Partager via


Fournisseur de services de configuration de stratégie - Sécurité

AllowAddProvisioningPackage

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

Spécifie s’il faut autoriser l’agent de configuration du runtime à installer des packages d’approvisionnement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AllowManualRootCertificateInstallation

Remarque

Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
❌Pro
❌ Enterprise
❌ Éducation
❌Windows SE
❌ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

Cette stratégie est déconseillée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AllowRemoveProvisioningPackage

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

Spécifie s’il faut autoriser l’agent de configuration du runtime à supprimer les packages d’approvisionnement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AntiTheftMode

Remarque

Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
Non applicable ✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

Cette stratégie est déconseillée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé.

ClearTPMIfNotReady

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

Ce paramètre de stratégie configure le système pour inviter l’utilisateur à effacer le module de plateforme sécurisée si celui-ci est détecté dans un état autre que Prêt. Cette stratégie prend effet uniquement si le module de plateforme sécurisée du système est dans un état autre que Prêt, y compris si le module de plateforme sécurisée est « Prêt, avec des fonctionnalités réduites ». L’invite pour effacer le module de plateforme sécurisée commence à se produire après le redémarrage suivant, lors de la connexion de l’utilisateur uniquement si l’utilisateur connecté fait partie du groupe Administrateurs pour le système. L’invite peut être ignorée, mais réapparaît après chaque redémarrage et chaque connexion jusqu’à ce que la stratégie soit désactivée ou jusqu’à ce que le module de plateforme sécurisée soit dans un état Prêt.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Ne force pas la récupération à partir d’un état TPM non prêt.
1 Invite à effacer le module de plateforme sécurisée si celui-ci est dans un état non prêt (ou une fonctionnalité réduite) qui peut être corrigé avec un TPM Clear.

Mappage de stratégie de groupe :

Nom Valeur
Nom ClearTPMIfNotReady_Name
Nom convivial Configurez le système pour effacer le TPM s’il n’est pas dans un état prêt.
Emplacement Configuration ordinateur
Chemin d'accès Services de module de plateforme sécurisée système >
Nom de la clé de Registre Software\Policies\Microsoft\TPM
Nom de la valeur de Registre ClearTPMIfNotReadyGP
Nom du fichier ADMX TPM.admx

ConfigurerWindowsPasswords

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

Configure l’utilisation de mots de passe pour les fonctionnalités Windows.

Remarque

Cette stratégie est uniquement prise en charge dans Windows 10 S.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 2

Valeurs autorisées:

Valeur Description
0 Interdire les mots de passe (les informations d’identification asymétriques seront promues pour remplacer les mots de passe sur les fonctionnalités Windows).
1 Autoriser les mots de passe (les mots de passe continuent d’être autorisés à être utilisés pour les fonctionnalités Windows).
2 (par défaut) En fonction de la référence SKU et des fonctionnalités de l’appareil. Les appareils Windows 10 S affichent par défaut « Interdire les mots de passe », et tous les autres appareils sont par défaut « Autoriser les mots de passe ».

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Spécifie s’il faut autoriser le chiffrement automatique de l’appareil pendant L’OOBE lorsque l’appareil est Microsoft Entra joint.

Pour plus d’informations, consultez Chiffrement d’appareil BitLocker.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Chiffrement activé.
1 Chiffrement désactivé.

RecoveryEnvironmentAuthentication

Étendue Éditions Système d’exploitation applicable
✅ Appareil
✅Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

Cette stratégie contrôle l’exigence de l’authentification Administration dans RecoveryEnvironment.

Procédure de validation :

Pour valider cette stratégie, case activée si l’actualisation (« Conserver mes fichiers ») et la réinitialisation (« Supprimer tout ») nécessitent une authentification administrateur dans l’environnement de récupération Windows (WinRE).

  1. Tout d’abord, démarrez la réinitialisation par bouton pousseur (PBR) dans WinRE. Ouvrez une invite de commandes en tant qu’administrateur et exécutez la commande suivante : reagentc /boottore
  2. L’appareil doit redémarrer sur WinRE. Dans l’interface WinRE, accédez à Résoudre les problèmes et sélectionnez Réinitialiser ce PC. Vous devriez voir deux options : Conserver mes fichiers et Tout supprimer.
  3. Choisissez l’option Conserver mes fichiers. Afficher le comportement pour l’authentification.
  4. Sélectionnez la flèche précédent et choisissez Tout supprimer. Afficher le comportement pour l’authentification.

Au lieu de revenir en arrière, vous pouvez également passer en revue les options de réinitialisation et sélectionner Annuler dans la page de confirmation finale. Il retourne ensuite à l’interface winRE main.

Le tableau suivant indique le comportement attendu pour les paramètres de stratégie dans chaque scénario :

  • ✔️ Il invite à l’authentification.
  • ❌ Aucune authentification n’est requise et continue avec les options de réinitialisation.
Stratégie Conserver mes fichiers Tout supprimer
Par défaut (0) ✔️
RequireAuthentication » (1) ✔️ ✔️
NoRequireAuthentication » (2)

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Comportement actuel).
1 RequireAuthentication : l’authentification Administration est toujours requise pour les composants dans RecoveryEnvironment.
2 NoRequireAuthentication : l’authentification Administration n’est pas requise pour les composants dans RecoveryEnvironment.

RequireDeviceEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

Permet à l’entreprise d’activer le chiffrement du stockage interne. La valeur la plus restreinte est 1. Important. Si le chiffrement a été activé, il ne peut pas être désactivé à l’aide de cette stratégie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Le chiffrement n’est pas requis.
1 Le chiffrement est requis.

RequireProvisioningPackageSignature

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

Spécifie si les packages d’approvisionnement doivent avoir un certificat signé par une autorité de confiance d’appareil.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non requis.
1 Obligatoire.

RequireRetrieveHealthCertificateOnBoot

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

Spécifie s’il faut récupérer et publier les journaux de démarrage TCG, et obtenir ou mettre en cache un rapport d’attestation d’intégrité chiffré ou signé à partir du service d’attestation Microsoft Health (HAS) lorsqu’un appareil démarre ou redémarre. La définition de cette stratégie sur 1 (Obligatoire):D détermine si un appareil est capable de l’attestation d’intégrité de l’appareil à distance, en vérifiant si l’appareil a TPM 2. 0. Améliore les performances de l’appareil en lui permettant d’extraire et de mettre en cache les données afin de réduire la latence pendant la vérification de l’intégrité de l’appareil.

Remarque

Nous vous recommandons de définir cette stratégie sur Obligatoire après l’inscription mdm. La valeur la plus restreinte est 1.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non requis.
1 Obligatoire.

Fournisseur de services de configuration de stratégie