ANAVEM
FrancaisEnglish
ANAVEM
Référence
Languageen
Bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Bloquez l'accès aux clés USB sur Windows 10/11 via les politiques de contrôle des appareils ASR de Microsoft Intune. Guide complet : création de politique, configuration du blocage lecture/écriture, assignation aux groupes Entra ID et supervision du déploiement.

Emanuel DE ALMEIDA
3/13/2026 15 min 0
mediumintune 10 étapes 15 min

Vue d'ensemble

Les supports de stockage amovibles constituent l'un des principaux vecteurs d'exfiltration de données et d'introduction de logiciels malveillants en entreprise. Les politiques de contrôle des appareils ASR (Attack Surface Reduction) de Microsoft Intune permettent aux administrateurs d'appliquer des restrictions granulaires en lecture/écriture sur les périphériques USB des endpoints Windows 10/11 — sans outil tiers.

Ce guide couvre la configuration complète : création d'une politique Device Control dans le centre d'administration Intune, sélection du profil ASR, paramétrage des restrictions sur les disques amovibles, assignation aux groupes Entra ID et vérification du déploiement via PowerShell et le tableau de bord Intune.

Prérequis : Microsoft 365 E5 ou équivalent (Defender for Endpoint P2), appareils Windows 10/11 inscrits dans Intune avec MDE activé.
Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Intune et naviguez vers Réduction de la surface d'attaque

Ouvrez votre navigateur web et accédez au centre d'administration Intune. Connectez-vous avec vos identifiants administratifs disposant des autorisations de sécurité des points de terminaison.

https://endpoint.microsoft.com

Une fois connecté, accédez à Sécurité des points de terminaison dans la barre latérale gauche, puis cliquez sur Réduction de la surface d'attaque. Cette section contient toutes les politiques pour contrôler l'accès aux appareils et réduire les vecteurs d'attaque potentiels.

Astuce pro : Ajoutez le centre d'administration Intune à vos favoris pour un accès rapide. L'interface est fréquemment mise à jour, alors familiarisez-vous avec la disposition actuelle.

Vérification : Vous devriez voir le tableau de bord de réduction de la surface d'attaque avec des options pour créer de nouvelles politiques et consulter celles existantes.

02

Créer une nouvelle politique de contrôle des appareils

Cliquez sur le bouton + Créer une politique pour commencer à créer votre politique de blocage USB. Vous aurez des options de plateforme et de profil.

Configurez les paramètres suivants :

  • Plateforme : Sélectionnez "Windows 10, Windows 11, et Windows Server"
  • Profil : Choisissez "Contrôle des appareils"

Cliquez sur Créer pour passer à l'assistant de configuration de la politique.

Avertissement : Assurez-vous de sélectionner la bonne plateforme. Les politiques de contrôle des appareils ne fonctionnent que sur les versions Windows prises en charge avec Microsoft Defender pour Endpoint activé.

Vérification : L'assistant de création de politique devrait s'ouvrir avec l'onglet "Principes de base" actif.

03

Configurer les informations de base de la politique

Dans l'onglet Principes de base, fournissez des informations essentielles sur votre politique :

  • Nom : Entrez un nom descriptif comme "Bloquer l'accès en écriture USB - Appareils d'entreprise"
  • Description : Ajoutez des détails tels que "Empêche l'accès en écriture aux lecteurs USB pour protéger contre l'exfiltration de données et l'introduction de logiciels malveillants"

Cliquez sur Suivant pour passer aux paramètres de configuration.

Astuce pro : Utilisez des noms clairs et descriptifs qui indiquent l'objectif et la portée de la politique. Cela aide à la gestion lorsque vous avez plusieurs politiques.

Vérification : L'onglet "Paramètres de configuration" devrait maintenant être actif, affichant diverses options de contrôle des appareils.

04

Configurer les paramètres de blocage des lecteurs USB

Dans l'onglet Paramètres de configuration, localisez la section Stockage. Ici, vous trouverez les contrôles de disque amovible.

Pour le blocage d'écriture USB de base, configurez :

  • Disque amovible : Refuser l'accès en écriture : Réglez sur Activé

Pour un blocage USB complet (lecture et écriture), vous pouvez également activer :

  • Disque amovible : Refuser l'accès en lecture : Réglez sur Activé
Exemple de configuration :
- Disque amovible : Refuser l'accès en écriture = Activé
- Disque amovible : Refuser l'accès en lecture = Non configuré (permet la lecture)
- Autres options de stockage = Non configuré

Cliquez sur Suivant pour passer aux affectations.

Avertissement : Activer à la fois le refus de lecture et d'écriture bloquera complètement l'accès USB. Testez cela minutieusement avant de déployer sur des appareils de production.

Vérification : Vos options sélectionnées devraient apparaître comme "Activé" dans le résumé de configuration.

05

Attribuer la politique aux groupes cibles

Dans l'onglet Affectations, vous devez spécifier quels appareils ou utilisateurs recevront cette politique. Cliquez sur + Ajouter des groupes pour sélectionner vos groupes cibles.

Choisissez parmi :

  • Groupes d'appareils : Groupes de sécurité Entra ID contenant des appareils Windows
  • Groupes d'utilisateurs : Groupes contenant des utilisateurs dont les appareils doivent recevoir la politique

Pour les tests, commencez par un petit groupe pilote :

Exemple d'affectation :
- Inclure : "IT-Pilot-Devices" (groupe de sécurité avec 5-10 appareils de test)
- Exclure : "IT-Admin-Devices" (appareils administratifs nécessitant l'accès USB)

Cliquez sur Suivant pour revoir votre configuration.

Astuce pro : Testez toujours avec un groupe pilote d'abord. Créez des groupes de sécurité distincts pour les tests et les déploiements en production afin de maintenir le contrôle sur le déploiement des politiques.

Vérification : Vos groupes sélectionnés devraient apparaître dans la section "Groupes inclus" avec le nombre correct de membres.

06

Examiner et créer la politique

Dans l'onglet Révision + création, examinez attentivement tous vos paramètres de politique :

  • Nom et description de la politique
  • Plateforme et type de profil
  • Paramètres de configuration (options de blocage USB)
  • Affectations de groupe

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique apparaîtra maintenant dans votre liste de politiques de réduction de la surface d'attaque avec un statut de "Déploiement" ou "Actif".

Avertissement : Une fois créée, la politique commencera à se déployer sur les appareils assignés dans les 5 à 10 minutes. Assurez-vous que vos affectations sont correctes avant de créer.

Vérification : La nouvelle politique devrait apparaître dans votre liste de politiques avec le nom correct et le nombre d'affectations.

07

Forcer la synchronisation des appareils et surveiller le déploiement

Pour accélérer le déploiement des politiques, forcez la synchronisation sur les appareils cibles. Accédez à Appareils > Tous les appareils dans le centre d'administration Intune.

Pour chaque appareil de test :

  1. Sélectionnez l'appareil dans la liste
  2. Cliquez sur Synchroniser dans l'aperçu de l'appareil
  3. Attendez que la synchronisation soit terminée (généralement 1-2 minutes)

Vous pouvez également vérifier l'état de la synchronisation en utilisant PowerShell sur l'appareil cible :

# Vérifier la dernière heure de synchronisation
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Get-ScheduledTaskInfo

# Forcer une synchronisation immédiate (exécuter en tant qu'administrateur)
Get-ScheduledTask | Where-Object {$_.TaskName -like "*EnterpriseMgmt*"} | Start-ScheduledTask

Surveillez l'état du déploiement dans Sécurité des points de terminaison > Réduction de la surface d'attaque en cliquant sur votre politique et en visualisant l'état de l'appareil.

Astuce pro : Les politiques prennent généralement 5-10 minutes pour s'appliquer, mais peuvent prendre jusqu'à 8 heures dans certains cas. Les redémarrages d'appareils peuvent aider à accélérer le processus.

Vérification : L'état de l'appareil doit indiquer "Réussi" pour les politiques déployées avec succès.

08

Tester la fonctionnalité de blocage des clés USB

Une fois la politique déployée, testez la fonctionnalité de blocage USB sur un appareil cible :

  1. Insérez une clé USB dans l'appareil de test
  2. Tentez de copier un fichier sur la clé USB
  3. Vérifiez que l'accès en écriture est refusé

Vérifiez le Visualiseur d'événements Windows pour les événements ASR :

# Ouvrez le Visualiseur d'événements et naviguez vers :
# Journaux des applications et services > Microsoft > Windows > Windows Defender > Opérationnel

# Ou utilisez PowerShell pour vérifier les événements ASR :
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122} -MaxEvents 10

Vous pouvez également vérifier les appareils USB connectés en utilisant PowerShell :

# Lister les appareils de stockage de masse USB
Get-WmiObject Win32_USBControllerDevice | ForEach-Object {[wmi]($_.Dependent)} | Where-Object {($_.Description -like '*mass*')} | Sort-Object Description,DeviceID | Format-Table Description,DeviceID -AutoSize
Avertissement : Si la politique ne fonctionne pas, vérifiez que Microsoft Defender Antivirus est activé et que l'appareil a bien synchronisé la politique.

Vérification : Les opérations d'écriture USB devraient échouer avec une erreur d'accès refusé, et le Visualiseur d'événements devrait montrer des événements de blocage ASR.

09

Configurer les paramètres avancés et les exceptions (facultatif)

Pour un contrôle plus granulaire, vous pouvez créer des paramètres réutilisables avec des exceptions spécifiques pour les appareils. Retournez à votre politique de contrôle des appareils et modifiez la configuration.

