Comment activer/désactiver l'accès au bureau à distance à l'aide de Microsoft Intune

Accédez au centre d'administration Microsoft Intune et créez un profil de configuration personnalisé. Le RDP traditionnel n'est pas directement pris en charge via les profils standard d'Intune, nous utiliserons donc les paramètres OMA-URI.

Connectez-vous au centre d'administration Microsoft Intune sur endpoint.microsoft.com. Allez à Appareils > Configuration > Créer > Nouvelle stratégie.

Sélectionnez Windows 10 et versions ultérieures comme plateforme et Personnalisé comme type de profil. Nommez votre stratégie de manière descriptive, par exemple "Activer l'accès RDP".

Cliquez sur Ajouter pour créer des paramètres OMA-URI. Ajoutez les deux configurations suivantes :

Enregistrez la configuration et passez aux affectations.

Configurez la portée de l'affectation pour votre politique RDP afin de cibler des groupes d'appareils ou des utilisateurs spécifiques.

Dans l'assistant de création de politique, cliquez sur Affectations. Sélectionnez Ajouter des groupes et choisissez les groupes d'appareils appropriés qui devraient avoir RDP activé. Vous pouvez également utiliser des filtres pour cibler des types d'appareils ou des versions de système d'exploitation spécifiques.

Pour des raisons de sécurité, évitez d'affecter à "Tous les appareils" à moins que votre organisation ne nécessite spécifiquement un accès RDP universel. Au lieu de cela, créez des groupes ciblés comme "Appareils Admin IT" ou "Ordinateurs portables de télétravail".

Examinez vos affectations et cliquez sur Créer pour déployer la politique.

Vérification : Accédez à Appareils > Surveiller > Configuration de l'appareil pour suivre le statut du déploiement. La politique devrait apparaître comme "Réussie" sur les appareils cibles dans les 8 heures.

En raison des limitations d'Intune avec la configuration RDP, déployez un script PowerShell pour garantir les paramètres appropriés du registre et du pare-feu.

Allez dans Appareils > Scripts > Ajouter > Windows 10 et versions ultérieures. Créez un nouveau script PowerShell avec le contenu suivant :

# Activer le paramètre de registre du Bureau à distance
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0 -Force

# Activer l'authentification au niveau du réseau (recommandé pour la sécurité)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name "UserAuthentication" -Value 1 -Force

# Activer les règles de pare-feu du Bureau à distance
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Vérifier les paramètres
$rdpEnabled = Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections"
$firewallRules = Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object {$_.Enabled -eq "True"}

if ($rdpEnabled.fDenyTSConnections -eq 0 -and $firewallRules.Count -gt 0) {
    Write-Output "RDP successfully enabled"
    exit 0
} else {
    Write-Output "RDP configuration failed"
    exit 1
}

Configurez le script pour qu'il s'exécute dans le contexte système et définissez la politique d'exécution PowerShell sur Bypass. Assignez-le aux mêmes groupes d'appareils que votre politique OMA-URI.

Vérification : Vérifiez les résultats de l'exécution du script dans Appareils > Surveiller > Conformité des appareils. Une exécution réussie devrait retourner le code de sortie 0.

Activez la connexion de compte web pour les appareils joints à Entra ID afin de permettre l'authentification de domaine sur les connexions RDP.

Créez une autre stratégie OMA-URI personnalisée spécifiquement pour l'authentification Entra ID. Utilisez les paramètres suivants :

De plus, déployez un script de registre pour activer l'option "Utiliser un compte web pour se connecter" :

# Activer la connexion de compte web pour RDP
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableWebSignIn" -Value 1 -PropertyType DWORD -Force

# Redémarrer les services de bureau à distance
Restart-Service -Name "TermService" -Force

Write-Output "Authentification web activée pour RDP"

Vérification : Sur les appareils cibles, ouvrez Paramètres > Système > Bureau à distance > Paramètres avancés. L'option "Exiger que les appareils utilisent l'authentification au niveau du réseau" doit être activée, et la connexion de compte web doit être disponible.

Vérifiez que RDP est correctement configuré et accessible depuis les appareils clients en utilisant le format d'authentification correct.

Depuis une machine cliente, ouvrez Connexion Bureau à distance (mstsc.exe). Entrez le nom d'hôte de l'ordinateur cible (pas l'adresse IP) au format : nomordinateur.domaine.com

Lorsque vous êtes invité à entrer vos identifiants, utilisez le format Entra ID :

Nom d'utilisateur : AzureAD\user@yourdomain.com
Mot de passe : [mot de passe Entra ID]

Alternativement, vous pouvez utiliser directement le format UPN : user@yourdomain.com

Testez la connexion et vérifiez que vous pouvez vous authentifier avec succès et accéder au bureau à distance.

Commandes de vérification à exécuter sur l'appareil cible :

# Vérifier l'état du service RDP
Get-Service -Name "TermService" | Select-Object Name, Status

# Vérifier le paramètre de registre RDP
Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections"

# Vérifier les règles du pare-feu
Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object {$_.Enabled -eq "True"} | Select-Object DisplayName, Enabled

# Tester l'accessibilité du port RDP
Test-NetConnection -ComputerName localhost -Port 3389

Configurez la solution officielle d'aide à distance de Microsoft comme une alternative plus sécurisée au RDP traditionnel pour les scénarios de support informatique.

Accédez à Administration du locataire > Rôles dans le centre d'administration Intune. Attribuez des rôles intégrés comme Opérateur du service d'assistance aux utilisateurs qui ont besoin de capacités d'accès à distance.

Configurez les autorisations d'aide à distance pour chaque rôle :

• Voir l'écran : Accès en lecture seule à l'écran de l'utilisateur
• Contrôle total : Capacités complètes de contrôle à distance
• Élévation : Capacité à gérer les invites UAC
• Non assisté : Connexion sans interaction de l'utilisateur (appareils Android entièrement gérés uniquement)

Activez l'aide à distance à l'échelle du locataire en allant dans Appareils > Configuration > Créer > Modèles administratifs. Recherchez "Aide à distance" et activez les paramètres appropriés.

Créez un script PowerShell pour vérifier la disponibilité de l'aide à distance :

# Vérifiez si l'aide à distance est disponible
$remoteHelpApp = Get-AppxPackage -Name "Microsoft.RemoteHelp" -AllUsers
if ($remoteHelpApp) {
    Write-Output "L'application d'aide à distance est installée : $($remoteHelpApp.Version)"
} else {
    Write-Output "Application d'aide à distance non trouvée - s'installera automatiquement après le déploiement de la politique"
}

# Vérifiez le statut d'inscription à Intune
$enrollmentStatus = Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Enrollments\*" -Name "EnrollmentType" -ErrorAction SilentlyContinue
if ($enrollmentStatus) {
    Write-Output "L'appareil est inscrit à Intune"
} else {
    Write-Output "Statut d'inscription de l'appareil incertain"
}

Vérification : Les opérateurs du service d'assistance peuvent initier des sessions d'aide à distance directement depuis le portail Intune sous Appareils > Tous les appareils > [sélectionner l'appareil] > Aide à distance.

Mettre en œuvre une politique pour désactiver l'accès RDP lorsque l'accès à distance n'est plus nécessaire, en suivant les meilleures pratiques de sécurité.

Créer une nouvelle politique OMA-URI personnalisée nommée "Désactiver l'accès RDP" avec les paramètres suivants :

Créer un script PowerShell correspondant pour garantir la désactivation complète de RDP :

# Désactiver le paramètre de registre du Bureau à distance
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 1 -Force

# Désactiver les règles de pare-feu du Bureau à distance
Disable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Arrêter les services du Bureau à distance
Stop-Service -Name "TermService" -Force
Set-Service -Name "TermService" -StartupType Disabled

# Vérifier les paramètres
$rdpDisabled = Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections"
$firewallRules = Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object {$_.Enabled -eq "False"}

if ($rdpDisabled.fDenyTSConnections -eq 1 -and $firewallRules.Count -gt 0) {
    Write-Output "RDP désactivé avec succès"
    exit 0
} else {
    Write-Output "Échec de la configuration de la désactivation de RDP"
    exit 1
}

Vérification : Tester que les connexions RDP sont rejetées en essayant de se connecter depuis une machine cliente. La connexion devrait échouer immédiatement ou expirer.

Mettre en œuvre des procédures de surveillance et de dépannage pour s'assurer que les politiques RDP fonctionnent correctement sur l'ensemble de votre parc de dispositifs.

Utilisez le rapport intégré d'Intune pour surveiller la conformité des politiques. Accédez à Appareils > Surveiller > Configuration de l'appareil pour voir l'état du déploiement.

Créez un script de dépannage complet qui peut être déployé à la demande :

# Script de dépannage et de vérification de l'état RDP

# Vérifier le service RDP
$rdpService = Get-Service -Name "TermService"
Write-Output "Statut du service RDP : $($rdpService.Status)"

# Vérifier les paramètres du registre
$rdpRegistry = Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections"
Write-Output "Paramètre du registre RDP (0=Activé, 1=Désactivé) : $($rdpRegistry.fDenyTSConnections)"

# Vérifier les règles du pare-feu
$firewallRules = Get-NetFirewallRule -DisplayGroup "Remote Desktop"
foreach ($rule in $firewallRules) {
    Write-Output "Règle du pare-feu : $($rule.DisplayName) - Activée : $($rule.Enabled)"
}

# Vérifier la connectivité réseau
$rdpPort = Test-NetConnection -ComputerName localhost -Port 3389 -WarningAction SilentlyContinue
Write-Output "Port RDP 3389 Accessible : $($rdpPort.TcpTestSucceeded)"

# Vérifier la gestion Intune
$intuneStatus = Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Enrollments\*" -Name "EnrollmentType" -ErrorAction SilentlyContinue
if ($intuneStatus) {
    Write-Output "Inscription Intune : Active"
} else {
    Write-Output "Inscription Intune : Non détectée"
}

# Générer un rapport de synthèse
Write-Output "\n=== Résumé de la configuration RDP ==="
if ($rdpRegistry.fDenyTSConnections -eq 0 -and $rdpService.Status -eq "Running" -and $rdpPort.TcpTestSucceeded) {
    Write-Output "Statut : RDP est correctement configuré et accessible"
} else {
    Write-Output "Statut : Problèmes de configuration RDP détectés"
    Write-Output "Recommandé : Relancer le script d'activation RDP ou vérifier l'affectation des politiques Intune"
}

Déployez ce script sur les appareils rencontrant des problèmes RDP pour un diagnostic rapide.

Étapes de dépannage courantes :

• Vérifiez que l'appareil est inscrit à Intune et conforme
• Vérifiez que les politiques sont assignées aux bons groupes d'appareils
• Assurez-vous que la politique d'exécution PowerShell permet l'exécution de scripts
• Confirmez la connectivité réseau et les exigences VPN pour les appareils Entra ID
• Examinez les journaux d'événements Windows pour les erreurs des services de bureau à distance