Comment désactiver l'enregistrement des mots de passe RDP sur tous les points de terminaison à l'aide de Microsoft Intun

Configurez et déployez une stratégie Intune qui empêche les utilisateurs d'enregistrer les mots de passe RDP sur les appareils Windows, renforçant la sécurité en obligeant la saisie des identifiants pour chaque connexion Bureau à distance.

25 avril 2026 12 min —

mediumintune 10 étapes 12 min

Pourquoi désactiver l'enregistrement des mots de passe RDP dans les environnements d'entreprise ?

L'enregistrement des mots de passe du protocole de bureau à distance (RDP) représente une vulnérabilité de sécurité significative dans les environnements d'entreprise. Lorsque les utilisateurs enregistrent leurs identifiants dans le client RDP, ces mots de passe sont stockés localement sur leurs appareils, créant ainsi plusieurs vecteurs d'attaque pour les acteurs malveillants. Si un appareil est compromis, volé ou accédé par du personnel non autorisé, les identifiants RDP enregistrés fournissent des voies directes vers des serveurs et infrastructures critiques.

Quels risques de sécurité l'enregistrement des mots de passe RDP crée-t-il ?

Les mots de passe RDP enregistrés contournent plusieurs contrôles de sécurité que les organisations mettent en place pour protéger leur infrastructure. Ces identifiants persistent à travers les sessions, ce qui signifie qu'une seule compromission d'appareil peut entraîner un accès non autorisé prolongé. De plus, les mots de passe enregistrés deviennent souvent obsolètes lorsque les utilisateurs changent leurs identifiants, entraînant des verrouillages de compte et des tickets de support. D'un point de vue conformité, de nombreux cadres de sécurité, y compris les benchmarks CIS, recommandent explicitement de désactiver l'enregistrement des mots de passe pour maintenir une hygiène appropriée des identifiants.

Comment Microsoft Intune aborde-t-il les préoccupations de sécurité RDP ?

Microsoft Intune fournit une gestion centralisée des politiques qui peut appliquer des configurations de sécurité sur tous les appareils Windows gérés simultanément. En déployant une politique de configuration via Intune, les administrateurs peuvent s'assurer que l'enregistrement des mots de passe RDP est désactivé à l'échelle de l'organisation, indépendamment des préférences des utilisateurs individuels ou des paramètres locaux des appareils. Cette approche s'adapte efficacement des petites entreprises aux grandes entreprises et offre une posture de sécurité cohérente à travers des populations d'appareils diversifiées. La méthode du catalogue de paramètres introduite dans les récentes mises à jour d'Intune offre une interface plus intuitive par rapport aux profils personnalisés hérités, rendant la gestion des politiques plus accessible aux administrateurs tout en maintenant la même efficacité en matière de sécurité.

Guide de mise en oeuvre

Procédure complète

Accédez au Centre d'administration Microsoft Intune

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez la stratégie de configuration. C'est votre hub central pour gérer toutes les politiques de périphériques de votre organisation.

Ouvrez votre navigateur web et accédez à https://endpoint.microsoft.com. Connectez-vous en utilisant vos identifiants d'administrateur qui ont les autorisations pour créer et gérer les stratégies de configuration des périphériques.

Une fois connecté, vous verrez le tableau de bord principal. L'interface devrait afficher les informations de votre locataire et diverses options de gestion. Prenez un moment pour vérifier que vous êtes dans le bon locataire si votre organisation utilise plusieurs locataires.

Astuce pro : Ajoutez l'URL du centre d'administration Intune à vos favoris et envisagez d'utiliser un profil de navigateur dédié pour les tâches administratives afin d'éviter les conflits de session avec les comptes personnels.

Vérification : Confirmez que vous pouvez voir le menu de navigation principal sur le côté gauche avec des options comme "Appareils", "Applications" et "Utilisateurs". Si vous ne voyez pas ces options, vérifiez vos autorisations administratives avec votre administrateur informatique.

Accédez aux stratégies de configuration des appareils

Vous allez maintenant accéder à la section de configuration de l'appareil où toutes les politiques Windows sont gérées. C'est ici que vous créerez la nouvelle politique pour désactiver l'enregistrement du mot de passe RDP.

Dans le volet de navigation de gauche, cliquez sur Appareils. Cela développe le menu des appareils avec plusieurs sous-options. Ensuite, cliquez sur Configuration sous la section "Gérer les appareils".

Vous verrez la page de Configuration affichant toutes les politiques existantes. En haut de la page, cliquez sur le bouton Créer, puis sélectionnez Nouvelle politique dans le menu déroulant.

Un assistant "Créer un profil" s'ouvrira. C'est ici que vous définirez la plateforme et le type de profil pour votre nouvelle politique.

Avertissement : Assurez-vous d'être dans la section Configuration, pas dans les politiques de Conformité ou les bases de sécurité. Ce sont des types de politiques différents qui n'atteindront pas le même résultat.

Vérification : Vous devriez voir une boîte de dialogue intitulée "Créer un profil" avec des menus déroulants pour la Plateforme et le Type de profil. Si vous voyez une interface différente, revenez à Appareils > Configuration et réessayez.

Configurer la plateforme et le type de politique

Sélectionnez la plateforme et le type de profil corrects pour garantir que votre politique cible les appareils Windows et utilise l'approche moderne du catalogue de paramètres. Le catalogue de paramètres est la méthode recommandée par Microsoft pour configurer les politiques Windows en 2026.

Dans la boîte de dialogue "Créer un profil" :

Définissez Plateforme sur Windows 10 et versions ultérieures
Définissez Type de profil sur Catalogue de paramètres

Cliquez sur Créer pour passer à l'assistant de configuration de la politique.

Le catalogue de paramètres offre une interface plus intuitive par rapport à l'ancienne méthode de profil personnalisé et inclut une validation intégrée pour les paramètres de politique.

Astuce pro : Le catalogue de paramètres est préféré aux profils personnalisés car il offre une meilleure vérification des erreurs, des descriptions de paramètres plus claires et des mises à jour automatiques lorsque Microsoft ajoute de nouvelles politiques.

Vérification : Vous devriez maintenant voir l'assistant de création de politique avec des onglets pour "Informations de base", "Paramètres de configuration", "Affectations" et "Révision + création" en haut de la page.

Définir les bases de la politique et les métadonnées

Fournissez une identification claire et une documentation pour votre politique. Cela aide à la gestion et au dépannage, surtout dans les grandes organisations avec plusieurs administrateurs.

Dans l'onglet Principes de base, remplissez les informations suivantes :

Nom : Désactiver l'enregistrement du mot de passe RDP - Politique de sécurité
Description : Empêche les utilisateurs d'enregistrer les identifiants de Bureau à distance en désactivant la case à cocher 'Me permettre d'enregistrer les identifiants' dans le client RDP. Améliore la sécurité en exigeant la saisie des identifiants pour chaque session RDP.

Le nom doit être suffisamment descriptif pour que d'autres administrateurs puissent comprendre l'objectif de la politique sans l'ouvrir. Incluez des mots-clés comme "RDP", "Sécurité" et "Mot de passe" pour la rendre recherchable.

Cliquez sur Suivant pour passer aux paramètres de configuration.

Astuce pro : Utilisez une convention de nommage cohérente pour toutes vos politiques Intune. Envisagez des préfixes comme "SEC-" pour les politiques de sécurité ou "CORP-" pour les normes d'entreprise afin d'améliorer l'organisation.

Vérification : Le bouton Suivant doit être activé, et vous devriez voir l'onglet "Paramètres de configuration" devenir actif. Si le bouton Suivant est grisé, assurez-vous que les champs Nom et Description contiennent du texte.

