Comment bloquer l'installateur Web de Microsoft Store en utilisant Entra Internet Access

Tout d'abord, vous devez accéder au centre d'administration Microsoft Entra et naviguer vers la section de filtrage de contenu web d'accès Internet. C'est ici que vous créerez la politique de blocage principale.

Ouvrez votre navigateur et accédez au centre d'administration Entra :

https://entra.microsoft.com

Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur de sécurité. Une fois connecté, naviguez vers la section Accès Internet :

1. Cliquez sur Protection dans le volet de navigation de gauche
2. Sélectionnez Accès Internet
3. Cliquez sur Politiques
4. Sélectionnez Filtrage de contenu web

Si c'est la première fois que vous utilisez l'accès Internet, vous devrez peut-être activer le service. Cliquez sur Activer l'accès Internet si vous y êtes invité et attendez que le service s'initialise (généralement 2-3 minutes).

Vérification : Vous devriez voir le tableau de bord de filtrage de contenu web avec des options pour créer de nouvelles politiques. Si vous voyez un message "Service non disponible", assurez-vous que votre locataire dispose des licences requises.

Vous allez maintenant créer une politique spécifique pour bloquer les téléchargements de l'installateur web du Microsoft Store. Cette politique ciblera les domaines principaux utilisés par l'installateur web du Store.

Dans le tableau de bord de filtrage du contenu Web, créez une nouvelle politique :

1. Cliquez sur + Nouvelle politique
2. Entrez le nom de la politique : Bloquer l'installateur web du Microsoft Store
3. Ajoutez une description : Empêche les utilisateurs de télécharger des applications via apps.microsoft.com et get.microsoft.com
4. Définissez l'état de la politique sur Activé

Configurez les règles de blocage d'URL en ajoutant ces domaines spécifiques :

*.apps.microsoft.com
*.get.microsoft.com
store.rg-adguard.net
*.microsoft.com/store/apps

Pour chaque modèle d'URL :

1. Cliquez sur Ajouter une catégorie d'URL
2. Sélectionnez Catégorie personnalisée
3. Entrez le modèle d'URL
4. Définissez l'action sur Bloquer
5. Ajoutez un message de blocage : L'accès à l'installateur web du Microsoft Store est bloqué par la politique de sécurité de votre organisation.

Vérification : Votre politique devrait afficher 4 catégories d'URL personnalisées, chacune définie sur l'action "Bloquer". Le statut de la politique devrait s'afficher comme "Activé".

Ensuite, vous devez attribuer la politique aux utilisateurs et appareils appropriés. Cette étape détermine quels utilisateurs auront l'installateur web du Store bloqué.

Dans votre politique nouvellement créée, configurez les attributions :

1. Cliquez sur l'onglet Attributions
2. Sous Inclure, sélectionnez l'une de ces options :

Pour un blocage à l'échelle de l'organisation :

Inclure : Tous les utilisateurs
Exclure : Groupe Admin IT (recommandé)

Pour un déploiement ciblé :

Inclure : Groupes de sécurité spécifiques
- Utilisateurs standard
- Appareils Kiosque
- Stations de travail partagées

Configurez le ciblage des appareils :

1. Cliquez sur Conditions de l'appareil
2. Sélectionnez État de conformité de l'appareil
3. Choisissez Appareils conformes uniquement
4. Ajoutez un filtre de plateforme d'appareil : Windows

Configurez l'intégration d'accès conditionnel :

{
  "deviceFilter": {
    "mode": "include",
    "rule": "device.deviceOwnership -eq \"Company\""
  },
  "locations": {
    "includeLocations": ["All"],
    "excludeLocations": ["AllTrustedLocations"]
  }
}

Vérification : Cliquez sur Réviser + Enregistrer et confirmez que le résumé de l'attribution montre votre portée utilisateur/appareil prévue. La politique devrait être déployée dans les 15-30 minutes.

Bien que Entra Internet Access fournisse le principal mécanisme de blocage, vous devez également configurer des politiques spécifiques au navigateur via Intune pour garantir une couverture complète, en particulier pour Microsoft Edge.

Accédez au centre d'administration Microsoft Intune :

https://endpoint.microsoft.com

Créez un nouveau profil de configuration :

1. Allez dans Appareils > Configuration
2. Cliquez sur Créer > Nouvelle politique
3. Plateforme : Windows 10 et versions ultérieures
4. Type de profil : Catalogue de paramètres
5. Nom : Edge - Bloquer les URL du Web Installer Store

Configurez les paramètres de blocage d'URL pour Edge :

1. Cliquez sur Ajouter des paramètres
2. Recherchez : Microsoft Edge
3. Développez la catégorie Microsoft Edge
4. Sélectionnez Bloquer l'accès à une liste d'URL

Ajoutez les URL bloquées dans le champ de valeur :

apps.microsoft.com/*
get.microsoft.com/*
store.rg-adguard.net/*
microsoft.com/store/apps/*

Configurez des paramètres de sécurité supplémentaires pour Edge :

1. Ajoutez Bloquer les extensions externes (empêche l'installation d'extensions du Store)
2. Ajoutez Contrôler où les outils de développement peuvent être utilisés > Réglez sur Ne pas autoriser l'utilisation des outils de développement

Vérification : Assignez la politique aux mêmes groupes que votre politique Entra. Vérifiez le statut de déploiement dans Appareils > Surveiller > Configuration de l'appareil.

Pour empêcher les utilisateurs d'exécuter des installateurs téléchargés depuis le Store même s'ils contournent le filtrage web, configurez des règles AppLocker via Intune pour bloquer l'exécution des fichiers d'installation du Store.

Dans le centre d'administration Intune, créez une stratégie AppLocker :

1. Allez à Sécurité des points de terminaison > Contrôle des applications
2. Cliquez sur Créer une stratégie
3. Plateforme : Windows 10 et versions ultérieures
4. Profil : Isolation des applications et des navigateurs

Configurez la politique XML AppLocker :

<AppLockerPolicy Version="1">
  <RuleCollection Type="Exe" EnforcementMode="Enabled">
    <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="Block Store Installers" Description="Block Microsoft Store web installer executables" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePathCondition Path="%TEMP%\*.appx" />
        <FilePathCondition Path="%TEMP%\*.msix" />
        <FilePathCondition Path="%DOWNLOADS%\*.appx" />
        <FilePathCondition Path="%DOWNLOADS%\*.msix" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="Allow System Files" Description="Allow system executables" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%SYSTEM32%\*" />
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
  </RuleCollection>
</AppLockerPolicy>

Méthode alternative utilisant le catalogue de paramètres :

1. Créer une nouvelle stratégie de catalogue de paramètres
2. Rechercher AppLocker
3. Ajouter Identité de l'application > Règles exécutables
4. Configurer des règles de refus pour les types de fichiers d'installation du Store

Vérification : Testez en essayant d'exécuter un fichier .appx téléchargé. Le système devrait afficher un message de blocage AppLocker. Vérifiez les journaux d'événements AppLocker dans le Visualiseur d'événements sous Journaux des applications et des services > Microsoft > Windows > AppLocker.

Vous devez maintenant tester minutieusement votre configuration de blocage pour vous assurer qu'elle fonctionne comme prévu sans perturber les fonctionnalités légitimes.

Effectuez ces tests de vérification sur un appareil cible :

Test 1 : Blocage du navigateur Web

1. Ouvrez Microsoft Edge
2. Naviguez vers : https://apps.microsoft.com
3. Résultat attendu : Page de blocage avec votre message personnalisé
4. Essayez : https://get.microsoft.com
5. Résultat attendu : Même page de blocage

Test 2 : Liens directs d'applications

# Testez ces URL dans Edge :
https://apps.microsoft.com/detail/9NBLGGH4MSV6
https://www.microsoft.com/store/apps/9WZDNCRFJ3Q2
https://get.microsoft.com/installer/download/9NBLGGH4MSV6

Test 3 : Vérifiez que les mises à jour des applications Store fonctionnent toujours

1. Ouvrez l'application Microsoft Store (Démarrer > Microsoft Store)
2. Cliquez sur votre icône de profil > Téléchargements et mises à jour
3. Cliquez sur Obtenir les mises à jour
4. Vérifiez que les mises à jour se téléchargent et s'installent normalement

Test 4 : Vérifiez l'état d'application des politiques

Exécutez ces commandes PowerShell sur l'appareil de test :

# Vérifiez l'état de synchronisation des politiques Intune
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion

# Vérifiez la politique AppLocker
Get-AppLockerPolicy -Effective | Select-Object -ExpandProperty RuleCollections

# Vérifiez l'application des politiques Edge
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name URLBlocklist

Vérification : Documentez les blocages réussis dans un journal de test. Assurez-vous que les services Microsoft légitimes (Office 365, Teams, Windows Update) continuent de fonctionner normalement. Si des problèmes surviennent, affinez vos modèles d'URL pour être plus spécifiques.

Après le déploiement, vous devez établir une surveillance continue pour garantir que les politiques restent efficaces et ne causent pas de problèmes inattendus.

Configurer la surveillance dans Entra Internet Access :

1. Allez à Protection > Internet Access > Monitoring
2. Cliquez sur Journaux de filtrage de contenu Web
3. Configurer la rétention des journaux : 90 jours
4. Activer les alertes pour les violations de politique

Créer des requêtes de surveillance pour les tentatives bloquées :

// Requête KQL pour les journaux d'Entra Internet Access
InternetAccessLogs
| where TimeGenerated > ago(7d)
| where Action == "Block"
| where DestinationUrl contains "apps.microsoft.com" or DestinationUrl contains "get.microsoft.com"
| summarize BlockCount = count() by UserPrincipalName, DestinationUrl
| order by BlockCount desc

Configurer la surveillance de conformité Intune :

1. Accédez à Rapports > Conformité des appareils
2. Créer un rapport personnalisé pour les violations d'AppLocker
3. Planifier des rapports par e-mail hebdomadaires à l'équipe de sécurité

Configurer la remédiation automatisée :

# Script PowerShell pour vérification automatisée de la santé des politiques
$PolicyName = "Block Microsoft Store Web Installer"
$Policy = Get-MgDeviceManagementDeviceConfiguration | Where-Object {$_.DisplayName -eq $PolicyName}

if ($Policy.State -ne "Enabled") {
    Write-Warning "Policy $PolicyName is not enabled!"
    # Envoyer une alerte à l'équipe de sécurité
    Send-MailMessage -To "security@company.com" -Subject "Store Blocking Policy Alert" -Body "Policy requires attention"
}

Tâches de maintenance régulières :

• Revue mensuelle des modèles d'URL bloqués pour les nouveaux domaines d'installateurs Store
• Test trimestriel de l'efficacité des politiques
• Revue semestrielle des affectations de groupes d'utilisateurs
• Mises à jour annuelles de la documentation des politiques

Vérification : Configurez un rappel de calendrier de test pour vérifier les politiques mensuellement. Vérifiez que les tableaux de bord de surveillance montrent l'activité de blocage attendue et qu'aucun faux positif n'affecte les applications métier.