Profils Workspace ONE UEM pour Windows

Les profils dans Workspace ONE UEM sont les principaux moyens de gérer et de configurer vos terminaux Windows. Vous trouvez ici des informations sur différents profils qui se connectent aux ressources et les protègent, qui limitent et contrôlent les terminaux, et qui sont spécifiques à Dell.

Que sont les profils

Considérez les profils de sécurité comme des paramètres facilitant l'application des procédures de l'entreprise, lorsqu'ils sont combinés à des politiques de conformité. Ils contiennent les paramètres, les configurations et les restrictions que vous souhaitez appliquer aux terminaux.

Un profil est composé des paramètres de profil généraux et d'une section de configuration spécifique. Les profils fonctionnent mieux lorsqu'ils ne contiennent qu'une seule section de configuration. Dans la console Workspace ONE UEM, vous pouvez trouver des profils d'utilisateur et de terminal en accédant à : Ressources > Profils et lignes de base > Profils.

Niveau de l'utilisateur ou du terminal

Les profils Windows Desktop s'appliquent sur un terminal au niveau de l'utilisateur ou du terminal. Lors de la création de profils Windows Desktop, sélectionnez le niveau auquel s'applique le profil. Certains profils ne sont pas disponibles pour les deux niveaux. Vous pouvez uniquement les appliquer soit au niveau de l'utilisateur, soit au niveau du terminal. Workspace ONE UEM console identifie quels profils sont disponibles pour quel niveau. La liste suivante présente certaines mises en garde dont il faut tenir compte pour utiliser avec succès les profils de terminal et d'utilisateur.

• Workspace ONE UEM exécute les commandes qui s'appliquent au contexte du terminal, même si le terminal ne dispose d'aucune connexion active d'utilisateur enrôlé.
• Les profils d'utilisateur spécifiques requièrent une connexion active d'utilisateur enrôlé.

Vous pouvez utiliser certains profils et commandes standard pour configurer et contrôler le terminal. Le graphique ci-dessous montre les commandes pour le profil et la console qui n'ont plus besoin d'un utilisateur Windows actif pour les exécuter.

Nom de profil	Installe sans utilisateur Windows actif
Mot de passe	Oui
Wi-Fi	Oui
VPN	Oui
Identifiants	Oui
Restriction	Oui
Defender Exploit Guard	Oui
Protection des données	Oui
Windows Hello	Oui
Firewall	Oui
Chiffrements	Oui
Antivirus	Oui
Mises à jour Windows	Oui
Proxy	Oui
SCEP	Oui
Contrôle d'applications	Oui
Gestion des licences Windows	Oui
Profil personnalisé (HUB et OMA-DM)	Oui
Kiosque	Oui
Personnalisation	Oui
Distribution pair	Oui
Filtre d’écriture unifiée	Oui

Action de Console	Fonctionne sans utilisateur Windows actif
Sécurité des terminaux	Oui
Informations Windows	Oui
Attestation d'intégrité	Oui
Mises à jour du système d'exploitation disponibles	Oui
Check-in du Hub	Oui
Exemple de liste de certificats	Oui
Informations de sécurité	Oui
Informations	Oui
Exemple de liste d'applications - HUB	Oui
Exemple de liste d'applications - OMA-DM	Oui
Capteur	Oui
Flux de travail	Oui
Fenêtre de temps	Oui
Redémarrage	Oui
Effacement des données professionnelles	Oui
Réinitialisation du terminal	Oui
Réinitialisation des données d'entreprise	Oui
Demander la journalisation du terminal	Oui

Nouvelles options de profil pour la configuration des profils d'utilisateurs et de terminaux Windows

Nous avons mis à jour vos options d'attribution des profils d'utilisateurs et de terminaux en ajoutant un deuxième générateur de plateforme Windows(bêta). Dans la console, lors de l'ajout d'un profil d'utilisateur ou de terminal, vous devrez sélectionner les plateformes Windows ou Windows(bêta). Navigation : Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Windows -OU- Windows(bêta)

Option de plateforme Windows

Vous pouvez continuer à ajouter et personnaliser des profils d'utilisateurs et de terminaux avec des paramètres personnalisés et l'intégration à Workspace ONE Intelligent Hub à l'aide de cette option de plateforme. Si vous avez configuré des paramètres personnalisés via l'Intelligent Hub, continuez à utiliser cette option au lieu de migrer vers les nouvelles options de plate-forme Windows(bêta), car la version bêta ne prendra pas en charge tous les paramètres personnalisés pour le moment.

Option de plateforme Windows(bêta)

Migrez vers cette plateforme si vous n'utilisez pas de paramètres personnalisés pour vos profils d'utilisateurs et de terminaux. Lors de l'ajout d'un profil, vous pourrez rechercher les options de fournisseurs de services de configuration natifs (CSP) Microsoft, puis l'appliquer à vos profils si nécessaire. Les améliorations ultérieures seront apportées, telles que l'ajout de modèles VMware actuellement définis derrière un indicateur de fonctionnalité.

Les paramètres personnalisés ne sont actuellement pas pris en charge. Une liste complète des détails des CSP est disponible sur le site Web de Microsoft : Détails de la politique CSP.

Modèle natif Microsoft

Sous l'option de plateforme Windows (bêta), le modèle natif Microsoft est disponible sans indicateur de fonctionnalité. Sur l'onglet Natif Microsoft, vous pouvez rechercher et appliquer d'autres options de CSP natifs Microsoft si nécessaire. Dans la liste déroulante Comptes, une fonctionnalité ajoutée affiche les informations des versions Windows prises en charge (si Microsoft l'a fournie).

Indicateur de fonctionnalité - Modèles VMware

Sous l'option de plateforme Windows (bêta), telle que le modèle natif Microsoft mais derrière un indicateur de fonctionnalité, nous avons créé des modèles VMware DDUI (Data-Driven User Interface). L'onglet Modèles VMware vous offre, en tant qu'administrateur, des options plus granulaires pour définir un niveau de personnalisation plus approfondi de certains CSP natifs Microsoft avec des paramètres préconfigurés et la possibilité de personnaliser trois de nos configurations les plus courantes sous : Optimisation de la distribution, Gestion des correctifs et Proxy. À l'aide des options dans ces sections, vous pouvez ajuster les paramètres préconfigurés selon vos besoins.

Remarque : Si vous configurez les deux onglets (Natif Microsoft et Modèles VMware), assurez-vous que les éléments dans les modèles VMware ne sont PAS également définis sous Natif Microsoft, car l'un d'eux peut remplacer l'autre et/ou créer un problème.

Profil d'antivirus

La création d'un profil d'antivirus permet de configurer l'antivirus Windows Defender natif sur les terminaux Windows Desktop. Le fait de configurer Windows Defender pour tous les terminaux permet de garantir la protection des utilisateurs utilisant leur terminal.

Important : Ce profil ne configure que l'Antivirus Windows Defender natif, pas les autres programmes antivirus tiers.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
   

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Antivirus.

6. Configurez les paramètres dans l'onglet Antivirus :

   Paramètres	Descriptions
   Surveillance en temps réel	Activez ce paramètre pour que l'Antivirus Windows Defender surveille le terminal en temps réel.
   Sens d'analyse en temps réel	Activez ce paramètre pour que l'Antivirus Windows Defender surveille les fichiers entrants, les fichiers sortants ou tous les fichiers. Utilisez cette option pour obtenir des performances réseau pour les serveurs ou les rôles de serveur que vous avez définis pour les installations Windows Server qui gèrent le trafic dans un sens unique.
   Niveau de protection du cloud	Activez ce paramètre pour configurer le degré d'agressivité de l'Antivirus Windows Defender en matière de blocage et d'analyse des fichiers suspects. Prenez en considération les performances réseau lors de la configuration de cet élément de menu.
   Délai d'expiration du bloc du cloud	Sélectionnez une durée, en secondes, pendant laquelle un fichier reste bloqué lorsque l'Antivirus Windows Defender analyse son potentiel de menace. La durée de blocage par défaut est de 10 secondes. Le système ajoute les secondes définies dans cet élément de menu à la durée par défaut.
   Mises à jour de la signature	Intervalle de mise à jour de la signature en heures Sources des partages de fichiers des mises à jour de la signature Vérifier la signature avant l'exécution de l'analyse Ordre de rétablissement des mises à jour de la signature
   Intervalle d'analyse	Analyse complète : activez ce paramètre pour planifier une analyse complète. Sélectionnez l'intervalle de temps (en heures) entre les analyses. Analyse rapide : activez ce paramètre pour planifier une analyse rapide. Sélectionnez l'intervalle de temps (en heures) entre les analyses.
   Exclusions	Sélectionnez les chemins de fichier ou processus à exclure des analyses de l'Antivirus Windows Defender. Sélectionnez Ajouter nouveau pour ajouter une exception.
   Action par défaut contre les menaces (Basse, Modérée, Haute, Grave)	Définissez l'action par défaut pour les niveaux de menaces différentes rencontrés durant les analyses. Effacer – Sélectionnez ce paramètre pour effacer les problèmes inhérents à la menace. Quarantaine – Sélectionnez ce paramètre pour isoler la menace dans un dossier de quarantaine. Supprimer – Sélectionnez ce paramètre pour supprimer la menace de votre système. Autoriser – Sélectionnez ce paramètre pour conserver la menace. Personnalisé – Sélectionnez ce paramètre pour laisser l'utilisateur choisir l'action qu'il souhaite entreprendre sur la menace. Aucune action – Sélectionnez ce paramètre pour n'entreprendre aucune action sur la menace. Bloquer – Sélectionnez ce paramètre pour bloquer la menace et l'empêcher d'accéder au terminal.
   Avancé	Analyser le facteur de charge CPU moyen : définissez le pourcentage moyen maximal du processeur que l'Antivirus Windows Defender peut utiliser au cours des analyses. Verrouillage IU : activez ce paramètre pour verrouiller intégralement l'interface utilisateur de sorte que les utilisateurs finaux ne puissent pas modifier de paramètres. Analyse complète de rattrapage : activez ce paramètre pour autoriser l'exécution d'une analyse complète ayant été précédemment interrompue ou manquée. Une analyse de rattrapage est entreprise lorsqu'une analyse planifiée n'a pas pu être effectuée. En règle générale, la non-exécution d'analyses régulières est due au fait que l'ordinateur était éteint à ce moment-là. Analyse rapide de rattrapage : activez ce paramètre pour autoriser l'exécution d'une analyse rapide ayant été précédemment interrompue ou manquée. Une analyse de rattrapage est entreprise lorsqu'une analyse planifiée n'a pas pu être effectuée. En règle générale, la non-exécution d'analyses régulières est due au fait que l'ordinateur était éteint à ce moment-là. Analyse du comportement : activez ce paramètre pour que l'analyseur de virus envoie un journal d'activité à Microsoft. Système de prévention d'intrusion : activez ce paramètre pour configurer la protection du réseau contre l'exploitation de vulnérabilités connues. Cette option permet à l'Antivirus Windows Defender de surveiller les connexions en permanence et d'identifier les comportements potentiellement malveillants. À cet égard, le logiciel se comporte tel un analyseur de virus classique, mais au lieu d'analyser des fichiers, il analyse le trafic réseau. Protection PUA : activez ce paramètre pour que l'Antivirus Windows Defender surveille les applications potentiellement indésirables (PUA) sur les clients finaux. Protection IOAV : activez ce paramètre pour que Windows Defender analyse les fichiers téléchargés. Protection OnAccess : activez ce paramètre pour que l'Antivirus Windows Defender protège les fichiers et les dossiers contre tout accès non autorisé. Protection du Cloud : activez ce paramètre pour que l'Antivirus Windows Defender détecte et empêche les menaces rapidement à l'aide des ressources propriétaires et l'apprentissage machine. Consentement de l'utilisateur : activez ce paramètre pour que l'Antivirus Windows Defender invite l'utilisateur du client final à donner son consentement avant qu'il agisse sur les menaces identifiées. Analyse des e-mails : activez ce paramètre pour que Windows Defender analyse les e-mails. Analyser les lecteurs réseau mappés : activez ce paramètre pour que l'Antivirus Windows Defender analyse des lecteurs mappés vers des terminaux. Analyser les archives : activez ce paramètre pour que l'Antivirus Windows Defender exécute une analyse complète sur des dossiers archivés. Analyser les lecteurs amovibles : activez ce paramètre pour que l'antivirus Windows Defender analyse tout lecteur amovible rattaché au terminal. Supprimer les fichiers en quarantaine après : définissez la durée de conservation des fichiers placés en quarantaine avant leur suppression.

7. Cliquez sur Enregistrer et publier.

Profil de contrôle d’applications

Limitez les applications pouvant être installées sur les terminaux Windows Desktop avec le profil Contrôle des applications. Le fait de limiter les installations d'applications protège vos données des applications malveillantes et évite aux utilisateurs de recevoir sur les terminaux de l'entreprise des applications dont ils n'ont pas besoin.

Pour autoriser ou interdire l'installation d'applications sur les terminaux, activez le contrôle des applications pour approuver ou bloquer des applications spécifiques. Alors que le moteur de conformité surveille les terminaux et y recherche les applications approuvées ou bloquées, le contrôle des applications empêche les utilisateurs d'essayer d'ajouter ou de supprimer des applications. Vous pouvez, par exemple, empêcher l'installation de certaines applications de jeux ou autoriser seulement les applications approuvées. Les applications bloquées et installées sur un terminal avant l'envoi de la section de configuration Contrôle des applications sont désactivées une fois le profil déployé.

Le profil Contrôle d'application réduit le coût de gestion des terminaux, car il empêche l'utilisateur d'exécuter des applications interdites qui pourraient provoquer des problèmes. Le blocage des applications pouvant provoquer des problèmes réduit le nombre d'appels auxquels le personnel d'assistance doit répondre.

Configuration d'un profil Contrôle des applications

Activez le contrôle des applications pour approuver ou bloquer des applications spécifiques pour autoriser ou interdire l'installation d'applications sur les terminaux. Le contrôle des applications utilise des configurations Microsoft AppLocker pour forcer le contrôle des applications sur les terminaux Windows.

Pour configurer un fichier de configuration XML, vous devez configurer les paramètres Applocker sur un terminal et exporter le fichier à utiliser avec le profil.

Le profil Contrôle des applications requiert Windows Entreprise ou Éducation.

Important :

• Créez d'abord des politiques à l'aide du mode Auditer uniquement. Après avoir vérifié la version configurée à l'aide du mode Auditer uniquement sur un terminal de test, créez une version en mode Appliquer que vous utiliserez sur vos terminaux. Si vous ne testez pas les politiques avant une utilisation générale, vous risquez de rendre vos terminaux inutilisables.
• Créez des règles par défaut et toute autre règle nécessaire pour votre organisation afin de réduire les risques de verrouillage des configurations par défaut ou de bloquer les terminaux après le redémarrage. Pour savoir comment créer des règles, voir l'article de Microsoft TechNet article sur AppLocker.

Procédure

1. Sur le terminal de configuration, lancez l'éditeur Stratégie de sécurité locale.
2. Naviguez vers Stratégies de contrôle de l'application > AppLocker, puis sélectionnez Configurer la mise en application des règles.
3. Activez Règles de l'exécutable, Règles Windows Installer, puis la mise en application Règles de script en sélectionnant Appliquer les règles.
4. Créez des Règles de l'exécutable, des Règles Windows Installer et des Règles de script en sélectionnant le dossier sur la droite, en effectuant un clic droit sur le dossier et en choisissant Créer Nouvelle règle. N'oubliez pas de créer des règles par défaut afin de réduire les risques de verrouillage de la configuration par défaut ou le blocage du terminal.
5. Une fois toutes les règles requises créées, effectuez un clic droit sur AppLocker, sélectionnez Exporter la stratégie, puis enregistrez le fichier de configuration XML.
6. Dans Workspace ONE UEM Console, accédez à Ressources > Profils et lignes de base > Profils > Ajouter, puis sélectionnez Ajouter un profil.
7. Sélectionnez Windows, puis Windows Desktop.
8. Sélectionnez Profil de terminal.
9. Configurez les paramètres généraux du profil.
10. Sélectionnez la section de configuration Contrôle d'applications.
11. Sélectionnez Importer un modèle de configuration de terminaux, puis Importer pour ajouter votre fichier de configuration des politiques.
12. Cliquez sur Enregistrer et publier.

Profil BIOS

Configurez les paramètres BIOS pour des terminaux Dell Enterprise à l'aide du profil BIOS. Ce profil nécessite l'intégration à Dell Command | Monitor.

La prise en charge des paramètres de profil BIOS varie selon le terminal Dell Enterprise. Dell Command | Monitor doit être chargé et/ou attribué à chaque terminal.

Conditions prérequises

• Si vous souhaitez utiliser la fonctionnalité de module de configuration, vous devez déployer l'application Dell Command | Configure sur les terminaux.
• Ce profil nécessite également l'intégration à Dell Command | Monitor. Ajouter Dell Command | Products.

Procédure

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

Remarque : Il existe désormais une option par défaut pour les profils. L'option par défaut n'apportera aucune modification au paramètre sur le terminal. Dans les paramètres par défaut du nouveau profil, les paramètres de mot de passe seront définis sur Gérer et tous les autres paramètres seront définis sur Par défaut.

1. Configurez les paramètres généraux du profil.

2. Sélectionnez la section de configuration BIOS et configurez les paramètres suivants.

   • Définition du mot de passe du BIOS : sélectionnez Géré pour que Workspace ONE UEM génère automatiquement un mot de passe du BIOS unique et fiable pour les terminaux. Vous pouvez accéder au mot de passe généré sur la page Détails du terminal. Sélectionnez Manuel pour entrer votre propre mot de passe du BIOS.
   • Mot de passe du BIOS : entrez le mot de passe utilisé pour déverrouiller le BIOS du terminal. Ce paramètre s'affiche lorsque le paramètre de mot de passe du BIOS est défini sur Manuel.
   • Puce du TPM : sélectionnez Activer pour activer la puce du Module de plateforme sécurisée (TPM). Si vous désactivez la puce du TPM, vous désactivez également la capacité de mot de passe à usage unique du BIOS. Le mot de passe du BIOS défini dans le profil du BIOS géré ne change pas après utilisation.
   • Démarrage sécurisé : sélectionnez Activer pour utiliser les paramètres de démarrage sécurisé sur le terminal. Vous ne pouvez pas désactiver le démarrage sécurisé avec DCM.
   • Virtualisation du processeur : sélectionnez Activer pour autoriser la prise en charge de la virtualisation du matériel.
   • Virtualisation IO : sélectionnez Activer pour autoriser la virtualisation d'entrée/de sortie
   • Trusted Execution : sélectionnez Activer pour autoriser le terminal à utiliser la puce TPM, la virtualisation CPU et la virtualisation IO pour les décisions de confiance. Pour utiliser la fonctionnalité Trusted Execution, vous devez définir les paramètres Puce TPM, Virtualisation CPU et Virtualisation IO sur Activé.
   • Réseau local sans fil : sélectionnez Activer pour autoriser l'utilisation de la fonctionnalité LAN sans fil du terminal.
   • Radio cellulaire : sélectionnez Activer pour autoriser l'utilisation de la fonctionnalité Radio cellulaire du terminal.
   • Bluetooth : sélectionnez Activer pour autoriser l'utilisation de la fonctionnalité Bluetooth du terminal.
   • GPS : sélectionnez Activer pour autoriser l'utilisation de la fonctionnalité GPS du terminal.
   • Rapports SMART : sélectionnez Activer pour utiliser les rapports SMART des solutions de stockage du terminal
   • Charge de la batterie principale : sélectionnez les règles de chargement pour le terminal. Ces règles contrôlent le démarrage et l'arrêt de la charge de la batterie. Si vous sélectionnez Charge personnalisée, vous pouvez définir manuellement le pourcentage de charge pour le démarrage et l'arrêt de la charge de la batterie.
     • Charge standard – Utilisez cette option pour les utilisateurs qui basculent entre fonctionnement sur batterie et sur source d'alimentation externe. Cette option charge entièrement la batterie à un taux standard. Le temps de charge varie selon le modèle de terminal.
     • Charge Express – Utilisez cette option pour les utilisateurs qui ont besoin de charger la batterie sur une courte période. La technologie de charge rapide de Dell permet de charger une batterie complètement déchargée à 80 % en environ 1 heure lorsque l'ordinateur est mis hors tension et à 100 % en environ 2 heures. Le temps de charge peut être plus long si l'ordinateur est allumé.
     • Charge CA – Utilisez cette option pour les utilisateurs qui emploient principalement leur système lorsqu'ils sont connectés à une source d'alimentation externe. Ce paramètre peut prolonger la durée de vie de votre batterie en diminuant le seuil de charge.
     • Charge automatique – Utilisez cette option pour les utilisateurs qui souhaitent définir cette option et ne plus en changer. Cette option permet au système d'optimiser les paramètres de votre batterie en fonction des habitudes d'utilisation de la batterie.
     • Charge personnalisée – Utilisez cette option pour les utilisateurs avancés qui souhaitent plus de contrôle sur la charge et la décharge de leur batterie.
   • Limite de début de charge personnalisé de la batterie principale : définissez le pourcentage de charge de la batterie qui doit être atteint avant que le terminal commence à charger la batterie.
   • Limite d'arrêt de charge personnalisé de la batterie principale : définissez le pourcentage de charge de la batterie qui doit être atteint avant que le terminal arrête de charger la batterie.
   • Peak Shift : sélectionnez Activer pour utiliser le changement de crête afin de contrôler le moment où le terminal utilise sa batterie ou l'alimentation secteur. La fonctionnalité Peak Shift vous permet d'utiliser l'alimentation par batterie au lieu du courant alternatif pendant des périodes définies. Pour planifier la fonctionnalité Peak Shift, sélectionnez l'icône de calendrier.
   • Planification de la fonctionnalité Peak Shift : les trois paramètres de la planification de la fonctionnalité Peak Shift permettent de contrôler les périodes durant lesquelles un terminal utilise sa batterie ou l'alimentation secteur et les périodes durant lesquelles il charge sa batterie.
     • Démarrage de Peak Shift : définissez l'heure à laquelle les terminaux doivent commencer à utiliser leurs batteries.
     • Arrêt de Peak Shift : définissez l'heure à laquelle les terminaux doivent utiliser l'alimentation CA.
     • Démarrage de la charge Peak Shift : définissez l'heure à laquelle les terminaux doivent commencer à charger leurs batteries en utilisant l'alimentation CA.
   • Seuil de la fonction Peak Shift de la batterie : définissez le pourcentage de charge de la batterie qui doit être atteint avant que les terminaux cessent d'utiliser leurs batteries et passent à l'alimentation CA. Le paramètre Démarrage de la charge Peak Shift contrôle la période pendant laquelle les terminaux chargent leurs batteries après être passés à l'alimentation CA.
   • Propriétés système : sélectionnez Ajouter des propriétés système pour ajouter une propriété système personnalisée. Cliquez à nouveau sur le bouton pour ajouter des propriétés supplémentaires. Ces propriétés correspondent à des options avancées. Pensez à consulter la documentation Dell avant d'utiliser ces paramètres. Les propriétés système remplacent tous les paramètres prédéfinis configurés dans le profil.
   • Classe : entrez une classe et sélectionnez-la dans le menu déroulant. S'affiche après avoir sélectionné Ajouter des propriétés système.
   • Propriété système : entrez une propriété système et sélectionnez-la dans le menu déroulant. S'affiche après avoir sélectionné Ajouter des propriétés système.
   • Attributs du BIOS : sélectionnez Ajouter un attribut du BIOS pour ajouter un attribut du BIOS personnalisé. Cliquez à nouveau sur le bouton pour ajouter des attributs supplémentaires. Ces attributs correspondent à des options avancées. Pensez à consulter la documentation Dell avant d'utiliser ces paramètres. Les attributs du BIOS remplacent tous les paramètres prédéfinis configurés dans le profil.
   • Attribut du BIOS : entrez un attribut du BIOS et sélectionnez-le dans le menu déroulant. S'affiche après avoir sélectionné Ajouter un attribut du BIOS.
   • Valeur : sélectionnez une valeur pour l'attribut du BIOS. Si une valeur n'est pas fournie, l'attribut du BIOS est en lecture seule. S'affiche après avoir sélectionné Ajouter un attribut du BIOS.
   • Module de configuration : sélectionnez Importer pour ajouter un module de configuration Dell Command | Configure. Importez un package vous permet de configurer plusieurs terminaux Dell avec une configuration unique. Les packages de configuration remplacent l'ensemble des propriétés ou attributs système personnalisés. Si vous approuvez les extensions de fichier autorisées, vous devez ajouter l’extension de fichier CCTK à la liste autorisée. Accédez à Groupes et paramètres > Tous les paramètres > Contenu > Avancé > Extensions de fichiers pour ajouter l'extension de fichier.

3. Cliquez sur Enregistrer et publier.

Profil Identifiants

Un profil Identifiants vous permet de déployer des certificats racine, intermédiaire et client sur les terminaux Windows afin de prendre en charge tous les cas d'utilisation d'infrastructure à clé publique (PKI) et d'authentification des certificats. Le profil déploie les identifiants configurés dans la zone de stockage adéquate sur le terminal Windows Desktop. Apprenez à configurer un profil Identifiants pour activer l'authentification pour vos terminaux Windows.

Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour utiliser les certificats de cette manière, vous devez d'abord configurer section de configuration Identifiants avec une autorité de certification, mais aussi vos propres sections de configuration Wi-Fi et VPN. Chacune de ces sections de configuration dispose de paramètres permettant d'associer l'autorité de certification définie dans la section de configuration Identifiants.

Le profil Identifiants vous permet également d'envoyer des certificats S/MIME aux terminaux. Ces certificats sont chargés dans chaque compte d'utilisateur et sont contrôlés par le profil Identifiants.

Configuration d'un profil Identifiants

Un profil Identifiants envoie des certificats aux terminaux pour qu'ils soient utilisés dans l'authentification. Avec Workspace ONE UEM, vous pouvez configurer les identifiants pour des magasins de certificat personnels, intermédiaires, de racines de confiance, de serveurs de publication approuvés et de personnes autorisées. Apprenez à configurer un profil Identifiants pour activer l'authentification pour vos terminaux Windows.

Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour utiliser les certificats de cette manière, vous devez d'abord configurer la charge utile des identifiants avec une autorité de certificat, mais aussi vos propres charges utiles Wi-Fi et VPN. Chacune de ces charges utiles dispose de paramètres permettant d'associer l'autorité de certificat définie dans la charge utile des identifiants.

Le profil Identifiants vous permet également d'envoyer en Push des certificats S/MIME aux terminaux. Ces certificats sont chargés dans chaque compte d'utilisateur et sont contrôlés par le profil Identifiants.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil d'utilisateur ou Profil du terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la section de configuration Identifiants et configurez les paramètres suivants :

   Paramètres	Descriptions
   Source des identifiants	Sélectionnez la source des identifiants Importer, Autorité de certificat définie ou Certificat utilisateur. Les options de section de configuration restantes dépendent de la source. Si vous sélectionnez Charger, vous devez charger un nouveau certificat. Si vous sélectionnez Autorité de certification définie, vous devez choisir une autorité de certification prédéfinie, ainsi qu'un modèle de certificat. Si vous sélectionnez Certificat utilisateur, vous devez sélectionner le mode d'utilisation du certificat S/MIME.
   Importer	Sélectionnez ce paramètre pour naviguer vers le fichier de certificat d'identifiant requis et l'importer dans Workspace ONE UEM Console. Ce paramètre apparaît lorsque Importer est sélectionné en tant que Source des identifiants.
   Autorité de certification	Utilisez le menu déroulant pour sélectionner une autorité de certification prédéfinie. Ce paramètre apparaît lorsque Autorité de certification définie est sélectionnée en tant que Source des identifiants.
   Modèle de certificat	Utilisez le menu déroulant pour sélectionner un modèle de certificat prédéfini pour l'autorité de certification sélectionnée. Ce paramètre apparaît lorsque Autorité de certification définie est sélectionnée en tant que Source des identifiants.
   Emplacement de la clé	Sélectionnez l'emplacement de la clé privée du certificat : TPM si disponible – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM) s'il y en a sur le terminal ; dans le cas contraire, stockez-la dans le système d'exploitation. TPM obligatoire – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM). S'il n'y a pas de TPM, le certificat ne peut pas être installé et une erreur s'affiche sur le terminal. Logiciel – Sélectionnez ce paramètre pour stocker la clé privée dans le système d'exploitation du terminal. Passport – Sélectionnez ce paramètre pour sauvegarder la clé privée dans Microsoft Passport. Cette option nécessite l'intégration d'Azure AD.
   Magasin de certificats	Sélectionnez le magasin de certificats approprié pour que l'identifiant réside dans le terminal : Personnel – Sélectionnez ce paramètre pour stocker des certificats personnels. Les certificats personnels nécessitent la présence de Workspace ONE Intelligent Hub sur le terminal ou l'utilisation de la section SCEP. Intermédiaire – Sélectionnez ce paramètre pour stocker les certificats issus d'autorités de certification intermédiaires. Racine de confiance – Sélectionnez ce paramètre pour stocker des certificats provenant d'autorités de certification de confiance, ainsi que des certificats racines issus de votre organisation et de Microsoft. Serveur de publication fiable – Sélectionnez ce paramètre pour stocker des certificats provenant d'autorités de certification de confiance approuvées par des politiques de restriction de logiciels. Personnes fiables – Sélectionnez ce paramètre pour stocker des certificats provenant de personnes fiables ou d'entités explicitement approuvées. Il s'agit pour la plupart de certificats auto-signés ou de certificats explicitement approuvés dans une application telle que Microsoft Outlook.
   Emplacement du magasin	Sélectionnez Utilisateur ou Ordinateur pour définir l'emplacement du certificat.
   S/MIME	Indiquez si le certificat S/MIME est destiné au chiffrement ou à la signature. Cette option s'affiche uniquement si l'option Source des informations d'identification est définie sur Certificat utilisateur.

6. Sélectionnez Enregistrer et publier pour envoyer le profil aux terminaux.

Profil des paramètres personnalisés

La section de configuration Paramètres personnalisés permet d'utiliser les fonctionnalités Windows Desktop que Workspace ONE UEM ne prend pas en charge actuellement par ses sections de configuration natives. Si vous souhaitez utiliser les nouvelles fonctionnalités, vous pouvez utiliser la charge utile des Paramètres personnalisés et le code XML pour activer ou désactiver certains paramètres manuellement.

Conditions prérequises

Pour un profil Windows Desktop, vous devez écrire votre propre code SyncML. Microsoft publie un site de référence Fournisseur de services de configuration disponible sur leur site Web. Pour créer un SyncML personnalisé, essayez le fling Créateur de stratégies disponible via le programme Flings VMware.

Exemple de code

  <Replace>
    <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
        </Meta>
        <Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
      </Item>
  </Replace>

Procédure

1. Accédez au programme Flings VMware.

2. Sélectionnez la stratégie des fournisseurs de services de configuration que vous souhaitez utiliser pour créer votre profil personnalisé.

3. Cliquez sur Configurer.

4. Sur la page Configurer, configurez les paramètres de la stratégie pour répondre aux besoins de votre entreprise.

5. Sélectionnez la commande à utiliser avec la stratégie : Ajouter, Supprimer, Enlever ou Remplacer.

6. Sélectionnez le bouton Copier.

7. Dans Workspace ONE UEM Console, accédez à Ressources > Profils et lignes de base > Profils > Ajouter, puis sélectionnez Ajouter un profil.

8. Sélectionnez Windows, puis Windows Desktop.

9. Sélectionnez Profil d'utilisateur ou Profil du terminal.

10. Configurez les paramètres généraux du profil.

11. Sélectionnez la section de configuration Paramètres personnalisés puis cliquez sur Configurer.

12. Sélectionnez une Cible pour le profil personnalisé.

    La plupart des cas d'utilisation utilisent OMA-DM comme Cible. Utilisez Workspace ONE Intelligent Hub lorsque vous personnalisez un profil BitLocker ou que vous cherchez à empêcher les utilisateurs de désactiver le service AirWatch.

13. Sélectionnez Rendre les commandes atomiques pour autant que votre SyncML utilise les commandes Add, Delete ou Replace. Si votre code utilise Exec, ne sélectionnez pas Rendre les commandes atomiques.

14. Collez le code XML que vous venez de copier dans la zone de texte Paramètres d'installation. Le code XML que vous collez doit contenir le bloc de code complet, qui va de <Add> à </Add> (ou similairement pour toute autre commande utilisée par votre code SyncML). N'incluez rien avant ou après ces balises.

15. Ajoutez le code de suppression à la zone de texte Supprimer des paramètres. Le code de suppression doit contenir les balises <replace> </replace> ou <delete> </delete>.
    
    Ce code permet l'exécution de fonctionnalités Workspace ONE UEM telles que Supprimer le profil et Désactiver le profil. Sans le code de suppression, vous ne pouvez pas supprimer le profil des terminaux sans transférer un deuxième profil Paramètres personnalisés. Pour plus d'informations, reportez-vous à l'article https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

16. Sélectionnez Enregistrer et publier.

Protection contre la désactivation par les utilisateurs du service Workspace ONE UEM

Utilisez un profil de paramètres personnalisés pour empêcher les utilisateurs finaux de désactiver Workspace ONE UEM (AirWatch) Service sur leurs terminaux Windows. Empêcher les utilisateurs finaux de désactiver le service Workspace ONE UEM garantit que Workspace ONE Intelligent Hub exécute des check-ins réguliers avec Workspace ONE UEM Console et reçoit les dernières mises à jour de la stratégie.

1. Créez un profil Paramètres personnalisés.

2. Définissez la Cible sur Agent de protection.

3. Copiez le code suivant et collez-le dans la zone de texte Paramètres personnalisés.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="True"/> 
               </characteristic>
             </wap-provisioningdoc>
   
   

4. Cliquez sur Enregistrer et publier. Si vous souhaitez supprimer la restriction pour les terminaux de l'utilisateur, vous devez envoyer un profil distinct en utilisant le code suivant.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile"> 
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="False"/> 
               </characteristic> 
             </wap-provisioningdoc>
   
   

Profil Dynamic Environment Manager (DEM)

VMware Dynamic Environment Manager (DEM) fournit une expérience utilisateur persistante pour les sessions utilisateur sur les terminaux Windows. Les fonctionnalités incluent la personnalisation des paramètres de Windows et d'application, ainsi que l'exécution d'actions de l'utilisateur et de l'ordinateur pour certains déclencheurs ou lors du lancement d'applications. Vous pouvez intégrer Dynamic Environment Manager et Workspace ONE UEM pour utiliser ces fonctionnalités avec le profil DEM.

Le profil DEM dans Workspace ONE UEM déploie un profil de configuration DEM créé dans la console de gestion VMware Dynamic Environment Manager (console de gestion DEM). Le profil de configuration DEM fonctionne sur les terminaux Windows gérés par Workspace ONE UEM, qu'ils soient virtuels, physiques ou basés sur le Cloud. Sur le terminal, Workspace ONE Intelligent Hub pour Windows et DEM FlexEngine extraient et appliquent vos profils.

Documentation DEM

Pour plus d'informations sur VMware Dynamic Environment Manager, reportez-vous au site VMware Docs.

CDN requis

Le CDN est requis pour cette fonctionnalité.

• Si vous disposez d'un environnement SaaS et que vous avez désactivé CDN, vous devez l'activer, sinon l'intégration DEM ne sera pas disponible.
• Si vous disposez d'un environnement sur site et que vous n'utilisez pas ou n'avez pas configuré CDN, l'intégration DEM n'est pas disponible.

Critères à prendre en compte

• Dans DEM, utilisez le mode UEM intégré pour créer le profil de configuration DEM. Si vous n'utilisez pas ce mode, vous ne pouvez pas créer de profils de configuration DEM. Workspace ONE UEM ne prend actuellement pas en charge SMB pour la configuration DEM.
• Assurez-vous que vos configurations dans Dynamic Environment Manager et Workspace ONE UEM ne sont pas en conflit. Par exemple, ne restreignez pas certaines configurations dans une console et ne les autorisez pas dans une autre.
• Dans Workspace ONE UEM, n'attribuez pas plusieurs profils DEM à un seul terminal. L'attribution de plusieurs profils DEM à un seul terminal peut entraîner le déploiement de configurations incorrectes.
• Extrayez et installez la console de gestion DEM et DEM FlexEngine à l'aide du processus d'installation personnalisé et non le processus d'installation par défaut. Le processus d'installation par défaut installe uniquement la console de gestion DEM.
• Utilisez DEM v2106 ou version ultérieure, car cette intégration n'est pas prise en charge dans les versions antérieures.

Tâches à effectuer avant l'intégration

Avant de pouvoir intégrer VMware Dynamic Environment Manager (DEM) et Workspace ONE UEM, vous devez installer la console de gestion DEM et déployer DEM FlexEngine sur des terminaux gérés.

• Téléchargez et extrayez la console de gestion DEM et de DEM FlexEngine.
  • Accédez au site VMware Customer Connect pour VMware Dynamic Environment Manager.
  • Téléchargez les versions applicables de la console et du moteur.
• Installez la console de gestion DEM sur un terminal sur lequel vous souhaitez créer des profils de configuration.
  • Basculez la console de gestion DEM vers le mode UEM intégré en choisissant Configure | Integration | Workspace ONE UEM Integration.
• Lorsque vous créez votre profil de configuration DEM, effectuez les tâches suivantes comme indiqué dans Installation de FlexEngine en mode NoAD.
  • Incluez un fichier NoAD.xml dans le cadre de votre configuration.
  • Incluez un fichier de licence en en important un à partir de l'icône du menu principal dans la console de gestion DEM.
  • Enregistrez le profil de configuration DEM afin de pouvoir le télécharger vers Workspace ONE UEM à l'aide du profil DEM.
• Déployez DEM FlexEngine en tant qu'application (MSI) sur des terminaux gérés Windows avec Workspace ONE UEM. Les terminaux gérés nécessitent à la fois l'interface DEM FlexEngine et Workspace ONE Intelligent Hub pour Windows afin d'appliquer les profils de configuration DEM sur le terminal.
  1. Dans Workspace ONE UEM Console, sélectionnez le groupe organisationnel applicable.
  2. Accédez à Ressources > Applications > Natives > Internes.
  3. Téléchargez le fichier MSI DEM FlexEngine.
  4. Dans l'onglet Options de déploiement, activez le mode UEM intégré sur la ligne de commande pendant l'installation.
     1. Accédez à la section Comment installer.
     2. Entrez la commande dans la zone de texte Installer la commande.
        Exemple : msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
  5. Enregistrez et attribuez l'application pour la déployer dans les Smart Groups appropriés qui incluent vos terminaux gérés Windows.

Configuration d'un profil DEM

Utilisez les profils de terminaux Workspace ONE UEM pour déployer vos configurations DEM (Dynamic Environment Manager) sur vos terminaux Windows gérés.

1. Dans Workspace ONE UEM Console, accédez à Ressources > Profils et lignes de base > Profils > Ajouter, puis sélectionnez Ajouter un profil.
2. Sélectionnez Windows, puis choisissez Windows Desktop en tant que plateforme.
3. Sélectionnez Profil de terminal.
4. Configurez les paramètres généraux du profil. La section de configuration Général inclut l'attribution des Smart Groups. Attribuez les Smart Groups qui incluent vos terminaux gérés Windows pour qu'ils reçoivent le profil de configuration DEM.
5. Sélectionnez la charge utile Dynamic Environment Manager (DEM).
6. Utilisez la page DEM pour télécharger le fichier de configuration DEM et sélectionnez Enregistrer et publier pour terminer les configurations.

Workspace ONE UEM déploie le profil de configuration DEM sur les terminaux gérés dans les Smart Groups attribués. Le DEM FlexEngine et Workspace ONE Intelligent Hub pour Windows appliquent vos profils de configuration DEM. Les modifications de profil ne sont visibles qu'après la fermeture et l'ouverture de session sur le terminal une fois le déploiement du profil effectué par le système.

Application des modifications du profil de configuration DEM

L'utilisateur du terminal doit fermer sa session, puis se reconnecter au terminal géré Windows afin de voir les modifications de profil déployées par les profils de configuration DEM.

Profil Protection des données

Le profil Protection des données configure des règles pour contrôler la manière dont les applications d'entreprise ont accès aux données de différentes sources de votre organisation. Découvrez comment l'utilisation du profil de protection des données garantit que vos données ne sont accessibles que par des applications sécurisées et approuvées.

Lorsque les données personnelles et d'entreprise se trouvent sur un même terminal, elles peuvent être divulguées par accident à des services que votre organisation ne contrôle pas. Grâce à la section de configuration Protection des données, Workspace ONE UEM contrôle le mouvement des données d'entreprise entre les applications afin de limiter les fuites et de réduire l'impact sur les utilisateurs. Workspace ONE UEM utilise la fonctionnalité WIP (Windows Information Protection) de Microsoft pour protéger vos terminaux Windows.

La protection des données approuve les applications d'entreprise, ce qui leur accorde l'accès aux données de l'entreprise issues de réseaux protégés. Si un utilisateur déplace des données vers des applications qui n'appartiennent pas à l'entreprise, vous pouvez agir en fonction des politiques de mise en application sélectionnées.

La fonctionnalité WIP traite les données comme étant des données d'entreprise non chiffrées ou comme des données personnelles à protéger et à chiffrer. Les applications approuvées pour la protection des données se répartissent en quatre types. Ces types déterminent le mode d'interaction de l'application avec les données protégées.

• Applications renseignées – Ces applications prennent entièrement en charge la fonctionnalité WIP. Les applications renseignées peuvent accéder sans problèmes aux données personnelles et aux données d'entreprise. Si les données sont créées avec une application renseignée, vous pouvez les enregistrer en tant que données personnelles non chiffrées ou en tant que données d'entreprise chiffrées. Vous pouvez empêcher les utilisateurs d'enregistrer leurs données personnelles avec des applications renseignées à l'aide du profil Protection des données.
• Applications autorisées – Ces applications prennent en charge les données chiffrées par la fonctionnalité WIP. Les applications autorisées ont accès aux données personnelles et d'entreprise, mais elles enregistrent toutes les données auxquelles elles accèdent en tant que données d'entreprise chiffrées. Elles enregistrent les données personnelles en tant que données d'entreprise chiffrées qui ne sont pas accessibles à l'extérieur des applications approuvées par la fonctionnalité WIP. Il est conseillé d'approuver au cas par cas les applications afin d'éviter tout problème d'accès aux données. Pour plus d'informations sur l'approbation de la fonctionnalité WIP, consultez les fournisseurs de logiciel.
• Applications exemptées – Vous déterminez les applications exemptées de mise en application de la politique WIP lorsque vous créez le profil Protection des données. Exemptez toutes les applications qui ne prennent pas en charge les données chiffrées par la fonctionnalité WIP. Si une application ne prend pas en charge le chiffrement WIP, elle se bloque si elle essaie d'accéder à des données d'entreprise chiffrées. Aucune politique WIP ne s'applique qu'aux applications exemptées. Les applications exemptées ont accès aux données personnelles non chiffrées et aux données d'entreprise chiffrées. Étant donné qu'elles ont accès aux données d'entreprise sans mise en application d'une politique WIP, procédez avec prudence lorsque vous approuvez des applications exemptées. Les applications exemptées créent des écarts dans la protection de données et la fuite des données d'entreprise.
• Applications non autorisées – Ces applications ne sont pas approuvées, ne sont pas exemptées des politiques WIP et n'ont pas accès aux données d'entreprise chiffrées. Les applications non autorisées ont toujours accès aux données personnelles qui se trouvent sur un terminal protégé par la fonctionnalité WIP.

Important : le profil Protection des données nécessite la protection WIP (Windows Information Protection). Cette fonctionnalité nécessite la mise à jour anniversaire de Windows. Vous pouvez tester ce profil avant de le déployer en production.

Configuration d'un profil Protection des données

Créez le profil Protection des données (aperçu) pour utiliser la fonctionnalité Protection des informations Microsoft Windows afin de limiter l'accès des utilisateurs et des applications aux données de votre organisation dans des applications et des réseaux approuvés. Vous pouvez définir les contrôles détaillés de la protection des données.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis choisissez Windows Desktop en tant que plateforme.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la charge utile Protection des données.

6. Configurez les paramètres Protection des données d'entreprise :

   Paramètres	Descriptions
   Ajout	Sélectionnez ce paramètre pour ajouter des applications d'entreprise à la liste des entreprises autorisées. Les applications ajoutées ici sont fiables et autorisées à utiliser des données d'entreprise.
   Type d'application	Déterminez si cette application est une application de bureau standard ou une application du Microsoft Store. Vous pouvez également sélectionner un éditeur d'applications ou stocker des applications. Le fait de sélectionner un éditeur approuve toutes les applications de cet éditeur.
   Nom	Saisissez le nom de l'application. Si l'application est une application Microsoft Store, sélectionnez l'icône Recherche pour rechercher le nom de la famille de modules (PFN) de l'application.
   Identifiant	Indiquez le chemin d'accès au fichier d'une application de bureau ou le nom de la famille de packages dans le cas d'une application de magasin.
   Exempté	Cochez cette case si l'application ne prend pas en charge la protection complète des données, mais a encore besoin d'accéder aux données d'entreprise. L'activation de cette option exempte l'application de toute restriction en matière de protection des données. Ces applications sont souvent des applications existantes qui ne prennent pas encore en charge la protection des données. La création d'exemptions crée des écarts dans la protection des données. Créez des exemptions uniquement lorsque c'est nécessaire.
   Domaine principal	Saisissez le domaine principal qu'utilisent vos données d'entreprise. Les données provenant de réseaux protégés sont accessibles par les applications d'entreprise uniquement. Une tentative d'accès à un réseau protégé émanant d'une application qui ne figure pas sur la liste des applications autorisées de l'entreprise entraînera la mise en application d'une politique. Saisissez le nom des domaines en minuscules uniquement.
   Noms de domaines protégés d'entreprise	Entrez la liste des domaines (autres que le domaine principal) utilisée par l'entreprise pour ses identités utilisateur. Séparez les domaines par une barre verticale |. Saisissez le nom des domaines en minuscules uniquement.
   Plages d'adresses IP d'entreprise	Saisissez les plages d'adresses IP d'entreprise qui définissent les terminaux Windows dans le réseau d'entreprise. Les données issues des terminaux figurant dans cette plage sont considérées comme faisant partie de l'entreprise et sont protégées. Ces emplacements sont considérés comme étant des destinations sûres pour le partage des données d'entreprise.
   Noms de domaines de réseaux d'entreprise	Saisissez la liste des domaines qui définissent les limites du réseau d'entreprise. Les données d'un domaine répertorié qui est envoyé à un terminal sont considérées comme étant des données d'entreprise et sont protégées. Ces emplacements sont considérés comme étant des destinations sûres pour le partage des données d'entreprise.
   Serveurs proxy d'entreprise	Saisissez la liste des serveurs proxy que l'entreprise peut utiliser pour les ressources d'entreprise.
   Ressources d'entreprise dans le Cloud	Saisissez la liste des domaines de ressources d'entreprise hébergés dans le Cloud et qui doivent être protégés par routage par l'intermédiaire du réseau et d'un serveur proxy (port 80). Si Windows ne peut pas déterminer si une application peut être autorisée à se connecter à une ressource réseau, il bloque automatiquement la connexion. Si vous souhaitez que, par défaut, Windows autorise les connexions, ajoutez la chaîne /*AppCompat*/ au paramètre. Par exemple : www.air-watch.com | /*AppCompat*/ Ajoutez la chaîne /*AppCompat*/ uniquement pour changer le paramètre par défaut.
   Niveau de protection des données d'application	Définissez le niveau de protection et les actions à entreprendre pour protéger les données d'entreprise.
   Afficher les icônes EDP	Activez ce paramètre pour afficher une icône EDP dans le navigateur Web, l'explorateur de fichiers et les icônes d'application lors de l'accès aux données protégées. L'icône s'affiche également dans les vignettes d'application professionnelle du menu Démarrer.
   Révoquer après un désenrôlement	Activez ce paramètre pour révoquer les clés de protection des données d'un terminal lorsque ce dernier est désenrôlé de Workspace ONE UEM.
   Déchiffrement utilisateur	Activez ce paramètre pour autoriser les utilisateurs à sélectionner le mode d'enregistrement des données à l'aide d'une application compatible. Ils peuvent sélectionner Enregistrer comme données d'entreprise ou Enregistrer comme données personnelles. Si cette option n'est pas activée, toutes les données enregistrées à l'aide d'une application compatible sont enregistrées en tant que données d'entreprise et sont chiffrées à l'aide du système de chiffrement de l'entreprise.
   Accès direct à la mémoire	Activez ce paramètre pour autoriser des utilisateurs à accéder directement à la mémoire du terminal.
   Certificat de récupération des données	Importez le certificat spécial intitulé « Système de fichiers EFS » utilisé pour la récupération de fichiers, dans le cas où votre clé de chiffrement serait perdue ou endommagée.

7. Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.

Création d'un certificat de système de fichiers chiffré

Le profil Protection des données chiffre les données d'entreprise et limite l'accès aux terminaux approuvés. Créez un certificat EFS pour chiffrer les données de votre entreprise par un profil Protection des données.

1. Sur un ordinateur sans certificat EFS, ouvrez une invite de commande (avec droits administrateur) et accédez au magasin de certificats dans lequel vous souhaitez stocker le certificat.

2. Exécutez la commande : cipher /r:<EFSRA>

   Valeur de est le nom des fichiers.cer et.pfx que vous souhaitez créer.

3. Lorsque vous y êtes invité, saisissez le mot de passe afin de protéger votre nouveau fichier .pfx.

4. Les fichiers .cer et .pfx sont créés dans le magasin de certificats que vous avez sélectionné.

5. Importez votre certificat .cer dans les terminaux dans le cadre d'un profil Protection des données.

Profil Defender Exploit Guard

Protégez vos terminaux Windows des failles d'exploitation et des logiciels malveillants avec le profil Windows Defender Exploit Guard. Workspace ONE UEM utilise ces paramètres pour protéger vos terminaux des failles d'exploitation, réduire les surfaces d'attaque, contrôler l'accès aux dossiers et protéger vos connexions réseau.

Windows Defender Exploit Guard

Divers programmes malveillants et failles d'exploitation utilisent les vulnérabilités de vos terminaux Windows pour accéder à votre réseau et à vos terminaux. Workspace ONE UEM utilise le profil Windows Defender Exploit Guard pour protéger vos terminaux de ces acteurs malintentionnés. Le profil utilise les paramètres Windows Defender Exploit Guard natifs de Windows. Le profil contient quatre méthodes de protection différentes. Ces méthodes couvrent différentes vulnérabilités et vecteurs d'attaque.

Exploit Protection

Exploit Protection applique automatiquement des atténuations de failles d'exploitation au système d'exploitation et aux applications. Ces atténuations fonctionnent également avec les antivirus tiers et Windows Defender. Dans le profil de Windows Defender Exploit Guard, vous configurez ces paramètres en téléchargeant un fichier XML de configuration. Ce fichier doit être créé à l'aide de l'application de sécurité Windows ou de PowerShell.

Réduction de la surface d'attaque

Les règles de réduction de la surface d'attaque permettent d'éviter les actions typiques que les logiciels malveillants utilisent pour infecter des terminaux. Ces règles visent des actions telles que :

• Fichiers exécutables et scripts utilisés dans les applications Office ou la messagerie Web qui essaient de télécharger ou d'exécuter des fichiers
• Scripts obfusqués ou suspects
• Actions non généralement utilisées par les applications

Les règles de réduction de la surface d'attaque requièrent que la protection en temps réel de Windows Defender soit activée.

Accès contrôlé aux dossiers

L'accès contrôlé aux dossiers permet de protéger vos données précieuses contre les applications et les menaces malveillantes, y compris les ransomware. Lorsque ce paramètre est activé, l'antivirus Windows Defender passe en revue toutes les applications (.EXE, .SCR, .DLL, etc.). Windows Defender détermine ensuite si l'application est malveillante ou sûre. Si l'application est marquée comme malveillante ou suspecte, Windows empêche l'application de modifier les fichiers dans les dossiers protégés.

Les dossiers protégés incluent des dossiers système communs. Vous pouvez ajouter des dossiers à la fonctionnalité Accès contrôlé aux dossiers. La plupart des applications connues et approuvées peuvent accéder aux dossiers protégés. Si vous souhaitez qu'une application interne ou inconnue accède à des dossiers protégés, vous devez ajouter le chemin d'accès au fichier d'application lors de la création du profil.

L'accès contrôlé aux dossiers requiert que la protection en temps réel de Windows Defender soit activée.

Protection réseau

La protection réseau permet de protéger les utilisateurs et les données contre les tentatives d'hameçonnage et les sites Web malveillants. Ces paramètres empêchent les utilisateurs d'utiliser n'importe quelle application pour accéder à des domaines dangereux pouvant héberger des attaques par hameçonnage, des exploits ou des logiciels malveillants.

La protection réseau requiert que la protection en temps réel de Windows Defender soit activée.

Informations supplémentaires

Pour plus d'informations sur les paramètres configurés et les protections contre les exploits spécifiques, reportez-vous à https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy.

Création d'un profil Defender Exploit Guard

Créez un profil Defender Exploit Guard avec Workspace ONE UEM pour protéger vos terminaux Windows contre les failles et les logiciels malveillants. Découvrez comment utiliser le profil pour configurer les paramètres de Windows Defender Exploit Guard sur vos terminaux Windows.

Lorsque vous créez des règles et des paramètres pour Réduction de la surface d'attaque, Accès contrôlé aux dossiers et Protection réseau, vous devez sélectionner Activé, Désactivé ou Audit. Ces options modifient le fonctionnement de la règle ou du paramètre.

• Activé : configure Windows Defender pour bloquer les failles d'exploitation pour cette méthode. Par exemple, si vous définissez l'option Accès contrôlé aux dossiers sur Activé, Windows Defender empêchera les failles d'exploitations d'accéder aux dossiers protégés.
• Désactivé : ne configure pas la stratégie pour Windows Defender.
• Audit : configure Windows Defender pour bloquer les failles d'exploitation de la même manière que l'option Activé, mais consigne également l'événement dans l'observateur d'événements.

Conditions prérequises

Pour utiliser les paramètres Exploit Protection sur ce profil, vous devez créer un fichier XML de configuration à l'aide de l'application de sécurité Windows ou de PowerShell sur un terminal individuel avant de créer le profil.

Procédure

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
   
2. Sélectionnez Windows, puis Windows Desktop.
3. Sélectionnez Profil de terminal.
4. Configurez les paramètres généraux du profil.
5. Sélectionnez la section de configuration Defender Exploit Guard.
6. Téléchargez le fichier XML de configuration Paramètres Exploit Protection.
   
   Ces paramètres appliquent automatiquement des techniques d'atténuation des exploits au système d'exploitation et aux applications individuelles. Vous devez créer le fichier XML à l'aide de l'application de sécurité Windows ou de PowerShell sur un terminal individuel.
7. Configurez les paramètres de Réduction de la surface d'attaque. Ces règles permettent d'éviter les actions typiques que les programmes malveillants utilisent pour infecter des terminaux avec du code malveillant. Sélectionnez Ajouter pour ajouter des règles supplémentaires.
   
   La description de chaque règle définit les applications ou les types de fichiers auxquels la règle s'applique. Les règles de réduction de la surface d'attaque requièrent que la protection en temps réel de Windows Defender soit activée.
8. Configurez les paramètres d'Accès contrôlé aux dossiers. Définissez Accès contrôlé aux dossiers sur Activé pour utiliser ces paramètres. Lorsqu'il est activé, ce paramètre protège plusieurs dossiers par défaut. Pour afficher la liste, passez votre curseur sur l'icône ? Ces paramètres protègent automatiquement vos données contre les programmes malveillants et les failles d'exploitation. L'accès contrôlé aux dossiers requiert que la protection en temps réel de Windows Defender soit activée.
   • Ajoutez des dossiers supplémentaires à protéger en sélectionnant Ajouter et saisissez le chemin d'accès au fichier de dossiers.
   • Ajoutez des applications pouvant accéder aux dossiers protégés en sélectionnant Ajouter et en saisissant le chemin d'accès au fichier d'application. La plupart des applications connues et approuvées peuvent accéder aux dossiers par défaut. Utilisez ce paramètre pour ajouter des applications internes ou inconnues pouvant accéder aux dossiers protégés.
9. Configurez les paramètres de Protection réseau. Définissez Protection réseau sur Activée pour utiliser ces paramètres. Ces paramètres protègent les utilisateurs et les données contre les tentatives d'hameçonnage et les sites Web malveillants. La protection réseau requiert que la protection en temps réel de Windows Defender soit activée.
10. Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.

Profil Chiffrement

Sécurisez les données de votre organisation sur les terminaux Windows Desktop à l'aide du profil Chiffrement. Le profil Chiffrement définit la stratégie de chiffrement BitLocker sur vos terminaux Windows Desktop afin d'assurer la sécurité des données.

Le chiffrement BitLocker est uniquement disponible sur les terminaux Windows Entreprise, Éducation et Pro.

Par leur conception, les ordinateurs portables et les tablettes sont des terminaux mobiles : les données de votre entreprise risquent d'être perdues ou dérobées. En mettant en application une politique de chiffrement via Workspace ONE UEM, vous pouvez protéger vos données sur disque dur. BitLocker est la méthode de chiffrement Windows native et Dell Data Protection | Encryption est une solution de chiffrement tierce de Dell. Si le profil Chiffrement est activé, Workspace ONE Intelligent Hub vérifie en permanence l'état de chiffrement du terminal. Si Workspace ONE Intelligent Hub s'aperçoit que le terminal n'est pas chiffré, il le chiffre automatiquement.

Si vous décidez de chiffrer avec BitLocker, une clé de récupération créée lors du chiffrement est stockée pour chaque lecteur (s'il est configuré) dans Workspace ONE UEM Console. L'administrateur a la possibilité de faire des clés de récupération une clé à usage unique. Si cette option est sélectionnée, une nouvelle clé de récupération est générée après son utilisation. L'utilisateur devra ensuite contacter l'administrateur pour obtenir la nouvelle clé de récupération mise à jour. Pour plus d'informations, reportez-vous à la section Clés de récupération.

Le profil Chiffrement nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal.

Remarque : Le profil Chiffrement ne peut en outre ni configurer ni activer Dell Data Protection | Encryption. L'état du chiffrement est remonté dans Workspace ONE UEM Console et dans le portail self-service, mais le chiffrement doit être configuré manuellement sur le terminal.

Attention : Windows ne prend pas en charge les terminaux sans clavier virtuel dans l'écran de préinitialisation. Sans clavier, vous ne pouvez pas entrer le code PIN d'initialisation nécessaire au déverrouillage du disque dur et au démarrage de Windows sur le terminal. L'envoi de ce profil à des terminaux sans clavier dans l'écran de préinitialisation bloque votre terminal.

Fonctionnalité BitLocker

Le profil Chiffrement utilise la fonctionnalité BitLocker afin de contrôler l'authentification et le déploiement du chiffrement BitLocker.

BitLocker utilise le module de plateforme sécurisée (TPM) sur les terminaux pour stocker la clé de chiffrement du terminal. Si le lecteur est retiré de la carte mère, il reste chiffré. Pour une authentification améliorée, vous pouvez activer un code PIN de chiffrement afin de démarrer le système. Vous pouvez également exiger un mot de passe pour les terminaux lorsqu'un TPM n'est pas disponible.

Comportement du déploiement

Le chiffrement BitLocker natif Windows permet de sécuriser les données sur les terminaux Windows Desktop. Le déploiement du profil de chiffrement peut nécessiter des actions supplémentaires de la part de l'utilisateur final, telles que la création d'un code PIN ou d'un mot de passe.

Si le profil Chiffrement est envoyé à un terminal chiffré et que les paramètres de chiffrement correspondent à ceux du profil, Workspace ONE Intelligent Hub ajoute une protection BitLocker et envoie une clé de récupération à Workspace ONE UEM Console.

Avec cette fonctionnalité, si un utilisateur ou un administrateur tente de désactiver BitLocker sur le terminal, le profil Chiffrement peut le chiffrer à nouveau. Le chiffrement est appliqué même si le terminal est hors ligne.

Si le chiffrement en vigueur ne correspond pas aux paramètres d'authentification du profil Chiffrement, les protecteurs existants sont supprimés et de nouveaux protecteurs sont appliqués conformément aux paramètres du profil Chiffrement.

Si la méthode de chiffrement existante ne correspond pas au profil Chiffrement, Workspace ONE UEM la conserve. Cette fonctionnalité s'applique également lorsque vous ajoutez une version du profil Chiffrement à un terminal géré par un profil Chiffrement existant. La méthode de chiffrement existante est conservée.

Remarque : Les modifications du profil BIOS s'appliquent après les profils de chiffrement. Les modifications apportées au profil BIOS, telles que la désactivation ou l'effacement du TPM, peuvent provoquer un événement de récupération qui requiert la clé de récupération pour redémarrer le système. Interrompez BitLocker avant d'apporter des modifications au BIOS.

États de chiffrement

Si BitLocker est activé et en cours d'utilisation, vous pouvez voir des informations sur l'état du chiffrement dans les zones répertoriées.

• Détails du terminal Workspace ONE UEM
  • Les détails du terminal affichent des informations sur la clé de récupération. Utilisez le lien Afficher la clé de récupération pour afficher et copier les clés de récupération de tous les lecteurs chiffrés.
  • Vous trouverez plusieurs états BitLocker dans l'onglet Résumé, Chiffré, Chiffrement en cours, Déchiffrement en cours, Interrompu et Partiellement protégé.
    • L'état Interrompu (X redémarrages restants) reflète l'interruption de la protection du disque, bien que le disque soit toujours chiffré. Vous pouvez voir cet état si un système d'exploitation est en cours de mise à jour ou si des modifications sont en cours au niveau du système. Une fois que le nombre de redémarrages est épuisé, la protection par BitLocker est automatiquement réactivée.
    • Le statut Partiellement protégé reflète la situation dans laquelle le lecteur du système d'exploitation est chiffré, mais pas les autres.
  • Dans l'onglet Sécurité des Détails du terminal, affichez l'état de chiffrement et la méthode de chiffrement de vos lecteurs. Vous pouvez savoir en un coup d'œil si une machine n'utilise pas le niveau de chiffrement que vous avez défini dans le profil de chiffrement. Workspace ONE UEM affiche uniquement la méthode de chiffrement. Il ne déchiffre pas les disques, même s'ils ne correspondent pas au paramètre Méthode de chiffrement du profil Chiffrement.
• Portail self-service Workspace ONE UEM
  • La page Sécurité du Portail en libre-service affiche la clé de récupération BitLocker.
  • La protection BitLocker apparaît comme activée.

Clés de récupération

Workspace ONE UEM dépose des clés de récupération pour le Lecteur de l'OS et Tous les disques durs fixes lorsque ce paramètre est activé pour Volume chiffré dans le profil Chiffrement. Si un lecteur doit être récupéré, la clé de récupération est disponible pour chacun des lecteurs.

L'administrateur a la possibilité de rendre les clés de récupération à usage unique en sélectionnant Activer une clé de récupération à usage unique dans les paramètres Profil de chiffrement. Pour plus d'informations, reportez-vous à la section Configuration d'un profil de chiffrement. Si cette option est activée, une fois qu'une clé de récupération est utilisée pour récupérer un lecteur, une nouvelle clé de récupération est générée par Intelligent Hub et est redéposée dans UEM Console.

Pendant une courte période, jusqu'à ce que la nouvelle clé de récupération soit correctement déposée dans UEM Console, la clé de récupération personnelle précédente (ancienne) et la clé de récupération personnelle (nouvelle) sont toutes les deux disponibles. En cas de dépôt réussi de la nouvelle clé de récupération, la clé de récupération précédente sera supprimée et ne pourra plus être utilisée pour la récupération du lecteur.

Vous pouvez voir, à des fins de dépannage, quel utilisateur a récupéré un lecteur externe avec une clé spécifique, quand une récupération a eu lieu et quel administrateur a contribué au processus. Dans Workspace ONE UEM Console, accédez à Terminaux > Affichage des détails > Plus - Dépannage > Journal des événements pour trouver les détails.

Comportement de suppression

Si le profil est supprimé de Workspace ONE UEM Console, Workspace ONE UEM n'applique plus le chiffrement et le terminal est automatiquement déchiffré. Le nettoyage par l'entreprise ou la désinstallation manuelle de Workspace ONE Intelligent Hub à partir du Panneau de configuration désactive le chiffrement BitLocker.

Lorsque vous créez le profil de chiffrement, vous pouvez activer l'option Toujours maintenir le système chiffré. Ce paramètre garantit que le terminal reste chiffré même si le profil est supprimé, si le contenu du terminal est effacé ou si la communication avec Workspace ONE UEM se termine.

Si l'utilisateur décide de désenrôler le terminal durant le processus de chiffrement BitLocker, ce processus continue jusqu'à ce qu'il soit désactivé manuellement dans le Panneau de configuration.

BitLocker et stratégies de conformité

Vous pouvez configurer des stratégies de conformité pour prendre en charge l'état de chiffrement BitLocker que vous souhaitez appliquer. Dans la section Règles d'une stratégie de conformité, sélectionnez Chiffrement > Est, puis Non appliqué au lecteur système, Non appliqué à certains lecteurs (partiellement protégé) ou Interrompu.

Prise en charge de BitLocker To Go

Grâce au profil de chiffrement, vous pouvez imposer le chiffrement de lecteurs externes sur vos terminaux Windows à l'aide de BitLocker. Cochez Activer la prise en charge de BitLocker To Go pour activer cette fonctionnalité. Les lecteurs externes restent en lecture seule jusqu'à ce qu'ils soient chiffrés. En sélectionnant une option dans le menu déroulant Méthode de chiffrement, vous pouvez choisir la méthode à utiliser pour chiffrer le terminal.

Workspace ONE Intelligent Hub pour Windows demande à vos utilisateurs de créer un mot de passe pour accéder aux lecteurs et les utiliser. La longueur minimale de ce mot de passe peut être définie par l'administrateur dans la console sous Paramètres BitLocker To Go. Une fois que les utilisateurs ont branché le lecteur chiffré sur le terminal Windows, ils doivent utiliser leur mot de passe pour accéder au lecteur, copier du contenu sur le lecteur, modifier des fichiers, supprimer du contenu ou effectuer toute autre tâche impliquant un lecteur externe. L'administrateur peut également choisir s'il souhaite chiffrer uniquement l'espace utilisé sur le lecteur ou l’ensemble du lecteur.

Où trouver les informations de la clé de récupération ?

Si les utilisateurs oublient leur mot de passe, vous pouvez récupérer les lecteurs depuis la console dans Terminaux > Périphériques > Affichage en liste > Stockage externe. Utilisez le lien Vue pour que le lecteur copie la clé de récupération et l'envoie à l'utilisateur concerné par e-mail. Vous pouvez également accéder à cette page depuis le compte de l'utilisateur dans Comptes > Utilisateurs > Affichage en liste. Sélectionnez l'utilisateur concerné et allez dans l'onglet Stockage externe.

Pour les déploiements qui comprennent des milliers d'ID de récupération, vous pouvez filtrer le contenu sur la page Stockage externe. Il y a plusieurs façons de filtrer le contenu.

• Assurez-vous que l'utilisateur vous fournisse l'ID de clé, sélectionnez le curseur de filtre dans la colonne ID de récupération puis entrez la valeur. L’ID de récupération avec cet ID de clé s’affiche dans les résultats.
  

• Sélectionnez le curseur de filtre dans la colonne Nom d'utilisateur et entrez le nom d'utilisateur concerné pour trouver le lecteur et sa clé de récupération.

Vous pouvez voir, à des fins d'audit, quel utilisateur a récupéré un lecteur externe avec une clé spécifique, quand une récupération a eu lieu et quel administrateur a contribué au processus. Dans la console Workspace ONE UEM, allez dans Terminaux > Périphériques > Affichage en liste > Événements pour plus de détails.

Vous pouvez consulter les informations de clé pour chaque utilisateur. Dans la console Workspace ONE UEM, allez dans Comptes > Utilisateurs > Affichage en liste, puis sélectionnez l'utilisateur. Si l'utilisateur a chiffré au moins un lecteur, un onglet Stockage externe sera disponible dans son historique.

Interrompre BitLocker dans la console

Vous pouvez désormais interrompre et reprendre le chiffrement BitLocker depuis la console. Cet élément de menu est ajouté en tant qu'action dans les enregistrements des terminaux. Vous le trouverez dans Terminaux > Affichage en liste. Sélectionnez le terminal puis l'élément de menu Plus d'actions. Cette option est particulièrement utile pour les utilisateurs qui ont besoin d'aide avec leur terminal mais qui n'ont pas les autorisations nécessaires pour gérer BitLocker.

Quand vous choisissez d'Interrompre BitLocker pour un terminal, la console affiche plusieurs options, dont notamment Nombre de redémarrages. Par exemple, pour aider un utilisateur à mettre à jour son BIOS, le système peut avoir besoin de redémarrer deux fois, auquel cas sélectionnez 3. Cette valeur permet au système de redémarrer une fois de plus avec un chiffrement interrompu, de sorte que le BIOS se met à jour correctement avant la reprise BitLocker.

Si toutefois vous ignorez combien de redémarrages seront nécessaires à une tâche, sélectionnez une valeur plus élevée. Une fois la tâche terminée, vous pouvez utiliser l'option Plus d'actions > Reprendre BitLocker.

Configurer un profil Chiffrement

Créez un profil Chiffrement pour sécuriser vos données sur les terminaux Windows Desktop à l'aide des chiffrements BitLocker natif et BitLocker To Go.

1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
2. Sélectionnez Windows, puis Windows Desktop.
3. Sélectionnez Profil de terminal.
4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Chiffrement et configurez les paramètres.

   Paramètres	Descriptions
   Volume chiffré	Utilisez le menu déroulant pour sélectionner le type de chiffrement comme suit : Lecteur de l'OS et Tous les disques durs fixes : chiffre tous les disques durs sur le terminal, y compris la partition système sur laquelle est installé le système. Lecteur de l'OS – Chiffre le lecteur sur lequel Windows est installé et à partir duquel il démarre.
   Méthode de chiffrement	Sélectionnez la méthode de chiffrement du terminal.
   Méthode de chiffrement de la valeur système par défaut	Cochez cette case si votre OEM spécifie une méthode de chiffrement par défaut pour un type de terminal donné. Ce paramètre applique l'algorithme de chiffrement par défaut.
   Chiffrer uniquement l'espace utilisé lors du chiffrement initial	Activez ce paramètre pour limiter le chiffrement BitLocker à l'espace utilisé sur le lecteur au moment du chiffrement.
   URL personnalisée pour la clé de récupération	Saisissez l'URL à afficher sur l'écran de verrouillage afin de diriger les utilisateurs vers le lieu d'obtention de la clé de récupération. Pensez à saisir l'URL du portail self-service, étant donné que Workspace ONE UEM y héberge la clé de récupération.
   Forcer le chiffrement	Activez ce paramètre pour forcer le chiffrement sur le terminal. Cela signifie que le terminal est immédiatement de nouveau chiffré si BitLocker est désactivé manuellement. Pensez à désactiver ce paramètre pour éviter des problèmes pendant les mises à niveau ou les effacements des données professionnelles.
   Maintenir le système chiffré à tout moment	Activez cette option pour que le terminal soit toujours chiffré. Utilisez cette option pour vous assurer que les effacements du contenu du terminal, les suppressions des profils ou les interruptions de communication avec Workspace ONE UEM ne déchiffrent pas le terminal. Si vous activez ce paramètre et effacez le contenu d'un terminal, vous pouvez uniquement accéder à la récupération sur Workspace ONE UEM Console pendant 30 jours. Après 30 jours, le système peut être irrécupérable.
   Activer la prise en charge de BitLocker To Go	Activez cette option pour exiger de BitLocker qu'il chiffre les lecteurs amovibles sur les terminaux Windows. Lorsque cette option est sélectionnée, les lecteurs externes restent en lecture seule jusqu'à ce qu'ils soient chiffrés. L'administrateur peut configurer la méthode de chiffrement, la longueur minimale du mot de passe et s'il souhaite chiffrer uniquement l'espace utilisé l’ensemble du lecteur lors du chiffrement initial. Les utilisateurs doivent créer un mot de passe pour accéder aux lecteurs. Si vos utilisateurs oublient leur mot de passe, recherchez les ID de récupération et les clés de ces lecteurs chiffrés dans la console depuis Terminaux > Périphériques > Affichage en liste > Stockage externe.
   Paramètres d'authentification BitLocker : Mode d'authentification	Sélectionnez la méthode pour authentifier l'accès à un terminal chiffré par BitLocker. TPM — Utilise le module de plateforme sécurisée (TPM). Requiert un TPM sur le terminal. Mot de passe — Utilise un mot de passe pour l'authentification.
   Paramètres d'authentification BitLocker : Exiger un code PIN au démarrage	Sélectionnez la case à cocher pour exiger des utilisateurs qu'ils saisissent un code PIN pour démarrer le terminal. Cette option empêche le démarrage de l'OS et la reprise automatique depuis le mode de suspension ou d'hibernation jusqu'à ce que les utilisateurs entrent le code approprié.
   Paramètres d'authentification BitLocker : Longueur du code PIN	Sélectionnez ce paramètre pour configurer une longueur spécifique de code PIN au démarrage. Ce code PIN est numérique, sauf s'il est configuré avec Autoriser le code PIN amélioré au démarrage.
   Paramètres d'authentification BitLocker : Autoriser le code PIN amélioré au démarrage	Cochez cette case pour permettre aux utilisateurs de définir des codes PIN avec autre chose que des chiffres. Les utilisateurs peuvent définir des majuscules et des minuscules, utiliser des symboles, des chiffres et des espaces. Si la machine ne prend pas en charge les codes PIN améliorés dans un environnement de prédémarrage, ces paramètres ne fonctionnent pas.
   Paramètres d'authentification BitLocker : Utiliser le mot de passe si TPM n'est pas présent	Sélectionnez cette case à cocher pour utiliser un mot de passe comme solution de secours afin de chiffrer le terminal si TPM n'était pas disponible. Si ce paramètre n’est pas activé, tous les terminaux ne disposant pas de puce TPM ne seront pas chiffrés.
   Paramètres d'authentification BitLocker : Interrompre BitLocker jusqu'à l'initialisation du TPM	Sélectionnez cette option pour reporter le chiffrement sur le terminal jusqu'à ce que le TPM soit initialisé sur la machine. Utilisez cette option pour les enrôlements qui nécessitent un chiffrement avant que le TPM ne s'initialise, comme OOBE.
   Paramètres d'authentification BitLocker : Longueur minimale du mot de passe	Sélectionnez le nombre minimum de caractères requis pour le mot de passe. Cette option s'affiche si le Mode d'authentification est défini sur Mot de passe ou si Utiliser le mot de passe en cas d'absence du TPMest activé.

| Paramètres de la clé de récupération BitLocker : Activer la clé de récupération à usage unique | Cochez la case pour rendre les clés de récupération à usage unique. Une fois que la clé est utilisée, une nouvelle clé de récupération est générée. L'utilisateur doit contacter l'administrateur pour obtenir la clé de récupération mise à jour.|

| Paramètres de la clé de récupération BitLocker statique : Créer une clé BitLocker statique | Cochez la case si une clé de récupération statique est activée. | | Paramètres de la clé de récupération BitLocker statique : Mot de passe de récupération BitLocker | Sélectionnez l'icône Générer afin de générer une nouvelle clé de récupération. | | Paramètres de la clé de récupération BitLocker statique : Période de rotation | Saisissez le nombre de jours jusqu'à la rotation de la clé de récupération. | | Paramètres de la clé de récupération BitLocker statique : Période de grâce | Saisissez le nombre de jours après la rotation pendant lesquels la clé de récupération précédente fonctionne toujours. | | Interrompre BitLocker : Activer la suspension de BitLocker | Cochez la case pour activer la suspension de BitLocker. Cette fonctionnalité permet d'interrompre le chiffrement BitLocker pendant une durée spécifique.

Utilisez cette fonction pour interrompre BitLocker lorsque des mises à jour sont planifiées, de sorte que les terminaux puissent redémarrer sans que l'utilisateur ne doive saisir un code PIN ou un mot de passe de chiffrement. | | Interrompre BitLocker : Type de suspension de BitLocker | Sélectionnez le type de suspension.

Planification — Sélectionnez cette option pour saisir une durée spécifique d'interruption du BitLocker. Définissez ensuite la répétition planifiée sur Quotidienne ou Hebdomadaire.
Personnalisée — Sélectionnez cette option pour saisir la date et l'heure de début et de fin de l'interruption de BitLocker. | | Interrompre BitLocker : Heure de début de la suspension de BitLocker | Entrez l'heure de début de la suspension de BitLocker. | | Interrompre BitLocker : Heure de fin de la suspension de BitLocker | Entrez l'heure de fin de la suspension de BitLocker. | | Interrompre BitLocker : Type de répétition planifiée | Définissez si la suspension planifiée se répète tous les jours ou toutes les semaines. Si vous choisissez une répétition hebdomadaire, sélectionnez les jours de la semaine impliqués. |

1. Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.

Profil Exchange ActiveSync

Les profils Exchange ActiveSync vous permettent de configurer les terminaux Windows Desktop afin qu'ils accèdent au serveur Exchange ActiveSync pour utiliser la messagerie et l'agenda.

Utilisez des certificats signés par une autorité de certification tierce approuvée (CA). Des erreurs dans les certificats exposent les connexions sécurisées autrement à d'éventuelles attaques de type MITM. De telles attaques dégradent la confidentialité et l'intégrité des données transmises entre composants de produit, et risquent même de donner aux attaquants la possibilité d'intercepter ou d'altérer les données en transit.

Le profil Exchange ActiveSync prend en charge le client de messagerie natif pour Windows Desktop. La configuration change en fonction du client de messagerie que vous utilisez.

Suppression de profils ou effacement des données d'entreprise

Si le profil est supprimé par une commande de suppression, des politiques de conformité ou un effacement des données d'entreprise, toutes les données de la messagerie sont effacées, notamment :

• Le compte utilisateur/les informations de connexion
• Les données des messages
• Les informations des contacts et de l'agenda
• Les pièces jointes enregistrées dans le stockage des applications internes

Nom d'utilisateur et mot de passe

Si les identifiants e-mail sont différents des adresses e-mail, vous pouvez utiliser le champ {EmailUserName}, qui correspond aux identifiants e-mail importés lors de l'intégration des services d'annuaire. Même si les noms d'utilisateur sont identiques aux adresses mail, utilisez la zone de texte {EmailUserName}, car elle utilise les adresses mail importées par l'intégration des services d'annuaire.

