Comment configurer UAC avec le catalogue des paramètres de Microsoft Intune

Accédez au centre d'administration Microsoft Intune et initiez le processus de création de politique. Le catalogue de paramètres est la méthode recommandée actuelle pour la configuration UAC à partir de 2026.

Ouvrez votre navigateur et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur Intune.

Une fois connecté, suivez ce chemin de navigation :

1. Cliquez sur Appareils dans le volet de navigation de gauche
2. Sélectionnez Configuration
3. Cliquez sur le bouton Créer
4. Choisissez Nouvelle politique

Dans l'assistant de création de politique :

1. Plateforme : Sélectionnez Windows 10 et versions ultérieures
2. Type de profil : Choisissez Catalogue de paramètres
3. Cliquez sur Créer

Vérification : Vous devriez maintenant voir l'assistant de création de politique du catalogue de paramètres avec l'onglet Général actif.

Configurez les informations de base pour votre politique UAC. Un nom et une description appropriés aident à la gestion et au dépannage de la politique.

Dans l'onglet Principes de base, configurez les éléments suivants :

• Nom : Politique UAC d'entreprise 2026
• Description : Paramètres UAC standardisés via les Options de sécurité des Politiques locales pour la conformité à la sécurité de l'entreprise
• Plateforme : Windows 10 et versions ultérieures (déjà sélectionné)
• Type de profil : Catalogue de paramètres (déjà sélectionné)

Cliquez sur Suivant pour passer à l'onglet Paramètres de configuration.

Vérification : Le nom de la politique devrait apparaître dans la navigation par fil d'Ariane en haut de la page, et vous devriez maintenant être sur l'onglet "Paramètres de configuration".

Accédez aux paramètres UAC via la catégorie Options de sécurité des stratégies locales. C'est là que Microsoft a consolidé toutes les options de configuration UAC en 2025-2026.

Dans l'onglet Paramètres de configuration :

1. Cliquez sur le bouton + Ajouter des paramètres
2. Dans la zone de recherche, tapez : Options de sécurité des stratégies locales
3. Sélectionnez la catégorie Options de sécurité des stratégies locales dans les résultats
4. Cliquez sur Fermer pour revenir à la liste des paramètres

Vous verrez maintenant la catégorie Options de sécurité des stratégies locales ajoutée à votre stratégie. Développez-la pour voir tous les paramètres UAC disponibles.

Vérification : Vous devriez voir "Options de sécurité des stratégies locales" répertorié sous vos paramètres de configuration avec une flèche extensible à côté.

Configurez les paramètres UAC essentiels qui forment la base de votre posture de sécurité d'entreprise. Ces paramètres contrôlent le comportement de l'UAC pour les administrateurs et les utilisateurs standard.

Développez la section Options de sécurité des politiques locales et configurez ces paramètres critiques :

1. Activer le mode d'approbation de l'administrateur UAC

Trouvez et configurez : Contrôle de compte d'utilisateur : Exécuter tous les administrateurs en mode d'approbation de l'administrateur

• Définir sur : Activé
• Impact sur le registre : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 1

2. Comportement d'élévation de l'administrateur

Configurez : Contrôle de compte d'utilisateur : Comportement de l'invite d'élévation pour les administrateurs en mode d'approbation de l'administrateur

• Définir sur : Demander le consentement pour les binaires non-Windows (valeur 5)
• Impact sur le registre : ConsentPromptBehaviorAdmin = 5

3. Comportement d'élévation de l'utilisateur standard

Configurez : Contrôle de compte d'utilisateur : Comportement de l'invite d'élévation pour les utilisateurs standard

• Définir sur : Demander les informations d'identification (valeur 3)
• Impact sur le registre : ConsentPromptBehaviorUser = 3

Vérification : Chaque paramètre doit afficher la valeur sélectionnée à côté du nom du paramètre dans la liste de configuration.

Configurez des paramètres UAC supplémentaires qui améliorent la sécurité en contrôlant le comportement du bureau sécurisé et la détection de l'installation d'applications.

4. Protection du Bureau Sécurisé

Configurer : Contrôle de Compte Utilisateur : Passer au bureau sécurisé lors de la demande d'élévation

• Définir sur : Activé
• Impact sur le registre : PromptOnSecureDesktop = 1
• Objectif : Empêche les logiciels malveillants d'interférer avec les invites UAC

5. Détection de l'Installation d'Applications

Configurer : Contrôle de Compte Utilisateur : Détecter les installations d'applications et demander une élévation

• Définir sur : Activé
• Impact sur le registre : EnableInstallerDetection = 1
• Objectif : Détecte automatiquement les paquets d'installation et demande une élévation

6. Paramètres de Virtualisation (Optionnel)

Configurer : Contrôle de Compte Utilisateur : Virtualiser les échecs d'écriture de fichiers et de registre vers des emplacements par utilisateur

• Définir sur : Activé (recommandé pour la compatibilité des applications héritées)
• Impact sur le registre : EnableVirtualization = 1

Vérification : Votre politique devrait maintenant avoir 5-6 paramètres UAC configurés. Examinez chaque paramètre pour vous assurer que les valeurs correspondent à vos exigences de sécurité.

Déployez votre politique UAC à des groupes d'appareils ou d'utilisateurs spécifiques. Une attribution appropriée garantit que la politique atteint les appareils visés tout en évitant les conflits.

Cliquez sur Suivant pour atteindre l'onglet Attributions. Ici, vous spécifierez quels appareils ou utilisateurs recevront cette politique.

Options d'attribution :

1. Cliquez sur + Ajouter des groupes sous "Groupes inclus"
2. Recherchez et sélectionnez vos groupes de sécurité Entra ID cibles
3. Choisissez entre :
   • Groupes d'appareils : Appliquer à des appareils spécifiques indépendamment de l'utilisateur
   • Groupes d'utilisateurs : Appliquer aux appareils lorsque des utilisateurs spécifiques se connectent

Stratégie d'attribution recommandée :

Inclure des groupes :
- "Appareils d'entreprise - Windows"
- "Département IT - Appareils"

Exclure des groupes :
- "Appareils Kiosque"
- "Appareils de laboratoire de test"

Cliquez sur Suivant pour passer à l'étape de révision.

Vérification : L'onglet Attributions devrait afficher vos groupes sélectionnés sous "Groupes inclus" avec le nombre correct de membres affiché.

Complétez le processus de création de la stratégie et déployez-la sur vos appareils sélectionnés. Cette étape finale active la configuration UAC dans votre entreprise.

Dans l'onglet Révision + création, examinez attentivement toutes vos configurations :

• Vérifiez le nom et la description de la stratégie
• Assurez-vous que tous les paramètres UAC affichent les valeurs correctes
• Confirmez que les groupes assignés sont corrects
• Examinez les balises de portée si applicable

Une fois satisfait de la configuration, cliquez sur Créer pour déployer la stratégie.

Surveillance post-déploiement :

Après la création, surveillez le déploiement de la stratégie :

1. Accédez à Appareils > Configuration
2. Trouvez votre "Stratégie UAC d'entreprise 2026" dans la liste
3. Cliquez sur le nom de la stratégie pour voir le statut du déploiement
4. Vérifiez la section Statut de l'enregistrement des appareils et des utilisateurs

Vérification : La stratégie devrait apparaître dans votre liste de profils de configuration avec un statut de "Réussi" ou "En cours" pour les appareils assignés.

Confirmez que la politique UAC a été appliquée avec succès à vos appareils cibles en vérifiant les valeurs du registre et le comportement de l'UAC.

Script de vérification PowerShell :

Exécutez cette commande PowerShell en tant qu'administrateur sur un appareil cible :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" |
Select ConsentPromptBehaviorAdmin, ConsentPromptBehaviorUser, 
       EnableLUA, PromptOnSecureDesktop, EnableInstallerDetection |
Format-Table -AutoSize

Sortie attendue pour la configuration d'entreprise :

ConsentPromptBehaviorAdmin : 5
ConsentPromptBehaviorUser  : 3  
EnableLUA                 : 1
PromptOnSecureDesktop     : 1
EnableInstallerDetection  : 1

Méthodes de vérification alternatives :

1. Vérification du Panneau de configuration : Accédez au Panneau de configuration > Comptes d'utilisateurs > Modifier les paramètres de contrôle de compte d'utilisateur. Le curseur doit refléter votre comportement configuré.
2. Tester l'invite UAC : Essayez d'exécuter une application en tant qu'administrateur pour vérifier que le comportement de l'invite correspond à votre politique.
3. Journaux d'événements : Vérifiez Journaux Windows > Sécurité pour l'ID d'événement 4648 (connexion réussie avec des informations d'identification explicites).

Vérification : Les valeurs du registre doivent correspondre à la configuration de votre politique Intune, et les invites UAC doivent se comporter selon vos paramètres lors des tests de scénarios d'élévation.

Résolvez les problèmes courants qui peuvent empêcher les politiques UAC de s'appliquer correctement. Ces étapes de dépannage résolvent les problèmes de déploiement les plus fréquents.

Problème 1 : Politique non appliquée

Symptômes : Les valeurs du registre ne correspondent pas aux paramètres de la politique

Solution : Vérifiez les conflits de stratégie de groupe

# Vérifiez les paramètres GPO conflictuels
gpresult /r /scope:computer

# Supprimez les entrées de registre conflictuelles si cela est sûr
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Policies\System" -Name "*" -Force

Problème 2 : Erreurs d'accès refusé

Symptômes : Les appareils affichent "Accès refusé" dans le rapport Intune

Solution : Réétablissez la relation de confiance de l'appareil

# Exécuter en tant qu'administrateur
dsregcmd /leave
# Redémarrez l'appareil, puis rejoignez à nouveau Azure AD
dsregcmd /join

Problème 3 : Curseur UAC bloqué

Symptômes : Le curseur du panneau de configuration ne reflète pas les changements de politique

Solution : Effacez les paramètres utilisateur mis en cache

# Effacez le cache UAC spécifique à l'utilisateur
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "*" -ErrorAction SilentlyContinue

# Forcez la mise à jour des politiques
gpupdate /force

Problème 4 : Application retardée de la politique

Solution : Forcez la synchronisation immédiate de l'appareil

# Forcez la synchronisation Intune
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Alternative : Synchronisation manuelle via Paramètres
# Paramètres > Comptes > Accéder au travail ou à l'école > Infos > Synchroniser

Vérification : Après avoir appliqué les étapes de dépannage, relancez le script de vérification PowerShell pour confirmer que les valeurs du registre correspondent à votre configuration de politique.