Partager via


Paramètres et configuration du contrôle de compte d’utilisateur

Liste des paramètres de contrôle de compte d’utilisateur

Le tableau suivant répertorie les paramètres disponibles pour configurer le comportement de la UAC et leurs valeurs par défaut.

Nom du paramètre Description
Administration mode d’approbation pour le compte Administrateur intégré Contrôle le comportement de Administration mode d’approbation pour le compte Administrateur intégré.

Activé : le compte Administrateur intégré utilise le mode d’approbation Administration. Par défaut, toute opération qui nécessite une élévation de privilège invite l’utilisateur à approuver l’opération.
Désactivé (par défaut) : le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.
Autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé Contrôle si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard.

Activé : les programmes UIA, y compris l’assistance à distance, désactivent automatiquement le Bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre Basculer vers le bureau sécurisé lorsque vous demandez une élévation , les invites s’affichent sur le bureau de l’utilisateur interactif au lieu du bureau sécurisé. Ce paramètre permet à l’administrateur distant de fournir les informations d’identification appropriées pour l’élévation. Ce paramètre de stratégie ne modifie pas le comportement de l’invite d’élévation de contrôle de compte d’utilisateur pour les administrateurs. Si vous envisagez d’activer ce paramètre de stratégie, vous devez également examiner l’effet du paramètre de stratégie Comportement de l’invite d’élévation pour les utilisateurs standard : s’il est configuré comme refuser automatiquement les demandes d’élévation, les demandes d’élévation ne sont pas présentées à l’utilisateur.
Désactivé (par défaut) : le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie Basculer vers le bureau sécurisé lorsque vous êtes invité à entrer une élévation.
Comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration Contrôle le comportement de l’invite d’élévation pour les administrateurs.

Élever sans invite : permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans nécessiter de consentement ou d’informations d’identification. Utilisez cette option uniquement dans les environnements les plus limités.
Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe privilégiés. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.
Demander le consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.
Demander des informations d’identification : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
Demander le consentement : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.
Demander le consentement pour les fichiers binaires non Windows (par défaut) : lorsqu’une opération pour une application non-Microsoft nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.
Comportement de l’invite d’élévation pour les utilisateurs standard Contrôle le comportement de l’invite d’élévation pour les utilisateurs standard.

Demander des informations d’identification (par défaut) : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
Refuser automatiquement les demandes d’élévation : lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès refusé configurable s’affiche. Une entreprise qui exécute des bureaux en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique.
Demander des informations d’identification sur le bureau sécurisé Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe différents. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
Détecter les installations d’applications et demander une élévation Contrôle le comportement de la détection de l’installation de l’application pour l’ordinateur.

Activé (par défaut) : lorsqu’un package d’installation d’application qui nécessite une élévation de privilèges est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.
Désactivé : les packages d’installation d’application ne sont pas détectés et ne sont pas invités à effectuer une élévation. Les entreprises qui exécutent des bureaux utilisateur standard et utilisent des technologies d’installation déléguée, telles que Microsoft Intune, doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection du programme d’installation n’est pas nécessaire.
Élever uniquement les exécutables signés et validés Applique des vérifications de signature pour toutes les applications interactives qui demandent une élévation de privilège. Les administrateurs informatiques peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats au magasin de certificats Éditeurs approuvés sur les appareils locaux.

Activé : applique la validation du chemin de certification du certificat pour un fichier exécutable donné avant qu’il ne soit autorisé à s’exécuter.
Désactivé (par défaut) : n’applique pas la validation du chemin de certification du certificat avant qu’un fichier exécutable donné ne soit autorisé à s’exécuter.
Élever uniquement les applications UIAccess installées dans des emplacements sécurisés Contrôle si les applications qui demandent à s’exécuter avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux dossiers suivants :
- %ProgramFiles%, y compris les sous-dossiers
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, y compris les sous-dossiers


Activé (par défaut) : si une application réside dans un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess.
Désactivé : une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé dans le système de fichiers.

Note: Windows applique une signature numérique case activée à toutes les applications interactives qui demandent à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre.
Exécuter tous les administrateurs en mode d’approbation Administration Contrôle le comportement de tous les paramètres de stratégie UAC.

Activé (par défaut) : Administration mode d’approbation est activé. Cette stratégie doit être activée et les paramètres UAC associés doivent être configurés. La stratégie permet au compte Administrateur intégré et aux membres du groupe Administrateurs de s’exécuter en mode d’approbation Administration.
Désactivé : Administration mode d’approbation et tous les paramètres de stratégie UAC associés sont désactivés. Remarque : si ce paramètre de stratégie est désactivé, Sécurité Windows vous avertit que la sécurité globale du système d’exploitation est réduite.
Basculer vers le bureau sécurisé lorsque vous demandez une élévation Ce paramètre de stratégie contrôle si l’invite de demande d’élévation est affichée sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé.

Activé (par défaut) : toutes les demandes d’élévation sont envoyées au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.
Désactivé : toutes les demandes d’élévation sont envoyées au bureau de l’utilisateur interactif. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.
Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur Contrôle si les échecs d’écriture d’application sont redirigés vers des emplacements de registre et de système de fichiers définis. Ce paramètre atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32ou HKLM\Software.

Activé (par défaut) : les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.
Désactivé : les applications qui écrivent des données dans des emplacements protégés échouent.

Configuration du contrôle de compte d’utilisateur

Pour configurer le contrôle de compte d’utilisateur, vous pouvez utiliser :

  • Microsoft Intune/GPM
  • Stratégie de groupe
  • Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Configurer le contrôle de contrôle de compte d’utilisateur avec une stratégie de catalogue Paramètres

Pour configurer des appareils à l’aide de Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres répertoriés sous la catégorie Local Policies Security Options:

Capture d’écran montrant les stratégies UAC dans le catalogue de paramètres Intune.

Affectez la stratégie à un groupe de sécurité qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le fournisseur de services de configuration LocalPoliciesSecurityOptions Policy.
Les paramètres de stratégie se trouvent sous : ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Paramètre
Nom du paramètre : Administration mode d’approbation pour le compte Administrateur intégré
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_UseAdminApprovalMode
Nom du paramètre : autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nom du paramètre : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nom du paramètre : comportement de l’invite d’élévation pour les utilisateurs standard
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nom du paramètre : Détecter les installations d’application et demander une élévation
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Nom du paramètre : élever uniquement les exécutables signés et validés
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Nom du paramètre : élever uniquement les applications UIAccess installées dans des emplacements sécurisés
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nom du paramètre : exécuter tous les administrateurs en mode d’approbation Administration
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nom du paramètre : basculer vers le bureau sécurisé lorsque vous demandez une élévation
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Nom du paramètre : Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur
Nom du fournisseur de services de configuration de stratégie : UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations