Les profils dans Workspace ONE UEM sont les principaux moyens de gérer et de configurer vos terminaux Windows. Vous trouvez ici des informations sur différents profils qui se connectent aux ressources et les protègent, qui limitent et contrôlent les terminaux, et qui sont spécifiques à Dell.
Considérez les profils de sécurité comme des paramètres facilitant l'application des procédures de l'entreprise, lorsqu'ils sont combinés à des politiques de conformité. Ils contiennent les paramètres, les configurations et les restrictions que vous souhaitez appliquer aux terminaux.
Un profil est composé des paramètres de profil généraux et d'une section de configuration spécifique. Les profils fonctionnent mieux lorsqu'ils ne contiennent qu'une seule section de configuration. Dans la console Workspace ONE UEM, vous pouvez trouver des profils d'utilisateur et de terminal en accédant à : Ressources > Profils et lignes de base > Profils.
Les profils Windows Desktop s'appliquent sur un terminal au niveau de l'utilisateur ou du terminal. Lors de la création de profils Windows Desktop, sélectionnez le niveau auquel s'applique le profil. Certains profils ne sont pas disponibles pour les deux niveaux. Vous pouvez uniquement les appliquer soit au niveau de l'utilisateur, soit au niveau du terminal. Workspace ONE UEM console identifie quels profils sont disponibles pour quel niveau. La liste suivante présente certaines mises en garde dont il faut tenir compte pour utiliser avec succès les profils de terminal et d'utilisateur.
Vous pouvez utiliser certains profils et commandes standard pour configurer et contrôler le terminal. Le graphique ci-dessous montre les commandes pour le profil et la console qui n'ont plus besoin d'un utilisateur Windows actif pour les exécuter.
Nom de profil | Installe sans utilisateur Windows actif |
---|---|
Mot de passe | Oui |
Wi-Fi | Oui |
VPN | Oui |
Identifiants | Oui |
Restriction | Oui |
Defender Exploit Guard | Oui |
Protection des données | Oui |
Windows Hello | Oui |
Firewall | Oui |
Chiffrements | Oui |
Antivirus | Oui |
Mises à jour Windows | Oui |
Proxy | Oui |
SCEP | Oui |
Contrôle d'applications | Oui |
Gestion des licences Windows | Oui |
Profil personnalisé (HUB et OMA-DM) | Oui |
Kiosque | Oui |
Personnalisation | Oui |
Distribution pair | Oui |
Filtre d’écriture unifiée | Oui |
Action de Console | Fonctionne sans utilisateur Windows actif |
---|---|
Sécurité des terminaux | Oui |
Informations Windows | Oui |
Attestation d'intégrité | Oui |
Mises à jour du système d'exploitation disponibles | Oui |
Check-in du Hub | Oui |
Exemple de liste de certificats | Oui |
Informations de sécurité | Oui |
Informations | Oui |
Exemple de liste d'applications - HUB | Oui |
Exemple de liste d'applications - OMA-DM | Oui |
Capteur | Oui |
Flux de travail | Oui |
Fenêtre de temps | Oui |
Redémarrage | Oui |
Effacement des données professionnelles | Oui |
Réinitialisation du terminal | Oui |
Réinitialisation des données d'entreprise | Oui |
Demander la journalisation du terminal | Oui |
Nous avons mis à jour vos options d'attribution des profils d'utilisateurs et de terminaux en ajoutant un deuxième générateur de plateforme Windows(bêta). Dans la console, lors de l'ajout d'un profil d'utilisateur ou de terminal, vous devrez sélectionner les plateformes Windows ou Windows(bêta). Navigation : Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Windows -OU- Windows(bêta)
Vous pouvez continuer à ajouter et personnaliser des profils d'utilisateurs et de terminaux avec des paramètres personnalisés et l'intégration à Workspace ONE Intelligent Hub à l'aide de cette option de plateforme. Si vous avez configuré des paramètres personnalisés via l'Intelligent Hub, continuez à utiliser cette option au lieu de migrer vers les nouvelles options de plate-forme Windows(bêta), car la version bêta ne prendra pas en charge tous les paramètres personnalisés pour le moment.
Migrez vers cette plateforme si vous n'utilisez pas de paramètres personnalisés pour vos profils d'utilisateurs et de terminaux. Lors de l'ajout d'un profil, vous pourrez rechercher les options de fournisseurs de services de configuration natifs (CSP) Microsoft, puis l'appliquer à vos profils si nécessaire. Les améliorations ultérieures seront apportées, telles que l'ajout de modèles VMware actuellement définis derrière un indicateur de fonctionnalité.
Les paramètres personnalisés ne sont actuellement pas pris en charge. Une liste complète des détails des CSP est disponible sur le site Web de Microsoft : Détails de la politique CSP.
Sous l'option de plateforme Windows (bêta), le modèle natif Microsoft est disponible sans indicateur de fonctionnalité. Sur l'onglet Natif Microsoft, vous pouvez rechercher et appliquer d'autres options de CSP natifs Microsoft si nécessaire. Dans la liste déroulante Comptes, une fonctionnalité ajoutée affiche les informations des versions Windows prises en charge (si Microsoft l'a fournie).
Sous l'option de plateforme Windows (bêta), telle que le modèle natif Microsoft mais derrière un indicateur de fonctionnalité, nous avons créé des modèles VMware DDUI (Data-Driven User Interface). L'onglet Modèles VMware vous offre, en tant qu'administrateur, des options plus granulaires pour définir un niveau de personnalisation plus approfondi de certains CSP natifs Microsoft avec des paramètres préconfigurés et la possibilité de personnaliser trois de nos configurations les plus courantes sous : Optimisation de la distribution, Gestion des correctifs et Proxy. À l'aide des options dans ces sections, vous pouvez ajuster les paramètres préconfigurés selon vos besoins.
Remarque : Si vous configurez les deux onglets (Natif Microsoft et Modèles VMware), assurez-vous que les éléments dans les modèles VMware ne sont PAS également définis sous Natif Microsoft, car l'un d'eux peut remplacer l'autre et/ou créer un problème.
La création d'un profil d'antivirus permet de configurer l'antivirus Windows Defender natif sur les terminaux Windows Desktop. Le fait de configurer Windows Defender pour tous les terminaux permet de garantir la protection des utilisateurs utilisant leur terminal.
Important : Ce profil ne configure que l'Antivirus Windows Defender natif, pas les autres programmes antivirus tiers.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Antivirus.
Configurez les paramètres dans l'onglet Antivirus :
Paramètres | Descriptions |
---|---|
Surveillance en temps réel | Activez ce paramètre pour que l'Antivirus Windows Defender surveille le terminal en temps réel. |
Sens d'analyse en temps réel | Activez ce paramètre pour que l'Antivirus Windows Defender surveille les fichiers entrants, les fichiers sortants ou tous les fichiers. Utilisez cette option pour obtenir des performances réseau pour les serveurs ou les rôles de serveur que vous avez définis pour les installations Windows Server qui gèrent le trafic dans un sens unique. |
Niveau de protection du cloud | Activez ce paramètre pour configurer le degré d'agressivité de l'Antivirus Windows Defender en matière de blocage et d'analyse des fichiers suspects. Prenez en considération les performances réseau lors de la configuration de cet élément de menu. |
Délai d'expiration du bloc du cloud | Sélectionnez une durée, en secondes, pendant laquelle un fichier reste bloqué lorsque l'Antivirus Windows Defender analyse son potentiel de menace. La durée de blocage par défaut est de 10 secondes. Le système ajoute les secondes définies dans cet élément de menu à la durée par défaut. |
Mises à jour de la signature | Intervalle de mise à jour de la signature en heures Sources des partages de fichiers des mises à jour de la signature Vérifier la signature avant l'exécution de l'analyse Ordre de rétablissement des mises à jour de la signature |
Intervalle d'analyse | Analyse complète : activez ce paramètre pour planifier une analyse complète. Sélectionnez l'intervalle de temps (en heures) entre les analyses. Analyse rapide : activez ce paramètre pour planifier une analyse rapide. Sélectionnez l'intervalle de temps (en heures) entre les analyses. |
Exclusions | Sélectionnez les chemins de fichier ou processus à exclure des analyses de l'Antivirus Windows Defender. Sélectionnez Ajouter nouveau pour ajouter une exception. |
Action par défaut contre les menaces (Basse, Modérée, Haute, Grave) | Définissez l'action par défaut pour les niveaux de menaces différentes rencontrés durant les analyses. Effacer – Sélectionnez ce paramètre pour effacer les problèmes inhérents à la menace. Quarantaine – Sélectionnez ce paramètre pour isoler la menace dans un dossier de quarantaine. Supprimer – Sélectionnez ce paramètre pour supprimer la menace de votre système. Autoriser – Sélectionnez ce paramètre pour conserver la menace. Personnalisé – Sélectionnez ce paramètre pour laisser l'utilisateur choisir l'action qu'il souhaite entreprendre sur la menace. Aucune action – Sélectionnez ce paramètre pour n'entreprendre aucune action sur la menace. Bloquer – Sélectionnez ce paramètre pour bloquer la menace et l'empêcher d'accéder au terminal. |
Avancé | Analyser le facteur de charge CPU moyen : définissez le pourcentage moyen maximal du processeur que l'Antivirus Windows Defender peut utiliser au cours des analyses. Verrouillage IU : activez ce paramètre pour verrouiller intégralement l'interface utilisateur de sorte que les utilisateurs finaux ne puissent pas modifier de paramètres. Analyse complète de rattrapage : activez ce paramètre pour autoriser l'exécution d'une analyse complète ayant été précédemment interrompue ou manquée. Une analyse de rattrapage est entreprise lorsqu'une analyse planifiée n'a pas pu être effectuée. En règle générale, la non-exécution d'analyses régulières est due au fait que l'ordinateur était éteint à ce moment-là. Analyse rapide de rattrapage : activez ce paramètre pour autoriser l'exécution d'une analyse rapide ayant été précédemment interrompue ou manquée. Une analyse de rattrapage est entreprise lorsqu'une analyse planifiée n'a pas pu être effectuée. En règle générale, la non-exécution d'analyses régulières est due au fait que l'ordinateur était éteint à ce moment-là. Analyse du comportement : activez ce paramètre pour que l'analyseur de virus envoie un journal d'activité à Microsoft. Système de prévention d'intrusion : activez ce paramètre pour configurer la protection du réseau contre l'exploitation de vulnérabilités connues. Cette option permet à l'Antivirus Windows Defender de surveiller les connexions en permanence et d'identifier les comportements potentiellement malveillants. À cet égard, le logiciel se comporte tel un analyseur de virus classique, mais au lieu d'analyser des fichiers, il analyse le trafic réseau. Protection PUA : activez ce paramètre pour que l'Antivirus Windows Defender surveille les applications potentiellement indésirables (PUA) sur les clients finaux. Protection IOAV : activez ce paramètre pour que Windows Defender analyse les fichiers téléchargés. Protection OnAccess : activez ce paramètre pour que l'Antivirus Windows Defender protège les fichiers et les dossiers contre tout accès non autorisé. Protection du Cloud : activez ce paramètre pour que l'Antivirus Windows Defender détecte et empêche les menaces rapidement à l'aide des ressources propriétaires et l'apprentissage machine. Consentement de l'utilisateur : activez ce paramètre pour que l'Antivirus Windows Defender invite l'utilisateur du client final à donner son consentement avant qu'il agisse sur les menaces identifiées. Analyse des e-mails : activez ce paramètre pour que Windows Defender analyse les e-mails. Analyser les lecteurs réseau mappés : activez ce paramètre pour que l'Antivirus Windows Defender analyse des lecteurs mappés vers des terminaux. Analyser les archives : activez ce paramètre pour que l'Antivirus Windows Defender exécute une analyse complète sur des dossiers archivés. Analyser les lecteurs amovibles : activez ce paramètre pour que l'antivirus Windows Defender analyse tout lecteur amovible rattaché au terminal. Supprimer les fichiers en quarantaine après : définissez la durée de conservation des fichiers placés en quarantaine avant leur suppression. |
Cliquez sur Enregistrer et publier.
Limitez les applications pouvant être installées sur les terminaux Windows Desktop avec le profil Contrôle des applications. Le fait de limiter les installations d'applications protège vos données des applications malveillantes et évite aux utilisateurs de recevoir sur les terminaux de l'entreprise des applications dont ils n'ont pas besoin.
Pour autoriser ou interdire l'installation d'applications sur les terminaux, activez le contrôle des applications pour approuver ou bloquer des applications spécifiques. Alors que le moteur de conformité surveille les terminaux et y recherche les applications approuvées ou bloquées, le contrôle des applications empêche les utilisateurs d'essayer d'ajouter ou de supprimer des applications. Vous pouvez, par exemple, empêcher l'installation de certaines applications de jeux ou autoriser seulement les applications approuvées. Les applications bloquées et installées sur un terminal avant l'envoi de la section de configuration Contrôle des applications sont désactivées une fois le profil déployé.
Le profil Contrôle d'application réduit le coût de gestion des terminaux, car il empêche l'utilisateur d'exécuter des applications interdites qui pourraient provoquer des problèmes. Le blocage des applications pouvant provoquer des problèmes réduit le nombre d'appels auxquels le personnel d'assistance doit répondre.
Activez le contrôle des applications pour approuver ou bloquer des applications spécifiques pour autoriser ou interdire l'installation d'applications sur les terminaux. Le contrôle des applications utilise des configurations Microsoft AppLocker pour forcer le contrôle des applications sur les terminaux Windows.
Pour configurer un fichier de configuration XML, vous devez configurer les paramètres Applocker sur un terminal et exporter le fichier à utiliser avec le profil.
Le profil Contrôle des applications requiert Windows Entreprise ou Éducation.
Important :
Procédure
Configurez les paramètres BIOS pour des terminaux Dell Enterprise à l'aide du profil BIOS. Ce profil nécessite l'intégration à Dell Command | Monitor.
La prise en charge des paramètres de profil BIOS varie selon le terminal Dell Enterprise. Dell Command | Monitor doit être chargé et/ou attribué à chaque terminal.
Conditions prérequises
Procédure
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Remarque : Il existe désormais une option par défaut pour les profils. L'option par défaut n'apportera aucune modification au paramètre sur le terminal. Dans les paramètres par défaut du nouveau profil, les paramètres de mot de passe seront définis sur Gérer et tous les autres paramètres seront définis sur Par défaut.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration BIOS et configurez les paramètres suivants.
Cliquez sur Enregistrer et publier.
Un profil Identifiants vous permet de déployer des certificats racine, intermédiaire et client sur les terminaux Windows afin de prendre en charge tous les cas d'utilisation d'infrastructure à clé publique (PKI) et d'authentification des certificats. Le profil déploie les identifiants configurés dans la zone de stockage adéquate sur le terminal Windows Desktop. Apprenez à configurer un profil Identifiants pour activer l'authentification pour vos terminaux Windows.
Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour utiliser les certificats de cette manière, vous devez d'abord configurer section de configuration Identifiants avec une autorité de certification, mais aussi vos propres sections de configuration Wi-Fi et VPN. Chacune de ces sections de configuration dispose de paramètres permettant d'associer l'autorité de certification définie dans la section de configuration Identifiants.
Le profil Identifiants vous permet également d'envoyer des certificats S/MIME aux terminaux. Ces certificats sont chargés dans chaque compte d'utilisateur et sont contrôlés par le profil Identifiants.
Un profil Identifiants envoie des certificats aux terminaux pour qu'ils soient utilisés dans l'authentification. Avec Workspace ONE UEM, vous pouvez configurer les identifiants pour des magasins de certificat personnels, intermédiaires, de racines de confiance, de serveurs de publication approuvés et de personnes autorisées. Apprenez à configurer un profil Identifiants pour activer l'authentification pour vos terminaux Windows.
Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour utiliser les certificats de cette manière, vous devez d'abord configurer la charge utile des identifiants avec une autorité de certificat, mais aussi vos propres charges utiles Wi-Fi et VPN. Chacune de ces charges utiles dispose de paramètres permettant d'associer l'autorité de certificat définie dans la charge utile des identifiants.
Le profil Identifiants vous permet également d'envoyer en Push des certificats S/MIME aux terminaux. Ces certificats sont chargés dans chaque compte d'utilisateur et sont contrôlés par le profil Identifiants.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur ou Profil du terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Identifiants et configurez les paramètres suivants :
Paramètres | Descriptions |
---|---|
Source des identifiants | Sélectionnez la source des identifiants Importer, Autorité de certificat définie ou Certificat utilisateur. Les options de section de configuration restantes dépendent de la source. Si vous sélectionnez Charger, vous devez charger un nouveau certificat. Si vous sélectionnez Autorité de certification définie, vous devez choisir une autorité de certification prédéfinie, ainsi qu'un modèle de certificat. Si vous sélectionnez Certificat utilisateur, vous devez sélectionner le mode d'utilisation du certificat S/MIME. |
Importer | Sélectionnez ce paramètre pour naviguer vers le fichier de certificat d'identifiant requis et l'importer dans Workspace ONE UEM Console. Ce paramètre apparaît lorsque Importer est sélectionné en tant que Source des identifiants. |
Autorité de certification | Utilisez le menu déroulant pour sélectionner une autorité de certification prédéfinie. Ce paramètre apparaît lorsque Autorité de certification définie est sélectionnée en tant que Source des identifiants. |
Modèle de certificat | Utilisez le menu déroulant pour sélectionner un modèle de certificat prédéfini pour l'autorité de certification sélectionnée. Ce paramètre apparaît lorsque Autorité de certification définie est sélectionnée en tant que Source des identifiants. |
Emplacement de la clé | Sélectionnez l'emplacement de la clé privée du certificat : TPM si disponible – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM) s'il y en a sur le terminal ; dans le cas contraire, stockez-la dans le système d'exploitation. TPM obligatoire – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM). S'il n'y a pas de TPM, le certificat ne peut pas être installé et une erreur s'affiche sur le terminal. Logiciel – Sélectionnez ce paramètre pour stocker la clé privée dans le système d'exploitation du terminal. Passport – Sélectionnez ce paramètre pour sauvegarder la clé privée dans Microsoft Passport. Cette option nécessite l'intégration d'Azure AD. |
Magasin de certificats | Sélectionnez le magasin de certificats approprié pour que l'identifiant réside dans le terminal : Personnel – Sélectionnez ce paramètre pour stocker des certificats personnels. Les certificats personnels nécessitent la présence de Workspace ONE Intelligent Hub sur le terminal ou l'utilisation de la section SCEP. Intermédiaire – Sélectionnez ce paramètre pour stocker les certificats issus d'autorités de certification intermédiaires. Racine de confiance – Sélectionnez ce paramètre pour stocker des certificats provenant d'autorités de certification de confiance, ainsi que des certificats racines issus de votre organisation et de Microsoft. Serveur de publication fiable – Sélectionnez ce paramètre pour stocker des certificats provenant d'autorités de certification de confiance approuvées par des politiques de restriction de logiciels. Personnes fiables – Sélectionnez ce paramètre pour stocker des certificats provenant de personnes fiables ou d'entités explicitement approuvées. Il s'agit pour la plupart de certificats auto-signés ou de certificats explicitement approuvés dans une application telle que Microsoft Outlook. |
Emplacement du magasin | Sélectionnez Utilisateur ou Ordinateur pour définir l'emplacement du certificat. |
S/MIME | Indiquez si le certificat S/MIME est destiné au chiffrement ou à la signature. Cette option s'affiche uniquement si l'option Source des informations d'identification est définie sur Certificat utilisateur. |
Sélectionnez Enregistrer et publier pour envoyer le profil aux terminaux.
La section de configuration Paramètres personnalisés permet d'utiliser les fonctionnalités Windows Desktop que Workspace ONE UEM ne prend pas en charge actuellement par ses sections de configuration natives. Si vous souhaitez utiliser les nouvelles fonctionnalités, vous pouvez utiliser la charge utile des Paramètres personnalisés et le code XML pour activer ou désactiver certains paramètres manuellement.
Conditions prérequises
Pour un profil Windows Desktop, vous devez écrire votre propre code SyncML. Microsoft publie un site de référence Fournisseur de services de configuration disponible sur leur site Web. Pour créer un SyncML personnalisé, essayez le fling Créateur de stratégies disponible via le programme Flings VMware.
Exemple de code
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
</Item>
</Replace>
Procédure
Accédez au programme Flings VMware.
Sélectionnez la stratégie des fournisseurs de services de configuration que vous souhaitez utiliser pour créer votre profil personnalisé.
Cliquez sur Configurer.
Sur la page Configurer, configurez les paramètres de la stratégie pour répondre aux besoins de votre entreprise.
Sélectionnez la commande à utiliser avec la stratégie : Ajouter, Supprimer, Enlever ou Remplacer.
Sélectionnez le bouton Copier.
Dans Workspace ONE UEM Console, accédez à Ressources > Profils et lignes de base > Profils > Ajouter, puis sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur ou Profil du terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Paramètres personnalisés puis cliquez sur Configurer.
Sélectionnez une Cible pour le profil personnalisé.
La plupart des cas d'utilisation utilisent OMA-DM comme Cible. Utilisez Workspace ONE Intelligent Hub lorsque vous personnalisez un profil BitLocker ou que vous cherchez à empêcher les utilisateurs de désactiver le service AirWatch.
Sélectionnez Rendre les commandes atomiques pour autant que votre SyncML utilise les commandes Add
, Delete
ou Replace
. Si votre code utilise Exec
, ne sélectionnez pas Rendre les commandes atomiques.
Collez le code XML que vous venez de copier dans la zone de texte Paramètres d'installation. Le code XML que vous collez doit contenir le bloc de code complet, qui va de <Add>
à </Add>
(ou similairement pour toute autre commande utilisée par votre code SyncML). N'incluez rien avant ou après ces balises.
Ajoutez le code de suppression à la zone de texte Supprimer des paramètres. Le code de suppression doit contenir les balises <replace> </replace>
ou <delete> </delete>
.
Ce code permet l'exécution de fonctionnalités Workspace ONE UEM telles que Supprimer le profil et Désactiver le profil. Sans le code de suppression, vous ne pouvez pas supprimer le profil des terminaux sans transférer un deuxième profil Paramètres personnalisés. Pour plus d'informations, reportez-vous à l'article https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.
Sélectionnez Enregistrer et publier.
Utilisez un profil de paramètres personnalisés pour empêcher les utilisateurs finaux de désactiver Workspace ONE UEM (AirWatch) Service sur leurs terminaux Windows. Empêcher les utilisateurs finaux de désactiver le service Workspace ONE UEM garantit que Workspace ONE Intelligent Hub exécute des check-ins réguliers avec Workspace ONE UEM Console et reçoit les dernières mises à jour de la stratégie.
Créez un profil Paramètres personnalisés.
Définissez la Cible sur Agent de protection.
Copiez le code suivant et collez-le dans la zone de texte Paramètres personnalisés.
<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
<characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
<parm name="LockDownAwService" value="True"/>
</characteristic>
</wap-provisioningdoc>
Cliquez sur Enregistrer et publier. Si vous souhaitez supprimer la restriction pour les terminaux de l'utilisateur, vous devez envoyer un profil distinct en utilisant le code suivant.
<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
<characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
<parm name="LockDownAwService" value="False"/>
</characteristic>
</wap-provisioningdoc>
VMware Dynamic Environment Manager (DEM) fournit une expérience utilisateur persistante pour les sessions utilisateur sur les terminaux Windows. Les fonctionnalités incluent la personnalisation des paramètres de Windows et d'application, ainsi que l'exécution d'actions de l'utilisateur et de l'ordinateur pour certains déclencheurs ou lors du lancement d'applications. Vous pouvez intégrer Dynamic Environment Manager et Workspace ONE UEM pour utiliser ces fonctionnalités avec le profil DEM.
Le profil DEM dans Workspace ONE UEM déploie un profil de configuration DEM créé dans la console de gestion VMware Dynamic Environment Manager (console de gestion DEM). Le profil de configuration DEM fonctionne sur les terminaux Windows gérés par Workspace ONE UEM, qu'ils soient virtuels, physiques ou basés sur le Cloud. Sur le terminal, Workspace ONE Intelligent Hub pour Windows et DEM FlexEngine extraient et appliquent vos profils.
Pour plus d'informations sur VMware Dynamic Environment Manager, reportez-vous au site VMware Docs.
Le CDN est requis pour cette fonctionnalité.
Avant de pouvoir intégrer VMware Dynamic Environment Manager (DEM) et Workspace ONE UEM, vous devez installer la console de gestion DEM et déployer DEM FlexEngine sur des terminaux gérés.
Configure | Integration | Workspace ONE UEM Integration
.msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
Utilisez les profils de terminaux Workspace ONE UEM pour déployer vos configurations DEM (Dynamic Environment Manager) sur vos terminaux Windows gérés.
Workspace ONE UEM déploie le profil de configuration DEM sur les terminaux gérés dans les Smart Groups attribués. Le DEM FlexEngine et Workspace ONE Intelligent Hub pour Windows appliquent vos profils de configuration DEM. Les modifications de profil ne sont visibles qu'après la fermeture et l'ouverture de session sur le terminal une fois le déploiement du profil effectué par le système.
L'utilisateur du terminal doit fermer sa session, puis se reconnecter au terminal géré Windows afin de voir les modifications de profil déployées par les profils de configuration DEM.
Le profil Protection des données configure des règles pour contrôler la manière dont les applications d'entreprise ont accès aux données de différentes sources de votre organisation. Découvrez comment l'utilisation du profil de protection des données garantit que vos données ne sont accessibles que par des applications sécurisées et approuvées.
Lorsque les données personnelles et d'entreprise se trouvent sur un même terminal, elles peuvent être divulguées par accident à des services que votre organisation ne contrôle pas. Grâce à la section de configuration Protection des données, Workspace ONE UEM contrôle le mouvement des données d'entreprise entre les applications afin de limiter les fuites et de réduire l'impact sur les utilisateurs. Workspace ONE UEM utilise la fonctionnalité WIP (Windows Information Protection) de Microsoft pour protéger vos terminaux Windows.
La protection des données approuve les applications d'entreprise, ce qui leur accorde l'accès aux données de l'entreprise issues de réseaux protégés. Si un utilisateur déplace des données vers des applications qui n'appartiennent pas à l'entreprise, vous pouvez agir en fonction des politiques de mise en application sélectionnées.
La fonctionnalité WIP traite les données comme étant des données d'entreprise non chiffrées ou comme des données personnelles à protéger et à chiffrer. Les applications approuvées pour la protection des données se répartissent en quatre types. Ces types déterminent le mode d'interaction de l'application avec les données protégées.
Important : le profil Protection des données nécessite la protection WIP (Windows Information Protection). Cette fonctionnalité nécessite la mise à jour anniversaire de Windows. Vous pouvez tester ce profil avant de le déployer en production.
Créez le profil Protection des données (aperçu) pour utiliser la fonctionnalité Protection des informations Microsoft Windows afin de limiter l'accès des utilisateurs et des applications aux données de votre organisation dans des applications et des réseaux approuvés. Vous pouvez définir les contrôles détaillés de la protection des données.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis choisissez Windows Desktop en tant que plateforme.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la charge utile Protection des données.
Configurez les paramètres Protection des données d'entreprise :
Paramètres | Descriptions |
---|---|
Ajout | Sélectionnez ce paramètre pour ajouter des applications d'entreprise à la liste des entreprises autorisées. Les applications ajoutées ici sont fiables et autorisées à utiliser des données d'entreprise. |
Type d'application | Déterminez si cette application est une application de bureau standard ou une application du Microsoft Store. Vous pouvez également sélectionner un éditeur d'applications ou stocker des applications. Le fait de sélectionner un éditeur approuve toutes les applications de cet éditeur. |
Nom | Saisissez le nom de l'application. Si l'application est une application Microsoft Store, sélectionnez l'icône Recherche pour rechercher le nom de la famille de modules (PFN) de l'application. |
Identifiant | Indiquez le chemin d'accès au fichier d'une application de bureau ou le nom de la famille de packages dans le cas d'une application de magasin. |
Exempté | Cochez cette case si l'application ne prend pas en charge la protection complète des données, mais a encore besoin d'accéder aux données d'entreprise. L'activation de cette option exempte l'application de toute restriction en matière de protection des données. Ces applications sont souvent des applications existantes qui ne prennent pas encore en charge la protection des données. La création d'exemptions crée des écarts dans la protection des données. Créez des exemptions uniquement lorsque c'est nécessaire. |
Domaine principal | Saisissez le domaine principal qu'utilisent vos données d'entreprise. Les données provenant de réseaux protégés sont accessibles par les applications d'entreprise uniquement. Une tentative d'accès à un réseau protégé émanant d'une application qui ne figure pas sur la liste des applications autorisées de l'entreprise entraînera la mise en application d'une politique. Saisissez le nom des domaines en minuscules uniquement. |
Noms de domaines protégés d'entreprise | Entrez la liste des domaines (autres que le domaine principal) utilisée par l'entreprise pour ses identités utilisateur. Séparez les domaines par une barre verticale | . Saisissez le nom des domaines en minuscules uniquement. |
Plages d'adresses IP d'entreprise | Saisissez les plages d'adresses IP d'entreprise qui définissent les terminaux Windows dans le réseau d'entreprise. Les données issues des terminaux figurant dans cette plage sont considérées comme faisant partie de l'entreprise et sont protégées. Ces emplacements sont considérés comme étant des destinations sûres pour le partage des données d'entreprise. |
Noms de domaines de réseaux d'entreprise | Saisissez la liste des domaines qui définissent les limites du réseau d'entreprise. Les données d'un domaine répertorié qui est envoyé à un terminal sont considérées comme étant des données d'entreprise et sont protégées. Ces emplacements sont considérés comme étant des destinations sûres pour le partage des données d'entreprise. |
Serveurs proxy d'entreprise | Saisissez la liste des serveurs proxy que l'entreprise peut utiliser pour les ressources d'entreprise. |
Ressources d'entreprise dans le Cloud | Saisissez la liste des domaines de ressources d'entreprise hébergés dans le Cloud et qui doivent être protégés par routage par l'intermédiaire du réseau et d'un serveur proxy (port 80). Si Windows ne peut pas déterminer si une application peut être autorisée à se connecter à une ressource réseau, il bloque automatiquement la connexion. Si vous souhaitez que, par défaut, Windows autorise les connexions, ajoutez la chaîne /*AppCompat*/ au paramètre. Par exemple : www.air-watch.com | /*AppCompat*/ Ajoutez la chaîne /*AppCompat*/ uniquement pour changer le paramètre par défaut. |
Niveau de protection des données d'application | Définissez le niveau de protection et les actions à entreprendre pour protéger les données d'entreprise. |
Afficher les icônes EDP | Activez ce paramètre pour afficher une icône EDP dans le navigateur Web, l'explorateur de fichiers et les icônes d'application lors de l'accès aux données protégées. L'icône s'affiche également dans les vignettes d'application professionnelle du menu Démarrer. |
Révoquer après un désenrôlement | Activez ce paramètre pour révoquer les clés de protection des données d'un terminal lorsque ce dernier est désenrôlé de Workspace ONE UEM. |
Déchiffrement utilisateur | Activez ce paramètre pour autoriser les utilisateurs à sélectionner le mode d'enregistrement des données à l'aide d'une application compatible. Ils peuvent sélectionner Enregistrer comme données d'entreprise ou Enregistrer comme données personnelles. Si cette option n'est pas activée, toutes les données enregistrées à l'aide d'une application compatible sont enregistrées en tant que données d'entreprise et sont chiffrées à l'aide du système de chiffrement de l'entreprise. |
Accès direct à la mémoire | Activez ce paramètre pour autoriser des utilisateurs à accéder directement à la mémoire du terminal. |
Certificat de récupération des données | Importez le certificat spécial intitulé « Système de fichiers EFS » utilisé pour la récupération de fichiers, dans le cas où votre clé de chiffrement serait perdue ou endommagée. |
Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.
Le profil Protection des données chiffre les données d'entreprise et limite l'accès aux terminaux approuvés. Créez un certificat EFS pour chiffrer les données de votre entreprise par un profil Protection des données.
Sur un ordinateur sans certificat EFS, ouvrez une invite de commande (avec droits administrateur) et accédez au magasin de certificats dans lequel vous souhaitez stocker le certificat.
Exécutez la commande : cipher /r:<EFSRA>
Valeur de
Lorsque vous y êtes invité, saisissez le mot de passe afin de protéger votre nouveau fichier .pfx.
Les fichiers .cer et .pfx sont créés dans le magasin de certificats que vous avez sélectionné.
Importez votre certificat .cer dans les terminaux dans le cadre d'un profil Protection des données.
Protégez vos terminaux Windows des failles d'exploitation et des logiciels malveillants avec le profil Windows Defender Exploit Guard. Workspace ONE UEM utilise ces paramètres pour protéger vos terminaux des failles d'exploitation, réduire les surfaces d'attaque, contrôler l'accès aux dossiers et protéger vos connexions réseau.
Divers programmes malveillants et failles d'exploitation utilisent les vulnérabilités de vos terminaux Windows pour accéder à votre réseau et à vos terminaux. Workspace ONE UEM utilise le profil Windows Defender Exploit Guard pour protéger vos terminaux de ces acteurs malintentionnés. Le profil utilise les paramètres Windows Defender Exploit Guard natifs de Windows. Le profil contient quatre méthodes de protection différentes. Ces méthodes couvrent différentes vulnérabilités et vecteurs d'attaque.
Exploit Protection applique automatiquement des atténuations de failles d'exploitation au système d'exploitation et aux applications. Ces atténuations fonctionnent également avec les antivirus tiers et Windows Defender. Dans le profil de Windows Defender Exploit Guard, vous configurez ces paramètres en téléchargeant un fichier XML de configuration. Ce fichier doit être créé à l'aide de l'application de sécurité Windows ou de PowerShell.
Les règles de réduction de la surface d'attaque permettent d'éviter les actions typiques que les logiciels malveillants utilisent pour infecter des terminaux. Ces règles visent des actions telles que :
Les règles de réduction de la surface d'attaque requièrent que la protection en temps réel de Windows Defender soit activée.
L'accès contrôlé aux dossiers permet de protéger vos données précieuses contre les applications et les menaces malveillantes, y compris les ransomware. Lorsque ce paramètre est activé, l'antivirus Windows Defender passe en revue toutes les applications (.EXE, .SCR, .DLL, etc.). Windows Defender détermine ensuite si l'application est malveillante ou sûre. Si l'application est marquée comme malveillante ou suspecte, Windows empêche l'application de modifier les fichiers dans les dossiers protégés.
Les dossiers protégés incluent des dossiers système communs. Vous pouvez ajouter des dossiers à la fonctionnalité Accès contrôlé aux dossiers. La plupart des applications connues et approuvées peuvent accéder aux dossiers protégés. Si vous souhaitez qu'une application interne ou inconnue accède à des dossiers protégés, vous devez ajouter le chemin d'accès au fichier d'application lors de la création du profil.
L'accès contrôlé aux dossiers requiert que la protection en temps réel de Windows Defender soit activée.
La protection réseau permet de protéger les utilisateurs et les données contre les tentatives d'hameçonnage et les sites Web malveillants. Ces paramètres empêchent les utilisateurs d'utiliser n'importe quelle application pour accéder à des domaines dangereux pouvant héberger des attaques par hameçonnage, des exploits ou des logiciels malveillants.
La protection réseau requiert que la protection en temps réel de Windows Defender soit activée.
Pour plus d'informations sur les paramètres configurés et les protections contre les exploits spécifiques, reportez-vous à https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy.
Créez un profil Defender Exploit Guard avec Workspace ONE UEM pour protéger vos terminaux Windows contre les failles et les logiciels malveillants. Découvrez comment utiliser le profil pour configurer les paramètres de Windows Defender Exploit Guard sur vos terminaux Windows.
Lorsque vous créez des règles et des paramètres pour Réduction de la surface d'attaque, Accès contrôlé aux dossiers et Protection réseau, vous devez sélectionner Activé, Désactivé ou Audit. Ces options modifient le fonctionnement de la règle ou du paramètre.
Conditions prérequises
Pour utiliser les paramètres Exploit Protection sur ce profil, vous devez créer un fichier XML de configuration à l'aide de l'application de sécurité Windows ou de PowerShell sur un terminal individuel avant de créer le profil.
Procédure
Sécurisez les données de votre organisation sur les terminaux Windows Desktop à l'aide du profil Chiffrement. Le profil Chiffrement définit la stratégie de chiffrement BitLocker sur vos terminaux Windows Desktop afin d'assurer la sécurité des données.
Le chiffrement BitLocker est uniquement disponible sur les terminaux Windows Entreprise, Éducation et Pro.
Par leur conception, les ordinateurs portables et les tablettes sont des terminaux mobiles : les données de votre entreprise risquent d'être perdues ou dérobées. En mettant en application une politique de chiffrement via Workspace ONE UEM, vous pouvez protéger vos données sur disque dur. BitLocker est la méthode de chiffrement Windows native et Dell Data Protection | Encryption est une solution de chiffrement tierce de Dell. Si le profil Chiffrement est activé, Workspace ONE Intelligent Hub vérifie en permanence l'état de chiffrement du terminal. Si Workspace ONE Intelligent Hub s'aperçoit que le terminal n'est pas chiffré, il le chiffre automatiquement.
Si vous décidez de chiffrer avec BitLocker, une clé de récupération créée lors du chiffrement est stockée pour chaque lecteur (s'il est configuré) dans Workspace ONE UEM Console. L'administrateur a la possibilité de faire des clés de récupération une clé à usage unique. Si cette option est sélectionnée, une nouvelle clé de récupération est générée après son utilisation. L'utilisateur devra ensuite contacter l'administrateur pour obtenir la nouvelle clé de récupération mise à jour. Pour plus d'informations, reportez-vous à la section Clés de récupération.
Le profil Chiffrement nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal.
Remarque : Le profil Chiffrement ne peut en outre ni configurer ni activer Dell Data Protection | Encryption. L'état du chiffrement est remonté dans Workspace ONE UEM Console et dans le portail self-service, mais le chiffrement doit être configuré manuellement sur le terminal.
Attention : Windows ne prend pas en charge les terminaux sans clavier virtuel dans l'écran de préinitialisation. Sans clavier, vous ne pouvez pas entrer le code PIN d'initialisation nécessaire au déverrouillage du disque dur et au démarrage de Windows sur le terminal. L'envoi de ce profil à des terminaux sans clavier dans l'écran de préinitialisation bloque votre terminal.
Le profil Chiffrement utilise la fonctionnalité BitLocker afin de contrôler l'authentification et le déploiement du chiffrement BitLocker.
BitLocker utilise le module de plateforme sécurisée (TPM) sur les terminaux pour stocker la clé de chiffrement du terminal. Si le lecteur est retiré de la carte mère, il reste chiffré. Pour une authentification améliorée, vous pouvez activer un code PIN de chiffrement afin de démarrer le système. Vous pouvez également exiger un mot de passe pour les terminaux lorsqu'un TPM n'est pas disponible.
Le chiffrement BitLocker natif Windows permet de sécuriser les données sur les terminaux Windows Desktop. Le déploiement du profil de chiffrement peut nécessiter des actions supplémentaires de la part de l'utilisateur final, telles que la création d'un code PIN ou d'un mot de passe.
Si le profil Chiffrement est envoyé à un terminal chiffré et que les paramètres de chiffrement correspondent à ceux du profil, Workspace ONE Intelligent Hub ajoute une protection BitLocker et envoie une clé de récupération à Workspace ONE UEM Console.
Avec cette fonctionnalité, si un utilisateur ou un administrateur tente de désactiver BitLocker sur le terminal, le profil Chiffrement peut le chiffrer à nouveau. Le chiffrement est appliqué même si le terminal est hors ligne.
Si le chiffrement en vigueur ne correspond pas aux paramètres d'authentification du profil Chiffrement, les protecteurs existants sont supprimés et de nouveaux protecteurs sont appliqués conformément aux paramètres du profil Chiffrement.
Si la méthode de chiffrement existante ne correspond pas au profil Chiffrement, Workspace ONE UEM la conserve. Cette fonctionnalité s'applique également lorsque vous ajoutez une version du profil Chiffrement à un terminal géré par un profil Chiffrement existant. La méthode de chiffrement existante est conservée.
Remarque : Les modifications du profil BIOS s'appliquent après les profils de chiffrement. Les modifications apportées au profil BIOS, telles que la désactivation ou l'effacement du TPM, peuvent provoquer un événement de récupération qui requiert la clé de récupération pour redémarrer le système. Interrompez BitLocker avant d'apporter des modifications au BIOS.
Si BitLocker est activé et en cours d'utilisation, vous pouvez voir des informations sur l'état du chiffrement dans les zones répertoriées.
Workspace ONE UEM dépose des clés de récupération pour le Lecteur de l'OS et Tous les disques durs fixes lorsque ce paramètre est activé pour Volume chiffré dans le profil Chiffrement. Si un lecteur doit être récupéré, la clé de récupération est disponible pour chacun des lecteurs.
L'administrateur a la possibilité de rendre les clés de récupération à usage unique en sélectionnant Activer une clé de récupération à usage unique dans les paramètres Profil de chiffrement. Pour plus d'informations, reportez-vous à la section Configuration d'un profil de chiffrement. Si cette option est activée, une fois qu'une clé de récupération est utilisée pour récupérer un lecteur, une nouvelle clé de récupération est générée par Intelligent Hub et est redéposée dans UEM Console.
Pendant une courte période, jusqu'à ce que la nouvelle clé de récupération soit correctement déposée dans UEM Console, la clé de récupération personnelle précédente (ancienne) et la clé de récupération personnelle (nouvelle) sont toutes les deux disponibles. En cas de dépôt réussi de la nouvelle clé de récupération, la clé de récupération précédente sera supprimée et ne pourra plus être utilisée pour la récupération du lecteur.
Vous pouvez voir, à des fins de dépannage, quel utilisateur a récupéré un lecteur externe avec une clé spécifique, quand une récupération a eu lieu et quel administrateur a contribué au processus. Dans Workspace ONE UEM Console, accédez à Terminaux > Affichage des détails > Plus - Dépannage > Journal des événements pour trouver les détails.
Si le profil est supprimé de Workspace ONE UEM Console, Workspace ONE UEM n'applique plus le chiffrement et le terminal est automatiquement déchiffré. Le nettoyage par l'entreprise ou la désinstallation manuelle de Workspace ONE Intelligent Hub à partir du Panneau de configuration désactive le chiffrement BitLocker.
Lorsque vous créez le profil de chiffrement, vous pouvez activer l'option Toujours maintenir le système chiffré. Ce paramètre garantit que le terminal reste chiffré même si le profil est supprimé, si le contenu du terminal est effacé ou si la communication avec Workspace ONE UEM se termine.
Si l'utilisateur décide de désenrôler le terminal durant le processus de chiffrement BitLocker, ce processus continue jusqu'à ce qu'il soit désactivé manuellement dans le Panneau de configuration.
Vous pouvez configurer des stratégies de conformité pour prendre en charge l'état de chiffrement BitLocker que vous souhaitez appliquer. Dans la section Règles d'une stratégie de conformité, sélectionnez Chiffrement > Est, puis Non appliqué au lecteur système, Non appliqué à certains lecteurs (partiellement protégé) ou Interrompu.
Grâce au profil de chiffrement, vous pouvez imposer le chiffrement de lecteurs externes sur vos terminaux Windows à l'aide de BitLocker. Cochez Activer la prise en charge de BitLocker To Go pour activer cette fonctionnalité. Les lecteurs externes restent en lecture seule jusqu'à ce qu'ils soient chiffrés. En sélectionnant une option dans le menu déroulant Méthode de chiffrement, vous pouvez choisir la méthode à utiliser pour chiffrer le terminal.
Workspace ONE Intelligent Hub pour Windows demande à vos utilisateurs de créer un mot de passe pour accéder aux lecteurs et les utiliser. La longueur minimale de ce mot de passe peut être définie par l'administrateur dans la console sous Paramètres BitLocker To Go. Une fois que les utilisateurs ont branché le lecteur chiffré sur le terminal Windows, ils doivent utiliser leur mot de passe pour accéder au lecteur, copier du contenu sur le lecteur, modifier des fichiers, supprimer du contenu ou effectuer toute autre tâche impliquant un lecteur externe. L'administrateur peut également choisir s'il souhaite chiffrer uniquement l'espace utilisé sur le lecteur ou l’ensemble du lecteur.
Si les utilisateurs oublient leur mot de passe, vous pouvez récupérer les lecteurs depuis la console dans Terminaux > Périphériques > Affichage en liste > Stockage externe. Utilisez le lien Vue pour que le lecteur copie la clé de récupération et l'envoie à l'utilisateur concerné par e-mail. Vous pouvez également accéder à cette page depuis le compte de l'utilisateur dans Comptes > Utilisateurs > Affichage en liste. Sélectionnez l'utilisateur concerné et allez dans l'onglet Stockage externe.
Pour les déploiements qui comprennent des milliers d'ID de récupération, vous pouvez filtrer le contenu sur la page Stockage externe. Il y a plusieurs façons de filtrer le contenu.
Assurez-vous que l'utilisateur vous fournisse l'ID de clé, sélectionnez le curseur de filtre dans la colonne ID de récupération puis entrez la valeur. L’ID de récupération avec cet ID de clé s’affiche dans les résultats.
Sélectionnez le curseur de filtre dans la colonne Nom d'utilisateur et entrez le nom d'utilisateur concerné pour trouver le lecteur et sa clé de récupération.
Vous pouvez voir, à des fins d'audit, quel utilisateur a récupéré un lecteur externe avec une clé spécifique, quand une récupération a eu lieu et quel administrateur a contribué au processus. Dans la console Workspace ONE UEM, allez dans Terminaux > Périphériques > Affichage en liste > Événements pour plus de détails.
Vous pouvez consulter les informations de clé pour chaque utilisateur. Dans la console Workspace ONE UEM, allez dans Comptes > Utilisateurs > Affichage en liste, puis sélectionnez l'utilisateur. Si l'utilisateur a chiffré au moins un lecteur, un onglet Stockage externe sera disponible dans son historique.
Vous pouvez désormais interrompre et reprendre le chiffrement BitLocker depuis la console. Cet élément de menu est ajouté en tant qu'action dans les enregistrements des terminaux. Vous le trouverez dans Terminaux > Affichage en liste. Sélectionnez le terminal puis l'élément de menu Plus d'actions. Cette option est particulièrement utile pour les utilisateurs qui ont besoin d'aide avec leur terminal mais qui n'ont pas les autorisations nécessaires pour gérer BitLocker.
Quand vous choisissez d'Interrompre BitLocker pour un terminal, la console affiche plusieurs options, dont notamment Nombre de redémarrages. Par exemple, pour aider un utilisateur à mettre à jour son BIOS, le système peut avoir besoin de redémarrer deux fois, auquel cas sélectionnez 3. Cette valeur permet au système de redémarrer une fois de plus avec un chiffrement interrompu, de sorte que le BIOS se met à jour correctement avant la reprise BitLocker.
Si toutefois vous ignorez combien de redémarrages seront nécessaires à une tâche, sélectionnez une valeur plus élevée. Une fois la tâche terminée, vous pouvez utiliser l'option Plus d'actions > Reprendre BitLocker.
Créez un profil Chiffrement pour sécuriser vos données sur les terminaux Windows Desktop à l'aide des chiffrements BitLocker natif et BitLocker To Go.
Sélectionnez le profil Chiffrement et configurez les paramètres.
Paramètres | Descriptions |
---|---|
Volume chiffré | Utilisez le menu déroulant pour sélectionner le type de chiffrement comme suit : Lecteur de l'OS et Tous les disques durs fixes : chiffre tous les disques durs sur le terminal, y compris la partition système sur laquelle est installé le système. Lecteur de l'OS – Chiffre le lecteur sur lequel Windows est installé et à partir duquel il démarre. |
Méthode de chiffrement | Sélectionnez la méthode de chiffrement du terminal. |
Méthode de chiffrement de la valeur système par défaut | Cochez cette case si votre OEM spécifie une méthode de chiffrement par défaut pour un type de terminal donné. Ce paramètre applique l'algorithme de chiffrement par défaut. |
Chiffrer uniquement l'espace utilisé lors du chiffrement initial | Activez ce paramètre pour limiter le chiffrement BitLocker à l'espace utilisé sur le lecteur au moment du chiffrement. |
URL personnalisée pour la clé de récupération | Saisissez l'URL à afficher sur l'écran de verrouillage afin de diriger les utilisateurs vers le lieu d'obtention de la clé de récupération. Pensez à saisir l'URL du portail self-service, étant donné que Workspace ONE UEM y héberge la clé de récupération. |
Forcer le chiffrement | Activez ce paramètre pour forcer le chiffrement sur le terminal. Cela signifie que le terminal est immédiatement de nouveau chiffré si BitLocker est désactivé manuellement. Pensez à désactiver ce paramètre pour éviter des problèmes pendant les mises à niveau ou les effacements des données professionnelles. |
Maintenir le système chiffré à tout moment | Activez cette option pour que le terminal soit toujours chiffré. Utilisez cette option pour vous assurer que les effacements du contenu du terminal, les suppressions des profils ou les interruptions de communication avec Workspace ONE UEM ne déchiffrent pas le terminal. Si vous activez ce paramètre et effacez le contenu d'un terminal, vous pouvez uniquement accéder à la récupération sur Workspace ONE UEM Console pendant 30 jours. Après 30 jours, le système peut être irrécupérable. |
Activer la prise en charge de BitLocker To Go | Activez cette option pour exiger de BitLocker qu'il chiffre les lecteurs amovibles sur les terminaux Windows. Lorsque cette option est sélectionnée, les lecteurs externes restent en lecture seule jusqu'à ce qu'ils soient chiffrés. L'administrateur peut configurer la méthode de chiffrement, la longueur minimale du mot de passe et s'il souhaite chiffrer uniquement l'espace utilisé l’ensemble du lecteur lors du chiffrement initial. Les utilisateurs doivent créer un mot de passe pour accéder aux lecteurs. Si vos utilisateurs oublient leur mot de passe, recherchez les ID de récupération et les clés de ces lecteurs chiffrés dans la console depuis Terminaux > Périphériques > Affichage en liste > Stockage externe. |
Paramètres d'authentification BitLocker : Mode d'authentification | Sélectionnez la méthode pour authentifier l'accès à un terminal chiffré par BitLocker. TPM — Utilise le module de plateforme sécurisée (TPM). Requiert un TPM sur le terminal. Mot de passe — Utilise un mot de passe pour l'authentification. |
Paramètres d'authentification BitLocker : Exiger un code PIN au démarrage | Sélectionnez la case à cocher pour exiger des utilisateurs qu'ils saisissent un code PIN pour démarrer le terminal. Cette option empêche le démarrage de l'OS et la reprise automatique depuis le mode de suspension ou d'hibernation jusqu'à ce que les utilisateurs entrent le code approprié. |
Paramètres d'authentification BitLocker : Longueur du code PIN | Sélectionnez ce paramètre pour configurer une longueur spécifique de code PIN au démarrage. Ce code PIN est numérique, sauf s'il est configuré avec Autoriser le code PIN amélioré au démarrage. |
Paramètres d'authentification BitLocker : Autoriser le code PIN amélioré au démarrage | Cochez cette case pour permettre aux utilisateurs de définir des codes PIN avec autre chose que des chiffres. Les utilisateurs peuvent définir des majuscules et des minuscules, utiliser des symboles, des chiffres et des espaces. Si la machine ne prend pas en charge les codes PIN améliorés dans un environnement de prédémarrage, ces paramètres ne fonctionnent pas. |
Paramètres d'authentification BitLocker : Utiliser le mot de passe si TPM n'est pas présent | Sélectionnez cette case à cocher pour utiliser un mot de passe comme solution de secours afin de chiffrer le terminal si TPM n'était pas disponible. Si ce paramètre n’est pas activé, tous les terminaux ne disposant pas de puce TPM ne seront pas chiffrés. |
Paramètres d'authentification BitLocker : Interrompre BitLocker jusqu'à l'initialisation du TPM | Sélectionnez cette option pour reporter le chiffrement sur le terminal jusqu'à ce que le TPM soit initialisé sur la machine. Utilisez cette option pour les enrôlements qui nécessitent un chiffrement avant que le TPM ne s'initialise, comme OOBE. |
Paramètres d'authentification BitLocker : Longueur minimale du mot de passe | Sélectionnez le nombre minimum de caractères requis pour le mot de passe. Cette option s'affiche si le Mode d'authentification est défini sur Mot de passe ou si Utiliser le mot de passe en cas d'absence du TPMest activé. |
| Paramètres de la clé de récupération BitLocker : Activer la clé de récupération à usage unique | Cochez la case pour rendre les clés de récupération à usage unique. Une fois que la clé est utilisée, une nouvelle clé de récupération est générée. L'utilisateur doit contacter l'administrateur pour obtenir la clé de récupération mise à jour.|
| Paramètres de la clé de récupération BitLocker statique : Créer une clé BitLocker statique | Cochez la case si une clé de récupération statique est activée. | | Paramètres de la clé de récupération BitLocker statique : Mot de passe de récupération BitLocker | Sélectionnez l'icône Générer afin de générer une nouvelle clé de récupération. | | Paramètres de la clé de récupération BitLocker statique : Période de rotation | Saisissez le nombre de jours jusqu'à la rotation de la clé de récupération. | | Paramètres de la clé de récupération BitLocker statique : Période de grâce | Saisissez le nombre de jours après la rotation pendant lesquels la clé de récupération précédente fonctionne toujours. | | Interrompre BitLocker : Activer la suspension de BitLocker | Cochez la case pour activer la suspension de BitLocker. Cette fonctionnalité permet d'interrompre le chiffrement BitLocker pendant une durée spécifique.
Utilisez cette fonction pour interrompre BitLocker lorsque des mises à jour sont planifiées, de sorte que les terminaux puissent redémarrer sans que l'utilisateur ne doive saisir un code PIN ou un mot de passe de chiffrement. | | Interrompre BitLocker : Type de suspension de BitLocker | Sélectionnez le type de suspension.
Planification — Sélectionnez cette option pour saisir une durée spécifique d'interruption du BitLocker. Définissez ensuite la répétition planifiée sur Quotidienne ou Hebdomadaire.
Personnalisée — Sélectionnez cette option pour saisir la date et l'heure de début et de fin de l'interruption de BitLocker. | | Interrompre BitLocker : Heure de début de la suspension de BitLocker | Entrez l'heure de début de la suspension de BitLocker. | | Interrompre BitLocker : Heure de fin de la suspension de BitLocker | Entrez l'heure de fin de la suspension de BitLocker. | | Interrompre BitLocker : Type de répétition planifiée | Définissez si la suspension planifiée se répète tous les jours ou toutes les semaines. Si vous choisissez une répétition hebdomadaire, sélectionnez les jours de la semaine impliqués. |
Les profils Exchange ActiveSync vous permettent de configurer les terminaux Windows Desktop afin qu'ils accèdent au serveur Exchange ActiveSync pour utiliser la messagerie et l'agenda.
Utilisez des certificats signés par une autorité de certification tierce approuvée (CA). Des erreurs dans les certificats exposent les connexions sécurisées autrement à d'éventuelles attaques de type MITM. De telles attaques dégradent la confidentialité et l'intégrité des données transmises entre composants de produit, et risquent même de donner aux attaquants la possibilité d'intercepter ou d'altérer les données en transit.
Le profil Exchange ActiveSync prend en charge le client de messagerie natif pour Windows Desktop. La configuration change en fonction du client de messagerie que vous utilisez.
Si le profil est supprimé par une commande de suppression, des politiques de conformité ou un effacement des données d'entreprise, toutes les données de la messagerie sont effacées, notamment :
Si les identifiants e-mail sont différents des adresses e-mail, vous pouvez utiliser le champ {EmailUserName}, qui correspond aux identifiants e-mail importés lors de l'intégration des services d'annuaire. Même si les noms d'utilisateur sont identiques aux adresses mail, utilisez la zone de texte {EmailUserName}, car elle utilise les adresses mail importées par l'intégration des services d'annuaire.
Créez un profil Exchange ActiveSync pour fournir aux terminaux Windows Desktop l'accès au serveur Exchange ActiveSync afin qu'ils utilisent la messagerie et l'agenda.
Créez un profil Exchange ActiveSync pour fournir aux terminaux Windows Desktop l'accès au serveur Exchange ActiveSync afin qu'ils utilisent la messagerie et l'agenda.
Remarque : Workspace ONE UEM ne prend pas en charge Outlook 2016 pour les profils Exchange ActiveSync. La configuration de profil Services Web Exchange (EWS) pour l'application Outlook sur un terminal Windows Desktop via Workspace ONE UEM n'est plus prise en charge dans la version 2016 de Microsoft Exchange.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis choisissez Windows Desktop en tant que plateforme.
Sélectionnez Profil d'utilisateur.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Exchange ActiveSync.
Configurez les paramètres Exchange ActiveSync :
Paramètres | Descriptions |
---|---|
Client de messagerie | Sélectionnez le client de messagerie que le profil EAS configure. Workspace ONE UEM prend en charge le client de messagerie natif. |
Nom du compte | Saisissez le nom du compte Exchange ActiveSync. |
Hôte Exchange ActiveSync | Saisissez l'URL ou l'adresse IP du serveur qui héberge le serveur EAS. |
Utiliser le SSL | Envoyez toutes les communications par Secure Socket Layer. |
Domaine | Saisissez le domaine de messagerie. Le profil prend en charge les valeurs de recherche pour y indiquer les informations de connexion de l'utilisateur de l'enrôlement. |
Nom d'utilisateur | Saisissez le nom d'utilisateur de messagerie. |
Adresse e-mail | Saisissez l'adresse e-mail. Cette zone de texte est un paramètre obligatoire. |
Mot de passe | Saisissez le mot de passe de messagerie. |
Certificat d'identité | Sélectionnez le certificat pour la section de configuration EAS. |
Prochain intervalle de synchronisation (min) | Sélectionnez la fréquence, en minutes, à laquelle le terminal se synchronise avec le serveur EAS. |
Synchronisation des e-mails depuis | Sélectionnez depuis combien de jours les e-mails se synchronisent avec le terminal. |
Journalisation du diagnostic | Activez cette option afin de journaliser des informations pour des raisons de dépannage. |
Exiger la protection des données lorsque le terminal est verrouillé | Activez cette option pour exiger que les données soient protégées lorsque le terminal est verrouillé. |
Autoriser la synchronisation des e-mails | Activez cette option pour autoriser la synchronisation des e-mails. |
Autoriser la synchronisation des contacts | Activez cette option pour autoriser la synchronisation des contacts. |
Autoriser la synchronisation du calendrier | Activez cette option pour autoriser la synchronisation d'événements de calendrier. |
Sélectionnez Enregistrer pour conserver le profil dans Workspace ONE UEM Console ou Enregistrer et publier pour envoyer le profil aux terminaux.
Créez un profil Services Web Exchange pour permettre aux utilisateurs d'accéder aux infrastructures de messagerie et aux comptes Microsoft Outlook de l'entreprise à partir de leurs terminaux.
Important : Au cours de la première configuration, le terminal doit avoir accès au serveur Exchange interne.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Services Web Exchange et configurez les paramètres :
Paramètres | Descriptions |
---|---|
Domaine | Saisissez le nom du domaine de messagerie auquel appartient l'utilisateur. |
Serveur de messagerie | Saisissez le nom du serveur Exchange. |
Adresse e-mail | Saisissez l'adresse e-mail du compte de messagerie. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
La suppression d'un profil Services Web Exchange a pour effet de supprimer tous les comptes Outlook du terminal.
Créez un profil Pare-feu pour configurer les paramètres natifs du pare-feu Windows Desktop. Ce profil utilise des fonctionnalités plus avancées que le profil de pare-feu (Hérité).
Workspace ONE UEM approuve automatiquement l'agent OMA-DM pour vous assurer que Workspace ONE UEM Console peut toujours communiquer avec les terminaux.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Pare-feu.
Configurez les paramètres Globaux.
Paramètre | Description |
---|---|
FTP avec état | Définissez la manière dont le pare-feu gère le trafic FTP. Si vous sélectionnez Activer, le pare-feu effectue le suivi de tout le trafic FTP. Si vous sélectionnez Désactiver, le pare-feu n'inspecte pas le trafic FTP. |
Durée d'inactivité de l'association de sécurité | Sélectionnez Configurer et définissez la durée maximale (en secondes) pendant laquelle le terminal attend avant de supprimer les associations de sécurité inactives. Les associations de sécurité constituent un accord entre deux pairs ou points de terminaison. Ces accords contiennent toutes les informations requises pour échanger des données en toute sécurité. |
Codage de la clé prépartagée | Sélectionnez le type de codage utilisé pour la clé prépartagée. |
Exemptions IPSec | Sélectionnez les exemptions IPSec à utiliser. |
Vérification de la liste de révocation des certificats | Sélectionnez le mode d'application de la vérification de la liste de révocation de certificat. |
Jeu d'authentification de correspondance d'opportunité par KM | Sélectionnez la manière dont les modules de clés ignorent les suites d'authentification. L'activation de cette option force les modules clés à ignorer uniquement les suites d'authentification qu'ils ne prennent pas en charge. La désactivation de cette option force les modules clés à ignorer la totalité de l'ensemble d'authentification s'ils ne prennent pas en charge toutes les suites d'authentification dans l'ensemble. |
Activer la file d'attente de paquets | Sélectionnez la manière dont le mode paquet en file d'attente fonctionne sur le terminal. Ce paramètre vous permet de garantir une mise à l'échelle appropriée. |
Configurez le comportement du pare-feu lorsqu'il est connecté aux réseaux Domaine, Privé et Public.
Paramètre | Description |
---|---|
Firewall | Définissez sur Activer pour appliquer les paramètres de la stratégie sur le trafic réseau. Si ce paramètre est désactivé, le terminal autorise tout le trafic réseau, quels que soient les autres paramètres de la stratégie. |
Action sortante | Sélectionnez l'action par défaut que le pare-feu effectue sur les connexions sortantes. Si vous définissez ce paramètre sur Bloquer, le pare-feu bloque tout le trafic sortant, sauf spécification contraire explicite. |
Action entrante. | Sélectionnez l'action par défaut que le pare-feu effectue sur les connexions entrantes. Si vous définissez ce paramètre sur Bloquer, le pare-feu bloque tout le trafic entrant, sauf spécification contraire explicite. |
Réponses de type monodiffusion au trafic réseau de type diffusion ou multidiffusion | Définissez le comportement des réponses pour le trafic réseau de type multidiffusion ou diffusion. Si vous désactivez cette option, le pare-feu bloque toutes les réponses au trafic réseau de type multidiffusion ou diffusion. |
Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application | Définissez le comportement de notification du pare-feu. Si vous sélectionnez Activer, le pare-feu peut envoyer des notifications à l'utilisateur lorsqu'il bloque une nouvelle application. Si vous sélectionnez Désactiver, le pare-feu n'envoie aucune notification. |
Mode furtif | Pour définir le terminal en mode furtif, sélectionnez Activer. Le mode furtif permet d'empêcher les acteurs malintentionnés d'obtenir des informations sur les terminaux et les services de réseau. Lorsque ce paramètre est activé, le mode furtif bloque les messages sortants ICMP inaccessibles et TCP de réinitialisation des ports sans que l'application écoute activement ce port. |
Autoriser le trafic réseau IPSec en mode furtif | Définissez la manière dont le pare-feu gère le trafic non sollicité sécurisé par IPSec. Si vous sélectionnez Activer, le pare-feu autorise le trafic réseau non sollicité sécurisé par IPSec. Ce paramètre s'applique uniquement lorsque vous activez le Mode furtif. |
Règles de pare-feu local | Définissez la manière dont le pare-feu interagit avec les règles de pare-feu local. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas. |
Règles de connexion locale | Définissez la manière dont le pare-feu interagit avec les règles locales de connexion de sécurité. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas, quelles que soient les versions de sécurité de schéma et de connexion. |
Règles de pare-feu du port global | Définissez la manière dont le pare-feu interagit avec les règles de pare-feu du port global. Si vous sélectionnez Activer, le pare-feu suit les règles de pare-feu de port global. Si vous sélectionnez Désactiver, le pare-feu ignore les règles et ne les applique pas. |
Règles d'application autorisées | Définissez la manière dont le pare-feu interagit avec les règles locales d'application autorisées. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas. |
Pour configurer vos propres règles de pare-feu, sélectionnez Ajouter une règle de pare-feu. Après avoir ajouté une règle, configurez les paramètres selon vos besoins. Vous pouvez ajouter autant de règles que vous le voulez.
Une fois l'ajout terminé, cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.
Le profil Pare-feu (Hérité) pour les terminaux Windows Desktop vous permet de configurer les paramètres de pare-feu Windows pour les terminaux. Envisagez d'utiliser le nouveau profil de pare-feu pour Windows Desktop, car le nouveau profil utilise les nouvelles fonctionnalités de Windows.
Important : Le profil Pare-feu nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Pare-feu (Hérité).
Activez Utiliser les paramètres recommandés par Windows pour utiliser les paramètres recommandés par Windows et désactivez toutes les autres options disponibles pour ce profil. Les paramètres seront automatiquement modifiés sur les paramètres recommandés et vous ne pourrez pas les modifier.
Configurez les paramètres de Réseau privé :
Paramètres | Description |
---|---|
Firewall | Activez cette fonctionnalité pour utiliser le pare-feu lorsque le terminal est connecté sur un réseau privé. |
Bloquer toutes les connexions entrantes, y compris celles provenant de la liste des applications autorisées | Activez pour bloquer toutes les connexions entrantes. Ce paramètre autorise les connexions sortantes. |
Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application | Activez ce paramètre pour autoriser l'affichage de notifications lorsque le pare-feu Windows bloque une nouvelle application. |
Configurez les paramètres de Réseau public :
Paramètres | Description |
---|---|
Firewall | Activez cette fonctionnalité pour utiliser le pare-feu lorsque le terminal est connecté sur un réseau privé. |
Bloquer toutes les connexions entrantes, y compris celles provenant de la liste des applications autorisées | Activez pour bloquer toutes les connexions entrantes. Ce paramètre autorise les connexions sortantes. |
Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application | Activez ce paramètre pour autoriser l'affichage de notifications lorsque le pare-feu Windows bloque une nouvelle application. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.
Configurer un profil de kiosque pour transformer votre terminal Windows Desktop en terminal kiosque multi-applications. Ce profil vous permet de configurer les applications qui s'affichent dans le menu Démarrer du terminal.
Vous pouvez télécharger votre propre fichier XML personnalisé pour configurer le profil de kiosque ou créer votre kiosque dans le cadre du profil. Ce profil ne prend pas en charge les comptes de domaine ou des groupes de domaines. L'utilisateur est un compte d'utilisateur intégré créé par Windows.
Procédure
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil. Vous devez ajouter une attribution avant de configurer le profil de kiosque.
Sélectionnez le profil Kiosque.
Si vous avez déjà votre fichier XML personnalisé, sélectionnez Télécharger le fichier XML du kiosque et complétez les paramètres Attribuer la configuration d'accès du fichier XML. Sélectionnez Télécharger et ajoutez votre fichier XML de configuration d'accès attribué. Vous pouvez également coller votre code XML dans la zone de texte. Pour plus d'informations, reportez-vous à https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.
Si vous ne disposez pas d'un fichier XML personnalisé, sélectionnez Créer votre kiosque et configurez la disposition de l'application.
Cette disposition est le menu Démarrer du terminal dans une grille. Les applications qui s'affichent sur la gauche sont les applications attribuées au groupe d'attribution que vous avez sélectionné. Certaines applications ont une icône d'engrenage avec un point rouge dans l'angle en haut à droite. Cette icône s'affiche pour les applications qui nécessitent des paramètres supplémentaires lorsqu'elles sont ajoutées à la disposition de kiosque. Après avoir configuré les paramètres, le point rouge disparaît, mais l'icône reste. Vous pouvez sélectionner l'icône de flèche pour modifier la taille des applications. Pour les applications de bureau classiques, vous pouvez uniquement sélectionner Petite ou Moyenne.
Pour les applications qui nécessitent des applications de support supplémentaires, le profil Kiosque prend en charge l'ajout de ces applications de support à l'aide de l'option Paramètres supplémentaires. Par exemple, VMware Horizon Client nécessite jusqu'à quatre applications de support pour s'exécuter en mode Kiosque. Ajoutez ces applications de support supplémentaires lorsque vous configurez l'application de kiosque principale en ajoutant les valeurs Chemin exécutable de l'application supplémentaires.
Faites glisser toutes les applications que vous souhaitez ajouter vers le menu Démarrer au centre. Vous pouvez créer jusqu'à quatre groupes pour vos applications. Ces groupes combinent vos applications en sections dans le menu Démarrer.
Lorsque vous avez ajouté toutes les applications et les groupes, cliquez sur Enregistrer.
Sur l'écran Profil du kiosque, sélectionnez Enregistrer et publier.
Résultats
Le profil ne s'installe pas sur le terminal tant que toutes les applications incluses dans le profil ne sont pas installées. Une fois que le terminal reçoit le profil, il redémarre et s'exécute en mode Kiosque. Si vous supprimez le profil à partir du terminal, le terminal désactive le mode Kiosque, redémarre et supprime l'utilisateur de kiosque.
Configurez les paramètres des mises à jour OEM pour des terminaux Dell Enterprise à l'aide du profil Mises à jour OEM. Ce profil nécessite l'intégration à Dell Command | Update.
La prise en charge des paramètres du profil Mises à jour OEM varie selon le terminal Dell Enterprise. Workspace ONE UEM transfère uniquement les paramètres pris en charge par un terminal. Vous pouvez voir toutes les mises à jour OEM déployées sur vos terminaux Windows Desktop sur la page Mises à jour du terminal, dans l'onglet Ressources > Mises à jour du terminal > Mises à jour OEM.
Remarque : le profil de mises à jour OEM prend en charge les versions 3.x et ultérieures de Dell Command | Update. La version actuelle de Dell Command | Update est testée avec chaque version de la console.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez la section de configuration Mises à jours OEM et configurez les paramètres suivants.
Cliquez sur Enregistrer et publier.
Utilisez un profil avec mot de passe pour protéger vos terminaux Windows en exigeant un mot de passe à chaque fois qu'ils sortent d'un état inactif. Découvrez comment un profil avec mot de passe avec Workspace ONE UEM garantit que toutes vos informations d'entreprise sensibles sur les terminaux gérés restent protégées.
Les mots de passe définis à l'aide de ce profil ne prennent effet que si le mot de passe est plus strict que les mots de passe existants. Par exemple, si le mot de passe du compte Microsoft actuel nécessite des paramètres plus stricts que les exigences de section de configuration du Mot de passe, le terminal continue à utiliser le mot de passe du compte Microsoft.
Important : la section de configuration du mot de passe ne s'applique pas aux terminaux joints au domaine.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Mot de passe.
Configurez les paramètres du mot de passe :
Paramètres | Descriptions |
---|---|
Complexité du mot de passe | Définissez votre niveau préféré de complexité de mot de passe sur Simple ou Complexe. |
Exiger des caractères alphanumériques | Activez ce paramètre pour exiger un mot de passe de type alphanumérique. |
Longueur minimale du mot de passe | Saisissez le nombre minimal de caractères qu'un mot de passe doit contenir. |
Durée de vie maximum du mot de passe (en jours) | Saisissez le nombre maximal de jours avant que l'utilisateur ne doive changer le mot de passe. |
Durée de vie minimale du mot de passe (jours) | Saisissez le nombre minimal de jours avant que l'utilisateur ne doive changer le mot de passe. |
Délai de verrouillage du terminal (min) | Saisissez le nombre de minutes avant que le terminal ne se verrouille automatiquement et que vous deviez ressaisir le mot de passe. |
Nombre maximum de tentatives infructueuses | Saisissez le nombre maximal de tentatives avant que le terminal ne doive redémarrer. |
Historique du mot de passe (occurrences) | Saisissez le nombre de fois que le mot de passe peut être mémorisé. Si l'utilisateur réutilise un mot de passe inclus dans ces codes d'accès, il ne peut pas réutiliser ce mot de passe. Par exemple, si vous définissez l'historique sur 12, un utilisateur ne peut pas réutiliser les 12 derniers mots de passe. |
Faire expirer le mot de passe | Activez ce paramètre pour faire expirer le mot de passe existant sur le terminal et exiger la création d'un nouveau mot de passe. Nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal. |
Expiration du mot de passe (jours) | Configurez le nombre de jours pendant lequel un mot de passe est valide avant d'expirer. |
Chiffrement réversible pour le stockage des mots de passe | Activez ce paramètre pour que le système d'exploitation stocke les mots de passe à l'aide du chiffrement réversible. Stocker des mots de passe à l'aide du chiffrement réversible est pratiquement identique au stockage de versions de texte brute des mots de passe. Pour cette raison, n'activez pas cette politique à moins que les exigences au niveau de l'application ne prévalent sur la protection des informations de mot de passe. |
Utiliser l'Agent de protection pour les terminaux Windows | Activez ce paramètre pour utiliser Workspace ONE Intelligent Hub afin d'appliquer les paramètres du profil Mot de passe au lieu de la fonctionnalité DM native. Activez ce paramètre si vous rencontrez des problèmes lors de l'utilisation de la fonctionnalité DM native. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.
Workspace ONE Peer Distribution utilise la fonctionnalité Windows BranchCache native intégrée au système d'exploitation Windows. Cette fonctionnalité fournit une technologie pair à pair alternative.
Configurez la distribution pair-à-pair sur vos terminaux Windows avec le profil Peer Distribution Windows Desktop. La distribution pair-à-pair prend en charge les modes de BranchCache Distribué, Hébergé et Local, ainsi que leurs paramètres de configuration supplémentaires tels que le pourcentage d'espace disque et la durée de vie maximale du cache. Vous pouvez également afficher les statistiques BranchCache d'une application à partir du panneau Détails de la distribution homologue sous Applications et livres > Natives > Affichage en liste > Détails de l'application.
La distribution pair à pair avec Workspace ONE vous permet de déployer vos applications Windows sur des réseaux d'entreprise. Ce profil utilise la fonctionnalité Windows BranchCache native intégrée au système d'exploitation Windows.
La distribution pair à pair avec Workspace ONE vous permet de déployer vos applications Windows sur des réseaux d'entreprise. Ce profil utilise la fonctionnalité native Windows BranchCache intégrée dans le système d’exploitation Windows.
Pour que vous puissiez utiliser le profil Peer Distribution pour la distribution pair à pair, cette dernière doit répondre à la configuration requise pour Workspace ONE.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Peer Distribution puis Configurer.
Vous devez disposer d'un stockage de fichiers configuré avant de pouvoir créer un profil Peer Distribution. Pour plus d'informations, reportez-vous à la section Configuration requise pour Workspace ONE Peer Distribution.
Sélectionnez le Mode Workspace ONE Peer Distribution à utiliser.
Paramètre | Description |
---|---|
Distribué | Sélectionnez cette option pour que vos terminaux téléchargent des applications depuis des pairs dans un sous-réseau local. |
Hébergé | Sélectionnez cette option pour que vos terminaux téléchargent des applications à partir d'un serveur de cache hébergé. |
Local | Sélectionnez cette option pour que vos terminaux téléchargent des applications à partir de la mise en cache de terminal local uniquement. |
Désactivé | Sélectionnez cette option pour désactiver la distribution pair-à-pair. |
Configurez les paramètres de Mise en cache :
Paramètre | Description |
---|---|
Durée de vie maximale du cache (jours) | Saisissez le nombre maximum de jours pendant lesquels les éléments de distribution pair-à-pair peuvent rester dans le cache avant que le terminal ne les purge. |
Pourcentage d'espace disque utilisé pour BranchCache | Saisissez la quantité d'espace disque local que le terminal doit autoriser pour la distribution pair-à-pair. |
Si vous définissez le mode de distribution sur Hébergé, configurez les paramètres Serveurs de cache hébergés. Vous devez ajouter au moins un serveur de cache hébergé depuis et vers lequel les terminaux peuvent télécharger du contenu.
Cliquez sur Enregistrer et publier.
Configurez un profil de personnalisation pour les terminaux Windows Desktop afin de configurer les paramètres de personnalisation Windows. Ces paramètres incluent l'arrière-plan du poste de travail et les paramètres du menu Démarrer.
Les options de ce profil sont toutes facultatives. Ne configurez que les paramètres dont vous avez besoin pour répondre à vos besoins de personnalisation.
Ce profil ne crée pas de terminal kiosque multi-applications comme le profil Kiosque.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Personnalisation.
Configurez les paramètres Images :
Paramètres | Descriptions |
---|---|
Image de poste de travail | Sélectionnez Importer pour ajouter une image à utiliser comme arrière-plan du poste de travail. |
Image de l'écran de verrouillage | Sélectionnez Importer pour ajouter une image à utiliser comme arrière-plan de l'écran de verrouillage. |
Importer un fichier XML de mise en page de départ. Ce fichier XML remplace la mise en page du menu de démarrage par défaut et empêche les utilisateurs de la modifier. Vous pouvez configurer la disposition des vignettes, le nombre de groupes et les applications dans chaque groupe. Vous devez créer ce fichier XML vous-même. Pour plus d'informations sur la création d'un fichier XML de mise en page de départ, reportez-vous à https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.
Configurez les paramètres Stratégies du menu Démarrer. Ces paramètres vous permettent de contrôler quels raccourcis sont autorisés dans le menu Démarrer. Vous pouvez également choisir de masquer ou d'afficher certaines options, telles que l'option Arrêter ou la liste des applications.
Cliquez sur Enregistrer et publier.
Créez un profil Proxy pour configurer un serveur proxy pour vos terminaux Windows Desktop. Ces paramètres ne s'appliquent pas aux connexions VPN.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Proxy et configurez les paramètres :
Paramètres | Description |
---|---|
Paramètres de détection automatique | Activez cette option pour que le système tente automatiquement de trouver le chemin d'accès à un script de configuration automatique de proxy (PAC). |
Utiliser un script de configuration | Activez cette option pour entrer le chemin d'accès au fichier du script PAC. |
Adresse de script | Entrez le chemin d'accès au fichier du script PAC. Cette option s'affiche lorsque l'option Utiliser un script de configuration est activée. |
Utiliser un serveur proxy | Activez cette option pour utiliser un serveur proxy statique pour les connexions Ethernet et Wi-Fi. Ce serveur proxy est utilisé pour tous les protocoles. Ces paramètres ne s'appliquent pas aux connexions VPN. |
Adresse du serveur proxy | Entrez l'adresse du serveur proxy. L'adresse doit respecter le format suivant : <server>[“:”<port>] . |
Exceptions | Entrez toutes les adresses qui ne doivent pas utiliser le serveur proxy. Le système n'utilisera pas le serveur proxy pour ces adresses. Séparez les entrées par un point-virgule (;). |
Utilisez un proxy pour les adresses locales (intranet) | Activez cette option pour utiliser le serveur proxy pour des adresses locales (intranet). |
Cliquez sur Enregistrer et publier.
Utilisez les profils Restrictions pour désactiver l'accès des utilisateurs finaux aux fonctionnalités du terminal afin que vos terminaux Windows ne soient pas endommagés. Découvrez comment contrôler les paramètres et options que les utilisateurs finaux peuvent utiliser ou modifier avec le profil de restrictions Workspace ONE UEM.
La version et l'édition de Windows que vous utilisez ont une incidence sur les restrictions qui s'appliquent à un terminal.
Accédez à Ressources > Profils et lignes de base > Profils et sélectionnez Ajouter.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Restrictions.
Configurez les paramètres Administration :
Paramètres | Description |
---|---|
Autoriser le désenrôlement MDM manuel | Autorisez l'utilisateur à désenrôler manuellement son terminal de Workspace ONE UEM via l'enrôlement Espace de travail/accès professionnel. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
La configuration en cours du Hub installe les packages de provisionnement. | Activez ce paramètre pour autoriser l'utilisation de packages de déploiement dans le cadre de l'enrôlement de terminaux dans Workspace ONE UEM (déploiement par lots). Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Emplacement | Sélectionnez le fonctionnement des services de localisation sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
La configuration en cours de l'agent supprimera le pack de configuration. | Activez ce paramètre pour autoriser la suppression de packages de déploiement. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Envoyer les données de télémétrie concernant le diagnostic et l'utilisation | Sélectionnez le niveau de données de télémétrie à envoyer à Microsoft. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Exiger un compte Microsoft pour le MDM | Activez ce paramètre pour exiger qu'un compte Microsoft pour les terminaux reçoive les politiques ou les applications. |
Exiger un compte Microsoft pour l'installation d'applications modernes | Activez ce paramètre pour exiger qu'un compte Microsoft pour les terminaux télécharge et installe les applications Windows. |
Les packs de configuration doivent disposer d'un certificat signé par une autorité de terminaux fiable. | Activez ce paramètre pour exiger un certificat approuvé pour tous les packages de déploiement (déploiement par lots). Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser l'utilisateur à modifier les paramètres Auto Play | Autorisez l'utilisateur à modifier le programme utilisé pour l'Auto Play des types de fichiers. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autorisez l'utilisateur à modifier les paramètres Data Sense. | Autorisez l'utilisateur à modifier les paramètres Data Sense afin de restreindre l'utilisation des données sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Date/heure | Autorisez l'utilisateur à changer les paramètres Date/heure. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Langue | Autorisez l'utilisateur à changer les paramètres de langue. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser l'utilisateur à modifier les paramètres d'alimentation et de mise en veille. | Autorisez l'utilisateur à changer les paramètres d'alimentation et de mise en veille. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Région | Autorisez l'utilisateur à modifier la région. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autorisez l'utilisateur à modifier les options de connexion. | Autorisez l'utilisateur à modifier les options de connexion. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
VPN | Autorisez l'utilisateur à changer les paramètres de VPN. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser l'utilisateur à modifier les paramètres de Workplace | Autorise l'utilisateur à changer les paramètres Workplace et les fonctions MDM sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser l'utilisateur à modifier les paramètres de compte | Autorisez l'utilisateur à modifier les paramètres de compte. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Bluetooth | Autorisez l'utilisation du Bluetooth sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Publicité Bluetooth de terminal | Autorisez le terminal à diffuser les annonces Bluetooth. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Les terminaux compatibles avec Bluetooth peuvent découvrir le terminal | Autorisez la détection du Bluetooth par d'autres terminaux Bluetooth. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
appareil photo | Autorisez l'accès à la fonction appareil-photo du terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Cortana | Autorisez l'accès à l'application Cortana. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Détection de terminaux UX sur l'écran de verrouillage | Autorisez l'expérience utilisateur de découverte du terminal à détecter des projecteurs et d'autres moniteurs lorsque l'écran de verrouillage est affiché. Lorsque ce paramètre est activé, les raccourcis clavier Win+P et Win+K ne fonctionnent pas. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Journalisation IME | Activez ce paramètre pour autoriser l'utilisateur à activer et à désactiver la journalisation de conversions incorrectes et la sauvegarde de résultats de réglages automatiques vers un fichier et une saisie prédictive basée sur l'historique. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Accès au réseau IME | Activez ce paramètre pour autoriser l'utilisateur à activer l'ouverture du dictionnaire étendu afin qu'il intègre des recherches Internet et fournisse des suggestions de saisie qui n'existent pas dans le dictionnaire local d'un PC. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
SmartScreen | Activez ce paramètre pour autoriser l'utilisateur à utiliser la fonction Microsoft SmartScreen, une fonction de sécurité qui invite l'utilisateur à dessiner des formes sur une image de l'écran pour déverrouiller le terminal. Cette option permet également aux utilisateurs d'utiliser des codes PIN en tant que mot de passe. Remarque : une fois la fonction désactivée, vous ne pouvez pas la réactiver via Workspace ONE UEM MDM. Pour la réactiver, vous devez rétablir les paramètres d'usine du terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Rechercher pour utiliser les informations de localisation. | Autorisez la recherche à utiliser les informations d'emplacement de terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Carte de stockage | Activez ce paramètre pour autoriser l'utilisation d'une carte SD et des ports USB de l'appareil. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Paramètres de synchronisation Windows | Autorisez l'utilisateur à synchroniser les paramètres Windows entre terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Conseils Windows | Autorisez les conseils Windows sur le terminal pour assister l'utilisateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Paramètres de contrôle du compte utilisateur | Sélectionnez le niveau de notification envoyé aux utilisateurs lorsqu'une modification apportée au système d'un terminal nécessite une autorisation de l'administrateur. |
Autoriser les applications approuvées hors Microsoft Store | Autorisez le téléchargement et l'installation d'applications non approuvées par le Microsoft Store. |
Mises à jour automatiques des boutiques d'applications | Activez ce paramètre pour autoriser des applications téléchargées depuis le Microsoft Store à être automatiquement mises à jour lorsque de nouvelles versions sont disponibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser le déverrouillage par le développeur | Autorise l'utilisation du paramètre Déverrouillage par le développeur pour charger des versions de test sur les terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser la diffusion DVR de jeux vidéo | Activez ce paramètre pour autoriser l'enregistrement et la diffusion de jeux sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Autoriser le partage des données entre plusieurs utilisateurs de la même application. | Autorise le partage de données entre plusieurs utilisateurs d'une application. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Restreindre les données d'application au volume système | Restreint les données d'application au même volume que le système d'exploitation en leur interdisant l'accès aux volumes secondaires ou aux supports amovibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Restreindre l'installation des applications au lecteur système | Restreint l'installation d'applications au lecteur système en leur interdisant l'accès aux lecteurs secondaires ou aux supports amovibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Connexion automatique aux points d'accès Wi-Fi | Activez ce paramètre pour autoriser le terminal à se connecter automatiquement à des points d'accès Wi-Fi à l'aide de l'assistant Wi-Fi. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Données mobiles en itinérance | Activez ce paramètre pour autoriser l'utilisation de données mobiles en itinérance. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Partage Internet | Activez ce paramètre pour autoriser le partage Internet entre terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Utilisation des données lors de l'itinérance | Activez ce paramètre pour autoriser les utilisateurs à transmettre et recevoir des données lors des déplacements. Cette restriction s'applique à tous les terminaux Windows 10. |
VPN sur le réseau mobile | Autorisez l'utilisation d'un VPN lors de connexions de données cellulaires. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Itinérance VPN sur le réseau mobile | Autorisez l'utilisation d'un VPN lors de connexions de données cellulaires en itinérance. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Saisie automatique | Autorisez l'utilisation de remplissage automatique des informations utilisateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Cookies | Autorisez l'utilisation de cookies. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Ne pas suivre | Autorisez l'utilisation de demandes DNT. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Gestionnaire de mots de passe | Autorisez l'utilisation du gestionnaire de mots de passe. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Pop-ups | Autorisez les fenêtres locales de navigateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Suggestions de recherche dans la barre d'adresses | Autorisez l'affichage des suggestions de recherche dans la barre d'adresse. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
SmartScreen | Autorisez l'utilisation du filtre de contenu et d'emplacements malveillants SmartScreen. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition. |
Envoyez le trafic Internet à Internet Explorer. | Autorisez le trafic Internet à utiliser Internet Explorer. Cette restriction s'applique à tous les terminaux Windows 10. |
URL de la liste des sites d'entreprise | Saisissez l'URL d'une liste d'emplacements d'entreprise. Cette restriction s'applique à tous les terminaux Windows 10. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
Les profils SCEP (de protocole d'inscription de certificats simple) permettent d'installer ces certificats en mode silencieux sur des terminaux sans aucune interaction de la part de l'utilisateur.
Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour installer les certificats sur les terminaux en mode silencieux à l'aide des profils SCEP, vous devez d'abord définir une autorité de certification (CA), puis configurer une section de configuration SCEP en plus de votre section de configuration EAS, Wi-Fi ou VPN. Chacune de ces sections de configuration dispose de paramètres pour l'association d'une autorité de certification définie dans la section de configuration SCEP.
Pour envoyer des certificats vers des terminaux, vous devez configurer une section de configuration SCEP dans le cadre des profils que vous avez créés pour les paramètres EAS, Wi-Fi et VPN.
Un profil SCEP installe les certificats sur les terminaux en mode silencieux pour qu'ils soient utilisés avec l'authentification des terminaux.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur ou Profil du terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil SCEP.
Configurez les paramètres SCEP, notamment :
Paramètres | Descriptions |
---|---|
Source des identifiants | Ce menu déroulant est toujours réglé sur l'autorité de certification définie. |
Autorité de certification | Sélectionnez l'autorité de certification que vous souhaitez utiliser. |
Modèle de certificat | Sélectionnez le modèle disponible pour le certificat. |
Emplacement de la clé | Sélectionnez l'emplacement de la clé privée du certificat : TPM si disponible – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM) s'il y en a sur le terminal ; dans le cas contraire, stockez-la dans le système d'exploitation. TPM obligatoire – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM). S'il n'y a pas de TPM, le certificat ne peut pas être installé et une erreur s'affiche sur le terminal. Logiciel – Sélectionnez ce paramètre pour stocker la clé privée dans le système d'exploitation du terminal. Passport – Sélectionnez ce paramètre pour sauvegarder la clé privée dans Microsoft Passport. Cette option nécessite l'intégration d'Azure AD. |
Nom du conteneur | Spécifiez le nom du conteneur Passport for Work (maintenant appelé « Windows Hello Entreprise »). Ce paramètre s'affiche lorsque vous définissez Emplacement de la clé sur Passport. |
Configurez le profil Wi-Fi, VPN ou EAS.
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
Le profil Mode d'application unique vous permet de limiter l'accès au terminal à une application unique. Avec le mode d'application unique, le terminal est verrouillé et ouvert à une seule application jusqu'à ce que la section de configuration soit supprimée. La politique est activée après un redémarrage du terminal.
Le mode d'application unique connaît cependant quelques restrictions et limitations.
Procédure
Une fois la connexion établie, la politique démarre et le Mode d'application unique est prêt à être utilisé. Si vous devez vous déconnecter du Mode d'application unique, appuyez sur la touche Windows rapidement cinq fois pour lancer l'écran de connexion et vous connecter sous un autre nom d'utilisateur.
Workspace ONE UEM prend en charge la configuration des paramètres VPN de terminal afin que vos utilisateurs finaux puissent accéder à distance et en toute sécurité au réseau interne de votre organisation. Découvrez comment le profil VPN contrôle les paramètres VPN détaillés, y compris les paramètres de fournisseur VPN spécifiques et l'accès VPN par application.
Important : Avant d'activer le Verrouillage du VPN, vérifiez que la configuration du VPN pour le profil VPN fonctionne. Si la configuration du VPN est incorrecte, il est possible que vous ne parveniez pas à supprimer le profil VPN du terminal, car il n'y a pas de connexion Internet.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur ou Profil du terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil VPN.
Configurez les paramètres Informations de connexion.
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
Les profils VPN Workspace ONE UEM prennent en charge la configuration des paramètres VPN par application pour les terminaux Windows. Découvrez comment configurer votre profil VPN pour utiliser les règles de trafic et la logique spécifiques pour activer l'accès VPN par application.
Les profils VPN Workspace ONE UEM prennent en charge la configuration des paramètres VPN par application pour les terminaux Windows. Découvrez comment configurer votre profil VPN pour utiliser les règles de trafic et la logique spécifiques pour activer l'accès VPN par application.
Le VPN par application vous permet de configurer des règles de trafic VPN basées sur certaines applications spécifiques. Une fois configuré, le VPN se connecte automatiquement lorsqu'une application spécifiée démarre et envoie le trafic de l'application, et uniquement de celle-ci, via la connexion VPN. Grâce à cette flexibilité, vous avez la garantie que les données de l'entreprise restent sécurisées, sans limiter l'accès des terminaux à Internet.
Chaque groupe de règles sous la section Règle de VPN par application utilise l'opérateur logique OR. Ainsi, si le trafic correspond à l'une de ces stratégies définies, il est autorisé via le VPN.
Les applications pour lesquelles les règles de trafic VPN par application s'appliquent peuvent être des applications Windows héritées, telles que les fichiers EXE ou les applications modernes téléchargées du Microsoft Store. En définissant les applications spécifiques pouvant démarrer et utiliser la connexion VPN, le VPN est utilisé uniquement pour le trafic issu de ces applications, pas pour tout le trafic des terminaux. Cette logique permet de sécuriser les données d'entreprise tout en réduisant la bande passante transmise via votre VPN.
Pour vous aider à réduire les contraintes liées à la bande passante du VPN, vous pouvez définir des règles de routage DNS pour la connexion VPN par application. Ces règles de routage limitent la quantité de trafic envoyé via le VPN au seul trafic correspondant à ces règles. Les règles de logique utilisent l'opérateur AND. Si vous définissez une adresse IP, un port et un protocole IP, le trafic devra correspondre à chacun de ces filtres pour passer par le VPN.
Le VPN par application vous permet de configurer un contrôle détaillé des connexions VPN pour chaque application.
La configuration d'un profil Raccourcis Internet vous permet de déployer des URL vers les terminaux des utilisateurs afin de faciliter l'accès aux sites Web importants.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil d'utilisateur.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Raccourcis Internet.
Configurez les paramètres des raccourcis Internet, notamment :
Paramètres | Description |
---|---|
Libellé | Saisissez la description du raccourci Internet. |
URL | Saisissez l'URL cible du raccourci Internet. |
Afficher dans l'App Catalog | Autorisez l'affichage du raccourci Internet dans l'App Catalog. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
Créez un profil Wi-Fi avec Workspace ONE UEM pour connecter les terminaux à des réseaux d'entreprise masqués, chiffrés ou protégés par mot de passe. Découvrez en quoi les profils Wi-Fi sont utiles pour les utilisateurs qui doivent accéder à plusieurs réseaux et également pour la configuration des terminaux afin qu'ils se connectent automatiquement au réseau sans fil approprié.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Wi-Fi et configurez les paramètres.
Paramètres | Descriptions |
---|---|
Identifiant SSID | Entrez un identifiant pour le nom (SSID) du réseau Wi-Fi souhaité. Le réseau SSID ne peut pas contenir d'espaces. |
Réseau masqué | Activez cette option si le réseau utilise un SSID masqué. |
Rejoindre automatiquement | Activez cette option pour que le terminal rejoigne le réseau automatiquement. |
Type de sécurité | Utilisez le menu déroulant pour sélectionner le type de sécurité (par exemple, WPA2 personnel) pour le réseau Wi-Fi. |
Chiffrement | Utilisez le menu déroulant pour sélectionner le type de chiffrement utilisé. Apparaît en fonction du Type de sécurité. |
Mot de passe | Saisissez le mot de passe requis pour rejoindre le réseau Wi-Fi (pour les réseaux avec mots de passe statiques). Cochez la case Afficher les caractères pour désactiver les caractères masqués dans la zone de texte. Apparaît en fonction du Type de sécurité. |
Proxy | Activez cette option pour configurer les paramètres proxy pour la connexion Wi-Fi. |
URL | Saisissez l'URL du proxy. |
Port | Saisissez le port du proxy. |
Protocoles | Sélectionnez le type de protocoles à utiliser : Certificat : PEAP-MsChapv2 EAP-TTLS : Personnalisé Cette section apparaît lorsque le Type de sécurité est défini sur WPA Enterprise ou WPA2 Enterprise. |
Authentification interne | Sélectionnez la méthode d'authentification via EAP-TTLS : Nom d'utilisateur/Mot de passe Certificat Cette section apparaît lorsque l'option Protocoles est définie sur EAP-TTLS ou PEAP-MsChapv2. |
Exiger une liaison de chiffrement | Activez cette option pour exiger une liaison de chiffrement sur les deux authentifications. Cet élément de menu limite les attaques de l'intercepteur. |
Utiliser les identifiants de connexion Windows | Activez cette option pour utiliser les informations d'identification de connexion Windows nom d'utilisateur/mot de passe pour s'authentifier. Apparaît lorsque Nom d'utilisateur/mot de passe est défini sur Identité interne. |
Certificat d'identité | Sélectionnez un certificat d'identité que vous pourrez configurer à l'aide de la section de configuration Identifiants. Apparaît lorsque Certificat est défini sur Identité interne. |
Certificats approuvés | Sélectionnez Ajouter pour ajouter des certificats approuvés au profil Wi-Fi. Cette section apparaît lorsque le Type de sécurité est défini sur WPA Enterprise ou WPA2 Enterprise. |
Autoriser les exceptions de fiabilité | Activez ce paramètre pour autoriser des décisions approuvées émanant de l'utilisateur via une boîte de dialogue. |
Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.
Windows Hello fournit une solution alternative à l'utilisation de mots de passe. Le profil Windows Hello permet de configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos données sans envoyer de mot de passe.
La protection de terminaux et de comptes à l'aide d'un nom d'utilisateur et d'un mot de passe crée parfois des exploits de sécurité potentiels. Il arrive que des utilisateurs oublient un mot de passe, ou le partagent avec des personnes étrangères à l'entreprise, mettant en danger les données de votre société. Grâce à Windows Hello, les terminaux Windows peuvent s'authentifier en toute sécurité pour accéder à des applications, sites Web et réseaux pour le compte de l'utilisateur, sans envoyer de mot de passe. Il devient inutile de se souvenir des mots de passe, sans compter qu'en leur absence, les attaques de type MITM risquent moins de compromettre votre sécurité.
Avec Windows Hello, les utilisateurs doivent veiller à disposer d'un terminal Windows avant de s'authentifier via un code PIN ou par le biais de la vérification biométrique Windows Hello. Une fois authentifié avec Windows Hello, le terminal obtient un accès immédiat aux sites Web, applications et réseaux.
Important : Windows Hello for Business nécessite l'intégration d'Azure AD pour fonctionner.
Créez un profil Windows Hello pour configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos applications, sites Web et réseaux sans saisir de mot de passe.
Créez un profil Windows Hello pour configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos applications, sites Web et réseaux sans saisir de mot de passe.
Important : les profils Windows Hello ne s'appliquent qu'aux terminaux enrôlés par l'intégration d'Azure AD.
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Windows Hello et configurez les paramètres suivants :
Paramètres | Descriptions |
---|---|
Geste biométrique | Activez ce paramètre pour permettre aux utilisateurs d'utiliser les lecteurs biométriques du terminal. |
TPM | Sélectionnez Exiger pour désactiver l'utilisation de Passport sans module TPM installé sur le terminal. |
Longueur minimale du code PIN | Saisissez le nombre minimal de chiffres que doit contenir le code PIN. |
Longueur maximale du code PIN | Saisissez le nombre maximal de chiffres que doit contenir le code PIN. |
Chiffres | Définissez le niveau d'autorisation pour utiliser des chiffres dans le code PIN. |
Majuscules | Définissez le niveau d'autorisation pour utiliser des majuscules dans le code PIN. |
Minuscules | Définissez le niveau d'autorisation pour utiliser des minuscules dans le code PIN. |
Caractères spéciaux | Définissez le niveau d'autorisation pour utiliser des caractères spéciaux dans le code PIN. ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { | } ~ |
Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.
Configurez un profil Gestion des licences Windows pour fournir aux terminaux Windows une clé de licence Windows Entreprise ou Windows Éducation. Utilisez ce profil pour mettre à niveau les terminaux qui ne disposent pas de Windows Entreprise.
Important :
Cette mise à niveau est irréversible. Si vous publiez ce profil sur des terminaux personnels, vous ne pouvez pas supprimer la gestion des licences par MDM. Windows ne peut effectuer la mise à niveau que dans les configurations suivantes :
Procédure
Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
Sélectionnez Windows, puis Windows Desktop.
Sélectionnez Profil de terminal.
Configurez les paramètres généraux du profil.
Sélectionnez le profil Gestion des licences Windows et configurez les paramètres suivants :
Paramètres | Descriptions |
---|---|
Édition Windows | Sélectionnez l'édition Entreprise ou Éducation. |
Saisissez une clé de licence valide | Saisissez la clé de licence correspondant à l'édition de Windows que vous utilisez. |
Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.
Créez un profil Mises à jour Windows vous permet de configurer les paramètres des mises à jour Windows sur les terminaux Windows Desktop en utilisant Windows 10, 2004 et versions ultérieures. Ce profil présente plus d'améliorations et de fonctionnalités supplémentaires que le profil de mise à jour Windows (hérité). L'utilisation de la version mise à jour garantit que tous vos terminaux sont à jour et pourront tirer parti des nouvelles fonctionnalités ajoutées à la console, tout en améliorant la sécurité des terminaux et du réseau.
Pour créer ou configurer un profil de mises à jour Windows, utilisez le gestionnaire de périphériques Windows.
Accédez à > Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez Ajouter un profil.
Choisissez Windows > Windows Desktop > Profil de terminal.
Dans Profil de terminal, sélectionnez Mises à jour Windows puis cliquez sur le bouton pour le Configurer.
Une fois configurés, vous pouvez personnaliser les paramètres si nécessaire. Ce tableau fournit plus d'informations sur ce que chaque paramètre est censé faire.
Paramètre | Description |
---|---|
Définition | |
Source de mise à jour Windows | Sélectionnez la source des mises à jour Windows. Service de mise à jour Microsoft – Sélectionnez cette option pour utiliser le serveur de mises à jour Microsoft par défaut. WSUS professionnel – Sélectionnez cette option pour utiliser un serveur d'entreprise et entrez l'URL du serveur WSUS et le Groupe WSUS. Le terminal doit contacter le WSUS au moins une fois pour que ce paramètre prenne effet. Si vous sélectionnez WSUS professionnel comme source, votre administrateur informatique pourra visualiser les mises à jour installées et le statut des terminaux dans le groupe WSUS. Remarque : La source ne peut pas être modifiée après sa définition. |
Branche de mise à jour | Sélectionnez la branche à suivre pour les mises à jour. Windows Insider - Canal Dev – Les builds Insider Preview dans ce canal sont publiées environ une fois par semaine et contiennent les toutes dernières fonctionnalités. Cela en fait l'idéal pour l'exploration des fonctionnalités.) Windows Insider - Canal Bêta – Les builds Insider Preview dans ce canal sont publiées environ une fois par mois et sont plus stables que les versions Fast Ring, ce qui les rend mieux adaptées à des fins de validation. Windows Insider - Canal d'aperçu de la version – Les builds Insider Preview dans ce canal sont les versions GA presque terminées pour valider la prochaine version GA. Canal de disponibilité général (ciblé) – Il n'existe aucun aperçu des fonctionnalités et les mises à jour des fonctionnalités sont publiées annuellement. |
Gérer les builds d'aperçu | Sélectionnez l'accès pour prévisualiser les builds. Si vous souhaitez exécuter un terminal dans Insider Preview, assurez-vous que cette option est définie sur « Activer les builds d'aperçu » : Désactiver les builds d'aperçu Désactiver les builds d'aperçu une fois que la version suivante est publique Activer les builds d'aperçu |
Planification du terminal | |
Activer la planification des terminaux | Lorsque cette option est activée, vous pouvez définir la manière dont les terminaux gèrent la planification de l'installation des mises à jour et du redémarrage automatique (forcé). Lorsque cette option est activée, vous verrez plus d'options pour configurer le comportement de mise à jour automatique, définir les heures d'activité et configurer le nombre de jours dont disposeront les utilisateurs avant que les mises à jour ne soient automatiquement envoyées à leurs terminaux. |
Comportement de mise à jour | |
Activer le comportement de mise à jour | Lorsque cette option est activée, vous pouvez définir les types de mises à jour proposées et le moment auquel les terminaux éligibles les recevront. Lorsque cette option est activée, vous verrez plus d'options pour désactiver la double analyse, autoriser les mises à jour de l'application Microsoft, définir la durée de report d'une mise à jour de fonctionnalité et exclure des pilotes Windows et/ou désactiver Safe Guard. |
Comportement du terminal | |
Activer le comportement du terminal | Lorsque cette option est activée, vous pouvez définir la manière dont les configurations du comportement de mise à jour sont gérées par le terminal. Lorsque cette option est activée, vous verrez plus d'options pour autoriser les mises à jour automatique Windows à télécharger sur des réseaux mesurés, à ignorer les limites de téléchargement des données cellulaires pour les mises à jour des applications et ignorer les limites de téléchargement des données cellulaires pour les mises à jour système. |
Optimisation de la distribution | |
Activer l’optimisation de la distribution | Lorsque cette option est activée, vous pouvez définir comment réduire la consommation de bande passante. Lorsque cette option est activée, vous verrez plus d'options pour sélectionner les options Mode de téléchargement, Source de l'hôte du cache, Source de l'ID de groupe, Source HTTP, Source du serveur de cache, Réseau, Configuration requise du terminal et Limitation de bande passante réseau. |
Version du système d'exploitation | |
Version du système d'exploitation | Lorsque cette option est activée, vous pouvez spécifier la version cible et la version du produit cible qui doivent être déplacées ou doivent rester jusqu'à la fin du service. |
Une fois que vous avez terminé la personnalisation du profil, n'oubliez pas de sélectionner Enregistrer et publier pour envoyer le profil sur vos terminaux.
Étant donné que les mises à jour Windows peuvent entraîner des problèmes avec des pilotes ou des applications spécifiques, trois boutons ont été ajoutés pour aider à dépanner ces situations. Le bouton Pause vous permet de suspendre les mises à jour de fonctionnalités et de qualité avant leur sortie (mais uniquement pendant 35 jours). Le bouton Restauration permet de revenir temporairement à la version précédent les mises à jour effectuées qui ont causé des problèmes imprévus, le temps que vous résolviez le problème. Le bouton Reprendre active à nouveau la recherche et l'installation des mises à jour Windows.
Le profil de mises à jour Windows (héritées) est destiné aux terminaux Windows Desktop utilisant Windows 10, 1909 ou une version antérieure. Envisagez de migrer ou d'utiliser le nouveau profil de mise à jour Windows pour bénéficier des nouvelles fonctionnalités et améliorations apportées après 2004. Le profil garantit que tous les terminaux sont à jour, ce qui améliore la sécurité des terminaux et du serveur.
Important : Pour afficher la version du système d'exploitation que prend en charge chaque branche de mise à jour, consultez la documentation de Microsoft sur les informations de version de Windows : https://technet.microsoft.com/en-us/windows/release-info.aspx.
Pour créer ou configurer un profil de mises à jour Windows héritées, utilisez le gestionnaire de périphériques Windows.
Accédez à > Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez Ajouter un profil.
Choisissez Windows > Windows Desktop > Profil de terminal.
Dans Profil de terminal, vous verrez un menu d'éléments que vous pouvez personnaliser. Sélectionnez Mises à jour Windows (héritées) , puis cliquez sur le bouton pour Configurer les paramètres.
Remarque : Vous pouvez remarquer une alerte qui vous informe de la possibilité de migrer des profils existants vers la nouvelle version. Vous pouvez utiliser le bouton Migrer pour migrer vos paramètres vers le nouveau profil de mises à jour Windows si vous le souhaitez. Sachez que si vous migrez les profils, certains paramètres ont été améliorés et mis à jour, ce qui entraîne la fin de validité de certaines des anciennes options. Ces modifications ne seront pas migrées à partir des versions précédentes.
Après la configuration, vous pouvez personnaliser les paramètres d'un profil hérité (de nouveau pour les Windows 10, 2004 ou versions antérieures). Ce tableau fournit plus d'informations sur ce que chaque paramètre est censé faire.
Paramètres | Descriptions | |
---|---|---|
Branches et reports | ||
Source de mise à jour Windows | Sélectionnez la source des mises à jour Windows. Service de mise à jour Microsoft – Sélectionnez cette option pour utiliser le serveur de mises à jour Microsoft par défaut. WSUS professionnel – Sélectionnez cette option pour utiliser un serveur d'entreprise et entrez l'URL du serveur WSUS et le Groupe WSUS. Le terminal doit contacter le WSUS au moins une fois pour que ce paramètre prenne effet. Si vous sélectionnez WSUS professionnel comme source, votre administrateur informatique pourra visualiser les mises à jour installées et le statut des terminaux dans le groupe WSUS. |
|
Branche de mise à jour | Sélectionnez la branche à suivre pour les mises à jour. Canal semi-annuel Branche Windows Insider - Rapide (Moins stable, Build de développement) Branche Windows Insider - Lente (Plus stable, Build de développement) Insider - Release (Plus stable, Build publique) |
|
Builds Insider | Autorisez le téléchargement de builds Windows Insider de Windows. NON autorisé : Ajout à Windows 10 version 1709 pour spécifier s'il faut autoriser l'accès aux builds Insider Preview de Windows 10. |
|
Différer la période de mises à jour des fonctionnalités (en jours) | Sélectionnez le nombre de jours pendant lesquels différer la mise à jour des fonctionnalités avant d'installer les mises à jour sur le terminal. Le nombre maximal de jours de report d'une mise à jour a changé sous Windows version 1703. Les terminaux exécutant une version antérieure à 1703 peuvent uniquement les différer pendant 180 jours. Les terminaux exécutant une version ultérieure à 1703 peuvent les différer jusqu'à 365 jours. Si vous différez une mise à jour de plus de 180 jours et que vous envoyez le profil vers un terminal exécutant une version de Windows antérieure à la mise à jour 1703, l'installation du profil sur le terminal échoue. |
|
Mettre en pause les mises à jour des fonctionnalités | Activez ce paramètre pour mettre en pause toutes les mises à jour des fonctionnalités pendant 60 jours ou jusqu'à ce que le paramètre soit désactivé. Ce paramètre remplace le paramètre Différer la période de mises à jour des fonctionnalités (en jours). Utilisez cette option pour retarder une mise à jour qui pose problème et qui pourrait s'installer normalement selon vos paramètres de report. | |
Différer les mises à jour de qualité (en jours) | Sélectionnez le nombre de jours pendant lesquels différer la mise à jour qualité avant d'installer les mises à jour sur le terminal. | |
Mettre les mises à jour qualité en pause | Activez ce paramètre pour mettre en pause toutes les mises à jour qualité pendant 60 jours ou jusqu'à ce que le paramètre soit désactivé. Ce paramètre remplace le paramètre Différer la période de mises à jour qualité (en jours). Utilisez cette option pour retarder une mise à jour qui pose problème et qui pourrait s'installer normalement selon vos paramètres de report. | |
Activer les paramètres pour les versions précédentes de Windows | Sélectionnez cette option pour activer les paramètres d'échelonnement pour des versions précédentes de Windows. Ce paramètre active les fonctionnalités de report pour les anciennes versions de Windows 10 telles que 1511 et versions antérieures. Elles ont été modifiées dans la mise à jour anniversaire 1607 dans les paramètres actuels. | |
Mettre à jour le comportement de l'installation | ||
Mises à jour automatiques | Définissez comment gérer les mises à jour de la Branche de mises à jour sélectionnée : Installer les mises à jour automatiquement (recommandé). Installer les mises à jour automatiquement, mais laisser l'utilisateur planifier le redémarrage de l'ordinateur. Installer les mises à jour automatiquement et recommencer à une heure précise Installer les mises à jour automatiquement et empêcher l'utilisateur de modifier les paramètres du panneau de contrôle Vérifier les mises à jour, mais laisser l'utilisateur décider de leur téléchargement et de leur installation Ne jamais vérifier les mises à jour (non recommandé). |
|
Nombre maximal d'heures d'activité (heures) | Entrez le nombre maximal d'heures d'activité qui empêchent le redémarrage du système en raison de mises à jour. | |
Heure de début de la période d'activité | Saisissez l'heure de début de la période d'activité. Définissez la période d'activité afin d'empêcher le système de redémarrer durant ces heures. | |
Heure de fin de la période d'activité | Affiche l'heure de fin de la période d'activité Cette durée est déterminée par les valeurs spécifiées pour Heure de début de la période d'activité et Nombre maximal d'heures d'activité. | |
Délais de redémarrage automatique des mises à jour de qualité | Définissez le nombre maximal de jours pouvant s'écouler après l'installation d'une mise à jour qualité ou fonctionnalité avant le redémarrage du système. | |
Délais de redémarrage automatique des mises à jour de fonctionnalité | Définissez le nombre maximal de jours pouvant s'écouler après l'installation d'une mise à jour de fonctionnalité avant le redémarrage du système. | |
Notifications de redémarrage automatique (minutes) | Sélectionnez le nombre de minutes d'affichage d'un avertissement avant un redémarrage automatique. | |
Notification de redémarrage automatique requis | Définissez comment une notification de redémarrage automatique doit être ignorée. Rejet automatique : automatiquement rejeté Rejet par l'utilisateur : exige de l'utilisateur qu'il ferme la notification. |
|
Délai de redémarrage amorcé des mises à jour de qualité | Les redémarrages amorcés permettent de gérer l'échéance du redémarrage du terminal après l'installation d'une mise à jour qualité ou fonctionnalité pendant les heures actives. Utilisez cette option pour définir le nombre de jours pendant lesquels un utilisateur peut amorcer un redémarrage avant qu'un redémarrage ne soit automatiquement planifié en dehors des heures actives. | |
Délai de redémarrage amorcé des mises à jour de fonctionnalité | Les redémarrages amorcés permettent de gérer l'échéance du redémarrage du terminal après l'installation d'une mise à jour de fonctionnalité pendant les heures actives. Utilisez cette option pour définir le nombre de jours pendant lesquels un utilisateur peut amorcer un redémarrage avant qu'un redémarrage ne soit automatiquement planifié en dehors des heures actives. | |
Planification des répétitions de redémarrage amorcé des mises à jour de qualité | Entrez le nombre de jours durant lesquels un utilisateur peut repousser un redémarrage amorcé. Lorsque la période de répétition est écoulée, une heure de redémarrage est planifiée en dehors des heures d'activité. | |
Planification des répétitions de redémarrage amorcé des mises à jour de fonctionnalité | Entrez le nombre de jours durant lesquels un utilisateur peut repousser un redémarrage amorcé. Lorsque la période de répétition est écoulée, une heure de redémarrage est planifiée en dehors des heures d'activité. | |
Avertissement de redémarrage planifié (heures) | Sélectionnez le nombre d'heures durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié. | |
Avertissement de redémarrage planifié (minutes) | Sélectionnez le nombre de minutes durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié. | |
Avertissement de redémarrage planifié imminent (minutes) | Sélectionnez le nombre de minutes durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié imminent. | |
Politiques de mise à jour | ||
Autoriser les mises à jour publiques | Autorisez les mises à jour provenant du service public Windows Update. Le fait de ne pas autoriser ce service risque de créer des problèmes avec le Microsoft Store. | |
Autoriser les mises à jour Microsoft | Autorisez les mises à jour provenant de Microsoft Update. | |
Fréquence d'analyse des mises à jour (heures) | Définissez le nombre d'heures entre les analyses de mises à jour. | |
Dual Scan | Activez cette option afin d'utiliser Windows Update comme source de mise à jour principale lorsque vous avez recours à Windows Server Update Services pour fournir tout le contenu. | |
Exclure les pilotes Windows Update des mises à jour qualité | Activez cette option pour empêcher l'installation automatique des mises à jour de pilotes sur des terminaux pendant les mises à jour qualité. | |
Installer les mises à jour signées depuis des entités tierces | Autorisez l'installation de mises à jour issues d'entités tierces approuvées. | |
Limite de téléchargement des applications de l'opérateur mobile | Indiquez si vous souhaitez ignorer les limites de téléchargement d'opérateur mobile pour télécharger des applications et leurs mises à jour sur un réseau cellulaire. | |
Limite de téléchargement des mises à jour de l'opérateur mobile | Indiquez si vous souhaitez ignorer les limites de téléchargement d'opérateur mobile pour télécharger les mises à jour du système d'exploitation sur un réseau cellulaire. | |
Mises à jour approuvées par l'administrateur | ||
Demander l'approbation de la mise à jour | Activez l'obligation d'approbation avant le téléchargement des mises à jour sur le terminal. Activez cette option pour forcer les administrateurs à approuver explicitement les mises à jour avant leur téléchargement sur le terminal. Cette approbation s'effectue par l'intermédiaire de Groupes de mise à jour ou est individuelle, pour chaque mise à jour. Lorsque cette option est activée, vous devez accepter le CLUF requis pour le compte des utilisateurs avant que la mise à jour soit envoyée aux terminaux. Si un CLUF doit être accepté, une boîte de dialogue affiche le contrat. Pour approuver des mises à jour, naviguez vers Cycle de vie > Mises à jour Windows. |
|
Optimisation de la distribution | ||
Mises à jour pair à pair | Autorise le téléchargement pair à pair de mises à jour. |
Une fois que vous avez terminé la personnalisation du profil, n'oubliez pas de sélectionner Enregistrer et publier pour envoyer le profil sur vos terminaux.
Workspace ONE UEM prend en charge la révision et l'approbation des mises à jour du système d'exploitation et OEM pour les terminaux Windows. La page Mises à jour du terminal répertorie toutes les mises à jour disponibles pour les terminaux Windows enrôlés dans le groupe organisationnel sélectionné.
Un administrateur peut gérer la suppression d'applications gérées sur les terminaux. Sous Ajouter un nouveau profil de poste de travail Windows > Applications gérées, l'administrateur peut activer ou désactiver la possibilité de conserver des applications gérées sur le terminal s'il est désenrôlé.
Recherchez les Mises à jour du terminal disponibles dans Ressources > Mises à jour du terminal. Cette page répertorie les mises à jour Windows et les Mises à jour OEM.
Dans l'onglet Windows, vous pouvez approuver des mises à jour et les attribuer à des Smart Groups spécifiques, afin de répondre aux besoins de votre entreprise. Cet onglet affiche toutes les mises à jour accompagnées de leur date de publication, de leur plateforme, classification et groupe attribués. Seules les mises à jour disponibles pour les terminaux Windows enrôlés dans le groupe organisationnel sélectionné sont affichées. Si vous n'avez pas de terminal Windows enrôlé dans l'OG, aucune mise à jour ne s'affiche.
En sélectionnant le nom d'une publication, vous affichez une fenêtre contenant des informations détaillées, un lien vers la page de la base de connaissances Microsoft pour cette mise à jour, ainsi que l'état de son installation.
Ce processus nécessite la publication d'un profil Windows Update sur les terminaux avec le paramètre Demander l'approbation de la mise à jour activé.
Le statut d'installation de la mise à jour affiche le déploiement de la mise à jour au sein de vos terminaux. Consultez l'état du déploiement de la mise à jour en sélectionnant celle-ci dans la liste ou en sélectionnant Afficher dans la colonne État de l'installation.
État | Descriptions |
---|---|
Attribué | La mise à jour est approuvée et attribuée au terminal. |
Approuvé | La mise à jour approuvée a bien été attribuée au terminal. |
Disponible | La mise à jour est disponible pour installation sur le terminal. |
Installation en attente | L'installation est approuvée et disponible mais pas encore installée. |
Redémarrage en attente | L'installation est mise en pause jusqu'au redémarrage des terminaux. |
Installé | La mise à jour a bien été installée. |
Échec | La mise à jour n'a pas été installée. |
À partir de cet onglet, vous pouvez voir toutes les mises à jour OEM déployées vers les terminaux Windows Desktop. Vous pouvez organiser l'affichage en liste par nom, niveau, type et catégorie de terminal. Vous pouvez également filtrer les mises à jour affichées avec des filtres, y compris les pilotes audio, de pilotes de chipset, les mises à jour du BIOS et bien plus encore.
Pour afficher le statut d'installation du déploiement de la mise à jour, sélectionnez le nom de la mise à jour.