Paramètres de stratégie d’accès attribués
Lorsque la configuration Accès affecté est appliquée sur un appareil, certains paramètres de stratégie et certaines règles AppLocker sont appliqués, ce qui a un impact sur les utilisateurs qui accèdent à l’appareil. Les paramètres de stratégie utilisent une combinaison de paramètres de fournisseur de services de configuration (CSP) et de stratégie de groupe (GPO).
Cet article de référence répertorie les paramètres de stratégie et les règles AppLocker appliquées par l’accès affecté.
Remarque
Il n’est pas recommandé de configurer les paramètres de stratégie appliqués par l’accès affecté à différentes valeurs à l’aide d’autres canaux. L’accès affecté est optimisé pour fournir une expérience verrouillée.
Paramètres de stratégie d’appareil
Les paramètres de stratégie suivants sont appliqués au niveau de l’appareil lorsque vous déployez une expérience utilisateur restreinte. Tout utilisateur accédant à l’appareil est soumis aux paramètres de stratégie, y compris les comptes d’administrateur :
| Type | Chemin d'accès | Nom/Description |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Désactiver Cortana |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Icône Désactiver les documents de démarrage |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Désactiver l’icône Démarrer les téléchargements |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Désactiver l’icône Démarrer l’explorateur de fichiers |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Désactiver l’icône Démarrer le groupe d’accueil |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Désactiver l’icône Démarrer la musique |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Désactiver l’icône Démarrer le réseau |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Désactiver l’icône Démarrer le dossier personnel |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Désactiver l’icône Démarrer les images |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Icône Désactiver les paramètres de démarrage |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Icône Désactiver les vidéos de démarrage |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Masquer l’affichage des paramètres modifier le compte dans la vignette de l’utilisateur |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Masque toutes les notifications de mise à jour |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Désactive les notifications de redémarrage automatique pour les mises à jour |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
L’accès à l’espace de travail d’entrée manuscrite est désactivé |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Masquer l’interface utilisateur des réseaux sur l’écran d’ouverture de session, ainsi que sur l’interface utilisateur « options de sécurité » |
Paramètres de stratégie utilisateur
Les paramètres de stratégie suivants sont appliqués à tout compte non administrateur lorsque vous déployez une expérience utilisateur restreinte :
| Type | Chemin d'accès | Nom/Description |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Désactiver le menu contextuel pour les applications de menu Démarrer |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Masquer l’affichage de la barre Personnes sur la barre des tâches |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Masquer l’affichage des applications récemment ajoutées dans le menu Démarrer |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Masquer l’affichage des listes de raccourcis récentes dans le menu Démarrer/la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Effacer l’historique des documents récemment ouverts en quittant |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Désactiver les notifications de bulle sous forme de toast |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Ne pas autoriser l’épinglage d’éléments aux listes de raccourcis |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Ne pas autoriser l'épinglage de programmes à la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Ne pas afficher ni suivre les éléments des listes de raccourcis à partir d’emplacements distants |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Masquer et désactiver tous les éléments sur le bureau |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Bouton Masquer l’affichage des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Verrouiller tous les paramètres de la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Verrouiller la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs d’ajouter ou de supprimer des barres d’outils |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs de personnaliser leur écran de démarrage |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs de déplacer la barre des tâches vers un autre emplacement d’ancrage d’écran |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs de réorganiser les barres d’outils |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs de redimensionner la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Empêcher les utilisateurs de désinstaller des applications à partir de l’écran de démarrage |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer l’accès aux menus contextuels pour la barre des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer la liste Tous les programmes du menu Démarrer |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer le Centre de contrôle |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer la liste de programmes fréquents du menu Démarrer |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer le Centre de notifications et de notifications |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer les paramètres rapides |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer le menu Exécuter du menu Démarrer |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Supprimer l’icône de Sécurité et de Maintenance |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Désactiver toutes les notifications d’info-bulle |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches | Désactiver les bulles de notifications de fonctionnalités existantes |
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches\Notifications | Désactiver les notifications par toast |
| GPO | Configuration utilisateur\Modèles d'administration\Système\Options Ctrl+Alt+Suppr | Supprimer modifier le mot de passe |
| GPO | Configuration utilisateur\Modèles d'administration\Système\Options Ctrl+Alt+Suppr | Supprimer la fermeture de session |
| GPO | Configuration utilisateur\Modèles d'administration\Système\Options Ctrl+Alt+Suppr | Supprimer le Gestionnaire des tâches |
| GPO | Configuration utilisateur\Modèles d’administration\Composants Windows\Explorateur de fichiers | Supprimer mapper le lecteur réseau et déconnecter le lecteur réseau |
| GPO | Configuration utilisateur\Modèles d’administration\Composants Windows\Explorateur de fichiers | Supprimer le menu contextuel par défaut de Explorateur de fichiers |
Les paramètres de stratégie suivants sont appliqués au compte kiosque lorsque vous configurez une expérience kiosque avec Microsoft Edge :
| Type | Chemin d'accès | Nom/Description |
|---|---|---|
| GPO | Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches\Notifications | Exécuter uniquement les applications Windows spécifiées >msedge.exe |
| GPO | Configuration utilisateur\Modèles d’administration\Système | Désactiver les notifications par toast |
| GPO | Configuration utilisateur\Modèles d’administration\Composants Windows\Gestionnaire de pièces jointes | Niveau de risque par défaut pour les pièces jointes > à risque élevé |
| GPO | Configuration utilisateur\Modèles d’administration\Composants Windows\Gestionnaire de pièces jointes | Liste d’inclusion pour les types de fichiers faibles >.pdf;.epub |
| GPO | Configuration utilisateur\Modèles d’administration\Composants Windows\Explorateur de fichiers | Supprimer le menu contextuel par défaut de Explorateur de fichiers |
Règles AppLocker
Lorsque vous déployez une expérience utilisateur restreinte à accès affecté, des règles AppLocker sont générées pour autoriser les applications répertoriées dans la configuration. Voici les règles AppLocker d’accès attribué prédéfinies :
règles d’application plateforme Windows universelle (UWP)
- La règle par défaut consiste à autoriser tous les utilisateurs à lancer les applications empaquetées signées
- La liste de refus d’application empaquetée est générée lors de l’exécution lorsque l’utilisateur accès affecté se connecte :
- En fonction des applications installées disponibles pour le compte d’utilisateur, l’accès affecté génère la liste de refus. La liste exclut les applications empaquetées de boîte de réception autorisées par défaut, qui sont critiques pour le fonctionnement du système, puis exclut les packages autorisés définis dans la configuration Accès affecté
- S’il existe plusieurs applications dans le même package, toutes les applications sont exclues
La liste de refus est utilisée pour empêcher l’utilisateur d’accéder aux applications, qui sont actuellement disponibles pour l’utilisateur, mais pas dans la liste autorisée
Remarque
Vous ne pouvez pas gérer les règles AppLocker générées par l’expérience utilisateur restreinte dans les composants logiciels enfichables MMC. Évitez de créer des règles AppLocker qui entrent en conflit avec les règles AppLocker générées par l’accès affecté.
L’accès affecté n’empêche pas le organization ou les utilisateurs d’installer des applications UWP. Lorsqu’une nouvelle application UWP est installée pendant une session d’accès affecté, l’application ne figure pas dans la liste de refus. Lorsque l’utilisateur se déconnecte et se reconnecte, l’application installée est incluse dans la liste de refus. Pour les applications déployées de manière centralisée que vous souhaitez autoriser, telles que les applications de ligne de biness, mettez à jour la configuration de l’accès affecté et incluez les applications dans la liste des applications autorisées.
Règles d’application de bureau
- La règle par défaut consiste à autoriser tous les utilisateurs à lancer les programmes de bureau signés avec Microsoft Certificate pour que le système démarre et fonctionne. Elle autorise également le groupe d’utilisateurs administrateurs à lancer tous les programmes de bureau.
- Il existe une liste de refus d’application de bureau de boîte de réception prédéfinie pour le compte d’utilisateur Accès affecté, qui est mise à jour en fonction de la liste verte de l’application de bureau que vous avez définie dans la configuration De l’accès affecté
- Les applications de bureau autorisées définies par l’entreprise sont ajoutées à la liste verte AppLocker
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour