ANAVEM
EN
IT administrator configuring USB blocking policies in Microsoft Intune admin center
CybersecurityIntermédiaire

Comment bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Configurez les stratégies de réduction de la surface d'attaque de Microsoft Intune pour empêcher l'accès aux lecteurs USB sur les appareils Windows 10/11, protégeant contre les violations de données et les menaces de logiciels malveillants grâce aux restrictions de stockage amovible.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
mars 11, 202615 min de lecture10 Étapes

Prérequis

  • Microsoft Intune license with Endpoint security access
  • Windows 10/11 devices enrolled in Intune with Microsoft Defender for Endpoint
  • Entra ID (Azure AD) security groups configured for device assignments
  • Microsoft 365 E5 or equivalent license for full ASR Device Control features
  • Administrative access to Intune admin center (endpoint.microsoft.com)

Pourquoi les organisations devraient-elles bloquer l'accès aux clés USB via Microsoft Intune ?

Les clés USB représentent l'un des risques de sécurité les plus importants dans les environnements d'entreprise. Elles peuvent introduire des logiciels malveillants, faciliter l'exfiltration de données et contourner les contrôles de sécurité réseau. Les politiques de réduction de la surface d'attaque (ASR) de Microsoft Intune offrent une solution robuste basée sur le cloud pour contrôler l'accès aux supports amovibles sur les appareils Windows 10 et 11.

Ce guide complet vous guide dans la mise en œuvre des restrictions sur les clés USB en utilisant les politiques de contrôle des appareils d'Intune, qui tirent parti des capacités de Microsoft Defender pour Endpoint pour fournir un contrôle granulaire sur les appareils de stockage amovibles.

Quelles sont les conditions préalables pour implémenter le blocage des clés USB dans Intune ?

Avant de plonger dans le processus de configuration, assurez-vous que votre environnement répond à ces exigences essentielles :

  • Licences : Licence Microsoft 365 E5 ou équivalente pour les fonctionnalités complètes de contrôle des appareils ASR
  • Gestion des appareils : Appareils Windows 10/11 inscrits dans Intune avec Microsoft Defender pour Endpoint activé
  • Accès administratif : Permissions pour accéder au centre d'administration Intune et configurer les politiques de sécurité des points de terminaison
  • Gestion des groupes : Groupes de sécurité Entra ID (Azure AD) configurés pour les affectations d'appareils
Conseil pro : Vérifiez que Microsoft Defender Antivirus est activé sur tous les appareils cibles avant de mettre en œuvre ces politiques. Les fonctionnalités ASR nécessitent une installation active de Defender.

Comment accéder et naviguer dans les paramètres de réduction de la surface d'attaque de Microsoft Intune ?

Commencez par accéder au centre d'administration Microsoft Intune via votre navigateur web. Accédez à https://endpoint.microsoft.com et connectez-vous avec des identifiants administratifs ayant des permissions de sécurité des points de terminaison.

Une fois authentifié, localisez Sécurité des points de terminaison dans le panneau de navigation de gauche et cliquez sur Réduction de la surface d'attaque. Cette section abrite toutes les politiques liées à la réduction des vecteurs d'attaque potentiels, y compris les capacités de contrôle des appareils.

Le tableau de bord de réduction de la surface d'attaque affiche les politiques existantes et offre des options pour en créer de nouvelles. Cliquez sur + Créer une politique pour commencer à configurer votre politique de blocage des clés USB.

Avertissement : Assurez-vous de travailler dans l'environnement de locataire correct. Les politiques Intune se déploient immédiatement sur les appareils assignés, alors vérifiez votre environnement avant d'apporter des modifications.

Quels paramètres de plateforme et de profil devez-vous choisir pour le contrôle des appareils USB ?

Lors de la création d'une nouvelle politique, vous devrez spécifier la plateforme cible et le type de profil. Pour le blocage des clés USB, configurez ces paramètres :

  • Plateforme : Windows 10, Windows 11 et Windows Server
  • Profil : Contrôle des appareils

Le profil de contrôle des appareils offre des options complètes pour gérer les appareils de stockage amovibles, y compris les clés USB, les disques durs externes et autres supports amovibles. Ce profil tire parti des capacités avancées de contrôle des appareils de Microsoft Defender pour Endpoint.

Configuration de la politique :
Plateforme : Windows 10, Windows 11 et Windows Server
Profil : Contrôle des appareils
Capacités : Contrôle du stockage amovible, exceptions d'appareils, mode audit

Comment configurer les informations de base de la politique et la convention de nommage ?

Un nommage et une documentation appropriés des politiques sont cruciaux pour la gestion à long terme. Dans l'onglet Informations de base, fournissez des informations claires et descriptives :

  • Nom : Utilisez un format descriptif comme "Blocage d'écriture USB - [Département/Périmètre]"
  • Description : Incluez l'objectif de la politique, son périmètre et toute exigence de conformité pertinente

Exemples de conventions de nommage :

Noms de politiques :
- "Blocage d'écriture USB - Département Finance"
- "Blocage complet USB - Appareils exécutifs"
- "Lecture seule USB - Appareils d'entreprise généraux"

Modèle de description :
"Empêche l'accès [lecture/écriture/tous] aux clés USB pour se protéger contre [l'exfiltration de données/l'introduction de logiciels malveillants]. Appliqué au [groupe cible]. Exigence de conformité : [norme pertinente]"
Conseil pro : Incluez des numéros de version ou des dates dans les noms de politiques lors des tests de différentes configurations. Cela aide à suivre l'évolution des politiques et à revenir en arrière si nécessaire.

Quelles sont les différentes options de configuration de blocage USB disponibles ?

L'onglet Paramètres de configuration offre plusieurs options pour contrôler l'accès aux appareils USB. Comprendre ces options vous aide à choisir le niveau de restriction approprié :

ParamètreEffetCas d'utilisation
Disque amovible : Refuser l'accès en écritureEmpêche l'écriture sur les clés USBPermettre la lecture de données mais empêcher l'exfiltration de données
Disque amovible : Refuser l'accès en lectureEmpêche la lecture à partir des clés USBBloquer l'introduction potentielle de logiciels malveillants
Les deux paramètres activésBlocage complet des clés USBEnvironnements de sécurité maximale

Pour la plupart des organisations, activer Disque amovible : Refuser l'accès en écriture offre un équilibre efficace entre sécurité et convivialité. Cette configuration permet aux utilisateurs de lire des données à partir des clés USB (comme des installateurs de logiciels ou de la documentation) tout en empêchant l'exfiltration de données.

Configuration recommandée pour un environnement d'entreprise standard :
- Disque amovible : Refuser l'accès en écriture = Activé
- Disque amovible : Refuser l'accès en lecture = Non configuré
- Autres options de stockage = Non configuré

Comment devez-vous attribuer les politiques de blocage USB aux groupes cibles ?

L'attribution des politiques détermine quels appareils reçoivent votre configuration de blocage USB. Utilisez une approche par étapes pour le déploiement :

Phase 1 : Test pilote

  • Créez un petit groupe de sécurité avec 5 à 10 appareils de test
  • Incluez des appareils de différents départements pour tester divers cas d'utilisation
  • Excluez les appareils administratifs nécessitant un accès USB

Phase 2 : Déploiement par département

  • Déployez dans des départements spécifiques en fonction de l'évaluation des risques
  • Priorisez les zones à haut risque comme la finance, les RH et les équipes exécutives
  • Surveillez l'impact sur les utilisateurs et ajustez si nécessaire

Phase 3 : Déploiement à l'échelle de l'organisation

  • Étendez à tous les appareils de l'entreprise
  • Maintenez des groupes d'exception pour les besoins commerciaux légitimes
Exemple de structure de groupe :
Inclure les groupes :
- "Appareils d'entreprise - Pilote" (test)
- "Appareils du département Finance" (département à haut risque)
- "Tous les appareils Windows de l'entreprise" (déploiement complet)

Exclure les groupes :
- "Appareils administratifs IT" (exceptions administratives)
- "Appareils approuvés USB" (exceptions commerciales)
Avertissement : Testez toujours les politiques avec un groupe pilote avant un déploiement à l'échelle de l'organisation. Le blocage USB peut avoir un impact significatif sur les flux de travail des utilisateurs s'il n'est pas correctement planifié.

Comment surveiller le déploiement des politiques et forcer la synchronisation des appareils ?

Après avoir créé votre politique, surveillez son statut de déploiement et forcez la synchronisation si nécessaire. Les politiques Intune se déploient généralement en 5 à 10 minutes, mais peuvent prendre jusqu'à 8 heures dans certains cas.

Pour forcer une synchronisation immédiate :

  1. Accédez à Appareils > Tous les appareils dans le centre d'administration Intune
  2. Sélectionnez les appareils cibles et cliquez sur Synchroniser
  3. Surveillez le statut de synchronisation jusqu'à son achèvement

Utilisez PowerShell sur les appareils cibles pour vérifier et forcer la synchronisation :

# Vérifier l'heure de la dernière synchronisation
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Get-ScheduledTaskInfo

# Forcer la synchronisation immédiate (exécuter en tant qu'administrateur)
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Start-ScheduledTask

# Vérifier l'application de la politique
Get-MpPreference | Select-Object AttackSurfaceReductionRules_*

Surveillez la progression du déploiement via la vue du statut des appareils de la politique, qui montre les déploiements réussis, échoués et en attente dans vos groupes d'appareils assignés.

Quelles méthodes pouvez-vous utiliser pour tester et vérifier la fonctionnalité de blocage USB ?

Des tests approfondis garantissent que votre politique de blocage USB fonctionne comme prévu. Suivez cette approche de test systématique :

Test de fonctionnalité de base :

  1. Insérez une clé USB dans un appareil de test
  2. Tentez de copier un fichier sur la clé USB
  3. Vérifiez que l'accès en écriture est refusé avec un message d'erreur approprié
  4. Testez l'accès en lecture (si autorisé) en ouvrant des fichiers depuis la clé USB

Vérification des journaux d'événements :

Vérifiez le Visualiseur d'événements Windows pour les événements ASR confirmant l'application de la politique :

# Voir les événements ASR dans le Visualiseur d'événements
# Accédez à : Journaux des applications et services > Microsoft > Windows > Windows Defender > Opérationnel

# Commande PowerShell pour vérifier les événements ASR
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Vérification de l'inventaire des appareils :

# Lister les appareils de stockage de masse USB connectés
Get-WmiObject Win32_USBControllerDevice | ForEach-Object {[wmi]($_.Dependent)} | Where-Object {($_.Description -like '*mass*')} | Sort-Object Description,DeviceID | Format-Table Description,DeviceID -AutoSize

# Vérifier les lecteurs amovibles
Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 2} | Select-Object DeviceID, VolumeName, Size, FreeSpace
Conseil pro : Créez un document de procédure de test standardisé incluant des fichiers spécifiques à copier, des messages d'erreur attendus et des étapes de vérification. Cela garantit des tests cohérents sur différents appareils et utilisateurs.

Comment pouvez-vous configurer des paramètres avancés et des exceptions d'appareils ?

Certaines situations commerciales nécessitent des exceptions aux politiques de blocage USB. La fonctionnalité de paramètres réutilisables d'Intune vous permet de créer des exceptions granulaires basées sur les caractéristiques des appareils :

Création d'exceptions d'appareils :

  1. Modifiez votre politique de contrôle des appareils existante
  2. Accédez à l'onglet Paramètres de configuration
  3. Cliquez sur + Ajouter sous Paramètres réutilisables
  4. Créez un nouveau paramètre nommé "Appareils USB approuvés"
  5. Sous Contrôleur d'appareils, ajoutez des identifiants d'appareils spécifiques

Identification des informations sur les appareils USB :

# Obtenir des informations détaillées sur les appareils USB
Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 2} | ForEach-Object {
    $drive = $_.DeviceID
    Write-Host "Drive: $drive"
    
    # Obtenir des informations sur le disque physique associé
    Get-WmiObject -Class Win32_LogicalDiskToPartition | Where-Object {$_.Dependent -like "*$drive*"} | ForEach-Object {
        $partition = $_.Antecedent
        Get-WmiObject -Class Win32_DiskDriveToDiskPartition | Where-Object {$_.Dependent -eq $partition} | ForEach-Object {
            $diskDrive = $_.Antecedent.Split('=')[1] -replace '"',''
            Get-WmiObject -Class Win32_DiskDrive | Where-Object {$_.DeviceID -eq $diskDrive} | Select-Object Model, SerialNumber, PNPDeviceID
        }
    }
}

# Méthode alternative pour les IDs d'instance des appareils USB
Get-PnpDevice | Where-Object {$_.Class -eq "DiskDrive" -and $_.Status -eq "OK"} | Select-Object FriendlyName, InstanceId, HardwareID

Options de configuration des exceptions :

  • ID d'instance : Spécifique aux appareils individuels
  • ID matériel : S'applique aux modèles d'appareils
  • Numéro de série : Identifiant unique de l'appareil (le plus fiable)
Avertissement : Les exceptions d'appareils peuvent prendre plus de 6 heures pour s'appliquer et peuvent nécessiter des redémarrages d'appareils. Testez les configurations d'exception de manière approfondie dans un environnement contrôlé.

Quelles étapes de dépannage devez-vous suivre pour les problèmes de politique ?

Lorsque les politiques de blocage USB ne fonctionnent pas comme prévu, suivez cette approche de dépannage systématique :

Vérifier les prérequis :

# Vérifier le statut de Windows Defender
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, IoavProtectionEnabled, AMServiceEnabled

# Vérifier la connectivité de Defender pour Endpoint
Get-MpComputerStatus | Select-Object AMServiceVersion, AMProductVersion, AntispywareSignatureVersion

# Vérifier la configuration des règles ASR
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Problèmes courants et solutions :

Guide étape par étape

1
Étape 1 / 10

Accédez au Centre d'administration Microsoft Intune et naviguez vers Réduction de la surface d'attaque

Ouvrez votre navigateur web et accédez au centre d'administration Intune. Connectez-vous avec vos identifiants administratifs disposant des autorisations de sécurité des points de terminaison.

https://endpoint.microsoft.com

Une fois connecté, accédez à Sécurité des points de terminaison dans la barre latérale gauche, puis cliquez sur Réduction de la surface d'attaque. Cette section contient toutes les politiques pour contrôler l'accès aux appareils et réduire les vecteurs d'attaque potentiels.

Astuce pro : Ajoutez le centre d'administration Intune à vos favoris pour un accès rapide. L'interface est fréquemment mise à jour, alors familiarisez-vous avec la disposition actuelle.

Vérification : Vous devriez voir le tableau de bord de réduction de la surface d'attaque avec des options pour créer de nouvelles politiques et consulter celles existantes.

2
Étape 2 / 10

Créer une nouvelle politique de contrôle des appareils

Cliquez sur le bouton + Créer une politique pour commencer à créer votre politique de blocage USB. Vous aurez des options de plateforme et de profil.

Configurez les paramètres suivants :

  • Plateforme : Sélectionnez "Windows 10, Windows 11, et Windows Server"
  • Profil : Choisissez "Contrôle des appareils"

Cliquez sur Créer pour passer à l'assistant de configuration de la politique.

Avertissement : Assurez-vous de sélectionner la bonne plateforme. Les politiques de contrôle des appareils ne fonctionnent que sur les versions Windows prises en charge avec Microsoft Defender pour Endpoint activé.

Vérification : L'assistant de création de politique devrait s'ouvrir avec l'onglet "Principes de base" actif.

3
Étape 3 / 10

Configurer les informations de base de la politique

Dans l'onglet Principes de base, fournissez des informations essentielles sur votre politique :

  • Nom : Entrez un nom descriptif comme "Bloquer l'accès en écriture USB - Appareils d'entreprise"
  • Description : Ajoutez des détails tels que "Empêche l'accès en écriture aux lecteurs USB pour protéger contre l'exfiltration de données et l'introduction de logiciels malveillants"

Cliquez sur Suivant pour passer aux paramètres de configuration.

Astuce pro : Utilisez des noms clairs et descriptifs qui indiquent l'objectif et la portée de la politique. Cela aide à la gestion lorsque vous avez plusieurs politiques.

Vérification : L'onglet "Paramètres de configuration" devrait maintenant être actif, affichant diverses options de contrôle des appareils.

4
Étape 4 / 10

Configurer les paramètres de blocage des lecteurs USB

Dans l'onglet Paramètres de configuration, localisez la section Stockage. Ici, vous trouverez les contrôles de disque amovible.

Pour le blocage d'écriture USB de base, configurez :

  • Disque amovible : Refuser l'accès en écriture : Réglez sur Activé

Pour un blocage USB complet (lecture et écriture), vous pouvez également activer :

  • Disque amovible : Refuser l'accès en lecture : Réglez sur Activé
Exemple de configuration :
- Disque amovible : Refuser l'accès en écriture = Activé
- Disque amovible : Refuser l'accès en lecture = Non configuré (permet la lecture)
- Autres options de stockage = Non configuré

Cliquez sur Suivant pour passer aux affectations.

Avertissement : Activer à la fois le refus de lecture et d'écriture bloquera complètement l'accès USB. Testez cela minutieusement avant de déployer sur des appareils de production.

Vérification : Vos options sélectionnées devraient apparaître comme "Activé" dans le résumé de configuration.

5
Étape 5 / 10

Attribuer la politique aux groupes cibles

Dans l'onglet Affectations, vous devez spécifier quels appareils ou utilisateurs recevront cette politique. Cliquez sur + Ajouter des groupes pour sélectionner vos groupes cibles.

Choisissez parmi :

  • Groupes d'appareils : Groupes de sécurité Entra ID contenant des appareils Windows
  • Groupes d'utilisateurs : Groupes contenant des utilisateurs dont les appareils doivent recevoir la politique

Pour les tests, commencez par un petit groupe pilote :

Exemple d'affectation :
- Inclure : "IT-Pilot-Devices" (groupe de sécurité avec 5-10 appareils de test)
- Exclure : "IT-Admin-Devices" (appareils administratifs nécessitant l'accès USB)

Cliquez sur Suivant pour revoir votre configuration.

Astuce pro : Testez toujours avec un groupe pilote d'abord. Créez des groupes de sécurité distincts pour les tests et les déploiements en production afin de maintenir le contrôle sur le déploiement des politiques.

Vérification : Vos groupes sélectionnés devraient apparaître dans la section "Groupes inclus" avec le nombre correct de membres.

6
Étape 6 / 10

Examiner et créer la politique

Dans l'onglet Révision + création, examinez attentivement tous vos paramètres de politique :

  • Nom et description de la politique
  • Plateforme et type de profil
  • Paramètres de configuration (options de blocage USB)
  • Affectations de groupe

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique apparaîtra maintenant dans votre liste de politiques de réduction de la surface d'attaque avec un statut de "Déploiement" ou "Actif".

Avertissement : Une fois créée, la politique commencera à se déployer sur les appareils assignés dans les 5 à 10 minutes. Assurez-vous que vos affectations sont correctes avant de créer.

Vérification : La nouvelle politique devrait apparaître dans votre liste de politiques avec le nom correct et le nombre d'affectations.

7
Étape 7 / 10

Forcer la synchronisation des appareils et surveiller le déploiement

Pour accélérer le déploiement des politiques, forcez la synchronisation sur les appareils cibles. Accédez à Appareils > Tous les appareils dans le centre d'administration Intune.

Pour chaque appareil de test :

  1. Sélectionnez l'appareil dans la liste
  2. Cliquez sur Synchroniser dans l'aperçu de l'appareil
  3. Attendez que la synchronisation soit terminée (généralement 1-2 minutes)

Vous pouvez également vérifier l'état de la synchronisation en utilisant PowerShell sur l'appareil cible :

# Vérifier la dernière heure de synchronisation
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Get-ScheduledTaskInfo

# Forcer une synchronisation immédiate (exécuter en tant qu'administrateur)
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Start-ScheduledTask

Surveillez l'état du déploiement dans Sécurité des points de terminaison > Réduction de la surface d'attaque en cliquant sur votre politique et en visualisant l'état de l'appareil.

Astuce pro : Les politiques prennent généralement 5-10 minutes pour s'appliquer, mais peuvent prendre jusqu'à 8 heures dans certains cas. Les redémarrages d'appareils peuvent aider à accélérer le processus.

Vérification : L'état de l'appareil doit indiquer "Réussi" pour les politiques déployées avec succès.

8
Étape 8 / 10

Tester la fonctionnalité de blocage des clés USB

Une fois la politique déployée, testez la fonctionnalité de blocage USB sur un appareil cible :

  1. Insérez une clé USB dans l'appareil de test
  2. Tentez de copier un fichier sur la clé USB
  3. Vérifiez que l'accès en écriture est refusé

Vérifiez le Visualiseur d'événements Windows pour les événements ASR :

# Ouvrez le Visualiseur d'événements et naviguez vers :
# Journaux des applications et services > Microsoft > Windows > Windows Defender > Opérationnel

# Ou utilisez PowerShell pour vérifier les événements ASR :
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122} -MaxEvents 10

Vous pouvez également vérifier les appareils USB connectés en utilisant PowerShell :

# Lister les appareils de stockage de masse USB
Get-WmiObject Win32_USBControllerDevice | ForEach-Object {[wmi]($_.Dependent)} | Where-Object {($_.Description -like '*mass*')} | Sort-Object Description,DeviceID | Format-Table Description,DeviceID -AutoSize
Avertissement : Si la politique ne fonctionne pas, vérifiez que Microsoft Defender Antivirus est activé et que l'appareil a bien synchronisé la politique.

Vérification : Les opérations d'écriture USB devraient échouer avec une erreur d'accès refusé, et le Visualiseur d'événements devrait montrer des événements de blocage ASR.

9
Étape 9 / 10

Configurer les paramètres avancés et les exceptions (facultatif)

Pour un contrôle plus granulaire, vous pouvez créer des paramètres réutilisables avec des exceptions spécifiques pour les appareils. Retournez à votre politique de contrôle des appareils et modifiez la configuration.

Pour créer des exceptions pour des appareils USB spécifiques :

  1. Dans la configuration de la politique, cliquez sur + Ajouter sous Paramètres réutilisables
  2. Nommer le paramètre (par exemple, "Appareils USB approuvés")
  3. Sous Contrôleur de périphérique, cliquez sur + Ajouter
  4. Sélectionnez Stockage amovible
  5. Ajoutez des ID d'instance ou des numéros de série spécifiques pour les exceptions

Trouvez l'ID d'instance de l'appareil USB en utilisant PowerShell :

# Obtenez les ID d'instance des appareils USB
Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 2} | ForEach-Object {
    $drive = $_.DeviceID
    Get-WmiObject -Class Win32_LogicalDiskToPartition | Where-Object {$_.Dependent -like "*$drive*"} | ForEach-Object {
        Get-WmiObject -Class Win32_DiskDriveToDiskPartition | Where-Object {$_.Dependent -eq $_.Antecedent} | ForEach-Object {
            Get-WmiObject -Class Win32_DiskDrive | Where-Object {$_.DeviceID -eq ($_.Antecedent.Split('=')[1] -replace '"','')}
        }
    }
} | Select-Object Model, SerialNumber, PNPDeviceID
Astuce pro : Utilisez les numéros de série des appareils pour les exceptions plutôt que les ID d'instance lorsque c'est possible, car ils sont plus stables sur différents systèmes.

Vérification : Les appareils exceptés devraient conserver un accès complet en lecture/écriture tandis que les autres lecteurs USB restent bloqués.

10
Étape 10 / 10

Surveiller la conformité des politiques et résoudre les problèmes

Surveillez régulièrement l'efficacité de votre politique de blocage USB via le centre d'administration Intune. Accédez à Sécurité des points de terminaison > Réduction de la surface d'attaque et cliquez sur votre politique.

Examinez les métriques suivantes :

  • Statut de l'appareil : Affiche les déploiements réussis, échoués et en attente
  • Statut de l'utilisateur : Affiche l'application de la politique par utilisateur
  • Statut par paramètre : Détaille quels paramètres spécifiques ont réussi ou échoué

Étapes courantes de dépannage pour les échecs de politique :

# Vérifier le statut de Windows Defender
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, IoavProtectionEnabled

# Vérifier le statut des règles ASR
Get-MpPreference | Select-Object AttackSurfaceReductionRules_*

# Vérifier la conformité de l'appareil
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntispywareEnabled

Si les appareils apparaissent comme non conformes :

  1. Vérifiez que l'appareil est correctement inscrit dans Intune
  2. Vérifiez que Microsoft Defender pour Endpoint est installé et en cours d'exécution
  3. Forcez une synchronisation de l'appareil et attendez 10-15 minutes
  4. Redémarrez l'appareil si nécessaire
Avertissement : Une application incohérente de la politique indique souvent des problèmes de licence ou un déploiement incomplet de Defender pour Endpoint. Vérifiez que toutes les conditions préalables sont remplies.

Vérification : La conformité de la politique devrait afficher un taux de réussite de 100 % pour les appareils correctement configurés dans les 24 heures suivant le déploiement.

Questions Fréquentes

How long does it take for Microsoft Intune USB blocking policies to apply to devices?
Intune USB blocking policies typically apply within 5-10 minutes after deployment, but can take up to 8 hours in some cases. You can force immediate synchronization by selecting target devices in the Intune admin center and clicking 'Sync'. Device restarts can also help speed up policy application. Monitor deployment status through the policy's device status view to track successful application across your organization.
Can administrators bypass USB blocking policies created in Microsoft Intune?
Microsoft Intune's Attack Surface Reduction USB blocking policies don't include built-in administrator exceptions. To allow admin access, you must create separate security groups for administrative devices and exclude them from the USB blocking policy assignments. Alternatively, you can configure device-specific exceptions using reusable settings with Instance IDs or serial numbers for approved USB devices that administrators need to use.
What's the difference between blocking USB write access versus complete USB blocking in Intune?
Blocking USB write access prevents users from copying data to USB drives while still allowing them to read files from USB devices, which is useful for software installations or accessing documentation. Complete USB blocking (both read and write denial) prevents all USB drive interaction, providing maximum security but potentially impacting legitimate business operations. Most organizations start with write-only blocking to balance security and usability.
How do you troubleshoot when Intune USB blocking policies aren't working on some devices?
First, verify that Microsoft Defender Antivirus is enabled on affected devices using 'Get-MpComputerStatus' in PowerShell. Check that devices are properly enrolled in Intune and have synced recently. Force device synchronization through the Intune admin center or use PowerShell to trigger sync tasks. Verify ASR rules are configured correctly with 'Get-MpPreference' and check Windows Event Viewer for ASR events. Device restarts often resolve policy application issues.
What are the licensing requirements for using Microsoft Intune USB device control policies?
Microsoft Intune USB device control through Attack Surface Reduction policies requires Microsoft 365 E5 or equivalent licensing that includes Microsoft Defender for Endpoint capabilities. Basic Intune licenses don't include the full ASR Device Control features needed for comprehensive USB blocking. Devices must also be enrolled in Intune with Microsoft Defender for Endpoint enabled to support these advanced device control policies.
#intune#sécurité-usb#protection-des-points-de-terminaison

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Dernière mise à jour mars 11, 2026

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Tutoriels Similaires

IT administrator configuring Windows LAPS with Microsoft Intune on multiple monitors
Intermediaire
Cybersecurity

Comment configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurer la solution de mot de passe administrateur local Windows (LAPS) avec Microsoft Intune pour gérer et sécuriser automatiquement les mots de passe administrateur local sur les appareils Windows de votre organisation.

6 etapesmars 11, 2026
Cybersecurity operations center with endpoint security monitoring dashboards and threat detection interfaces
Avance
Cybersecurity

Comment mettre en œuvre le renforcement EDR contre les tueurs de logiciels malveillants en 2026

Configurez la protection avancée contre les altérations, l'isolation des processus et la surveillance comportementale dans Microsoft Defender pour Endpoint et CrowdStrike Falcon pour empêcher les logiciels malveillants comme BlackSanta de désactiver vos outils de sécurité.

8 etapesmars 11, 2026
Comment vérifier si votre PC possède les nouveaux certificats Secure Boot 2023 (Windows UEFI CA 2023)
Intermediaire
Cybersecurity

Comment vérifier si votre PC possède les nouveaux certificats Secure Boot 2023 (Windows UEFI CA 2023)

Les trois certificats Secure Boot originaux de Microsoft (2011) commencent à expirer en juin 2026. Windows déploie automatiquement les trois certificats de remplacement 2023 (Windows UEFI CA 2023, Microsoft UEFI CA 2023, KEK 2K CA 2023) via Windows Update. Ce guide vous montre comment vérifier en une seule commande PowerShell si votre PC Windows 10 ou 11 a déjà reçu les nouveaux certificats.

8 etapesmars 11, 2026
ProblèmeCauseSolution
Politique non appliquéeÉchec de la synchronisation de l'appareilForcer la synchronisation de l'appareil, redémarrer l'appareil
Application incohérenteDefender non activéActiver Windows Defender Antivirus
Contournement admin non fonctionnelAucune exception admin intégréeCréer un groupe d'exclusion admin séparé
Tous les appareils USB non bloquésConfiguration incomplèteVérifier tous les paramètres de stockage amovible