Comment activer les exigences de mot de passe alphanumérique pour les appareils à l'aide de Microsoft Intune

Commencez par naviguer vers le centre d'administration de Microsoft Endpoint Manager où vous créerez une nouvelle stratégie de conformité des appareils spécifiquement pour les exigences de mot de passe alphanumérique.

Ouvrez votre navigateur et accédez à https://endpoint.microsoft.com. Connectez-vous avec vos identifiants d'administrateur.

Une fois connecté, suivez ce chemin de navigation :

1. Cliquez sur Appareils dans le volet de navigation de gauche
2. Sélectionnez Stratégies de conformité
3. Cliquez sur + Créer une stratégie
4. Choisissez Windows 10 et versions ultérieures comme plateforme
5. Sélectionnez Conformité de l'appareil comme type de profil
6. Cliquez sur Créer

Dans l'onglet Général, configurez ces paramètres :

Nom : Stratégie de mot de passe alphanumérique requis
Description : Imposer la complexité des mots de passe alphanumériques sur les appareils Windows
Plateforme : Windows 10 et versions ultérieures

Vérification : Confirmez que vous voyez l'assistant de création de stratégie avec la bonne plateforme sélectionnée. La stratégie devrait apparaître dans votre liste de stratégies de conformité une fois créée.

Configurez maintenant les exigences fondamentales en matière de mot de passe qui fonctionneront avec l'exigence de complexité alphanumérique. Cliquez sur l'onglet Paramètres de conformité dans votre assistant de création de politique.

Accédez à la section Mot de passe et configurez ces paramètres essentiels :

Exiger un mot de passe pour déverrouiller les appareils mobiles : Oui
Longueur minimale du mot de passe : 8 caractères
Minutes d'inactivité maximales avant que le mot de passe soit requis : 15 minutes
Nombre de mots de passe précédents à empêcher de réutiliser : 5
Complexité du mot de passe : Alphanumérique
Nombre de tentatives de connexion échouées avant d'effacer l'appareil : 10
Minutes d'inactivité avant la réinitialisation du mot de passe : 1

Faites particulièrement attention au paramètre Complexité du mot de passe. Vous verrez ces options :

• Par défaut de l'appareil - Utilise ce que l'appareil exige actuellement
• Numérique - Nombres uniquement (comme un code PIN)
• Alphanumérique - Lettres et chiffres requis

Sélectionnez Alphanumérique pour imposer l'exigence de lettres et de chiffres dans les mots de passe.

Activez également Bloquer les mots de passe simples pour empêcher les modèles courants comme "123456" ou "motdepasse".

Vérification : Vérifiez vos paramètres avant de continuer. L'option alphanumérique doit être clairement sélectionnée, et la longueur minimale doit être d'au moins 8 caractères pour les meilleures pratiques de sécurité.

Pour un contrôle plus précis de la complexité des mots de passe, créez un profil de configuration personnalisé en utilisant le fournisseur de services de configuration DeviceLock (CSP). Cette méthode offre un contrôle granulaire sur les types de caractères requis.

Accédez à Appareils > Profils de configuration > + Créer un profil.

Configurez les bases du profil :

Plateforme : Windows 10 et versions ultérieures
Type de profil : Modèles > Personnalisé
Nom : DeviceLock Alphanumeric Password CSP

Dans les paramètres de configuration, ajoutez un nouveau paramètre OMA-URI :

Nom : Caractères de complexité minimale du mot de passe
Description : Requiert des chiffres, des lettres minuscules et majuscules
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
Type de données : Entier
Valeur : 3

Les valeurs de complexité fonctionnent comme suit :

Vérification : Après avoir enregistré, vérifiez que le chemin OMA-URI est exactement correct. Toute faute de frappe empêchera l'application correcte de la politique.

Tant votre stratégie de conformité que votre profil de configuration doivent être attribués aux groupes d'appareils appropriés. Commencez par votre stratégie de conformité.

Dans votre stratégie de conformité, cliquez sur l'onglet Affectations. Configurez les affectations :

Inclure les groupes : Tous les appareils (ou groupes Entra ID spécifiques)
Exclure les groupes : Groupe de test pilote (recommandé pour les tests initiaux)

Pour le profil de configuration DeviceLock CSP, suivez le même processus d'affectation :

1. Ouvrez votre profil de configuration DeviceLock
2. Cliquez sur Affectations
3. Sélectionnez les mêmes groupes que votre stratégie de conformité
4. Assurez-vous que les deux stratégies ciblent les mêmes appareils

Envisagez de créer une approche de déploiement par phases :

Phase 1 : Groupe de test IT (10-20 appareils)
Phase 2 : Pilotes de département (100-200 appareils)
Phase 3 : Tous les appareils de l'entreprise

Cliquez sur Enregistrer pour les deux affectations de stratégie.

Vérification : Accédez à Appareils > Tous les appareils et sélectionnez un appareil de test. Vérifiez les onglets Conformité de l'appareil et Configuration de l'appareil pour confirmer que les deux stratégies sont répertoriées comme attribuées.

La raison la plus courante des échecs de politique de mot de passe alphanumérique est une mauvaise configuration des comptes locaux. Vous devez vous assurer que tous les comptes locaux peuvent changer de mot de passe et que l'expiration du mot de passe est activée.

Sur chaque appareil cible, ouvrez une invite de commande ou PowerShell avec élévation de privilèges et exécutez ces commandes pour identifier les comptes problématiques :

# Lister tous les comptes d'utilisateurs locaux
net user

# Vérifier les propriétés d'un compte spécifique (remplacez 'LocalAdmin' par le nom d'utilisateur réel)
net user LocalAdmin

# Recherchez ces indicateurs problématiques :
# - Le mot de passe n'expire jamais : Oui
# - L'utilisateur ne peut pas changer de mot de passe : Oui

Corrigez tous les comptes avec des paramètres problématiques :

# Activer l'expiration du mot de passe pour un utilisateur spécifique
wmic useraccount where name='LocalAdmin' set PasswordExpires=TRUE

# Autoriser l'utilisateur à changer de mot de passe
net user LocalAdmin /passwordreq:yes

# Vérifier les modifications
net user LocalAdmin

Pour plusieurs comptes, utilisez ce script PowerShell :

# Corriger tous les comptes locaux à la fois
Get-LocalUser | Where-Object {$_.Enabled -eq $true} | ForEach-Object {
    Set-LocalUser -Name $_.Name -PasswordNeverExpires $false
    Write-Host "Compte corrigé : $($_.Name)"
}

Vérification : Exécutez net user [username] pour chaque compte et confirmez que "Le mot de passe n'expire jamais" affiche "Non" et "L'utilisateur ne peut pas changer de mot de passe" affiche "Non".

Après avoir attribué des politiques, forcez une synchronisation sur les appareils de test pour appliquer immédiatement les nouvelles exigences de mot de passe plutôt que d'attendre le cycle de synchronisation automatique.

Sur les appareils cibles, ouvrez l'application Portail d'entreprise et forcez une synchronisation :

1. Ouvrez l'application Portail d'entreprise
2. Allez dans Appareils
3. Sélectionnez l'appareil actuel
4. Cliquez sur Vérifier le statut
5. Cliquez sur Synchroniser

Alternativement, utilisez PowerShell pour déclencher une synchronisation à distance :

# Forcer la synchronisation des politiques Intune
$session = New-CimSession
Invoke-CimMethod -CimSession $session -Namespace root/cimv2/mdm/dmmap -ClassName MDM_EnterpriseModernAppManagement_AppManagement01 -MethodName UpdateScanMethod

Surveillez le statut de conformité dans le centre d'administration :

1. Accédez à Appareils > Surveiller > Statut de conformité
2. Cherchez les appareils affichant le statut "Non conforme"
3. Cliquez sur les appareils individuels pour voir les problèmes de conformité spécifiques

Vérifiez le Visualiseur d'événements sur les appareils pour des journaux détaillés d'application des politiques :

Chemin : Journaux des applications et services > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider
Recherchez les ID d'événement : 1906, 1907 (succès) ou 1908, 1909 (échec)

Vérification : L'application réussie des politiques devrait montrer que le statut de conformité passe de "Non évalué" à "Conforme" ou "Non conforme" avec des détails spécifiques sur les exigences de mot de passe.

Une fois les politiques appliquées, testez le processus réel de changement de mot de passe pour vous assurer que les utilisateurs peuvent définir avec succès des mots de passe alphanumériques qui répondent aux nouvelles exigences.

Sur un appareil de test, essayez de changer le mot de passe :

1. Appuyez sur Ctrl + Alt + Suppr
2. Cliquez sur Modifier un mot de passe
3. Essayez de définir un mot de passe uniquement numérique (devrait échouer)
4. Définissez un mot de passe alphanumérique approprié (devrait réussir)

Testez ces scénarios de mot de passe pour vérifier l'application :

❌ Échoue : 12345678 (uniquement des chiffres)
❌ Échoue : motdepasse (uniquement des lettres)
❌ Échoue : Motdepasse (pas de chiffres)
✅ Réussit : Motdepasse123 (lettres + chiffres)
✅ Réussit : MonMot2024 (majuscules + chiffres)

Traitez les conflits de code PIN Windows Hello qui se produisent couramment :

1. Allez dans Paramètres > Comptes > Options de connexion
2. Sous PIN (Windows Hello), cliquez sur Supprimer
3. Redémarrez l'appareil
4. Configurez un nouveau code PIN qui répond aux exigences alphanumériques

Pour les appareils rencontrant des problèmes de code PIN, utilisez cette commande PowerShell :

# Réinitialiser le conteneur de code PIN Windows Hello
certlm.msc
# Accédez à Personnel > Certificats
# Supprimez tous les certificats "MS-Organization-Access"
# Redémarrez et recréez le code PIN

Vérification : Les utilisateurs devraient pouvoir se connecter avec leurs nouveaux mots de passe alphanumériques, et l'appareil devrait apparaître comme "Conforme" dans le centre d'administration Intune dans les 24 heures.

Surveillez votre déploiement pour les problèmes courants et mettez en œuvre des correctifs pour les problèmes les plus fréquents rencontrés lors des déploiements de politiques de mot de passe alphanumérique.

Vérifiez les codes d'erreur les plus courants et leurs solutions :

Utilisez ce script PowerShell pour vérifier l'application CSP DeviceLock sur les appareils :

# Vérifier les valeurs CSP appliquées
dsregcmd /status

# Vérifier les entrées de registre DeviceLock
Get-Item -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceLock" -ErrorAction SilentlyContinue

# Vérifier le paramètre de complexité spécifique
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceLock" -Name "MinDevicePasswordComplexCharacters" -ErrorAction SilentlyContinue

Pour les appareils joints au domaine montrant des conflits de politique :

Générez un rapport de conformité pour vérifier le déploiement réussi :

1. Allez dans Rapports > Conformité des appareils
2. Sélectionnez le rapport Conformité des appareils
3. Filtrez par votre politique de mot de passe alphanumérique
4. Exportez les résultats pour la documentation

Créez un processus de surveillance continue :

Quotidien : Vérifiez le tableau de bord de conformité pour les nouveaux appareils non conformes
Hebdomadaire : Passez en revue les codes d'erreur et les tendances
Mensuel : Auditez les configurations de comptes locaux sur des appareils échantillons

Vérification : Un déploiement réussi devrait montrer un taux de conformité de 95 % ou plus en une semaine, avec les appareils restants non conformes ayant des exceptions documentées ou des plans de remédiation.