Gérer les connexions des composants du système d’exploitation Windows 10 et Windows 11 aux services Microsoft à l’aide du serveur GPM Microsoft Intune
S’applique à
- Windows 11
- Windows 10 Entreprise version 1903 ou ultérieure
Cet article décrit les connexions réseau que les composants Windows 10 et Windows 11 effectuent à Microsoft et au fournisseur de services de configuration/gestion des périphériques mobiles (MDM/CSP) et aux stratégies personnaliséesOMA URI(Open Mobile Alliance Uniform Resource Identifier) disponibles pour les professionnels de l’informatique utilisant Microsoft Intune pour vous aider à gérer les données partagées avec Microsoft. Si vous souhaitez limiter les connexions de Windows aux services Microsoft ou configurer les paramètres de confidentialité, plusieurs paramètres doivent être pris en compte. Par exemple, vous pouvez configurer les données de diagnostic au niveau le plus bas pour votre édition de Windows et évaluer d’autres connexions de Windows aux services Microsoft que vous souhaitez désactiver à l'aide des instructions de cet article. Même s’il est possible de limiter les connexions réseau à Microsoft, il existe de nombreuses raisons pour lesquelles ces communications sont activées par défaut, telles que la mise à jour de définitions des programmes malveillants et l’actualisation des listes de révocation de certificats. Ces données nous aident à offrir une expérience sécurisée, fiable et à jour.
Important
- Les points de terminaison du trafic autorisé pour une configuration GPM sont ici : Trafic autorisé
- Le trafic réseau OCSP (Online Certificate Status Protocol) et de la liste de révocation de certificats ne peut pas être désactivé et s’affiche dans les traces réseau. Les vérifications de cette liste et de ce protocole sont effectuées en fonction des autorités de certifications à l’origine de l’émission. Microsoft est l’une de ces autorités. Il en existe de nombreuses autres, telles que DigiCert, Thawte, Google, Symantec ou VeriSign.
- Du trafic spécifique est requis pour la gestion basée sur Microsoft Intune des appareils Windows 10 et Windows 11. Ce trafic inclut les Services de notifications Push Windows (WNS), la mise à jour automatique des certificats racines (ARCU) et le trafic lié à Windows Update. Le trafic susmentionné comprend le trafic autorisé du serveur GPM Microsoft Intune pour gérer les appareils Windows 10 et Windows 11.
- Pour des raisons de sécurité, il est important de choisir soigneusement les paramètres à configurer, car certains d'entre eux peuvent aboutir à un appareil moins protégé. Voici quelques exemples de paramètres qui peuvent aboutir à une configuration moins sécurisée des appareils : la désactivation de Windows Update, la désactivation de la mise à jour automatique des certificats racines et la désactivation de Windows Defender. Par conséquent, nous vous déconseillons de désactiver l’une de ces fonctionnalités.
- Pour vous assurer que les fournisseurs CSP ont la priorité sur les stratégies de groupe en cas de conflit, utilisez la stratégie ControlPolicyConflict.
- Les liens Aide et Envoyer vos commentaires dans Windows risquent de ne pas fonctionner après avoir appliqué tout ou partie des paramètres CSP/GPM.
Warning
Si un utilisateur exécute la commande « Réinitialiser ce PC » (Paramètres -> Mise à jour & Sécurité -> Récupération) avec l’option « Tout supprimer », >les paramètres de fonctionnalité limitée du trafic restreint Windows devront être réappliqués afin de restreindre à nouveau le trafic de sortie de l’appareil. >Pour ce faire, le client doit être réinscrit auprès du service Microsoft Intune. Le trafic sortant peut se produire pendant la période précédant la nouvelle>application des paramètres de fonctionnalité limitée du trafic restreint. Si l’utilisateur exécute une option « Réinitialiser ce PC » avec l’option « Conserver mes fichiers » >les paramètres de fonctionnalité limitée du trafic restreint sont conservés sur l’appareil. Par conséquent, le client reste dans une configuration de trafic restreint >pendant et après la réinitialisation de « Conserver mes fichiers », et aucune réinscription n’est requise.
Pour en savoir plus sur Microsoft Intune, consultez Transformer la distribution des services informatiques pour votre espace de travail moderne et Documentation Microsoft Intune.
