Paramètres et configuration du contrôle de compte d’utilisateur

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Liste des paramètres de contrôle de compte d’utilisateur

Le tableau suivant répertorie les paramètres disponibles pour configurer le comportement de la UAC et leurs valeurs par défaut.

Nom du paramètre	Description
Administration mode d’approbation pour le compte Administrateur intégré	Contrôle le comportement de Administration mode d’approbation pour le compte Administrateur intégré. Activé : le compte Administrateur intégré utilise le mode d’approbation Administration. Par défaut, toute opération qui nécessite une élévation de privilège invite l’utilisateur à approuver l’opération. Désactivé (par défaut) : le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.
Autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé	Contrôle si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard. Activé : les programmes UIA, y compris l’assistance à distance, désactivent automatiquement le Bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre Basculer vers le bureau sécurisé lorsque vous demandez une élévation , les invites s’affichent sur le bureau de l’utilisateur interactif au lieu du bureau sécurisé. Ce paramètre permet à l’administrateur distant de fournir les informations d’identification appropriées pour l’élévation. Ce paramètre de stratégie ne modifie pas le comportement de l’invite d’élévation de contrôle de compte d’utilisateur pour les administrateurs. Si vous envisagez d’activer ce paramètre de stratégie, vous devez également examiner l’effet du paramètre de stratégie Comportement de l’invite d’élévation pour les utilisateurs standard : s’il est configuré comme refuser automatiquement les demandes d’élévation, les demandes d’élévation ne sont pas présentées à l’utilisateur. Désactivé (par défaut) : le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie Basculer vers le bureau sécurisé lorsque vous êtes invité à entrer une élévation.
Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration	Contrôle le comportement de l’invite d’élévation pour les administrateurs. Élever sans invite : permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans nécessiter de consentement ou d’informations d’identification. Utilisez cette option uniquement dans les environnements les plus limités. Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe privilégiés. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur. Demander le consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur. Demander des informations d’identification : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable. Demander le consentement : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur. Demander le consentement pour les fichiers binaires non Windows (par défaut) : lorsqu’une opération pour une application non-Microsoft nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.
Comportement de l’invite d’élévation pour les utilisateurs standard	Contrôle le comportement de l’invite d’élévation pour les utilisateurs standard. Demander des informations d’identification (par défaut) : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable. Refuser automatiquement les demandes d’élévation : lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès refusé configurable s’affiche. Une entreprise qui exécute des bureaux en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique. Demander des informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe différents. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
Détecter les installations d’applications et demander une élévation	Contrôle le comportement de la détection de l’installation de l’application pour l’ordinateur. Activé (par défaut) : lorsqu’un package d’installation d’application qui nécessite une élévation de privilèges est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable. Désactivé : les packages d’installation d’application ne sont pas détectés et ne sont pas invités à effectuer une élévation. Les entreprises qui exécutent des bureaux utilisateur standard et utilisent des technologies d’installation déléguée, telles que Microsoft Intune, doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection du programme d’installation n’est pas nécessaire.
Élever uniquement les exécutables signés et validés	Applique des vérifications de signature pour toutes les applications interactives qui demandent une élévation de privilège. Les administrateurs informatiques peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats au magasin de certificats Éditeurs approuvés sur les appareils locaux. Activé : applique la validation du chemin de certification du certificat pour un fichier exécutable donné avant qu’il ne soit autorisé à s’exécuter. Désactivé (par défaut) : n’applique pas la validation du chemin de certification du certificat avant qu’un fichier exécutable donné ne soit autorisé à s’exécuter.
Élever uniquement les applications UIAccess installées dans des emplacements sécurisés	Contrôle si les applications qui demandent à s’exécuter avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux dossiers suivants : - %ProgramFiles%, y compris les sous-dossiers - %SystemRoot%\system32\ - %ProgramFiles(x86)%, y compris les sous-dossiers Activé (par défaut) : si une application réside dans un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess. Désactivé : une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé dans le système de fichiers. Note: Windows applique une signature numérique case activée à toutes les applications interactives qui demandent à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre.
Exécuter tous les administrateurs en mode d’approbation Administration	Contrôle le comportement de tous les paramètres de stratégie UAC. Activé (par défaut) : Administration mode d’approbation est activé. Cette stratégie doit être activée et les paramètres UAC associés doivent être configurés. La stratégie permet au compte Administrateur intégré et aux membres du groupe Administrateurs de s’exécuter en mode d’approbation Administration. Désactivé : Administration mode d’approbation et tous les paramètres de stratégie UAC associés sont désactivés. Remarque : si ce paramètre de stratégie est désactivé, Sécurité Windows vous avertit que la sécurité globale du système d’exploitation est réduite.
Basculer vers le bureau sécurisé lorsque vous demandez une élévation	Ce paramètre de stratégie contrôle si l’invite de demande d’élévation est affichée sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé. Activé (par défaut) : toutes les demandes d’élévation sont envoyées au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard. Désactivé : toutes les demandes d’élévation sont envoyées au bureau de l’utilisateur interactif. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.
Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur	Contrôle si les échecs d’écriture d’application sont redirigés vers des emplacements de registre et de système de fichiers définis. Ce paramètre atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32ou HKLM\Software. Activé (par défaut) : les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre. Désactivé : les applications qui écrivent des données dans des emplacements protégés échouent.

