最後に、組織単位が処理されます。ポリシーが LSDOU と競合する場合、最後に適用されたポリシーが優先されます。

グループ ポリシーを使用する理由

では、これらのポリシーを使用する必要がありますか?それらから恩恵を受けますか?

もちろん、できます。グループ ポリシーにより、機密データがハッカーから保護され、IT インフラストラクチャが適切に設定されていることが保証されます。

Windows が思ったほど安全ではないことを知って驚くでしょう。ありがたいことに、GPO はオペレーティング システム内のセキュリティ ギャップに対処するように設計されています。たとえば、ユーザーが仕事に必要なツールへのアクセスを制限するポリシーを実装できます。

ただし、グループ ポリシー エディターの利点は、セキュリティだけに限定されません。以下は、グループ ポリシーを実装するその他の利点です。

• システム管理 – グループ ポリシーを使用すると、時間のかかるタスクを簡素化できます。これを適用すると、組織に参加する新しいユーザーの環境を構成する時間を節約できます。
• パスワード ポリシー – 多くの組織がパスワードなしのポリシーで運営されており、他の組織では、ユーザーが有効期限のない資格情報を設定することさえ許可しています.ご存知のように、定期的に変更されていないパスワードは、ハッキングされるリスクがあります。グループ ポリシーを導入することで、組織はパスワードを作成する際に、長さや複雑さなどのパラメーターを含むルールを設定できます。
• ヘルスチェック – グループ ポリシーを使用して、アプリとソフトウェアの更新を展開できます。これにより、環境が健全になり、セキュリティの脅威から保護されます。

Windows 11 のレイヤード グループ ポリシー機能とは

レイヤード グループ ポリシー機能は、Windows 10/11 および Windows 11 デバイスで Microsoft によって導入された新しい機能です。このソフトウェアの巨人は、この機能について次のように説明しています。

「デバイスのインストール ポリシーは、組織全体のすべてのマシンへの内部および外部のデバイスのインストールを制限するために使用されますが、事前に承認された少数のデバイスの使用/インストールを許可します。すべてのデバイスには、システムが認識する「デバイス識別子」のセット (クラス、デバイス ID、およびインスタンス ID) があります。システム管理者によって作成される許可リストには、さまざまなデバイスを表す一連の識別子が含まれています。このようにして、システムはどのデバイスが許可され、どのデバイスがブロックされているかを理解します。」

この機能の目的は、マシンを破損から保護し、組織内のサポート ケースの数を減らし、最も重要なこととして、データの盗難を回避することです。このポリシーを適用して、内部または外部組織でのデバイスのインストールまたは使用を制限できます。基本的に、IT 管理者は、インストールまたは使用できるデバイスを完全に制御できます。

レイヤード グループ ポリシーは Windows 10/11 で機能しますか?

WinAero ユーザーの場合、階層化されたグループ ポリシーは、Windows 10 バージョン 21H2 で最初に展開されたため、新しいものではない可能性があります。他の Windows 10 バージョンと同様に、このポリシーは 2021 年 7 月にマイクロソフトによって展開されました。

制限ポリシーは、Windows 10/11 が既に使い慣れている特定のデバイス識別子を使用して設定できます。これらの識別子には、クラス、インスタンス ID、およびデバイス ID が含まれます。

この機能の許可リストは、システム管理者が作成する必要があり、それぞれが特定のデバイスを表す一連の識別子が含まれています。システムは、このリストを通じて、アクセスを許可できるデバイスとブロックするデバイスを決定できます。

このレイヤード グループ ポリシーを追加すると、システム管理者は次のメリットを得ることができます。

• 直感的な使い方 – このポリシーにより、システム管理者は他の USB クラスのインストールを防止するためにデバイス クラスを知る必要がなくなります。脚本だけに集中できるようになります。
• 柔軟性 – 直感的な使用法とは別に、このポリシーでは、インスタンス ID、ハードウェア ID、互換性 ID、クラス、リムーバブル デバイス プロパティの順序で階層化を導入しています。

Windows 11 で階層化されたグループ ポリシーを適用する方法

階層化されたグループ ポリシーは、次のパスに従って簡単にアクセスして適用できます。

コンピュータの構成 -> 管理用テンプレート -> システム -> デバイスのインストール -> デバイスのインストールの制限 .

Device Installation Restrictions フォルダに入ったら、最初に有効にする必要があるポリシーは、[すべてのデバイス一致基準でデバイス インストール ポリシーを許可および禁止するための階層化された評価順序を適用する] です。 .この後、階層的な順序で有効にする必要がある別のポリシーのセットがあります:デバイス インスタンス ID -> デバイス ID -> デバイス セットアップ クラス -> リムーバブル デバイス .

これらのそれぞれについてのより良い説明は次のとおりです。

• デバイス インスタンス ID – これは、システム内の新しいデバイスを識別することができる、システム提供の一意のデバイス識別文字列です。デバイス インスタンス ID は、一致するドライバーを使用する他のデバイスのインストールを防ぎます。同様に、これらの ID により、一致するドライバーを使用するデバイスのインストールが可能になります。
• デバイス ID – Windows はこの文字列を使用して、デバイスをドライバー パッケージに一致させます。この文字列は、非常に具体的なものから一般的なものまでさまざまです。デバイス ID 文字列は、ハードウェア ID または互換性 ID のいずれかです。デバイス ID は、一致するドライバーを使用するデバイスのインストールを妨げます。これらの ID は、一致するドライバーを使用するデバイスのインストールを許可することもできます。
• デバイス セットアップ クラス – クラスとも呼ばれ、これは別の種類の識別文字列です。ドライバー パッケージ内のデバイスにクラスを割り当てるのは、デバイスの製造元です。デバイス セットアップ クラスは、デバイスに一致するドライバーを使用するデバイスのインストールを防ぎます。また、デバイスに一致するドライバーを使用するデバイスのインストールも可能になります。
• リムーバブル デバイス – これらのパラメータは、リムーバブル デバイスのインストールを防止するために使用されます。リムーバブル デバイスは、クラス ID またはデバイス ID を追加することで構成できます。次に、変更を適用します。

ポリシーの階層構造により、他のポリシー設定で記述されていないデバイスのインストールを防止する機能よりも優先して使用できます。 .

互換性のある ID とハードウェア ID を見つける方法

互換性のある ID とハードウェア ID を見つけるには、次の手順に従います。

2. デバイスを右クリックします。
3. プロパティを選択 .
4. 詳細にアクセス
5. [プロパティ] をクリックします ハードウェア ID、クラス ID など、必要な詳細を見つけることができます。