Pour créer des exceptions pour des appareils USB spécifiques :

  1. Dans la configuration de la politique, cliquez sur + Ajouter sous Paramètres réutilisables
  2. Nommer le paramètre (par exemple, "Appareils USB approuvés")
  3. Sous Contrôleur de périphérique, cliquez sur + Ajouter
  4. Sélectionnez Stockage amovible
  5. Ajoutez des ID d'instance ou des numéros de série spécifiques pour les exceptions

Trouvez l'ID d'instance de l'appareil USB en utilisant PowerShell :

# Obtenez les ID d'instance des appareils USB
Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 2} | ForEach-Object {
    $drive = $_.DeviceID
    Get-WmiObject -Class Win32_LogicalDiskToPartition | Where-Object {$_.Dependent -like "*$drive*"} | ForEach-Object {
        Get-WmiObject -Class Win32_DiskDriveToDiskPartition | Where-Object {$_.Dependent -eq $_.Antecedent} | ForEach-Object {
            Get-WmiObject -Class Win32_DiskDrive | Where-Object {$_.DeviceID -eq ($_.Antecedent.Split('=')[1] -replace '"','')}
        }
    }
} | Select-Object Model, SerialNumber, PNPDeviceID
Astuce pro : Utilisez les numéros de série des appareils pour les exceptions plutôt que les ID d'instance lorsque c'est possible, car ils sont plus stables sur différents systèmes.

Vérification : Les appareils exceptés devraient conserver un accès complet en lecture/écriture tandis que les autres lecteurs USB restent bloqués.

10

Surveiller la conformité des politiques et résoudre les problèmes

Surveillez régulièrement l'efficacité de votre politique de blocage USB via le centre d'administration Intune. Accédez à Sécurité des points de terminaison > Réduction de la surface d'attaque et cliquez sur votre politique.

Examinez les métriques suivantes :

  • Statut de l'appareil : Affiche les déploiements réussis, échoués et en attente
  • Statut de l'utilisateur : Affiche l'application de la politique par utilisateur
  • Statut par paramètre : Détaille quels paramètres spécifiques ont réussi ou échoué

Étapes courantes de dépannage pour les échecs de politique :

# Vérifier le statut de Windows Defender
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, IoavProtectionEnabled

# Vérifier le statut des règles ASR
Get-MpPreference | Select-Object AttackSurfaceReductionRules_*

# Vérifier la conformité de l'appareil
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntispywareEnabled

Si les appareils apparaissent comme non conformes :

  1. Vérifiez que l'appareil est correctement inscrit dans Intune
  2. Vérifiez que Microsoft Defender pour Endpoint est installé et en cours d'exécution
  3. Forcez une synchronisation de l'appareil et attendez 10-15 minutes
  4. Redémarrez l'appareil si nécessaire
Avertissement : Une application incohérente de la politique indique souvent des problèmes de licence ou un déploiement incomplet de Defender pour Endpoint. Vérifiez que toutes les conditions préalables sont remplies.

Vérification : La conformité de la politique devrait afficher un taux de réussite de 100 % pour les appareils correctement configurés dans les 24 heures suivant le déploiement.

Questions Fréquentes

How long does it take for Microsoft Intune USB blocking policies to apply to devices?+
Intune USB blocking policies typically apply within 5-10 minutes after deployment, but can take up to 8 hours in some cases. You can force immediate synchronization by selecting target devices in the Intune admin center and clicking 'Sync'. Device restarts can also help speed up policy application. Monitor deployment status through the policy's device status view to track successful application across your organization.
Can administrators bypass USB blocking policies created in Microsoft Intune?+
Microsoft Intune's Attack Surface Reduction USB blocking policies don't include built-in administrator exceptions. To allow admin access, you must create separate security groups for administrative devices and exclude them from the USB blocking policy assignments. Alternatively, you can configure device-specific exceptions using reusable settings with Instance IDs or serial numbers for approved USB devices that administrators need to use.
What's the difference between blocking USB write access versus complete USB blocking in Intune?+
Blocking USB write access prevents users from copying data to USB drives while still allowing them to read files from USB devices, which is useful for software installations or accessing documentation. Complete USB blocking (both read and write denial) prevents all USB drive interaction, providing maximum security but potentially impacting legitimate business operations. Most organizations start with write-only blocking to balance security and usability.
How do you troubleshoot when Intune USB blocking policies aren't working on some devices?+
First, verify that Microsoft Defender Antivirus is enabled on affected devices using 'Get-MpComputerStatus' in PowerShell. Check that devices are properly enrolled in Intune and have synced recently. Force device synchronization through the Intune admin center or use PowerShell to trigger sync tasks. Verify ASR rules are configured correctly with 'Get-MpPreference' and check Windows Event Viewer for ASR events. Device restarts often resolve policy application issues.
What are the licensing requirements for using Microsoft Intune USB device control policies?+
Microsoft Intune USB device control through Attack Surface Reduction policies requires Microsoft 365 E5 or equivalent licensing that includes Microsoft Defender for Endpoint capabilities. Basic Intune licenses don't include the full ASR Device Control features needed for comprehensive USB blocking. Devices must also be enrolled in Intune with Microsoft Defender for Endpoint enabled to support these advanced device control policies.
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#intune#sécurité-usb#protection-des-points-de-terminaison

Intelligence Complémentaire

Approfondissez vos connaissances

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026
tutorial
Microsoft 365

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026

Explorer
Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune
tutorial
Cloud Computing

Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...