Configuration du contrôle de compte d’utilisateur

Pour configurer le contrôle de compte d’utilisateur, vous pouvez utiliser :

• Microsoft Intune/GPM
• Stratégie de groupe
• Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Intune/CSP

Configurer le contrôle de contrôle de compte d’utilisateur avec une stratégie de catalogue Paramètres

Pour configurer des appareils à l’aide de Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres répertoriés sous la catégorie Local Policies Security Options:

Affectez la stratégie à un groupe de sécurité qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le fournisseur de services de configuration LocalPoliciesSecurityOptions Policy.
Les paramètres de stratégie se trouvent sous : ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Paramètre
Nom du paramètre : Administration mode d’approbation pour le compte Administrateur intégré Nom du fournisseur de services de configuration de stratégie : UserAccountControl_UseAdminApprovalMode
Nom du paramètre : autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé Nom du fournisseur de services de configuration de stratégie : UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nom du paramètre : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration Nom du fournisseur de services de configuration de stratégie : UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nom du paramètre : comportement de l’invite d’élévation pour les utilisateurs standard Nom du fournisseur de services de configuration de stratégie : UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nom du paramètre : Détecter les installations d’application et demander une élévation Nom du fournisseur de services de configuration de stratégie : UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Nom du paramètre : élever uniquement les exécutables signés et validés Nom du fournisseur de services de configuration de stratégie : UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Nom du paramètre : élever uniquement les applications UIAccess installées dans des emplacements sécurisés Nom du fournisseur de services de configuration de stratégie : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nom du paramètre : exécuter tous les administrateurs en mode d’approbation Administration Nom du fournisseur de services de configuration de stratégie : UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nom du paramètre : basculer vers le bureau sécurisé lorsque vous demandez une élévation Nom du fournisseur de services de configuration de stratégie : UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Nom du paramètre : Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur Nom du fournisseur de services de configuration de stratégie : UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

GPO

Vous pouvez utiliser des stratégies de sécurité pour configurer l’utilisation du contrôle de compte d’utilisateur dans votre organisation. Les stratégies peuvent être configurées localement à l’aide du composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) ou configurées pour le domaine, l’unité d’organisation ou des groupes spécifiques par stratégie de groupe.

Les paramètres de stratégie se trouvent sous : Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Paramètre de la stratégie de groupe	Valeur par défaut
Contrôle de compte d’utilisateur : mode d’approbation Administration pour le compte administrateur intégré	Désactivé
Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé	Désactivé
Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur	Invite de consentement pour les fichiers binaires non-Windows
Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard	Demander des informations d’identification
Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation	Activé (par défaut pour l’édition familiale uniquement) Désactivé (par défaut)
Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés	Désactivé
Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés	Activé
Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur	Activé
Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation	Activé
Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de registre dans des emplacements définis par utilisateur	Activé

Registry

Les clés de Registre se trouvent sous la clé : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Nom du paramètre	Nom de la clé de Registre	Valeur
Administration mode d’approbation pour le compte Administrateur intégré	FilterAdministratorToken	0 (par défaut) = Désactivé 1 = Activé
Autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé	EnableUIADesktopToggle	0 (par défaut) = Désactivé 1 = Activé
Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration	ConsentPromptBehaviorAdmin	0 = Élever sans invite 1 = Demander des informations d’identification sur le bureau sécurisé 2 = Invite de consentement sur le bureau sécurisé 3 = Demander des informations d’identification 4 = Demande de consentement 5 (par défaut) = Invite de consentement pour les fichiers binaires non-Windows
Comportement de l’invite d’élévation pour les utilisateurs standard	ConsentPromptBehaviorUser	0 = Refuser automatiquement les demandes d’élévation 1 = Demander des informations d’identification sur le bureau sécurisé 3 (par défaut) = Invite d’informations d’identification
Détecter les installations d’applications et demander une élévation	EnableInstallerDetection	1 = Activé (par défaut pour l’accueil uniquement) 0 = Désactivé (par défaut)
Élever uniquement les exécutables signés et validés	ValidateAdminCodeSignatures	0 (par défaut) = Désactivé 1 = Activé
Élever uniquement les applications UIAccess installées dans des emplacements sécurisés	EnableSecureUIAPaths	0 = Désactivé 1 (par défaut) = Activé
Exécuter tous les administrateurs en mode d’approbation Administration	EnableLUA	0 = Désactivé 1 (par défaut) = Activé
Basculer vers le bureau sécurisé lorsque vous demandez une élévation	PromptOnSecureDesktop	0 = Désactivé 1 (par défaut) = Activé
Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur	EnableVirtualization	0 = Désactivé 1 (par défaut) = Activé