Fournisseur de services de configuration de stratégie - Sécurité
AllowAddProvisioningPackage
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Spécifie s’il faut autoriser l’agent de configuration du runtime à installer des packages d’approvisionnement.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Non autorisé. |
1 (par défaut) | Autorisé. |
AllowManualRootCertificateInstallation
Remarque
Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
❌Pro ❌ Enterprise ❌ Éducation ❌Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
Cette stratégie est déconseillée.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Non autorisé. |
1 (par défaut) | Autorisé. |
AllowRemoveProvisioningPackage
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Spécifie s’il faut autoriser l’agent de configuration du runtime à supprimer les packages d’approvisionnement.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Non autorisé. |
1 (par défaut) | Autorisé. |
AntiTheftMode
Remarque
Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
Non applicable | ✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
Cette stratégie est déconseillée.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé. |
1 (par défaut) | Activé. |
ClearTPMIfNotReady
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Ce paramètre de stratégie configure le système pour inviter l’utilisateur à effacer le module de plateforme sécurisée si celui-ci est détecté dans un état autre que Prêt. Cette stratégie prend effet uniquement si le module de plateforme sécurisée du système est dans un état autre que Prêt, y compris si le module de plateforme sécurisée est « Prêt, avec des fonctionnalités réduites ». L’invite pour effacer le module de plateforme sécurisée commence à se produire après le redémarrage suivant, lors de la connexion de l’utilisateur uniquement si l’utilisateur connecté fait partie du groupe Administrateurs pour le système. L’invite peut être ignorée, mais réapparaît après chaque redémarrage et chaque connexion jusqu’à ce que la stratégie soit désactivée ou jusqu’à ce que le module de plateforme sécurisée soit dans un état Prêt.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Ne force pas la récupération à partir d’un état TPM non prêt. |
1 | Invite à effacer le module de plateforme sécurisée si celui-ci est dans un état non prêt (ou une fonctionnalité réduite) qui peut être corrigé avec un TPM Clear. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | ClearTPMIfNotReady_Name |
Nom convivial | Configurez le système pour effacer le TPM s’il n’est pas dans un état prêt. |
Emplacement | Configuration ordinateur |
Chemin d'accès | Services de module de plateforme sécurisée système > |
Nom de la clé de Registre | Software\Policies\Microsoft\TPM |
Nom de la valeur de Registre | ClearTPMIfNotReadyGP |
Nom du fichier ADMX | TPM.admx |
ConfigurerWindowsPasswords
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Configure l’utilisation de mots de passe pour les fonctionnalités Windows.
Remarque
Cette stratégie est uniquement prise en charge dans Windows 10 S.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 2 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Interdire les mots de passe (les informations d’identification asymétriques seront promues pour remplacer les mots de passe sur les fonctionnalités Windows). |
1 | Autoriser les mots de passe (les mots de passe continuent d’être autorisés à être utilisés pour les fonctionnalités Windows). |
2 (par défaut) | En fonction de la référence SKU et des fonctionnalités de l’appareil. Les appareils Windows 10 S affichent par défaut « Interdire les mots de passe », et tous les autres appareils sont par défaut « Autoriser les mots de passe ». |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Spécifie s’il faut autoriser le chiffrement automatique de l’appareil pendant L’OOBE lorsque l’appareil est Microsoft Entra joint.
Pour plus d’informations, consultez Chiffrement d’appareil BitLocker.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Chiffrement activé. |
1 | Chiffrement désactivé. |
RecoveryEnvironmentAuthentication
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ✅Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Cette stratégie contrôle l’exigence de l’authentification Administration dans RecoveryEnvironment.
Procédure de validation :
Pour valider cette stratégie, case activée si l’actualisation (« Conserver mes fichiers ») et la réinitialisation (« Supprimer tout ») nécessitent une authentification administrateur dans l’environnement de récupération Windows (WinRE).
- Tout d’abord, démarrez la réinitialisation par bouton pousseur (PBR) dans WinRE. Ouvrez une invite de commandes en tant qu’administrateur et exécutez la commande suivante :
reagentc /boottore
- L’appareil doit redémarrer sur WinRE. Dans l’interface WinRE, accédez à Résoudre les problèmes et sélectionnez Réinitialiser ce PC. Vous devriez voir deux options : Conserver mes fichiers et Tout supprimer.
- Choisissez l’option Conserver mes fichiers. Afficher le comportement pour l’authentification.
- Sélectionnez la flèche précédent et choisissez Tout supprimer. Afficher le comportement pour l’authentification.
Au lieu de revenir en arrière, vous pouvez également passer en revue les options de réinitialisation et sélectionner Annuler dans la page de confirmation finale. Il retourne ensuite à l’interface winRE main.
Le tableau suivant indique le comportement attendu pour les paramètres de stratégie dans chaque scénario :
- ✔️ Il invite à l’authentification.
- ❌ Aucune authentification n’est requise et continue avec les options de réinitialisation.
Stratégie | Conserver mes fichiers | Tout supprimer |
---|---|---|
Par défaut (0 ) |
✔️ | ❌ |
RequireAuthentication » (1 ) |
✔️ | ✔️ |
NoRequireAuthentication » (2 ) |
❌ | ❌ |
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Comportement actuel). |
1 | RequireAuthentication : l’authentification Administration est toujours requise pour les composants dans RecoveryEnvironment. |
2 | NoRequireAuthentication : l’authentification Administration n’est pas requise pour les composants dans RecoveryEnvironment. |
RequireDeviceEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Permet à l’entreprise d’activer le chiffrement du stockage interne. La valeur la plus restreinte est 1. Important. Si le chiffrement a été activé, il ne peut pas être désactivé à l’aide de cette stratégie.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Le chiffrement n’est pas requis. |
1 | Le chiffrement est requis. |
RequireProvisioningPackageSignature
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Spécifie si les packages d’approvisionnement doivent avoir un certificat signé par une autorité de confiance d’appareil.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Non requis. |
1 | Obligatoire. |
RequireRetrieveHealthCertificateOnBoot
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Spécifie s’il faut récupérer et publier les journaux de démarrage TCG, et obtenir ou mettre en cache un rapport d’attestation d’intégrité chiffré ou signé à partir du service d’attestation Microsoft Health (HAS) lorsqu’un appareil démarre ou redémarre. La définition de cette stratégie sur 1 (Obligatoire):D détermine si un appareil est capable de l’attestation d’intégrité de l’appareil à distance, en vérifiant si l’appareil a TPM 2. 0. Améliore les performances de l’appareil en lui permettant d’extraire et de mettre en cache les données afin de réduire la latence pendant la vérification de l’intégrité de l’appareil.
Remarque
Nous vous recommandons de définir cette stratégie sur Obligatoire après l’inscription mdm. La valeur la plus restreinte est 1.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Non requis. |
1 | Obligatoire. |