Pour plus d’informations sur la gestion des connexions réseau à services Microsoft à l’aide de Paramètres Windows, des stratégies de groupe et des paramètres de Registre, voir Gérer les connexions entre les composants du système d’exploitation Windows et services Microsoft.
Nous nous efforçons constamment d’améliorer notre documentation. Vos commentaires sont les bienvenus. Vous pouvez fournir des commentaires en envoyant un e-mail à telmhelp@microsoft.com.
Paramètres pour Windows 10 Entreprise édition 1903 et ultérieures et Windows 11
Le tableau suivant répertorie les options de gestion pour chaque paramètre.
Pour Windows 10 et Windows 11, les stratégies MDM sont disponibles dans la Stratégie CSP.
Mise à jour automatique des certificats racines
- Stratégie GPM : il n’existe aucune GPM intentionnelle pour la mise à jour automatique des certificats racines. Cette GPM n’existe pas, car elle empêcherait le fonctionnement et la gestion de la gestion GPM des appareils.
Cortana et recherche
- Stratégie GPM : Experience/AllowCortana. Indiquez si vous souhaitez laisser Cortana s’installer et s’exécuter sur l’appareil. Définir sur 0 (zéro)
- Stratégie GPM : Search/AllowSearchToUseLocation. Indiquez si la fonction de recherche et Cortana peuvent fournir des résultats de recherche avec informations d’emplacement. Définir sur 0 (zéro)
Date Heure
- Stratégie GPM : Settings/AllowDateTime. Permet à l’utilisateur de modifier les paramètres de date et d’heure. Définir sur 0 (zéro)
Récupération de métadonnées d’appareil
- Stratégie GPM : DeviceInstallation/PreventDeviceMetadataFromNetwork. Choisissez d'empêcher ou non Windows de récupérer des métadonnées d’appareil à partir d'Internet. Définir sur Activé
Localiser mon appareil
- Stratégie GPM : Experience/AllowFindMyDevice. Cette stratégie active l’option Localiser mon appareil. Définir sur 0 (zéro)
Diffusion de police
- Stratégie GPM : System/AllowFontProviders. Paramètre qui détermine si Windows est autorisé à télécharger des polices et des données de catalogues de polices auprès d’un fournisseur de polices en ligne. Définir sur 0 (zéro)
Builds Insider Preview
- Stratégie GPM : System/AllowBuildPreview. Ce paramètre de stratégie détermine si les utilisateurs peuvent accéder aux contrôles des builds Insider dans les Options avancées de Windows Update. Définir sur 0 (zéro)
Internet Explorer Les stratégies GPM de Microsoft Internet Explorer suivantes sont disponibles dans le Fournisseur CSP Internet Explorer .
- Stratégie GPM : InternetExplorer/AllowSuggestedSites. Recommande des sites web en fonction de l’activité de navigation de l’utilisateur. Définir sur Désactivé
- Stratégie GPM : InternetExplorer/PreventManagingSmartScreenFilter. Empêche l’utilisateur de gérer Windows Defender SmartScreen, qui avertit l’utilisateur si le site visité est connu pour des tentatives frauduleuses de collecte d’informations personnelles par « hameçonnage » ou s’il est connu de l’hébergement de logiciels malveillants.
Définir sur Chaîne avec la valeur :
- <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
- Stratégie GPM : InternetExplorer/DisableFlipAheadFeature. Détermine si un utilisateur peut effectuer un mouvement de balayage ou cliquer sur Suivant pour accéder à la page suivante préalablement chargée d’un site web. Définir sur Activé
- Stratégie GPM : InternetExplorer/DisableHomePageChange. Détermine si les utilisateurs peuvent modifier la page d’accueil par défaut ou non.
Définir sur Chaîne avec la valeur :
- <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
- Stratégie GPM : InternetExplorer/DisableFirstRunWizard. Empêche Internet Explorer d’exécuter l’Assistant 1re utilisation la première fois qu’un utilisateur démarre le navigateur après l’installation d’Internet Explorer ou de Windows.
Définir sur Chaîne avec la valeur :
- <enabled/><data id=”FirstRunOptions” value=”1”/>
Vignettes dynamiques
- Stratégie GPM : Notifications/DisallowTileNotification. Ce paramètre de stratégie désactive les notifications par vignette. Si vous activez ce paramètre de stratégie, les applications et les fonctionnalités système ne seront pas en mesure de mettre à jour leurs vignettes et leurs badges de vignette sur l’écran de démarrage. Valeur entière 1
Synchronisation du courrier
- Stratégie GPM : Accounts/AllowMicrosoftAccountConnection. Spécifie si l’utilisateur est autorisé à utiliser un compte Microsoft pour l’authentification et les services de connexion non liés à l’adresse l’e-mail. Définir sur 0 (zéro)
Compte Microsoft
- Stratégie GPM : Accounts/AllowMicrosoftAccountSignInAssistant. Désactivez le service Assistant Connexion avec un compte Microsoft. Définir sur 0 (zéro)
Microsoft Edge Les stratégies GPM de Microsoft Edge suivantes sont disponibles dans le Fournisseur CSP de stratégie. Pour obtenir la liste complète des stratégies de Microsoft Edge, consultez Stratégies disponibles pour Microsoft Edge.
- Stratégie GPM : Browser/AllowAutoFill. Indiquez si les employés peuvent utiliser le remplissage automatique sur les sites web. Définir sur 0 (zéro)
- Stratégie GPM : Browser/AllowDoNotTrack. Indiquez si les employés peuvent envoyer des en-têtes Ne pas me suivre. Définir sur 0 (zéro)
- Stratégie GPM : Browser/AllowMicrosoftCompatbilityList. Spécifiez la liste de compatibilité de Microsoft dans Microsoft Edge. Définir sur 0 (zéro)
- Stratégie GPM : Browser/AllowPasswordManager. Indiquez si les employés peuvent enregistrer des mots de passe localement sur leurs appareils. Définir sur 0 (zéro)
- Stratégie GPM : Browser/AllowSearchSuggestionsinAddressBar. Indiquez si la barre d’adresse affiche des suggestions de recherche. Définir sur 0 (zéro)
- Stratégie GPM : Browser/AllowSmartScreen. Choisissez si Windows Defender SmartScreen est activé ou désactivé. Définir sur 0 (zéro)
Indicateur d’état de la connexion réseau
- Connectivity/DisallowNetworkConnectivityActiveTests. Remarque : Après avoir appliqué cette stratégie, vous devez redémarrer l’appareil afin que le paramètre de stratégie prenne effet. Définir sur 1 (un)
Cartes hors connexion
- Stratégie GPM : AllowOfflineMapsDownloadOverMeteredConnection. Autorise le téléchargement et la mise à jour des données de carte sur des connexions limitées.
Définir sur 0 (zéro) - Stratégie GPM : EnableOfflineMapsAutoUpdate. Désactive le téléchargement et la mise à jour automatiques des données de carte. Définir sur 0 (zéro)
- Stratégie GPM : AllowOfflineMapsDownloadOverMeteredConnection. Autorise le téléchargement et la mise à jour des données de carte sur des connexions limitées.
OneDrive
- Stratégie GPM : DisableOneDriveFileSync. Permet aux administrateurs informatiques d’empêcher les applications et les fonctionnalités de travailler avec des fichiers sur OneDrive. Définir sur 1 (un)
- Ingérer ADMX : Pour obtenir la dernière version du fichier OneDrive ADMX , vous avez besoin d’un client Windows 10 ou Windows 11 à jour. Les fichiers ADMX se trouvent sous le chemin d'accès suivant : %LocalAppData%\Microsoft\OneDrive\ ; il existe un dossier avec la build OneDrive actuelle (par exemple, « 18.162.0812.0001 »). Il existe un dossier nommé « adm » qui contient les fichiers de définition des stratégies admx et adml.
- Stratégie GPM : empêcher le trafic réseau avant la connexion de l’utilisateur. PreventNetworkTrafficPreUserSignIn. La valeur OMA-URI est : ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Type de données : Chaîne, Valeur : <activé/>
Paramètres de confidentialité À l’exception de la page Commentaires et diagnostics, ces paramètres doivent être configurés pour chaque compte d’utilisateur qui se connecte au PC.
- Général - TextInput/AllowLinguisticDataCollection. Ce paramètre de stratégie contrôle la possibilité d’envoyer des données d’entrée manuscrite et de saisie à Microsoft. Définir sur 0 (zéro)
- Localisation - System/AllowLocation. Indique si l’application peut accéder au service de localisation. Définir sur 0 (zéro)
- Caméra - Camera/AllowCamera. Désactive ou active la caméra. Définir sur 0 (zéro)
- Microphone - Privacy/LetAppsAccessMicrophone. Indique si les applications Windows peuvent accéder au micro. Définir sur 2 (deux)
- Notifications - Privacy/LetAppsAccessNotifications. Indique si les applications Windows peuvent accéder aux notifications. Définir sur 2 (deux)
- Notifications - Settings/AllowOnlineTips. Active ou désactive la récupération d'astuces et d’éléments d'aide en ligne pour l’application Paramètres. Valeur entière 0
- Voix, entrée manuscrite et saisie Privacy/AllowInputPersonalization. Cette stratégie indique si les utilisateurs de l’appareil peuvent activer la reconnaissance vocale en ligne. Définir sur 0 (zéro)
- Voix, entrée manuscrite et saisie - TextInput/AllowLinguisticDataCollection. Ce paramètre de stratégie contrôle la possibilité d’envoyer des données d’entrée manuscrite et de saisie à Microsoft Défini sur 0 (zéro)
- Informations sur le compte - Privacy/LetAppsAccessAccountInfo. Indique si les applications Windows peuvent accéder aux informations sur le compte. Définir sur 2 (deux)
- Contacts - Privacy/LetAppsAccessContacts. Indique si les applications Windows peuvent accéder aux contacts. Définir sur 2 (deux)
- Calendrier - Privacy/LetAppsAccessCalendar. Indique si les applications Windows peuvent accéder au calendrier. Définir sur 2 (deux)
- Historique des appels - Privacy/LetAppsAccessCallHistory. Indique si les applications Windows peuvent accéder aux informations sur le compte. Définir sur 2 (deux)
- Messagerie électronique - Privacy/LetAppsAccessEmail. Indique si les applications Windows peuvent accéder à la messagerie électronique. Définir sur 2 (deux)
- Messagerie - Privacy/LetAppsAccessMessaging. Indique si les applications Windows peuvent lire ou envoyer des messages (SMS ou MMS). Définir sur 2 (deux)
- Appels téléphoniques - Privacy/LetAppsAccessPhone. Spécifie si les applications Windows peuvent effectuer des appels téléphoniques. Définir sur 2 (deux)
- Radios - Privacy/LetAppsAccessRadios. Indique si les applications Windows ont accès aux radios de contrôle. Définir sur 2 (deux)
- Autres appareils - Privacy/LetAppsSyncWithDevices. Indique si les applications Windows peuvent être synchronisées avec les appareils. Définir sur 2 (deux)
- Autres appareils - Privacy/LetAppsAccessTrustedDevices. Indique si les applications Windows peuvent accéder aux appareils de confiance. Définir sur 2 (deux)
- Commentaires et diagnostics - System/AllowTelemetry. Autorisez l’appareil à envoyer des données de diagnostic et de télémétrie d’utilisation, comme Watson. Définir sur 0 (zéro)
- Commentaires et diagnostics - Experience/DoNotShowFeedbackNotifications. Empêche les appareils d’afficher les demandes de commentaires de la part de Microsoft. Définir sur 1 (un)
- Applications en arrière-plan - Privacy/LetAppsRunInBackground. Indique si les applications Windows peuvent s’exécuter en arrière-plan. Définir sur 2 (deux)
- Mouvement - Privacy/LetAppsAccessMotion. Indique si les applications Windows peuvent accéder aux données de mouvement. Définir sur 2 (deux)
- Tâches - Privacy/LetAppsAccessTasks. Désactivez la possibilité de choisir les applications ayant accès aux tâches. Définir sur 2 (deux)
- Diagnostics des applications - Privacy/LetAppsGetDiagnosticInfo. Forcez l'autorisation, forcez le refus ou donnez à l'utilisateur le contrôle d’applications pouvant obtenir des informations de diagnostic sur d’autres applications en cours d’exécution. Définir sur 2 (deux)
Plateforme de protection logicielle - Licensing/DisallowKMSClientOnlineAVSValidation. Désactivez l'envoi automatique de données d’activation de client KMS à Microsoft. Définir sur 1 (un)
Intégrité du stockage - Storage/AllowDiskHealthModelUpdates. Autorise les mises à jour du modèle d’intégrité du disque. Définir sur 0 (zéro)
Synchroniser vos paramètres - Experience/AllowSyncMySettings. Déterminez si vos paramètres sont synchronisés. Définir sur 0 (zéro)
Teredo : aucune GPM n’est nécessaire. Teredo est Désactivé par défaut. L’Optimisation de la distribution (DO) peut activer Teredo, mais la DO elle-même est désactivée via la GPM.
Assistant Wi-Fi : aucune GPM n'est nécessaire. L’Assistant Wi-Fi n’est plus disponible à compter de Windows 10 version 1803 ou version ultérieure ou Windows 11.
Windows Defender
- Defender/AllowCloudProtection. Déconnectez-vous du Service de protection du logiciel anti-programme malveillant Microsoft. Définir sur 0 (zéro)
- Defender/SubmitSamplesConsent. Arrêter d’envoyer des exemples de fichiers à Microsoft. Définir sur 2 (deux)
- Defender/EnableSmartScreenInShell. Désactive SmartScreen dans Windows pour l’exécution d’applications et de fichiers. Définir sur 0 (zéro)
- Windows Defender SmartScreen – Browser/AllowSmartScreen. Désactivez Windows Defender SmartScreen. Définir sur 0 (zéro)
- Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Détermine si les utilisateurs sont autorisés à installer des applications à partir de sources autres que le Microsoft Store. Définir sur 0 (zéro)
- Protection Windows Defender contre les applications potentiellement indésirables (PUA) - Defender/PUAProtection. Indique le niveau de détection pour les applications potentiellement indésirables (PUA). Définir sur 1 (un)
- Defender/SignatureUpdateFallbackOrder. Vous permet de définir l’ordre dans lequel les différentes sources de mise à jour des définitions doivent être contactées. La valeur OMA-URI correspondante est la suivante : ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, type de donnée : Chaîne, valeur : FileShares.
Windows à la une - Experience/AllowWindowsSpotlight. Désactivez Windows à la une. Définir sur 0 (zéro)
Le Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps. Valeur booléenne qui désactive le lancement de toutes les applications du Microsoft Store ayant été préinstallées ou téléchargées. Définir sur 1 (un)
- ApplicationManagement/AllowAppStoreAutoUpdate. Indique si la mise à jour automatique des applications du Microsoft Store est autorisée. Définir sur 0 (zéro)
Applications pour les sites web - ApplicationDefaults/EnableAppUriHandlers. Ce paramètre de stratégie détermine si Windows prend en charge la liaison application-site web avec les gestionnaires d’URI d’application. Définir sur 0 (zéro)
Optimisation de la distribution de Windows Update - Les stratégies GPM d’optimisation de la distribution suivantes sont disponibles dans le Fournisseur CSP de stratégie.
- DeliveryOptimization/DODownloadMode. Vous permet de choisir si l’Optimisation de la distribution reçoit ou envoie des mises à jour et des applications. Définir sur 99 (quatre-vingt dix)
Windows Update
- Update/AllowAutoUpdate. Contrôle les mises à jour automatiques. Définir sur 5 (cinq)
- Autoriser le service de mise à jour Windows Update - Update/AllowUpdateService. Indique si l’appareil peut utiliser Microsoft Update, Windows Server Update Services (WSUS) ou le Microsoft Store. Définir sur 0 (zéro)
- Service Windows Update (URL) - Update/UpdateServiceUrl. Autorise l’appareil à rechercher des mises à jour à partir d’un serveur WSUS au lieu de Microsoft Update.
Définir sur Chaîne avec la valeur :
- <Remplacer><CmdID>$CmdID$<Objet><Meta><Format>chr<Type>text/plain</Meta><Cible><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Données>http://abcd-srv:8530</Objet></Remplacer>
Recommandations
a. HideRecentJumplists paramètre dans le fournisseur de services de configuration de stratégie de démarrage (CSP). Pour masquer la liste des applications et fichiers recommandés dans la section Recommandé sur le menu Démarrer.
Trafic autorisé pour les configurations Microsoft Intune/MDM
Points de terminaison du trafic autorisé |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
*microsoft.com/pkiops/* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |