Utiliser AppLocker pour créer une borne Windows10 qui exécute plusieurs applications

S’applique à

  • Windows10

Apprenez à configurer un appareil exécutant Windows 10 entreprise ou Windows 10 éducation, version 1703 ou antérieure, de sorte que les utilisateurs puissent uniquement exécuter quelques applications spécifiques. Le résultat ressemble à un appareil kiosque, mais avec plusieurs applications disponibles. Par exemple, vous pouvez configurer un ordinateur de bibliothèque afin que les utilisateurs puissent rechercher dans le catalogue et naviguer sur Internet, mais ne puissent pas exécuter d’autres applications ou modifier les paramètres de l’ordinateur.

Notes

Pour les appareils exécutant Windows10, version1709, nous vous recommandons la méthode de borne multi-application.

Vous pouvez limiter les utilisateurs à un ensemble spécifique d’applications sur un appareil exécutant Windows 10 entreprise ou Windows 10 éducation à l’aide d' AppLocker. Les règles AppLocker spécifient les applications dont l’exécution sur l’appareil est autorisée.

Les règles AppLocker sont organisées dans des regroupements basés sur le format de fichier. Si aucune règle AppLocker n’existe pour un regroupement de règles spécifique, tous les fichiers présentant ce format de fichier sont autorisés à s’exécuter. Toutefois, quand une règle AppLocker est créée pour un regroupement de règles spécifique, seuls les fichiers explicitement autorisés dans une règle sont autorisés à s’exécuter. Pour plus d’informations, voir Fonctionnement d’AppLocker.

Cette rubrique décrit comment verrouiller des applications sur un appareil local. Vous pouvez également utiliser AppLocker pour définir des règles pour des applications dans un domaine à l’aide d’une stratégie de groupe.

installer créer verrouiller personnaliser

Installation d’applications

Tout d’abord, installez les applications souhaitées sur l’appareil pour les comptes d’utilisateur cibles. Cela fonctionne pour les applications de plateforme Windows unifiée (UWP) et les applications de bureau Windows. Pour les applications UWP, vous devez vous connecter en tant qu’utilisateur pour l’installation de l’application. Pour les applications de bureau, vous pouvez installer une application pour tous les utilisateurs sans se connecter à ce compte particulier.

Utilisation d’AppLocker pour définir des règles pour les applications

Après avoir installé les applications souhaitées, configurez des règles AppLocker pour autoriser uniquement des applications spécifiques et bloquer tout le reste.

  1. Exécutez la stratégie de sécurité locale (secpol.msc) en tant qu’administrateur.

  2. Accédez à Paramètres de sécurité > Stratégies de contrôle de l’application > AppLocker, puis sélectionnez Configurer la mise en application des règles.

    configurer l’application de règles

  3. Activez Configuré sous Règles de l’exécutable, puis cliquez sur OK.

  4. Cliquez avec le bouton droit sur Règles de l’exécutable, puis cliquez sur Générer automatiquement les règles.

    générer automatiquement des règles

  5. Sélectionnez le dossier contenant les applications que vous souhaitez autoriser, ou sélectionnez C:\ pour analyser toutes les applications.

  6. Tapez un nom pour identifier cet ensemble de règles, puis cliquez sur Suivant.

  7. Dans la page Préférences de règles, cliquez sur Suivant. Soyez patient. La génération des règles peut prendre un certain temps.

  8. Dans la page Vérifier les règles, cliquez sur Créer. L’Assistant va maintenant créer un ensemble de règles autorisant l’ensemble d’applications installées.

  9. Lisez le message, puis cliquez sur Oui.

    avertissement de règles par défaut

  10. (facultatif) Si vous voulez qu’une règle s’applique à un ensemble spécifique d’utilisateurs, cliquez avec le bouton droit sur la règle, puis sélectionnez Propriétés. Utilisez ensuite la boîte de dialogue pour choisir un autre utilisateur ou groupe d’utilisateurs.

  11. (facultatif) Si une règle a été générée pour des applications qui ne doivent pas être exécutées, vous pouvez la supprimer en cliquant avec le bouton droit sur la règle, puis en sélectionnant Supprimer.

  12. Pour qu’AppLocker puisse appliquer des règles, le service Identité de l’application doit être activé. Pour forcer le service Identité de l’application à démarrer automatiquement en cas de réinitialisation, ouvrez une invite de commandes, puis exécutez :

    sc config appidsvc start=auto
    
  13. Redémarrez l’appareil.

Autres paramètres à verrouiller

En plus de spécifier les applications que les utilisateurs peuvent exécuter, vous devez limiter des paramètres et fonctions sur l’appareil. Pour une expérience plus sécurisée, nous vous recommandons d’apporter les modifications de configuration suivantes à l’appareil :

  • Supprimez Toutes les applications.

    Accédez à Éditeur de stratégie de groupe ** > **Configuration utilisateur > Modèles d’administration\Menu Démarrer et barre des tâches\Supprimer la liste Tous les programmes du menu Démarrer.

  • Masquez la fonctionnalité Options d’ergonomie sur l’écran de connexion.

    Sélectionnez Panneau de configuration > Options d’ergonomie > Options d’ergonomie, puis désactivez l’ensemble des outils d’accessibilité.

  • Désactivez le bouton d’alimentation du matériel.

    Sélectionnez Options d’alimentation > Choisir l’action du bouton d’alimentation, définissez le paramètre sur Ne rien faire, puis sélectionnez Enregistrer les modifications.

  • Désactivez la caméra.

    Sélectionnez Paramètres > Confidentialité > Caméra, puis désactivez Autoriser les applications à utiliser ma caméra.

  • Désactivez les notifications d’application sur l’écran de verrouillage.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Connexion\Désactiver les notifications des applications sur l’écran de verrouillage.

  • Désactivez le média amovible.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Installation de périphériques\Restrictions d’installation de périphériques. Passez en revue les paramètres de stratégie disponibles dans Restrictions d’installation de périphériques pour les paramètres applicables à votre situation.

    Remarque pour empêcher ce paramètre de stratégie d’affecter un membre du groupe administrateurs, dans restrictions d’installationde l’appareil, activez l' autorisation dela part des administrateurs.

Pour plus d’informations sur le verrouillage de fonctionnalités, voir Personnalisations de Windows10 Entreprise.

Personnaliser la disposition de l’écran de démarrage de l’appareil (recommandé)

Configurez le menu Démarrer sur l’appareil pour n’afficher que les vignettes des applications autorisées. Vous apportez les modifications manuellement, exportez la disposition vers un fichier .xml, puis appliquez ce fichier aux appareils pour empêcher les utilisateurs d’apporter des modifications. Pour plus d’informations, voir Gestion des options de disposition de l’écran de démarrage de Windows 10.