ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Comment activer/désactiver le mode d'impression protégé de Windows dans Intune

Comment activer/désactiver le mode d'impression protégé de Windows dans Intune

Configurez le mode d'impression protégé de Windows via Microsoft Intune pour restreindre l'impression aux appareils certifiés Mopria, renforçant ainsi la sécurité de l'entreprise tout en gérant les impacts opérationnels sur votre flotte Windows.

Evan MaelEvan Mael
26 mars 2026 15 min
mediumintune 9 étapes 15 min

Qu'est-ce que le mode d'impression protégé de Windows et pourquoi l'activer ?

Le mode d'impression protégé de Windows (WPP) représente une amélioration significative de la sécurité pour les environnements d'impression d'entreprise. Introduit dans Windows 11 version 24H2 et Windows Server 2025, WPP limite les opérations d'impression aux appareils qui répondent aux normes de certification de l'Alliance Mopria. Cette approche élimine les risques de sécurité associés aux pilotes d'imprimante hérités tout en maintenant la compatibilité avec les appareils d'impression modernes et sécurisés.

Comment le mode d'impression protégé de Windows améliore-t-il la sécurité ?

Les pilotes d'imprimante traditionnels fonctionnent souvent avec des privilèges système élevés et peuvent introduire des vulnérabilités par le biais de code obsolète, de contrôles de sécurité inadéquats ou de modifications malveillantes. WPP répond à ces préoccupations en supprimant complètement les pilotes d'imprimante non certifiés du système. Lorsqu'il est activé, seules les imprimantes certifiées Mopria peuvent fonctionner, car ces appareils utilisent des protocoles de communication standardisés et sécurisés qui ne nécessitent pas d'installations de pilotes traditionnels.

Quelles sont les implications opérationnelles de la mise en œuvre de WPP ?

Bien que WPP améliore considérablement la posture de sécurité, il nécessite une planification et une exécution minutieuses. Les organisations doivent inventorier leur infrastructure d'imprimantes actuelle pour identifier les appareils certifiés Mopria et planifier le remplacement ou l'exclusion des équipements hérités. La transition affecte non seulement les imprimantes physiques mais aussi les services d'impression virtuels comme XPS Document Writer et Windows Fax, qui sont supprimés lorsque WPP est activé. Ce tutoriel fournit les étapes techniques pour mettre en œuvre WPP via Microsoft Intune tout en abordant ces considérations opérationnelles grâce à des procédures de test et de retour en arrière appropriées.

Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Intune et créez une nouvelle stratégie

Commencez par vous connecter au centre d'administration Microsoft Intune pour créer votre stratégie de mode d'impression protégé Windows. Cette console centralisée gère toutes les configurations de périphériques de votre organisation.

Ouvrez votre navigateur web et accédez au centre d'administration Intune :

https://endpoint.microsoft.com/

Une fois connecté, accédez à Appareils > Configuration > Créer > Nouvelle stratégie. Sélectionnez Plateforme : Windows 10 et versions ultérieures et Type de profil : Modèles > Personnalisé.

Astuce pro : Ajoutez l'URL du centre d'administration Intune à vos favoris pour un accès rapide. L'interface se charge plus rapidement que de naviguer via le centre d'administration Microsoft 365.

Vérification : Vous devriez voir l'assistant "Créer un profil" avec Windows 10 et versions ultérieures sélectionné comme plateforme et Personnalisé comme type de profil.

02

Configurer les informations de politique de base

Configurez les détails fondamentaux pour votre politique de mode d'impression protégé Windows. Des conventions de nommage claires aident les administrateurs à comprendre l'objectif et la portée de la politique.

Dans l'onglet Principes de base, configurez ces champs :

  • Nom : Mode d'impression protégé Windows - Activer (ou "Désactiver" si vous créez une politique de désactivation)
  • Description : Active le mode d'impression protégé Windows pour restreindre l'impression aux appareils certifiés Mopria pour une sécurité renforcée
  • Plateforme : Windows 10 et versions ultérieures (déjà sélectionné)
  • Type de profil : Personnalisé (déjà sélectionné)

Cliquez sur Suivant pour passer aux paramètres de configuration.

Avertissement : Utilisez des noms descriptifs qui indiquent si la politique active ou désactive WPP. Vous aurez probablement besoin des deux politiques pour différents groupes d'appareils.

Vérification : Le nom de la politique apparaît dans la navigation par fil d'Ariane en haut de la page, confirmant que vos entrées ont été enregistrées.

03

Ajouter les paramètres de configuration OMA-URI

Configurez le paramètre principal OMA-URI qui contrôle le mode d'impression protégée de Windows. Cette méthode offre un contrôle précis sur la fonctionnalité WPP.

Dans l'onglet Paramètres de configuration, cliquez sur Ajouter pour créer un nouveau paramètre OMA-URI :

  • Nom : Configurer l'impression protégée de Windows
  • Description : Contrôle l'état du mode d'impression protégée de Windows
  • OMA-URI : ./Device/Vendor/MSFT/Policy/Config/Printers/ConfigureWindowsProtectedPrint
  • Type de données : Chaîne
  • Valeur : <enabled/> (pour activer WPP) ou <disabled/> (pour désactiver WPP)

Le chemin OMA-URI est sensible à la casse et doit être saisi exactement comme indiqué. Ce paramètre utilise le fournisseur de services de configuration Windows (CSP) pour les politiques d'imprimante.

Astuce pro : Créez deux politiques distinctes - une pour activer et une pour désactiver WPP. Cela vous permet de passer rapidement d'un état à l'autre pour différents groupes d'appareils lors des tests.

Vérification : Le paramètre OMA-URI apparaît dans la liste de configuration avec une coche verte indiquant une syntaxe valide.

04

Configurer les affectations de stratégie et la portée

Affectez la politique à des groupes d'appareils spécifiques tout en tenant compte de l'impact opérationnel du mode d'impression protégé de Windows sur votre environnement.

Dans l'onglet Affectations :

  1. Cliquez sur Ajouter des groupes sous Groupes inclus
  2. Sélectionnez vos groupes cibles (commencez par un groupe pilote de 10 à 20 appareils)
  3. Envisagez d'exclure les groupes avec des imprimantes héritées sous Groupes exclus
  4. Examinez le résumé de l'affectation

Exemple de stratégie d'affectation :

Groupes inclus :
- IT-Pilot-Devices
- Executive-Laptops
- Conference-Room-PCs

Groupes exclus :
- Manufacturing-Workstations
- Legacy-Printer-Users
- Critical-Production-Systems
Avertissement : L'activation de WPP supprimera immédiatement les pilotes d'imprimante non Mopria des appareils assignés. Testez d'abord avec un petit groupe pilote pour identifier les imprimantes et utilisateurs affectés.

Vérification : Le résumé de l'affectation montre le nombre estimé d'appareils qui recevront cette politique.

05

Examiner et déployer la politique

Complétez le processus de création de la politique et surveillez le déploiement initial pour garantir une application réussie sur vos appareils cibles.

Dans l'onglet Revoir + créer :

  1. Examinez tous les détails de configuration
  2. Vérifiez que le chemin et la valeur OMA-URI sont corrects
  3. Confirmez que les groupes d'affectation sont appropriés
  4. Cliquez sur Créer pour déployer la politique

Après la création, surveillez le statut du déploiement :

  1. Accédez à Appareils > Surveiller > Configuration de l'appareil
  2. Trouvez votre politique de Mode d'impression protégé Windows
  3. Vérifiez les onglets Statut de l'appareil et Statut de l'utilisateur

L'application de la politique se produit généralement dans les 8 heures pour les vérifications standard, ou immédiatement si vous déclenchez une synchronisation manuelle.

Astuce pro : Utilisez l'option "Synchroniser" dans l'application Intune Company Portal ou exécutez Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask dans PowerShell pour forcer un rafraîchissement immédiat de la politique.

Vérification : Le statut de la politique indique "Réussi" pour les appareils cibles, et le pourcentage de déploiement atteint 100 % pour votre groupe pilote.

06

Vérifier l'activation du mode d'impression protégé de Windows sur les appareils

Confirmez que le mode d'impression protégé de Windows est correctement configuré sur les appareils cibles en utilisant à la fois des vérifications du registre et une vérification de l'interface utilisateur.

Sur un appareil cible, ouvrez PowerShell en tant qu'administrateur et exécutez :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers" -Name "EnableWindowsProtectedPrintMode"

Sortie attendue pour WPP activé :

EnableWindowsProtectedPrintMode : 1
PSPath                         : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
PSParentPath                   : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
PSChildName                    : Printers
PSDrive                        : HKLM
PSProvider                     : Microsoft.PowerShell.Core\Registry

Vérifiez également via l'interface des paramètres Windows :

  1. Ouvrez Paramètres > Bluetooth et appareils > Imprimantes et scanners
  2. Cliquez sur Préférences de l'imprimante
  3. Cherchez le paramètre Impression protégée Windows (devrait être grisé/imposé)
Avertissement : Lorsque WPP est activé, les imprimantes non-Mopria seront automatiquement supprimées du système. Documentez les imprimantes affectées avant le déploiement et préparez un plan de retour en arrière.

Vérification : La valeur du registre indique 1 pour activé ou 0 pour désactivé, et l'interface des paramètres reflète l'état imposé.

07

Tester la fonctionnalité d'impression et l'impact sur le document

Vérifiez que les imprimantes certifiées Mopria continuent de fonctionner tandis que les appareils non certifiés sont correctement restreints ou supprimés.

Effectuez ces tests sur des appareils avec WPP activé :

  1. Test des imprimantes certifiées Mopria : Imprimez une page de test pour confirmer le bon fonctionnement
  2. Vérifiez les imprimantes supprimées : Vérifiez que les imprimantes non Mopria n'apparaissent plus dans la liste des imprimantes
  3. Test de la file d'attente d'impression : Assurez-vous que les travaux d'impression se déroulent normalement pour les appareils certifiés
  4. Vérifiez l'impact XPS/Fax : Vérifiez si Microsoft XPS Document Writer ou Windows Fax ont été supprimés

Utilisez cette commande PowerShell pour lister les imprimantes actuelles :

Get-Printer | Select-Object Name, DriverName, PortName | Format-Table -AutoSize

Documentez les résultats dans une matrice de test :

Nom de l'imprimante     | Certifiée Mopria | Statut après WPP
---------------------|------------------|------------------
HP LaserJet Pro M404 | Oui              | Fonctionne
Canon PIXMA TR8620   | Oui              | Fonctionne
Ancienne Epson Dot Matrix | Non               | Supprimée
XPS Document Writer  | N/A              | Supprimé
Astuce pro : Créez un inventaire complet des imprimantes avant le déploiement. Utilisez des outils comme wmic printer list full pour capturer des informations détaillées sur les imprimantes à des fins de retour en arrière.

Vérification : Seules les imprimantes certifiées Mopria restent fonctionnelles, et les utilisateurs peuvent imprimer avec succès sur des appareils approuvés sans avertissements de sécurité.

08

Créer une politique de désactivation pour les scénarios de retour en arrière

Préparez une politique de désactivation pour revenir rapidement au mode d'impression protégé de Windows si des problèmes surviennent ou lorsque la prise en charge des imprimantes héritées est temporairement nécessaire.

Suivez le même processus que la politique d'activation, mais avec ces différences clés :

  1. Nom : Mode d'impression protégé de Windows - Désactiver
  2. Description : Désactive le mode d'impression protégé de Windows pour restaurer la compatibilité avec les imprimantes héritées
  3. Valeur OMA-URI : <disabled/>

Assignez la politique de désactivation à un groupe distinct initialement (ne pas chevaucher avec les attributions de la politique d'activation) :

Attribution de la politique de désactivation :
- WPP-Rollback-Group (vide initialement)
- Legacy-Printer-Required-Users
- Emergency-Disable-Devices

Pour effectuer un retour en arrière :

  1. Déplacez les appareils affectés du groupe de la politique d'activation au groupe de la politique de désactivation
  2. Attendez l'application de la politique (ou forcez la synchronisation)
  3. Réinstallez les pilotes d'imprimante hérités requis
  4. Réactivez XPS/Fax si nécessaire via les fonctionnalités optionnelles
Avertissement : Désactiver WPP ne réinstalle pas automatiquement les pilotes d'imprimante précédemment supprimés. Vous devrez réinstaller manuellement les pilotes hérités, ce qui réintroduit les risques de sécurité que WPP était conçu pour atténuer.

Vérification : Après avoir appliqué la politique de désactivation, la valeur du registre change en 0, et l'interface utilisateur des paramètres montre que l'impression protégée de Windows est disponible pour le contrôle de l'utilisateur.

09

Surveiller et maintenir les politiques du mode d'impression protégé de Windows

Établissez des procédures de surveillance et de maintenance continues pour garantir que le mode d'impression protégé de Windows continue de répondre à vos exigences de sécurité et opérationnelles.

Configurez des tâches de surveillance régulières :

  1. Conformité des politiques : Vérifiez les rapports Intune chaque semaine pour les échecs d'application des politiques
  2. Inventaire des imprimantes : Maintenez des listes à jour des appareils certifiés Mopria
  3. Support utilisateur : Surveillez les tickets du service d'assistance liés aux problèmes d'impression
  4. Événements de sécurité : Examinez les journaux de l'Observateur d'événements pour les entrées liées à WPP

Utilisez ce script PowerShell pour générer un rapport de conformité :

# Vérifiez le statut WPP sur les ordinateurs du domaine
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
$results = @()

foreach ($computer in $computers) {
    try {
        $wppStatus = Invoke-Command -ComputerName $computer -ScriptBlock {
            Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers" -Name "EnableWindowsProtectedPrintMode" -ErrorAction SilentlyContinue
        }
        $results += [PSCustomObject]@{
            Computer = $computer
            WPPEnabled = if ($wppStatus) { $wppStatus.EnableWindowsProtectedPrintMode } else { "Non configuré" }
            Status = "En ligne"
        }
    } catch {
        $results += [PSCustomObject]@{
            Computer = $computer
            WPPEnabled = "Erreur"
            Status = "Hors ligne"
        }
    }
}

$results | Export-Csv -Path "WPP-Compliance-Report.csv" -NoTypeInformation
Astuce pro : Planifiez des examens mensuels de votre inventaire d'imprimantes et du statut de certification Mopria. De nouveaux modèles d'imprimantes peuvent obtenir la certification, vous permettant d'étendre la couverture WPP.

Vérification : Les rapports de conformité réguliers montrent une application cohérente de WPP sur votre flotte, et la satisfaction des utilisateurs reste élevée avec les appareils d'impression approuvés.

Questions Fréquentes

Que se passe-t-il pour les imprimantes existantes lorsque le mode d'impression protégé de Windows est activé ?+
Lorsque WPP est activé, tous les pilotes d'imprimante non certifiés Mopria sont automatiquement supprimés du système. Cela inclut les imprimantes anciennes, certaines imprimantes réseau et les imprimantes virtuelles comme Microsoft XPS Document Writer et Windows Fax. Seules les imprimantes répondant aux normes de certification de l'Alliance Mopria continueront à fonctionner. Les organisations doivent inventorier leurs imprimantes avant le déploiement pour identifier quels appareils seront affectés et planifier en conséquence pour le remplacement ou les exclusions de politique.
Puis-je utiliser le catalogue des paramètres au lieu de l'OMA-URI personnalisé pour le mode d'impression protégé de Windows ?+
Oui, Microsoft a ajouté des paramètres pris en charge par ADMX pour le mode d'impression protégé de Windows dans le catalogue des paramètres d'Intune. Vous pouvez le trouver sous Modèles d'administration > Imprimantes > Configurer l'impression protégée de Windows. Cependant, la méthode OMA-URI personnalisée offre un contrôle plus précis et est recommandée pour les déploiements en production. L'option du catalogue des paramètres peut ne pas être immédiatement disponible dans tous les locataires, donc l'approche OMA-URI sert de méthode de secours fiable.
Comment puis-je identifier quelles imprimantes dans mon environnement sont certifiées Mopria ?+
Consultez le site Web de l'Alliance Mopria pour les listes d'appareils certifiés, ou recherchez les logos de certification Mopria sur les spécifications des imprimantes. La plupart des imprimantes réseau modernes des grands fabricants (HP, Canon, Epson, Brother) sorties après 2020 prennent en charge les normes Mopria. Vous pouvez également tester en activant WPP sur un appareil pilote et voir quelles imprimantes restent fonctionnelles. Créez une feuille de calcul d'inventaire avec les modèles d'imprimantes, le statut de certification et la criticité pour l'entreprise avant de déployer les politiques WPP.
Que dois-je faire si le mode d'impression protégée de Windows perturbe l'impression critique de l'entreprise ?+
Déployez immédiatement la politique de désactivation sur les appareils affectés en les déplaçant du groupe de politique d'activation au groupe de politique de désactivation dans Intune. Cela restaurera la fonctionnalité d'impression précédente lors du prochain cycle de rafraîchissement des politiques (généralement 8 heures, ou immédiatement avec une synchronisation manuelle). Après avoir désactivé WPP, vous devrez réinstaller manuellement tous les pilotes d'imprimante hérités nécessaires qui ont été supprimés. Envisagez de créer des groupes d'appareils qui excluent les systèmes critiques des politiques WPP jusqu'à ce que des alternatives certifiées Mopria soient disponibles.
Le mode d'impression protégé de Windows affecte-t-il les performances ou la fonctionnalité d'impression ?+
WPP améliore généralement les performances et la fiabilité de l'impression car les appareils certifiés Mopria utilisent des protocoles de communication standardisés qui sont plus efficaces que les pilotes hérités. Cependant, certaines fonctionnalités avancées des imprimantes spécifiques aux pilotes des fabricants peuvent ne pas être disponibles via les normes Mopria. L'impression de base, la numérisation et les fonctionnalités courantes fonctionnent normalement. Les avantages en matière de sécurité liés à la suppression des pilotes hérités potentiellement vulnérables l'emportent généralement sur les limitations mineures des fonctionnalités, surtout dans les environnements d'entreprise où les flux de travail d'impression standardisés sont préférés.
Evan Mael
Écrit par

Evan Mael

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#intune#windows-security#impression d'entreprise

Intelligence Complémentaire

Approfondissez vos connaissances

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Comment déployer HP Support Assistant à l'aide de Microsoft Intune
tutorial
DevOps

Comment déployer HP Support Assistant à l'aide de Microsoft Intune

Explorer
Comment déployer Slack avec Microsoft Intune [4 méthodes différentes]
tutorial
DevOps

Comment déployer Slack avec Microsoft Intune [4 méthodes différentes]

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte