Comment contrôler les méthodes de saisie de connexion sur l'écran de connexion Windows à l'aide d'Intune

Commencez par vous connecter au centre d'administration Microsoft Intune pour créer un nouveau profil de configuration. Ce sera la base pour contrôler les méthodes de saisie à la connexion.

https://endpoint.microsoft.com

Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur de service Intune. Accédez à Appareils > Profils de configuration > Créer un profil. Sélectionnez Plateforme : Windows 10 et versions ultérieures et Type de profil : Catalogue de paramètres, puis cliquez sur Créer.

Donnez à votre profil un nom descriptif comme "Contrôle des méthodes de saisie à la connexion Windows" et ajoutez une description expliquant son objectif pour votre organisation.

Vérification : Vous devriez voir l'assistant de création de profil avec l'option Catalogue de paramètres sélectionnée.

Étant donné que le contrôle direct de la méthode de saisie n'est pas disponible dans Intune, nous utiliserons l'attribution des droits utilisateur comme un proxy pour contrôler qui peut se connecter, ce qui affecte indirectement l'utilisation de la méthode de saisie.

Dans la configuration du catalogue de paramètres, cliquez sur Ajouter des paramètres et recherchez "Droits utilisateur". Sélectionnez Autoriser la connexion locale dans les résultats. Ce paramètre contrôle quels utilisateurs ou groupes peuvent se connecter localement à l'appareil.

Paramètre : Attribution des droits utilisateur > Autoriser la connexion locale
Configuration : Spécifier les utilisateurs/groupes autorisés
Exemples d'entrées :
- Administrateurs
- Utilisateurs du domaine
- user1@yourdomain.com

Configurez le paramètre pour inclure uniquement les utilisateurs ou groupes qui devraient avoir accès à l'écran de connexion. Vous pouvez ajouter plusieurs entrées en cliquant sur l'icône plus.

Vérification : Le paramètre doit afficher vos utilisateurs/groupes configurés dans la liste autorisée.

Pour contrôler plus directement les dispositions de clavier et les méthodes de saisie, nous ajouterons des paramètres OMA-URI personnalisés qui ciblent des clés de registre spécifiques liées aux méthodes de saisie.

Dans votre profil de catalogue de paramètres, cliquez à nouveau sur Ajouter des paramètres et recherchez "Personnalisé". Sélectionnez OMA-URI personnalisé dans les résultats.

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/TextInput/AllowKeyboardTextSuggestions
Data type: Integer
Value: 0

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/TextInput/AllowInputMethodSwitching
Data type: Integer
Value: 0

Ajoutez ces paramètres OMA-URI pour restreindre les suggestions de texte et le changement de méthode de saisie. Le premier paramètre désactive les suggestions de texte du clavier, tandis que le second empêche les utilisateurs de changer entre différentes méthodes de saisie lors de la connexion.

Pour un contrôle supplémentaire sur les dispositions de clavier, ajoutez cet OMA-URI :

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP
Data type: Integer
Value: 1

Cela garantit que les politiques Intune prennent le pas sur tout paramètre de stratégie de groupe en conflit.

Vérification : Vous devriez voir les trois paramètres OMA-URI personnalisés listés dans la configuration de votre profil.

Implémentez Windows Hello for Business pour standardiser les méthodes d'authentification et réduire la dépendance à l'entrée traditionnelle au clavier lors de la connexion.

Accédez à Appareils > Windows > Inscription Windows > Windows Hello for Business. Il s'agit d'une politique à l'échelle du locataire que vous configurerez une fois pour l'ensemble de votre organisation.

Configuration de Windows Hello for Business :
{
  "UseHelloForBusiness": "Enabled",
  "RequireSecurityDevice": "TPM 2.0",
  "MinimumPINLength": 6,
  "MaximumPINLength": 127,
  "AllowBiometrics": "Enabled",
  "UseCertificateForOnPremAuth": "Enabled"
}

Alternativement, vous pouvez configurer cela via un profil de catalogue de paramètres en recherchant "Windows Hello for Business" et en activant les paramètres suivants :

• Utiliser Windows Hello for Business : Activé
• Longueur minimale du code PIN : 6
• Utiliser la biométrie : Activé
• Exiger un dispositif de sécurité : TPM 2.0

Vérification : Vérifiez que Windows Hello for Business apparaît comme "Configuré" dans les paramètres du locataire.

Configurez la connexion Web pour fournir une méthode d'authentification alternative qui contourne entièrement les méthodes de saisie au clavier traditionnelles.

Dans le profil de votre catalogue de paramètres, ajoutez un autre paramètre en recherchant "Connexion Web". Sélectionnez Activer la connexion Web et définissez-le sur Activé.

Paramètre : Authentification > Activer la connexion Web
Valeur : Activé

Paramètres supplémentaires de connexion Web :
- Autoriser la connexion Web pour l'authentification secondaire : Activé
- URL autorisées pour la connexion Web : https://login.microsoftonline.com/*

Cela permet aux utilisateurs de cliquer sur un lien "Options de connexion" sur l'écran de connexion et de s'authentifier via un navigateur Web, ce qui offre un meilleur contrôle sur l'expérience d'authentification.

Vous pouvez également ajouter des restrictions d'URL pour garantir que les utilisateurs ne s'authentifient qu'à travers des points de terminaison Microsoft approuvés :

OMA-URI : ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowWebSignIn
Type de données : Entier
Valeur : 1

Vérification : Les utilisateurs devraient voir un lien "Options de connexion" sur l'écran de connexion Windows après le déploiement de la stratégie.

Configurez les balises de portée et assignez votre profil à des groupes d'appareils ou d'utilisateurs spécifiques pour contrôler la portée du déploiement.

Cliquez sur Suivant pour passer à la section Balises de portée. Si vous utilisez des balises de portée dans votre organisation, ajoutez les balises appropriées. Pour la plupart des organisations, vous pouvez laisser cette section vide et cliquer sur Suivant.

Dans la section Attributions, configurez vos groupes cibles :

Options d'attribution :
1. Inclure des groupes : Sélectionnez des groupes Azure AD spécifiques
2. Exclure des groupes : Exclure les groupes pilotes ou de test
3. Filtrer : Utilisez des filtres d'appareils si nécessaire

Exemple d'attribution :
Inclure : "Appareils d'entreprise - Windows"
Exclure : "Appareils administrateurs IT"
Filtrer : (device.deviceOwnership -eq "Corporate")

Sélectionnez Ajouter des groupes et choisissez les groupes Azure AD contenant les appareils où vous souhaitez appliquer le contrôle de la méthode de saisie. Envisagez de commencer par un groupe pilote avant de déployer à l'échelle de l'organisation.

Vérification : Confirmez que vos groupes cibles apparaissent dans la section "Groupes inclus" avec le nombre correct de membres.

Examinez tous vos paramètres de configuration avant de déployer le profil pour vous assurer que tout est configuré correctement.

Cliquez sur Suivant pour atteindre la section Révision + création. Vérifiez tous vos paramètres :

Liste de vérification de la révision du profil :
✓ Le nom et la description du profil sont clairs
✓ Attribution des droits utilisateur configurée correctement
✓ Paramètres OMA-URI personnalisés ajoutés
✓ Windows Hello pour Entreprise activé
✓ Connexion Web configurée
✓ Groupes cibles assignés
✓ Balises de portée appliquées (si utilisées)

Cliquez sur Créer pour déployer le profil. Le profil commencera à se déployer sur les appareils assignés immédiatement.

Surveillez le statut du déploiement en naviguant vers Appareils > Profils de configuration et en sélectionnant votre profil nouvellement créé. Cliquez sur Statut de l'appareil pour voir la progression du déploiement.

Vérification : Le profil devrait afficher le statut "Réussi" pour les appareils cibles dans les 24 heures suivant le déploiement.

Vérifiez que vos contrôles de méthode de saisie fonctionnent correctement en testant sur les appareils cibles.

Sur un appareil cible, déconnectez-vous et revenez à l'écran de connexion Windows. Testez les scénarios suivants :

# Vérifiez les politiques appliquées sur l'appareil
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\TextInput" -Name "AllowInputMethodSwitching"

# Vérifiez l'inscription à Windows Hello for Business
certlm.msc
# Naviguez vers Personnel > Certificats et recherchez les certificats Windows Hello for Business

# Vérifiez la disponibilité de la connexion Web
# Recherchez le lien "Options de connexion" sur l'écran de connexion

Testez ces scénarios spécifiques :

• Tentez de changer de disposition de clavier en utilisant Alt+Shift
• Essayez d'accéder aux paramètres de méthode de saisie lors de la connexion
• Vérifiez que seuls les utilisateurs autorisés peuvent se connecter localement
• Testez l'authentification Windows Hello for Business
• Confirmez la fonctionnalité de connexion Web

Les utilisateurs qui ne sont pas dans les groupes autorisés devraient voir le message : "La méthode de connexion que vous essayez d'utiliser n'est pas autorisée."

Vérification : Le changement de méthode de saisie devrait être restreint, et seules les méthodes d'authentification configurées devraient être disponibles.

Configurez des procédures de surveillance et de dépannage pour garantir la conformité continue avec vos politiques de méthode de saisie.

Accédez à Appareils > Conformité pour surveiller la conformité globale des appareils. Pour la surveillance de profils spécifiques, allez à Appareils > Profils de configuration et sélectionnez votre profil de contrôle de méthode de saisie.

# Commandes PowerShell pour le dépannage sur les appareils clients

# Vérifier le statut de synchronisation des politiques Intune
Get-ScheduledTask | Where-Object {$_.TaskName -like "*Intune*"}

# Forcer la synchronisation des politiques
Start-ScheduledTask -TaskName "Microsoft\Windows\EnterpriseMgmt\[GUID]\Schedule created by enrollment client"

# Vérifier les journaux d'événements pour l'application des politiques
Get-WinEvent -LogName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin" | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)}

Étapes courantes de dépannage :

• Conflits de politiques : Vérifiez les paramètres de stratégie de groupe conflictuels en utilisant gpresult /h report.html
• Problèmes d'inscription : Vérifiez le statut d'inscription de l'appareil dans le centre d'administration Intune
• Problèmes d'authentification : Assurez-vous que TPM 2.0 est activé pour Windows Hello for Business
• Échecs de connexion Web : Vérifiez la connectivité réseau et les règles de pare-feu pour les points de terminaison d'authentification Microsoft

Vérification : Tous les appareils cibles doivent afficher le statut "Conforme" avec une application réussie des politiques dans les 48 heures suivant le déploiement.