Ajouter le paramètre de sauvegarde du mot de passe RDP

Vous allez maintenant localiser et configurer le paramètre de stratégie Windows spécifique qui contrôle l'enregistrement des mots de passe RDP. Le catalogue de paramètres organise des milliers de stratégies Windows dans une interface de recherche.

Dans l'onglet Paramètres de configuration, cliquez sur + Ajouter des paramètres. Cela ouvre le sélecteur de paramètres où vous pouvez rechercher ou parcourir des stratégies spécifiques.

Dans la zone de recherche, tapez : Ne pas autoriser l'enregistrement des mots de passe

Alternativement, vous pouvez parcourir jusqu'au paramètre en développant : Modèles d'administration > Système > Stratégie de groupe > Continuer les expériences sur cet appareil

Cochez la case à côté de "Ne pas autoriser l'enregistrement des mots de passe" et cliquez sur Ajouter.

Avertissement : Assurez-vous de sélectionner le paramètre exact "Ne pas autoriser l'enregistrement des mots de passe" sous le bon chemin. Il existe des paramètres similaires qui contrôlent des fonctionnalités différentes et n'atteindront pas le résultat souhaité.

Vérification : Le paramètre devrait apparaître dans votre liste de paramètres de configuration avec un interrupteur. L'OMA-URI devrait s'afficher comme ./Device/Vendor/MSFT/Policy/Config/System/RemoteDesktopServices/DoNotAllowPasswordSaving.

Activer la restriction de mot de passe RDP

Configurez le paramètre de stratégie pour empêcher activement l'enregistrement des mots de passe dans le client Bureau à distance. Il s'agit de la configuration de sécurité principale qui sera appliquée à tous les appareils ciblés.

Dans la liste des paramètres de configuration, vous verrez le paramètre "Ne pas autoriser l'enregistrement des mots de passe" avec un interrupteur. Cliquez sur l'interrupteur pour le régler sur Activé.

Lorsqu'il est activé, ce paramètre modifie le registre Windows pour empêcher le client RDP d'afficher la case à cocher "Me permettre d'enregistrer les informations d'identification". Les utilisateurs devront entrer leurs informations d'identification pour chaque session RDP.

Le paramètre correspond au chemin de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving avec une valeur DWORD de 1.

Cliquez sur Suivant pour passer à la configuration de l'affectation.

Astuce pro : Documentez ce changement dans vos procédures de sécurité. Lorsque les utilisateurs signalent qu'ils ne peuvent pas enregistrer les mots de passe RDP, vous pouvez rapidement faire référence à cette politique comme la mesure de sécurité prévue.

Vérification : L'interrupteur doit indiquer "Activé" et le bouton Suivant doit être disponible. Vous devriez voir une brève description de ce que fait ce paramètre lorsqu'il est activé.

Attribuer la politique aux groupes cibles

Définissez quels appareils ou utilisateurs recevront cette politique de sécurité. Une attribution appropriée garantit que la politique atteint les points de terminaison prévus sans affecter les systèmes qui ne devraient pas être restreints.

Dans l'onglet Attributions, cliquez sur + Ajouter des groupes pour sélectionner votre public cible.

Vous avez plusieurs options d'attribution :

Tous les appareils : S'applique à chaque appareil Windows inscrit dans Intune
Groupes d'appareils spécifiques : Ciblez des départements ou types d'appareils particuliers
Tous les utilisateurs : S'applique en fonction de la connexion utilisateur plutôt que de l'appareil
Groupes d'utilisateurs spécifiques : Ciblez des populations d'utilisateurs particulières

Pour une couverture de sécurité maximale, sélectionnez Tous les appareils ou choisissez des groupes Azure AD spécifiques contenant vos appareils cibles. Cliquez sur Sélectionner pour confirmer votre choix.

Avertissement : Si vous attribuez à "Tous les utilisateurs", la politique ne s'applique que lorsque ces utilisateurs sont connectés. L'attribution basée sur l'appareil est plus fiable pour les politiques de sécurité qui doivent toujours être appliquées.

Cliquez sur Suivant pour passer à la révision finale.

Vérification : Vos groupes sélectionnés devraient apparaître dans la section "Groupes inclus". Le champ d'application de l'attribution devrait indiquer clairement combien d'appareils ou d'utilisateurs seront affectés.

Examiner et déployer la politique

Effectuez une révision finale de tous les paramètres de la politique avant le déploiement. Une fois créée, la politique commencera à se déployer sur les appareils assignés lors de leur prochain cycle de vérification Intune.

Dans l'onglet Réviser + créer, vérifiez attentivement :

Nom et description de la politique sont corrects
Plateforme : Windows 10 et versions ultérieures
Type de profil : Catalogue de paramètres
Paramètre : "Ne pas autoriser l'enregistrement des mots de passe" est Activé
Affectations : Les bons groupes sont ciblés

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique apparaîtra dans votre liste de politiques de configuration avec un statut initial de "En attente", puis passera à "Réussi" lorsque les appareils recevront et appliqueront la configuration.

Astuce pro : Après avoir créé la politique, ajoutez-la aux favoris ou notez son nom pour référence future. Vous aurez besoin de cette information pour surveiller la conformité et résoudre les rapports des utilisateurs.

Vérification : Vous devriez voir un message de confirmation indiquant que la politique a été créée avec succès, et elle devrait apparaître dans votre liste Appareils > Configuration avec le nom que vous avez spécifié.

Surveiller le déploiement et la conformité des politiques

Suivez le statut de déploiement de la politique pour vous assurer qu'elle atteint les appareils cibles et qu'elle est appliquée avec succès. La surveillance aide à identifier rapidement tout problème de déploiement.

Revenez à Appareils > Configuration et localisez votre politique "Désactiver l'enregistrement du mot de passe RDP" dans la liste. Cliquez sur le nom de la politique pour ouvrir ses détails.

Dans l'aperçu de la politique, vous verrez les statistiques de déploiement, y compris :

Réussi : Appareils qui ont appliqué la politique avec succès
Erreur : Appareils qui ont rencontré des problèmes
Conflit : Appareils avec des politiques conflictuelles
Non applicable : Appareils qui ne répondent pas aux critères de la politique

Cliquez sur Statut de l'appareil pour voir les résultats des appareils individuels. Cette vue montre quels appareils spécifiques ont appliqué la politique et tout détail d'erreur.

Avertissement : Les appareils se connectent généralement à Intune toutes les 8 heures. Ne vous attendez pas à un déploiement immédiat à moins de forcer une synchronisation manuelle sur les appareils de test.

Vérification : Dans les 24 heures, vous devriez voir la plupart des appareils assignés afficher le statut "Réussi". Tout appareil affichant "Erreur" ou "Conflit" nécessite une enquête.

Tester et vérifier que l'enregistrement du mot de passe RDP est désactivé

Confirmez que la politique fonctionne correctement en testant le comportement du client RDP sur un appareil cible. Cette vérification garantit que les utilisateurs ne peuvent plus enregistrer les identifiants comme prévu.

Sur un appareil qui a reçu la politique (vérifiez l'état de l'appareil pour confirmer), ouvrez le client Connexion Bureau à distance en exécutant :

mstsc.exe

Dans la fenêtre Connexion Bureau à distance, entrez n'importe quel nom de serveur ou adresse IP dans le champ "Ordinateur". Avant de cliquer sur Connecter, recherchez la case à cocher "Me permettre d'enregistrer les identifiants".

La case à cocher doit être grisée et décochée, empêchant les utilisateurs d'enregistrer leurs identifiants. Cela confirme que la politique est active.

Vous pouvez également vérifier directement le paramètre du registre en ouvrant l'Éditeur du Registre et en naviguant vers :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Recherchez la valeur DWORD DisablePasswordSaving, qui doit être définie sur 1.

Astuce pro : Testez cela sur quelques appareils différents et avec différents comptes d'utilisateur pour garantir un comportement cohérent dans votre environnement. Documentez le comportement attendu pour votre équipe d'assistance.

Vérification : La case à cocher "Me permettre d'enregistrer les identifiants" doit être grisée dans mstsc.exe, et la valeur du registre doit indiquer DisablePasswordSaving = 1.

Questions Fréquentes

Combien de temps faut-il pour que la politique de sauvegarde des mots de passe RDP s'applique aux appareils ?+

La politique s'applique généralement dans les 8 heures, qui est l'intervalle de vérification par défaut d'Intune pour les appareils Windows. Cependant, vous pouvez forcer une synchronisation immédiate en allant dans Paramètres > Comptes > Accéder au travail ou à l'école > Infos > Synchroniser sur l'appareil cible. Dans les grands environnements, prévoyez jusqu'à 24 heures pour un déploiement complet sur tous les appareils.

Les utilisateurs peuvent-ils contourner la restriction de sauvegarde du mot de passe RDP en utilisant des clients RDP tiers ?+

La politique Intune cible spécifiquement le client intégré de Connexion Bureau à distance Windows (mstsc.exe). Les clients RDP tiers comme RDP Manager ou mRemoteNG peuvent ne pas être affectés par cette politique. Pour garantir une sécurité complète, envisagez de mettre en œuvre des politiques de contrôle des applications pour restreindre les clients RDP non autorisés ou déployer des solutions RDP d'entreprise avec gestion centralisée des identifiants.

Que se passe-t-il avec les identifiants RDP enregistrés existants lorsque cette politique est déployée ?+

Les informations d'identification enregistrées existantes restent dans le Gestionnaire d'informations d'identification de Windows jusqu'à ce qu'elles soient supprimées manuellement ou expirées. La politique empêche l'enregistrement de nouvelles informations d'identification mais ne supprime pas automatiquement celles existantes. Pour supprimer les informations d'identification existantes, les utilisateurs peuvent accéder au Gestionnaire d'informations d'identification (Windows + S > Gestionnaire d'informations d'identification > Informations d'identification Windows) et supprimer les entrées RDP stockées, ou les administrateurs peuvent déployer des politiques supplémentaires pour effacer les magasins d'informations d'identification.

Comment puis-je dépanner les appareils qui affichent le statut 'Erreur' pour cette politique ?+

Vérifiez les journaux de l'extension de gestion Intune dans le Visualiseur d'événements sous Applications et Services > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider. Les problèmes courants incluent des paramètres de stratégie de groupe conflictuels, des appareils ne répondant pas aux exigences de version de Windows ou des problèmes d'inscription. Exécutez 'gpresult /h report.html' pour identifier les politiques locales conflictuelles et assurez-vous que les appareils exécutent Windows 10 version 1903 ou ultérieure.

Cette politique affecte-t-elle d'autres fonctionnalités de sauvegarde des identifiants dans Windows ?+

Non, cette politique cible spécifiquement la sauvegarde des identifiants RDP et n'affecte pas les autres mécanismes de stockage d'identifiants Windows comme les mots de passe enregistrés dans les navigateurs, Windows Hello ou d'autres gestionnaires d'identifiants d'applications. La politique modifie uniquement les paramètres du registre des services Terminal liés à la sauvegarde des mots de passe RDP. Les autres fonctionnalités de sauvegarde d'identifiants continuent de fonctionner normalement, sauf si elles sont ciblées par des politiques distinctes.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

Comment configurer les fenêtres de maintenance dans Microsoft Intune pour le contrôle des mises à jour

tutorial

Cloud Computing

Comment configurer les fenêtres de maintenance dans Microsoft Intune pour le contrôle des mises à jour

Explorer

tutorial

Cybersecurity

Comment désactiver l'enregistrement des mots de passe RDP sur tous les points de terminaison à l'aide de Microsoft Intun

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecter Créer un compte