Microsoft brengt layered Group Policies uit voor toestaan van externe apparaten

Het opladen van telefoons gaat toch nu ook al gewoon door als je de toegang tot usb blokkeert?

Tenzij je op BIOS/UEFI laag USB uitzet of het fysiek onmogelijk maakt om in te pluggen kan je altijd laden via USB, immers de USB poort levert altijd minstens een minimum stroom aan het apparaat, anders zou je muis of USB stick levensloos blijven, je computer zou zelfs niet weten dat er iets is ingestopt laat staan wat er juist is ingestopt. Voor zover ik weet heeft het OS niets te zien met power delivery op USB, word op de hardware laag in de USB controller geregeld. (minimum stroom krijg je altijd, als een device meer wilt/nodig heeft word dit onderhandeld)

In de huidige group policy kan je groepen blokkeren die mass storage hebben DVD, Floppy, removable storage, tape drives of WPD of simpelweg alle storage classes. Telefoons vallen onder WPD (Windows portable devices). Vervolgens had je ook custom classes waar je read of write kon blokkeren.

Echter het huidige systeem is niet bepaald flexibel. Stel ik wil enkel corperate telefoon Y toelaten maar alle andere telefoons wil ik blokkeren. Als ik WPD blokkeer dan blokkeer ik alles en dus ook Y. Dus dan moet ik naar de custom class gaan en daar alle device id's ingeven die ik niet wil, immers ik kan enkel custom classes blokkeren. Na lang zwoegen en alle mogelijke device id's er in te kloppen behalve die van telefoon Y rol ik het uit en klaar. Om dan een maand later tot de conclusie te komen dat er een nieuwe telefoon op de markt is met een nieuwe device id die niet in mijn blokkeer lijst zit.

Wat nu vooral nieuw is, je kan een allow doen dus nu kan ik zeggen ik blokkeer WPD of simpelweg alle storage classes en vervolgens zeggen allow corperate telefoon Y. Met nog verder bijkomende opties om het nog verder flexibel te regelen.

Wat ook nieuw is, de oude settings richten zich zuiver op storage devices en niet op andere USB devices, de oude settings kwamen duidelijk uit een ander USB tijdperk. Een ander belangerijk punt, de oude settings verhinderen read and write, de nieuwe verhinderen de installatie en grijpen dus vroeger in.

Alsook leuk meegenomen, de optie om de user een boodschap te geven als een device geblocked word, "gelieve u telefoon ergens anders op te laden".
Want ik heb ook wel de situatie meegemaakt dat die telefoon aan het opladen is maar ondertussen in een loop opnieuw en opnieuw probeert te communiceren met de computer waarbij de telefoon iedere keer de communicatie een reset gaf, alsof je de telefoon continu uit en in stak. Tot de cliënt tilt sloeg, klachten binnen kwamen en ik het uit de logboeken moest halen wat er aan de hand was.

Nee, deze policy wordt alleen applied op jouw managed devices. Met externe apparaten worden hier USB-sticks, muis-dongles, webcams, printers en alle overige randapparatuur bedoeld.
Je staat hiermee geen externe laptop toe om op jouw bedrijfsnetwerk te mogen.

Dit gaat over "externe randapparatuur" die je inplugged op beheerde systemen.
Denk aan Keyboards, Muizen, Webcams, Headsets, Usbdisks etc.

Heeft niets te maken met Gast Computers/Systemen.

Blacklist: *
Whitelist: DeviceID's (via PNPUtil)

MS Doc