Comment désactiver le Gestionnaire des tâches à l'aide de Microsoft Intune (MEM)

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez la stratégie de configuration. C'est le centre central pour toutes les tâches de gestion des appareils.

https://endpoint.microsoft.com

Connectez-vous avec vos identifiants administratifs qui ont les autorisations pour créer des stratégies de configuration des appareils. Une fois connecté, vous verrez le tableau de bord principal avec diverses options de gestion.

Vérification : Confirmez que vous pouvez voir la section "Appareils" dans le menu de navigation de gauche. Si vous ne voyez pas cette option, votre compte n'a pas les autorisations nécessaires.

Accédez à la section de configuration de l'appareil où vous créerez la nouvelle politique. C'est ici que toutes les politiques de restriction et de configuration des appareils sont gérées.

Dans le menu de navigation de gauche, cliquez sur Appareils, puis sélectionnez Profils de configuration. Vous verrez une liste des politiques de configuration existantes si certaines ont été créées précédemment.

Cliquez sur le bouton Créer un profil pour commencer à créer une nouvelle politique de configuration. Cela ouvrira l'assistant de création de politique.

Vérification : Vous devriez voir la page "Créer un profil" avec des options de sélection de plateforme et de type de profil.

Sélectionnez la plateforme et le type de profil appropriés pour la politique de restriction du Gestionnaire des tâches. Le catalogue de paramètres offre les options de politique les plus complètes et à jour.

Sur la page "Créer un profil" :

• Plateforme : Sélectionnez "Windows 10 et versions ultérieures"
• Type de profil : Sélectionnez "Catalogue de paramètres"

Cliquez sur Créer pour passer à l'assistant de configuration de la politique.

Le catalogue de paramètres est l'approche moderne de Microsoft pour la configuration des appareils, remplaçant l'ancienne méthode des modèles administratifs. Il donne accès à tous les paramètres disponibles du fournisseur de services de configuration (CSP).

Vérification : Vous devriez maintenant voir l'onglet "Informations de base" de l'assistant de création de politique avec des champs pour le nom et la description.

Configurez les informations de base pour votre politique de restriction du Gestionnaire des tâches. Des noms et des descriptions clairs aident à la gestion des politiques et au dépannage.

Dans l'onglet Basique, remplissez les informations suivantes :

• Nom : Désactiver le Gestionnaire des tâches - Politique de sécurité
• Description : Empêche les utilisateurs non administratifs d'accéder au Gestionnaire des tâches pour renforcer la sécurité du système et prévenir la terminaison non autorisée des processus

Le nom doit être suffisamment descriptif pour que d'autres administrateurs comprennent l'objectif de la politique sans l'ouvrir. Incluez des mots-clés qui facilitent la recherche.

Cliquez sur Suivant pour passer aux paramètres de configuration.

Vérification : L'onglet "Paramètres de configuration" devrait maintenant être actif, affichant une liste de paramètres vide avec un bouton "Ajouter des paramètres".

Configurez le paramètre spécifique qui désactivera l'accès au Gestionnaire des tâches pour les utilisateurs. Cela utilise la stratégie des Modèles d'administration qui se mappe au registre Windows.

Dans l'onglet Paramètres de configuration :

1. Cliquez sur Ajouter des paramètres
2. Dans la boîte de recherche, tapez Gestionnaire des tâches
3. Développez Modèles d'administration → Système → Options Ctrl+Alt+Suppr
4. Sélectionnez Supprimer le Gestionnaire des tâches (Utilisateur)
5. Cliquez sur Ajouter

Une fois le paramètre ajouté, vous le verrez dans votre liste de configuration. Cliquez sur le paramètre pour le configurer :

• Réglez le commutateur sur Activé

Lorsqu'elle est activée, cette stratégie empêche les utilisateurs de démarrer le Gestionnaire des tâches par n'importe quelle méthode - clic droit sur la barre des tâches, utilisation de Ctrl+Alt+Suppr, ou exécution directe de taskmgr.exe.

Cliquez sur Suivant pour passer aux affectations.

Vérification : Le paramètre devrait afficher "Supprimer le Gestionnaire des tâches (Utilisateur) : Activé" dans votre liste de configuration.

Configurez quels utilisateurs ou appareils recevront cette politique de restriction du Gestionnaire des tâches. Une attribution appropriée garantit que la politique s'applique uniquement là où c'est nécessaire.

Dans l'onglet Attributions :

1. Cliquez sur Ajouter des groupes sous "Groupes inclus"
2. Sélectionnez les groupes d'utilisateurs ou les groupes d'appareils qui devraient avoir le Gestionnaire des tâches désactivé
3. Cliquez sur Sélectionner

Stratégies d'attribution courantes :

• Groupes d'utilisateurs : Appliquer à des départements spécifiques comme "Utilisateurs standard" ou "Contractuels"
• Groupes d'appareils : Appliquer aux ordinateurs partagés ou aux kiosques
• Tous les utilisateurs : Pour les politiques de sécurité à l'échelle de l'organisation

Vous pouvez également ajouter des groupes d'exclusion si certains utilisateurs ont besoin d'accéder au Gestionnaire des tâches malgré leur inclusion dans les groupes inclus.

Cliquez sur Suivant pour continuer.

Vérification : Vos groupes sélectionnés devraient apparaître dans la section "Groupes inclus" avec le nombre correct de membres affiché.

Configurez les balises de portée si votre organisation utilise l'administration basée sur les rôles pour limiter quels administrateurs peuvent gérer cette politique.

Dans l'onglet Balises de portée :

• Si vous utilisez des balises de portée, sélectionnez les balises appropriées pour cette politique
• Si vous n'utilisez pas de balises de portée, laissez cette section avec la balise par défaut "Default"

Les balises de portée sont utiles dans les grandes organisations où différentes équipes informatiques gèrent différents départements ou régions. Elles garantissent que les administrateurs ne voient et ne gèrent que les politiques pertinentes à leurs responsabilités.

Exemples courants de balises de portée :

• Basé sur le département : "RH", "Finance", "Ingénierie"
• Basé sur la localisation : "US-Est", "UE-Ouest"
• Basé sur la fonction : "Sécurité", "Conformité"

Cliquez sur Suivant pour passer à la révision finale.

Vérification : Les balises de portée sélectionnées doivent être listées, ou "Default" doit être affiché si aucune balise personnalisée n'est utilisée.

Examinez tous les paramètres de la politique avant le déploiement pour vous assurer que tout est configuré correctement. C'est votre dernière occasion de faire des modifications avant que la politique ne soit mise en ligne.

Dans l'onglet Réviser + créer, vérifiez :

• Nom et description : Clairs et précis
• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Catalogue de paramètres
• Configuration : Supprimer le Gestionnaire des tâches (Utilisateur) : Activé
• Affectations : Groupes d'utilisateurs/appareils corrects
• Balises de portée : Appropriées pour votre organisation

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique apparaîtra dans votre liste de profils de configuration avec un statut "Déploiement" initialement, puis changera pour afficher les statistiques de déploiement.

Vérification : La nouvelle politique devrait apparaître dans la liste des profils de configuration avec le nom que vous avez spécifié et montrer la progression du déploiement.

Suivez la progression du déploiement et assurez-vous que la politique est appliquée avec succès aux appareils cibles. La surveillance aide à identifier rapidement tout problème de déploiement.

Pour surveiller le déploiement :

1. Allez à Appareils → Profils de configuration
2. Cliquez sur votre politique "Désactiver le Gestionnaire des tâches"
3. Examinez les onglets Statut de l'appareil et Statut de l'utilisateur

La page de statut montre :

• Réussi : Politique appliquée avec succès
• Erreur : Échec de l'application de la politique (cliquez pour plus de détails)
• Conflit : Plusieurs politiques affectant le même paramètre
• Non applicable : L'appareil ne répond pas aux exigences

Le déploiement de la politique prend généralement 15 à 30 minutes pour les appareils en ligne, ou jusqu'à 8 heures pour les appareils qui se synchronisent périodiquement.

Vérification : Au moins un appareil devrait afficher le statut "Réussi" dans les 30 minutes pour les appareils en ligne.

Vérifiez que la politique fonctionne correctement en testant l'accès au Gestionnaire des tâches sur un appareil cible. Cela confirme que la restriction est active et fonctionne comme prévu.

Sur un appareil où la politique a été appliquée, testez ces méthodes :

1. Test du clic droit sur la barre des tâches : Faites un clic droit sur la barre des tâches de Windows - l'option "Gestionnaire des tâches" devrait être grisée ou absente
2. Test Ctrl+Alt+Suppr : Appuyez sur Ctrl+Alt+Suppr - le Gestionnaire des tâches ne devrait pas apparaître dans les options
3. Test de la commande Exécuter : Appuyez sur Windows+R, tapez taskmgr, et appuyez sur Entrée

Résultat attendu pour le test de la commande Exécuter :

Le Gestionnaire des tâches a été désactivé par votre administrateur.

Si vous testez en tant qu'administrateur local, la restriction ne s'appliquera pas à votre compte. Testez avec un compte utilisateur standard pour voir la restriction réelle en vigueur.

Pour vérifier l'application de la politique sur l'appareil, vérifiez le registre :

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableTaskMgr" -ErrorAction SilentlyContinue

La valeur devrait être 1 lorsque la politique est active.

Vérification : Les utilisateurs standard devraient voir le message "désactivé par l'administrateur" lorsqu'ils tentent d'accéder au Gestionnaire des tâches par n'importe quelle méthode.