Créez un profil Exchange ActiveSync pour fournir aux terminaux Windows Desktop l'accès au serveur Exchange ActiveSync afin qu'ils utilisent la messagerie et l'agenda.

Configuration d'un profil Exchange ActiveSync

Créez un profil Exchange ActiveSync pour fournir aux terminaux Windows Desktop l'accès au serveur Exchange ActiveSync afin qu'ils utilisent la messagerie et l'agenda.

Remarque : Workspace ONE UEM ne prend pas en charge Outlook 2016 pour les profils Exchange ActiveSync. La configuration de profil Services Web Exchange (EWS) pour l'application Outlook sur un terminal Windows Desktop via Workspace ONE UEM n'est plus prise en charge dans la version 2016 de Microsoft Exchange.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
   

2. Sélectionnez Windows, puis choisissez Windows Desktop en tant que plateforme.

3. Sélectionnez Profil d'utilisateur.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la section de configuration Exchange ActiveSync.

6. Configurez les paramètres Exchange ActiveSync :

   Paramètres	Descriptions
   Client de messagerie	Sélectionnez le client de messagerie que le profil EAS configure. Workspace ONE UEM prend en charge le client de messagerie natif.
   Nom du compte	Saisissez le nom du compte Exchange ActiveSync.
   Hôte Exchange ActiveSync	Saisissez l'URL ou l'adresse IP du serveur qui héberge le serveur EAS.
   Utiliser le SSL	Envoyez toutes les communications par Secure Socket Layer.
   Domaine	Saisissez le domaine de messagerie. Le profil prend en charge les valeurs de recherche pour y indiquer les informations de connexion de l'utilisateur de l'enrôlement.
   Nom d'utilisateur	Saisissez le nom d'utilisateur de messagerie.
   Adresse e-mail	Saisissez l'adresse e-mail. Cette zone de texte est un paramètre obligatoire.
   Mot de passe	Saisissez le mot de passe de messagerie.
   Certificat d'identité	Sélectionnez le certificat pour la section de configuration EAS.
   Prochain intervalle de synchronisation (min)	Sélectionnez la fréquence, en minutes, à laquelle le terminal se synchronise avec le serveur EAS.
   Synchronisation des e-mails depuis	Sélectionnez depuis combien de jours les e-mails se synchronisent avec le terminal.
   Journalisation du diagnostic	Activez cette option afin de journaliser des informations pour des raisons de dépannage.
   Exiger la protection des données lorsque le terminal est verrouillé	Activez cette option pour exiger que les données soient protégées lorsque le terminal est verrouillé.
   Autoriser la synchronisation des e-mails	Activez cette option pour autoriser la synchronisation des e-mails.
   Autoriser la synchronisation des contacts	Activez cette option pour autoriser la synchronisation des contacts.
   Autoriser la synchronisation du calendrier	Activez cette option pour autoriser la synchronisation d'événements de calendrier.

7. Sélectionnez Enregistrer pour conserver le profil dans Workspace ONE UEM Console ou Enregistrer et publier pour envoyer le profil aux terminaux.

Profil Services Web Exchange

Créez un profil Services Web Exchange pour permettre aux utilisateurs d'accéder aux infrastructures de messagerie et aux comptes Microsoft Outlook de l'entreprise à partir de leurs terminaux.

Important : Au cours de la première configuration, le terminal doit avoir accès au serveur Exchange interne.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil d'utilisateur.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Services Web Exchange et configurez les paramètres :

   Paramètres	Descriptions
   Domaine	Saisissez le nom du domaine de messagerie auquel appartient l'utilisateur.
   Serveur de messagerie	Saisissez le nom du serveur Exchange.
   Adresse e-mail	Saisissez l'adresse e-mail du compte de messagerie.

6. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

   La suppression d'un profil Services Web Exchange a pour effet de supprimer tous les comptes Outlook du terminal.

Profil Pare-feu

Créez un profil Pare-feu pour configurer les paramètres natifs du pare-feu Windows Desktop. Ce profil utilise des fonctionnalités plus avancées que le profil de pare-feu (Hérité).

Workspace ONE UEM approuve automatiquement l'agent OMA-DM pour vous assurer que Workspace ONE UEM Console peut toujours communiquer avec les terminaux.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la section de configuration Pare-feu.

6. Configurez les paramètres Globaux.

   Paramètre	Description
   FTP avec état	Définissez la manière dont le pare-feu gère le trafic FTP. Si vous sélectionnez Activer, le pare-feu effectue le suivi de tout le trafic FTP. Si vous sélectionnez Désactiver, le pare-feu n'inspecte pas le trafic FTP.
   Durée d'inactivité de l'association de sécurité	Sélectionnez Configurer et définissez la durée maximale (en secondes) pendant laquelle le terminal attend avant de supprimer les associations de sécurité inactives. Les associations de sécurité constituent un accord entre deux pairs ou points de terminaison. Ces accords contiennent toutes les informations requises pour échanger des données en toute sécurité.
   Codage de la clé prépartagée	Sélectionnez le type de codage utilisé pour la clé prépartagée.
   Exemptions IPSec	Sélectionnez les exemptions IPSec à utiliser.
   Vérification de la liste de révocation des certificats	Sélectionnez le mode d'application de la vérification de la liste de révocation de certificat.
   Jeu d'authentification de correspondance d'opportunité par KM	Sélectionnez la manière dont les modules de clés ignorent les suites d'authentification. L'activation de cette option force les modules clés à ignorer uniquement les suites d'authentification qu'ils ne prennent pas en charge. La désactivation de cette option force les modules clés à ignorer la totalité de l'ensemble d'authentification s'ils ne prennent pas en charge toutes les suites d'authentification dans l'ensemble.
   Activer la file d'attente de paquets	Sélectionnez la manière dont le mode paquet en file d'attente fonctionne sur le terminal. Ce paramètre vous permet de garantir une mise à l'échelle appropriée.

7. Configurez le comportement du pare-feu lorsqu'il est connecté aux réseaux Domaine, Privé et Public.

   Paramètre	Description
   Firewall	Définissez sur Activer pour appliquer les paramètres de la stratégie sur le trafic réseau. Si ce paramètre est désactivé, le terminal autorise tout le trafic réseau, quels que soient les autres paramètres de la stratégie.
   Action sortante	Sélectionnez l'action par défaut que le pare-feu effectue sur les connexions sortantes. Si vous définissez ce paramètre sur Bloquer, le pare-feu bloque tout le trafic sortant, sauf spécification contraire explicite.
   Action entrante.	Sélectionnez l'action par défaut que le pare-feu effectue sur les connexions entrantes. Si vous définissez ce paramètre sur Bloquer, le pare-feu bloque tout le trafic entrant, sauf spécification contraire explicite.
   Réponses de type monodiffusion au trafic réseau de type diffusion ou multidiffusion	Définissez le comportement des réponses pour le trafic réseau de type multidiffusion ou diffusion. Si vous désactivez cette option, le pare-feu bloque toutes les réponses au trafic réseau de type multidiffusion ou diffusion.
   Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application	Définissez le comportement de notification du pare-feu. Si vous sélectionnez Activer, le pare-feu peut envoyer des notifications à l'utilisateur lorsqu'il bloque une nouvelle application. Si vous sélectionnez Désactiver, le pare-feu n'envoie aucune notification.
   Mode furtif	Pour définir le terminal en mode furtif, sélectionnez Activer. Le mode furtif permet d'empêcher les acteurs malintentionnés d'obtenir des informations sur les terminaux et les services de réseau. Lorsque ce paramètre est activé, le mode furtif bloque les messages sortants ICMP inaccessibles et TCP de réinitialisation des ports sans que l'application écoute activement ce port.
   Autoriser le trafic réseau IPSec en mode furtif	Définissez la manière dont le pare-feu gère le trafic non sollicité sécurisé par IPSec. Si vous sélectionnez Activer, le pare-feu autorise le trafic réseau non sollicité sécurisé par IPSec. Ce paramètre s'applique uniquement lorsque vous activez le Mode furtif.
   Règles de pare-feu local	Définissez la manière dont le pare-feu interagit avec les règles de pare-feu local. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas.
   Règles de connexion locale	Définissez la manière dont le pare-feu interagit avec les règles locales de connexion de sécurité. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas, quelles que soient les versions de sécurité de schéma et de connexion.
   Règles de pare-feu du port global	Définissez la manière dont le pare-feu interagit avec les règles de pare-feu du port global. Si vous sélectionnez Activer, le pare-feu suit les règles de pare-feu de port global. Si vous sélectionnez Désactiver, le pare-feu ignore les règles et ne les applique pas.
   Règles d'application autorisées	Définissez la manière dont le pare-feu interagit avec les règles locales d'application autorisées. Si vous sélectionnez Activer, le pare-feu suit les règles locales. Si vous sélectionnez Désactiver, le pare-feu ignore les règles locales et ne les applique pas.

8. Pour configurer vos propres règles de pare-feu, sélectionnez Ajouter une règle de pare-feu. Après avoir ajouté une règle, configurez les paramètres selon vos besoins. Vous pouvez ajouter autant de règles que vous le voulez.

9. Une fois l'ajout terminé, cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.

Profil Pare-feu (Hérité)

Le profil Pare-feu (Hérité) pour les terminaux Windows Desktop vous permet de configurer les paramètres de pare-feu Windows pour les terminaux. Envisagez d'utiliser le nouveau profil de pare-feu pour Windows Desktop, car le nouveau profil utilise les nouvelles fonctionnalités de Windows.

Important : Le profil Pare-feu nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la section de configuration Pare-feu (Hérité).

6. Activez Utiliser les paramètres recommandés par Windows pour utiliser les paramètres recommandés par Windows et désactivez toutes les autres options disponibles pour ce profil. Les paramètres seront automatiquement modifiés sur les paramètres recommandés et vous ne pourrez pas les modifier.

7. Configurez les paramètres de Réseau privé :

   Paramètres	Description
   Firewall	Activez cette fonctionnalité pour utiliser le pare-feu lorsque le terminal est connecté sur un réseau privé.
   Bloquer toutes les connexions entrantes, y compris celles provenant de la liste des applications autorisées	Activez pour bloquer toutes les connexions entrantes. Ce paramètre autorise les connexions sortantes.
   Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application	Activez ce paramètre pour autoriser l'affichage de notifications lorsque le pare-feu Windows bloque une nouvelle application.

8. Configurez les paramètres de Réseau public :

   Paramètres	Description
   Firewall	Activez cette fonctionnalité pour utiliser le pare-feu lorsque le terminal est connecté sur un réseau privé.
   Bloquer toutes les connexions entrantes, y compris celles provenant de la liste des applications autorisées	Activez pour bloquer toutes les connexions entrantes. Ce paramètre autorise les connexions sortantes.
   Notifier l'utilisateur lorsque le pare-feu Windows bloque une nouvelle application	Activez ce paramètre pour autoriser l'affichage de notifications lorsque le pare-feu Windows bloque une nouvelle application.

9. Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.

Profil de kiosque

Configurer un profil de kiosque pour transformer votre terminal Windows Desktop en terminal kiosque multi-applications. Ce profil vous permet de configurer les applications qui s'affichent dans le menu Démarrer du terminal.

Vous pouvez télécharger votre propre fichier XML personnalisé pour configurer le profil de kiosque ou créer votre kiosque dans le cadre du profil. Ce profil ne prend pas en charge les comptes de domaine ou des groupes de domaines. L'utilisateur est un compte d'utilisateur intégré créé par Windows.

• Applications prises en charge
  • Applications .EXE
    • Les fichiers MSI et ZIP nécessitent que vous ajoutiez le chemin d'accès.
  • Applications intégrées
    • Les applications intégrées sont automatiquement ajoutées au concepteur. Ces applications incluent :
    • Actualités
    • Microsoft Edge
    • Météo
    • Alarmes et horloge
    • Feuillets autocollants
    • Cartes
    • Calculatrice et Photos.

Procédure

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil. Vous devez ajouter une attribution avant de configurer le profil de kiosque.

5. Sélectionnez le profil Kiosque.

6. Si vous avez déjà votre fichier XML personnalisé, sélectionnez Télécharger le fichier XML du kiosque et complétez les paramètres Attribuer la configuration d'accès du fichier XML. Sélectionnez Télécharger et ajoutez votre fichier XML de configuration d'accès attribué. Vous pouvez également coller votre code XML dans la zone de texte. Pour plus d'informations, reportez-vous à https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7. Si vous ne disposez pas d'un fichier XML personnalisé, sélectionnez Créer votre kiosque et configurez la disposition de l'application.
   
   Cette disposition est le menu Démarrer du terminal dans une grille. Les applications qui s'affichent sur la gauche sont les applications attribuées au groupe d'attribution que vous avez sélectionné. Certaines applications ont une icône d'engrenage avec un point rouge dans l'angle en haut à droite. Cette icône s'affiche pour les applications qui nécessitent des paramètres supplémentaires lorsqu'elles sont ajoutées à la disposition de kiosque. Après avoir configuré les paramètres, le point rouge disparaît, mais l'icône reste. Vous pouvez sélectionner l'icône de flèche pour modifier la taille des applications. Pour les applications de bureau classiques, vous pouvez uniquement sélectionner Petite ou Moyenne.
   
   Pour les applications qui nécessitent des applications de support supplémentaires, le profil Kiosque prend en charge l'ajout de ces applications de support à l'aide de l'option Paramètres supplémentaires. Par exemple, VMware Horizon Client nécessite jusqu'à quatre applications de support pour s'exécuter en mode Kiosque. Ajoutez ces applications de support supplémentaires lorsque vous configurez l'application de kiosque principale en ajoutant les valeurs Chemin exécutable de l'application supplémentaires.

8. Faites glisser toutes les applications que vous souhaitez ajouter vers le menu Démarrer au centre. Vous pouvez créer jusqu'à quatre groupes pour vos applications. Ces groupes combinent vos applications en sections dans le menu Démarrer.

9. Lorsque vous avez ajouté toutes les applications et les groupes, cliquez sur Enregistrer.

10. Sur l'écran Profil du kiosque, sélectionnez Enregistrer et publier.

Résultats

Le profil ne s'installe pas sur le terminal tant que toutes les applications incluses dans le profil ne sont pas installées. Une fois que le terminal reçoit le profil, il redémarre et s'exécute en mode Kiosque. Si vous supprimez le profil à partir du terminal, le terminal désactive le mode Kiosque, redémarre et supprime l'utilisateur de kiosque.

Profil de mises à jour OEM

Configurez les paramètres des mises à jour OEM pour des terminaux Dell Enterprise à l'aide du profil Mises à jour OEM. Ce profil nécessite l'intégration à Dell Command | Update.

La prise en charge des paramètres du profil Mises à jour OEM varie selon le terminal Dell Enterprise. Workspace ONE UEM transfère uniquement les paramètres pris en charge par un terminal. Vous pouvez voir toutes les mises à jour OEM déployées sur vos terminaux Windows Desktop sur la page Mises à jour du terminal, dans l'onglet Ressources > Mises à jour du terminal > Mises à jour OEM.

Remarque : le profil de mises à jour OEM prend en charge les versions 3.x et ultérieures de Dell Command | Update. La version actuelle de Dell Command | Update est testée avec chaque version de la console.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez la section de configuration Mises à jours OEM et configurez les paramètres suivants.

   • Vérifier les mises à jour : sélectionnez l'intervalle utilisé pour la vérification des mises à jour.
   • Jour de la semaine : sélectionnez le jour de la semaine pour la vérification des mises à jour. S'affiche uniquement lorsque l'option Vérifier les mises à jour est définie sur Toutes les semaines.
   • Jour du mois : sélectionnez le jour du mois pour la vérification des mises à jour. S'affiche uniquement lorsque l'option Vérifier les mises à jour est définie sur Tous les mois.
   • Heure : sélectionnez l'heure de la journée pour la vérification des mises à jour.
   • Comportement de mise à jour : sélectionnez les actions à effectuer lors de la vérification des mises à jour.
     • Sélectionnez Rechercher et notifier pour rechercher les mises à jour et informer l'utilisateur que des mises à jour sont disponibles.
     • Sélectionnez Rechercher, télécharger et notifier pour rechercher les mises à jour, télécharger celles qui sont disponibles et informer l'utilisateur que des mises à jour sont disponibles pour être être installées.
     • Sélectionnez Rechercher, notifier, appliquer et redémarrer pour rechercher des mises à jour, télécharger celles qui sont disponibles, les installer et redémarrer le terminal.
   • Délai avant redémarrage : sélectionnez la durée pendant laquelle le terminal retarde le redémarrage après avoir téléchargé les mises à jour.
   • Mises à jour urgentes : sélectionnez Activer pour appliquer les mises à jour urgentes au terminal.
   • Mises à jour recommandées : sélectionnez Activer pour appliquer les mises à jour recommandées pour le terminal.
   • Mises à jour facultatives : sélectionnez Activer pour appliquer les mises à jour facultatives au terminal.
   • Pilotes matériels : sélectionnez Activer pour appliquer les mises à jour des pilotes matériels fournies par OEM au terminal.
   • Logiciel d'application : sélectionnez Activer pour appliquer les mises à jour logicielles des applications fournies par OEM au terminal.
   • Mises à jour du BIOS : sélectionnez Activer pour appliquer les mises à jour du BIOS fournies par OEM au terminal. Si les mots de passe du BIOS sont gérés par le profil du BIOS, vous n'aurez pas besoin de désactiver le mot de passe.
   • Mises à jour du microprogramme : sélectionnez Activer pour appliquer les mises à jour du microprogramme fournies par OEM au terminal.
   • Logiciel utilitaire : sélectionnez Activer pour appliquer les mises à jour logicielles des utilitaires fournies par OEM au terminal.
   • Autres : sélectionnez Activer pour appliquer les autres mises à jour fournies par OEM au terminal.
   • Audio : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal audio fournies par OEM au terminal.
   • Puce : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal chipset fournies par OEM au terminal.
   • Entrée : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal d'entrée fournies par OEM au terminal.
   • Réseau : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal réseau fournies par OEM au terminal.
   • Stockage : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal de stockage fournies par OEM au terminal.
   • Vidéo : sélectionnez Activer pour appliquer les mises à jour logicielles du terminal vidéo fournies par OEM au terminal.
   • Autres : sélectionnez Activer pour appliquer les mises à jour logicielles des autres terminaux fournies par OEM au terminal.

6. Cliquez sur Enregistrer et publier.

Profil de mot de passe

Utilisez un profil avec mot de passe pour protéger vos terminaux Windows en exigeant un mot de passe à chaque fois qu'ils sortent d'un état inactif. Découvrez comment un profil avec mot de passe avec Workspace ONE UEM garantit que toutes vos informations d'entreprise sensibles sur les terminaux gérés restent protégées.

Les mots de passe définis à l'aide de ce profil ne prennent effet que si le mot de passe est plus strict que les mots de passe existants. Par exemple, si le mot de passe du compte Microsoft actuel nécessite des paramètres plus stricts que les exigences de section de configuration du Mot de passe, le terminal continue à utiliser le mot de passe du compte Microsoft.

Important : la section de configuration du mot de passe ne s'applique pas aux terminaux joints au domaine.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Mot de passe.

6. Configurez les paramètres du mot de passe :

   Paramètres	Descriptions
   Complexité du mot de passe	Définissez votre niveau préféré de complexité de mot de passe sur Simple ou Complexe.
   Exiger des caractères alphanumériques	Activez ce paramètre pour exiger un mot de passe de type alphanumérique.
   Longueur minimale du mot de passe	Saisissez le nombre minimal de caractères qu'un mot de passe doit contenir.
   Durée de vie maximum du mot de passe (en jours)	Saisissez le nombre maximal de jours avant que l'utilisateur ne doive changer le mot de passe.
   Durée de vie minimale du mot de passe (jours)	Saisissez le nombre minimal de jours avant que l'utilisateur ne doive changer le mot de passe.
   Délai de verrouillage du terminal (min)	Saisissez le nombre de minutes avant que le terminal ne se verrouille automatiquement et que vous deviez ressaisir le mot de passe.
   Nombre maximum de tentatives infructueuses	Saisissez le nombre maximal de tentatives avant que le terminal ne doive redémarrer.
   Historique du mot de passe (occurrences)	Saisissez le nombre de fois que le mot de passe peut être mémorisé. Si l'utilisateur réutilise un mot de passe inclus dans ces codes d'accès, il ne peut pas réutiliser ce mot de passe. Par exemple, si vous définissez l'historique sur 12, un utilisateur ne peut pas réutiliser les 12 derniers mots de passe.
   Faire expirer le mot de passe	Activez ce paramètre pour faire expirer le mot de passe existant sur le terminal et exiger la création d'un nouveau mot de passe. Nécessite l'installation de Workspace ONE Intelligent Hub sur le terminal.
   Expiration du mot de passe (jours)	Configurez le nombre de jours pendant lequel un mot de passe est valide avant d'expirer.
   Chiffrement réversible pour le stockage des mots de passe	Activez ce paramètre pour que le système d'exploitation stocke les mots de passe à l'aide du chiffrement réversible. Stocker des mots de passe à l'aide du chiffrement réversible est pratiquement identique au stockage de versions de texte brute des mots de passe. Pour cette raison, n'activez pas cette politique à moins que les exigences au niveau de l'application ne prévalent sur la protection des informations de mot de passe.
   Utiliser l'Agent de protection pour les terminaux Windows	Activez ce paramètre pour utiliser Workspace ONE Intelligent Hub afin d'appliquer les paramètres du profil Mot de passe au lieu de la fonctionnalité DM native. Activez ce paramètre si vous rencontrez des problèmes lors de l'utilisation de la fonctionnalité DM native.

7. Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.

Profil Peer Distribution

Workspace ONE Peer Distribution utilise la fonctionnalité Windows BranchCache native intégrée au système d'exploitation Windows. Cette fonctionnalité fournit une technologie pair à pair alternative.

Configurez la distribution pair-à-pair sur vos terminaux Windows avec le profil Peer Distribution Windows Desktop. La distribution pair-à-pair prend en charge les modes de BranchCache Distribué, Hébergé et Local, ainsi que leurs paramètres de configuration supplémentaires tels que le pourcentage d'espace disque et la durée de vie maximale du cache. Vous pouvez également afficher les statistiques BranchCache d'une application à partir du panneau Détails de la distribution homologue sous Applications et livres > Natives > Affichage en liste > Détails de l'application.

La distribution pair à pair avec Workspace ONE vous permet de déployer vos applications Windows sur des réseaux d'entreprise. Ce profil utilise la fonctionnalité Windows BranchCache native intégrée au système d'exploitation Windows.

Configuration d'un profil Distribution pair à pair

La distribution pair à pair avec Workspace ONE vous permet de déployer vos applications Windows sur des réseaux d'entreprise. Ce profil utilise la fonctionnalité native Windows BranchCache intégrée dans le système d’exploitation Windows.

Pour que vous puissiez utiliser le profil Peer Distribution pour la distribution pair à pair, cette dernière doit répondre à la configuration requise pour Workspace ONE.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
   

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Peer Distribution puis Configurer.

   Vous devez disposer d'un stockage de fichiers configuré avant de pouvoir créer un profil Peer Distribution. Pour plus d'informations, reportez-vous à la section Configuration requise pour Workspace ONE Peer Distribution.

6. Sélectionnez le Mode Workspace ONE Peer Distribution à utiliser.

   Paramètre	Description
   Distribué	Sélectionnez cette option pour que vos terminaux téléchargent des applications depuis des pairs dans un sous-réseau local.
   Hébergé	Sélectionnez cette option pour que vos terminaux téléchargent des applications à partir d'un serveur de cache hébergé.
   Local	Sélectionnez cette option pour que vos terminaux téléchargent des applications à partir de la mise en cache de terminal local uniquement.
   Désactivé	Sélectionnez cette option pour désactiver la distribution pair-à-pair.

7. Configurez les paramètres de Mise en cache :

   Paramètre	Description
   Durée de vie maximale du cache (jours)	Saisissez le nombre maximum de jours pendant lesquels les éléments de distribution pair-à-pair peuvent rester dans le cache avant que le terminal ne les purge.
   Pourcentage d'espace disque utilisé pour BranchCache	Saisissez la quantité d'espace disque local que le terminal doit autoriser pour la distribution pair-à-pair.

8. Si vous définissez le mode de distribution sur Hébergé, configurez les paramètres Serveurs de cache hébergés. Vous devez ajouter au moins un serveur de cache hébergé depuis et vers lequel les terminaux peuvent télécharger du contenu.

9. Cliquez sur Enregistrer et publier.

Profil de personnalisation

Configurez un profil de personnalisation pour les terminaux Windows Desktop afin de configurer les paramètres de personnalisation Windows. Ces paramètres incluent l'arrière-plan du poste de travail et les paramètres du menu Démarrer.

Les options de ce profil sont toutes facultatives. Ne configurez que les paramètres dont vous avez besoin pour répondre à vos besoins de personnalisation.

Ce profil ne crée pas de terminal kiosque multi-applications comme le profil Kiosque.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Personnalisation.

6. Configurez les paramètres Images :

   Paramètres	Descriptions
   Image de poste de travail	Sélectionnez Importer pour ajouter une image à utiliser comme arrière-plan du poste de travail.
   Image de l'écran de verrouillage	Sélectionnez Importer pour ajouter une image à utiliser comme arrière-plan de l'écran de verrouillage.

7. Importer un fichier XML de mise en page de départ. Ce fichier XML remplace la mise en page du menu de démarrage par défaut et empêche les utilisateurs de la modifier. Vous pouvez configurer la disposition des vignettes, le nombre de groupes et les applications dans chaque groupe. Vous devez créer ce fichier XML vous-même. Pour plus d'informations sur la création d'un fichier XML de mise en page de départ, reportez-vous à https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.

8. Configurez les paramètres Stratégies du menu Démarrer. Ces paramètres vous permettent de contrôler quels raccourcis sont autorisés dans le menu Démarrer. Vous pouvez également choisir de masquer ou d'afficher certaines options, telles que l'option Arrêter ou la liste des applications.

9. Cliquez sur Enregistrer et publier.

Profil Proxy

Créez un profil Proxy pour configurer un serveur proxy pour vos terminaux Windows Desktop. Ces paramètres ne s'appliquent pas aux connexions VPN.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Proxy et configurez les paramètres :

   Paramètres	Description
   Paramètres de détection automatique	Activez cette option pour que le système tente automatiquement de trouver le chemin d'accès à un script de configuration automatique de proxy (PAC).
   Utiliser un script de configuration	Activez cette option pour entrer le chemin d'accès au fichier du script PAC.
   Adresse de script	Entrez le chemin d'accès au fichier du script PAC. Cette option s'affiche lorsque l'option Utiliser un script de configuration est activée.
   Utiliser un serveur proxy	Activez cette option pour utiliser un serveur proxy statique pour les connexions Ethernet et Wi-Fi. Ce serveur proxy est utilisé pour tous les protocoles. Ces paramètres ne s'appliquent pas aux connexions VPN.
   Adresse du serveur proxy	Entrez l'adresse du serveur proxy. L'adresse doit respecter le format suivant : <server>[“:”<port>].
   Exceptions	Entrez toutes les adresses qui ne doivent pas utiliser le serveur proxy. Le système n'utilisera pas le serveur proxy pour ces adresses. Séparez les entrées par un point-virgule (;).
   Utilisez un proxy pour les adresses locales (intranet)	Activez cette option pour utiliser le serveur proxy pour des adresses locales (intranet).

6. Cliquez sur Enregistrer et publier.

Profil Restrictions

Utilisez les profils Restrictions pour désactiver l'accès des utilisateurs finaux aux fonctionnalités du terminal afin que vos terminaux Windows ne soient pas endommagés. Découvrez comment contrôler les paramètres et options que les utilisateurs finaux peuvent utiliser ou modifier avec le profil de restrictions Workspace ONE UEM.

La version et l'édition de Windows que vous utilisez ont une incidence sur les restrictions qui s'appliquent à un terminal.

1. Accédez à Ressources > Profils et lignes de base > Profils et sélectionnez Ajouter.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Restrictions.

6. Configurez les paramètres Administration :

   Paramètres	Description
   Autoriser le désenrôlement MDM manuel	Autorisez l'utilisateur à désenrôler manuellement son terminal de Workspace ONE UEM via l'enrôlement Espace de travail/accès professionnel. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   La configuration en cours du Hub installe les packages de provisionnement.	Activez ce paramètre pour autoriser l'utilisation de packages de déploiement dans le cadre de l'enrôlement de terminaux dans Workspace ONE UEM (déploiement par lots). Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Emplacement	Sélectionnez le fonctionnement des services de localisation sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   La configuration en cours de l'agent supprimera le pack de configuration.	Activez ce paramètre pour autoriser la suppression de packages de déploiement. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Envoyer les données de télémétrie concernant le diagnostic et l'utilisation	Sélectionnez le niveau de données de télémétrie à envoyer à Microsoft. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Exiger un compte Microsoft pour le MDM	Activez ce paramètre pour exiger qu'un compte Microsoft pour les terminaux reçoive les politiques ou les applications.
   Exiger un compte Microsoft pour l'installation d'applications modernes	Activez ce paramètre pour exiger qu'un compte Microsoft pour les terminaux télécharge et installe les applications Windows.
   Les packs de configuration doivent disposer d'un certificat signé par une autorité de terminaux fiable.	Activez ce paramètre pour exiger un certificat approuvé pour tous les packages de déploiement (déploiement par lots). Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser l'utilisateur à modifier les paramètres Auto Play	Autorisez l'utilisateur à modifier le programme utilisé pour l'Auto Play des types de fichiers. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autorisez l'utilisateur à modifier les paramètres Data Sense.	Autorisez l'utilisateur à modifier les paramètres Data Sense afin de restreindre l'utilisation des données sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Date/heure	Autorisez l'utilisateur à changer les paramètres Date/heure. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Langue	Autorisez l'utilisateur à changer les paramètres de langue. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser l'utilisateur à modifier les paramètres d'alimentation et de mise en veille.	Autorisez l'utilisateur à changer les paramètres d'alimentation et de mise en veille. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Région	Autorisez l'utilisateur à modifier la région. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autorisez l'utilisateur à modifier les options de connexion.	Autorisez l'utilisateur à modifier les options de connexion. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   VPN	Autorisez l'utilisateur à changer les paramètres de VPN. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser l'utilisateur à modifier les paramètres de Workplace	Autorise l'utilisateur à changer les paramètres Workplace et les fonctions MDM sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser l'utilisateur à modifier les paramètres de compte	Autorisez l'utilisateur à modifier les paramètres de compte. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Bluetooth	Autorisez l'utilisation du Bluetooth sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Publicité Bluetooth de terminal	Autorisez le terminal à diffuser les annonces Bluetooth. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Les terminaux compatibles avec Bluetooth peuvent découvrir le terminal	Autorisez la détection du Bluetooth par d'autres terminaux Bluetooth. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   appareil photo	Autorisez l'accès à la fonction appareil-photo du terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Cortana	Autorisez l'accès à l'application Cortana. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Détection de terminaux UX sur l'écran de verrouillage	Autorisez l'expérience utilisateur de découverte du terminal à détecter des projecteurs et d'autres moniteurs lorsque l'écran de verrouillage est affiché. Lorsque ce paramètre est activé, les raccourcis clavier Win+P et Win+K ne fonctionnent pas. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Journalisation IME	Activez ce paramètre pour autoriser l'utilisateur à activer et à désactiver la journalisation de conversions incorrectes et la sauvegarde de résultats de réglages automatiques vers un fichier et une saisie prédictive basée sur l'historique. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Accès au réseau IME	Activez ce paramètre pour autoriser l'utilisateur à activer l'ouverture du dictionnaire étendu afin qu'il intègre des recherches Internet et fournisse des suggestions de saisie qui n'existent pas dans le dictionnaire local d'un PC. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   SmartScreen	Activez ce paramètre pour autoriser l'utilisateur à utiliser la fonction Microsoft SmartScreen, une fonction de sécurité qui invite l'utilisateur à dessiner des formes sur une image de l'écran pour déverrouiller le terminal. Cette option permet également aux utilisateurs d'utiliser des codes PIN en tant que mot de passe. Remarque : une fois la fonction désactivée, vous ne pouvez pas la réactiver via Workspace ONE UEM MDM. Pour la réactiver, vous devez rétablir les paramètres d'usine du terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Rechercher pour utiliser les informations de localisation.	Autorisez la recherche à utiliser les informations d'emplacement de terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Carte de stockage	Activez ce paramètre pour autoriser l'utilisation d'une carte SD et des ports USB de l'appareil. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Paramètres de synchronisation Windows	Autorisez l'utilisateur à synchroniser les paramètres Windows entre terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Conseils Windows	Autorisez les conseils Windows sur le terminal pour assister l'utilisateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Paramètres de contrôle du compte utilisateur	Sélectionnez le niveau de notification envoyé aux utilisateurs lorsqu'une modification apportée au système d'un terminal nécessite une autorisation de l'administrateur.
   Autoriser les applications approuvées hors Microsoft Store	Autorisez le téléchargement et l'installation d'applications non approuvées par le Microsoft Store.
   Mises à jour automatiques des boutiques d'applications	Activez ce paramètre pour autoriser des applications téléchargées depuis le Microsoft Store à être automatiquement mises à jour lorsque de nouvelles versions sont disponibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser le déverrouillage par le développeur	Autorise l'utilisation du paramètre Déverrouillage par le développeur pour charger des versions de test sur les terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser la diffusion DVR de jeux vidéo	Activez ce paramètre pour autoriser l'enregistrement et la diffusion de jeux sur le terminal. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Autoriser le partage des données entre plusieurs utilisateurs de la même application.	Autorise le partage de données entre plusieurs utilisateurs d'une application. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Restreindre les données d'application au volume système	Restreint les données d'application au même volume que le système d'exploitation en leur interdisant l'accès aux volumes secondaires ou aux supports amovibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Restreindre l'installation des applications au lecteur système	Restreint l'installation d'applications au lecteur système en leur interdisant l'accès aux lecteurs secondaires ou aux supports amovibles. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Connexion automatique aux points d'accès Wi-Fi	Activez ce paramètre pour autoriser le terminal à se connecter automatiquement à des points d'accès Wi-Fi à l'aide de l'assistant Wi-Fi. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Données mobiles en itinérance	Activez ce paramètre pour autoriser l'utilisation de données mobiles en itinérance. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Partage Internet	Activez ce paramètre pour autoriser le partage Internet entre terminaux. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Utilisation des données lors de l'itinérance	Activez ce paramètre pour autoriser les utilisateurs à transmettre et recevoir des données lors des déplacements. Cette restriction s'applique à tous les terminaux Windows 10.
   VPN sur le réseau mobile	Autorisez l'utilisation d'un VPN lors de connexions de données cellulaires. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Itinérance VPN sur le réseau mobile	Autorisez l'utilisation d'un VPN lors de connexions de données cellulaires en itinérance. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Saisie automatique	Autorisez l'utilisation de remplissage automatique des informations utilisateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Cookies	Autorisez l'utilisation de cookies. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Ne pas suivre	Autorisez l'utilisation de demandes DNT. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Gestionnaire de mots de passe	Autorisez l'utilisation du gestionnaire de mots de passe. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Pop-ups	Autorisez les fenêtres locales de navigateur. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Suggestions de recherche dans la barre d'adresses	Autorisez l'affichage des suggestions de recherche dans la barre d'adresse. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   SmartScreen	Autorisez l'utilisation du filtre de contenu et d'emplacements malveillants SmartScreen. Cette restriction n'est pas prise en charge pour les terminaux Windows Home Edition.
   Envoyez le trafic Internet à Internet Explorer.	Autorisez le trafic Internet à utiliser Internet Explorer. Cette restriction s'applique à tous les terminaux Windows 10.
   URL de la liste des sites d'entreprise	Saisissez l'URL d'une liste d'emplacements d'entreprise. Cette restriction s'applique à tous les terminaux Windows 10.

7. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

Profil SCEP

Les profils SCEP (de protocole d'inscription de certificats simple) permettent d'installer ces certificats en mode silencieux sur des terminaux sans aucune interaction de la part de l'utilisateur.

Même avec des mots de passe forts et d'autres restrictions, votre infrastructure reste vulnérable aux attaques par force brute, aux attaques de dictionnaire et aux erreurs des employés. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour installer les certificats sur les terminaux en mode silencieux à l'aide des profils SCEP, vous devez d'abord définir une autorité de certification (CA), puis configurer une section de configuration SCEP en plus de votre section de configuration EAS, Wi-Fi ou VPN. Chacune de ces sections de configuration dispose de paramètres pour l'association d'une autorité de certification définie dans la section de configuration SCEP.

Pour envoyer des certificats vers des terminaux, vous devez configurer une section de configuration SCEP dans le cadre des profils que vous avez créés pour les paramètres EAS, Wi-Fi et VPN.

Configuration d'un profil SCEP

Un profil SCEP installe les certificats sur les terminaux en mode silencieux pour qu'ils soient utilisés avec l'authentification des terminaux.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
   

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil d'utilisateur ou Profil du terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil SCEP.

6. Configurez les paramètres SCEP, notamment :

   Paramètres	Descriptions
   Source des identifiants	Ce menu déroulant est toujours réglé sur l'autorité de certification définie.
   Autorité de certification	Sélectionnez l'autorité de certification que vous souhaitez utiliser.
   Modèle de certificat	Sélectionnez le modèle disponible pour le certificat.
   Emplacement de la clé	Sélectionnez l'emplacement de la clé privée du certificat : TPM si disponible – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM) s'il y en a sur le terminal ; dans le cas contraire, stockez-la dans le système d'exploitation. TPM obligatoire – Sélectionnez ce paramètre pour stocker la clé privée sur un Module de plateforme sécurisée (TPM). S'il n'y a pas de TPM, le certificat ne peut pas être installé et une erreur s'affiche sur le terminal. Logiciel – Sélectionnez ce paramètre pour stocker la clé privée dans le système d'exploitation du terminal. Passport – Sélectionnez ce paramètre pour sauvegarder la clé privée dans Microsoft Passport. Cette option nécessite l'intégration d'Azure AD.
   Nom du conteneur	Spécifiez le nom du conteneur Passport for Work (maintenant appelé « Windows Hello Entreprise »). Ce paramètre s'affiche lorsque vous définissez Emplacement de la clé sur Passport.

7. Configurez le profil Wi-Fi, VPN ou EAS.

8. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

Profil Mode d'application unique

Le profil Mode d'application unique vous permet de limiter l'accès au terminal à une application unique. Avec le mode d'application unique, le terminal est verrouillé et ouvert à une seule application jusqu'à ce que la section de configuration soit supprimée. La politique est activée après un redémarrage du terminal.

Le mode d'application unique connaît cependant quelques restrictions et limitations.

• Applications Windows universelles ou modernes uniquement. Le mode d'application unique ne prend pas en charge les applications .msi ou .exe héritées.
• Les utilisateurs doivent être des utilisateurs locaux uniquement. Ils ne peuvent être ni utilisateurs de domaine, ni administrateurs, ni issus d'un compte Microsoft, ni invités. L'utilisateur standard doit être un utilisateur local. Les comptes de domaine ne sont pas pris en charge.

Procédure

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
2. Sélectionnez Windows, puis Windows Desktop.
3. Sélectionnez Profil d'utilisateur.
4. Configurez les paramètres généraux du profil.
5. Sélectionnez le profil Mode d'application unique.
6. Configurez les paramètres du mode Application unique pour Nom d'application et entrez le nom convivial de l'application. Pour les applications Windows, le nom convivial est le nom du module ou l'ID du module. Exécutez une commande PowerShell pour obtenir le nom convivial de l'application installée sur le terminal. La commande « Get-AppxPackage » renvoie le nom convivial de l'application sous « nom ».
7. Après avoir configuré un profil Mode d'application unique, vous devez configurer un mode d'application unique sur le terminal.
   • Une fois le profil Mode d'application unique reçu sur le terminal, redémarrez ce dernier pour commencer.
   • Au redémarrage, un message vous demande de vous connecter au terminal à l'aide du compte de l'utilisateur standard.

Une fois la connexion établie, la politique démarre et le Mode d'application unique est prêt à être utilisé. Si vous devez vous déconnecter du Mode d'application unique, appuyez sur la touche Windows rapidement cinq fois pour lancer l'écran de connexion et vous connecter sous un autre nom d'utilisateur.

Profil VPN

Workspace ONE UEM prend en charge la configuration des paramètres VPN de terminal afin que vos utilisateurs finaux puissent accéder à distance et en toute sécurité au réseau interne de votre organisation. Découvrez comment le profil VPN contrôle les paramètres VPN détaillés, y compris les paramètres de fournisseur VPN spécifiques et l'accès VPN par application.

Important : Avant d'activer le Verrouillage du VPN, vérifiez que la configuration du VPN pour le profil VPN fonctionne. Si la configuration du VPN est incorrecte, il est possible que vous ne parveniez pas à supprimer le profil VPN du terminal, car il n'y a pas de connexion Internet.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil d'utilisateur ou Profil du terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil VPN.

6. Configurez les paramètres Informations de connexion.

   • Nom de la connexion - Entrez le nom de la connexion VPN.
   • Type de connexion - Sélectionnez le type de connexion VPN :
   • Serveur - Entrez le nom d'hôte ou l'adresse IP du serveur VPN.
   • Port - Entrez le port utilisé par le serveur VPN.
   • Paramètres de connexion avancés - Activez ce paramètre pour configurer des règles de routage avancées pour la connexion VPN du terminal.
   • Adresses de routage - Sélectionnez Ajouter pour entrer les adresses IP et la taille du préfixe de sous-réseau du serveur VPN. Vous pouvez ajouter d'autres adresses de routage, en fonction de vos besoins.
   • Règles de routage DNS - Sélectionnez Ajouter pour entrer le Nom de domaine qui décide quand utiliser le VPN. Saisissez les Serveurs DNS et Serveurs de proxy Web à utiliser pour chaque domaine spécifique.
   • Politique de routage - Choisissez Forcer tout le trafic via le VPN ou Autoriser l'accès direct aux ressources externes.
     • Forcer tout le trafic via le VPN (Forcer Tunnel) : Pour cette règle de trafic, tout le trafic IP doit passer par l'interface VPN uniquement.
     • Autoriser l'accès direct aux ressources externes (Scinder Tunnel) : Pour cette règle de filtre du trafic, seul le trafic destiné à l'interface VPN (tel que déterminé par la pile réseau) franchit l'interface. Le trafic Internet peut passer par les autres interfaces.
   • Proxy - Sélectionnez Détection automatique pour détecter tous les serveurs proxy utilisés par le VPN. Sélectionnez Manuel pour configurer le serveur de proxy.
   • Serveur - Entrez l'adresse IP du serveur de proxy. Apparaît lorsque le proxy est défini sur Manuel.
   • URL de configuration du serveur de proxy - Entrez l'URL pour les paramètres de configuration du serveur de proxy. Apparaît lorsque le proxy est défini sur Manuel.
   • Contournement local du proxy - Activez ce paramètre pour contourner le serveur de proxy lorsque le terminal détecte qu'il est sur le réseau local.
   • Protocole - Sélectionnez le protocole d'authentification à utiliser avec le VPN :
     • EAP – Autorise plusieurs méthodes d'authentification.
     • Certificat de la machine – Détecte le certificat client dans le magasin de certificats du terminal à utiliser lors de l'authentification.
   • Type EAP|Sélectionnez le type d'authentification EAP :
     • EAP-TLS – Authentification par carte à puce ou certificat client
     • EAP-MSCHAPv2 – Nom d'utilisateur et mot de passe
     • EAP-TTLS
     • PEAP
     • Configuration personnalisée – Autorise toutes les configurations EAP. Apparaît uniquement si le protocole est définir sur EAP.
   • Type d'identifiants - Sélectionnez Utiliser le certificat pour utiliser un certificat client. Sélectionnez Utiliser une carte à puce afin d'utiliser une carte à puce pour l'authentification. Apparaît lorsque Type EAP est défini sur EAP-TLS.
   • Sélection de certificat simple - Activez ce paramètre pour simplifier la liste des certificats que sélectionne l'utilisateur. Les certificats s'affichent, les derniers émis pour chaque entité apparaissent en premier. Apparaît lorsque Type EAP est défini sur EAP-TLS.
   • Utiliser les identifiants de connexion Windows - Activez ce paramètre pour utiliser les mêmes identifiants que le terminal Windows. Apparaît lorsque Type EAP est défini sur EAP-MSCHAPv2.
   • Protection de la confidentialité - Entrez la valeur à envoyer aux serveurs avant que le client n'authentifie l'identité du serveur. Apparaît lorsque Type EAP est défini sur EAP-TTLS.
   • Méthode d'authentification interne - Sélectionnez la méthode d'authentification pour l'authentification d'identité interne. Apparaît lorsque Type EAP est défini sur EAP-TTLS.
   • Activer la reconnexion rapide - Activez ce paramètre pour réduire le délai entre une demande d'authentification par un client et la réponse du serveur. Apparaît lorsque Type EAP est défini sur PEAP.
   • Activer la protection de la confidentialité - Activez ce paramètre pour protéger l'identité de l'utilisateur jusqu'à ce que le client soit authentifié avec le serveur.
   • Règles du VPN par application - Sélectionnez Ajouter pour ajouter des règles de trafic pour les applications héritées et modernes.
   • ID d'application - Sélectionnez tout d'abord si l'application est une application de store ou de bureau. Entrez ensuite le chemin d'accès au fichier d'application pour les applications de poste de travail. Vous pouvez également entrer le nom de la famille de packages pour les applications du store pour spécifier l'application à laquelle s'appliquent les règles de trafic.
     • Exemple de chemin d'accès du fichier : %ProgramFiles%/ Internet Explorer/iexplore.exe
     • Nom de famille du pack, par exemple : AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4 La recherche PFN vous permet de rechercher le PFN d'une application en sélectionnant l'icône Rechercher. Une fenêtre d'affichage apparaît vous permettant de sélectionner l'application que vous souhaitez configurer selon les règles VPN par application. Le PFN est ensuite rempli automatiquement.
   • VPN à la demande - Activez ce paramètre pour que la connexion VPN se connecte automatiquement au lancement de l'application.
   • Politique de routage - Sélectionnez la politique de routage pour l'application.
     • Autoriser l'accès direct aux ressources externes autorise le trafic VPN et le trafic via la connexion au réseau local.
     • Forcer tout le trafic via le VPN force tout le trafic via le VPN.
   • Règles de routage DNS - Activez ce paramètre pour ajouter des règles de routage DNS pour le trafic des applications. Sélectionnez Ajouter pour ajouter des Types de filtre et des Valeurs de filtre pour les règles de routage. Seul le trafic de l'application spécifiée correspondant à ces règles peut être envoyé par VPN.
     • Adresse IP : Une liste de valeurs séparées par des virgules spécifiant la plage d'adresses IP distantes à autoriser.
     • Port : Une liste de valeurs séparées par des virgules spécifiant les étendues de port distantes à autoriser. Par exemple : 100–120, 200, 300–320. Les ports ne sont pas valides lorsque le protocole est défini sur TCP ou UDP.
     • Protocole IP : Valeur numérique entre 0 et 255 indiquant le protocole IP à autoriser. Par exemple, TCP = 6 et UDP = 17.
   • Règles du VPN à l'échelle des terminaux - Sélectionnez Ajouter pour ajouter des règles de trafic pour l'intégralité du terminal. Sélectionnez Ajouter pour ajouter des Types de filtre et des Valeurs de filtre pour les règles de routage. Seul le trafic correspondant à ces règles peut être envoyé par VPN.
     • Adresse IP : Une liste de valeurs séparées par des virgules spécifiant la plage d'adresses IP distantes à autoriser.
     • Port : Une liste de valeurs séparées par des virgules spécifiant les étendues de port distantes à autoriser. Par exemple : 100–120, 200, 300–320. Les ports ne sont pas valides lorsque le protocole est défini sur TCP ou UDP.
     • Protocole IP : Valeur numérique entre 0 et 255 indiquant le protocole IP à autoriser. Par exemple, TCP = 6 et UDP = 17. Pour obtenir la liste des valeurs numériques de tous les protocoles, reportez-vous à https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
   • Mémoriser les identifiants - Activez ce paramètre pour mémoriser les informations d'identification.
   • Toujours actif - Activez ce paramètre pour forcer la connexion VPN à rester toujours active.
   • Verrouillage du VPN - Activez ce paramètre pour forcer le VPN à rester actif et ne jamais se déconnecter, pour désactiver tout accès réseau si le VPN n'est pas connecté et, enfin, pour empêcher les autres profils VPN de se connecter sur le terminal. Un profil VPN avec option Verrouillage du VPN activé doit être supprimé pour que vous puissiez envoyer un nouveau profil VPN au terminal. Cette fonctionnalité s'affiche uniquement si le profil est défini sur Contexte de terminal.
   • Contournement local - Activez ce paramètre pour contourner la connexion VPN pour le trafic Intranet.
   • Détection de réseaux approuvés - Entrez les adresses des réseaux approuvés, séparées par des virgules. Il n'y a pas de connexion au VPN lorsqu'une connexion réseau approuvée est détectée.
   • Domaine - Sélectionnez Ajouter un nouveau domaine pour ajouter des domaines de résolution via le serveur VMware Tunnel. Tous les domaines ajoutés seront résolus par le biais du serveur VMware Tunnel, quelle que soit l'application à l'origine du trafic. Par exemple, vmware.com est résolu via le serveur VMware Tunnel si vous utilisez les applications Chrome (approuvées) ou Edge (non approuvées). Cette option s'affiche uniquement lorsque vous créez le profil VPN en tant que profil utilisateur.

7. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

Les profils VPN Workspace ONE UEM prennent en charge la configuration des paramètres VPN par application pour les terminaux Windows. Découvrez comment configurer votre profil VPN pour utiliser les règles de trafic et la logique spécifiques pour activer l'accès VPN par application.

VPN par application pour Windows utilisant le profil VPN

Les profils VPN Workspace ONE UEM prennent en charge la configuration des paramètres VPN par application pour les terminaux Windows. Découvrez comment configurer votre profil VPN pour utiliser les règles de trafic et la logique spécifiques pour activer l'accès VPN par application.

Le VPN par application vous permet de configurer des règles de trafic VPN basées sur certaines applications spécifiques. Une fois configuré, le VPN se connecte automatiquement lorsqu'une application spécifiée démarre et envoie le trafic de l'application, et uniquement de celle-ci, via la connexion VPN. Grâce à cette flexibilité, vous avez la garantie que les données de l'entreprise restent sécurisées, sans limiter l'accès des terminaux à Internet.

Chaque groupe de règles sous la section Règle de VPN par application utilise l'opérateur logique OR. Ainsi, si le trafic correspond à l'une de ces stratégies définies, il est autorisé via le VPN.

Les applications pour lesquelles les règles de trafic VPN par application s'appliquent peuvent être des applications Windows héritées, telles que les fichiers EXE ou les applications modernes téléchargées du Microsoft Store. En définissant les applications spécifiques pouvant démarrer et utiliser la connexion VPN, le VPN est utilisé uniquement pour le trafic issu de ces applications, pas pour tout le trafic des terminaux. Cette logique permet de sécuriser les données d'entreprise tout en réduisant la bande passante transmise via votre VPN.

Pour vous aider à réduire les contraintes liées à la bande passante du VPN, vous pouvez définir des règles de routage DNS pour la connexion VPN par application. Ces règles de routage limitent la quantité de trafic envoyé via le VPN au seul trafic correspondant à ces règles. Les règles de logique utilisent l'opérateur AND. Si vous définissez une adresse IP, un port et un protocole IP, le trafic devra correspondre à chacun de ces filtres pour passer par le VPN.

Le VPN par application vous permet de configurer un contrôle détaillé des connexions VPN pour chaque application.

Profil Raccourcis Internet

La configuration d'un profil Raccourcis Internet vous permet de déployer des URL vers les terminaux des utilisateurs afin de faciliter l'accès aux sites Web importants.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil d'utilisateur.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Raccourcis Internet.

6. Configurez les paramètres des raccourcis Internet, notamment :

   Paramètres	Description
   Libellé	Saisissez la description du raccourci Internet.
   URL	Saisissez l'URL cible du raccourci Internet.
   Afficher dans l'App Catalog	Autorisez l'affichage du raccourci Internet dans l'App Catalog.

7. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

Profil Wi-Fi

Créez un profil Wi-Fi avec Workspace ONE UEM pour connecter les terminaux à des réseaux d'entreprise masqués, chiffrés ou protégés par mot de passe. Découvrez en quoi les profils Wi-Fi sont utiles pour les utilisateurs qui doivent accéder à plusieurs réseaux et également pour la configuration des terminaux afin qu'ils se connectent automatiquement au réseau sans fil approprié.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Wi-Fi et configurez les paramètres.

   Paramètres	Descriptions
   Identifiant SSID	Entrez un identifiant pour le nom (SSID) du réseau Wi-Fi souhaité. Le réseau SSID ne peut pas contenir d'espaces.
   Réseau masqué	Activez cette option si le réseau utilise un SSID masqué.
   Rejoindre automatiquement	Activez cette option pour que le terminal rejoigne le réseau automatiquement.
   Type de sécurité	Utilisez le menu déroulant pour sélectionner le type de sécurité (par exemple, WPA2 personnel) pour le réseau Wi-Fi.
   Chiffrement	Utilisez le menu déroulant pour sélectionner le type de chiffrement utilisé. Apparaît en fonction du Type de sécurité.
   Mot de passe	Saisissez le mot de passe requis pour rejoindre le réseau Wi-Fi (pour les réseaux avec mots de passe statiques). Cochez la case Afficher les caractères pour désactiver les caractères masqués dans la zone de texte. Apparaît en fonction du Type de sécurité.
   Proxy	Activez cette option pour configurer les paramètres proxy pour la connexion Wi-Fi.
   URL	Saisissez l'URL du proxy.
   Port	Saisissez le port du proxy.
   Protocoles	Sélectionnez le type de protocoles à utiliser : Certificat : PEAP-MsChapv2 EAP-TTLS : Personnalisé Cette section apparaît lorsque le Type de sécurité est défini sur WPA Enterprise ou WPA2 Enterprise.
   Authentification interne	Sélectionnez la méthode d'authentification via EAP-TTLS : Nom d'utilisateur/Mot de passe Certificat Cette section apparaît lorsque l'option Protocoles est définie sur EAP-TTLS ou PEAP-MsChapv2.
   Exiger une liaison de chiffrement	Activez cette option pour exiger une liaison de chiffrement sur les deux authentifications. Cet élément de menu limite les attaques de l'intercepteur.
   Utiliser les identifiants de connexion Windows	Activez cette option pour utiliser les informations d'identification de connexion Windows nom d'utilisateur/mot de passe pour s'authentifier. Apparaît lorsque Nom d'utilisateur/mot de passe est défini sur Identité interne.
   Certificat d'identité	Sélectionnez un certificat d'identité que vous pourrez configurer à l'aide de la section de configuration Identifiants. Apparaît lorsque Certificat est défini sur Identité interne.
   Certificats approuvés	Sélectionnez Ajouter pour ajouter des certificats approuvés au profil Wi-Fi. Cette section apparaît lorsque le Type de sécurité est défini sur WPA Enterprise ou WPA2 Enterprise.
   Autoriser les exceptions de fiabilité	Activez ce paramètre pour autoriser des décisions approuvées émanant de l'utilisateur via une boîte de dialogue.

6. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.

Profil Windows Hello

Windows Hello fournit une solution alternative à l'utilisation de mots de passe. Le profil Windows Hello permet de configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos données sans envoyer de mot de passe.

La protection de terminaux et de comptes à l'aide d'un nom d'utilisateur et d'un mot de passe crée parfois des exploits de sécurité potentiels. Il arrive que des utilisateurs oublient un mot de passe, ou le partagent avec des personnes étrangères à l'entreprise, mettant en danger les données de votre société. Grâce à Windows Hello, les terminaux Windows peuvent s'authentifier en toute sécurité pour accéder à des applications, sites Web et réseaux pour le compte de l'utilisateur, sans envoyer de mot de passe. Il devient inutile de se souvenir des mots de passe, sans compter qu'en leur absence, les attaques de type MITM risquent moins de compromettre votre sécurité.

Avec Windows Hello, les utilisateurs doivent veiller à disposer d'un terminal Windows avant de s'authentifier via un code PIN ou par le biais de la vérification biométrique Windows Hello. Une fois authentifié avec Windows Hello, le terminal obtient un accès immédiat aux sites Web, applications et réseaux.

Important : Windows Hello for Business nécessite l'intégration d'Azure AD pour fonctionner.

Créez un profil Windows Hello pour configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos applications, sites Web et réseaux sans saisir de mot de passe.

Création d'un profil Windows Hello

Créez un profil Windows Hello pour configurer Windows Hello for Business pour vos terminaux Windows Desktop afin que les utilisateurs finaux puissent accéder à vos applications, sites Web et réseaux sans saisir de mot de passe.

Important : les profils Windows Hello ne s'appliquent qu'aux terminaux enrôlés par l'intégration d'Azure AD.

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Windows Hello et configurez les paramètres suivants :

   Paramètres	Descriptions
   Geste biométrique	Activez ce paramètre pour permettre aux utilisateurs d'utiliser les lecteurs biométriques du terminal.
   TPM	Sélectionnez Exiger pour désactiver l'utilisation de Passport sans module TPM installé sur le terminal.
   Longueur minimale du code PIN	Saisissez le nombre minimal de chiffres que doit contenir le code PIN.
   Longueur maximale du code PIN	Saisissez le nombre maximal de chiffres que doit contenir le code PIN.
   Chiffres	Définissez le niveau d'autorisation pour utiliser des chiffres dans le code PIN.
   Majuscules	Définissez le niveau d'autorisation pour utiliser des majuscules dans le code PIN.
   Minuscules	Définissez le niveau d'autorisation pour utiliser des minuscules dans le code PIN.
   Caractères spéciaux	Définissez le niveau d'autorisation pour utiliser des caractères spéciaux dans le code PIN. ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { | } ~

6. Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.

Profil Gestion des licences Windows

Configurez un profil Gestion des licences Windows pour fournir aux terminaux Windows une clé de licence Windows Entreprise ou Windows Éducation. Utilisez ce profil pour mettre à niveau les terminaux qui ne disposent pas de Windows Entreprise.

Important :

Cette mise à niveau est irréversible. Si vous publiez ce profil sur des terminaux personnels, vous ne pouvez pas supprimer la gestion des licences par MDM. Windows ne peut effectuer la mise à niveau que dans les configurations suivantes :

• Windows Entreprise à Windows Éducation
• Windows Famille à Windows Éducation
• Windows Professionnel à Windows Éducation
• Windows Professionnel à Windows Entreprise

Procédure

1. Accédez à > Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Sélectionnez Windows, puis Windows Desktop.

3. Sélectionnez Profil de terminal.

4. Configurez les paramètres généraux du profil.

5. Sélectionnez le profil Gestion des licences Windows et configurez les paramètres suivants :

   Paramètres	Descriptions
   Édition Windows	Sélectionnez l'édition Entreprise ou Éducation.
   Saisissez une clé de licence valide	Saisissez la clé de licence correspondant à l'édition de Windows que vous utilisez.

6. Cliquez sur Enregistrer et publier pour envoyer le profil vers les terminaux.

Profil Mises à jour Windows

Créez un profil Mises à jour Windows vous permet de configurer les paramètres des mises à jour Windows sur les terminaux Windows Desktop en utilisant Windows 10, 2004 et versions ultérieures. Ce profil présente plus d'améliorations et de fonctionnalités supplémentaires que le profil de mise à jour Windows (hérité). L'utilisation de la version mise à jour garantit que tous vos terminaux sont à jour et pourront tirer parti des nouvelles fonctionnalités ajoutées à la console, tout en améliorant la sécurité des terminaux et du réseau.

Pour créer ou configurer un profil de mises à jour Windows, utilisez le gestionnaire de périphériques Windows.

1. Accédez à > Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez Ajouter un profil.
   

2. Choisissez Windows > Windows Desktop > Profil de terminal.

3. Dans Profil de terminal, sélectionnez Mises à jour Windows puis cliquez sur le bouton pour le Configurer.

4. Une fois configurés, vous pouvez personnaliser les paramètres si nécessaire. Ce tableau fournit plus d'informations sur ce que chaque paramètre est censé faire.

   Paramètre	Description
   Définition
   Source de mise à jour Windows	Sélectionnez la source des mises à jour Windows. Service de mise à jour Microsoft – Sélectionnez cette option pour utiliser le serveur de mises à jour Microsoft par défaut. WSUS professionnel – Sélectionnez cette option pour utiliser un serveur d'entreprise et entrez l'URL du serveur WSUS et le Groupe WSUS. Le terminal doit contacter le WSUS au moins une fois pour que ce paramètre prenne effet. Si vous sélectionnez WSUS professionnel comme source, votre administrateur informatique pourra visualiser les mises à jour installées et le statut des terminaux dans le groupe WSUS. Remarque : La source ne peut pas être modifiée après sa définition.
   Branche de mise à jour	Sélectionnez la branche à suivre pour les mises à jour. Windows Insider - Canal Dev – Les builds Insider Preview dans ce canal sont publiées environ une fois par semaine et contiennent les toutes dernières fonctionnalités. Cela en fait l'idéal pour l'exploration des fonctionnalités.) Windows Insider - Canal Bêta – Les builds Insider Preview dans ce canal sont publiées environ une fois par mois et sont plus stables que les versions Fast Ring, ce qui les rend mieux adaptées à des fins de validation. Windows Insider - Canal d'aperçu de la version – Les builds Insider Preview dans ce canal sont les versions GA presque terminées pour valider la prochaine version GA. Canal de disponibilité général (ciblé) – Il n'existe aucun aperçu des fonctionnalités et les mises à jour des fonctionnalités sont publiées annuellement.
   Gérer les builds d'aperçu	Sélectionnez l'accès pour prévisualiser les builds. Si vous souhaitez exécuter un terminal dans Insider Preview, assurez-vous que cette option est définie sur « Activer les builds d'aperçu » : Désactiver les builds d'aperçu Désactiver les builds d'aperçu une fois que la version suivante est publique Activer les builds d'aperçu
   Planification du terminal
   Activer la planification des terminaux	Lorsque cette option est activée, vous pouvez définir la manière dont les terminaux gèrent la planification de l'installation des mises à jour et du redémarrage automatique (forcé). Lorsque cette option est activée, vous verrez plus d'options pour configurer le comportement de mise à jour automatique, définir les heures d'activité et configurer le nombre de jours dont disposeront les utilisateurs avant que les mises à jour ne soient automatiquement envoyées à leurs terminaux.
   Comportement de mise à jour
   Activer le comportement de mise à jour	Lorsque cette option est activée, vous pouvez définir les types de mises à jour proposées et le moment auquel les terminaux éligibles les recevront. Lorsque cette option est activée, vous verrez plus d'options pour désactiver la double analyse, autoriser les mises à jour de l'application Microsoft, définir la durée de report d'une mise à jour de fonctionnalité et exclure des pilotes Windows et/ou désactiver Safe Guard.
   Comportement du terminal
   Activer le comportement du terminal	Lorsque cette option est activée, vous pouvez définir la manière dont les configurations du comportement de mise à jour sont gérées par le terminal. Lorsque cette option est activée, vous verrez plus d'options pour autoriser les mises à jour automatique Windows à télécharger sur des réseaux mesurés, à ignorer les limites de téléchargement des données cellulaires pour les mises à jour des applications et ignorer les limites de téléchargement des données cellulaires pour les mises à jour système.
   Optimisation de la distribution
   Activer l’optimisation de la distribution	Lorsque cette option est activée, vous pouvez définir comment réduire la consommation de bande passante. Lorsque cette option est activée, vous verrez plus d'options pour sélectionner les options Mode de téléchargement, Source de l'hôte du cache, Source de l'ID de groupe, Source HTTP, Source du serveur de cache, Réseau, Configuration requise du terminal et Limitation de bande passante réseau.
   Version du système d'exploitation
   Version du système d'exploitation	Lorsque cette option est activée, vous pouvez spécifier la version cible et la version du produit cible qui doivent être déplacées ou doivent rester jusqu'à la fin du service.

5. Une fois que vous avez terminé la personnalisation du profil, n'oubliez pas de sélectionner Enregistrer et publier pour envoyer le profil sur vos terminaux.

Dépannage concernant les mises à jour de fonctionnalités et de qualité

Étant donné que les mises à jour Windows peuvent entraîner des problèmes avec des pilotes ou des applications spécifiques, trois boutons ont été ajoutés pour aider à dépanner ces situations. Le bouton Pause vous permet de suspendre les mises à jour de fonctionnalités et de qualité avant leur sortie (mais uniquement pendant 35 jours). Le bouton Restauration permet de revenir temporairement à la version précédent les mises à jour effectuées qui ont causé des problèmes imprévus, le temps que vous résolviez le problème. Le bouton Reprendre active à nouveau la recherche et l'installation des mises à jour Windows.

Profil de mises à jour Windows (héritées)

Le profil de mises à jour Windows (héritées) est destiné aux terminaux Windows Desktop utilisant Windows 10, 1909 ou une version antérieure. Envisagez de migrer ou d'utiliser le nouveau profil de mise à jour Windows pour bénéficier des nouvelles fonctionnalités et améliorations apportées après 2004. Le profil garantit que tous les terminaux sont à jour, ce qui améliore la sécurité des terminaux et du serveur.

Important : Pour afficher la version du système d'exploitation que prend en charge chaque branche de mise à jour, consultez la documentation de Microsoft sur les informations de version de Windows : https://technet.microsoft.com/en-us/windows/release-info.aspx.

Pour créer ou configurer un profil de mises à jour Windows héritées, utilisez le gestionnaire de périphériques Windows.

1. Accédez à > Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez Ajouter un profil.

2. Choisissez Windows > Windows Desktop > Profil de terminal.

3. Dans Profil de terminal, vous verrez un menu d'éléments que vous pouvez personnaliser. Sélectionnez Mises à jour Windows (héritées) , puis cliquez sur le bouton pour Configurer les paramètres.

Remarque : Vous pouvez remarquer une alerte qui vous informe de la possibilité de migrer des profils existants vers la nouvelle version. Vous pouvez utiliser le bouton Migrer pour migrer vos paramètres vers le nouveau profil de mises à jour Windows si vous le souhaitez. Sachez que si vous migrez les profils, certains paramètres ont été améliorés et mis à jour, ce qui entraîne la fin de validité de certaines des anciennes options. Ces modifications ne seront pas migrées à partir des versions précédentes.

1. Après la configuration, vous pouvez personnaliser les paramètres d'un profil hérité (de nouveau pour les Windows 10, 2004 ou versions antérieures). Ce tableau fournit plus d'informations sur ce que chaque paramètre est censé faire.

   Paramètres	Descriptions
   Branches et reports
   Source de mise à jour Windows	Sélectionnez la source des mises à jour Windows. Service de mise à jour Microsoft – Sélectionnez cette option pour utiliser le serveur de mises à jour Microsoft par défaut. WSUS professionnel – Sélectionnez cette option pour utiliser un serveur d'entreprise et entrez l'URL du serveur WSUS et le Groupe WSUS. Le terminal doit contacter le WSUS au moins une fois pour que ce paramètre prenne effet. Si vous sélectionnez WSUS professionnel comme source, votre administrateur informatique pourra visualiser les mises à jour installées et le statut des terminaux dans le groupe WSUS.
   Branche de mise à jour	Sélectionnez la branche à suivre pour les mises à jour. Canal semi-annuel Branche Windows Insider - Rapide (Moins stable, Build de développement) Branche Windows Insider - Lente (Plus stable, Build de développement) Insider - Release (Plus stable, Build publique)
   Builds Insider	Autorisez le téléchargement de builds Windows Insider de Windows. NON autorisé  : Ajout à Windows 10 version 1709 pour spécifier s'il faut autoriser l'accès aux builds Insider Preview de Windows 10.
   Différer la période de mises à jour des fonctionnalités (en jours)	Sélectionnez le nombre de jours pendant lesquels différer la mise à jour des fonctionnalités avant d'installer les mises à jour sur le terminal. Le nombre maximal de jours de report d'une mise à jour a changé sous Windows version 1703. Les terminaux exécutant une version antérieure à 1703 peuvent uniquement les différer pendant 180 jours. Les terminaux exécutant une version ultérieure à 1703 peuvent les différer jusqu'à 365 jours. Si vous différez une mise à jour de plus de 180 jours et que vous envoyez le profil vers un terminal exécutant une version de Windows antérieure à la mise à jour 1703, l'installation du profil sur le terminal échoue.
   Mettre en pause les mises à jour des fonctionnalités	Activez ce paramètre pour mettre en pause toutes les mises à jour des fonctionnalités pendant 60 jours ou jusqu'à ce que le paramètre soit désactivé. Ce paramètre remplace le paramètre Différer la période de mises à jour des fonctionnalités (en jours). Utilisez cette option pour retarder une mise à jour qui pose problème et qui pourrait s'installer normalement selon vos paramètres de report.
   Différer les mises à jour de qualité (en jours)	Sélectionnez le nombre de jours pendant lesquels différer la mise à jour qualité avant d'installer les mises à jour sur le terminal.
   Mettre les mises à jour qualité en pause	Activez ce paramètre pour mettre en pause toutes les mises à jour qualité pendant 60 jours ou jusqu'à ce que le paramètre soit désactivé. Ce paramètre remplace le paramètre Différer la période de mises à jour qualité (en jours). Utilisez cette option pour retarder une mise à jour qui pose problème et qui pourrait s'installer normalement selon vos paramètres de report.
   Activer les paramètres pour les versions précédentes de Windows	Sélectionnez cette option pour activer les paramètres d'échelonnement pour des versions précédentes de Windows. Ce paramètre active les fonctionnalités de report pour les anciennes versions de Windows 10 telles que 1511 et versions antérieures. Elles ont été modifiées dans la mise à jour anniversaire 1607 dans les paramètres actuels.
   Mettre à jour le comportement de l'installation
   Mises à jour automatiques	Définissez comment gérer les mises à jour de la Branche de mises à jour sélectionnée : Installer les mises à jour automatiquement (recommandé). Installer les mises à jour automatiquement, mais laisser l'utilisateur planifier le redémarrage de l'ordinateur. Installer les mises à jour automatiquement et recommencer à une heure précise Installer les mises à jour automatiquement et empêcher l'utilisateur de modifier les paramètres du panneau de contrôle Vérifier les mises à jour, mais laisser l'utilisateur décider de leur téléchargement et de leur installation Ne jamais vérifier les mises à jour (non recommandé).
   Nombre maximal d'heures d'activité (heures)	Entrez le nombre maximal d'heures d'activité qui empêchent le redémarrage du système en raison de mises à jour.
   Heure de début de la période d'activité	Saisissez l'heure de début de la période d'activité. Définissez la période d'activité afin d'empêcher le système de redémarrer durant ces heures.
   Heure de fin de la période d'activité	Affiche l'heure de fin de la période d'activité Cette durée est déterminée par les valeurs spécifiées pour Heure de début de la période d'activité et Nombre maximal d'heures d'activité.
   Délais de redémarrage automatique des mises à jour de qualité	Définissez le nombre maximal de jours pouvant s'écouler après l'installation d'une mise à jour qualité ou fonctionnalité avant le redémarrage du système.
   Délais de redémarrage automatique des mises à jour de fonctionnalité	Définissez le nombre maximal de jours pouvant s'écouler après l'installation d'une mise à jour de fonctionnalité avant le redémarrage du système.
   Notifications de redémarrage automatique (minutes)	Sélectionnez le nombre de minutes d'affichage d'un avertissement avant un redémarrage automatique.
   Notification de redémarrage automatique requis	Définissez comment une notification de redémarrage automatique doit être ignorée. Rejet automatique : automatiquement rejeté Rejet par l'utilisateur : exige de l'utilisateur qu'il ferme la notification.
   Délai de redémarrage amorcé des mises à jour de qualité	Les redémarrages amorcés permettent de gérer l'échéance du redémarrage du terminal après l'installation d'une mise à jour qualité ou fonctionnalité pendant les heures actives. Utilisez cette option pour définir le nombre de jours pendant lesquels un utilisateur peut amorcer un redémarrage avant qu'un redémarrage ne soit automatiquement planifié en dehors des heures actives.
   Délai de redémarrage amorcé des mises à jour de fonctionnalité	Les redémarrages amorcés permettent de gérer l'échéance du redémarrage du terminal après l'installation d'une mise à jour de fonctionnalité pendant les heures actives. Utilisez cette option pour définir le nombre de jours pendant lesquels un utilisateur peut amorcer un redémarrage avant qu'un redémarrage ne soit automatiquement planifié en dehors des heures actives.
   Planification des répétitions de redémarrage amorcé des mises à jour de qualité	Entrez le nombre de jours durant lesquels un utilisateur peut repousser un redémarrage amorcé. Lorsque la période de répétition est écoulée, une heure de redémarrage est planifiée en dehors des heures d'activité.
   Planification des répétitions de redémarrage amorcé des mises à jour de fonctionnalité	Entrez le nombre de jours durant lesquels un utilisateur peut repousser un redémarrage amorcé. Lorsque la période de répétition est écoulée, une heure de redémarrage est planifiée en dehors des heures d'activité.
   Avertissement de redémarrage planifié (heures)	Sélectionnez le nombre d'heures durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié.
   Avertissement de redémarrage planifié (minutes)	Sélectionnez le nombre de minutes durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié.
   Avertissement de redémarrage planifié imminent (minutes)	Sélectionnez le nombre de minutes durant lesquelles un avertissement aux utilisateurs s'affiche avant un redémarrage planifié imminent.
   Politiques de mise à jour
   Autoriser les mises à jour publiques	Autorisez les mises à jour provenant du service public Windows Update. Le fait de ne pas autoriser ce service risque de créer des problèmes avec le Microsoft Store.
   Autoriser les mises à jour Microsoft	Autorisez les mises à jour provenant de Microsoft Update.
   Fréquence d'analyse des mises à jour (heures)	Définissez le nombre d'heures entre les analyses de mises à jour.
   Dual Scan	Activez cette option afin d'utiliser Windows Update comme source de mise à jour principale lorsque vous avez recours à Windows Server Update Services pour fournir tout le contenu.
   Exclure les pilotes Windows Update des mises à jour qualité	Activez cette option pour empêcher l'installation automatique des mises à jour de pilotes sur des terminaux pendant les mises à jour qualité.
   Installer les mises à jour signées depuis des entités tierces	Autorisez l'installation de mises à jour issues d'entités tierces approuvées.
   Limite de téléchargement des applications de l'opérateur mobile	Indiquez si vous souhaitez ignorer les limites de téléchargement d'opérateur mobile pour télécharger des applications et leurs mises à jour sur un réseau cellulaire.
   Limite de téléchargement des mises à jour de l'opérateur mobile	Indiquez si vous souhaitez ignorer les limites de téléchargement d'opérateur mobile pour télécharger les mises à jour du système d'exploitation sur un réseau cellulaire.
   Mises à jour approuvées par l'administrateur
   Demander l'approbation de la mise à jour	Activez l'obligation d'approbation avant le téléchargement des mises à jour sur le terminal. Activez cette option pour forcer les administrateurs à approuver explicitement les mises à jour avant leur téléchargement sur le terminal. Cette approbation s'effectue par l'intermédiaire de Groupes de mise à jour ou est individuelle, pour chaque mise à jour. Lorsque cette option est activée, vous devez accepter le CLUF requis pour le compte des utilisateurs avant que la mise à jour soit envoyée aux terminaux. Si un CLUF doit être accepté, une boîte de dialogue affiche le contrat. Pour approuver des mises à jour, naviguez vers Cycle de vie > Mises à jour Windows.
   Optimisation de la distribution
   Mises à jour pair à pair	Autorise le téléchargement pair à pair de mises à jour.

2. Une fois que vous avez terminé la personnalisation du profil, n'oubliez pas de sélectionner Enregistrer et publier pour envoyer le profil sur vos terminaux.

Mises à jour des terminaux pour Windows Desktop

Workspace ONE UEM prend en charge la révision et l'approbation des mises à jour du système d'exploitation et OEM pour les terminaux Windows. La page Mises à jour du terminal répertorie toutes les mises à jour disponibles pour les terminaux Windows enrôlés dans le groupe organisationnel sélectionné.

Application gérée sur le profil poste de travail Windows

Un administrateur peut gérer la suppression d'applications gérées sur les terminaux. Sous Ajouter un nouveau profil de poste de travail Windows > Applications gérées, l'administrateur peut activer ou désactiver la possibilité de conserver des applications gérées sur le terminal s'il est désenrôlé.

Navigation

Recherchez les Mises à jour du terminal disponibles dans Ressources > Mises à jour du terminal. Cette page répertorie les mises à jour Windows et les Mises à jour OEM.

Onglet Windows

Dans l'onglet Windows, vous pouvez approuver des mises à jour et les attribuer à des Smart Groups spécifiques, afin de répondre aux besoins de votre entreprise. Cet onglet affiche toutes les mises à jour accompagnées de leur date de publication, de leur plateforme, classification et groupe attribués. Seules les mises à jour disponibles pour les terminaux Windows enrôlés dans le groupe organisationnel sélectionné sont affichées. Si vous n'avez pas de terminal Windows enrôlé dans l'OG, aucune mise à jour ne s'affiche.

En sélectionnant le nom d'une publication, vous affichez une fenêtre contenant des informations détaillées, un lien vers la page de la base de connaissances Microsoft pour cette mise à jour, ainsi que l'état de son installation.

Ce processus nécessite la publication d'un profil Windows Update sur les terminaux avec le paramètre Demander l'approbation de la mise à jour activé.

Le statut d'installation de la mise à jour affiche le déploiement de la mise à jour au sein de vos terminaux. Consultez l'état du déploiement de la mise à jour en sélectionnant celle-ci dans la liste ou en sélectionnant Afficher dans la colonne État de l'installation.

État	Descriptions
Attribué	La mise à jour est approuvée et attribuée au terminal.
Approuvé	La mise à jour approuvée a bien été attribuée au terminal.
Disponible	La mise à jour est disponible pour installation sur le terminal.
Installation en attente	L'installation est approuvée et disponible mais pas encore installée.
Redémarrage en attente	L'installation est mise en pause jusqu'au redémarrage des terminaux.
Installé	La mise à jour a bien été installée.
Échec	La mise à jour n'a pas été installée.

Onglet des mises à jour OEM

À partir de cet onglet, vous pouvez voir toutes les mises à jour OEM déployées vers les terminaux Windows Desktop. Vous pouvez organiser l'affichage en liste par nom, niveau, type et catégorie de terminal. Vous pouvez également filtrer les mises à jour affichées avec des filtres, y compris les pilotes audio, de pilotes de chipset, les mises à jour du BIOS et bien plus encore.

Pour afficher le statut d'installation du déploiement de la mise à jour, sélectionnez le nom de la mise à jour.