MicrosoftSolution - All Boot Domage

Contents
Manage clients in Windows 10

Administrative Tools in Windows 10
Create mandatory user profiles
Connect to remote Azure Active Directory-joined PC
Join Windows 10 Mobile to Azure Active Directory
New policies for Windows 10
Group Policies that apply only to Windows 10 Enterprise and Windows 10 Education
Manage the Settings app with Group Policy
What version of Windows am I running
Reset a Windows 10 Mobile device
Transitioning to modern management
Windows 10 Mobile deployment and management guide
Windows libraries
Troubleshoot Windows 10 clients
Advanced troubleshooting for Windows networking
Advanced troubleshooting Wireless network connectivity
Advanced troubleshooting 802.1X authentication
Data collection for troubleshooting 802.1X authentication
Advanced troubleshooting for TCP/IP
Collect data using Network Monitor
Troubleshoot TCP/IP connectivity
Troubleshoot port exhaustion
Troubleshoot Remote Procedure Call (RPC) errors
Advanced troubleshooting for Windows startup
Advanced troubleshooting for Windows boot problems
Advanced troubleshooting for Windows-based computer freeze
Advanced troubleshooting for stop error or blue screen error
Advanced troubleshooting for stop error 7B or Inaccessible_Boot_Device
Mobile device management for solution providers
Change history for Client management
Gestion des clients
17/04/2019 • 2 minutes to read
S'applique à
Windows10
En savoir plus sur les outils d’administration, les tâches et les meilleures pratiques pour la gestion des clients
Windows10 et Windows10Mobile au sein de votre entreprise.
SUJET DESCRIPTION
Outils d’administration dans Windows10 Liens vers la documentation des outils pour les professionnels
de l’informatique et les utilisateurs expérimentés dans le
dossier Outils d’administration.
Créer des profils utilisateur obligatoires Instructions pour la gestion des paramètres couramment
définis dans des profils obligatoires, notamment (mais sans s’y
limiter): les icônes qui apparaissent sur le bureau, les arrière-
plans du bureau, les préférences utilisateur dans le Panneau de
configuration, les sélections de l’imprimante, etc.
Se connecter à des PC distants joints à Azure ActiveDirectory Instructions pour la connexion à un PC distant joint à Azure
ActiveDirectory (AzureAD)
Joindre Windows10 Mobile à Azure AD Décrit les considérations et les options pour l’utilisation de
Windows 10 Mobile avec Azure AD dans votre organisation.
Nouvelles stratégies pour Windows10 Liste des nouveaux paramètres de stratégie de groupe
disponibles dans Windows10
Stratégies de groupe pour les éditions Entreprise et Éducation Liste de tous les paramètres de stratégie de groupe
s’appliquant spécifiquement aux éditions Windows10
Entreprise et Éducation
Gérer l’application Paramètres avec la stratégie de groupe À compter de Windows10, version1703, vous pouvez
maintenant gérer les pages qui sont affichées dans
l’application Paramètres à l’aide de la stratégie de groupe.
Réinitialiser un appareil Windows10 Mobile Instructions pour réinitialiser un appareil Windows10Mobile à

l’aide des options de réinitialisation d’usine ou de type «effacer
et conserver»
Transition vers une gestion ITPro moderne Décrit des scénarios de gestion ITPro Windows10 moderne qui
couvrent les besoins des entreprises qu’ils soient traditionnels,
hybrides ou basés sur le cloud.
Guide de déploiement et de gestion de Windows10 Mobile Aspects à prendre en compte et instructions pour le
déploiement de Windows10Mobile
Bibliothèques Windows Aspects à prendre en compte et instructions pour la gestion

des bibliothèques Windows10 comme Mes Documents, Mes
images et Ma musique.
SUJET DESCRIPTION
Gestion des périphériques mobiles pour les fournisseurs de Documentation de référence et des procédures pour les
solution fournisseurs de solutions fournissant la gestion des
périphériques mobiles (GPM) pour les appareils Windows10.
Historique des modifications pour la gestion des clients Cette section répertorie les rubriques nouvelles ou mises à
jour de la documentation Gestion des clients de Windows10 et
Windows10Mobile.
Outils d’administration dans Windows10
S’applique à
Windows10
Outils d’administration est un dossier dans le panneau de configuration qui contient des outils pour les
administrateurs système et les utilisateurs avancés.
Les outils de ce dossier peuvent varier en fonction de l’édition de Windows que vous utilisez.
Ils ont été inclus dans les versions précédentes de Windows et la documentation associée pour chaque outil doit
vous aider à utiliser ces outils dans Windows 10. La liste suivante associe la documentation à chaque outil.
Services de composants
Gestion de l'ordinateur
Défragmenter et optimiser les lecteurs
Nettoyage de disque
Observateur d’événements
Initiateur iSCSI
Stratégie de sécurité locale
Sources de données ODBC
Analyseur de performances
Gestion de l’impression
Moniteur de ressources
Services
Configuration du système
Informations système
Planificateur de tâches
Pare-feu Windows avec Sécurité avancée
Diagnostic de mémoire Windows
TIP
Si le contenu qui est associé à un outil de la liste suivante ne fournit pas les informations nécessaires pour utiliser cet outil,
envoyez-nous un commentaire via la fonctionnalité Cette page vous a-t-elle été utile? de la page Outils d’administration
dans Windows10. Des détails sur les informations que vous souhaitez pour un outil nous aideront à déterminer le contenu à
venir.
Rubriques associées
Visionneuse de données de diagnostic
Se connecter au PC distant joint à Azure
ActiveDirectory
S’applique à
Windows10
Depuis le début, Windows10 prend en charge les connexions à distance à des ordinateurs joints à ActiveDirectory.
À compter de Windows10, version1607, vous pouvez également vous connecter à un ordinateur distant qui est
joint à AzureActiveDirectory (AzureAD ).
TIP
À compter de Windows 10, version 1809, vous pouvez utiliser la biométrie pour s’authentifier auprès d’une session Bureau à
distance.
Configuration
Les deux PC (local et distant) doivent exécuter Windows10, version1607 (ou ultérieure). La connexion à
distance à un PC joint à Azure AD qui exécute des versions antérieures de Windows10 n’est pas prise en
charge.
Vérifiez que Credential Guard à distance, une nouvelle fonctionnalité de Windows10, version1607, est
désactivée sur le PC client que vous utilisez pour vous connecter au PC distant.
Sur le PC auquel vous souhaitez vous connecter:
1. Ouvrez les propriétés système pour l’ordinateur distant.
2. Activez Autoriser les connexions à distance à cet ordinateur et sélectionnez N’autoriser que la
connexion des ordinateurs exécutant Bureau à distance avec authentification NLA.
3. Si l’utilisateur ayant joint le PC à Azure AD est le seul qui va se connecter à distance, aucune
configuration supplémentaire n’est nécessaire. Pour permettre à d’autres utilisateurs de se connecter
au PC, vous devez autoriser les connexions à distance pour le groupe Utilisateurs authentifiés
local. Cliquez sur Sélectionner des utilisateurs.
NOTE
Vous pouvez spécifier des comptes Azure AD individuels pour les connexions distantes avec l’utilisateur
connecté à l’appareil distant au moins une fois, puis en exécutant l’applet de commande PowerShell suivante:
net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user" , où
PrénomNom est le nom du profil utilisateur dans C:\Users, qui est créé en fonction d’attribut DisplayName
dans Azure AD.
Dans Windows10, version1709, l’utilisateur n'a pas besoin de se connecter d’abord à l’appareil distant.
Dans Windows10, version1709, vous pouvez ajouter d’autres utilisateurs Azure AD au groupe
Administrateurs d'un périphérique dans Paramètres et limiter les informations d’identification à distance
aux administrateurs. S’il existe un problème de connexion à distance, assurez-vous que les deux appareils
sont joints à Azure AD et que le module de plateforme sécurisée fonctionne correctement sur les deux
appareils.
4. Accédez aux Utilisateurs authentifiés, puis cliquez sur Vérifier les noms. Si la fenêtre Nom
introuvable s’ouvre, cliquez sur Emplacements et sélectionnez ce PC.
TIP
Lorsque vous vous connectez au PC distant, entrez le nom de votre compte dans ce format: AzureAD UPN . Le PC
local doit être joints au domaine ou Azure joint à AD. Le PC local et le PC distant doivent être dans le même client
Azure AD.
Configurations prises en charge

Dans les organisations qui intègrent Active Directory et Azure AD, vous pouvez vous connecter à partir d’un PC
appartenant à un domaine à un PC appartenant à Azure AD à l’aide des éléments suivants:
Mot de passe
Cartes à puce
Windows Hello Entreprise, si le domaine est géré par System Center Configuration Manager
joint à Azure AD à un PC joint à AD lorsque le PC joint à Azure AD se trouve sur le réseau d’entreprise à l’aide des
éléments suivants:
Mot de passe
Cartes à puce
Windows Hello Entreprise si l’organisation dispose d’un abonnement de gestion des appareils mobiles.
joint à Azure AD à un autre PC joint à Azure AD à l’aide des éléments suivants:
Mot de passe
Cartes à puce
Windows Hello Entreprise avec ou sans abonnement GPM
Dans les organisations utilisant uniquement Azure AD, vous pouvez vous connecter à partir d’un PC joint à Azure
AD à un autre PC joint à Azure AD à l’aide des éléments suivants:
Mot de passe
Windows Hello Entreprise avec ou sans abonnement GPM
Rubriques connexes
Comment utiliser le Bureau à distance
Joindre Windows10 Mobile à Azure Active Directory
S’applique à
Windows 10 Mobile
Appareil exécutant Windows 10 Mobile peut être joint à Azure Active Directory (AD Azure) lorsque l’appareil est
configuré pendant l’out-of-box experience (OOBE ). Cet article décrit les considérations et les options pour
l’utilisation de Windows 10 Mobile avec Azure AD dans votre organisation.
Pourquoi joindre un appareil Windows 10 Mobile à Azure AD

Lorsqu’un appareil exécutant Windows 10 Mobile est joint à Azure AD, l’appareil ne peut utiliser une information
d’identification appartienne à votre organisation, et vous pouvez vous assurer que les utilisateurs se connectent
suivant les exigences de connexion de votre organisation. Joindre un appareil Windows 10 Mobile à Azure AD
fournit de nombreux avantages en tant que de joindre les appareils de bureau, telles que:
L’authentification unique dans les applications telles que Courrier, Word et OneDrive qui utilisent des
ressources reposant sur Azure AD
L’authentification unique dans le navigateur Microsoft Edge pour les applications web connectées à Azure
AD comme le portail Office365, Visual Studio et plus de 2500 applications non Microsoft
L’authentification unique pour les ressources locales
L’inscription automatique au service de GPM.
Activation de l’itinérance d’entreprise des paramètres (Pas de prise en charge actuellement, mais fait partie
de la feuille de route)
Utilisez le MicrosoftStore pour Entreprises pour cibler des applications sur des utilisateurs.
Mettez-vous des appareils actuels vers Windows 10 Mobile?

Windows Phone8.1 ne prenait en charge que la connexion d’un appareil à des services de cloud personnels à l’aide
d’un compte Microsoft pour l’authentification. Il fallait donc créer des comptes Microsoft pour le travail. Dans
Windows 10 Mobile, vous avez la possibilité de joindre les appareils directement à Azure AD sans avoir besoin
d’un compte Microsoft personnel.
Si vous avez des appareils Windows Phone 8.1 existants, la première chose à comprendre est indique si les
appareils peuvent être mis à niveau vers Windows 10 Mobile. Microsoft publiera plus d’informations sur la
disponibilité de la mise à niveau prochainement. À mesure que de nouvelles informations seront disponibles, elles
seront publiées sur Comment obtenir Windows10 Mobile. Les clients premier entreprise qui ont besoin de différer
Windows 10 Mobile mise à niveau doit contacter leur responsable technique de compte pour comprendre quelles
sont les options peuvent être disponibles.
Avant de mettre à niveau et de joindre des appareils à Azure AD, vous devez prendre en compte la consommation
existante des données. La manière dont les utilisateurs se servent les appareils existants et le type des données
stockées localement varient pour chaque client. Les SMS sont-ils utilisés à des fins professionnelles et doivent-ils
être sauvegardés et disponibles après la mise à niveau? Existe-t-il des photos stockées localement ou stockées en
association avec un compte Microsoft? Existe-t-il des paramètres d’appareil et d’applications qui doivent être
conservés? Existe-t-il des contacts stockés sur la carte SIM ou associés à un compte Microsoft? Vous devez
examiner les méthodes de capture et de stockage des données qui doivent être conservées avant de joindre les
appareils à Azure AD. Les photos, fichiers de musique et documents stockés localement sur l’appareil peuvent être
copiés de l’appareil vers un ordinateur à l’aide d’une connexion USB.
Pour joindre des appareils mobiles mis à niveau à Azure Active Directory, les appareils doivent être réinitialisés
pour entrer en phase OOBE (Out-of-Box Experience) pour l’installation. Joindre un périphérique à Azure AD n’est
pas une modification qui peut être effectuée en conservant les données utilisateur existantes. Cette opération est
similaire à celle du passage d’un appareil du statut personnel à professionnel. Lorsqu’un utilisateur rejoint le
domaine d’une organisation, il doit ouvrir une session en tant qu’utilisateur de domaine et démarrer avec un tout
nouveau profil utilisateur. Un nouveau profil utilisateur signifie que les paramètres, applications et données du
profil personnel précédent n’ont pas été conservés.
Si vous souhaitez éviter le processus de réinitialisation de l’appareil, envisagez d’ajouter des comptes
professionnels plutôt que de joindre des appareils à Azure AD.
Différences entre « Ajouter un compte professionnel » et « Azure AD

Join »
Bien qu’Azure AD Join sur Windows 10 Mobile fournisse la meilleure expérience globale, il existe deux manières
que vous pouvez utiliser un compte professionnel ajouté au lieu de joindre l’appareil à Azure AD de votre
organisation l’exige.
Vous pouvez terminer la phase OOBE avec l’option Se connecter plus tard. Cela permet de commencer à
utiliser Windows 10 Mobile avec n’importe quel connecté compte Azure AD ou un compte Microsoft.
Vous pouvez ajouter un accès aux ressources basées sur Azure AD sur un appareil sans réinitialiser
l’appareil.
Toutefois, aucune de ces méthodes ne fournit une authentification unique dans Microsoft Store ou pour les
ressources SSO locales, ni n’offre la possibilité d’assurer l’itinérance des paramètres en fonction du compte Azure
AD à l’aide de l’itinérance de l’entreprise. Apprenez-en plus sur l’itinérance d’entreprise dans Azure AD.
En accédant à Paramètres > Comptes > Adresse de messagerie et comptes > Ajouter un compte
professionnel ou scolaire, les utilisateurs peuvent ajouter leur compte Azure AD à l’appareil. Un compte
professionnel peut aussi être ajouté lorsque l’utilisateur se connecte à une application telle que Courrier, Word, etc.
Si vous activez l’inscription automatique dans vos paramètres de GPM, l’appareil est automatiquement inscrit dans
la GPM.
Un compte professionnel ajouté fournit la même expérience d’authentification unique que les applications de
navigateur comme Office365 (portail Office, Outlook sur le web, Calendrier, Contacts, OneDrive), le profil et
l’application de modification du mot de passe d’Azure AD et Visual Studio. Vous profitez de l’authentification
unique pour les applications intégrées telles que Courrier, Calendrier, Contacts, OneDrive et les fichiers hébergés
sur OneDrive, sans entrer de mot de passe. Dans les applications Office comme Microsoft Word, Microsoft Excel, et
ainsi de suite, vous sélectionnez simplement le compte Azure AD et vous pouvez ouvrir des fichiers sans entrer de
mot de passe.
Préparation à Windows 10 Mobile

Configuration d’Azure AD
Actuellement, « Azure AD Join » prend uniquement en charge l’approvisionnement automatique, ce qui
signifie que les informations d’identification de l’utilisateur de l’appareil doivent être utilisées pendant
l’installation initiale de l’appareil. Si votre opérateur mobile prépare les appareils à votre place, cela aura un
impact sur votre capacité à joindre l’appareil à Azure AD. De nombreux administrateurs informatiques
peuvent avoir envie de configurer les appareils pour leurs employés, mais l’expérience d’« Azure AD Join »
est optimisée pour les utilisateurs finaux, notamment grâce à l’option d’inscription automatique dans la
GPM.
Par défaut, Azure AD est configuré pour autoriser des appareils à se connecter et pour permettre aux
utilisateurs d’utiliser leurs informations d’identification d’entreprise sur des appareils personnels ou des
appareils appartenant à l’organisation. Le billet de blog Azure AD Join sur les appareils Windows10 donne
plus d’informations sur les endroits où vous pouvez passer en revue vos paramètres Azure AD. Vous pouvez
configurer Azure AD pour n’autoriser personne à se connecter, pour autoriser tous les membres de votre
organisation, ou vous pouvez sélectionner des groupes Azure AD spécifiques autorisés à se connecter.
Installation d’appareil
Un appareil exécutant Windows 10 Mobile ne peut se joindre Azure AD que durant la phase OOBE. Les
nouveaux appareils des opérateurs mobiles sont dans cet état lorsque vous les recevez. Appareils Windows
Phone 8.1 qui sont mis à niveau vers Windows 10 Mobile devront être réinitialisés pour accéder de nouveau
à la phase OOBE pour l’installation.
Gestion des périphériques mobiles
Un service de GPM est requis pour la gestion des appareils joints à Azure AD. Vous pouvez utiliser le
service de GPM pour transférer des paramètres, des applications et des certificats utilisés par un VPN, Wi-
Fi, etc. sur des appareils. Les licences Azure AD Premium ou Enterprise Mobility Suite (EMS ) sont requises
pour configurer vos appareils joints à Azure AD afin qu’ils soient automatiquement inscrits au service de
GPM. Apprenez-en plus sur la configuration de votre client Azure AD pour l’inscription automatique au
service de GPM.
WindowsHello
Création d’un Windows Hello (PIN ) est requise par défaut sur Windows 10 Mobile et ne peut pas être
désactivée. Vous pouvez contrôler les stratégies de WindowsHello à l’aide de contrôles dans la GPM, par
exemple Intune. Étant donné que l’appareil est connecté à l’aide des informations d’identification de
l’organisation, il doit être déverrouillé par un code PIN. Les données biométriques comme l’empreinte
digitale ou l’iris peuvent être utilisées pour l’authentification. La création d’un WindowsHello nécessite que
l’utilisateur effectue une authentification multifacteur, car le code PIN représente des informations
d’identification d’authentification forte. En savoir plus sur WindowsHello pour AzureAD.
Accès conditionnel
Stratégies d’accès conditionnel sont également applicables à Windows 10 Mobile. Les stratégies de
conformité de l’appareil et l’authentification multifacteur peuvent être appliquées à des utilisateurs ou des
ressources et nécessitent que l’utilisateur ou l’appareil satisfasse à ces exigences avant que l’accès aux
ressources ne soit autorisé. Les stratégies comme la jonction de domaine qui prennent en charge la
jonction de domaine traditionnelle s’appliquent uniquement aux PC de bureau. Les stratégies qui dépendent
de la plage d’adresses IP sont difficiles à appliquer sur un téléphone, car l’adresse IP de l’opérateur est
utilisée à moins que l’utilisateur ne se connecte au Wi-Fi d’entreprise ou à un VPN.
Problèmes connus
Les applications pour la sauvegarde et la restauration des appareils et pour la synchronisation
des photos sur OneDrive fonctionnent uniquement avec le compte Microsoft comme compte
principal. Ces applications ne fonctionneront pas sur les appareils joints à Azure AD.
Localiser mon téléphone fonctionne selon la façon dont vous ajoutez un compte Microsoft à
l’appareil. Par exemple, l’application Cortana se connectera à votre compte Microsoft de façon à ce
que la fonction Localiser mon téléphone fonctionne. Cortana et OneNote fonctionnent tous les
deux avec des comptes AzureAD, mais ils doivent d’abord être installés avec un compte Microsoft.
OneNote nécessite que l’utilisateur se connecte avec un compte Microsoft, mais il offre aussi la
possibilité d’accéder aux blocs-notes à l’aide d’un compte Azure AD.
Si votre organisation est configurée pour se fédérer à Azure AD, vous devez utiliser les services de
fédération Active Directory (AD FS ) comme serveur proxy de fédération ou un proxy tiers qui prend
en charge les points de terminaison WS -Trust comme AD FS.
Comment joindre Windows 10 Mobile à Azure AD

1. Lors de la phase OOBE, sur l’écran Restez synchronisé, choisissez l’option Se connecter avec un compte
professionnel, puis appuyez sur Suivant.
2. Entrez votre compte AzureAD. Si votre compte AzureAD est fédéré, vous êtes redirigé vers la page de
connexion de votre organisation. Si ce n’est pas le cas, vous devez entrer votre mot de passe.
Si vous êtes redirigé vers la page de connexion de votre organisation, vous pouvez être amené à fournir un
second facteur d’authentification.
3. Une fois l’authentification terminée, l’inscription de l’appareil est terminée. Si votre service de GPM
comporte une page de conditions d’utilisation, elle s’affiche aussi ici. Les utilisateurs fédérés doivent fournir
un mot de passe à nouveau pour terminer l’authentification Windows. Les utilisateurs ayant un mot de
passe géré dans le cloud ne verront pas cette invite d’authentification supplémentaire. Cette connexion
fédérée nécessite que votre serveur de fédération prenne en charge le point de terminaison WS -Trust actif.
4. Ensuite, vous configurez un code PIN.

Remarquepour en savoir plus sur les caractéristiques du code confidentiel, consultez avantages des codes
PIN est-il préférable à un mot de passe.
Pour vérifier la jonction AzureAD
Accédez à Paramètres > Comptes > Adresse de messagerie et comptes. Vous verrez votre compte
AzureAD répertorié en haut et également dans la liste des comptes utilisés par d’autres applications. Si
l’inscription automatique à la GPM a été configurée, vous verrez dans Paramètres > Comptes > Accès
professionnel que l’appareil est correctement inscrit à la GPM. Si la GPM transmet un certificat à utiliser
par VPN, alors Paramètres > Réseau et sans fil > VPN vous propose de vous connecter à votre VPN.
Configuration de la messagerie et du calendrier

Il est facile de configurer le courrier électronique sur votre appareil joint à Azure AD. Lorsque vous démarrez
l’application Courrier, la page Comptes s’affiche. La plupart des utilisateurs ont leur compte de messagerie
hébergé sur Office365 et sont automatiquement synchronisés. Appuyez simplement sur Prêt.
Lorsque l’adresse électronique est hébergée dans Exchange en local, l’utilisateur doit fournir des informations
d’identification pour établir une connexion par authentification de base au serveur Exchange. Appuyez sur Ajouter
un compte pour voir les types de comptes de messagerie que vous pouvez ajouter, y compris votre compte
AzureAD.
Après avoir sélectionné un type de compte, vous devez fournir les informations d’identification pour terminer
l’installation de cette boîte aux lettres.
L’installation de l’application Calendrier se déroule de la même façon. Ouvrez l’application et vous verrez
apparaître votre compte AzureAD dans la liste. Appuyez simplement sur Prêt.
Revenez à Paramètres > Comptes > Adresse de messagerie et comptes et vous verrez votre compte Azure AD
répertorié dans la liste Messagerie, calendrier et contacts.
Utilisation des applications Office et OneDrive
Les applications Office telles que Microsoft Word et Microsoft PowerPoint se connectent automatiquement avec
votre compte Azure AD. Lorsque vous ouvrez une application Office, vous voyez un écran qui vous permet de
choisir entre un compte Microsoft et un compte Azure AD. Office affiche cet écran pendant qu’il se connecte
automatiquement, alors patientez juste pendant quelques secondes et Office se connecte automatiquement à l’aide
de votre compte Azure AD.
Microsoft Word affiche automatiquement les documents récemment ouverts sur d’autres appareils. Lorsque vous
ouvrez un document, vous pouvez passer directement à la dernière section que vous modifiez sur un autre
appareil.
MicrosoftPowerPoint affiche vos diapositives récemment ouvertes.

L’application OneDrive utilise aussi l’authentification unique. Elle vous montre tous vos documents et vous permet
de les ouvrir sans authentification.
En plus de l’authentification unique des applications, les appareils connectés à Azure AD bénéficient de
l’authentification unique pour les applications de navigateur qui approuvent Azure AD, comme les applications
web, Visual Studio, le portail Office365 et OneDrive Entreprise.
OneNote nécessite un compte Microsoft, mais vous pouvez également l’utiliser avec votre compte AzureAD.
Une fois connecté à OneNote, accédez à Paramètres > Comptes et vous verrez que votre compte AzureAD est
automatiquement ajouté.
Pour afficher les blocs-notes auxquels votre compte AzureAD a accès, appuyez sur Autres blocs-notes et
sélectionnez le bloc-notes que vous voulez ouvrir.
Utiliser MicrosoftStore pour Entreprises

Microsoft Store pour Entreprises vous permet d’indiquer les applications à mettre à la disposition de vos
utilisateurs dans l’application Microsoft Store. Ces applications apparaissent sous un onglet au nom de votre
entreprise. Les applications approuvées sur le portail Microsoft Store pour Entreprises peuvent être installées par
les utilisateurs.
Nouvelles stratégies de Windows10
S’applique à
Windows10
Windows 10 Mobile
Windows 10 inclut les nouvelles stratégies de gestion suivantes. Téléchargez l’ensemble complet des fichiers de
modèles d’administration (.admx) pour Windows10.
Paramètres de stratégie de groupe de nouveau dans Windows 10,

version 1709
Les paramètres de stratégie de groupe suivants ont été ajoutés dans Windows10 version1709:
Panneau de configuration,
Panneau de configuration\Autoriser les Astuces en ligne
Réseau
Réseau\Indicateur d’état de la connectivité réseau\Spécifier le DNS global
Réseau\Service WWAN\Paramètres de l'interface utilisateur de WWAN\Configurer la visibilité de l'interface
utilisateur pour l'accès cellulaire par application
Réseau\Service WWAN\Accès à Cellular Data\Permettre aux applications Windows d'accéder aux données
cellulaires
Système
Système\Service d’attestation d’intégrité de l’appareil\Activez la surveillance et la création de rapports pour
l’attestation d’intégrité de l’appareil
Système\Stratégies de système d'exploitation\Active le flux d'activité
Système\Stratégies de système d'exploitation\Autoriser la publication des activités de l'utilisateur
Système\Gestion de l'alimentation\Paramètres de limitation de la puissance\Désactiver la limitation de la
puissance
Système\Intégrité du stockage\Autoriser le téléchargement des mises à jour pour le modèle de prévision de
défaillance de disque
Système\Services de module de plateforme sécurisée\Configurez le système pour effacer le module de
plateforme sécurisée (TPM ) s'il n'est pas en mode prêt..
Composants Windows
Composants Windows\Confidentialité de l’application\Permettre aux applications Windows de communiquer
avec les appareils découplés
Composants Windows\Collecte des données et versions d’aperçu\Limitez les données de diagnostic
améliorées au minimum nécessaire pour Windows Analytics
Composants Windows\Écriture manuscrite\Mode par défaut du volet d’écriture manuscrite ancré
Composants Windows\Internet Explorer\Paramètres Internet\Paramètres avancés\Navigation\Masquer le
bouton (en regard du bouton Nouvel onglet) qui ouvre MicrosoftEdge
Composants Windows\GPM\Inscription MDM automatique avec jeton AAD
Composants Windows\Messagerie\Autoriser la synchronisation dans le cloud de Message Service
Composants Windows\Microsoft Edge\Toujours afficher la Bibliothèque dans Microsoft Edge
Composants Windows\Microsoft Edge\Approvisionner les Favoris
Composants Windows\Microsoft Edge\Empêcher la modification des favoris dans Microsoft Edge
Composants Windows\Microsoft FIDO Authentication\Autoriser l’utilisation des appareils FIDO pour
l’authentification
Composants Windows\OneDrive\Empêcher OneDrive de générer du trafic réseau tant que l'utilisateur ne s'est
pas connecté à OneDrive
Composants Windows\Installation poussée\Désactiver le service d'installation poussée
Composants Windows\Recherche\Autoriser la recherche dans le cloud
Composants Windows\Windows Defender Application Guard\Autoriser la persistance des données pour
WindowsDefenderApplicationGuard
Composants Windows\Windows Defender Application Guard\Permettre les événements d'audit dans
Windows Defender Application Guard
Composants Windows\Antivirus WindowsDefender\Windows Defender Exploit Guard\Protection du
réseau\Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux
Composants Windows\Antivirus WindowsDefender\Windows Defender Exploit Guard\Accès contrôlé aux
dossiers\Configurer l’Accès contrôlé aux dossiers
Composants Windows\Antivirus Windows Defender\Windows Defender Exploit Guard\Réduction de la
surface d’attaque\Configurer les règles de réduction de la surface d’attaque
Composants Windows\Antivirus Windows Defender\Windows Defender Exploit Guard\Réduction de la
surface d’attaque\Exclure les fichiers et les chemins des règles de réduction de la vulnérabilité aux attaques
Composants Windows\Antivirus Windows Defender\Windows Defender Exploit Guard\Accès contrôlé aux
dossiers\Configurer les applications autorisées
Composants Windows\Antivirus Windows Defender\Windows Defender Exploit Guard\Accès contrôlé aux
dossiers\Configurer des dossiers protégés
Composants Windows\Windows Defender Exploit Guard\Exploit Protection\Utiliser un ensemble commun de
paramètres ExploitProtection
Composants Windows\Centre de sécurité WindowsDefender\Protection contre les virus et menaces\Masquer
la zone de protection contre les virus et menaces
Composants Windows\Centre de sécurité Windows Defender\Pare-feu et protection du réseau\Hide the
Firewall and network protection area
Composants Windows\Centre de sécurité Windows Defender\Protection de l'application et du
navigateur\Masquer l'application et la zone de protection du navigateur
Composants Windows\Centre de sécurité Windows Defender\Protection de l'application et du
navigateur\Empêcher les utilisateurs de modifier les paramètres
Composants Windows\Centre de sécurité Windows Defender\Appareil et intégrité de performances\Masquer
les performances et la zone de santé des appareils
Composants Windows\Centre de sécurité Windows Defender\Options de contrôle parental\Masquer la zone
des options de contrôle parental
Composants Windows\Centre de sécurité Windows Defender\Notifications\Masquer toutes les notifications
Composants Windows\Centre de sécurité Windows Defender\Notifications\Masquer les notifications non
critiques
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Configurer des
notifications personnalisées
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Configurer des
informations de contact personnalisées
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Spécifier le nom
de l'entreprise du contact
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Spécifiez le
numéro de téléphone de contact ou l'ID Skype
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Spécifiez
l’adresse e-mail de contact ou l'ID d'email
Composants Windows\Centre de sécurité Windows Defender\Personnalisation de l’entreprise\Spécifiez le site
web de contact
Composants Windows\Windows Hello Entreprise\Configurer les facteurs de déverrouillage de l’appareil
Composants Windows\Windows Hello Entreprise\Configurer les facteurs de verrouillage dynamique
Composants Windows\Windows Hello Entreprise\Désactiver l'émulation de la carte à puce
Composants Windows\Windows Hello Entreprise\Autoriser l’énumération d’une carte à puce émulée pour
tous les utilisateurs
Composants Windows\Windows Update\Autoriser le téléchargement automatique des mises à jour sur les
connexions limitées
Composants Windows\Windows Update\N’autorisez pas les stratégies de report de mise à jour à provoquer
des analyses par rapport à Windows Update
Paramètres de stratégie de groupe de nouveau dans Windows 10,

version 1703
Les paramètres de stratégie de groupe suivants ont été ajoutés dans Windows10, version1703:
Panneau de configuration,
Panneau de configuration\Ajouter ou supprimer des programmes\Spécifier une catégorie par défaut pour
ajouter de nouveaux programmes
Contrôle de configuration\Ajouter ou supprimer des programmes\Masquer l’option «Ajouter un programme à
partir d'un CD -ROM ou d'une disquette»
Panneau de configuration\Personnalisation\Empêcher de modifier l’écran de verrouillage et l'image
d'ouverture de session
Réseau
Réseau\Service de transfert intelligent en arrière-plan (BITS )\Limiter la bande passante réseau maximale des
transferts d'arrière-plan BITS
Réseau\Service de transfert intelligent en arrière-plan (BITS )\Autoriser la mise en cache des homologues BITS
Réseau\Service de transfert intelligent en arrière-plan (BITS )\Limiter l'âge des fichiers dans la mise en cache
des homologues BITS
Réseau\Service de transfert intelligent en arrière-plan (BITS )\Limiter la taille de la mise en cache BITS
Réseau\Client DNS\Autoriser les requêtes NetBT pour des noms de domaine entièrement qualifiés
Réseau\Connexions réseau\Interdire l’accès aux propriétés des composants d’une connexion réseau local
Réseau\Connexions réseau\Possibilité d’activer/désactiver une connexion réseau
Réseau\Fichiers hors ligne\Activer l’application économique des fichiers hors connexion attribués
administrativement
Réseau\Fichiers hors ligne\Configurer le mode de liaison lente
Réseau\Fichiers hors ligne\Activer la mise en cache transparente
Réseau\Activer les services réseau pair à pair Microsoft\Protocole PNRP\Nuages sites-local\Configurer le
serveur d’amorçage
Réseau\Services réseau pair à pair Microsoft\Désactiver la validation de la longueur du mot de passe pour le
groupement de pairs
Système
Système\App-V\Diffusion en continu\Service de localisation
Système\App-V\Diffusion en continu\Filtre de certificat pour SSL du client
Système\Délégation d’informations d’identification\Autoriser la délégation d’informations d’identification par
défaut avec l’authentification de serveur NTLM uniquement
Système\Option Ctrl+Alt+Suppr\Désactiver la modification du mot de passe
Système\Option Ctrl+Alt+Suppr\Désactiver le verrouillage de l’ordinateur
Système\Option Ctrl+Alt+Suppr\Supprimer le Gestionnaire des tâches
Système\Option Ctrl+Alt+Suppr\Supprimer la fermeture de session
Système\Installation des périphérique\Ne pas envoyer de rapport d’erreurs Windows lors de l’installation d’un
pilote générique sur un périphérique
Système\Installation des périphérique\Empêcher Windows d’envoyer un rapport d’erreurs lorsqu’un pilote de
périphérique demande un logiciel supplémentaire au cours de l’installation
Système\Services Paramètres régionaux\Interdire le remplacement des paramètres régionaux par l’utilisateur
Système\Ouverture de session\Ne pas traiter la liste d’exécution héritée
Système\Ouverture de session\Toujours utiliser un arrière-plan d’ouverture de session personnalisé
Système\Ouverture de session\Ne pas afficher l’interface utilisateur de sélection de réseau
Système\Ouverture de session\Empêcher l’utilisateur d’afficher des détails du compte lors de la connexion
Système\Ouverture de session\Désactiver les notifications d’application sur l’écran de verrouillage
Système\Profils utilisateur\Établir la valeur de délai d’expiration pour les boîtes de dialogue
Système\Activer le serveur NTP Windows\Service de temps Windows\Activer le client NTP Windows
Composants Windows
Composants Windows\Service d'installation ActiveX\Sites d’installation approuvés pour les contrôles ActiveX
Composants Windows\Service d'installation ActiveX\Définir la stratégie d’installation ActiveX pour les sites
faisant partie des zones de confiance
Windows Components\Application Compatibility\Turn désactiver le moteur de compatibilité des applications
Windows Components\Application Compatibility\Turn désactiver l’Assistant Compatibilité des programmes
Composants Windows\Compatibilité des applications\Désactiver l’Enregistreur d’actions utilisateur
Composants Windows\Gestionnaire de pièces jointes\Avertir les antivirus lors de l’ouverture des pièces jointes
Composants Windows\Biométrie\Autoriser l’utilisation de la biométrie
Composants Windows\NetMeeting\Désactiver le tableau blanc
Composants Windows\Collecte des données et versions d’aperçu\Configurer l’ID commercial
Composants Windows\Explorateur de fichiers\Afficher la barre de menus dans l’Explorateur de fichiers
Composants Windows\Historique des fichiers\Désactiver l’historique des fichiers
Composants Windows\Internet Explorer\Panneau de configuration Internet\Page Avancé\Lire les animations
dans les pages Web
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Sites de
confiance verrouillée\Activer le filtre anti-script de site à site
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone
Internet\Activer le filtre anti-script de site à site
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Internet
verrouillée\Exécuter les contrôles ActiveX et les plug-ins
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Internet
verrouillée\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Intranet\Exécuter les contrôles ActiveX et les plug-ins
Intranet\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Intranet\Exécuter les contrôles ActiveX et les plug-ins
Intranet\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Ordinateur
local\Exécuter les contrôles ActiveX et les plug-ins
local\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
local verrouillé\Exécuter les contrôles ActiveX et les plug-ins
local verrouillé\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Sites
sensibles\Exécuter les contrôles ActiveX et les plug-ins
sensibles\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
sensibles verrouillés\Exécuter les contrôles ActiveX et les plug-ins
sensibles verrouillés\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
confiance\Exécuter les contrôles ActiveX et les plug-ins
confiance\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone sites de
confiance verrouillé\Exécuter les contrôles ActiveX et les plug-ins
Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone sites de
confiance verrouillé\Contrôles de script ActiveX marqués comme sécurisés pour l’écriture de scripts
Composants Windows\Internet Explorer\Accélérateurs\Restreindre les accélérateurs à ceux déployés via une
stratégie de groupe
Composants Windows\Internet Explorer\Affichage de compatibilité\Activer le mode standard d'Internet
Explorer7
Composants Windows\Emplacement et capteurs\Service de localisation Windows\Désactiver le service de
localisation Windows
Composants Windows\Compte Microsoft\Bloquer l’authentification utilisateur pour tous les comptes Microsoft
grand public
Composants Windows\Microsoft Edge\Configurer le remplissage automatique
Composants Windows\Microsoft Edge\Autoriser les outils de développement
Composants Windows\Microsoft Edge\Configurer Ne pas me suivre
Composants Windows\Microsoft Edge\Autoriser la navigation InPrivate
Composants Windows\Microsoft Edge\Configurer un gestionnaire de mots de passe
Composants Windows\Microsoft Edge\Configurer le bloqueur de fenêtres contextuelles
Composants Windows\Microsoft Edge\Autoriser la personnalisation du moteur de recherche
Composants Windows\Microsoft Edge\Configurer les suggestions de recherche dans la barre d’adresse
Composants Windows\Microsoft Edge\Définir le moteur de recherche par défaut
Composants Windows\Microsoft Edge\Configurer des moteurs de recherche supplémentaires
Composants Windows\Microsoft Edge\Configurer la liste des sites en mode Entreprise
Composants Windows\Microsoft Edge\Empêcher l’utilisation de l’adresse IP Localhost pour WebRTC
Composants Windows\Microsoft Edge\Configurer des pages de démarrage
Composants Windows\Microsoft Edge\Désactiver le verrouillage des pages de démarrage
Composants Windows\Microsoft Edge\Empêcher le contournement des avertissements de Windows Defender
SmartScreen pour les sites
Composants Windows\Microsoft Edge\Empêcher le contournement des avertissements de Windows Defender
SmartScreen pour les fichiers
Gestion de modèles Windows Console\Restricted/autorisés ins\ de composant logiciel enfichable
.NETFramework Configuration
Composants Windows\Windows Installer\Interdire l’utilisation du Gestionnaire de redémarrage
Composants Windows\Gadgets du Bureau\Restreindre la décompression et l’installation des gadgets qui ne
sont pas signés numériquement.
Composants Windows\Gadgets du Bureau\Désactiver les gadgets du Bureau installés par l’utilisateur
Composants Windows\OneDrive\Empêcher l’utilisation de OneDrive pour le stockage de fichiers
Windows Components\OneDrive\Empêcher l’utilisation de OneDrive pour le stockage de fichiers sur
Windows8.1
Composants Windows\OneDrive\Empêcher la synchronisation des fichiers OneDrive sur les connexions
limitées
Composants Windows\OneDrive\Enregistrer les documents sur OneDrive par défaut
Composants Windows\Carte à puce\Autoriser les certificats sans attribut d’utilisation avancée de la clé
Composants Windows\Carte à puce\Activer la propagation de certificat à partir d’une carte à puce
Raccourcis Composants Windows\PC Tablette\Comportements du stylet UX\Empêcher
Composants Windows\Chiffrement de lecteur BitLocker\Sélectionner la méthode et la puissance de
chiffrement des lecteurs (Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2,
Windows 10 [Version 1507])
Composants Windows\Antivirus Windows Defender\Protection en temps réel\Activer la surveillance du
comportement
Composants Windows\Antivirus Windows Defender\Mises à jour des signatures\Définir les partages de
fichiers pour le téléchargement des mises à jour des définitions
Composants Windows\Antivirus Windows Defender\Mises à jour des signatures\Activer l’analyse après la
mise à jour des signatures
Composants Windows\Explorateur de fichiers\Afficher la boîte de dialogue de confirmation lors de la
suppression des fichiers
sensibles verrouillés\Autoriser les requêtes OpenSearch dans l’Explorateur de fichiers
Composants Windows\Windows Update\Supprimer l’accès à l’utilisation de toutes les fonctionnalités de
Windows Update
Composants Windows\Windows Update\Configuration du service Mises à jour automatiques
Composants Windows\Windows Update\Spécifier l’emplacement intranet du service de mise à jour Microsoft
Composants Windows\Windows Update\Fréquence de détection des mises à jour automatiques
Composants Windows\Windows Update\Autoriser les non-administrateurs à recevoir les notifications de mise
à jour
Composants Windows\Windows Update\Autoriser l’installation immédiate des mises à jour automatiques
Composants Windows\Windows Update\Activer les mises à jour automatiques recommandées via le service
Mises à jour automatiques
Composants Windows\Options d’arrêt\Désactiver l’interface d’arrêt à distance héritée
Consultez la feuille de calcul des paramètres de stratégie de groupe inclus dans Windows 10 et Windows Server
2016 dans Référence des paramètres de stratégie de groupe pour Windows et Windows Server.
Nouvelles stratégies GPM
Gestion des périphériques mobiles (GPM ) pour Windows 10 Professionnel, Windows 10 entreprise, Windows 10
éducation et Windows 10 Mobile inclut des paramètres de Windows Phone 8.1, ainsi que des paramètres
nouveaux ou améliorés pour Windows 10, par exemple:
Defender (Windows 10 Professionnel, Windows 10 entreprise et Windows 10 éducation uniquement)
Stratégies Bluetooth améliorées
Passport et Windows Hello
Mise à jour d’appareil
Attestation d’intégrité d’appareil basée sur le matériel
Disposition du mode plein écran, de l’écran de démarrage et du menu Démarrer
Sécurité
Réseau privé virtuel (VPN ) et gestionWi-Fi d’entreprise
Gestion des certificats
Conseils Windows
Expériences des utilisateurs, comme les applications suggérées dans le menu Démarrer et les vignettes
d’applications Microsoft intégrées dynamiquement au menu Démarrer par défaut.
Windows10, version1703, ajoute un certain nombre de stratégies ADMX à MDM.
Si vous utilisez Microsoft Intune pour GPM, vous pouvez configurer des stratégies personnalisées pour déployer
des paramètres Open Mobile Alliance Uniform Resource Identifier (OMA-URI) qui peuvent être utilisés pour
contrôler les fonctionnalités de Windows 10. Pour obtenir la liste des paramètres OMA-URI, consultez Paramètres
URI personnalisés pour les appareils Windows 10.
Pas de nouvelles stratégies Exchange ActiveSync. Pour plus d’informations, consultez les informations techniques
de référence sur les fournisseurs de services de configuration ActiveSync.
Rubriques connexes
Gérer les appareils d’entreprise
Modifications apportées aux paramètres de stratégie de groupe pour l’écran de démarrage de Windows 10
Windows 10 Mobile et GPM
Paramètres de stratégies de groupe s’appliquant
uniquement à Windows10 éditions Entreprise et
Éducation
S’applique à
Windows10
Dans Windows10 version1607, les paramètres de stratégie de groupe suivantes s’appliquent uniquement à
Windows10 Entreprise et Windows10 Éducation.
NOM DE LA STRATÉGIE CHEMIN D’ACCÈS DE LA STRATÉGIE COMMENTAIRES
Configurer À la une sur l’écran de Configuration utilisateur > Modèles Pour plus d’informations, consultez
verrouillage d’administration > Composants Windows à la une sur l’écran de
Windows > Contenu cloud verrouillage. Remarque: une stratégie
Contenu cloud supplémentaire, Ne
pas suggérer de contenu tiers dans
Windows à la une, s’applique à
Windows10 Professionnel.
Désactivez toutes les fonctionnalités Configuration utilisateur > Modèles Pour plus d’informations, consultez
Windows à la une d’administration > Composants Windows à la une sur l’écran de
Windows > Contenu cloud verrouillage.
Désactiver les fonctionnalités clients Configuration ordinateur > Modèles Pour plus d’informations, consultez
Microsoft d’administration > Composants Windows à la une sur l’écran de
Ne pas afficher l’écran de Configuration ordinateur > Modèles Pour plus d’informations, consultez
verrouillage d’administration > Panneau de Windows à la une sur l’écran de
configuration > Personnalisation verrouillage.
Ne pas demander la combinaison de Configuration ordinateur > Modèles Lorsque ces deux paramètres de
touches Ctrl+Alt+Suppr. d’administration > Système > stratégie sont activés, la combinaison
combiné à Ouverture de session désactive également les applications
Désactiver les notifications et d’écran de verrouillage (accès affecté)
d’application sur l’écran de Configuration ordinateur > Paramètres sur Windows10 Entreprise et
verrouillage Windows > Paramètres de sécurité > Windows10 Éducation uniquement. Ces
Stratégies locales > Options de sécurité paramètres de stratégie peuvent être
> Ouverture de session interactive appliqués à Windows10 Professionnel,
mais les applications d’écran de
verrouillage ne sont pas désactivés sur
Windows10 Professionnel.
Important: la description de
Ouverture de session Interactive: Ne
pas demander la combinaison de
touches CTRL+ALT+SUPPR dans
l’éditeur de stratégie de groupe indique
à tort que cela s’applique uniquement à
Windows10 Entreprise et Éducation. La
description sera corrigée dans une
prochaine version.
NOM DE LA STRATÉGIE CHEMIN D’ACCÈS DE LA STRATÉGIE COMMENTAIRES
Ne pas afficher les Conseils Windows Configuration ordinateur > Modèles Pour plus d’informations, consultez
d’administration > Composants Windows à la une sur l’écran de
Forcer une image d’écran de Configuration ordinateur > Modèles Pour plus d’informations, consultez
verrouillage par défaut spécifique d’administration > Panneau de Windows à la une sur l’écran de
configuration > Personnalisation verrouillage.
Disposition de l’écran de démarrage Configuration utilisateur\Modèles Dans Windows10, version1703, ce

d’administration\Menu Démarrer et paramètre de stratégie peut s'appliquer
barre des tâches à Windows10 Professionnel. Pour plus
d’informations, consultez Gestion des
options de disposition et des stratégies
de l’écran de démarrage de Windows10.
Désactiver l’application Store Configuration ordinateur > Modèles Pour plus d’informations, consultez
d’administration > Composants l’article de la base de connaissances
Windows > Store > Désactiver 3135657.
l’application Store
Configuration utilisateur > Modèles

d’administration > Composants
Windows > Store > Désactiver
l’application Store
Afficher uniquement le magasin Configuration ordinateur > Modèles Pour plus d’informations, voir Gérer
privé au sein de l’application d’administration > Composants l’accès au magasin privé
Microsoft Store Windows > Store > Afficher
uniquement le magasin privé au sein de
l’application Microsoft Store
Configuration utilisateur > Modèles

d’administration > Composants
Windows > Store > Afficher
uniquement le magasin privé au sein de
l’application Microsoft Store
Ne pas effectuer des recherches sur Configuration ordinateur\Modèles Pour plus d’information, consultez
le web ni afficher les résultats web d’administration\Composants Intégration de Cortana dans votre
Windows\Recherche\Ne pas effectuer entreprise
des recherches sur le web ni afficher les
résultats web
Réinitialiser un appareil Windows10 Mobile
S’applique à
Windows 10 Mobile
Il existe deux méthodes permettent de réinitialiser un appareil Windows 10 Mobile: réinitialisation d’usine et
«effacer et conserver».
Laréinitialisation d’usine rétablit l’état de l’appareil au premier démarrage ainsi que les packages de mise à
jour éventuels. La réinitialisation ne rétablit pas l’état d’origine de l’appareil à sa sortie d’usine. Pour rétablir
l’état d’origine de l’appareil à sa sortie d’usine, vous devez le flasher avec l’image d’usine d’origine à l’aide de
Windows Device Recovery Tool. L’ensemble de l’approvisionnement appliqué à l’appareil par l’entreprise est
perdu et devra à nouveau être appliqué si nécessaire. Pour plus d’informations sur ce qui est effacé ou
conservé, voir Réinitialisation d’un appareil mobile.
La réinitialisation de type «effacer et conserver» conserve tous les approvisionnements effectués sur
l’appareil avant de réinitialiser. Après la réinitialisation de type «effacer et conserver», tous les packages
d’approvisionnement conservés sont automatiquement appliqués à l’appareil et les données du dossier de
stockage partagé d’entreprise \Data\SharedData\Enterprise\Persistent sont restaurées dans ce dossier. Pour
plus d’informations sur le dossier de stockage partagé d’entreprise, voir Fournisseur de services de
configuration (CSP ) EnterpriseExtFileSystem.
Vous pouvez déclencher une réinitialisation à l’aide de votre service de gestion des périphériques mobiles (GPM ),
ou bien un utilisateur peut déclencher une réinitialisation dans l’interface utilisateur ou à l’aide des boutons
matériels.
Réinitialiser à l’aide de la gestion des périphériques mobiles (GPM)

La commande d’effacement à distance est envoyée vers l’appareil sous forme de fichier d’approvisionnement XML.
Dans la mesure où le fournisseur de services de configuration RemoteWipe (CSP ) utilise OMA DM et WAP,
l’authentification client-serveur et la livraison du fichier d’approvisionnement XML sont gérées par
l’approvisionnement. La commande d’effacement à distance est implémentée sur l’appareil à l’aide de la fonction
ResetPhone . Pour plus d’informations sur les données effacées suite à la commande d’effacement à distance, voir
Réinitialisation d’un appareil mobile.
Pour effectuer une réinitialisation d’usine qui restaure l’état d’origine de l’appareil, utilisez le code syncML suivant.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>3</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/RemoteWipe/DoWipe</LocURI></Target>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>
Pour effectuer une réinitialisation de type « effacer et conserver », qui conserve l’approvisionnement appliqué à
l’appareil avant la réinitialisation et les fichiers de données en local, utilisez le code syncML suivant.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>3</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/RemoteWipe/DoWipePersistProvisionedData</LocURI></Target>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>
Réinitialisation à l’aide de l’interface utilisateur

1. Sur votre appareil mobile, accédez à paramètres > système > sur > Réinitialiser votre téléphone
2. Lorsque vous appuyez sur Réinitialiser votre téléphone, la boîte de dialogue présente une option
Supprimer également le contenu approvisionné si :
Au moins un package d’approvisionnement a été appliqué, ou
Un fichier est présent dans le dossier de stockage partagé d’entreprise
\Data\SharedData\Enterprise\Persistent.
Si vous sélectionnez l’option Supprimer également le contenu approvisionné, la réinitialisation qui
s’ensuit est une réinitialisation d’usine normale. Si vous ne sélectionnez pas l’option, une réinitialisation de
type « effacer et conserver » est effectuée.
Réinitialiser à l’aide des boutons matériels

Si votre téléphone ne répond pas et que vous ne pouvez pas accéder à Paramètres, vous pouvez tenter de
réinitialiser votre téléphone des boutons matériels. La réinitialisation à l’aide des boutons matériels ne vous permet
pas de conserver le contenu provisionné. Sur les téléphones Lumia (et quelques autres), procédez de la manière
suivante pour réinitialiser votre téléphone :
1. Appuyez longuement et simultanément sur les touches Descendre le volume et Marche/Arrêt jusqu’à ce
que vous ressentiez une vibration (environ 10 à 15 secondes).
2. Dès que vous ressentez la vibration, relâchez les boutons et appuyez immédiatement et longuement sur la
touche Descendre le volume jusqu’à faire apparaître un grand point d’exclamation.
3. Lorsque le point d’exclamation s’affiche, appuyez sur les quatre boutons suivants dans l’ordre suivant :
Augmenter le volume, Descendre le volume, Marche/Arrêtet Descendre le volume. Votre téléphone
doit maintenant se réinitialiser et redémarrer de lui-même (la réinitialisation peut prendre un certain temps.)
Gérer Windows10 au sein de votre organisation -
Transition vers une gestion moderne
L’utilisation d’appareils personnels pour des besoins proifessionnels, ainsi que le travail à distance des employés,
peuvent modifier la façon dont votre organisation gère les appareils. Certaines parties de votre organisation
requièrent un contrôle minutieux et approfondi des appareils, tandis que d’autres peuvent rechercher une gestion
reposant sur un scénario permettant d’accroître les capacités de la main d’œuvre moderne. Windows10 offre la
flexibilité nécessaire pour répondre à l’évolution de ces exigences et peut facilement être déployé dans un
environnement mixte. Vous pouvez modifier progressivement le pourcentage d’appareils Windows10
progressivement en suivant les calendriers de mise à niveau normaux utilisés au sein de votre organisation.
Il se peut que votre organisation ait envisagé d’introduire des appareils Windows10 et de les basculer vers
Windows7 jusqu’à ce que tout soit en place pour effectuer une mise à niveau officielle. Bien qu’une telle
standardisation semble permettre de réduire les coûts, il est possible de réaliser des économies bien supérieures en
évitant de passer à une version antérieure et en tirant immédiatement parti des diminutions que Windows10 peut
proposer en termes de frais. Le fait que les appareils Windows10 puissent être gérés à l’aide de processus et d’une
technologie identiques à ceux des précédentes versions de Windows facilite la coexistence des versions.
Votre organisation peut prendre en charge divers systèmes d’exploitation sur une large gamme de types d’appareil
et les gérer via un ensemble commun d’outils, tels que System Center Configuration Manager, Microsoft Intune ou
d’autres produits tiers. Cette «gestion de la diversité» vous permet de donner la possibilité aux utilisateurs de tirer
profit des améliorations de productivité disponibles sur leurs nouveaux appareils Windows10 (y compris la
fonctionnalité tactile enrichie et la prise en charge de l’entrée manuscrite), tout en conservant vos normes en
matière de sécurité et de facilité de gestion. Ainsi, vous et votre organisation pouvez tirer plus rapidement parti de
Windows10.
Cette vidéo de six minutes décrit la façon dont les utilisateurs peuvent introduire un nouvel appareil vendu au
détail et le rendre opérationnel avec leurs paramètres personnalisés et une expérience gérée en quelques minutes
seulement, sans se connecter au réseau de l'entreprise. La vidéo explique également comment le service
informatique de l'entreprise peut appliquer des stratégies et des configurations pour garantir la conformité de
l'appareil.
NOTE
La vidéo montre le processus de configuration à l’aide du portail Azure classique, qui n’est plus disponible. Les clients doivent
utiliser le nouveau portail Azure. Découvrez comment utiliser le nouveau portail Azure pour les tâches que vous avez
l’habitude d’effectuer dans le portail Azure classique.
Cet article donne des indications sur les stratégies de déploiement et de gestion de Windows10, notamment sur
son déploiement dans un environnement mixte. La rubrique aborde les options gestion ainsi que les quatre étapes
du cycle de vie de l’appareil:
Déploiement et mise en service
Identité et authentification
Configuration
Mise à jour et maintenance
Passage en revue des options de gestion avec Windows10

Windows10 propose une gamme d’options de gestion, comme indiqué dans le diagramme suivant:
Le diagramme suivant montre que Microsoft continue d’assurer la prise en charge d’une facilité de gestion et d’une
sécurité approfondies via des technologies, telles que la stratégie de groupe, Active Directory et System Center
Configuration Manager. Il propose également une approche «axé sur le mobile, axé sur le cloud» de la gestion
simplifiée et moderne à l’aide de solutions de gestion d’appareil basées sur le cloud, telles que Microsoft Enterprise
Mobility + Security (EMS ). De futures innovations Windows, fournies par le biais de Windows as a Service, sont
complétées par des services cloud, tels que Microsoft Intune, Azure Active Directory, Azure Information Protection,
Office365 et le MicrosoftStore pour Entreprises.
Déploiement et mise en service

Grâce à Windows10, vous pouvez continuer à utiliser un déploiement de système d’exploitation classique, ou une
gestion innovante. Pour transformer de nouveaux appareils en appareils entièrement configurés et gérés, vous
pouvez:
Éviter la réinitialisation à l’aide de la mise en service dynamique, services de gestion des appareils basés sur
le cloud tels que Microsoft Autopilot ou Microsoft Intune.
Créer des packages d’approvisionnement autonomes créés à l’aide du Concepteur de configuration
Windows.
Utiliser des techniques d’imagerie traditionnelles comme le déploiement d’images personnalisées à l’aide de
System Center Configuration Manager.
Vous disposez de plusieurs options pour la mise à niveau vers Windows10. Pour les appareils existants exécutant
Windows7 ou Windows8.1, vous pouvez utiliser le processus robuste de mise à niveau en place pour un transfert
rapide et fiable vers Windows10 permettant de préserver automatiquement l’ensemble des applications, données
et paramètres existants. Cela peut signifier des coûts de déploiement beaucoup moins élevés, ainsi qu’une
amélioration de la productivité dans la mesure où les utilisateurs finaux peuvent être immédiatement productifs:
tout se trouve là où vous l’avez laissé. Bien entendu, vous pouvez également utiliser une approche par procédure
classique de réinitialisation et chargement si vous préférez, à l’aide des mêmes outils que ceux utilisés aujourd’hui
avec Windows7.
Identité et authentification
Vous pouvez utiliser Windows10 et des services comme Azure Active Directory de manière différente pour
l’identité, l’authentification et la gestion basée sur le cloud. Vous pouvez offrir à vos utilisateurs les possibilités
BYOD ou CYOD à partir d’une sélection mise à disposition. Dans le même temps, vous pourrez gérer des PC et
des tablettes qui doivent être joints à un domaine en raison d’applications ou de ressources spécifiques utilisées sur
chacun d’eux.
Vous pouvez envisager la gestion des appareils et des utilisateurs selon les deux catégories suivantes:
Appareils d’entreprise (CYOD ) ou personnels (BYOD ) utilisés par des utilisateurs mobiles pour des
applications SaaS, ,telles qu’Office365. Avec Windows10, vos employés peuvent assurer eux-mêmes la
mise en service de leurs appareils:
Pour les appareils d’entreprise, ils peuvent configurer un accès d’entreprise avecAzure AD Join. Si
vous leur proposez Azure AD Join avec inscription GPM Intune automatique, ils peuvent permettre à
leurs appareils d’être gérés par l’entreprise en une seule étape, tout cela à partir du cloud.
Azure AD Join est également une excellente solution pour le personnel temporaire, les partenaires ou
les employés à temps partiel. Ces comptes peuvent être conservés séparément du domaine AD local,
mais ont toujours accès aux ressources d’entreprise nécessaires.
De même, pour les appareils personnels, les employés peuvent bénéficier d’une nouvelle expérience
BYOD simplifiée pour ajouter leur compte professionnel à Windows, puis accéder aux ressources de
travail sur leur appareil.
PC et tablettes joints à un domaine utilisés pour des applications classiques et l’accès aux
ressources importantes. Il peut s’agir d’applications et de ressources classiques exigeant une
authentification ou un accès en local à des ressources secrètes ou très sensibles. Avec Windows10, si vous
disposez d’un domaine Active Directory local intégré à Azure AD, les appareils des employés sont
automatiquement enregistrés avec Azure AD lorsqu’ils sont joints. Cela permet:
Une authentification unique pour l’accès aux ressources cloud et locales depuis n’importe où
Une itinérance d’entreprise des paramètres
Accès conditionnel aux ressources d’entreprise en fonction de l’intégrité ou de la configuration de
l’appareil
WindowsHelloEntreprise
Windows Hello
Les PC et tablettes joints à un domaine peuvent continuer à être gérés avec le client System Center
Configuration Manager ou une stratégie de groupe.
Pour plus d’informations sur la façon dont Windows10 et Azure AD optimisent l’accès aux ressources
professionnelles sur une combinaison d’appareils et de scénarios, consultez Utilisation d’appareils Windows10 sur
votre lieu de travail.
À mesure que vous parcourez les rôles de votre organisation, vous pouvez utiliser l’arbre de décision pour
commencer à identifier les utilisateurs ou les appareils qui nécessitent d’être joints à un domaine. Envisagez de
basculer les autres utilisateurs vers Azure AD.
Paramètres et configuration
Plusieurs facteurs, dont le niveau de gestion requis, les appareils et données gérées et les exigences du secteur,
régissent les exigences de configuration. Dans le même temps, bien que les employés soient souvent préoccupés
par l’application de stratégies strictes à leurs appareils personnels par les départements informatiques, ils veulent
continuer d’avoir accès aux e-mails et documents d’entreprise. Avec Windows10, vous pouvez créer un ensemble
cohérent de configurations sur les PC, tablettes et téléphones par le biais de la couche GPM commune.
GPM: la GPM vous permet de configurer les paramètres qui vous permettent d’atteindre votre objectif de gestion
sans exposer tous les paramètres possibles. (En revanche, une stratégie de groupe expose des paramètres affinés
que vous contrôlez individuellement.) Un des avantages de la GPM est qu’elle vous permet d’appliquer des
paramètres de confidentialité, de sécurité et de gestion des applications plus larges par le biais d’outils plus légers
et efficaces. MDM également vous permet de cibler des appareils connectés à Internet pour gérer les stratégies
sans utiliser GP nécessitant les appareils joints au domaine local. La GPM constitue donc le meilleur choix pour les
appareils en constant déplacement.
Stratégie de groupe et System Center Configuration Manager: votre organisation peut encore avoir besoin de
gérer des ordinateurs joints à un domaine à un niveau granulaire tels que les paramètres de stratégie de groupe
configurables 1 500 d’Internet Explorer. Si tel est le cas, une stratégie de groupe et System Center Configuration
Manager restent un excellent choix de gestion:
La stratégie de groupe est la meilleure façon de configurer de manière granulaire des PC et tablettes
Windows joints à un domaine et connectés au réseau d’entreprise à l’aide d’outils Windows. Microsoft
continue d’ajouter des paramètres de stratégie de groupe à chaque nouvelle version de Windows.
Configuration Manager reste la solution recommandée pour une configuration granulaire avec un
déploiement logiciel robuste, des mises à jour Windows et un déploiement de système d’exploitation.
Mise à jour et maintenance

Avec Windows as a Service, votre service informatique n’a plus besoin d’effectuer de processus d’imagerie
complexes (par réinitialisation et chargement) avec chaque nouvelle version de Windows. Que ce soit sur CB ou
CBB, les appareils bénéficient des dernières mises à jour des fonctionnalités et qualité par le biais de processus
correctifs simples et souvent automatiques. Pour plus d’informations, voir Scénarios de déploiement de
Windows10.
La GPM avec Intune propose des outils permettant d’appliquer les mises à jour Windows sur les ordinateurs
clients de votre organisation. ConfigurationManager permet aux fonctionnalités de ces mises à jour, y compris les
fenêtres de maintenance et les règles de déploiement automatique de suivi et de gestion enrichies.
Étapes suivantes
Plusieurs étapes s’offrent à vous pour lancer le processus de modernisation de la gestion des appareils de votre
organisation:
Évaluez les pratiques de gestion courantes et recherchez les investissements que vous pourriez faire
aujourd’hui. Parmi vos pratiques actuelles, lesquelles peuvent rester inchangées et lesquelles pouvez vous
changer? Plus précisément, quels éléments de la gestion traditionnelle avez-vous besoin de conserver et lesquels
pouvez-vous moderniser? Que vous envisagiez de réduire l’imagerie personnalisée, de réévaluer la gestion des
paramètres ou de réestimer l’authentification et la conformité, les avantages peuvent être immédiats. Vous pouvez
utiliser l' Outil d’analyse de Migration GPM (MMAT) pour vous aider à déterminer les stratégies de groupe sont
définis pour un utilisateur/ordinateur cible et d’un leur renvoi par rapport à la liste des stratégies GPM disponibles.
Évaluez les différents cas d’utilisation et les besoins de gestion dans votre environnement. Existe-t-il des
groupes d’appareils qui pourraient bénéficier d’une gestion plus allégée et simplifiée? Les appareils BYOD, par
exemple, sont des candidats naturels à la gestion basée sur le cloud. Les utilisateurs ou les appareils traitant une
quantité plus élevée de données réglementées requièrent un domaine Active Directory sur site pour
l’authentification. Configuration Manager et EMS offrent la flexibilité d’effectuer une copie intermédiaire de
l’implémentation des scénarios de gestion modernes tout en ciblant les différents appareils de la manière qui
correspond le mieux aux besoins de votre entreprise.
Passez en revue les arbres de décision de cet article. Les différentes options de Windows10, de Configuration
Manager et d’Enterprise Mobility + Security vous donnent la flexibilité de traiter l’imagerie, l’authentification, les
paramètres et les outils de gestion pour n’importe quel scénario.
Procédez par étape. Le passage à une gestion moderne des appareils n’est pas une transformation qui s’effectue
du jour au lendemain. Vous pouvez intégrer de nouveaux systèmes d’exploitation et appareils tout en conservant
les anciens. Cette «gestion de la diversité» permet aux utilisateurs de bénéficier d’améliorations de productivité sur
les nouveaux appareils Windows10 tout en continuant à utiliser des appareils plus anciens selon vos standards en
termes de sécurité et de facilité de gestion. À partir de Windows 10, version 1803, la nouvelle stratégie
MDMWinsOverGP a été ajoutée pour autoriser les stratégies GPM sont prioritaires sur GP lors de la stratégie de
groupe et de ses stratégies GPM équivalents sont définis sur l’appareil. Vous pouvez démarrer la mise en œuvre de
stratégies GPM tout en conservant votre environnement de stratégie de groupe. Voici la liste des stratégies GPM
avec GP équivalent - stratégies prises en charge par la stratégie de groupe
Optimisez vos investissements existants. Dans le cadre du passage d’une gestion sur site classique à une
gestion moderne basée sur le cloud, tirez profit de l’architecture hybride et flexible de Configuration Manager et
Intune. À partir de Configuration Manager 1710, collaboration gestion vous permet de gérer simultanément des
appareils Windows 10 à l’aide de Configuration Manager et Intune. Consultez ces rubriques pour plus
d’informations:
Gestion de collaboration pour les appareils Windows 10
Préparer les appareils Windows 10 pour la gestion de collaboration
Basculer les charges de travail de Configuration Manager pour Intune
Tableau de bord de gestion de collaboration dans System Center Configuration Manager
Rubriques associées
Qu’est Intune?
Fournisseur CSP de stratégie Windows 10
Fournisseurs de services de Configuration de Windows 10
Guide de déploiement et de gestion de Windows10
Mobile
S’applique à:
Windows 10 Mobile, version 1511 et Windows 10 Mobile, version 1607
Ce guide est conçu pour aider les professionnels de l’informatique dans le cadre de la planification et du
déploiement d’appareils Windows10 Mobile.
Les employés s’appuient de plus en plus sur des smartphones pour effectuer des tâches quotidiennes. Cependant,
ces appareils s’accompagnent de défis uniques en matière de gestion et de sécurité. Que ce soit pour fournir des
appareils d’entreprise ou autoriser l’utilisation des appareils personnels, les services informatiques ont besoin de
déployer et de gérer rapidement des appareils et applications mobiles pour répondre aux objectifs métiers.
Toutefois, il leur faut également s’assurer que les applications et les données sur ces appareils mobiles sont
protégées contre la cybercriminalité ou la perte. Windows10 Mobile aide les organisations à relever directement
ces défis en leur offrant des technologies intégrées robustes et flexibles pour la gestion des appareils et
applications mobiles. Windows10 prend en charge la gestion du cycle de vie des appareils de bout en bout pour
permettre aux sociétés de contrôler leurs appareils, leurs données et leurs applications. Les appareils peuvent
facilement être intégrés aux pratiques standard en matière de cycle de vie, depuis l’inscription des appareils, la
configuration et la gestion des applications jusqu’à la maintenance, la surveillance et la mise hors service, à l’aide
d’une solution complète de gestion des appareils mobiles.
Dans cet article
Déployer
Configuration
Applications
Gestion
Mise hors service
Déploiement
Windows10 Mobile est doté d’un client de gestion de périphérique intégré permettant de déployer, de configurer,
de mettre à jour et d’assurer le support des smartphones. Commun à toutes les éditions du système d’exploitation
Windows10 (y compris aux versions de bureau, mobiles et IoT), ce client fournit une interface unique à travers
laquelle il est possible de gérer n’importe quel appareil exécutant Windows10 à l’aide de solutions de gestion des
périphériques mobiles (GPM ). Étant donné que le client GPM s’intègre à la gestion des identités, l’effort nécessaire
pour gérer les appareils tout au long du cycle de vie est considérablement réduit. Windows10 inclut des
fonctionnalités GPM complètes qui peuvent être gérées avec des solutions Microsoft, telles que MicrosoftIntune
ou System Center Configuration Manager, ainsi qu’avec de nombreuses solutions GPM tierces. Il est inutile
d’installer une application GPM personnalisée supplémentaire pour inscrire les appareils et les contrôler. Comme
tous les fournisseurs de systèmes GPM disposent d’un accès équivalent aux interfaces de programmation
d’applications (API) de gestion des appareils Windows10 Mobile, les organisations informatiques sont libres de
choisir le système le mieux adapté à leurs besoins spécifiques, qu’il s’agisse de MicrosoftIntune ou d’un produit
GPM tiers. Pour plus d’informations sur les API de gestion des appareils Windows10 Mobile, voir Gestion des
périphériques mobiles.
Scénarios de déploiement
S’applique à: Appareils d’entreprise et personnels
Le client GPM intégré est commun à toutes les éditions du système d’exploitation de Windows 10, y compris le
bureau, mobiles et Internet des objets (IoT). Le client fournit une interface unique par le biais duquel vous pouvez
gérer n’importe quel appareil exécutant Windows 10. Le client joue deux rôles importants: l’inscription des
appareils dans un système GPM et la gestion des appareils.
Lorsqu’il est question de déploiement d’appareils, les organisations ont généralement deux scénarios à prendre en
considération: les appareils périphériques personnels (BYOD ) et les appareils appartenant à la société (CYOD ).
Dans les deux cas, l’appareil doit être inscrit dans un système GPM, qui assure l’application des paramètres
appropriés pour l’organisation et l’employé. Les fonctionnalités de gestion des appareils de Windows10 Mobile
prennent en charge les appareils personnels utilisés dans le scénario BYOD et les appareils d’entreprise utilisés
dans le scénario CYOD. Ce système d’exploitation offre une approche flexible pour l’enregistrement des appareils
auprès des services d’annuaire et des systèmes GPM. Les services informatiques peuvent déployer des profils
complets de configuration des appareils en fonction de leurs besoins spécifiques en matière de contrôle et de
protection des données d’entreprise mobile. Les applications peuvent être approvisionnées facilement sur les
appareils personnels ou d’entreprise via le MicrosoftStore pour Entreprises, ou bien à l’aide de leur système GPM,
qui est également compatible avec le MicrosoftStore pour Entreprises pour les applications du magasin public.
Connaître le propriétaire de l’appareil et l’utilisation qui sera faite de ce dernier est essentiel pour déterminer votre
stratégie de gestion et les contrôles à mettre en place par votre organisation. Les processus de déploiement et les
stratégies de configuration peuvent varier en fonction du type de déploiement (appareils personnels, appareils
d’entreprise ou une combinaison des deux).
Dans le cas d’appareils personnels, les sociétés doivent être en mesure de gérer les applications et les données
d’entreprise et des données sur l’appareil sans empêcher l’employé de le personnaliser selon ses besoins.
L’employé est le propriétaire de l’appareil et la stratégie de l’entreprise lui permet de l’utiliser à des fins
professionnelles et personnelles, en lui laissant la possibilité d’ajouter des applications personnelles à sa guise.
Pour les organisations, le principal enjeu concernant les appareils personnels consiste à empêcher que les données
d’entreprises soient compromises, tout en préservant la confidentialité des données personnelles, qui doivent
rester sous le seul contrôle de l’employé. Pour cela, l’appareil doit prendre en charge la séparation des applications
et des données avec un contrôle strict du trafic de données d’entreprise et personnelles.
Dans le cas d’appareils d’entreprise, les organisations disposent d’un contrôle bien plus important. Le service
informatique peut fournir aux employés une liste des modèles d’appareils pris en charge ou acheter et
préconfigurer directement ces derniers. Dans la mesure où les appareils appartiennent à l’entreprise, les employés
peuvent être limités en matière de personnalisation. Les problèmes de sécurité et de confidentialité sont
généralement plus faciles à gérer, car l’appareil relève entièrement de la stratégie existante de l’entreprise.
Inscription des appareils
Le mode d’inscription dans un système GPM n’est pas le même pour les appareils d’entreprise et les appareils
personnels. Votre équipe responsable des opérations doit prendre en compte ces différences lorsqu’elle détermine
la meilleure approche pour les travailleurs mobiles de votre organisation.
Considérations relatives à l’initialisation et à l’inscription des appareils
Appareils personnels Appareils d’entreprise
Propriétaire Employé Organisation

Initialisation des appareils Durant la L’identité principale figurant sur L’identité principale figurant sur
phase OOBE (Out-of-the-Box l’appareil est une identité personnelle. l’appareil est une identité
Experience), lors du premier démarrage L’initialisation des appareils personnels d’organisation. L’initialisation des
de l’appareil, il est demandé à l’employé s’effectue à l’aide d’un compte Microsoft appareils d’entreprise s’effectue à l’aide
d’ajouter une identité cloud à l’appareil. (MSA), qui utilise une adresse de d’un compte d’organisation
messagerie personnelle. ([email protected]).
L’initialisation d’un appareil à l’aide d’un
compte d’entreprise est particulière à
Windows10. À l’heure actuelle, aucune
autre plateforme mobile ne propose
cette fonctionnalité. L’option par défaut
consiste à utiliser une identité
d’organisation Azure Active Directory. Si
la configuration d’un compte est
ignorée durant la phase OOBE, un
compte local est créé. La seule option
pour ajouter un compte cloud
ultérieurement consiste à ajouter un
compte MSA, ce qui a pour effet de
placer cet appareil dans le cadre d’un
scénario de déploiement d’appareils
personnels. Pour recommencer,
l’appareil doit être réinitialisé.
Inscription des appareils L’inscription L’inscription des appareils peut être L’utilisateur met en œuvre l’inscription
des appareils dans un système GPM mise en œuvre par les employés. Ces GPM en joignant l’appareil à l’instance
permet de contrôler et de protéger les derniers peuvent ajouter un compte Azure AD de son organisation.
données d’entreprise, tout en assurant Azure en tant que compte secondaire à L’appareil est automatiquement inscrit
la productivité des employés. l’appareil Windows10 Mobile. Si le dans le système GPM lorsqu’il
système GPM est enregistré auprès de s’enregistre dans Azure AD. Pour cela,
votre annuaire Azure AD, l’appareil est votre système GPM doit être enregistré
inscrit automatiquement dans le auprès de votre annuaire Azure AD
système GPM lorsque l’utilisateur (AAD + GPM).
ajoute un compte Azure AD en tant que
compte secondaire (MSA + AAD +
GPM). Si votre organisation ne possède
pas d’annuaire Azure AD, l’appareil de
l’employé est inscrit automatiquement
dans votre système GPM (MSA +
GPM). L’inscription GPM peut
également être lancée à l’aide d’un
package d’approvisionnement. Cette
option permet au service informatique
d’offrir un système en libre-service
simple d’utilisation pour l’inscription des
appareils personnels. À l’heure actuelle,
l’approvisionnement n’est pris en charge
que pour l’inscription GPM uniquement
(MSA + GPM).
Recommandation: Microsoft recommande l’enregistrement auprès d’Azure AD et l’inscription GPM

automatique pour les appareils d’entreprise (AAD + GPM ) et les appareils personnels (MSA + AAD + GPM ). Pour
cela, le service Azure AD Premium est requis.
Gestion des identités
Les employés ne peuvent utiliser qu’un seul compte pour initialiser un appareil, c’est pourquoi il est impératif que
votre organisation contrôle le compte qui est activé en premier. Le compte choisi déterminera qui contrôle
l’appareil et aura une influence sur vos capacités de gestion.
Remarque: Pourquoi l’utilisateur doit-il ajouter un compte à l’appareil durant la phase OOBE? Les appareils
Windows10 Mobile sont destinés à une seule personne. Les comptes d’utilisateurs donnent accès à un certain
nombre de services cloud par défaut qui optimisent la productivité et la valeur de divertissement du téléphone
pour l’utilisateur. Ces services incluent Store pour le téléchargement d’applications, Groove pour la musique et
le divertissement, Xbox pour le jeu, etc. Un compte MSA et un compte Azure AD permettent d’accéder à ces
services.
Le tableau suivant décrit l’impact du choix de l’identité sur les caractéristiques de gestion des appareils dans les
scénarios de déploiement d’appareils d’entreprise et personnels.
Considérations relatives au choix de l’identité pour la gestion des appareils
Identité personnelle Identité d’organisation
Premier compte sur l’appareil Compte Microsoft Compte Azure AD
Simplicité d’inscription Les employés utilisent leur compte Les employés utilisent leur compte
Microsoft pour activer l’appareil. Azure AD pour enregistrer l’appareil
Ensuite, ils utilisent leur compte Azure dans Azure AD et l’inscrire
AD (identité d’organisation) pour automatiquement auprès de la solution
enregistrer l’appareil dans Azure AD et GPM de l’entreprise (AAD + GPM;
l’inscrire auprès de la solution GPM de nécessite Azure AD Premium).
la société (MSA + AAD + GPM).
Gestion des informations Les employés se connectent à l’appareil Les employés se connectent à l’appareil
d’identification avec les informations d’identification de avec les informations d’identification de
leur compte Microsoft. Les utilisateurs leur compte Azure AD. Le service
ne peuvent pas se connecter aux informatique peut bloquer l’ajout d’une
appareils à l’aide de leurs informations identité personnelle, comme un compte
d’identification Azure AD, même s’ils les MSA ou un compte Google. Le service
ajoutent après l’activation initiale avec informatique contrôle toutes les
un compte Microsoft. stratégies d’accès pour les appareils,
sans restriction.
Possibilité de bloquer l’utilisation Non Oui

d’une identité personnelle sur
l’appareil
Itinérance des paramètres utilisateur L’itinérance des paramètres utilisateur Si l’employé active l’appareil avec un
et des données sur plusieurs et d’application s’effectue sur tous les compte MSA, puis ajoute un compte
appareils Windows appareils activés avec la même identité Azure AD, l’itinérance des paramètres
personnelle via OneDrive. utilisateur et d’application s’effectue. Si
l’employé ajoute son compte MSA à un
appareil joint à Azure AD, cela ne sera
pas le cas. Microsoft étudie l’itinérance
d’entreprise pour une version future.
Niveau de contrôle Les organisations peuvent appliquer la Les organisations sont libres d’appliquer
plupart des stratégies restrictives toute stratégie restrictive aux appareils
disponibles aux appareils et désactiver afin qu’ils respectent les normes et les
le compte Microsoft. Vous pouvez réglementations de conformité
empêcher les utilisateurs de reprendre auxquelles leur entreprise est soumise.
le contrôle total de leur appareil en Elles peuvent également empêcher
désinscrivant l’appareil de la solution l’utilisateur de désinscrire l’appareil de
GPM de l’entreprise ou en le l’entreprise.
réinitialisant. Des restrictions légales
peuvent s’appliquer. Pour plus
d’informations, contactez votre service
juridique.
Protection des informations Vous pouvez appliquer des stratégies Les entreprises peuvent bloquer
pour protéger et stocker des l’utilisation personnelle des appareils.
applications et des données d’entreprise L’utilisation des identités d’organisation
sur les appareils pour empêcher toute pour initialiser les appareils permet aux
perte de propriété intellectuelle, tout en entreprises de contrôler totalement les
permettant aux employés d’avoir un appareils et d’empêcher leur
contrôle total sur leurs activités personnalisation.
personnelles, telles que le
téléchargement et l’installation
d’applications et de jeux.
Achat d’applications Les employés peuvent acheter et Les employés peuvent installer des
installer des applications depuis le Store applications depuis votre Store pour
à l’aide d’une carte de crédit Entreprises. Les employés ne peuvent
personnelle. pas installer ou acheter d’applications
depuis le Store sans l’ajout d’un compte
MSA.
Remarque: Dans le contexte de Windows as a Service, la différenciation des fonctionnalités GPM changera
dans le futur.
Options d’infrastructure
Que ce soit pour un scénario de déploiement d’appareils personnels ou d’entreprise, un système GPM constitue
l’infrastructure essentielle pour déployer et gérer des appareils Windows10 Mobile. Un abonnement Azure AD
Premium est recommandé en tant que fournisseur d’identité et requis pour la prise en charge de certaines
fonctionnalités. Windows10 Mobile vous permet de disposer d’une infrastructure 100% cloud ou d’une
infrastructure hybride qui associe la gestion des identités Azure AD et un système de gestion sur site pour gérer
les appareils. Désormais, Microsoft prend également en charge une solution entièrement sur site pour la gestion
des appareils Windows10 Mobile avec Configuration Manager.
Azure Active Directory Azure AD est un service d’annuaire basé sur le cloud qui offre des fonctionnalités de
gestion des identités et des accès. Vous pouvez l’intégrer à des annuaires sur site existants pour créer une solution
de gestion des identités hybride. Les organisations qui font appel à Microsoft Office 365 ou Intune utilisent déjà
Azure Active Directory, qui se décline dans trois éditions: la version gratuite, de base ou Premium (voir Éditions
d’Azure Active Directory). Toutes les éditions prennent en charge l’enregistrement d’appareils dans Azure AD.
Toutefois, l’édition Premium est requise pour activer l’inscription GPM automatique et l’accès conditionnel basé
sur l’état de l’appareil.
Gestion des périphériques mobiles Microsoft Intune, qui fait partie de la suite Enterprise Mobility + Security,
est un système GPM basé sur le cloud permettant de gérer les appareils hors site. Comme Office 365, Intune fait
appel à Azure AD pour la gestion des identités afin que les employés utilisent les mêmes informations
d’identification pour inscrire les appareils dans Intune ou se connecter à Office 365. Intune prend en charge les
appareils qui exécutent d’autres systèmes d’exploitation, tels qu’iOS et Android, pour offrir une solution GPM
complète. Vous pouvez également intégrer Intune à Configuration Manager afin de bénéficier d’une console
unique pour la gestion de tous les appareils, mobiles et PC, dans le cloud et sur site. Pour plus d’informations, voir
Gérer les appareils mobiles avec Configuration Manager et Microsoft Intune. Pour obtenir des recommandations
sur le choix entre une installation Intune autonome et l’intégration d’Intune à System Center Configuration
Manager, voir Choisir entre Intune seul ou intégré à System Center Configuration Manager. De nombreux
systèmes GPM prennent en charge Windows10. La plupart prennent en charge les scénarios de déploiement
d’appareils personnels et d’entreprise. Actuellement, les fournisseurs GPM qui assurent la prise en charge de
Windows10 Mobile incluent entre autres AirWatch, Citrix, MobileIron, SOTI et Blackberry. La plupart des
fournisseurs GPM majeurs prennent déjà en charge l’intégration à Azure AD. Vous trouverez les fournisseurs
GPM prenant en charge Azure AD dans Azure Marketplace. Si votre organisation n’utilise pas Azure AD,
l’utilisateur doit utiliser un compte Microsoft durant la phase OOBE avant d’inscrire l’appareil dans votre système
GPM à l’aide d’un compte d’entreprise.
Remarque: Bien que cela ne soit pas abordé dans ce guide, vous pouvez utiliser Exchange ActiveSync (EAS )
pour gérer des appareils mobiles au lieu d’un système GPM complet. EAS est disponible dans Microsoft
Exchange Server 2010 ou version ultérieure et Office 365. En outre, Microsoft a récemment ajouté des
fonctionnalités GPM avec Intune à Office 365. La GPM pour Office 365 prend en charge les appareils mobiles,
tels que ceux exécutant Windows10 Mobile, iOS et Android. La GPM pour Office 365 offre un sous-ensemble
de fonctionnalités de gestion proposées par Intune, y compris la possibilité d’effacer un appareil à distance, de
configurer des stratégies d’appareil (par exemple, l’exigence d’un code secret) et d’empêcher un appareil
d’accéder à la messagerie Exchange Server. Pour plus d’informations sur les fonctionnalités de GPM pour
Office 365, voir Vue d’ensemble de la gestion des appareils mobiles pour Office 365.
Services cloud Sur les appareils mobiles exécutant Windows10 Mobile, les utilisateurs peuvent se connecter
facilement à des services cloud qui fournissent des notifications utilisateur et collectent des données de diagnostic
et d’utilisation. Windows10 Mobile permet aux organisations de gérer la façon dont les appareils consomment ces
services cloud.
Services de notifications Push Windows Les services de notifications Push Windows permettent aux
développeurs de logiciels d’envoyer des mises à jour de toasts, de vignettes et de badges, ainsi que des mises à
jour brutes depuis leur service cloud. Il en résulte un mécanisme efficace et fiable de remise des mises à jour aux
utilisateurs. Cependant, les notifications Push peuvent affecter l’autonomie de la batterie. Par conséquent,
l’économiseur de batterie de Windows10 Mobile limite l’activité en arrière-plan sur les appareils afin de prolonger
la durée de vie de la batterie. Les utilisateurs peuvent configurer l’économiseur de batterie de sorte qu’il s’active
automatiquement lorsque le niveau de la batterie descend en dessous d’un seuil défini. Lorsque l’économiseur de
batterie est activé, Windows10 Mobile désactive la réception de notifications Push afin de réduire la
consommation d’énergie. Il existe toutefois une exception à ce comportement. Dans Windows10 Mobile, le
paramètre d’économiseur de batterie Toujours autorisée (disponible dans l’application Paramètres) permet aux
applications de recevoir des notifications Push même lorsque l’économiseur de batterie est activé. Les utilisateurs
peuvent configurer manuellement cette liste, ou le service informatique peut utiliser le système GPM pour
configurer le schéma URI des paramètres de l’économiseur de batterie dans Windows10 Mobile (ms-
settings:batterysaver-settings).
Pour plus d’informations sur l’attestation d’intégrité dans Windows10 Mobile, voir le Guide sur la sécurité
Windows10 Mobile.
Windows Update for Business Microsoft a conçu Windows Update for Business afin d’offrir aux administrateurs
informatiques des fonctionnalités de gestion supplémentaires dans WindowsUpdate, telles que la possibilité de
déployer des mises à jour sur des groupes d’appareils et de définir des fenêtres de maintenance pour l’installation
de ces dernières.
MicrosoftStore pour Entreprises Le MicrosoftStore pour Entreprises est l’endroit où les administrateurs
informatiques peuvent trouver, acheter, gérer et distribuer des applications pour les appareils Windows10. Cela
inclut à la fois les applications métier internes et les applications tierces disponibles à la vente.
Configuration
Les administrateurs GPM peuvent définir et implémenter des paramètres de stratégie sur n’importe quel appareil
personnel ou d’entreprise inscrit dans un système GPM. Les paramètres de configuration utilisés diffèrent selon le
scénario de déploiement. Ce sont les appareils mobiles qui offrent au service informatique le plus de possibilités
de contrôle.
Remarque: Ce guide est conçu pour éclairer les professionnels de l’informatique sur les options de gestion
disponibles pour le système d’exploitation Windows10 Mobile. Consultez la documentation de votre système
GPM pour comprendre comment ces stratégies sont activées par votre fournisseur GPM. Tous les paramètres
décrits dans ce guide ne sont pas pris en charge par l’ensemble des systèmes GPM. Certains d’entre eux
prennent en charge des stratégies personnalisées par le biais de fichiers XML OMA-URI. Voir Prise en charge
des stratégies personnalisées dans MicrosoftIntune. Les conventions d’affectation de noms peuvent également
varier parmi les fournisseurs GPM.
Profil de compte
S’applique à: Appareils d’entreprise
Il est important de restreindre les comptes utilisables par les employés sur un appareil d’entreprise pour éviter les
pertes de données et protéger la confidentialité. La limitation de l’appareil à un seul compte contrôlé par
l’organisation permet de réduire le risque de violation de données. Toutefois, vous pouvez choisir d’autoriser les
employés à ajouter un compte Microsoft ou d’autres comptes de messagerie grand public.
Autoriser un compte Microsoft Indique si les utilisateurs sont autorisés à ajouter un compte Microsoft sur
l’appareil et à utiliser ce compte pour s’authentifier auprès de services cloud, tels que l’achat d’applications dans
MicrosoftStore, Xbox ou Groove.
Autoriser l’ajout de comptes autres que Microsoft Indique si les utilisateurs sont autorisés à ajouter des
comptes de messagerie autres que des comptes Microsoft.
Comptes de messagerie
La messagerie et le calendrier et les contacts associés sont les applications auxquelles les utilisateurs accèdent le
plus sur leur smartphone. La réussite de n’importe quel programme de mobilité repose sur une configuration
correcte de ces applications. Dans les scénarios de déploiement d’appareils personnels et d’entreprise, ces
paramètres de compte de messagerie sont déployés immédiatement après l’inscription. À l’aide de votre système
GPM d’entreprise, vous pouvez définir des profils de compte de messagerie d’entreprise, les déployer sur des
appareils et gérer les stratégies de boîte de réception.
La plupart des systèmes de messagerie d’entreprise tirent parti d’Exchange ActiveSync (EAS ). Pour plus
d’informations sur la configuration des profils de messagerie EAS, voir Fournisseur CSP ActiveSync.
Vous pouvez également configurer des comptes de messagerie SMTP (Simple Mail Transfer Protocol) avec
votre système GPM. Pour plus d’informations sur la configuration de profils de messagerie SMTP, voir le
fournisseur de services de configuration de messagerie. Pour le moment, MicrosoftIntune ne prend pas en
charge la création de profils de messagerie SMTP.
Restrictions par le verrouillage d’appareil
Il est courant de protéger un périphérique qui contient des informations d’entreprise avec un code secret lorsqu’il
n’est pas utilisé. Microsoft recommande d’implémenter une stratégie de verrouillage d’appareil pour les appareils
Windows10 Mobile afin de sécuriser les applications et les données de façon optimale. Vous pouvez utiliser un
mot de passe complexe ou un code confidentiel numérique pour verrouiller les appareils. Introduit dans
Windows10, WindowsHello vous permet d’utiliser un code confidentiel, un dispositif complémentaire (comme le
Microsoft Band) ou la biométrie pour valider votre identité et déverrouiller les appareils Windows10 Mobile.
Remarque: La première livraison de Windows10 incluait MicrosoftPassport et WindowsHello, qui

fonctionnaient ensemble pour fournir l’authentification multifacteur. Pour simplifier le déploiement et
améliorer la capacité de prise en charge, Microsoft a combiné ces technologies au sein d’une seule solution
sous le nom WindowsHello. Les clients qui ont déjà déployé ces technologies ne remarqueront aucun
changement de fonctionnalité. Les clients qui n’ont pas encore évalué WindowsHello trouveront le
déploiement plus facile grâce à des stratégies, une documentation et une sémantique simplifiées. L’utilisation
de la biométrie avec WindowsHello nécessite du matériel spécialisé, notamment un lecteur d’empreintes
digitales, un capteur infrarouge ou d’autres capteurs biométriques. La protection au niveau matériel des
informations d’identification de WindowsHello nécessite le module de plateforme sécurisée (TPM ) version1.2
ou supérieure; si aucun TPM n’est disponible ou configuré, la protection des informations d’identification/clés
se fera au niveau logiciel. Les dispositifs complémentaires doivent être couplés aux PC Windows10 via
Bluetooth. L’utilisation d’un dispositif complémentaire WindowsHello qui permet l’itinérance des informations
d’identification WindowsHello nécessite l’édition Professionnel ou Entreprise sur le PC Windows10 auquel
l’utilisateur se connecte.
La plupart des stratégies de restriction par le verrouillage d’appareil sont disponibles via ActiveSync et GPM
depuis Windows Phone7 et sont toujours disponibles aujourd’hui pour Windows10 Mobile. Si vous déployez des
appareils Windows10 dans le cadre d’un scénario de déploiement d’appareils personnels, les paramètres suivants
s’appliquent.
Mot de passe d’appareil activé Indique si les utilisateurs sont tenus d’utiliser un mot de passe de
verrouillage d’appareil.
Autoriser un mot de passe simple d’appareil Indique si les utilisateurs peuvent utiliser un mot de passe
simple (par exemple, 1111 ou 1234).
Mot de passe alphanumérique d’appareil complet Indique si les utilisateurs doivent utiliser un mot de
passe alphanumérique. Si ce paramètre est configuré, Windows invite l’utilisateur à entrer un mot de passe
complexe à l’aide d’un clavier d’appareil complet. Si ce paramètre n’est pas configuré, l’utilisateur peut entrer un
code confidentiel numérique au clavier.
Nombre minimal de caractères complexes du mot de passe de l’appareil Nombre de types d’éléments
de mot de passe (en d’autres termes, les lettres majuscules, les lettres minuscules, les numéros ou les signes de
ponctuation) requis pour la création de mots de passe forts.
Historique du mot de passe de l’appareil Nombre de mots de passe conservés par Windows10 Mobile
dans l’historique des mots de passe (les utilisateurs ne peuvent pas réutiliser les mots de passe figurant dans
l’historique pour créer de nouveaux mots de passe).
Longueur minimale du mot de passe de l’appareil Nombre minimal de caractères requis pour créer de
nouveaux mots de passe.
Durée d’inactivité maximale avant verrouillage de l’appareil Nombre de minutes d’inactivité avant le
verrouillage des appareils. Le déverrouillage nécessite un mot de passe.
Autoriser la sortie du mode inactif sans mot de passe Indique si les utilisateurs doivent s’authentifier à
nouveau lorsque leur appareil sort d’un état de veille avant la fin de la durée d’inactivité.
Nombre maximal de tentatives de saisie du mot de passe de l’appareil Nombre d’échecs
d’authentification autorisés avant que le contenu d’un appareil ne soit effacé (une valeur nulle désactive la
fonctionnalité de réinitialisation de l’appareil).
Délai d’expiration de l’écran de verrouillage Nombre de minutes avant l’expiration de l’écran de
verrouillage (cette stratégie influe sur la gestion de l’alimentation de l’appareil).
Autoriser la configuration utilisateur du délai d’expiration de l’écran de verrouillage Indique si les
utilisateurs peuvent configurer manuellement le délai d’expiration de l’écran lorsque l’écran de l’appareil est
verrouillé (Windows10 Mobile ne tient pas compte du paramètre Délai d’expiration de l’écran de
verrouillage si vous désactivez ce paramètre).
Si vous déployez des appareils dans le cadre d’un déploiement d’appareils d’entreprise, les paramètres liés à
WindowsHello constituent des paramètres de verrouillage d’appareil qu’il est important de configurer. Microsoft a
rendu obligatoire la création d’un code secret pour tous les utilisateurs dans le cadre d’Azure AD Join. Par défaut,
cette stratégie requiert la sélection d’un code secret à 4chiffres, mais la complexité peut être configurée en fonction
des exigences précises de votre organisation avec un système GPM enregistré dans AAD. Si vous utilisez Azure
AD avec un mécanisme d’inscription GPM automatique, ces paramètres de stratégie sont automatiquement
appliqués lors de l’inscription d’appareils.
Vous remarquerez que certains des paramètres sont très similaires, en particulier ceux liés à la longueur,
l’historique, l’expiration et la complexité du code secret. Si vous définissez la stratégie à plusieurs endroits, les deux
stratégies seront appliquées, la stratégie la plus forte étant retenue. Pour plus d’informations, voir Fournisseur
CSP PassportForWork, Fournisseur CSP DeviceLock (WindowsPhone8.1) et Fournisseur CSP Policy.
Empêcher la modification des paramètres
Les employés sont généralement autorisés à modifier certains paramètres d’appareils personnels que vous
souhaiterez peut-être verrouiller sur des appareils d’entreprise. Les employés peuvent ajuster certains paramètres
du téléphone de façon interactive via les applets de paramètres. À l’aide du système GPM, vous pouvez limiter les
possibilités de modification des utilisateurs.
Autoriser Votre compte Indique si les utilisateurs sont en mesure de modifier la configuration de compte
dans le volet E -mail et comptes de Paramètres.
Autoriser le VPN Permet aux utilisateurs de modifier les paramètresVPN.
Autoriser l’Assistant Données Permet aux utilisateurs de modifier les paramètres de l’Assistant Données.
Autoriser Date/Heure Permet aux utilisateurs de modifier les paramètres de date et d’heure.
Autoriser la modification du nom de l’appareil Permet aux utilisateurs de modifier le nom de l’appareil.
Autoriser la mise à jour des modèles de fonctions vocales Indique si l’appareil doit recevoir des mises à
jour des modèles de reconnaissance vocale et de synthèse vocale (pour améliorer la précision et les
performances).
Restrictions matérielles
Les appareils Windows10 Mobile utilisent des technologies de pointe qui comprennent des fonctionnalités
matérielles courantes, telles que des appareils photo, des capteurs GPS, des microphones, des haut-parleurs, des
radios NFC, des emplacements de cartes de stockage, des interfaces USB, des interfaces Bluetooth, des radios
cellulaires et le Wi-Fi. Vous pouvez utiliser les restrictions matérielles pour contrôler la disponibilité de ces
fonctionnalités.
Vous trouverez ci-dessous une liste des paramètres GPM pris en charge par Windows10 Mobile pour configurer
les restrictions matérielles.
Remarque: Certaines de ces restrictions matérielles assurent la connectivité et contribuent à protéger les
données.
Autoriser NFC Indique si la radio NFC est activée.

Autoriser la connexion USB Indique si la connexion USB est activée (ce paramètre n’affecte pas le
chargement USB ).
Autoriser le Bluetooth Indique si les utilisateurs peuvent activer et utiliser la radio Bluetooth sur leurs
appareils.
Autoriser la publicité Bluetooth Indique si l’appareil peut agir en tant que source pour les annonces
publicitaires Bluetooth et être détectable par d’autres appareils.
Autoriser le mode détectable Bluetooth Indique si l’appareil peut détecter d’autres appareils (par exemple,
des casques).
Autoriser le précouplage Bluetooth Indique si des périphériques Bluetooth groupés spécifiques peuvent se
coupler automatiquement à l’appareil hôte.
Liste des services Bluetooth autorisés Liste des services et des profils Bluetooth auxquels l’appareil peut se
connecter.
Définir le nom de l’appareil Bluetooth local Nom de l’appareil Bluetooth local.
Autoriser l’appareil photo Indique si l’appareil photo est activé.
Autoriser la carte de stockage Indique si la carte de stockage est activée.
Autoriser l’enregistrement vocal Indique si l’utilisateur peut utiliser le microphone pour créer des
enregistrements vocaux.
Autoriser le service de localisation Indique si l’appareil peut utiliser le capteur GPS ou d’autres méthodes
pour déterminer l’emplacement pour permettre aux applications d’exploiter les informations de localisation.
Certificats
S’applique à: Appareils personnels et d’entreprise
Les certificats contribuent à améliorer la sécurité en permettant l’authentification de compte, l’authentification Wi
Fi, le chiffrement VPN et le chiffrement SSL du contenu web. Bien que les utilisateurs puissent gérer
manuellement les certificats sur les appareils, il est recommandé d’utiliser votre système GPM pour gérer ces
certificats tout au long de leur cycle de vie, de l’inscription à la révocation en passant par le renouvellement. Pour
installer les certificats manuellement, vous pouvez les publier sur le site web MicrosoftEdge ou les envoyer
directement par e-mail, ce qui est idéal à des fins de test. À l’aide des systèmes SCEP et GPM, la gestion des
certificats est entièrement transparente et ne nécessite aucune intervention de la part de l’utilisateur. Elle permet
ainsi d’améliorer la productivité de l’utilisateur et de réduire les appels au support technique. Votre système GPM
peut déployer automatiquement ces certificats vers les magasins de certificats de l’appareil une fois que celui-ci a
été inscrit (à condition que le système GPM prenne en charge le protocole d’inscription de certificats simple
[SCEP ] ou l’échange d’informations personnelles [PFX]). Le serveurGPM peut également interroger et supprimer
un certificat client inscrit via le protocoleSCEP (y compris un certificat installé par l’utilisateur) ou déclencher une
nouvelle demande d’inscription avant l’expiration du certificat actuel. Outre la gestion des certificats SCEP,
Windows10 Mobile prend en charge le déploiement de certificats PFX. Le tableau ci-dessous répertorie les
paramètres de déploiement de certificats PFX offerts par Windows10 Mobile. Pour plus d’informations sur la
gestion de certificats GPM, voir le fournisseur de services de configuration pour l’installation de certificats client et
Installer des certificats numériques sur Windows10 Mobile. Utilisez le paramètre Autoriser l’installation manuelle
de certificats racines pour empêcher les utilisateurs d’installer manuellement des certificats d’autorité de
certification racines et intermédiaires de manière intentionnelle ou accidentelle.
Remarque: Pour diagnostiquer les problèmes liés aux certificats sur les appareils Windows10 Mobile, utilisez
l’application gratuite Certificats disponible dans le MicrosoftStore. Cette application Windows10 Mobile vous
permet d’effectuer les actions suivantes:
Afficher une synthèse de tous les certificats personnels
Afficher les détails des certificats individuels
Afficher les certificats utilisés pour l’authentification VPN, Wi-Fi et de messagerie
Identifier les certificats ayant potentiellement expiré
Vérifier le chemin d’accès du certificat et confirmer que vous détenez les certificats d’autorité de
certification racines et intermédiaires corrects
Afficher les clés de certificat stockées dans le module de plateforme sécurisée de l’appareil
Profils Wi-Fi
Le Wi-Fi est utilisé sur les appareils mobiles autant, voire plus que les connexions de données cellulaires. La
plupart des réseaux Wi-Fi nécessitent des certificats et d’autres informations complexes visant à limiter et à
sécuriser l’accès des utilisateurs. Ces informations Wi-Fi avancées sont difficiles à configurer pour les utilisateurs
standard. Toutefois, les systèmes GPM permettent de configurer intégralement ces profils Wi-Fi, sans intervention
de la part de l’utilisateur. Vous pouvez créer plusieurs profils Wi-Fi dans votre système GPM. Le tableau ci-
dessous répertorie les paramètres de profil de connexion Wi-Fi Windows10 Mobile qui peuvent être configurés
par les administrateurs.
SSID Nom sensible à la casse de l’identificateur SSID (Service Set Identifier) du réseau Wi-Fi.
Type de sécurité Type de sécurité utilisé par le réseau Wi-Fi; peut être un des types d’authentification suivants:
Open 802.11
Shared 802.11
WPA-Enterprise 802.11
WPA-Personal 802.11
WPA2-Enterprise 802.11
WPA2-Personal 802.11
Chiffrement de l’authentification Type de chiffrement utilisé pour l’authentification; peut être une des
méthodes de chiffrement suivantes:
Aucun (aucun chiffrement)
Wired Equivalent Privacy
Temporal Key Integrity Protocol
Advanced Encryption Standard (AES )
Extensible Authentication Protocol Transport Layer Security (EAP -TLS ) Les types de sécurité WPA-
Enterprise 802.11 et WPA2-Enterprise 802.11 peuvent utiliser le protocole EAP -TLS avec des certificats pour
l’authentification.
Protocole PEA avec Protocole CHAP (Challenge Handshake Authentication Protocol) Microsoft
version 2 (PEAP -MSCHAPv2) Les types de sécurité WPA-Enterprise 802.11 et WPA2-Enterprise 802.11
peuvent utiliser le protocole PEAP -MSCHAPv2 avec un nom d’utilisateur et un mot de passe pour
l’authentification.
Clé partagée Les types de sécurité WPA-Personal 802.11 et WPA2-Personal 802.11 peuvent utiliser une clé
partagée pour l’authentification.
Proxy Configuration de tout réseau proxy requis par la connexion Wi-Fi (pour spécifier le serveur proxy,
utilisez son nom de domaine complet [FQDN ], son adresse IPv4 [Internet Protocol version4], son adresse IPv6
[Internet Protocol version6] ou son adresse IPvFuture).
Désactiver les contrôles de connectivité Internet Indique si la connexion Wi-Fi doit vérifier la connectivité
Internet.
URL d’autoconfiguration du Proxy URL qui indique le fichier d’autoconfiguration du proxy.
Activer le protocole WPAD (Web Proxy Auto-Discovery) Indique si le protocole WPAD est activé.
Vous pouvez également définir certains paramètres Wi-Fi s’appliquant aux appareils.
Autoriser la connexion automatique aux points d’accès de l’Assistant Wi-Fi Indique si l’appareil peut
automatiquement détecter les réseaux Wi-Fi et s’y connecter.
Autoriser la configuration manuelle Wi-Fi Indique si l’utilisateur peut configurer manuellement les
paramètres Wi-Fi.
Autoriser le Wi-Fi Indique si le matériel Wi-Fi est activé.
Autoriser le partage Internet Autoriser ou interdire le partage Internet.
Mode de balayage WLAN Mode de balayage des réseaux Wi-Fi de l’appareil.
Pour plus d’informations sur les paramètres de profil de connexion Wi-Fi, voir Fournisseur CSP Wi-Fi et
Fournisseur CSP Policy.
Profils APN
Un nom de point d’accès (APN ) définit les chemins d’accès réseau pour la connectivité de données cellulaires. En
règle générale, vous ne définissez qu’un APN pour un appareil en association avec un opérateur mobile. Toutefois,
vous pouvez définir plusieurs APN si votre société utilise plusieurs opérateurs mobiles. Un APN fournit une
connexion privée au réseau d’entreprise qui n’est pas disponible pour les autres sociétés connectées au réseau de
l’opérateur mobile. Vous pouvez définir et déployer des profils APN dans des systèmes GPM qui configurent la
connectivité de données cellulaires pour Windows10 Mobile. Les appareils exécutant Windows10 Mobile ne
peuvent avoir qu’un seul profil APN. Vous trouverez ci-dessous la liste des paramètres GPM pris en charge par
Windows10 Mobile pour les profils APN.
Nom APN Nom de l’APN.
Type de connexion IP Type de connexion, défini sur une des valeurs suivantes:
IPv4 uniquement
IPv6 uniquement
IPv4 et IPv6 simultanément
IPv6 avec IPv4 fournie par 46xlat
LTE associé Indique si l’APN doit être attaché dans le cadre d’une association LTE.
ID de classe APN Identifiant global unique qui définit la classe APN sur le modem.
Type d’authentification APN Type d’authentification APN, défini sur l’une des valeurs suivantes:
Aucun
Auto
PAP
CHAP
MSChapv2
Nom d’utilisateur Compte d’utilisateur lorsque les utilisateurs sélectionnent le type d’authentification PAP
(Password Authentication Protocol), CHAP ou MSCHAPv2 dans Type d’authentification APN.
Mot de passe Mot de passe du compte d’utilisateur défini dans Nom d’utilisateur.
ID de carte à circuit intégré ID de carte à circuit intégré associé au profil de connexion cellulaire.
Toujours activé Indique si le gestionnaire de connexion tente automatiquement de se connecter à l’APN dès
que ce dernier est disponible.
Connexion activée Indique si la connexion APN est activée.
Autoriser le contrôle utilisateur Permet aux utilisateurs de se connecter à des APN autres que l’APN
d’entreprise.
Masquer l’affichage Indique si l’expérience utilisateur cellulaire permet à l’utilisateur de voir les APN
d’entreprise.
Pour plus d’informations sur les paramètres APN, voir Fournisseur de services de configuration APN.
Proxy
Vous trouverez ci-dessous la liste des paramètres Windows10 Mobile permettant de gérer les paramètres de
proxy APN pour la connectivité des appareils Windows10 Mobile.
Nom de la connexion Indique le nom de la connexion à laquelle le proxy est associé (il s’agit du nom APN
d’une connexion configurée).
Ignorer les adresses locales Indique si le proxy doit être ignoré lorsque l’appareil accède à des hôtes locaux.
Activer Indique si le proxy est activé.
Exception Liste des hôtes externes qui doivent ignorer le proxy en cas d’accès, séparés par des points-virgules.
Nom d’utilisateur Indique le nom d’utilisateur utilisé pour se connecter au proxy.
Mot de passe Indique le mot de passe utilisé pour se connecter au proxy.
Serveur Indique le nom du serveur proxy.
Type de connexion proxy Type de connexion proxy, prenant en charge les valeurs suivantes: Proxy Null,
HTTP, WAP, SOCKS4.
Port Numéro de port de la connexion proxy.
Pour plus d’informations sur les paramètres de proxy, voir Fournisseur CSP CM_ProxyEntries.
VPN
Les organisations font souvent appel à une connexion VPN pour contrôler l’accès aux applications et aux
ressources sur l’intranet de leur société. Outre les VPN Microsoft natifs PPTP (Point to Point Tunneling Protocol),
L2TP (Layer 2 Tunneling Protocol) et IKEv2 (Internet Key Exchange Protocol version2), Windows10 Mobile prend
en charge les connexions VPN SSL, qui nécessitent un plug-in téléchargeable depuis le MicrosoftStore et sont
propres au fournisseur de VPN pour lequel vous optez. Ces plug-ins fonctionnent comme des applications et
peuvent être installés directement depuis le MicrosoftStore à l’aide de votre système GPM (voir Gestion des
applications).
Vous pouvez créer et approvisionner plusieurs profils de connexion VPN, puis les déployer sur des appareils gérés
qui exécutent Windows10 Mobile. Pour créer un profil VPN faisant appel aux protocoles VPN Windows10 Mobile
natifs (tels que IKEv2, PPTP ou L2TP ), vous pouvez utiliser les paramètres suivants:
Serveurs VPN Serveur VPN du profil VPN.
Type de stratégie de routage Type de stratégie de routage utilisé par le profil VPN; peut être défini sur l’une
des valeurs suivantes:
Tunnel fractionné: seul le trafic réseau destiné à l’intranet passe par la connexion VPN.
Tunnel forcé: tout le trafic passe par la connexion VPN.
Type de protocole Tunneling Protocole Tunneling utilisé pour les profils VPN qui font appel aux protocoles
VPN Windows10 Mobile natifs; peut être défini sur une des valeurs suivantes: PPTP, L2TP, IKEv2,
Automatique.
Méthode d’authentification utilisateur La méthode d’authentification utilisateur de la connexion VPN peut
être définie sur la valeur EAP ou MSChapv2 (Windows10 Mobile ne prend pas en charge la valeur MSChapv2
pour les connexions VPN IKEv2).
Certificat de l’ordinateur Certificat d’ordinateur utilisé pour les connexions VPN IKEv2.
Configuration EAP Afin de créer une expérience d’authentification unique pour les utilisateurs de la
connexion VPN à l’aide de l’authentification par certificat, vous devez créer un fichier de configuration XML de
configuration EAP (Extensible Authentication Protocol) et l’inclure dans le profil VPN.
L2tpPsk Clé prépartagée utilisée pour une connexion L2TP.
Suite de chiffrement Permet la sélection des attributs de suite de chiffrement utilisés pour la tunnelisation
IPsec.
Remarque: Le moyen le plus simple de créer un profil pour une expérience d’authentification unique avec un
fichier XML de configuration EAP consiste à utiliser l’outil rasphone sur un PC Windows10. Lorsque vous
exécutez le fichier rasphone.exe, un assistant de configuration vous guide à travers les étapes nécessaires. Pour
obtenir des instructions détaillées sur la création de l’objet blob XML de configuration EAP, voir Configuration
EAP. Vous pouvez utiliser l’objet blob XML obtenu dans le système GPM pour créer le profil VPN sur le
téléphone Windows10 Mobile. Si vous avez plusieurs certificats sur les appareils, il peut être judicieux de
configurer des conditions de filtrage pour la sélection automatique du certificat afin que l’employé n’ait pas
besoin de sélectionner un certificat d’authentification chaque fois que la connexion VPN est activée. Pour plus
d’informations, voir cet article. Windows10 pour PC et Windows10 Mobile possèdent le même client VPN.
Les plug-ins VPN du MicrosoftStore pour la connexion VPN vous permettent de créer un profil de plug-in VPN
avec les attributs suivants:
Serveur VPN Liste des serveurs VPN, séparés par des virgules; vous pouvez spécifier les serveurs avec une
URL, le nom d’hôte complet ou l’adresse IP.
Configuration personnalisée Objet blob XML codé au format HTML pour les informations de configuration
spécifiques du plug-in VPN SSL (par exemple, les informations d’authentification) requises par le fournisseur
de plug-in.
Nom de famille du plug-in VPN du MicrosoftStore Indique le nom de famille du package du
MicrosoftStore pour le plug-in VPN du Microsoft Store.
Vous pouvez également spécifier les paramètres suivants pour chaque profil VPN:
Liste du déclencheur d’application Vous pouvez ajouter une liste de déclencheur d’application à chaque
profil VPN. L’application spécifiée dans la liste déclenche automatiquement le profil VPN pour la connectivité
intranet. Lorsque plusieurs profils VPN sont nécessaires pour servir plusieurs applications, le système
d’exploitation établit automatiquement la connexion VPN lorsque l’utilisateur bascule entre les applications.
Une seule connexion VPN peut être active à la fois. Si l’appareil perd la connexion VPN, Windows10 Mobile se
reconnecte automatiquement au réseau privé virtuel, sans intervention de la part de l’utilisateur.
Liste d’itinéraires Liste des itinéraires à ajouter à la table de routage de la connexion VPN. Cette liste est
nécessaire pour les cas de tunnelisation fractionnée où le site du serveur VPN possède plus de sous-réseaux
que le sous-réseau par défaut basé sur l’adresse IP attribuée à l’interface.
Liste d’informations de noms de domaine Règles de table de stratégie de résolution de noms pour le profil
VPN.
Liste de filtres de trafic Définit une liste de règles. Seul le trafic conforme à ces règles peut être envoyé via
l’interface VPN.
Suffixes DNS Liste des suffixes DNS de la connexion VPN, séparés par des virgules. Tous les suffixes DNS de
cette liste sont automatiquement ajoutés à la liste de recherche de suffixes DNS.
Proxy Toute prise en charge de proxy post-connexion requise pour la connexion VPN; comprend le nom du
serveur proxy et l’URL de configuration automatique du proxy. Spécifie l’URL permettant de récupérer
automatiquement les paramètres du serveur proxy.
Connexion toujours active Le VPN toujours actif offert par Windows10 Mobile permet de démarrer
automatiquement une connexion VPN lorsqu’un utilisateur se connecte. Le VPN reste connecté jusqu’à ce que
l’utilisateur le déconnecte manuellement.
Mémoriser les informations d’identification Indique si la connexion VPN met en cache les informations
d’identification.
Détection de réseaux approuvés Liste des réseaux approuvés, séparés par des virgules, qui empêche le
réseau privé virtuel de se connecter lorsque l’intranet est directement accessible (Wi-Fi).
ID du mode de protection des données d’entreprise ID d’entreprise facultatif permettant le déclenchement
automatique de la connexion VPN par une application définie à l’aide d’une stratégie Protection des
informations Windows.
Conformité de l’appareil Permet de configurer un accès conditionnel basé sur Azure AD pour le VPN et
d’autoriser cette authentification unique avec un certificat différent du certificat d’authentification VPN pour
l’authentification Kerberos en cas de conformité de l’appareil.
Profil VPN de verrouillage Un profil VPN de verrouillage présente les caractéristiques suivantes:
Il s’agit d’un profil VPN toujours actif.
Il ne peut jamais être déconnecté.
Si le profil VPN n’est pas connecté, l’utilisateur ne dispose pas de connectivité réseau.
Aucun autre profil VPN ne peut être connecté ou modifié.
ProfileXML Si votre système GPM ne prend pas en charge tous les paramètres VPN que vous souhaitez
configurer, vous pouvez créer un fichier XML qui définit le profil VPN à appliquer à tous les champs requis.
Pour plus d’informations sur les profils VPN, voir Fournisseur CSP VPNv2.
Certains paramètres de gestion des connexions VPN s’appliquant aux appareils vous aident à gérer les réseaux
VPN sur des connexions de données cellulaires pour réduire les coûts liés à l’itinérance ou aux forfaits de données.
Autoriser le VPN Indique si les utilisateurs peuvent modifier les paramètres VPN.
Autoriser le VPN sur cellulaire Indique si les utilisateurs peuvent établir des connexions VPN sur les réseaux
cellulaires.
Autoriser le VPN sur cellulaire lors de l’itinérance Indique si les utilisateurs peuvent établir des connexions
VPN sur les réseaux cellulaires lors de l’itinérance.
Gestion du stockage
La protection des applications et des données stockées sur un appareil est essentielle à la sécurité de l’appareil.
Une méthode pour protéger vos applications et vos données consiste à chiffrer le stockage interne de l’appareil. Le
chiffrement de l’appareil dans Windows 10 Mobile contribue à protéger les données d’entreprise contre tout accès
non autorisé, même lorsqu’un utilisateur non autorisé est physiquement en possession de l’appareil.
Windows10 Mobile permet également d’installer des applications sur une carte mémoire SD (Secure Digital). Le
système d’exploitation stocke les applications sur une partition dédiée. Cette fonctionnalité est toujours activée.
Vous n’avez donc pas besoin de définir de stratégie explicite pour l’activer.
La carte SD est exclusivement couplée à un appareil. Aucun autre appareil ne peut voir les applications ou les
données figurant sur la partition chiffrée. Toutefois, ils peuvent accéder aux données stockées sur la partition non
chiffrée de la carte SD, telles que de la musique ou des photos. Les utilisateurs ont ainsi la possibilité d’utiliser une
carte SD tout en protégeant les applications et les données confidentielles qu’elle contient.
Si vous souhaitez empêcher complètement les utilisateurs d’utiliser des cartes SD, vous pouvez désactiver le
paramètre Autoriser la carte de stockage. Si vous choisissez de ne pas chiffrer le stockage, vous pouvez
protéger vos données et applications d’entreprise à l’aide des paramètres Limiter les données d’application au
volume système et Limiter les applications au volume système. Les utilisateurs ne pourront ainsi pas copier vos
applications et données sur des cartes SD.
Voici la liste des paramètres GPM de gestion du stockage proposés par Windows10 Mobile.
Autoriser la carte de stockage Indique si l’utilisation de cartes de stockage est autorisée pour le stockage de
données.
Exiger le chiffrement de l’appareil Indique si le stockage interne est chiffré (si un appareil est chiffré, vous
ne pouvez pas utiliser de stratégie pour désactiver le chiffrement).
Méthode de chiffrement Indique la méthode de chiffrement de lecteur BitLocker et le niveau de chiffrement;
peut être définie sur une des valeurs suivantes:
AES -CBC 128bits
AES -CBC 256 bits
XTS –AES 128 bits (méthode par défaut)
XTS -AES 256bits
Autoriser la stratégie d’algorithme FIPS Indique si l’appareil autorise ou interdit la stratégie d’algorithme
FIPS (Federal Information Processing Standard).
Suite de chiffrement SSL Définit une liste des algorithmes de chiffrement autorisés pour les connexions SSL.
Limiter les données d’application au volume système Indique si les données d’application se limitent au
lecteur système.
Limiter les applications au volume système Indique si les applications se limitent au lecteur système.
Applications
La productivité de l’utilisateur sur les appareils mobiles dépend souvent des applications.
Windows10 permet de développer des applications qui fonctionnent en toute transparence sur plusieurs appareils
à l’aide de la plateforme Windows universelle (UWP ) pour les applications Windows. UWP assure la convergence
de la plateforme d’application pour tous les appareils fonctionnant sous Windows10, de sorte que les applications
s’exécutent sans modification sur toutes les éditions de Windows10. Les développeurs économisent du temps et
des ressources, et peuvent ainsi fournir des applications aux utilisateurs mobiles plus rapidement et plus
efficacement. Ce modèle d’écriture unique et d’exécution universelle des applications améliore également la
productivité des utilisateurs en assurant une expérience d’application homogène et familière sur tous les types
d’appareils.
À des fins de compatibilité avec les applications existantes, les applications WindowsPhone8.1 s’exécutent toujours
sur les appareils Windows10 Mobile, facilitant la migration vers la toute nouvelle plateforme. Microsoft
recommande de migrer les applications vers UWP pour tirer pleinement parti des améliorations apportées dans
Windows10 Mobile. En outre, des ponts ont été développés pour mettre à jour facilement et rapidement les
applications WindowsPhone8.1 (Silverlight) et iOS existantes vers UWP.
Pour les organisations, Microsoft a également simplifié l’acquisition de licences et l’achat d’applications UWP via le
MicrosoftStore pour Entreprises, ainsi que leur déploiement sur les appareils des employés à l’aide du
MicrosoftStore ou d’un système GPM, qui peut être intégré au MicrosoftStore pour Entreprises. S’iI est essentiel
de fournir des applications aux travailleurs mobiles, vous avez également besoin d’un moyen efficace pour vous
assurer que ces applications sont conformes aux stratégies d’entreprise en matière de sécurité des données.
Pour en savoir plus sur les applications Windows universelles, consultez le Guide des applications de plateforme
Windows universelle (UWP ) ou relevez ce Défi de démarrage rapide: applications Windows universelles dans
Visual Studio. Consultez également l’article Portage d’applications vers Windows10.
MicrosoftStore pour Entreprises: trouver l’application appropriée
La première étape en matière de gestion des applications consiste à obtenir les applications dont vos utilisateurs
ont besoin. Vous pouvez développer vos propres applications ou vous procurer vos applications depuis le
MicrosoftStore. Avec WindowsPhone8.1, un compte MSA était nécessaire pour acheter et installer des
applications depuis le MicrosoftStore. Avec le MicrosoftStore pour Entreprises, Microsoft permet aux
organisations d’acheter des applications pour les employés depuis un magasin privé dans le MicrosoftStore, sans
avoir besoin de comptes MSA sur les appareils Windows10.
MicrosoftStore pour Entreprises est un portail web depuis lequel les administrateurs informatiques peuvent
rechercher, acheter, gérer et distribuer des applications pour les appareils Windows10.
Les responsables Azure AD authentifiés ont accès aux fonctionnalités et paramètres du MicrosoftStore pour
Entreprises, et les gestionnaires de magasin peuvent créer une catégorie privée d’applications réservées à leur
organisation (Vous trouverez plus d’informations sur les comptes Azure AD spécifiques pouvant accéder au
MicrosoftStore pour Entreprises ici.) MicrosoftStore pour Entreprises permet aux entreprises d’acheter des licences
d’applications pour leur organisation et de mettre des applications à disposition de leurs employés. Outre les
applications disponibles à la vente, vos développeurs peuvent publier sur demande des applications de cœur de
métier dans le MicrosoftStore pour Entreprises. Il est également possible d’intégrer un système GPM à un
abonnement MicrosoftStore pour Entreprises, ce qui permet de distribuer et de gérer des applications à l’aide du
système GPM depuis le MicrosoftStore pour Entreprises.
MicrosoftStore pour Entreprises prend en charge la distribution d’applications selon deux modèles de licence: en
ligne et hors connexion.
Le modèle en ligne (géré par le Store) est la méthode recommandée. Il prend en charge les scénarios de gestion
d’appareils personnels et d’appareils d’entreprise. Pour installer des applications en ligne, l’appareil doit disposer
d’un accès Internet au moment de l’installation. Sur un appareil d’entreprise, l’employé peut s’authentifier avec un
compte Azure AD pour installer des applications en ligne. Sur un appareil personnel, l’employé doit enregistrer
son appareil auprès d’Azure AD pour pouvoir installer des applications en ligne sous licence d’entreprise. Les
utilisateurs d’appareils d’entreprise trouveront les applications dont la licence a été acquise par leur société dans un
catalogue privé de l’application Store sur leur téléphone. Lorsqu’un système GPM est associé au Store pour
Entreprises, les administrateurs informatiques peuvent présenter les applications du Store au sein du catalogue
d’applications du système GPM, depuis lequel les utilisateurs peuvent rechercher et installer les applications
souhaitées. Les administrateurs informatiques peuvent également déployer directement les applications requises
sur les appareils, sans intervention de la part des employés.
Les employés utilisant des appareils personnels peuvent installer des applications dont la licence a été acquise par
leur organisation à l’aide de l’application Store sur leur appareil. Ils peuvent utiliser leur compte Azure AD ou
Microsoft au sein de l’application Store s’ils souhaitent acheter des applications personnelles. Si vous autorisez les
employés utilisant des appareils d’entreprise à ajouter un compte Microsoft (MSA) secondaire, l’application Store
de l’appareil offre une méthode unifiée pour l’installation des applications personnelles et d’entreprise.
Les applications avec licence en ligne n’ont pas besoin d’être transférées ou téléchargées du MicrosoftStore au
système GPM pour être distribuées et gérées. Lorsqu’un employé choisit une application appartenant à
l’entreprise, elle est installée automatiquement depuis le cloud. Par ailleurs, les applications sont automatiquement
mises à jour lorsqu’une nouvelle version est disponible ou peuvent être supprimées si nécessaire. Quand une
application est supprimée d’un appareil par le système GPM ou l’utilisateur, le MicrosoftStore pour Entreprises
récupère la licence pour qu’elle puisse être utilisée par un autre utilisateur ou sur un autre appareil.
Pour la distribution d’une application hors connexion (gérée par l’organisation), l’application doit être téléchargée
depuis le MicrosoftStore pour Entreprises. Cette opération est réalisable par un administrateur autorisé dans le
portail MicrosoftStore pour Entreprises. Pour la mise sous licence en mode hors connexion, le développeur de
l’application doit accepter le modèle de licence, le MicrosoftStore n’étant plus en mesure d’effectuer le suivi des
licences pour le développeur. Si le développeur de l’application n’autorise pas le téléchargement de l’application
depuis le MicrosoftStore, vous devez obtenir les fichiers directement depuis le développeur ou utiliser la méthode
de licence en ligne.
Pour installer les applications acquises du MicrosoftStore ou cœur de métier hors connexion sur un appareil
Windows10 Mobile, les administrateurs informatiques peuvent utilisent un système GPM. Le système GPM
assure la distribution des packages d’application que vous avez téléchargés depuis le MicrosoftStore (également
appelé chargement indépendant) sur les appareils Windows10 Mobile. La prise en charge de la distribution des
applications hors connexion dépend du système GPM que vous utilisez. Pour plus d’informations, consultez la
documentation de votre fournisseur GPM. Vous pouvez entièrement automatiser le processus de déploiement
d’application de sorte qu’aucune intervention ne soit requise de la part de l’utilisateur.
Les applications du MicrosoftStore ou les applications cœur de métier qui ont été chargées sur le MicrosoftStore
pour Entreprises sont automatiquement approuvées sur tous les appareils Windows, car elles sont signées par
chiffrement à l’aide de certificats du MicrosoftStore. Les applications cœur de métier chargées sur le
MicrosoftStore pour Entreprises sont exclusivement réservées à votre organisation et ne sont pas visibles par
d’autres sociétés ou consommateurs. Si vous ne souhaitez pas charger vos applications métier, vous devez établir
leur approbation sur vos appareils. Pour établir cette approbation, vous devez générer un certificat de signature à
l’aide de votre infrastructure à clé publique et ajouter votre chaîne d’approbation aux certificats approuvés sur
l’appareil (voir la section Certificats). Vous pouvez installer jusqu’à 20applications métier auto-signées sur un
appareil Windows10 Mobile. Pour installer plus de 20applications sur un appareil, vous pouvez acheter un
certificat de signature auprès d’une autorité de certification publique approuvée ou mettre à niveau vos appareils
vers approuvée public ou mettre à niveau vos appareils vers Windows10 Mobile Enterprise.
En savoir plus sur le MicrosoftStore pour Entreprises.
Gestion des applications
Les administrateurs informatiques peuvent contrôler les applications dont l’installation est autorisée sur des
appareils Windows10 Mobile et leur mode de mise à jour.
Windows10 Mobile inclut AppLocker, qui permet aux administrateurs de créer des listes d’applications autorisées
ou interdites (parfois également appelées listes vertes/noires) depuis le MicrosoftStore. Cette fonctionnalité
s’étend aux applications intégrées telles que Xbox, Groove, les SMS, la messagerie électronique, le calendrier, etc.
La possibilité d’autoriser ou d’interdire des applications permet de s’assurer que les personnes utilisent leurs
appareils mobiles aux fins prévues. Cependant, il n’est pas toujours simple de répondre à la fois aux besoins ou aux
demandes des employés et aux préoccupations en matière de sécurité. Par ailleurs, la création de listes
d’applications autorisées ou interdites nécessite de suivre de près l’évolution du catalogue du MicrosoftStore.
Pour plus de détails, voir Fournisseur CSP AppLocker.
En plus de contrôler les applications autorisées, les professionnels de l’informatique peuvent implémenter des
paramètres de gestion des applications supplémentaires sur Windows10 Mobile à l’aide d’un système GPM.
Autoriser toutes les applications approuvées Indique si les utilisateurs peuvent charger indépendamment
des applications sur l’appareil.
Autoriser la mise à jour automatique des applications par le Store Indique si la mise à jour automatique
des applications depuis le MicrosoftStore est autorisée.
Autoriser le déverrouillage du développeur Indique si le verrouillage du développeur est autorisé.
Autoriser le partage des données d’application des utilisateurs Indique si plusieurs utilisateurs de la
même application peuvent partager des données.
Autoriser le Store Indique si l’application MicrosoftStore est autorisée à s’exécuter. Ce paramètre empêche
complètement l’utilisateur d’installer des applications depuis le Store, mais autorise toujours la distribution
d’applications via un système GPM.
Restrictions d’application Objet blob XML qui définit les restrictions relatives aux applications pour un
appareil. Cet objet peut contenir une liste des applications autorisées ou interdites. Vous pouvez autoriser ou
interdire des applications en fonction de leur ID d’application ou de leur éditeur. Voir AppLocker ci-dessus.
Désactiver les applications provenant du Store Désactive le lancement de toutes les applications en
provenance du MicrosoftStore qui étaient préinstallées ou qui ont été téléchargées avant l’application de la
stratégie.
Exiger le magasin privé uniquement Indique si le magasin privé est disponible exclusivement pour les
utilisateurs dans l’application Store sur l’appareil. Si ce paramètre est activé, seul le magasin privé est
disponible. S’il est désactivé, le catalogue de vente et le magasin privé sont tous deux disponibles.
Limiter les données d’application au volume système Indique si le stockage des données d’application est
autorisé uniquement sur le lecteur système ou également sur une carte SD.
Limiter l’application au volume système Indique si l’installation d’applications est autorisée uniquement sur
le lecteur système ou également sur une carte SD.
Disposition de l’écran de démarrage Objet blob XML utilisé pour configurer l’écran de démarrage (pour
plus d’informations, voir Disposition de l’écran de démarrage pour les éditions de Windows10 Mobile).
Pour plus d’informations sur les options de gestion des applications, voir Fournisseur CSP Policy.
Prévention des fuites de données
L’un des plus grands défis en matière de protection des données d’entreprise sur les appareils mobiles consiste à
assurer la séparation de ces données et des données personnelles. La plupart des solutions disponibles pour créer
cette séparation exigent que les utilisateurs se connectent avec un nom d’utilisateur et un mot de passe distincts à
un conteneur stockant toutes les applications et données d’entreprise. Or, cette expérience a un impact négatif sur
la productivité des utilisateurs.
Windows10Mobile inclut la Protection des informations Windows pour préserver de manière transparente la
sécurité des données d’entreprise et la confidentialité des données personnelles. Elle balise automatiquement les
données personnelles et d’entreprise, et applique des stratégies pour les applications qui peuvent accéder aux
données de la deuxième catégorie, notamment les données qui ne sont pas en cours d’utilisation sur un stockage
local ou amovible. Comme les données d’entreprise sont toujours protégées, les utilisateurs ne peuvent pas les
copier dans des emplacements publics tels que les réseaux sociaux ou une messagerie personnelle.
La Protection des informations Windows fonctionne avec toutes les applications, qui sont classées en deux
catégories: discriminantes et non discriminantes. Les applications discriminantes peuvent faire la différence entre
les données d’entreprise et personnelles, en déterminant correctement lesquelles protéger en fonction des
stratégies. Les données d’entreprise sont chiffrées à tout moment toute tentative de copie/collage ou partage de
ces informations par des applications ou des utilisateurs n’appartenant pas à l’entreprise échoue. Les applications
non discriminantes considèrent l’ensemble des données comme des données d’entreprise et les chiffrent toutes par
défaut.
N’importe quelle application développée sur la plateforme UWA peut être discriminante. Microsoft a conjugué ses
efforts pour rendre discriminantes plusieurs de ses applications les plus populaires, notamment:
MicrosoftEdge
Contacts Microsoft
Applications Office mobiles (Word, Excel, PowerPoint et OneNote).
Courrier et calendrier Outlook
Photos Microsoft
MicrosoftOneDrive
Groove Musique
Films et TV Microsoft
Messages Microsoft
Le tableau suivant répertorie les paramètres configurables pour la Protection des informations Windows:
Niveau de mise en œuvre* Définit le niveau de mise en œuvre de la protection des informations:
Désactivé (aucune protection)
Mode silencieux (chiffrement et audit uniquement)
Mode remplacement (chiffrement, invite et audit)
Mode blocage (chiffrement, blocage et audit)
Nom des domaines protégés de l’entreprise* Liste de domaines utilisés par l’entreprise pour les identités
de ses utilisateurs. Les identités d’utilisateurs de l’un de ces domaines sont considérées comme des comptes
gérés par l’entreprise et les données associées doivent être protégées.
Autoriser le déchiffrement par l’utilisateur Permet à l’utilisateur de déchiffrer des fichiers. Si le
déchiffrement n’est pas autorisé, l’utilisateur ne peut pas supprimer la protection du contenu d’entreprise via
l’expérience utilisateur du système d’exploitation ou de l’application.
Exiger la configuration de la protection en cas de verrouillage Indique si la fonctionnalité de protection
en cas de verrouillage (également connue sous le nom de chiffrement en cas de code PIN ) doit être configurée.
Certificat de récupération de données* Spécifie un certificat de récupération qui peut être utilisé pour la
récupération des données des fichiers chiffrés. Il est identique au certificat s’agit de la même que le certificat
d’agent de récupération de données pour le système de fichiers EFS, sauf qu’il est diffusé via le système GPM
au lieu de la stratégie de groupe.
Révoquer lors de la désinscription Indique si les clés de protection des informations doivent être révoquées
lorsqu’un appareil se désinscrit du service de gestion.
ID de modèle RMS pour la protection des informations Permet à l’administrateur informatique de
configurer les détails sur les personnes ayant accès aux fichiers protégés par RMS et la durée de cet accès.
Autoriser Azure RMS pour la protection des informations Indique si le chiffrement Azure RMS doit être
autorisé pour la protection des informations.
Afficher les icônes de la protection des informations Indique si des superpositions d’image sont ajoutées
aux icônes des fichiers sécurisés par la protection des informations dans les vignettes des applications de
navigateur web et d’entreprise uniquement dans le menu Démarrer.
État Masque de bits en lecture seule qui indique l’état actuel de la protection des informations sur l’appareil. Le
service GPM peut utiliser cette valeur pour déterminer l’état général actuel de la protection des informations.
Intervalle d’adresses IP de l’entreprise* Intervalles d’adresses IP qui définissent les ordinateurs du réseau
de l’entreprise. Les données provenant de ces ordinateurs sont considérées comme faisant partie de l’entreprise
et protégées.
Noms des domaines du réseau de l’entreprise* Liste des domaines qui constituent les limites du réseau de
l’entreprise. Les données provenant de l’un de ces domaines qui sont envoyées à un périphérique sont
considérées comme des données d’entreprise et protégées.
Ressources cloud de l’entreprise Liste des domaines de ressources d’entreprise hébergés dans le cloud qui
doivent être protégés.
Remarque: Les stratégies marquées d’un * sont des stratégies Protection des informations Windows
obligatoires. Pour que la Protection des informations Windows fonctionne, les paramètres d’AppLocker et
d’isolement réseau– en particulier les paramètres Intervalles d’adresses IP de l’entreprise et Noms des
domaines du réseau de l’entreprise– doivent être configurés. Cela permet de définir la source de toutes les
données d’entreprise qui ont besoin d’être protégées et de s’assurer que les données écrites dans ces
emplacements ne seront pas chiffrées par la clé de chiffrement de l’utilisateur pour que les autres personnes
de l’entreprise puissent y accéder.
Pour plus d’informations sur la Protection des informations Windows, voir la Fournisseur de services de
configuration EnterpriseDataProtection et la série d’articles détaillés rotéger vos données d’entreprise à l’aide de la
Protection des informations Windows.
Gestion des activités utilisateur
Sur les appareils d’entreprise, certaines activités utilisateur exposent les données d’entreprise à des risques inutiles.
Par exemple, les utilisateurs peuvent créer une capture d’écran des informations d’entreprise à partir d’une
application métier interne. Afin de réduire le risque, vous pouvez restreindre l’expérience utilisateur Windows10
Mobile pour protéger les données d’entreprise et empêcher toute fuite de données. Les paramètres suivants
peuvent être utilisés pour empêcher les fuites de données.
Autoriser la fonction copier-coller Indique si les utilisateurs peuvent copier et coller du contenu.
Autoriser Cortana Indique si les utilisateurs peuvent utiliser Cortana sur l’appareil (si disponible).
Autoriser la détection d’appareil Indique si l’expérience utilisateur de détection d’appareil est disponible sur
l’écran de verrouillage (par exemple, pour contrôler si un appareil peut détecter un projecteur [ou d’autres
appareils] lorsque l’écran de verrouillage est affiché).
Autoriser la personnalisation de la saisie Indique si des informations personnellement identifiables peuvent
quitter l’appareil ou être enregistrées localement (par exemple, apprentissage de Cortana, entrée manuscrite,
dictée).
Autoriser la suppression manuelle de l’inscription GPM Indique si les utilisateurs sont autorisés à
supprimer le compte de l’espace de travail (en d’autres termes, à désinscrire l’appareil du système GPM ).
Autoriser la capture d’écran Indique si les utilisateurs sont autorisés à effectuer des captures d’écran sur
l’appareil.
Autoriser une invite de boîte de dialogue d’erreur SIM Indique si l’affichage d’une invite de boîte de
dialogue est autorisée lorsqu’aucune carte SIM n’est installée.
Autoriser la synchronisation de mes paramètres Indique si les paramètres de l’expérience utilisateur sont
synchronisés entre les appareils (fonctionne avec les comptes Microsoft uniquement).
Autoriser les notifications toast au-dessus de l’écran de verrouillage Indique si les utilisateurs sont en
mesure d’afficher des notifications toast sur l’écran de verrouillage de l’appareil.
Autoriser l’enregistrement vocal Indique si les utilisateurs sont autorisés à effectuer des enregistrements
vocaux.
Ne pas afficher les notifications de commentaires Empêche les appareils d’afficher les demandes de
commentaires de la part de Microsoft.
Autoriser le sélecteur de tâches Autorise ou interdit le basculement entre les tâches sur l’appareil pour
empêcher la visibilité des objets tombstone de l’écran d’application dans le sélecteur de tâches.
Activer la mise à jour des cartes hors connexion Désactive le téléchargement et la mise à jour
automatiques des données de carte.
Autoriser le téléchargement des cartes hors connexion sur une connexion limitée Autorise le
téléchargement et la mise à jour des données de carte sur les connexions limitées.
Vous trouverez plus de détails sur les paramètres de l’expérience dans Fournisseur CSP Policy.
MicrosoftEdge
Les systèmes GPM vous donnent également la possibilité de gérer MicrosoftEdge sur des appareils mobiles.
MicrosoftEdge est le seul navigateur disponible sur les appareils Windows10 Mobile. Il diffère légèrement de la
version de bureau dans la mesure où il ne prend pas en charge Flash ou les extensions. Edge constitue également
une excellente visionneuse PDF, puisqu’il peut être géré et s’intègre avec la Protection des informations Windows.
Les paramètres suivants peuvent être configurés pour MicrosoftEdge dans Windows10 Mobile.
Autoriser le navigateur Indique si les utilisateurs peuvent exécuter MicrosoftEdge sur l’appareil.
Autoriser les en-têtes Ne pas me suivre Indique si les en-têtes Ne pas me suivre sont autorisés.
Autoriser InPrivate Indique si les utilisateurs peuvent utiliser la navigation InPrivate.
Autoriser le gestionnaire de mots de passe Indique si les employés peuvent utiliser le gestionnaire de mots
de passe pour enregistrer et gérer localement les mots de passe.
Autoriser les suggestions de recherche dans la barre d’adresse Indique si les suggestions de recherche
sont affichées dans la barre d’adresse.
Autoriser SmartScreen Indique si le filtre SmartScreen est activé.
Cookies Indique si les cookies sont autorisés.
Favoris Permet de configurer les URL de favoris.
URL de première exécution URL s’ouvrant lorsqu’un utilisateur lance MicrosoftEdge pour la première fois.
Empêcher le contournement des invites SmartScreen Indique si les utilisateurs peuvent ignorer les
avertissements de SmartScreen pour les URL.
Empêcher le contournement des invites SmartScreen pour les fichiers Indique si les utilisateurs peuvent
ignorer les avertissements de SmartScreen pour les fichiers.
Gestion
Dans les environnements informatiques d’entreprise, le besoin de sécurité et de contrôle des coûts doit être mis en
balance avec le désir de fournir aux utilisateurs les technologies les plus récentes. Dans la mesure où les
cyberattaques se produisent à présent chaque jour, il est important de gérer correctement l’état de vos appareils
Windows10 Mobile. Le service informatique doit contrôler les paramètres de configuration, en veillant bien à leur
conformité, et déterminer quels appareils peuvent accéder aux applications internes. Windows10 Mobile offre les
fonctionnalités de gestion des opérations mobiles nécessaires pour s’assurer que les appareils sont en conformité
avec la stratégie d’entreprise.
Options de maintenance
Un processus de mise à jour simplifié
Microsoft simplifié l’ingénierie et le cycle de lancement des produits Windows afin de pouvoir fournir les nouvelles
fonctions, expériences et fonctionnalités exigées par le marché plus rapidement que jamais. Microsoft prévoit de
mettre à disposition deux mises à jour de fonctionnalité par an (période de 12mois). Les mises à jour de
fonctionnalités établissent une branche actuelle (ou CB ) et présentent une version associée.
Branche Version Date de publication
Branche actuelle 1511 Novembre2015
Branche actuelle pour entreprise 1511 Mars2016
Branche actuelle 1607 Juillet2016
À des fins de sécurité et de stabilité, Microsoft fournira et installera également des mises à jour mensuelles
directement sur les appareils Windows10 Mobile. Ces mises à jour qualité, publiées sous le contrôle de
Microsoft via Windows Update, sont disponibles pour tous les appareils fonctionnant sous Windows10 Mobile.
Les appareils Windows10 Mobile utilisent les mises à jour de fonctionnalités et qualité dans le cadre du même
processus standard de mise à jour.
Les mises à jour qualité sont généralement moins volumineuses que les mises à jour de fonctionnalités, mais le
processus d’installation et l’expérience est très similaire, à la seule différence que l’installation des mises à jour plus
volumineuses prend plus de temps. Les clients d’entreprise peuvent gérer l’expérience et le processus de mise à
jour des appareils Windows10 Mobile à l’aide d’un système GPM en mettant à niveau les appareils vers l’édition
Entreprise du système d’exploitation. Dans la plupart des cas, les stratégies de gestion du processus de mise à jour
s’appliquent aux mises à jour de fonctionnalités et qualité.
Microsoft s’efforce d’assurer une mise à jour automatique et fluide des appareils Windows10 Mobile pour tous les
clients. Dès sa mise en service, un appareil Windows10 Mobile recherche automatiquement les mises à jour
disponibles. Toutefois, les méthodes et le moment des mises à jour varie en fonction de l’état du réseau et de
l’alimentation de l’appareil.
Connexion Description Recherche Téléchargeme Installation Redémarrage

réseau automatique nt automatique automatique
automatique
Wi-Fi L’appareil est connecté à un Oui Oui</td> Oui Oui, en dehors

réseau Wi-Fi personnel ou des heures
d’entreprise (pas de frais de d’activité
données). (redémarrage
forcé après
7jours si
l’utilisateur
reporte le
redémarrage).
Réseau L’appareil est connecté Ignore une N’intervient Oui Idem

cellulaire uniquement à un réseau recherche que si le
cellulaire (des frais de quotidienne si package de
données standard la recherche a mise à jour est
s’appliquent). été effectuée peu
avec succès au volumineux et
cours des 5 ne dépasse pas
derniers jours. la limite de
données.
Réseau L’appareil est connecté Non Non Non Idem

cellulaire– uniquement à un réseau
Itinérance cellulaire et des frais
d’itinérance s’appliquent.
Suivi des publications de mises à jour

Microsoft publie régulièrement des nouvelles mises à jour de fonctionnalités pour Windows10 et Windows10
Mobile. La page Informations de publication de Windows10 vous aide à déterminer si vos appareils sont à jour
avec les dernières mises à jour de fonctionnalités et qualité de Windows10. Les informations publiées sur cette
page concernent à la fois Windows10 pour PC et Windows10 Mobile. Par ailleurs, la page Historique des mises à
jour de Windows vous aide à comprendre la raison d’être de ces mises à jour.
Remarque: Nous invitons les responsables informatiques à participer au Programme WindowsInsider afin de
tester les mises à jour avant leur publication officielle pour optimiser Windows10 Mobile. Si vous détectez des
problèmes, envoyez-nous un commentaire via le Hub commentaires.
Windows as a Service
Microsoft a créé une nouvelle façon de distribuer et d’installer les mises à jour de Windows10 Mobile directement
sur les appareils sans l’approbation de l’opérateur mobile. Cette fonctionnalité simplifie les déploiements et la
gestion continue des mises à jour, élargit la base des employés pouvant disposer à tout moment des dernières
fonctionnalités et expériences de Windows, et réduit le coût total de possession pour les organisations, qui n’ont
plus besoin de gérer les mises à jour pour garantir la sécurité des appareils.
La disponibilité des mises à jour dépend de l’option de maintenance choisie pour l’appareil. Ces options de
maintenance sont détaillées dans le graphique ci-dessous:
Option de Disponibilité des Longueur minimale Principaux avantages Éditions prises en

maintenance nouvelles de la durée de vie de charge
fonctionnalités pour maintenance
installation
Builds Selon les besoins au Variable, jusqu’à ce que Permet aux Insiders de Mobile
WindowsInsid cours du cycle de la build Insider suivante tester la compatibilité
er développement, mises à soit mise à la des nouvelles
la disposition des disposition des fonctionnalités et des
Windows Insiders Windows Insiders. applications avant la
uniquement. publication d’une mise
à jour de
fonctionnalités.</td>
Branche Immédiatement après Microsoft publie Met les nouvelles Mobile et Mobile
actuelle (CB) la publication par généralement deux fonctionnalités à la Entreprise
Microsoft de la mise à mises à jour de disposition des
jour de fonctionnalités fonctionnalités par utilisateurs dès que
dans WindowsUpdate. période de 12mois possible.
(environ tous les quatre
mois, cet intervalle
pouvant être plus long).
Branche Quatre mois minimum Quatre mois minimum. Offre plus de temps Mobile Entreprise
actuelle pour après la publication par pour tester les uniquement
entreprise Microsoft de la mise à nouvelles
(CBB) jour de fonctionnalités fonctionnalités avant le
correspondante dans déploiement.
Windows Update.
Édition Entreprise
Bien que Windows10 Mobile fournisse les mises à jour directement aux appareils des utilisateurs depuis
WindowsUpdate, de nombreuses organisations veulent pouvoir suivre, tester et planifier les mises à jour des
appareils d’entreprise. Pour répondre à ces exigences, nous avons créé l’édition Entreprise de Windows10 Mobile.
La mise à niveau vers Windows10 Mobile Entreprise offre des fonctionnalités supplémentaires de gestion des
appareils et des applications aux organisations qui souhaitent:
Reporter, approuver et déployer les mises à jour de fonctionnalités et qualité: Les appareils Windows10
Mobile obtiennent les mises à jour directement depuis WindowsUpdate. Si vous souhaitez gérer les mises à
jour avant de les déployer, vous devez effectuer une mise à niveau vers Windows10 Mobile Entreprise. Une fois
que l’édition Entreprise est activée, le téléphone peut être configuré sur l’option de maintenance Branche
actuelle pour entreprise, offrant au service informatique plus de temps pour tester les mises à jour avant de les
installer.
Déployer un nombre illimité d’applications métier auto-signées sur un même appareil: Pour utiliser un
système GPM afin de déployer des applications métier directement sur des appareils, vous devez signer par
chiffrement les packages logiciels à l’aide d’un certificat de signature de code généré par l’autorité de
certification de votre organisation. Vous pouvez déployer un maximum de20 applications métier auto-signées
sur un appareil Windows10 Mobile. Pour en déployer un plus grand nombre, Windows10 Mobile Entreprise
est requis.
Définir le niveau de données de diagnostic: Microsoft collecte des données de diagnostic pour sécuriser les
appareils Windows et améliorer la qualité des services Windows et Microsoft. Une mise à niveau vers
Windows10 Mobile Entreprise est nécessaire pour pouvoir définir le niveau de données de diagnostic de sorte
que seules les informations de diagnostic requises pour sécuriser les appareils soient collectées.
Pour en savoir plus sur le diagnostic, voir Configurer les données de diagnostic Windows dans votre organisation.
Pour activer Windows10 Mobile Entreprise, utilisez votre système GPM ou un package d’approvisionnement afin
d’injecter la licence Windows10 Entreprise dans un appareil Windows10 Mobile. Les licences peuvent être
obtenues depuis le portail Volume Licensing. À des fins de test, vous pouvez obtenir un fichier de licence depuis le
centre de téléchargement MSDN. Un abonnement MSDN valide est requis.
Pour plus d’informations sur la mise à niveau d’un périphérique vers l’édition Entreprise, voir Fournisseur CSP
WindowsLicensing.
Recommandation: Microsoft recommande d’utiliser l’édition Entreprise uniquement sur les appareils
d’entreprise. Une fois qu’un appareil a été mis à niveau, il est impossible de repasser à une version antérieure.
La licence Entreprise ne peut pas être supprimée des appareils personnels, même en les effaçant ou en les
réinitialisant.
Report et approbation des mises à jour à l’aide d’un système GPM

S’applique à: Appareils d’entreprise dotés de l’édition Entreprise
Une fois la mise à niveau vers Windows10 Mobile Entreprise effectuée, vous pouvez gérer les appareils qui
reçoivent les mises à jour depuis Windows Update (ou Windows Update for Business) à l’aide d’un ensemble de
stratégies de mise à jour.
Pour contrôler les mises à jour de fonctionnalités, vous devez transférer vos appareils vers l’option de maintenance
Branche actuelle pour entreprise (CBB ). Un appareil abonné à CBB attend que la prochaine version de CBB soit
publiée par MicrosoftUpdate. Bien que l’appareil attende la prochaine version de CBB pour les mises à jour de
fonctionnalités, les mises à jour qualité sont toujours reçues par l’appareil.
Pour contrôler les mises à jour qualité mensuelles, des stratégies de report supplémentaires doivent être définies
sur la période de report souhaitée. Lorsque des mises à jour qualité sont disponibles pour vos appareils
Windows10 Mobile dans WindowsUpdate, ces mises à jour ne sont installées qu’une fois votre période de report
écoulée. Les responsables informatiques ont ainsi le temps de tester l’impact des mises à jour sur les appareils et
les applications.
Avant que les mises à jour soient distribuées et installées, il peut être judicieux de les tester afin d’identifier
d’éventuels problèmes ou de s’assurer de leur compatibilité avec les applications. Les professionnels de
l’informatique ont la possibilité d’exiger l’approbation des mises à jour. Cela permet à l’administrateur GPM de
sélectionner et d’approuver des mises à jour spécifiques à installer sur un appareil et d’accepter le CLUF associé à
la mise à jour pour le compte de l’utilisateur. Notez bien que sur Windows10 Mobile, toutes les mises à jour sont
empaquetées sous forme de «mises à jour de système d’exploitation» et jamais sous forme de correctifs
individuels.
Vous pouvez choisir de gérer les mises à jour de fonctionnalités et qualité de la même manière, sans attendre que
la prochaine version de CBB soit déployée sur vos appareils. L’utilisation d’un même processus pour l’approbation
et le déploiement permet de simplifier la gestion des mises à jour. Vous pouvez appliquer des périodes de report
différentes pour chaque type de mise à jour. Dans la version1607, Microsoft a ajouté des paramètres de stratégie
supplémentaires pour offrir un contrôle plus précis des mises à jour.
Une fois que le déploiement des mises à jour est en cours sur vos appareils, vous pouvez avoir besoin de mettre
en pause le déploiement sur les appareils d’entreprise. Par exemple, il se peut que le déploiement d’une mise à jour
qualité ait un impact négatif sur certains modèles de téléphones ou empêche une application métier spécifique de
se connecter à une base de données et de la mettre à jour. Des problèmes qui n’étaient pas apparus au cours des
tests initiaux peuvent survenir. Les professionnels de l’informatique peuvent mettre en pause les mises à jour afin
d’analyser et de corriger les problèmes inattendus.
Le tableau suivant récapitule les paramètres de stratégie de mise à jour applicables pour chaque version de
Windows10 Mobile. Tous les paramètres de stratégie présentent une compatibilité descendante et seront
conservés dans les mises à jour de fonctionnalités futures. Pour plus d’informations sur la prise en charge de ces
paramètres par votre système GPM, consultez sa documentation.
Activité (stratégie) Paramètres de la version1511 Paramètres de la version1607
Abonner l’appareil à CBB pour RequireDeferUpgrade Reportez la mise BranchReadinessLevel Reportez la mise
reporter les mises à jour de à jour de fonctionnalités jusqu’à la à jour de fonctionnalités jusqu’à la
fonctionnalités prochaine version de CBB. L’appareil prochaine version de CBB. L’appareil
reçoit les mises à jour de qualité depuis reçoit les mises à jour de qualité depuis
la Branche actuelle pour entreprise la Branche actuelle pour entreprise
(CBB). Reportez la mise à jour de (CBB). Reportez la mise à jour de
fonctionnalités de 4mois minimum à fonctionnalités de 4mois minimum à
compter de la publication de la version compter de la publication de la version
de CBB. de CBB.
Reporter les mises à jour DeferUpdatePeriod Reportez les mises à DeferQualityUpdatePeriodInDays

jour qualité de 4semaines (28jours). Reportez les mises à jour de
fonctionnalités et qualité de jusqu’à
30jours.
Approuver les mises à jour RequireUpdateApproval RequireUpdateApproval
Mettez en pause le déploiement une PauseDeferrals Mettez en pause les PauseQualityUpdates Mettez en pause
fois le déploiement d’une mise à mises à jour de fonctionnalités pendant les mises à jour de fonctionnalités
jour approuvée commencé. jusqu’à 35jours. pendant jusqu’à 35jours.
Gestion de l’expérience de mise à jour

L’expérience du client de mise à jour pour vos employés peut être définie à l’aide de la stratégie
Allowautomaticupdate. Cette stratégie permet aux professionnels de l’informatique de contrôler le comportement
du client de mise à jour sur les appareils lors de la recherche, du téléchargement et de l’installation de mises à jour.
Elle peut inclure:
La notification des utilisateurs avant le téléchargement de mises à jour.
Le téléchargement automatique des mises à jour, puis la notification de la nécessité de planifier un redémarrage
aux utilisateurs (il s’agit du comportement par défaut si cette stratégie n’est pas configurée).
Le téléchargement automatique des mises à jour et le redémarrage automatique des appareils avec notification
des utilisateurs.
Le téléchargement automatique des mises à jour et le redémarrage automatique des appareils à une heure
spécifiée.
Le téléchargement automatique des mises à jour et le redémarrage automatique des appareils sans interaction
utilisateur.
La désactivation des mises à jour automatiques. Cette option doit être utilisée uniquement pour les systèmes
soumis à des exigences de conformité réglementaire. L’appareil ne recevra aucune mise à jour.
Par ailleurs, dans la version1607, vous pouvez configurer le moment où la mise à jour est appliquée à l’appareil de
l’employé pour vous assurer que les installations de mises à jour ou le redémarrage ne nuisent pas à la
productivité du personnel ou à l’activité. Les installations de mises à jour et les redémarrages peuvent être planifiés
en dehors des heures d’activité (les valeurs prises en charge sont de 0 à 23, où 0 correspond à 0h00, 1 à 1h00 et
ainsi de suite) ou un jour spécifique de la semaine (valeurs prises en charge sont de 0 à 7, où 0 correspond à une
planification quotidienne, 1 au dimanche, 2 au lundi et ainsi de suite).
Gestion de la source des mises à jour à l’aide du système GPM
Bien que Windows10 Entreprise permette aux administrateurs informatiques de reporter l’installation de
nouvelles mises à jour depuis WindowsUpdate, il se peut que les entreprises souhaitent contrôler plus étroitement
les processus de mise à jour. Pour répondre à ce besoin, Microsoft a créé WindowsUpdate for Business. Microsoft
a conçu Windows Update for Business afin d’offrir aux administrateurs informatiques des fonctionnalités de
gestion supplémentaires dans WindowsUpdate, telles que la possibilité de déployer des mises à jour sur des
groupes d’appareils et de définir des fenêtres de maintenance pour l’installation des mises à jour. Si vous utilisez
un système GPM, l’utilisation de WindowsUpdate for Business n’est pas une obligation, car vous pouvez gérer ces
fonctionnalités depuis votre système GPM.
Pour en savoir plus WindowsUpdateforBusiness, voir cette rubrique.
Les administrateurs informatiques peuvent spécifier la source des mises à jour de l’appareil à l’aide de la stratégie
AllowUpdateService. Il peut s’agir de MicrosoftUpdate, de WindowsUpdate for Business ou de WindowsServer
Update Services (WSUS ).
Gestion des mises à jour avec WSUS
Si vous utilisez WSUS, définissez UpdateServiceUrl pour autoriser l’appareil à rechercher des mises à jour
depuis un serveur WSUS au lieu de WindowsUpdate. Cette stratégie est utile pour les systèmes GPM sur site
ayant besoin de mettre à jour des appareils qui ne peuvent pas se connecter à Internet, généralement des appareils
de poche utilisés pour l’exécution de tâches, ou d’autres appareils WindowsIoT.
En savoir plus sur la gestion des mises à jour avec WindowsServer Update Services (WSUS ).
Interrogation de l’état de mise à jour des appareils
Outre la configuration du mode d’obtention des mises à jour par Windows10 Mobile Entreprise, l’administrateur
GPM peut demander des informations de mise à jour aux appareils Windows10 afin de pouvoir comparer l’état de
mise à jour à une liste de mises à jour approuvées.
La requête d’état de mise à jour des appareils offre une vue d’ensemble des éléments suivants:
Mises à jour installées: Liste des mises à jour installées sur l’appareil.
Mises à jour installables: Liste des mises à jour disponibles pour l’installation.
Échecs de mises à jour: Liste des mises à jour qui ont échoué lors de l’installation, avec notamment la raison de
l’échec.
Redémarrage en attente: Liste des mises à jour qui requièrent un redémarrage pour finaliser l’installation.
Heure de la dernière analyse réussie: Dernière fois où l’analyse des mises à jour a réussi.
Différer la mise à niveau: Indique si la mise à niveau est reportée jusqu’au prochain cycle de mise à jour.
Intégrité des appareils
L’attestation d’intégrité des appareils est une autre ligne de défense introduite dans Windows10 Mobile. Elle peut
être utilisée pour détecter les appareils dont la configuration n’est pas sécurisée ou présentant des vulnérabilités
qui pourraient permettre de les exploiter facilement à l’aide d’attaques sophistiquées.
Windows10 Mobile facilite l’intégration à Microsoft Intune ou à des solutions GPM tierces pour bénéficier d’une
vue d’ensemble de l’intégrité et de la conformité des appareils. En associant ces solutions, vous pouvez détecter les
appareils débridés, surveiller la conformité des appareils, générer des rapports de conformité, avertir les
utilisateurs ou les administrateurs en cas de problème, mettre en œuvre des actions correctives et gérer l’accès
conditionnel à des ressources comme Office365 ou un VPN.
La première version de l’attestation d’intégrité des appareils a été publiée en juin2015 pour les appareils
Windows10 prenant en charge le module de plateforme sécurisée (TPM ) 2.0 et utilisés au sein d’une topologie
cloud d’entreprise. Dans la mise à jour anniversaire Windows10, les capacités de l’attestation d’intégrité des
appareils sont étendues aux appareils existants à qui prennent en charge le module TPM1.2, ainsi qu’aux
environnements hybrides et sur site ayant accès à Internet ou exploitant un réseau isolé.
La fonctionnalité d’attestation d’intégrité est basée sur des normes OMA (Open Mobile Alliance). Les responsables
informatiques peuvent utiliser l’attestation d’intégrité des appareils pour valider des appareils qui:
Exécutent le système d’exploitation Windows10 (téléphone mobile ou PC )
Prennent en charge le module de plateforme sécurisée (TPM1.2 ou 2.0), indépendamment du format du
microprogramme
Sont gérés à l’aide d’une solution de gestion d’appareils compatible avec l’attestation d’intégrité des appareils
(Intune ou système GPM tiers)
Sont utilisés dans des environnements cloud, hybrides, sur site et BYOD
Les solutions de gestion d’appareils compatibles avec l’attestation d’intégrité des appareils permettent aux
responsables informatiques de créer un dispositif de sécurité unifié sur tous les appareils Windows10 Mobile
gérés. Grâce à ce dispositif, les responsables informatiques peuvent:
Collecter des données matérielles attestées (très sûres) à distance
Surveiller la conformité de l’intégrité des appareils et détecter les appareils vulnérables ou susceptibles d’être
exploités à l’aide d’attaques sophistiquées
Prendre des mesures à l’encontre des appareils potentiellement compromis, par exemple:
Déclencher des actions correctives à distance de sorte que l’appareil incriminé soit inaccessible (verrouiller,
effacer ou «bricker» l’appareil)
Empêcher l’appareil d’accéder aux ressources de valeur élevée (accès conditionnel)
Déclencher un examen et une surveillance plus approfondies (router l’appareil vers un «honeypot» pour
continuer à le surveiller)
Avertir simplement l’utilisateur ou l’administrateur du problème à résoudre
Remarque: Le service d’attestation d’intégrité des appareils de Windows peut être utilisé pour les scénarios
d’accès conditionnel qui peuvent être activés par des solutions de gestion d’appareils mobiles (ex.: Microsoft
Intune) et d’autres types de systèmes de gestion (ex.: SCCM ) achetés séparément.
Pour plus d’informations sur l’attestation d’intégrité dans Windows10 Mobile, voir le Guide sur la sécurité
Windows10 Mobile.
Voici une liste des attributs qui sont pris en charge par l’attestation d’intégrité des appareils et peuvent déclencher
les actions correctives mentionnées ci-dessus.
Clé d’attestation d’identité (AIK) présente Indique la présence d’une clé d’attestation d’identité (en d’autres
termes, l’appareil est plus fiable qu’un appareil sans AIK).
Activation de la prévention de l’exécution des données (PED ) Indique si une stratégie PED est activée
pour l’appareil, signalant que l’appareil est plus fiable qu’un appareil sans stratégie PED.
État de BitLocker BitLocker protège le stockage sur l’appareil. Un appareil doté de BitLocker est plus fiable
qu’un appareil sans BitLocker.
Activation du démarrage sécurisé Indique si le démarrage sécurisé est activé sur l’appareil. Un appareil sur
lequel le démarrage sécurisé est activé est plus fiable qu’un appareil sans démarrage sécurisé. Le démarrage
sécurisé est toujours activé sur les appareils Windows10 Mobile.
Activation de la stratégie d’intégrité du code Indique si l’intégrité du code d’un fichier de lecteur ou
système est validée chaque fois que ce fichier est chargé en mémoire. Un appareil sur lequel la stratégie
d’intégrité du code est activée est plus fiable qu’un appareil sans cette stratégie.
Mode sans échec Indique si Windows fonctionne en mode sans échec. Un appareil exécutant Windows en
mode sans échec n’est pas aussi fiable qu’un appareil exécuté en mode standard.
Activation du débogage de démarrage Indique si le débogage de démarrage est activé sur l’appareil. Un
appareil sur lequel le débogage de démarrage est activé est moins sécurisé (fiable) qu’un appareil sans
débogage de démarrage.
Activation du débogage du noyau du système d’exploitation Indique si le débogage du noyau du
système d’exploitation est activé sur l’appareil. Un appareil sur lequel le débogage du noyau du système
d’exploitation est activé est moins sécurisé (fiable) qu’un appareil sur lequel cette fonction est désactivée.
Activation de la signature de test Indique si la signature de test est désactivée. Un appareil sur lequel la
signature de test est désactivée est plus fiable qu’un appareil sur lequel cette fonction est activée.
Version du gestionnaire de démarrage Version du gestionnaire de démarrage en cours d’exécution sur
l’appareil. Le service d’attestation d’intégrité peut vérifier cette version afin de déterminer si le gestionnaire de
démarrage le plus récent, qui est plus sécurisé (fiable), est en cours d’exécution.
Version de l’intégrité du code Indique la version du code effectuant les vérifications d’intégrité pendant la
séquence de démarrage. Le service d’attestation d’intégrité peut vérifier cette version afin de déterminer si la
version la plus récente du code, qui est plus sécurisée (fiable), est en cours d’exécution.
Stratégie SBCP présente Indique la présence du hachage de la stratégie SBCP personnalisée. Un appareil
doté d’une stratégie de hachage SBCP est plus fiable qu’un appareil sans hachage SBCP.
Liste verte du cycle de démarrage Vue de la plateforme hôte entre les cycles de démarrage, telle que définie
par le fabricant par rapport à une liste verte publiée. Un appareil conforme à la liste verte est plus fiable
(sécurisé) qu’un appareil qui n’est pas conforme.
Exemple de scénario
Windows10 Mobile comporte des mesures de protection qui fonctionnent ensemble et s’intègrent à Microsoft
Intune ou à des solutions de gestion des périphériques mobiles (GPM ) tierces. Les administrateurs informatiques
peuvent surveiller et vérifier la conformité pour s’assurer que les ressources d’entreprise sont protégées de bout
en bout par la sécurité et la fiabilité ancrées au cœur du matériel de l’appareil.
Voici ce qui se produit lorsqu’un smartphone est activé:
1. Le démarrage sécurisé de Windows10 protège la séquence de démarrage, permet à l’appareil de démarrer
dans une configuration définie et fiable, et charge un chargeur de démarrage approuvé en usine.
2. La fonctionnalité Démarrage sécurisé de Windows10 prend le contrôle, vérifiant la signature numérique du
noyau Windows, et les composants sont chargés et exécutés lors du processus de démarrage de Windows.
3. Parallèlement aux étapes 1 et 2, le TPM (module de plateforme sécurisée– démarrage mesuré) de Windows10
Mobile s’exécute indépendamment dans une zone de sécurité protégée par le matériel (isolée du chemin
d’exécution du démarrage, chargé de surveiller les activités de démarrage) pour créer une piste d’audit
inviolable protégée en matière d’intégrité, signée avec une clé secrète à laquelle seul le TPM peut accéder.
4. Les appareils gérés à l’aide d’une solution GPM compatible avec l’attestation d’intégrité des appareils envoient
une copie de cette piste d’audit au service d’attestation d’intégrité de Microsoft (HAS ) via un canal de
communication protégé, sécurisé et inviolable.
5. Le service HAS de Microsoft passe en revue les pistes d’audit, émet un rapport chiffré/signé et transmet ce
dernier à l’appareil.
6. Les responsables informatiques peuvent utiliser une solution GPM compatible avec l’attestation d’intégrité des
appareils pour passer en revue le rapport via un canal de communication protégé, sécurisé et inviolable. Ils
peuvent évaluer si un appareil est exécuté dans un état conforme (intègre), autoriser l’accès ou déclencher des
actions correctives en phase avec les besoins de sécurité et les stratégies d’entreprise.
Rapports sur les ressources
L’inventaire des appareils permet aux organisations de mieux gérer les appareils grâce à des informations
détaillées sur ces derniers. Les systèmes GPM collectent des informations d’inventaire à distance et offrent des
fonctionnalités de génération de rapports pour analyser les ressources et les informations d’un appareil. Ces
données renseignent le service informatique sur les ressources matérielles et logicielles actuelles de l’appareil (par
exemple, les mises à jour installées).
La liste suivante donne des exemples des informations logicielles et matérielles Windows10 Mobile fournies par
un inventaire d’appareils. Outre ces informations, le système GPM peut lire n’importe quel paramètre de
configuration décrit dans ce guide.
Installation d’applications d’entreprise Liste des applications d’entreprise installées sur l’appareil.
Nom de l’appareil Nom défini pour l’appareil.
Version du microprogramme Version du microprogramme installé sur l’appareil.
Version du système d’exploitation Version du système d’exploitation installé sur l’appareil.
Heure locale de l’appareil Heure locale figurant sur l’appareil.
Type de processeur Type de processeur de l’appareil.
Modèle de l’appareil Modèle de l’appareil, tel que défini par le fabricant.
Fabricant de l’appareil Nom du fabricant de l’appareil.
Architecture du processeur de l’appareil Architecture du processeur utilisé par l’appareil.
Langue de l’appareil Langue utilisée sur l’appareil.
Numéro de téléphone Numéro de téléphone attribué à l’appareil.
État de l’itinérance Indique si l’appareil dispose d’une connexion cellulaire itinérante.
** IMEI (International mobile equipment identity) et IMSI (International mobile subscriber identity) Identifiants
uniques pour la connexion cellulaire du téléphone; les réseaux GSM identifient des appareils valides à l’aide de
l’IMEI, tandis que tous les réseaux cellulaires utilisent l’IMSI pour identifier l’appareil et l’utilisateur.
Adresse IP Wi-Fi Adresses IPv4 et IPv6 actuellement attribuées à la carte Wi-Fi de l’appareil.
Adresse MAC Wi-Fi Adresse MAC attribuée à la carte Wi-Fi de l’appareil.
Masque de sous-réseau et suffixe DNS Wi-Fi Suffixe DNS et masque de sous-réseau IP attribués à la carte
Wi-Fi de l’appareil.
État du démarrage sécurisé Indique si le démarrage sécurisé est activé.
Conformité à la stratégie de chiffrement de l’entreprise Indique si le périphérique est chiffré.
Gérer les données de diagnostic
S’applique à: Appareils d’entreprise dotés de Windows10 Mobile Entreprise
Microsoft tire parti des données de diagnostic, de performance et d’utilisation des appareils Windows pour
optimiser ses processus décisionnels et s’efforce de fournir la plateforme la plus robuste et la plus précieuse pour
votre entreprise et les utilisateurs qui comptent sur Windows pour accroître leur productivité. Les données de
diagnostic permettent d’assurer l’intégrité des appareils Windows, d’améliorer le système d’exploitation et de
personnaliser les fonctionnalités et les services.
Vous pouvez contrôler le niveau de données collectées par les systèmes de données de diagnostic. Pour configurer
des appareils, spécifiez l’un de ces niveaux dans le paramètre Autoriser la télémétrie de votre système GPM.
Pour plus d’informations, voir Configurer les données de diagnostic Windows dans votre organisation.
Remarque: les données de diagnostic ne peuvent être gérées que lorsque l’appareil est mis à niveau vers
l'édition Windows10 Mobile Entreprise.
Assistance à distance
Les fonctionnalités d’assistance à distance de Windows10 Mobile permettent de résoudre les problèmes que les
utilisateurs peuvent rencontrer même lorsque le support technique n’a pas physiquement accès à l’appareil. Ces
fonctionnalités incluent:
Verrouillage à distance Le support technique peut verrouiller à distance un appareil. Cette option est utile
lorsqu’un utilisateur perd son appareil mobile et ne peut pas le récupérer immédiatement (par exemple, s’il
laisse un appareil chez un client).
Réinitialisation du code PIN à distance Le support technique peut réinitialiser à distance le code
confidentiel, ce qui se révèle utile lorsque les utilisateurs oublient leur code et ne parviennent pas à accéder à
leur appareil. Aucune donnée de l’utilisateur ou de l’entreprise n’est perdue et les utilisateurs sont en mesure
d’accéder rapidement à leurs appareils.
Sonnerie à distance Le support technique peut faire sonner les appareils à distance. Cette option peut aider
les utilisateurs à retrouver des appareils égarés et, en association avec la fonctionnalité de verrouillage à
distance, permettre de s’assurer que des utilisateurs non autorisés ne sont pas en mesure d’accéder à l’appareil
s’ils mettent la main dessus.
Recherche à distance Le support technique peut localiser à distance un appareil sur une carte, ce qui permet
d’identifier l’emplacement géographique de l’appareil. Les paramètres de recherche à distance peuvent être
configurés via les paramètres du téléphone (voir le tableau ci-dessous). La fonctionnalité de recherche à
distance renvoie la latitude, la longitude et l’altitude les plus récentes de l’appareil.
Stratégies d’assistance à distance
Précision de l’emplacement souhaitée Précision souhaitée sous forme d’une valeur de rayon exprimée en
mètres; a une valeur comprise entre 1 et 1000mètres.
Recherche à distance maximale Durée maximale en minutes au terme de laquelle le serveur accepte une
recherche réussie à distance; a une valeur comprise entre 0 et 1000minutes.
Délai d’expiration de la recherche à distance Nombre de secondes correspondant à la durée pendant
laquelle des appareils doivent attendre que la recherche à distance se termine; a une valeur comprise entre 0 et
1800secondes.
Ces fonctionnalités de gestion à distance permettent aux organisations de réduire l’effort informatique requis pour
gérer les appareils. Elles permettent également aux utilisateurs de pouvoir rapidement réutiliser leur appareil en
cas de perte ou d’oubli du mot de passe de ce dernier.
Logiciel de contrôle à distance Microsoft ne propose pas de logiciel de contrôle à distance intégré, mais
travaille en collaboration avec des partenaires pour fournir ce type de fonctionnalités et de services. Avec la
version1607, des applications d’assistant et de contrôle à distance sont disponibles dans le MicrosoftStore.
Mise hors service

La mise hors service constitue la dernière phase du cycle de vie des appareils, qui dans l’environnement
professionnel actuel dure en moyenne environ 18mois. Une fois cette période écoulée, les employés veulent
pouvoir bénéficier des améliorations en matière de productivité et de performances offertes par le matériel le plus
récent. Il est important que les appareils remplacés par des modèles plus récents soient mis hors service de
manière sécurisée. En effet, la confidentialité de vos données pourrait être compromise si les appareils dont vous
vous défaites contiennent encore des données d’entreprise. Le problème ne se pose généralement pas avec des
appareils d’entreprise, mais les choses peuvent se compliquer dans le cas d’appareils personnels. Vous devez être
en mesure d’effacer toutes les données d’entreprise de manière sélective, sans affecter les applications et données
personnelles stockées sur l’appareil. Le service informatique a également besoin d’un moyen de prendre en charge
de manière appropriée les utilisateurs qui ont besoin d’effacer des appareils perdus ou volés.
Windows10 Mobile prend en charge la mise hors service des appareils dans le cadre des scénarios d’appareils
personnels et d’entreprise, donnant au service informatique l’assurance que la confidentialité des données
d’entreprise et des utilisateurs est préservée.
Remarque: Toutes ces fonctionnalités GPM s’ajoutent aux fonctionnalités logicielles et matérielles de
réinitialisation aux paramètres d’usine de l’appareil, que les employés peuvent utiliser pour rétablir la
configuration d’usine sur ce dernier.
Appareils personnels: Windows10 Mobile prend en charge les exigences réglementaires en vigueur aux États-
Unis stipulant la nécessité d’un «bouton d’arrêt d’urgence» en cas de perte ou de vol du téléphone. La protection
contre la réinitialisation est un service gratuit du site account.microsoft.com qui permet de s’assurer que le
téléphone ne peut pas être réinitialisé et réutilisé facilement. Pour activer la fonctionnalité Protection contre la
réinitialisation, il vous suffit de vous connecter avec votre compte Microsoft et d’accepter les paramètres
recommandés. Pour l’activer manuellement, accédez à Paramètres> Mises à jour et sécurité> Localiser mon
téléphone. Pour le moment, la fonctionnalité Protection contre la réinitialisation est disponible uniquement avec un
compte Microsoft, et non avec un compte Azure AD. Il est également disponible uniquement aux États-Unis.
Si vous choisissez d’effacer complètement un appareil en cas de perte ou lorsqu’un employé quitte l’entreprise,
veillez à obtenir le consentement de l’utilisateur et à suivre les législations locales qui protègent les données
personnelles de l’utilisateur.
Une option meilleure que la réinitialisation complète de l’appareil consiste à utiliser la Protection des informations
Windows pour supprimer uniquement les données d’entreprise d’un appareil personnel. Comme nous l’avons
expliqué dans le chapitre Applications, toutes les données d’entreprise sont balisées et lorsque l’appareil est
désinscrit de votre système GPM, l’ensemble des données chiffrées, des applications, des paramètres et des profils
d’entreprise sont immédiatement supprimés de l’appareil, sans affecter les données personnelles existantes de
l’employé. La désinscription peut être lancée par un utilisateur via l’écran Paramètres ou effectuée par le service
informatique depuis la console de gestion du système GPM. La désinscription est un événement de gestion
signalé au système GPM.
Appareil d’entreprise: Vous pouvez certainement à distance expirer clé de chiffrement de l’utilisateur en cas de
vol de l’appareil, mais n’oubliez pas seront également illisibles les données chiffrées sur d’autres appareils
Windows pour l’utilisateur. Une meilleure approche pour mettre hors service un appareil obsolète ou perdu
consiste à exécuter une réinitialisation complète de l’appareil. Cette opération peut être lancée par le support
technique ou l’utilisateur de l’appareil. Une fois la réinitialisation terminée, Windows10 Mobile renvoie le
périphérique à un état vierge et redémarre le processus OOBE.
Paramètres pour la mise hors service d’appareils personnels ou d’entreprise
Autoriser la suppression manuelle de l’inscription GPM Indique si les utilisateurs sont autorisés à
supprimer le compte de l’espace de travail (en d’autres termes, à désinscrire l’appareil du système GPM ).
Autoriser l’utilisateur à réinitialiser le téléphone Indique si les utilisateurs sont autorisés à utiliser le menu
Paramètres ou une combinaison de touches pour revenir aux valeurs d’usine par défaut.
Rubriques connexes
Gestion des périphériques mobiles
Enterprise Mobility + Security
Vue d’ensemble de la gestion des périphériques mobiles pour Office365
MicrosoftStore pour Entreprises
Historique des révisions

Novembre2015 Mise à jour pour Windows10Mobile (version1511)
Août2016 Mise à jour pour la mise à jour anniversaire Windows10Mobile (version1607)
Résoudre les problèmes liés aux clients Windows10
Cette section contient des rubriques de dépannage avancés et des liens pour vous aider à résoudre les problèmes
avec les clients Windows 10. Rubriques supplémentaires seront ajoutés dès qu’elles sont disponibles.
Prise en charge des rubriques de résolution des problèmes

Résolution avancée des problèmes de réseaux Windows
Avancée de résolution des problèmes de connectivité réseau sans fil
Résolution avancée des problèmes d’authentification 802.1X
Collecte de données pour la résolution avancée des problèmes d’authentification 802.1X
Résolution avancée des problèmes de TCP/IP
Collecter des données à l’aide du Moniteur réseau
Résoudre les problèmes de connectivité TCP/IP
Résoudre les problèmes d’épuisement des ports
Résoudre les erreurs d’appel de procédure distante
Résolution avancée des problèmes de démarrage de Windows
Résolution avancée des problèmes d’amorçage de Windows
Dépannage avancé pour les problèmes de l’ordinateur basé sur Windows
Dépannage des erreurs d’arrêt ou des erreurs de l’écran bleu avancé
Résolution avancée des problèmes d’erreur d’arrêt de fonctionnement 7B ou Inaccessible_Boot_Device
Historique des mises à jour Windows10

Microsoft publie régulièrement des mises à jour et des solutions concernant Windows10. Pour vérifier que vos
ordinateurs peuvent recevoir les mises à jour futures, notamment les mises à jour de sécurité, il est important de
les maintenir àjour. Consultez les liens suivants pour obtenir la liste complète des mises à jour publiées:
Historique des mises à jour de Windows 10 version 1809
Historique des mises à jour de Windows10 version1703
Voici les meilleures solutions de support Microsoft concernant les problèmes les plus courants rencontrés lors de
l’utilisation de Windows10 dans un environnement d'entreprise ou de professionnels de l’informatique. Les liens
ci-dessous permettent d'accéder à des articles de la Base de connaissances, à des mises à jour et à des articles de la
bibliothèque.
Solutions relatives à l’installation des mises à jour Windows

Fonctionnement de Windows Update
Fichiers journaux de Windows Update
Résolution des problèmes de Windows Update
Mesures de prévention et les erreurs courantes de Windows Update
Windows Update - ressources supplémentaires
Solutions relatives à l’installation ou à la mise à niveau de Windows

Correctifs rapides
Résolution des problèmes liés aux erreurs de mise à niveau
Procédures de résolution
erreur 0xc1800118 lorsque vous Windows 10 Version 1607 à l’aide de WSUS
Erreur 0xC1900101 en cas d’échec de mise à niveau Windows10après le deuxième redémarrage du système
Solutions relatives à BitLocker

Guide de récupération BitLocker
BitLocker: activation du déverrouillage réseau
BitLocker: Utiliser les outils de chiffrement de lecteur BitLocker pour gérer BitLocker
Paramètres de stratégie de groupe BitLocker
Solutions relatives aux vérifications d'erreur ou aux erreurs d’arrêt

Résolution des problèmes d’erreur d’arrêt pour les professionnels de l’informatique
Comment utiliser l’environnement de récupération Windows (WinRE ) pour résoudre les problèmes de
démarrage courants
Comment résoudre les problèmes de blocage d’un ordinateur Windows
Présentation du fichier de page dans le canal de maintenance à long terme et le canal semi-annuel d’appareils
Windows
Solutions relatives aux problèmes de démarrage de Windows

Résolution des problèmes de démarrage de Windows pour les professionnels de l’informatique
Comment utiliser l’environnement de récupération Windows (WinRE ) pour résoudre les problèmes de
démarrage courants
Solutions relatives à la configuration ou à la gestion du menu Démarrer

Gérer la disposition de l’écran de démarrage et de la barre des tâches Windows10
Personnaliser et exporter la disposition de l'écran de démarrage
Modifications apportées aux paramètres de stratégie de groupe pour l’écran de démarrage de Windows10
Les applications système préinstallées et le menu Démarrer peuvent ne pas fonctionner lorsque vous effectuez
une mise à niveau vers Windows10, version1511
Les raccourcis du menu Démarrer ne sont pas immédiatement accessibles dans Windows Server2016
Résoudre les problèmes liés à l'ouverture du menu Démarrer ou de Cortana
Les applications modernes sont bloquées par un logiciel de sécurité lorsque vous démarrez les applications sur
Windows10 version1607
Solutions liées à la mise en réseau sans fil et à l’authentification 802.1X

Avancée de résolution des problèmes de réseau sans fil
Avancée de résolution des problèmes de l’authentification 802. 1 x
Résolution des problèmes de connexions sans fil 802.11 de Windows
Résolution des problèmes Windows sécuriser les connexions filaires 802.3
Les appareils Windows10 ne peuvent pas se connecter à un environnement802.1X
Résolution avancée des problèmes de réseaux
Windows
Les rubriques suivantes sont disponibles pour vous aider à résoudre les problèmes courants liés à la mise en
réseau Windows.
Dépannage avancé pour la connectivité réseau sans fil
Résolution avancée des problèmes d’authentification 802.1X
Collecte de données pour la résolution avancée des problèmes d’authentification 802.1X
Résolution avancée des problèmes de TCP/IP
Résoudre les problèmes de carence de port
Résoudre les erreurs de l’appel de procédure distante (RPC )
Concepts et références techniques

802. 1 authentifié de X câblée vue d’ensemble de l’accès
802. 1 vue d’ensemble de l’accès sans fil authentifiée pour X
Vue d’ensemble du déploiement de cccess sans fil
Informations techniques de référence TCP/IP
Moniteur réseau
RPC et au réseau
Fonctionne de RPC
Codes de motif NPS
Avancée de résolution des problèmes de connectivité
réseau sans fil
NOTE
Les utilisateurs à domicile: cet article est destiné à être utilisées par les agents du support et les professionnels de
l’informatique. Si vous recherchez des informations plus générales sur les problèmes de Wi-Fi dans Windows 10, regardez
cette Wi-Fi Windows 10 corriger l’article.
Vue d'ensemble
Il s’agit d’une résolution des problèmes généraux de l’établissement de connexions Wi-Fi à partir de clients
Windows. Résolution des problèmes de connexions Wi-Fi, vous devez comprendre le flux de base de la machine à
états Wi-Fi la connexion automatique. Comprendre ce flux facilite la déterminer le point de départ dans un
scénario de reproduire le problème dans lequel se trouve un comportement différent. Ce flux de travail implique la
connaissance et l’utilisation de TextAnalysisTool, un outil utile avec des traces complexes avec de nombreux
fournisseurs ETW par exemple de scénario de trace wireless_dbg de filtrage de texte complète.
Scénarios
Cet article s’applique à n’importe quel scénario de défaillance établir des connexions Wi-Fi. La résolution des
problèmes sont développée avec les clients Windows 10 en question, mais également la peuvent être utile avec les
traces jusqu'à la version Windows 7.
NOTE
Cet utilitaire utilise des exemples qui illustrent une stratégie générale pour la navigation et l’interprétation des composants
sans fil Le suivi d’événements pour Windows (ETW). Elle n’est pas destinée à être représentatif de chaque scénario de
problème sans fil.
ETW sans fil est incroyablement détaillée et appelle un grand nombre d’erreurs sans conséquence (au lieu de cela
avec indicateur comportements qui ont peu ou rien à faire avec le scénario de problème). Recherche simplement
ou de filtrage sur «erreur», «erreur» et «Échec» rarement vous guideront à la cause d’un scénario de Wi-Fi posant
problème. Au lieu de cela il sera submerger l’écran avec les journaux sans signification sera brouiller le contexte du
problème réel.
Il est important de comprendre la Wi-Fi différents composants impliqués, leurs comportements attendus, et
comment le scénario de problème diffère de ceux que les comportements prévus. L’objectif de cet utilitaire
consiste à montrer comment trouver un point de départ dans les commentaires du wireless_dbg ETW et à
domicile les composants responsable qui sont la cause du problème de connexion.
Problèmes connus et des correctifs
VERSION DU SYSTÈME D'EXPLOITATION RÉSOLU DANS
Windows10 version1803 KB4284848

VERSION DU SYSTÈME D'EXPLOITATION RÉSOLU DANS
Windows10 version1709 KB4284822
Windows10, version1703 KB4338827
Assurez-vous que vous installez les dernières mises à jour de Windows, les mises à jour cumulatives et les mises à
jour cumulatives. Pour vérifier l’état de mise à jour, reportez-vous à la page Web de l’historique des mises à jour
appropriée pour votre système:
Windows 10 version 1809
Windows 10 version 1607 et Windows Server 2016
Windows 8.1 et Windows Server 2012 R2
WindowsServer2012
Windows 7 SP1 et Windows Server 2008 R2 SP1
Collecte de données
1. Capture de réseau avec ETW. Entrez la commande suivante à une invite de commandes avec élévation de
privilèges:
netsh trace start wireless_dbg capture=yes overwrite=yes maxsize=4096 tracefile=c:\tmp\wireless.etl
2. Reproduire le problème.
S’il existe un échec pour établir la connexion, essayez de vous connecter manuellement.
Si elle est intermittente mais facilement reproductible, essayez de vous connecter manuellement jusqu'à
ce qu’elle échoue. Enregistrement tenter de l’heure de chaque connexion et si elle a été un succès ou un
échec.
Si le problème est intermittente mais rares, la commande netsh trace stop doit être déclenché
automatiquement (ou au moins alerté rapidement au rôle d’administrateur) pour assurer le suivi ne
remplace pas les données de reproduire le problème.
Si la connexion intermittente descend déclencheur cesser de commande sur un script (réseau ping ou
test constamment jusqu'à échouent, puis arrêt de trace netsh).
3. Arrêter le suivi en entrant la commande suivante:
netsh trace stop
4. Pour convertir le fichier de sortie au format texte:
netsh trace convert c:\tmp\wireless.etl
Consultez l' exemple de capture ETW en bas de cet article pour obtenir un exemple de la sortie de commande.
Après l’exécution de ces commandes, vous aurez trois fichiers: wireless.cab, wireless.etl et wireless.txt.
Résolution des problèmes

Voici une vue d’ensemble des composants principaux Wi-Fi dans Windows.
Le Gestionnaire des connexions Windows (Wcmsvc) est

étroitement associée aux contrôles d’interface utilisateur
(icône de la barre des tâches) pour vous connecter à différents
réseaux, y compris les réseaux sans fil. Il accepte et traite les
entrées de l’utilisateur et il flux au service sans fil core.
Le Service de configuration automatique de réseau local

sans fil (WlanSvc) gère les fonctions essentielles suivantes des
réseaux sans fil dans windows: - L’analyse des réseaux sans fil
à portée - Gestion de la connectivité des réseaux sans fil
Le Module spécifique aux médias (MSM) prend en charge

les aspects de sécurité de la connexion établie.
Le pile natif Wi-Fi se compose de pilotes et des API sans fil

d’interagir avec miniports sans fil et la prise en charge
Wlansvc en mode utilisateur.
Tiers sans fil miniport pilotes d’interface avec la pile sans fil
supérieure pour fournir des notifications à et recevoir des
commandes à partir de Windows.
La machine à états connexion Wi-Fi comporte les états suivants:

Réinitialiser
Ihv_Configuring
Configuration
Association
L’authentification
Roaming
Wait_For_Disconnected
Déconnecté
Connexions Wi-Fi standard ont tendance à effectuer la transition entre les États telles que:
Connexion en cours
Réinitialiser--> Ihv_Configuring--> configuration--> associant--> authentification--> connectés
Se déconnecter
Connecté--> itinérance--> Wait_For_Disconnected--> déconnecté--> réinitialisation
Le filtrage de la trace ETW avec la TextAnalysisTool (TAT) est une première étape pour déterminer où un
programme d’installation de l’échec de la connexion est décomposer facile. Un fichier de filtre de Wi-Fi de utile
est inclus dans la partie inférieure de cet article.
Utilisez le filtre de trace transition FSM pour voir la machine à états connexion. Vous pouvez voir un exemple de
ce filtre appliqué dans la TAT en bas de cette page.
Voici un exemple d’une configuration de la bonne connexion:
44676 [2]0F24.1020::2018-09-17 10:22:14.658 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from

State: Disconnected to State: Reset
State: Reset to State: Ihv_Configuring
State: Ihv_Configuring to State: Configuring
46085 [2]0F24.17E0::2018-09-17 10:22:14.710 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from
State: Configuring to State: Associating
State: Associating to State: Authenticating
State: Authenticating to State: Connected
Voici un exemple d’un programme d’installation de l’échec de la connexion:

State: Disconnected to State: Reset
State: Reset to State: Ihv_Configuring
State: Ihv_Configuring to State: Configuring
State: Configuring to State: Associating
State: Associating to State: Authenticating
State: Authenticating to State: Roaming
En identifiant l’état à laquelle la connexion échoue, un peut se concentrer plus spécifiquement dans la trace sur les
journaux juste avant le dernier état correct connu.
Examen des journaux [Microsoft-Windows--automatique WLAN ] juste avant le changement d’état incorrect
doit présenter la preuve d’erreur. Souvent, toutefois, l’erreur est propagée haut par le biais d’autres composants
sans fil. Dans de nombreux cas, le composant d’intérêt suivant sera MSM, ce qui se trouve juste en dessous
Wlansvc.
Les composants importants du MSM sont les suivantes:
Gestionnaire de sécurité (SecMgr) - gère toutes les opérations de sécurité de pré et post-connexion.
Le moteur d’authentification (AuthMgr) – gère les demandes x auth 802. 1
Chacun de ces composants a leurs propres machines à états individuels qui suivent des transitions spécifiques.
Activer les filtres FSM, Transition SecMgr et AuthMgr Transition dans TextAnalysisTool pour plus
d’informations.
Poursuivre l’exemple ci-dessus, les filtres combinées ressembler à ceci:
[2] 0C34.2FF0::08/28/17-13:24:28.693 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:

Reset to State: Ihv_Configuring
[2] 0C34.2FF0::08/28/17-13:24:28.693 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Ihv_Configuring to State: Configuring
[1] 0C34.2FE8::08/28/17-13:24:28.711 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from State:
Configuring to State: Associating
[0] 0C34.275C::08/28/17-13:24:28.902 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer
8A:15:14:B6:25:10 SecMgr Transition INACTIVE (1) --> ACTIVE (2)
8A:15:14:B6:25:10 SecMgr Transition ACTIVE (2) --> START AUTH (3)
[4] 0EF8.0708::08/28/17-13:24:28.928 [Microsoft-Windows-WLAN-AutoConfig]Port (14) Peer
0x186472F64FD2 AuthMgr Transition ENABLED --> START_AUTH
Associating to State: Authenticating
8A:15:14:B6:25:10 SecMgr Transition START AUTH (3) --> WAIT FOR AUTH SUCCESS (4)
0x186472F64FD2 AuthMgr Transition START_AUTH --> AUTHENTICATING
[2] 0C34.2FF0::08/28/17-13:24:29.751 [Microsoft-Windows-WLAN-AutoConfig]Port[13] Peer
8A:15:14:B6:25:10 SecMgr Transition WAIT FOR AUTH SUCCESS (7) --> DEACTIVATE (11)
8A:15:14:B6:25:10 SecMgr Transition DEACTIVATE (11) --> INACTIVE (1)
[2] 0C34.2FF0::08/28/17-13:24:29.7513404 [Microsoft-Windows-WLAN-AutoConfig]FSM Transition from
State:
Authenticating to State: Roaming
NOTE
Dans la prochaine à la dernière ligne du SecMgr transition est soudainement désactivation:
[2] 0C34.2FF0::08/28/17-13:24:29.7512788 [Microsoft-Windows-WLAN-AutoConfig]Port[13] homologue 8A:15:14:B6:25:10
SecMgr Transition désactiver (11)--> inactif (1)
Cette transition est ce qui finalement de se propage à la machine à états principale de connexion et entraîne la phase
d’authentification à incombent à l’état de l’itinérance. Comme avant, il est judicieux pour vous concentrer sur le suivi juste
avant la ce comportement SecMgr pour déterminer la raison de la désactivation.
Activer le filtre de Microsoft-Windows--automatique WLAN affichera plus en détail conduisant à la transition

désactiver:
0x186472F64FD2 AuthMgr Transition START_AUTH --> AUTHENTICATING
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet:
PHY_STATE_CHANGE
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Change radio state for
interface = Intel(R) Centrino(R) Ultimate-N 6300 AGN : PHY = 3, software state = on , hardware
state = off )
[0] 0EF8.1174::08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet:
PORT_DOWN
[0] 0EF8.1174::08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]FSM Current state
Authenticating , event Upcall_Port_Down
[0] 0EF8.1174:: 08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received IHV PORT DOWN,
peer 0x186472F64FD2
State:
La piste vers l’arrière, vous obtiendrez une notification de Port vers le bas :
[0] 0EF8.1174:: [Microsoft-Windows-WLAN -AutoConfig]Received 08/28/17-13:24:29.705 fabricant de matériel
PORT vers le bas, l’homologue 0x186472F64FD2
Les événements de port indiquent des modifications plus près au matériel sans fil. La piste peut être suivie de
continuer à voir l’origine de cette indication.
Vous trouverez ci-dessous, MSM est la pile de Wi-Fi native. Il s’agit de pilotes Wi-Fi native de Windows qui
communique avec les pilotes de miniport Wi-Fi. Il est responsable de la conversion de paquets Wi-Fi (802.11)
802.3 (Ethernet) afin que TCPIP et autres protocoles et pouvez l’utiliser.
Activer le filtre de trace pour [Microsoft-Windows-NWifi]:
0x8A1514B62510 AuthMgr Transition START_AUTH --> AUTHENTICATING
[0]0000.0000::08/28/17-13:24:29.127 [Microsoft-Windows-NWiFi]DisAssoc: 0x8A1514B62510 Reason: 0x4
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet:
PHY_STATE_CHANGE
[0]0EF8.2EF4::08/28/17-13:24:29.549 [Microsoft-Windows-WLAN-AutoConfig]Change radio state for
interface = Intel(R) Centrino(R) Ultimate-N 6300 AGN : PHY = 3, software state = on , hardware
state = off )
[0] 0EF8.1174::08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received Security Packet:
PORT_DOWN
[0] 0EF8.1174::08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]FSM Current state
Authenticating , event Upcall_Port_Down
[0] 0EF8.1174:: 08/28/17-13:24:29.705 [Microsoft-Windows-WLAN-AutoConfig]Received IHV PORT DOWN,
peer 0x186472F64FD2
State:
Dans la trace ci-dessus, nous voyons la ligne:
[0]0000.0000::08/28/17-13:24:29.127 [Microsoft-Windows-NWiFi]DisAssoc: 0x8A1514B62510 Reason: 0x4
Cela est suivi d’événements PHY_STATE_CHANGE et PORT_DOWN en raison d’un dissocier sera disponible à
partir du Point d’accès, en tant qu’une indication de refuser la connexion. Il peut s’agir en raison d’informations
d’identification non valides, paramètres de connexion, la perte de signal/roaming et diverses autres raisons pour
l’abandon d’une connexion. L’action ici consisterait à examiner la raison de la dissocier envoyée à partir de MAC
PA indiquée (8A:15:14:B6:25:10). Pour ce faire, vous feriez examen interne/suivi de la journalisation du point
d’accès.
Ressources
802.11 sans fil, outils et paramètres
Comprendre l’authentification 802. 1 de X pour les réseaux sans fil
Capture d’exemple ETW

C:\tmp>netsh trace start wireless_dbg capture=yes overwrite=yes maxsize=4096
tracefile=c:\tmp\wireless.etl
Trace configuration:
-------------------------------------------------------------------
Status: Running
Trace File: C:\tmp\wireless.etl
Append: Off
Circular: On
Max Size: 4096 MB
Report: Off
C:\tmp>netsh trace stop

Correlating traces ... done
Merging traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as
"c:\tmp\wireless.cab".
File location = c:\tmp\wireless.etl
Tracing session was successfully stopped.
C:\tmp>netsh trace convert c:\tmp\wireless.etl
Input file: c:\tmp\wireless.etl

Dump file: c:\tmp\wireless.txt
Dump format: TXT
Report file: -
Generating dump ... done
C:\tmp>dir
Volume in drive C has no label.
Volume Serial Number is 58A8-7DE5
Directory of C:\tmp
01/09/2019 02:59 PM [DIR] .

01/09/2019 02:59 PM [DIR] ..
01/09/2019 02:59 PM 4,855,952 wireless.cab
01/09/2019 02:56 PM 2,752,512 wireless.etl
01/09/2019 02:59 PM 2,786,540 wireless.txt
3 File(s) 10,395,004 bytes
2 Dir(s) 46,648,332,288 bytes free
Fichier de filtre de Wi-Fi

Copiez et collez les lignes ci-dessous et les enregistrer dans un fichier texte nommé «wifi.tat». Charger le fichier de
filtre dans le TextAnalysisTool en cliquant sur le fichier > charger les filtres.
<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<TextAnalysisTool.NET version="2018-01-03" showOnlyFilteredLines="False">
<filters>
<filter enabled="n" excluding="n" description="" foreColor="000000" backColor="d3d3d3" type="matches_text"
case_sensitive="n" regex="n" text="[Microsoft-Windows-OneX]" />
<filter enabled="y" excluding="y" description="" foreColor="000000" backColor="ffffff" type="matches_text"
case_sensitive="n" regex="n" text="[Unknown]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-EapHost]" />
case_sensitive="n" regex="n" text="[]***" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-Winsock-AFD]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-WinHttp]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-WebIO]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-Winsock-NameResolution]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-TCPIP]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-DNS-Client]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-NlaSvc]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-Iphlpsvc-Trace]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-DHCPv6-Client]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-Dhcp-Client]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-NCSI]" />
<filter enabled="y" excluding="n" description="" backColor="90ee90" type="matches_text" case_sensitive="n"
regex="n" text="AuthMgr Transition" />
<filter enabled="y" excluding="n" description="" foreColor="0000ff" backColor="add8e6" type="matches_text"
case_sensitive="n" regex="n" text="FSM transition" />
<filter enabled="y" excluding="n" description="" foreColor="000000" backColor="dda0dd" type="matches_text"
case_sensitive="n" regex="n" text="SecMgr transition" />
<filter enabled="y" excluding="n" description="" foreColor="000000" backColor="f08080" type="matches_text"
case_sensitive="n" regex="n" text="[Microsoft-Windows-NWiFi]" />
<filter enabled="y" excluding="n" description="" foreColor="000000" backColor="ffb6c1" type="matches_text"
case_sensitive="n" regex="n" text="[Microsoft-Windows-WiFiNetworkManager]" />
<filter enabled="y" excluding="n" description="" foreColor="000000" backColor="dda0dd" type="matches_text"
case_sensitive="n" regex="n" text="[Microsoft-Windows-WLAN-AutoConfig]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-NetworkProfile]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-WFP]" />
case_sensitive="n" regex="n" text="[Microsoft-Windows-WinINet]" />
case_sensitive="n" regex="n" text="[MSNT_SystemTrace]" />
case_sensitive="n" regex="n" text="Security]Capability" />
</filters>
</TextAnalysisTool.NET>
Exemple de TextAnalysisTool
Dans l’exemple suivant, les paramètres d’affichage sont configurés pour Afficher uniquement les lignes
filtrées.
Résolution avancée des problèmes d’authentification
802.1X
Vue d'ensemble
Il s’agit d’une résolution des problèmes généraux de 802. 1 X câblées et sans fil des clients. Avec l’authentification
802. 1 X et la résolution des problèmes sans fil, il est important de savoir comment fonctionne le flux
d’authentification et ensuite retrouveront dans lequel elle est scinder. Elle implique un grand nombre de logiciels et
les appareils tiers. La plupart du temps, nous devons identifier où est le problème et dispose d’un autre
fournisseur résoudre le problème. Dans la mesure où nous n’effectuez des points d’accès ou wwitches, il ne sera
pas une solution Microsoft de bout en bout.
Scénarios
Cette technique de dépannage s’applique à tous les scénarios, dans les connexions sans fil ou filaires avec 802. 1 X
l’authentification est effectuée et puis ne parvient pas à établir. Le flux de travail couvre Windows 7 - 10 pour les
clients et Windows Server 2008 R2 - 2012 R2 pour NPS.
Problèmes connus
None
Collecte de données
Reportez-vous à la section Options avancées de résolution des problèmes de collecte des données de
l’authentification 802.1 X.
Résolution des problèmes

Affichage des événements d’état d’authentification serveur NPS dans le journal des événements de sécurité
Windows est une des méthodes de résolution des problèmes particulièrement utiles pour obtenir des
informations sur les échecs d’authentification.
Les entrées de journal des événements NPS contiennent des informations sur la tentative de connexion, y compris
le nom de la stratégie de demande de connexion qui mises en correspondance de la tentative de connexion et de la
stratégie réseau qui a accepté ou rejeté la tentative de connexion. Si vous ne voyez pas les événements de réussite
et échec, consultez la section ci-dessous sur la stratégie d’audit NPS.
Vérifiez le journal des événements de sécurité de Windows sur le serveur NPS pour les événements NPS
correspondant à (6273 valeur d’ID d’événement) ou le refus des tentatives de connexion (6272 ID d’événement).
Dans le message d’événement, faites défiler vers le bas et vérifiez le champ Code motif et le texte qui lui est
associé.
exemple: événement ID 6273 valeur (Échec d’A udit)
exemple: événement ID 6272 (réussite d’A udit)

Le journal opérationnel de configuration automatique WLAN répertorie des informations et des événements
d’erreur en fonction des conditions détectés par ou signalés au service de configuration automatique WLAN. Le
journal opérationnel contient des informations sur la carte réseau sans fil, les propriétés du profil de connexion
sans fil, l’authentification réseau spécifié et, en cas de problèmes de connectivité, la cause de l’échec. Accès au
réseau filaire, journal opérationnel de la configuration automatique de réseau câblé est un équivalent.
Sur le côté client, accédez à l’Observateur d’événements (Local) \Applications et Services
Logs\Microsoft\Windows\WLAN -configuration automatique/opérationnel concernant les problèmes sans
fil. Pour les problèmes d’accès réseau filaire, accédez à ... \Wired-AutoConfig/Operational. Consultez l’exemple
suivant:
La plupart des authentification 802. 1 X problèmes d’authentification sont en raison de problèmes avec le certificat
utilisé pour l’authentification client ou serveur (certificat par exemple, non valide, d’expiration, Échec de vérification
de chaîne, Échec de vérification de révocation, etc.).
Tout d’abord, valider le type de méthode EAP utilisé:
Si un certificat est utilisé pour sa méthode d’authentification, vérifiez si le certificat est valable. Pour côté serveur
(NPS ), vous pouvez confirmer le certificat est utilisé à partir du menu de propriété EAP:
Le journal des événements CAPI2 seront utile pour résoudre les problèmes liés aux certificats. Ce journal n’est pas
activé par défaut. Vous pouvez activer ce journal en développant l’Observateur d’événements (Local)
\Applications et les Services Logs\Microsoft\Windows\CAPI2, clic droit opérationnel puis en cliquant sur
Activer le journal.
L’article suivant explique comment analyser les journaux des événements de CAPI2: Résolution des problèmes de
PKI sur Windows Vista.
Lors de la résolution des problèmes complexes authentification 802. 1 X problèmes d’authentification, il est
important de comprendre l’authentification 802. 1 X processus d’authentification. La figure suivante est un
exemple du processus de connexion sans fil avec authentification de 802. 1 X:
Si vous collecter une capture de paquets réseau sur le client et le côté serveur (NPS ), vous pouvez voir un flux
semblable à celle ci-dessous. Type EAPOL dans le filtre d’affichage pour une capture de côté client et EAP pour
une capture de côté serveur NPS. Consultez les exemples suivants:
côté Client paquet capturer des données
côté serveur NPS paquet capturer des données
NOTE
Si vous avez une trace sans fil, vous pouvez également Afficher les fichiers ETL avec le Moniteur réseau et appliquer les filtres
ONEX_MicrosoftWindowsOneX et WLAN_MicrosoftWindowsWLANAutoConfig le Moniteur réseau. Suivez les
instructions dans le menu aide dans le Moniteur réseau pour charger l’Analyseur demandé si nécessaire. Voir l’exemple ci-
dessous.
Stratégie d’audit
Stratégie (la journalisation des événements) pour la réussite de la connexion d’audit NPS et échec est activé par
défaut. Si vous trouvez qu’un ou les deux types de journalisation sont désactivées, procédez comme suit pour
résoudre les problèmes.
Vue en cours d’audit des paramètres de stratégie en exécutant la commande suivante sur le serveur NPS:
auditpol /get /subcategory:"Network Policy Server"
Si les événements de réussite et échec sont activés, la sortie doit être:

System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
S’il n’affiche «Aucun audit», vous pouvez exécuter cette commande pour l’activer:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Même si la stratégie d’audit semble être entièrement activées, il permet parfois, désactivez et réactivez ce
paramètre. Vous pouvez également activer le serveur NPS d’audit ouverture/fermeture de session via la stratégie
de groupe. Le paramètre de réussite/échec se trouve sous Configuration ordinateur-> stratégies->
paramètres Windows-> paramètres de sécurité-> Configuration avancée de la stratégie d’Audit->
stratégies d’Audit-> ouverture/fermeture de session-> Audit Network Policy Server .
Références supplémentaires
Résolution des problèmes de connexions sans fil de Windows Vista 802.11
Résolution des problèmes de Windows Vista sécuriser des connexions câblées 802.3
Collecte de données pour la résolution avancée des
problèmes d’authentification 802.1X
Utilisez les étapes suivantes pour collecter des données qui peuvent être utilisées pour résoudre les problèmes
d’authentification 802. 1 X problèmes d’authentification. Lorsque vous avez collecté les données, reportez-vous à
la section Options avancées de résolution des problèmes d’authentification de 802. 1 X.
Capturer des journaux de la fonctionnalité sans fil/câblé

Utilisez les étapes suivantes pour collecter des journaux filaires et sans fil sur Windows et Windows Server:
1. Créez C:\MSLOG sur l’ordinateur client pour stocker les journaux capturées.
2. Lancer une invite de commandes avec élévation de privilèges sur l’ordinateur client et exécutez les
commandes suivantes pour démarrer un journal de suivi RAS et un journal de scénario sans fil/câblé.
Sans fil Windows 8.1 et Windows 10:
netsh ras set tracing * enabled

netsh trace start scenario=wlan,wlan_wpp,wlan_dbg,wireless_dbg globallevel=0xff capture=yes
maxsize=1024 tracefile=C:\MSLOG\%COMPUTERNAME%_wireless_cli.etl
Sans fil Windows 7 et Windows 8:

netsh trace start scenario=wlan,wlan_wpp,wlan_dbg globallevel=0xff capture=yes maxsize=1024
tracefile=C:\MSLOG\%COMPUTERNAME%_wireless_cli.etl
Client câblé, quel que soit la version

netsh trace start scenario=lan globallevel=0xff capture=yes maxsize=1024
tracefile=C:\MSLOG\%COMPUTERNAME%_wired_cli.etl
3. Exécutez la commande suivante pour activer la journalisation CAPI2 et augmenter la taille:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

wevtutil sl Microsoft-Windows-CAPI2/Operational /ms:104857600
4. Créez C:\MSLOG sur le serveur NPS pour stocker les journaux capturées.
5. Lancer une invite de commandes avec élévation de privilèges sur le serveur NPS et exécutez les
commandes suivantes pour démarrer un journal de suivi RAS et un journal de scénario sans fil/câblé:
Windows Server 2012 R2, réseau sans fil Windows Server 2016:
netsh trace start scenario=wlan,wlan_wpp,wlan_dbg,wireless_dbg globallevel=0xff capture=yes
maxsize=1024 tracefile=C:\MSLOG\%COMPUTERNAME%_wireless_nps.etl
Windows Server 2008 R2, réseau sans fil de Windows Server 2012

netsh trace start scenario=wlan,wlan_wpp,wlan_dbg globallevel=0xff capture=yes maxsize=1024
tracefile=C:\MSLOG\%COMPUTERNAME%_wireless_nps.etl
Réseau câblé

netsh trace start scenario=lan globallevel=0xff capture=yes maxsize=1024
tracefile=C:\MSLOG\%COMPUTERNAME%_wired_nps.etl
6. Exécutez la commande suivante pour activer la journalisation CAPI2 et augmenter la taille:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

wevtutil sl Microsoft-Windows-CAPI2/Operational /ms:104857600
7. Exécutez la commande suivante à partir de l’invite de commandes sur l’ordinateur client et qui pour
capturer des images d’écran de démarrage:
NOTE
Lorsque l’utilisateur clique sur le bouton de souris, le curseur clignote en rouge lors de la capture d’une image
d’écran.
psr /start /output c:\MSLOG\%computername%_psr.zip /maxsc 100
8. Reproduire le problème.
9. Exécutez la commande suivante sur le PC pour arrêter la capture qui client:
psr /stop
10. Exécutez les commandes suivantes à partir de l’invite de commandes sur le serveur NPS.
Pour arrêter le journal de suivi RAS et sans fil scénario:
netsh trace stop

netsh ras set tracing * disabled
Pour désactiver et copiez journal CAPI2:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

wevtutil.exe epl Microsoft-Windows-CAPI2/Operational C:\MSLOG\%COMPUTERNAME%_CAPI2.evtx
11. Exécutez les commandes suivantes sur le PC client.
Pour arrêter le journal de suivi RAS et sans fil scénario:
netsh trace stop

netsh ras set tracing * disabled
Pour désactiver et copiez le journal CAPI2:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

wevtutil.exe epl Microsoft-Windows-CAPI2/Operational C:\MSLOG\%COMPUTERNAME%_CAPI2.evtx
12. Enregistrez les fichiers journaux suivants sur le client et le serveur NPS:
Client
C:\MSLOG%ComputerName%_psr.zip
C:\MSLOG%ComputerName%_CAPI2.evtx
C:\MSLOG%ComputerName%_wireless_cli.etl
C:\MSLOG%ComputerName%_wireless_cli.cab
Tous les journaux des fichiers et dossiers situés dans %Systemroot%\Tracing
NPS
C:\MSLOG%ComputerName%_CAPI2.evtx
C:\MSLOG%ComputerName%_wireless_nps.ETL (%COMPUTERNAME%_wired_nps.etl pour le
scénario câblée)
C:\MSLOG%ComputerName%_wireless_nps.cab (%COMPUTERNAME%_wired_nps.cab pour le
scénario câblée)
Tous les journaux des fichiers et dossiers situés dans %Systemroot%\Tracing
Enregistrer les informations de configuration et d’environnement

Sur le client Windows
1. Créez C:\MSLOG pour stocker les journaux capturées.
2. Lancer une invite de commandes en tant qu’administrateur.
3. Exécutez les commandes suivantes.
Informations sur l’environnement et l’état des applications de la stratégie de groupe
gpresult /H C:\MSLOG\%COMPUTERNAME%_gpresult.htm
msinfo32 /report c:\MSLOG\%COMPUTERNAME%_msinfo32.txt
ipconfig /all > c:\MSLOG\%COMPUTERNAME%_ipconfig.txt
route print > c:\MSLOG\%COMPUTERNAME%_route_print.txt
Journaux des événements

wevtutil epl Application c:\MSLOG\%COMPUTERNAME%_Application.evtx
wevtutil epl System c:\MSLOG\%COMPUTERNAME%_System.evtx
wevtutil epl Security c:\MSLOG\%COMPUTERNAME%_Security.evtx
wevtutil epl Microsoft-Windows-GroupPolicy/Operational
C:\MSLOG\%COMPUTERNAME%_GroupPolicy_Operational.evtx
wevtutil epl "Microsoft-Windows-WLAN-AutoConfig/Operational" c:\MSLOG\%COMPUTERNAME%_Microsoft-Windows-
WLAN-AutoConfig-Operational.evtx
wevtutil epl "Microsoft-Windows-Wired-AutoConfig/Operational" c:\MSLOG\%COMPUTERNAME%_Microsoft-
Windows-Wired-AutoConfig-Operational.evtx
wevtutil epl Microsoft-Windows-CertificateServicesClient-CredentialRoaming/Operational
c:\MSLOG\%COMPUTERNAME%_CertificateServicesClient-CredentialRoaming_Operational.evtx
wevtutil epl Microsoft-Windows-CertPoleEng/Operational
c:\MSLOG\%COMPUTERNAME%_CertPoleEng_Operational.evtx
Pour Windows 8 et versions ultérieures, également exécuter les commandes suivantes pour les journaux
d’événements:
wevtutil epl Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational

c:\MSLOG\%COMPUTERNAME%_CertificateServicesClient-Lifecycle-System_Operational.evtx
wevtutil epl Microsoft-Windows-CertificateServicesClient-Lifecycle-User/Operational
c:\MSLOG\%COMPUTERNAME%_CertificateServicesClient-Lifecycle-User_Operational.evtx
wevtutil epl Microsoft-Windows-CertificateServices-Deployment/Operational
c:\MSLOG\%COMPUTERNAME%_CertificateServices-Deployment_Operational.evtx
Informations de magasin de certificats:

certutil -v -silent -store MY > c:\MSLOG\%COMPUTERNAME%_cert-Personal-Registry.txt
certutil -v -silent -store ROOT > c:\MSLOG\%COMPUTERNAME%_cert-TrustedRootCA-Registry.txt
certutil -v -silent -store -grouppolicy ROOT > c:\MSLOG\%COMPUTERNAME%_cert-TrustedRootCA-
GroupPolicy.txt
certutil -v -silent -store -enterprise ROOT > c:\MSLOG\%COMPUTERNAME%_TrustedRootCA-Enterprise.txt
certutil -v -silent -store TRUST > c:\MSLOG\%COMPUTERNAME%_cert-EnterpriseTrust-Reg.txt
certutil -v -silent -store -grouppolicy TRUST > c:\MSLOG\%COMPUTERNAME%_cert-EnterpriseTrust-
GroupPolicy.txt
certutil -v -silent -store -enterprise TRUST > c:\MSLOG\%COMPUTERNAME%_cert-EnterpriseTrust-
Enterprise.txt
certutil -v -silent -store CA > c:\MSLOG\%COMPUTERNAME%_cert-IntermediateCA-Registry.txt
certutil -v -silent -store -grouppolicy CA > c:\MSLOG\%COMPUTERNAME%_cert-IntermediateCA-
GroupPolicy.txt
certutil -v -silent -store -enterprise CA > c:\MSLOG\%COMPUTERNAME%_cert-Intermediate-Enterprise.txt
certutil -v -silent -store AuthRoot > c:\MSLOG\%COMPUTERNAME%_cert-3rdPartyRootCA-Registry.txt
certutil -v -silent -store -grouppolicy AuthRoot > c:\MSLOG\%COMPUTERNAME%_cert-3rdPartyRootCA-
GroupPolicy.txt
certutil -v -silent -store -enterprise AuthRoot > c:\MSLOG\%COMPUTERNAME%_cert-3rdPartyRootCA-
Enterprise.txt
certutil -v -silent -store SmartCardRoot > c:\MSLOG\%COMPUTERNAME%_cert-SmartCardRoot-Registry.txt
certutil -v -silent -store -grouppolicy SmartCardRoot > c:\MSLOG\%COMPUTERNAME%_cert-SmartCardRoot-
GroupPolicy.txt
certutil -v -silent -store -enterprise SmartCardRoot > c:\MSLOG\%COMPUTERNAME%_cert-SmartCardRoot-
Enterprise.txt
certutil -v -silent -store -enterprise NTAUTH > c:\MSLOG\%COMPUTERNAME%_cert-NtAuth-Enterprise.txt
certutil -v -silent -user -store MY > c:\MSLOG\%COMPUTERNAME%_cert-User-Personal-Registry.txt
certutil -v -silent -user -store ROOT > c:\MSLOG\%COMPUTERNAME%_cert-User-TrustedRootCA-Registry.txt
certutil -v -silent -user -store -enterprise ROOT > c:\MSLOG\%COMPUTERNAME%_cert-User-TrustedRootCA-
Enterprise.txt
certutil -v -silent -user -store TRUST > c:\MSLOG\%COMPUTERNAME%_cert-User-EnterpriseTrust-Registry.txt
certutil -v -silent -user -store -grouppolicy TRUST > c:\MSLOG\%COMPUTERNAME%_cert-User-
EnterpriseTrust-GroupPolicy.txt
certutil -v -silent -user -store CA > c:\MSLOG\%COMPUTERNAME%_cert-User-IntermediateCA-Registry.txt
certutil -v -silent -user -store -grouppolicy CA > c:\MSLOG\%COMPUTERNAME%_cert-User-IntermediateCA-
GroupPolicy.txt
certutil -v -silent -user -store Disallowed > c:\MSLOG\%COMPUTERNAME%_cert-User-UntrustedCertificates-
Registry.txt
certutil -v -silent -user -store -grouppolicy Disallowed > c:\MSLOG\%COMPUTERNAME%_cert-User-
UntrustedCertificates-GroupPolicy.txt
certutil -v -silent -user -store AuthRoot > c:\MSLOG\%COMPUTERNAME%_cert-User-3rdPartyRootCA-
Registry.txt
certutil -v -silent -user -store -grouppolicy AuthRoot > c:\MSLOG\%COMPUTERNAME%_cert-User-
3rdPartyRootCA-GroupPolicy.txt
certutil -v -silent -user -store SmartCardRoot > c:\MSLOG\%COMPUTERNAME%_cert-User-SmartCardRoot-
Registry.txt
certutil -v -silent -user -store -grouppolicy SmartCardRoot > c:\MSLOG\%COMPUTERNAME%_cert-User-
SmartCardRoot-GroupPolicy.txt
certutil -v -silent -user -store UserDS > c:\MSLOG\%COMPUTERNAME%_cert-User-UserDS.txt
Informations de client de réseau local sans fil:
netsh wlan show all > c:\MSLOG\%COMPUTERNAME%_wlan_show_all.txt

netsh wlan export profile folder=c:\MSLOG\
Informations sur le Client de réseau local câblées
netsh lan show interfaces > c:\MSLOG\%computername%_lan_interfaces.txt

netsh lan show profiles > c:\MSLOG\%computername%_lan_profiles.txt
netsh lan show settings > c:\MSLOG\%computername%_lan_settings.txt
netsh lan export profile folder=c:\MSLOG\
4. Enregistrez les journaux stockés dans C:\MSLOG.

Sur le serveur NPS
1. Créez C:\MSLOG pour stocker les journaux capturées.
2. Lancer une invite de commandes en tant qu’administrateur.
Informations de l’environnement et état de l’application des stratégies de groupe:
gpresult /H C:\MSLOG\%COMPUTERNAME%_gpresult.txt
Journaux des événements:

c:\MSLOG\%COMPUTERNAME%_GroupPolicy_Operational.evtx
Exécutez les 3 commandes suivantes sur Windows Server 2012 et ultérieur:

Informations de magasin de certificats

GroupPolicy.txt
GroupPolicy.txt
Enterprise.txt
GroupPolicy.txt
GroupPolicy.txt
Enterprise.txt
GroupPolicy.txt
Enterprise.txt
Enterprise.txt
GroupPolicy.txt
Registry.txt
Registry.txt
Registry.txt
Informations de configuration de NPS:
netsh nps show config > C:\MSLOG\%COMPUTERNAME%_nps_show_config.txt

netsh nps export filename=C:\MSLOG\%COMPUTERNAME%_nps_export.xml exportPSK=YES
4. Suivez les étapes suivantes pour enregistrer un journal de gestion de serveur NPS.
a. Ouvrez les Outils d’administration > Network Policy Server.
b. Sur l’outil d’administration de serveur NPS, sélectionnez la prise en compte dans le volet gauche.
c. Cliquez sur Modifier les propriétés de fichier journal.
d. Sous l’onglet Fichier journal , notez la convention de nommage fichier journal indiquée en tant que
nom et l’emplacement du fichier journal indiqué dans la zone de répertoire .
e. Copiez le fichier journal sur C:\MSLOG.
5. Enregistrez les journaux stockés dans C:\MSLOG.
Autorité de certification (CA) (facultatif)

1. Une autorité de certification, lancer une invite de commandes en tant qu’administrateur. Créez C:\MSLOG pour
stocker les journaux capturées.
Informations de l’environnement et l’état des applications de stratégies de groupe
gpresult /H C:\MSLOG\%COMPUTERNAME%_gpresult.txt
Journaux des événements

c:\MSLOG\%COMPUTERNAME%_GroupPolicy_Operational.evtx
Exécutez les 3 lignes suivantes sur Windows 2012 ou ultérieure

Informations de magasin de certificats

GroupPolicy.txt
GroupPolicy.txt
Enterprise.txt
GroupPolicy.txt
GroupPolicy.txt
Enterprise.txt
GroupPolicy.txt
Enterprise.txt
Enterprise.txt
GroupPolicy.txt
Registry.txt
Registry.txt
Registry.txt
Informations de configuration d’autorité de certification
reg save HKLM\System\CurrentControlSet\Services\CertSvc c:\MSLOG\%COMPUTERNAME%_CertSvc.hiv

reg export HKLM\System\CurrentControlSet\Services\CertSvc c:\MSLOG\%COMPUTERNAME%_CertSvc.txt
reg save HKLM\SOFTWARE\Microsoft\Cryptography c:\MSLOG\%COMPUTERNAME%_Cryptography.hiv
reg export HKLM\SOFTWARE\Microsoft\Cryptography c:\MSLOG\%COMPUTERNAME%_Cryptography.txt
3. Copiez les fichiers suivants, si existe, à C:\MSLOG: %windir%\CAPolicy.inf

4. Ouvrez une session sur un contrôleur de domaine et créez C:\MSLOG pour stocker les journaux capturées.
5. Lancer Windows PowerShell en tant qu’administrateur.
6. Exécutez les applets de commande PowerShell suivante. Remplacez le nom de domaine de «;.. DC = test,
DC = local»; avec le nom de domaine approprié. L’exemple décrit les commandes de «; test.local»; domaine.
Import-Module ActiveDirectory
Get-ADObject -SearchBase ";CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local"; -
Filter * -Properties * | fl * > C:\MSLOG\Get-ADObject_$Env:COMPUTERNAME.txt
7. Enregistrez les fichiers journaux suivants.

Tous les fichiers C:\MSLOG sur l’autorité de certification
Tous les fichiers C:\MSLOG sur le contrôleur de domaine
Résolution des problèmes TCP/IP avancée
Dans ces rubriques, vous allez découvrir comment résoudre les problèmes courants dans un environnement de
réseau TCP/IP.
Résoudre les erreurs de l’appel de procédure distante (RPC )
Dans cette rubrique, vous allez découvrir comment utiliser Microsoft réseau moniteur 3.4, qui est un outil
permettant de capturer le trafic réseau.
Pour commencer, Téléchargez et exécutez NM34_x64.exe. Lorsque vous installez le Moniteur réseau, il installe son
pilote et il hooks à toutes les cartes réseau installées sur l’appareil. Vous pouvez voir le même sur les propriétés de
la carte, comme illustré dans l’image suivante.
Lorsque le pilote obtient connecté à la carte d’interface réseau (NIC ) lors de l’installation, la carte réseau est
réinitialisée, ce qui peut entraîner un problème réseau brève.
Pour capturer le trafic
1. Exécutez netmon dans un état avec élévation de privilèges en choisissant Exécuter en tant
qu’administrateur.
2. Le Moniteur réseau s’ouvre avec toutes les cartes réseau sont affichés. Sélectionnez les cartes réseau dans
lequel vous souhaitez capturer le trafic et cliquez sur Capturer de nouveau, puis cliquez sur Démarrer.
3. Reproduire le problème, et vous verrez que le Moniteur réseau d’attirer les paquets sur le réseau.
4. Cliquez sur Arrêter, puis accédez à fichier > enregistrer en tant que pour enregistrer les résultats. Par
défaut, le fichier sera être enregistré sous forme de fichier «.cap».
Le fichier enregistré a capturé tout le trafic qui se dirige vers et depuis les cartes réseau sélectionné sur
l’ordinateur local. Toutefois, votre intérêt consiste uniquement à rechercher dans les paquets/le trafic qui sont liés
au problème de connectivité spécifique que vous êtes confronté à. Par conséquent, vous devez filtrer la capture de
réseau pour afficher uniquement le trafic connexe.
Couramment utilisé filtres
IPv4.Address== «ip du client» et ip ipv4.address=="server»
TCP.port==
UDP.port==
ICMP
ARP
Property.tcpretranmits
Property.tcprequestfastretransmits
TCP.Flags.SYN==1
TIP
Si vous souhaitez filtrer la capture d’un champ spécifique et que vous ne connaissez pas la syntaxe de ce filtre, simplement
ce champ d’avec le bouton droit et sélectionnez Ajouter la valeur sélectionnée pour le filtre d’affichage.
Les traces réseau qui sont collectées à l’aide de commandes netsh intégrées à Windows sont de l’extension «ETL ».
Toutefois, ces fichiers ETL peuvent être ouverts à l’aide du Moniteur réseau pour une analyse plus approfondie.
Informations supplémentaires
Présentation du filtrage avec le Moniteur réseau 3.0
Exemples de filtre de moniteur réseau
Filtrage d’un moniteur réseau sans fil
Moniteur TCP réseau filtrage
Moniteur réseau filtrage de Conversation
Comment le programme d’installation et de capture de réseau collecter à l’aide d’outil Moniteur réseau
Vous pouvez trouver des erreurs de connexion sur la fin de l’application ou des erreurs de délai d’expiration.
Scénarios les plus courants inclura la connectivité de l’application à un serveur de base de données, erreurs de
délai d’expiration SQL, erreurs de délai d’expiration d’application BizTalk, échecs du protocole RDP (Remote
Desktop), échecs d’accès de partage de fichiers ou connectivité général.
Lorsque vous pensez que le problème est sur le réseau, vous collectez un suivi réseau. Le suivi réseau serait alors
être filtré. Pendant le dépannage des erreurs de connexion, vous pouvez trouver réinitialisation dans une capture
réseau qui peut indiquer un problème réseau TCP.
TCP est défini comme protocole orienté connexion et fiable. L’un des moyens TCP garantit que cela est par
le biais du processus d’établissement de liaison. Commencez établi une session TCP avec une connexion en
3, suivie par le transfert de données, puis une fermeture 4 voies. La fermeture de 4 voies où l’expéditeur et
le destinataire conviennent à la fermeture de la session est appelée une fermeture harmonieuse. Après la
fermeture de 4 voies, le serveur autorisera 4 minutes de temps (par défaut), au cours de laquelle tous les
paquets en attente sur le réseau doivent être traitées, il s’agit de l’état TIME_WAIT. Une fois que l’état
TIME_WAIT est terminé, toutes les ressources allouées à cette connexion sont publiées.
TCP réinitialisation est un système de fermeture brusque de la session qui exécute les ressources allouées à
la connexion à libérée immédiatement et toutes les autres informations sur la connexion sont effacées.
Réinitialisation TCP est identifiée par l’indicateur de réinitialisation dans l’en-tête TCP défini sur 1 .
Une trace réseau sur la source et la destination qui vous aidera à déterminer le flux du trafic et voir à quel point la
défaillance peut être observée.
Les sections suivantes décrivent quelques scénarios lorsque vous verrez une réinitialisation.
Paquet descend
Lorsqu’un homologue TCP est envoyant des paquets TCP pour laquelle il n’existe aucune réponse reçus à partir
de l’autre extrémité, l’homologue TCP risque d’entraîner un nouveau transmettre les données et lorsqu’il n’existe
pas de réponse, il se termine la session en envoyant un accusé de réception réinitialiser (ce qui signifie application
reconnaît toutes les données échangées jusqu’ici, mais en raison de paquet supprimer la fermeture de la
connexion).
Les traces réseau simultanées sur la source et de destination vous aidera à vérifier ce comportement où sur le côté
de source que vous pourriez voir les paquets en cours retransmises et sur la destination, aucune de ces paquets
sont visibles. Cela signifie que, le périphérique réseau entre la source et destination abandonne les paquets.
Si la négociation TCP initiale est échoue à cause de paquet descend, alors vous pouvez voir que les paquets TCP
SYN retransmission uniquement 3 fois.
Côté source se connecter sur le port 445:
Côté destination: appliquer le filtre de même, vous ne voyez pas tous les paquets.
Pour le reste des données, TCP retransmission par les paquets 5 fois.
Suivi du côté source 192.168.1.62:
Suivi du côté destination 192.168.1.2:

Vous verrez pas une des paquets ci-dessus. Incitez votre équipe réseau pour examiner avec les sauts différentes et
de voir si un d’eux sont potentiellement provoquent projections dans le réseau.
Si vous constatez que les paquets SYN sont atteindre la destination, mais la destination ne répond pas toujours,
puis vérifiez si le port sur lequel vous essayez de vous connecter à est dans l’état d’écoute. (Sortie Netstat aidera).
Si le port est à l’écoute et il n’existe encore aucune réponse, puis peut exister une baisse de protection des fichiers
Windows.
Paramètre incorrect dans l’en-tête TCP

Vous voyez ce comportement lorsque les paquets sont modifiées dans le réseau par les appareils du milieu et TCP
fin de réception ne peut pas accepter le paquet, par exemple, le numéro de séquence en cours de modification, ou
en cours de lecture nouveau par appareil intermédiaire en modifiant le numéro de séquence de paquets. Là
encore, la trace de réseau simultanées sur la source et de destination sera en mesure de vous indiquer si un des
en-têtes de TCP sont modifié. Commencez par comparaison de la trace de la source et la trace de la destination,
vous serez en mesure de vous remarquez si un changement dans les paquets lui-même ou si tous les nouveaux
paquets atteignent la destination pour le compte de la source.
Dans ce cas, vous devez à nouveau l’aide de l’équipe réseau pour identifier n’importe quel appareil de ce type qui
est modifie les paquets ou parce que l’exécution paquets à la destination. Les plus couramment employées sont
des périphériques RiverBed ou WAN accélérateurs.
Réinitialisation de côté l’application
Lorsque vous avez identifié que la réinitialisation n’est pas en raison de retransmission ou un paramètre incorrect
ou des paquets en cours de modification à l’aide de suivi du réseau, puis que vous ont le limité jusqu’au niveau
réinitialisation de l’application.
La réinitialisation de l’application est les langues dans laquelle vous affichent l’indicateur accusé de réception
définie sur 1 , ainsi que l’indicateur de réinitialisation. Cela signifie que le serveur est confirmation de la réception
du paquet, mais pour une raison quelconque il n’accepte pas la connexion. Il s’agit lors de l’application qui a reçu
ce paquet aimez pas quelque chose qu’il reçu.
Dans le ci-dessous captures d’écran, vous voyez que les paquets visibles sur la source et la destination sont les
mêmes sans aucune modification ou toute perte, mais que vous voyez une réinitialisation explicite envoyée par la
destination à la source.
Côté source
Sur la trace de la destination côté
Vous voyez également un paquet d’indicateur accusé de réception + effectuée dans un cas lorsque le paquet
d’établissement TCP SYN est envoyé. Les paquets TCP SYN est envoyé lorsque le client souhaite se connecter sur
un port spécifique, mais si le serveur de destination/pour une raison quelconque ne souhaite pas accepter le
paquet, il envoie un paquet accusé de réception + effectuée.
L’application qui est la cause de la réinitialisation (identifiée par les numéros de port) doit être examinée pour
comprendre ce qui est à l’origine pour réinitialiser la connexion.
NOTE
Les informations ci-dessus concerne réinitialise à partir d’un point de vue TCP et UDP pas. UDP est un protocole sans
connexion et les paquets sont envoyés unreliably. Vous ne pourrait pas voir retransmission ou réinitialise lorsque vous
utilisez UDP comme un protocole de transport. Toutefois, UDP utilise ICMP comme un protocole de création de rapports
d’erreur. Lorsque vous avez le paquet UDP envoyé sur un port et la destination n’a pas de port répertorié, vous verrez la
destination envoyant hôte ICMP Destination inaccessible: Port inaccessible message immédiatement après le paquet
UDP
10.10.10.1 10.10.10.2 UDP UDP:SrcPort=49875,DstPort=3343
10.10.10.2 10.10.10.1 ICMP ICMP:Destination Unreachable Message, Port Unreachable,10.10.10.2:3343
Au cours de la résolution des problèmes de connectivité, vous pouvez également voir dans la trace de réseau
qu’un ordinateur reçoit des paquets, mais ne répond pas aux. Dans ce cas, il peut être une liste déroulante au
niveau du serveur. Vous devez activer le pare-feu l’audit sur l’ordinateur pour comprendre si le pare-feu local
abandonne le paquet.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Vous pouvez ensuite consulter les journaux d’événements de sécurité pour afficher d’un déplacement de paquets
sur un port spécifique-IP et un ID de filtre lui est associé.
Maintenant, exécutez la commande netsh wfp show state , cette commande génère un fichier wfpstate.xml. Une
fois que vous ouvrez ce fichier et le filtre pour le code que vous trouvez dans l’événement ci-dessus (2944008),
vous serez en mesure de voir un nom de règle de pare-feu associé à cet ID qui bloque la connexion.
Port TCP et UDP protocoles travail basé sur les numéros de port utilisés pour établir la connexion. N’importe
quelle application ou un service qui ont besoin d’établir une connexion TCP/UDP nécessite un port sur le côté.
Il existe deux types de ports:
Ports éphémères, qui sont des ports dynamiques en général, constituent l’ensemble des ports que chaque
machine par défaut a à établir une connexion sortante.
Les ports connus sont le port défini pour une application particulière ou un service. Par exemple, service
serveur de fichiers est sur le port 445 HTTPS est 443, HTTP est 80 et RPC est 135. Application personnalisée
ont également leurs numéros de port.
Clients lors de la connexion à une application ou service rendra utilisation d’un port éphémère à partir de son
ordinateur pour se connecter à un port connu défini pour l’application ou du service. Un navigateur sur un
ordinateur client doit utiliser un port éphémère pour se connecter à https://www.microsoft.com sur le port 443.
Dans un scénario dans lequel le navigateur même crée un grand nombre de connexions aux sites Web multiples,
pour toute nouvelle connexion qui tente d’exécuter le navigateur, un port éphémère est utilisé. Après un certain
temps, vous remarquerez que les connexions démarre échec et un risque élevé pour ce serait dans la mesure où le
navigateur a utilisé tous les ports disponibles pour établir des connexions à l’extérieur et toute tentative de
nouveau pour établir une connexion échouera car il y a plus aucune ports disponibles. Lorsque tous les ports sont
sur un ordinateur sont utilisées, nous le terme manque de port.
Plage de ports dynamiques par défaut pour TCP/IP

Pour se conformer aux recommandations Affecté numéros autorité IANA (Internet) , Microsoft a augmenté la
plage de ports dynamiques client pour les connexions sortantes. Le nouveau port de démarrage par défaut est
49152et le nouveau port de fin par défaut est 65535. Il s’agit d’une modification de la configuration des versions
antérieures de Windows qui utilisait une gamme de port par défaut de 1025 à 5000.
Vous pouvez afficher la plage de ports dynamiques sur un ordinateur en utilisant les commandes netsh suivantes:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp
La plage est définie séparément pour chaque transport (TCP ou UDP ). La plage de ports est désormais une plage
qui possède un point de départ et un point de fin. Les clients de Microsoft qui déploient des serveurs qui
exécutent Windows Server peuvent rencontrer des problèmes qui affectent les communications RPC entre les
serveurs si des pare-feu sont utilisés sur le réseau interne. Dans ces situations, nous recommandons que vous
reconfigurer le pare-feu pour autoriser le trafic entre les serveurs dans la plage de ports dynamiques des 49152 à
65535. Cette plage est en plus des ports connus qui sont utilisées par les services et applications. Sinon, la plage
de ports qui est utilisée par les serveurs peut être modifiée sur chaque serveur. Vous ajuster cette plage à l’aide de
la commande netsh, comme suit. La commande ci-dessus définit la plage de ports dynamiques pour le protocole
TCP.
netsh int <ipv4|ipv6> set dynamic <tcp|udp> start=number num=range

Le port de démarrage est le nombre et le nombre total de ports est plage. Voici quelques exemples de
commandes:
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000
Ces exemples de commandes définissent la plage de ports dynamiques à partir de port 10000 et à la fin au port
10999 (1000 ports). La plage de ports qui peuvent être définis minimale est 255. Le port de démarrage minimale
pouvant être définie est 1025. Le port de fin maximale (en fonction de la plage en cours de configuration) ne doit
pas dépasser 65535. Pour reproduire le comportement par défaut de Windows Server 2003, utilisez 1025 en tant
que le port de démarrage, puis utilisez 3976 que la plage pour TCP et UDP. Cela aboutit à un port de l’écran de
démarrage de 1025 et un port final de 5 000.
Plus précisément, les connexions sortantes en tant que les connexions entrantes n’exige pas un port éphémère
pour accepter des connexions.
Dans la mesure où les connexions sortantes démarrer échoue, vous verrez un grand nombre de le ci-dessous
comportements:
Impossible de se connecter à l’ordinateur avec les informations d’identification de domaine, toutefois se
connecter avec un compte local fonctionne. Connexion au domaine vous demandera de contacter le
contrôleur de domaine pour l’authentification qui est à nouveau une connexion sortante. Si vous avez
authentification mises en cache de jeu, puis connexion au domaine peut toujours fonctionner.
Échecs de mise à jour de la stratégie de groupe:

Partages de fichiers ne sont pas accessibles:
Un échec RDP à partir du serveur affecté:
Toute autre application en cours d’exécution sur l’ordinateur commence à donner des erreurs
Redémarrage du serveur permet de résoudre le problème temporairement, mais vous pouvez voir tous les
problèmes sont revenir par l’après une période de temps.
Si vous pensez que l’ordinateur est dans un état d’épuisement de port:
1. Essayez d’établir une connexion sortante. À partir de l’ordinateur/serveur, accéder à un partage distant ou
essayez une RDP vers un autre serveur ou telnet à un serveur sur un port. En cas d’échec de la connexion
sortante pour l’ensemble d'entre elles, accédez à l’étape suivante.
2. Ouvrez l’Observateur d’événements, puis sous les journaux système, recherchez les événements qui
clairement indiquent l’état actuel:
a. ID d’événement 4227
b. ID d’événement 4231
3. Collecter un netstat -anob output à partir du serveur. La sortie netstat vous montre un nombre
considérable d’entrées pour l’état TIME_WAIT pour un PID unique.
Après une fermeture harmonieuse ou un système de fermeture brusque d’une session, après une période de 4
minutes (par défaut), le port utilisé le processus ou application est publiée dans le pool disponible. Pendant cette 4
minutes, l’état de connexion TCP sera état TIME_WAIT. Dans une situation où vous suspectez carence port, une
application ou un processus ne sera pas en mesure de libérer tous les ports qu’elle a consommé et reste dans l’état
TIME_WAIT.
Vous pouvez également voir connexions d’état CLOSE_WAIT dans le même résultat, mais l’état CLOSE_WAIT est
un état lorsqu’un côté de l’homologue TCP n’a plus aucune donnée à envoyer (FIN envoyé), mais est en mesure
de recevoir des données à partir de l’autre extrémité. Cet état n’indique pas nécessairement carence de port.
NOTE
Avoir des connexions considérable dans l’état TIME_WAIT n’indique pas toujours que le serveur est actuellement en dehors
de ports, sauf si les deux premiers points sont vérifiées. Avoir grand nombre de connexions TIME_WAIT n’indique que le
processus consiste à créer grand nombre de connexions TCP et peut entraîner par la suite à l’insuffisance de port.
Netstat a été mis à jour dans Windows 10 avec l’ajout du commutateur -Q pour afficher les ports qui ont été converties en
dehors de délai d’attente comme dans l’état est lié. Une mise à jour pour Windows 8.1 et Windows Server 2012R2 contenant
cette fonctionnalité a été publiée. L’applet de commande PowerShell Get-NetTCPConnection dans Windows 10 affiche
également ces ports liés.
1. Ouvrez une invite de commandes en mode administrateur et exécutez le ci-dessous commande
Netsh trace start scenario=netconnection capture=yes tracefile=c:\Server.etl
2. Ouvrez le fichier server.etl avec le Moniteur réseau et dans la section filtrer, appliquer le filtre
Wscore_MicrosoftWindowsWinsockAFD.AFD_EVENT_BIND. Status.LENTStatus.Code == 0x209.
Vous devez voir des entrées qui dire STATUS_TOO_MANY_ADDRESSES. Si vous ne trouvez pas toutes
les entrées, puis le serveur est toujours pas en dehors de ports. Si vous en trouvez, vous pouvez confirmer
que le serveur est sous carence de port.
Résoudre les problèmes de carence de Port

La clé consiste à identifier les processus ou une application est à l’aide de tous les ports. Voici certains des outils
que vous pouvez utiliser pour isoler à un processus unique
Méthode 1
Commencez par examiner la sortie netstat. Si vous utilisez Windows 10 ou Windows Server 2016, vous pouvez
exécuter la commande netstat -anobq et recherchez l’ID du processus qui possède des écritures maximales
comme limite. Sinon, vous pouvez également exécuter le ci-dessous commande Powershell pour identifier le
processus:
Get-NetTCPConnection | Group-Object -Property State, OwningProcess | Select -Property Count, Name,

@{Name="ProcessName";Expression={(Get-Process -PID ($_.Name.Split(',')[-1].Trim(' '))).Name}}, Group | Sort
Count -Descending
La plupart des fuites de port sont provoquées par des processus en mode utilisateur n’est pas correctement
fermer les ports lorsqu’une erreur s’est produite. À l’utilisateur en mode ports niveau (en réalité sockets) sont des
handles. Gestionnaire des tâches et ProcessExplorer sont capables d’afficher le nombre de handles qui vous
permet d’identifier le processus qui consomme tous les ports.
Pour Windows 7 et Windows Server 2008 R2, vous pouvez mettre à jour votre version de Powershell pour inclure
l’applet de commande ci-dessus.
Méthode 2
Si la méthode 1 ne permet pas d’identifier le processus (avant Windows 10 et Windows Server 2012 R2), puis ont
un coup de œil au Gestionnaire des tâches:
1. Ajoutez une colonne appelée «poignées» sous Détails/processus.
2. Triez les poignées de colonne pour identifier le processus avec le plus grand nombre de handles.
Généralement, le processus avec des poignées supérieures à 3000 pourrait être la cause du problème à
l’exception des processus comme système, lsass.exe, store.exe, sqlsvr.exe.
3. Si tout autre processus que ces présente un numéro plus élevé, arrêtez ce processus et essayer de se
connecter à l’aide des informations d’identification de domaine et de voir si elle a réussi.
Méthode 3
Si le Gestionnaire des tâches ne pas vous aider à identifier le processus, vous devez ensuite utiliser Process
Explorer pour examiner le problème.
Procédure pour utiliser Process explorer:
1. Télécharger Process Explorer et l’exécuter avec élévation de privilèges.
2. ALT + cliquez sur l’en-tête de colonne, sélectionnez Sélectionner les colonnes, et sous l’onglet
Performances du processus , ajouter le Nombre de handles.
3. Sélectionnez affichage \ afficher le volet inférieur.
4. Sélectionnez affichage \ réduire l’affichage du volet \ gère.
5. Cliquez sur la colonne gère de tri par cette valeur.
6. Examinez les processus avec un nombre handle plus élevé que le reste (sera probablement plus de 10 000 si
vous ne pouvez pas établir des connexions sortantes).
7. Cliquez pour sélectionner un des processus avec un nombre élevé de handle.
8. Dans le volet inférieur, les poignées répertoriées comme ci-dessous sont des sockets. (Les sockets sont
techniquement des descripteurs de fichiers).
Fichier \Device\AFD
9. Certaines sont normales, mais n’est pas grand nombre d'entre eux (des centaines de milliers). Fermez le
processus en question. Si qui restaure connectivité sortante, vous êtes davantage certain que l’application
est la cause. Contactez le fabricant de l’application.
Enfin, si les méthodes ci-dessus ne vous n'ont pas permis d’isoler le processus, nous vous conseillons de que vous
collectez un vidage mémoire complète de l’ordinateur dans l’état du problème. Le vidage vous indiquera à quel
processus a les poignées maximales.
Pour contourner ce problème, le redémarrage de l’ordinateur obtenez de l’informatique dans un état normal et
serait de vous aider à résoudre le problème pour l’instant. Toutefois, lorsqu’un redémarrage est peu pratique, vous
pouvez également envisager d’augmentation du nombre de ports sur l’ordinateur à l’aide les commandes ci-
dessous:

Cette option définit la plage de ports dynamiques à partir de port 10000 et à la fin au port 10999 (1000 ports). La
plage de ports qui peuvent être définis minimale est 255. Le port de démarrage minimale pouvant être définie est
1025. Le port de fin maximale (en fonction de la plage en cours de configuration) ne doit pas dépasser 65535.
NOTE
Notez que le fait d’augmenter la plage de ports dynamiques n’est pas une solution permanente mais temporaire
uniquement. Vous devez dépister les processus/processeurs consomment nombre maximal de ports et résoudre les
problèmes liés à partir de ce point de vue du processus en ce qui concerne la raison pour laquelle son utilisation de ce
nombre élevé de ports.
Pour Windows 7 et Windows Server 2008 R2, vous pouvez utiliser le script pour collecter la sortie netstat à une
fréquence définie ci-dessous. Entre les sorties, vous pouvez voir la tendance d’utilisation de port.
@ECHO ON
set v=%1
:loop
set /a v+=1
ECHO %date% %time% >> netstat.txt
netstat -ano >> netstat.txt
PING 1.1.1.1 -n 1 -w 60000 >NUL
goto loop
Liens utiles
Port carence et vous! -Cet article donne un détail sur les États netstat et comment vous pouvez utiliser la
sortie netstat pour déterminer l’état du port
Détection de carence port éphémère: cet article a un script qui s’exécutent dans une boucle pour présenter
l’état de port. (Applicable pour Windows 2012 R2, Windows 8, Windows 10)
Résoudre les erreurs d’appel de procédure distante
Vous pouvez rencontrer une erreur de serveur RPC non disponible lors de la connexion à Windows
Management Instrumentation (WMI), SQL Server, lors d’une connexion à distance, ou pour certains composants
logiciels enfichables Microsoft Management Console (MMC ). L’image suivante est un exemple d’une erreur RPC.
Il s’agit d’un message d’erreur couramment rencontrés dans le monde de mise en réseau et un peut perdre
espérons très rapidement sans tenter de comprendre une grande partie, sur ce qui se passe «en coulisses».
Avant d’atteindre le dépannage le *serveur RPC non disponible- erreur, nous allons tout d’abord comprendre les
notions de base sur l’erreur. Il existe quelques termes importants à comprendre:
Mappeur de point de terminaison: un service à l’écoute sur le serveur, qui guide des applications clientes aux
applications serveur par port et UUID.
Tour – décrit le protocole RPC, pour permettre le client et le serveur de négocier une connexion.
Sol – le contenu d’une tour avec des données spécifiques comme ports, adresses IP et les identificateurs.
UUID – un GUID bien connu qui identifie l’application RPC. L’UUID est ce qui vous permet d’afficher un type
spécifique de conversation d’application RPC, car il est susceptible d’être nombreux.
Opnum – l’identificateur d’une fonction que le client souhaite le serveur à exécuter. Il est simplement un
nombre hexadécimal, mais un analyseur de réseau bon traduira la fonction pour vous. Si aucune ne sait,
fournisseur de votre application doit vous indiquer.
Port – les points de terminaison de communication pour les applications client et serveur.
Stub de données, les informations fournies à des fonctions et les données échangées entre le client et le
serveur. Il s’agit de la charge utile, la partie importante.
NOTE
Une grande partie des informations ci-dessus est utilisée dans la résolution des problèmes, le plus important est le numéro
de port RPC dynamique que vous obtenez tout en discutant avec amélioré.
Fonctionne de la connexion
Le client A souhaite exécuter certaines fonctions ou qu’il souhaite mettre à utiliser un service en cours d’exécution
sur le serveur distant, sera tout d’abord établir la connexion avec le serveur distant en procédant comme un
contrôle en trois étapes.
Ports RPC peuvent être fournies à partir d’une plage spécifique également.
Configurer l’allocation de port dynamique RPC
Allocation de port dynamique à distance appel de procédure (RPC ) est utilisée par les applications de serveur et
l’administration à distance tels que le Gestionnaire de Configuration protocole DHCP (Dynamic Host), le
Gestionnaire Internet Name Service WINS (Windows) et ainsi de suite. Allocation de port dynamique RPC
obligera le programme RPC à utiliser un port aléatoire particulier dans la plage configurée pour le port TCP et
UDP, basé sur l’implémentation du système d’exploitation utilisé.
Les clients utilisant des pare-feu peut-être contrôler quels ports RPC utilise afin que leur routeur de pare-feu peut
être configuré pour transmettre uniquement ces ports de Transmission Control Protocol (UDP et TCP ). Nombre
de serveurs RPC dans Windows vous permettre de spécifier le port du serveur dans des éléments tels que des
entrées de Registre de configuration personnalisée. Si vous pouvez spécifier un port de serveur dédié, vous
connaissez le trafic placée entre les hôtes via le pare-feu, et vous pouvez définir le trafic autorisé d’une manière
plus suggérée.
En tant qu’un port du serveur, choisissez un port en dehors de la plage, que vous voudrez peut-être spécifiés ci-
dessous. Vous trouverez une liste complète du serveur de ports qui sont utilisés dans Windows et les principaux
produits Microsoft dans l’article Service réseau et la vue d’ensemble des exigences de port pour Windows. Cet
article répertorie également les serveurs RPC et les serveurs RPC peuvent être configurés pour utiliser des ports
de serveur personnalisé au-delà les installations de que l’exécution RPC offre.
Certains pare-feu permettre également pour le filtrage UUID où elle apprend à partir d’une demande de mappeur
de point de terminaison RPC pour une interface RPC UUID. La réponse a le numéro de port du serveur, puis une
liaison RPC ultérieurs sur ce port est autorisée à passer.
Avec l’Éditeur du Registre, vous pouvez modifier les paramètres suivants pour RPC. Les valeurs de clé de Port
RPC présentées dans ce document se trouvent dans la clé de Registre suivante:
Nom de l’entrée de HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Type de données
Ports REG_MULTI_SZ
Spécifie un ensemble de plages de ports IP consistant soit tous les ports disponibles à partir d’Internet ou tous
les ports ne sont pas disponibles à partir d’Internet. Chaque chaîne représente un port unique ou un ensemble
inclusif de ports. Par exemple, un seul port peut-être être représenté par 5984, et un ensemble de ports peut-
être être représenté par 5000-5100. Si toutes les entrées sont en dehors de la plage entre 0 et 65 535, ou si
une chaîne ne peut pas être interprétée, le runtime RPC traite la configuration entière n’est pas valide.
PortsInternetAvailable REG_SZ Y ou N (pas la casse)
Si vous Y, les ports répertoriés dans la clé Ports est tous les ports Internet disponibles sur cet ordinateur. Si N,
les ports répertoriés dans la clé Ports est tous les ports qui ne sont pas disponibles sur Internet.
UseInternetPorts REG_SZ ) Y ou N (pas la casse)
Spécifie la stratégie par défaut du système.
Si vous Y, les processus à l’aide de la valeur par défaut est affectée ports à partir de l’ensemble des ports
disponibles sur Internet, tel que défini précédemment.
Si N, les processus à l’aide de la valeur par défaut est affectée ports à partir de l’ensemble des ports intranet
uniquement.
Exemple:
Dans cet exemple montre comment les ports 5000 à 6000 inclusive ont été sélectionnés au hasard afin d’illustrer
la façon dont la nouvelle clé de Registre peut être configurée. Cela n’est pas une recommandation d’un nombre
minimal de ports requis pour un système particulier.
1. Ajoutez la clé Internet sous: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
2. Sous la clé Internet, ajoutez les valeurs «Ports» (MULTI_SZ ), «PortsInternetAvailable» (REG_SZ ) et
«UseInternetPorts» (REG_SZ ).
Par exemple, la nouvelle clé de Registre apparaît comme suit: Ports: REG_MULTI_SZ: 5000 à 6000
PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y
3. Redémarrez le serveur. Toutes les applications qui utilisent l’allocation de port dynamique RPC utilisent les
ports 5000 à 6000, inclus.
Vous devez ouvrir une plage de ports au-dessus du port 5000. Numéros de port sous 5000 est peut-être déjà en
cours d’utilisation par d’autres applications et peuvent provoquer des conflits de vos applications DCOM. En outre,
l’expérience montre qu’un minimum de 100 ports doit être ouvert, car plusieurs services système dépendent de
ces ports RPC pour communiquer entre eux.
NOTE
Le nombre minimal de ports requis peut différer à partir d’un ordinateur à l’autre. Ordinateurs avec le trafic supérieure
peuvent rencontrer une situation de carence port si les ports dynamiques RPC sont limitées. Prendre en considération lors
de la restriction de la plage de ports.
WARNING
S’il existe une erreur dans la configuration du port ou il existe des ports insuffisants dans le pool, le Service de mappeur de
point de terminaison ne sera pas en mesure d’inscrire les serveurs RPC avec les points de terminaison dynamiques. Lorsqu’il
existe une erreur de configuration, le code d’erreur sera 87 ERROR_INVALID_PARAMETER (0 x 57). Cela peut affecter les
serveurs RPC Windows, tels que Netlogon. Elle consigne l’événement 5820 dans ce cas:
Nom du journal: Système Source: ID d’événement NETLOGON: niveau 5820: mots clés d’erreur: Description classique:
Netlogon le service n’a pas pu ajouter l’interface AuthZ RPC. Le service a été arrêté. L’erreur suivante: «le paramètre est
incorrect.»
Si vous souhaitez faire une étude approfondie sur son fonctionnement, reportez-vous à la section RPC
sur/professionnels de l’informatique.
Résolution de l’erreur RPC

PortQuery
La meilleure chose à toujours résoudre les problèmes RPC les problèmes avant même une bonne traces consiste
à rendre l’utilisation des outils tels que PortQry. Vous pouvez déterminer rapidement si vous êtes en mesure
d’établir une connexion en exécutant la commande:
Portqry.exe -n <ServerIP> -e 135
Cela vous donnera un grand nombre de sortie pour rechercher, mais vous devriez envisager *ip_tcp- et le numéro
de port entre crochets, qui indique si vous pouviez correctement obtenir un port dynamique amélioré et
également établir une connexion à celui-ci. En cas d’échec ci-dessus, en règle générale, commencer à collecter les
traces réseau simultanées. Quelque chose comme ceci à partir de la sortie de «PortQry»:
Portqry.exe -n 169.254.0.2 -e 135
Sortie partielle ci-dessous:
Interrogation du système cible appelé: 169.254.0.2 tente de résoudre l’adresse IP à un nom … Adresse IP
résolue en interrogeant RPCServer.contoso.com … Le port TCP 135 (service epmap): interrogation de base de
données mappeur de point de terminaison du port à l’écoute à l’aide de la source éphémère … Réponse du
serveur: UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d ncacn_ip_tcp:169.254.0.10 [49664]
Celui en gras est le numéro de port éphémère que vous avez effectué une connexion avec succès.
Netsh
Vous pouvez exécuter les commandes ci-dessous pour tirer parti des captures de netsh intégrés de Windows,
pour collecter une trace simultanée. N’oubliez pas d’exécuter le ci-dessous sur un «Admin CMD », il requiert une
élévation.
Sur le client
Netsh trace start scenario=netconnection capture=yes tracefile=c:\client_nettrace.etl maxsize=512

overwrite=yes report=yes
Sur le serveur
Netsh trace start scenario=netconnection capture=yes tracefile=c:\server_nettrace.etl maxsize=512

overwrite=yes report=yes
Essayez maintenant de reproduire votre problème à partir de l’ordinateur client et dès que vous pensez que le
problème a été reproduit, lancez-vous et arrêter les traces à l’aide de la commande
Netsh trace stop
Ouvrez les traces dans Microsoft réseau moniteur 3.4 ou l’Analyseur de Message et filtrer la trace pour
IPv4.Address== et ipv4.address== et tcp.port==135 ou simplement tcp.port==135 vise à.
Recherchez le protocole «Amélioré» sous la colonne «Protocole».
Maintenant, vérifiez si vous obtenez une réponse à partir du serveur. Si vous obtenez une réponse, notez le
numéro de port dynamique que vous avez été allouée pour utiliser.
Vérifiez si nous connectons correctement ce port dynamique avec succès.
Le filtre doit être ce qui suit: tcp.port== et ipv4.address==
Cela devrait vous aider à vérifier la connectivité et isoler si des problèmes de réseau sont visibles.
Port n’est pas accessible
Le plus souvent pourquoi nous pourrait voir le serveur RPC non disponible est lorsque le port dynamique sur
lequel le client tente de se connecter n’est pas accessible. La trace de côté client afficherait que TCP SYN
retransmission pour le port dynamique.
Le port ne peut pas être accessible en raison d’une des raisons suivantes:
La plage de ports dynamiques est bloquée sur le pare-feu dans l’environnement.
Un appareil central abandonne les paquets.
Le serveur de destination abandonne les paquets (protection drop / carte réseau drop / filtrer pilote, etc.).
Résolution avancée des problèmes de démarrage de
Windows
Dans ces rubriques, vous allez découvrir comment résoudre les problèmes courants liés à Windows a été démarré.
Résolution avancée des problèmes d’amorçage de Windows
Dépannage avancé pour l’erreur d’arrêt ou écran bleu d’erreur
Résolution avancée des problèmes de blocage de l’ordinateur Windows
Résolution avancée des problèmes d’amorçage de
Windows
NOTE
Cet article est destiné à utiliser par les agents du support et les professionnels de l’informatique. Si vous recherchez des
informations plus générales sur les options de récupération, reportez-vous à la section options de récupération dans
Windows 10.
Résumé
Il existe plusieurs raisons pourquoi un ordinateur basé sur Windows peut avoir des problèmes lors du démarrage.
Pour résoudre les problèmes de démarrage, vous devez d’abord déterminer dans lequel des phases suivantes
l’ordinateur reste bloqué:
PHASE PROCESSUS DE DÉMARRAGE BIOS UEFI
1 PreBoot MBR/PBR (Code Bootstrap) Microprogramme UEFI
2 Gestionnaire de démarrage %SystemDrive%\bootmgr \EFI\Microsoft\Boot\bootmg

Windows fw.EFI
3 Chargeur de système %SystemRoot%\system32\wi %SystemRoot%\system32\wi

d’exploitation Windows nload.exe nload.EFI
4 Noyau du système %SystemRoot%\System32\N

d’exploitation Windows NT toskrnl.exe
1. preBoot
Le microprogramme du PC lance une tension Test POST (Self) et charge les paramètres du microprogramme. Ce
processus de prédémarrage s’arrête lorsqu’un disque système valide est détecté. Microprogramme lit
l’enregistrement de démarrage principal (MBR ) et démarre ensuite le Gestionnaire de démarrage Windows.
2. Gestionnaire de démarrage Windows
Gestionnaire de démarrage Windows détecte et démarre le chargeur de Windows (Winload.exe) sur la partition de
démarrage de Windows.
3. chargeur de système d’exploitation Windows
Les pilotes essentiels sont requis pour démarrer le noyau Windows sont chargées et le noyau commence à
s’exécuter.
4. noyau du système d’exploitation Windows NT
Le noyau charge dans la mémoire, la ruche du Registre système et les pilotes supplémentaires qui sont marquées
comme BOOT_START.
Le noyau transmet le contrôle au processus de gestionnaire de session (Smss.exe) qui initialise la session du
système et charge et démarre les périphériques et les pilotes qui ne sont pas marquées BOOT_START.
Voici un résumé de la séquence de démarrage, ce qui apparaîtront sur l’affichage et les problèmes de démarrage
par défaut à ce stade dans la séquence. Avant de commencer la résolution des problèmes, vous devez comprendre
le contour du processus de démarrage et afficher l’état pour vous assurer que le problème est correctement
identifié au début de l’engagement.
Cliquez pour agrandir

Chaque phase comporte une approche différente pour la résolution des problèmes. Cet article fournit des
techniques de dépannage des problèmes qui se produisent pendant les trois premières phases.
NOTE
Si l’ordinateur démarre à plusieurs reprises sur les options de récupération, exécutez la commande suivante à une invite de
commandes pour répartir le cycle de:
Bcdedit /set {default} recoveryenabled no
Si les options F8 ne fonctionnent pas, exécutez la commande suivante:

Bcdedit /set {default} bootmenupolicy legacy
Phase du BIOS
Pour déterminer si le système a réussi la phase du BIOS, procédez comme suit:
1. S’il existe des périphériques externes connectés à l’ordinateur, les déconnecter.
2. Vérifiez si la lumière de lecteur de disque dur sur l’ordinateur physique fonctionne. Si elle ne fonctionne pas,
cela indique que le processus de démarrage est bloqué au niveau de la phase du BIOS.
3. Appuyez sur la touche VERR. NUM. pour voir si le voyant Active ou désactive on et off. Si tel n’est pas le cas,
cela indique que le processus de démarrage est bloqué au niveau du BIOS.
Si le système est bloqué au niveau de la phase du BIOS, il peut être un problème matériel.
Phase de chargeur de démarrage

Si l’écran est complètement noire à l’exception d’un curseur clignotant, ou si vous recevez un des codes d’erreur
suivants, cela indique que le processus de démarrage est bloqué dans la phase de chargeur de démarrage:
Données de Configuration de démarrage (BCD ) manquants ou endommagés
Fichier de démarrage ou MBR endommagé
Système d’exploitation manquant
Secteur de démarrage manquants ou endommagés
Bootmgr manquants ou endommagés
Ne peut pas démarrer en raison du manque de ruche du système ou endommagé
Pour résoudre ce problème, utilisez le support d’installation Windows pour démarrer l’ordinateur, appuyez sur
MAJ + F10 pour une invite de commandes et ensuite utiliser une des méthodes suivantes.
Méthode 1: Outil de réparation du démarrage
L’outil de réparation du démarrage résout automatiquement de nombreux problèmes courants. L’outil vous
permet également de rapidement diagnostiquer et réparer les problèmes de démarrage plus complexes. Lorsque
l’ordinateur détecte un problème de démarrage, l’ordinateur démarre l’outil de réparation du démarrage. Lorsque
l’outil démarre, il effectue les diagnostics. Ces outils de diagnostic comprennent l’analyse des fichiers journaux de
démarrage pour déterminer la cause du problème. Lorsque l’outil de réparation du démarrage détermine la cause,
l’outil tente de résoudre le problème automatiquement.
Pour ce faire, procédez comme suit.
NOTE
Pour les méthodes supplémentaires démarrer WinRE, voir les points d’entrée dans WinRE.
1. Démarrez le système pour le support d’installation de la version de Windows installée.

Remarque Pour plus d’informations, voir créer les support d’installation de Windows.
2. Sur l’écran d’Installation de Windows , sélectionnez suivant > Réparer votre ordinateur.
3. Sur l’écran d’Options de récupération système , sélectionnez suivant > invite de commandes.
4. Après la réparation du démarrage, sélectionnez l’arrêt, puis réactivez-le sur votre PC pour voir si Windows
peut démarrer correctement.
L’outil génère un fichier journal pour vous aider à comprendre les problèmes de démarrage et les corrections
apportées. Vous pouvez trouver le fichier journal dans l’emplacement suivant:
%WINDIR%\System32\LogFiles\Srt\SrtTrail.txt
Pour plus d’informations, consultez A arrêter l’erreur se produit, ou l’ordinateur cesse de répondre lorsque vous
essayez de démarrer Windows Vista ou Windows 7
Méthode 2: Les Codes de démarrage de réparation
Pour réparer les codes de démarrage, exécutez la commande suivante:
BOOTREC /FIXMBR
Pour réparer le secteur de démarrage, exécutez la commande suivante:
BOOTREC /FIXBOOT
NOTE
En cours d’exécution BOOTREC conjointement avec Fixmbr remplace uniquement le code de démarrage principal. Si les
données endommagées dans la partition MBR affecte la table de partition, en cours d’exécution Fixmbr ne peut pas
résoudre le problème.
Méthode 3: Erreurs de correctif BCD

Si vous recevez des erreurs liées aux BCD, procédez comme suit:
1. Analyse pour tous les systèmes qui sont installées. Pour ce faire, exécutez la commande suivante:
Bootrec /ScanOS
2. Redémarrez l’ordinateur pour vérifier si le problème est résolu.

3. Si le problème n’est pas résolu, exécutez la commande suivante:
Bootrec /rebuildbcd
4. Vous pouvez recevoir l’une des sorties suivantes:

L’analyse tous les disques pour les installations de Windows. Veuillez patienter, dans la mesure où
cette opération peut prendre un certain temps. Installations de Windows ont été analysées. Nombre
total d’installations Windows identifiées: 0, l’opération est terminée.
L’analyse tous les disques pour les installations de Windows. Veuillez patienter, dans la mesure où
cette opération peut prendre un certain temps. Installations de Windows ont été analysées. Nombre
total d’installations Windows identifiées: 1 D:\Windows
Ajouter l’installation à la liste de démarrage? Oui/non/tous:
Si la sortie indique installation de windows: 0, exécutez les commandes suivantes:
bcdedit /export c:\bcdbackup
attrib c:\\boot\\bcd -h -r –s
ren c:\\boot\\bcd bcd.old
bootrec /rebuildbcd
Une fois que vous exécutez la commande, vous recevez la sortie suivante:
Scanning all disks for Windows installations. Please wait, since this may take a while...Successfully scanned
Windows installations. Total identified Windows installations: 1{D}:\Windows
Ajouter l’installation à la liste de démarrage? Oui/non/tous: Y

1. Essayez à nouveau au démarrage du système.
Méthode 4: Remplacer Bootmgr
Si les méthodes 1 et 2 ne permettent pas de résoudre le problème, remplacez le fichier de Bootmgr du lecteur C à
la partition système réservée. Pour cela, procédez comme suit:
1. À une invite de commandes, définissez le répertoire sur la partition système réservée.
2. Exécutez la commande d’attributs pour afficher le fichier:
attrib-s -h -r
3. Exécuter la même commande attributs sur les fenêtres (lecteur système):
attrib-s -h –r
4. Renommez le fichier Bootmgr Bootmgr.old:
ren c:\\bootmgr bootmgr.old
5. Démarrez un éditeur de texte, tel que le bloc-notes.

6. Accédez au lecteur système.
7. Copiez le fichier Bootmgr et collez-la à la partition système réservée.
8. Redémarrez l’ordinateur.
Méthode 5: Restaurer la ruche du système
Si Windows ne peut pas charger la ruche du Registre système en mémoire, vous devez restaurer la ruche du
système. Pour ce faire, utilisez l’environnement de récupération Windows ou réparation disque d’urgence pour
copier les fichiers à partir de la C:\Windows\System32\config\RegBack à C:\Windows\System32\config.
Si le problème persiste, vous voudrez peut-être restaurer la sauvegarde d’état système à un autre emplacement,
puis récupèrent les ruches du Registre à remplacer.
Phase de noyau
Si le système est bloqué pendant la phase de noyau, vous rencontrez plusieurs problèmes ou plusieurs messages
d’erreur. Ceux-ci incluent, mais ne sont pas limitées à, ce qui suit:
Une erreur d’arrêt s’affiche après l’écran de démarrage (écran Logo Windows).
Code d’erreur spécifique s’affiche. Par exemple, «0x00000C2», «0x0000007B », «périphérique de démarrage
inaccessible» et donc que sur. (Pour résoudre l’erreur 0x0000007B, voir code d’erreur
INACCESSIBLE_BOOT_DEVICE (STOP 0x7B ))
L’écran est bloqué au niveau de l’icône de «système occupé» «roue» (propagée points).
Un écran noir s’affiche après l’écran de démarrage.
Pour résoudre ces problèmes, essayez les options de démarrage de récupération suivantes un à la fois.
Scénario 1: Essayez de démarrer l’ordinateur en mode sans échec ou la dernière bonne Configuration
connue
Sur l’écran d’Options de démarrage avancées , essayez de démarrer l’ordinateur en Mode sans échec ou En
Mode sans échec avec mise en réseau. Si aucune de ces options fonctionne, utilisez l’Observateur
d’événements pour aider à identifier et diagnostiquer la cause du problème de démarrage. Pour afficher les
événements qui sont enregistrés dans les journaux des événements, procédez comme suit:
1. Utilisez une des méthodes suivantes pour ouvrir l’Observateur d’événements:
Cliquez sur Démarrer, pointez sur les Outils d’administration, puis cliquez sur L’Observateur
d’événements.
Démarrez le composant logiciel enfichable Observateur d’événements dans Microsoft Management
Console (MMC ).
2. Dans l’arborescence de la console, développez l’Observateur d’événements, puis cliquez sur le journal que
vous souhaitez afficher. Par exemple, cliquez sur le journal système ou le journal d’Application.
3. Dans le volet d’informations, double-cliquez sur l’événement que vous souhaitez afficher.
4. Dans le menu Modifier , cliquez sur Copier, ouvrez un nouveau document dans le programme dans lequel
vous souhaitez coller l’événement (par exemple, Microsoft Word), puis cliquez sur Coller.
5. Utilisez le flèches haut ou vers le bas Échappour permet d’afficher la jugée l’événement précédent ou
suivant.
Démarrage en mode minimal
Pour résoudre les problèmes qui affectent les services, effectuez un démarrage à l’aide de Configuration du
système (msconfig). Sélectionnez sélectif pour tester les services un à la fois pour déterminer celui qui est à
l’origine du problème. Si vous ne trouvez pas la cause, essayez, notamment les services système. Toutefois, dans la
plupart des cas, le service posant problème est tiers.
Désactivez tout service que vous recherchez défaillant et essayez de relancer l’ordinateur en sélectionnant le
démarrage en mode Normal.
Pour obtenir des instructions détaillées, voir comment effectuer un démarrage en mode minimal dans Windows.
Si l’ordinateur démarre en mode de désactiver la Signature de pilote, démarrez l’ordinateur en mode de mise en
œuvre de Signature pour les pilotes désactiver et suivez les étapes décrites dans l’article suivant pour déterminer
les pilotes ou fichiers nécessitent une signature de pilote mise en œuvre: problème de démarrage de résolution des
problèmes a provoqué la signature de pilote bymissing (x64)
NOTE
Si l’ordinateur est un contrôleur de domaine, essayez de mode de restauration des Services d’annuaire (DSRM).
Cette méthode est une étape importante si vous rencontrez l’erreur d’arrêt «0xC00002E1» ou «0xC00002E2»
Exemples
WARNING
De graves problèmes peuvent se produire si vous modifiez le Registre de façon incorrecte à l’aide de l’Éditeur du Registre ou à
l’aide d’une autre méthode. Ces problèmes peuvent nécessiter que vous réinstallez le système d’exploitation. Microsoft ne
peut pas garantir que ces problèmes peuvent être résolus. Modifiez le Registre à vos risques et périls.
Code d’erreur INACCESSIBLE_BOOT_DEVICE (STOP 0x7B )

Pour résoudre les problèmes de cette erreur d’arrêt, suivez ces étapes pour les pilotes de filtre:
1. Accédez à l’environnement de récupération Windows (WinRE ) en plaçant un disque ISO du système dans le
lecteur de disque. Le fichier ISO doit être de la même version de Windows ou une version ultérieure.
2. Ouvrez le Registre.
3. Chargez la ruche du système et nommez-le «test».
4. Sous la sous-clé de Registre suivante, vérifiez pour le filtre de niveau inférieur et de filtre supérieur éléments
pour les pilotes autres que Microsoft:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
5. Pour chaque pilote tiers que vous recherchez, cliquez sur le filtre supérieur ou inférieur et supprimez les
données de valeur.
6. Rechercher par le biais de l’intégralité du Registre pour les éléments similaires. Traiter comme appropriée et
puis décharger la ruche du Registre.
7. Redémarrez le serveur en mode Normal.
Pour les étapes de résolution des problèmes supplémentaires, consultez les articles suivants:
Résolution des problèmes liés à un taquet 0x7B dans Windows
Options avancées de résolution des problèmes pour les erreurs «Stop error code 0x0000007B
(INACCESSIBLE_BOOT_DEVICE )» dans Windows XP.
Pour résoudre les problèmes survenant après l’installation de mises à jour Windows, archivage pour les mises à
jour en attente en procédant comme suit:
1. Ouvrez une invite de commandes de winodw dans WinRE.
2. Exécutez la commande:
dism /image:C:\ /get-packages
3. S’il existe des mises à jour en attente, les désinstaller en exécutant les commandes suivantes:
DISM /image:C:\ /remove-package /packagename: name of the package
Dism /Image:C:\ /Cleanup-Image /RevertPendingActions
Essayez de démarrer l’ordinateur.

Si l’ordinateur ne démarre pas, procédez comme suit:
1. Ouvrez une fenêtre d’invite de commandes dans WinRE et démarrez un éditeur de texte, tel que le bloc-
notes.
2. Accédez au lecteur système, puis recherchez pour windows\winsxs\pending.xml.
3. Si le fichier Pending.xml est trouvé, renommez le fichier en tant que Pending.xml.old.
4. Ouvrez le Registre et puis chargez la ruche du composant dans HKEY_LOCAL_MACHINE en guise de test.
5. Sélectionnez la ruche du test chargé et puis recherchez la valeur pendingxmlidentifier .
6. Si la valeur pendingxmlidentifier existe, supprimez la valeur.
7. Décharger la ruche du test.
8. Chargez la ruche du système, nommez-le en tant que «test».
9. Accédez à la sous-clé suivante:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TrustedInstaller
10. Remplacez la valeur de Démarrer à partir de 1 à 4
11. Décharger la ruche.
12. Essayez de démarrer l’ordinateur.
Si l’erreur d’arrêt se produit au plus tard dans le processus de démarrage, ou si l’erreur Stop est toujours générée,
vous pouvez capturer une image mémoire. Un vidage mémoire bon peut aider à déterminer la cause de l’erreur
d’arrêt. Pour plus d’informations, consultez l’article de Base de connaissances suivant:
969028 comment générer un noyau ou un fichier de vidage mémoire complète dans Windows Server 2008 et
Windows Server 2008 R2
Pour plus d’informations sur les problèmes de fichier de page dans Windows 10 ou Windows Server 2016,
consultez l’article de Base de connaissances suivant:
Présentation des 4133658 du fichier de page dans le canal de maintenance à long terme et le canal semi-annuel
d’appareils Windows
Pour plus d’informations sur les erreurs d’arrêt, consultez l’article de Base de connaissances suivant:
3106831 cesser de résolution des problèmes d’erreur pour les professionnels de l’informatique
Si le fichier de vidage indique une erreur qui est liée à un pilote (par exemple, que
windows\system32\drivers\stcvsm.sys est manquant ou endommagé), suivez ces instructions:
Vérifiez la fonctionnalité fournie par le pilote. Si le pilote est un pilote de démarrage tiers, assurez-vous que
vous comprenez ce qu’elle fait.
Si le pilote n’est pas important et ne possède aucune dépendance, chargez la ruche du système et désactivez
le pilote.
Si l’erreur d’arrêt indique une corruption du fichier système, exécutez le Vérificateur des fichiers système en
mode hors connexion.
Pour ce faire, ouvrez WinRE, ouvrez une invite de commandes, puis exécutez la commande suivante:
SFC /Scannow /OffBootDir=C:\ /OffWinDir=E:\Windows
Pour plus d’informations, reportez-vous à l’aide de système de fichiers vérificateur (SFC ) pour
résoudre les problèmes
S’il existe de corruption du disque, exécutez la commande de disque de vérification:
chkdsk /f /r
Si l’erreur d’arrêt indique une altération de générales du Registre, ou si vous pensez que les nouveaux
pilotes ou services ont été installés, procédez comme suit:
1. Démarrez WinRE et ouvrez une fenêtre d’invite de commandes.
2. Démarrez un éditeur de texte, tel que le bloc-notes.
3. Accédez à C\Windows\System32\Config.
4. Renommer toutes les cinq ruches en ajoutant «.old» au nom.
5. Copiez tous les ruches à partir du dossier Regback et collez-les dans le dossier Config puis
essayez de démarrer l’ordinateur en mode Normal.
Résolution avancée des problèmes de blocage de
l’ordinateur Windows
Cet article décrit comment résoudre les problèmes de blocage sur les ordinateurs Windows et les serveurs. Il
fournit également des méthodes de collecte des données qui aident les administrateurs ou aux développeurs de
logiciels diagnostiquer, d’identifient et résolvent ces problèmes.
NOTE
Les produits tiers que cet article traite sont fabriqués par des sociétés qui ne dépendent pas de Microsoft. Microsoft ne
donne aucune garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.
Identifier le problème
Ordinateur sur lequel est figeant? (Exemple: l’ordinateur concerné est un serveur physique, serveur virtuel et
ainsi de suite.)
Type d’opération a été effectuée lors de la se bloque? (Exemple: ce problème se produit lorsque vous arrêtez
d’interface utilisateur graphique, effectuez une ou plusieurs opérations et ainsi de suite.)
La fréquence à laquelle les erreurs surviennent? (Exemple: ce problème se produit chaque nuit à 7 h, tous les
jours environ 7 ai et ainsi de suite.)
Sur le nombre d’ordinateurs cela se produit-il? (Exemple: tous les ordinateurs, qu’un seul ordinateur, 10
ordinateurs et ainsi de suite.)
Résoudre les problèmes de blocage

Pour résoudre les problèmes de blocage, vérifier l’état actuel de votre ordinateur, puis suivez une des méthodes
suivantes.
Pour l’ordinateur qui est toujours en cours d’exécution dans un état figé
Si l’ordinateur physique ou la machine virtuelle est toujours froid, utilisez une ou plusieurs des méthodes
suivantes pour la résolution des problèmes:
Essayez d’accéder à l’ordinateur par le biais des services Bureau à distance, Citrix et ainsi de suite.
Utilisez le compte de domaine ou un compte d’administrateur local pour ouvrir une session sur l’ordinateur en
utilisant une des fonctionnalités d’accès à distance à la Console physique, tels que Dell Remote Access Card
(DRAC ), HP Integrated Lights-Out (OIT) ou à distance IBM adaptateur superviseur (RSA).
Test ping sur l’ordinateur. Perte de paquets et la latence de réseau élevée peuvent être observés.
Accès aux partages d’administration (\*nom_serveur*\c$).
Appuyez sur Ctrl + Alt + Suppr, commande et vérifier la réponse.
Essayez d’utiliser les outils d’administration à distance comme Wmimgmt.msc, le Gestionnaire de serveur à
distance et gestion de l’ordinateur.
Pour l’ordinateur n’est plus figé
Si l’ordinateur physique ou virtuel intempestif, mais est en cours d’exécution dans un état valide, utilisez une ou
plusieurs des méthodes suivantes pour la résolution des problèmes.
Pour un ordinateur physique
Passez en revue les journaux système et des applications à partir de l’ordinateur sur lequel vous pose
problème. Vérifiez les journaux d’événements pour l’ID d’événement pertinent:
Journal des événements application: erreur d’Application (suggérant incident ou pertinentes processus
système)
Journaux des événements système, ID d’événement Erreur du Gestionnaire de contrôle de Service pour
les Services système critiques
Erreur ID d’événement ID 2019/2020 avec source Srv/serveur
Générer un rapport de diagnostic du système en exécutant la commande /report Analyseur de
performances.
Pour une machine virtuelle
Passez en revue les journaux système et des applications à partir de l’ordinateur sur lequel vous pose problème.
Générer un rapport de diagnostic du système en exécutant la commande /report Analyseur de performances.
Vérifiez l’historique dans virtuel gestion des outils d’analyse.
Collecter les données concernant les problèmes de blocage

Pour collecter des données pour un blocage du serveur, vérifiez le tableau suivant et utiliser une ou plusieurs des
méthodes proposées.
ÉTAT ET LE TYPE D’ORDINATEUR MÉTHODE DE COLLECTE DE DONNÉES
Un ordinateur physique qui s’exécute dans un état figé Utilisation d’un fichier de vidage mémoire pour collecter des
données. Ou utilisez la méthode 2, 3 ou 4. Ces méthodes sont
répertoriées plus loin dans cette section.
Un ordinateur physique qui est figé n’est plus Utilisez la méthode 1, 2, 3 ou 4. Ces méthodes sont
répertoriées plus loin dans cette section. Et Utilisez le Pool de
moniteur pour collecter des données.
Une machine virtuelle qui s’exécute dans un état figé Hyper-V ou VMware: utilisation d’un fichier de vidage
mémoire pour collecter des données pour la machine virtuelle
qui est en cours d’exécution dans un état figé.
XenServer: Utilisez la méthode 1, 2, 3 ou 4. Ces méthodes
sont répertoriées plus loin dans cette section.
Une machine virtuelle qui est figée n’est plus Utilisez la méthode 1, 2, 3 ou 4. Ces méthodes sont
répertoriées plus loin dans cette section.
Méthode 1: Image de mémoire
NOTE
Suivez les étapes décrites dans cette section avec soin. De graves problèmes peuvent se produire si vous modifiez le registre
de façon incorrecte. Avant que vous modifiez, sauvegardez le Registre pour la restauration en cas de problèmes.
Un fichier de vidage mémoire complète enregistre tout le contenu de la mémoire système lorsque l’ordinateur
s’arrête de manière inattendue. Un fichier de vidage mémoire complète peut contenir des données de processus
qui sont exécutait lorsque le fichier de vidage mémoire ont été collecté.
Si l’ordinateur n’est plus figé et désormais s’exécute dans un état valide, procédez comme suit pour activer le
vidage mémoire afin que vous pouvez collecter le vidage de la mémoire lorsque le problème de blocage se produit
à nouveau. Si la machine virtuelle est toujours en cours d’exécution dans un état figé, utilisez les étapes suivantes
pour activer et collecter le vidage de la mémoire.
NOTE
Si vous disposez d’une fonctionnalité de redémarrage qui est activée sur l’ordinateur, par exemple, la fonctionnalité de
redémarrage système automatique (ASR) sur les ordinateurs Compaq, désactivez-le. Ce paramètre se trouve généralement
dans le BIOS. Avec cette fonctionnalité activée, si le BIOS ne détecte pas pulsation à partir du système d’exploitation, il
redémarre l’ordinateur. Le redémarrage peut interrompre le processus de vidage.
1. Assurez-vous que l’ordinateur est configuré pour obtenir un fichier de vidage mémoire complète. Pour cela,
procédez comme suit:
a. Accédez à exécuter et entrez Sysdm.cpl , puis appuyez sur ENTRÉE.
b. Dans les Propriétés système, sous l’onglet Options avancées , sélectionnez performances >
paramètres > Avancé, puis à cocher ou modification de la mémoire virtuelle en cliquant sur
Modifier.
c. Accédez au Système de propriétés > Avancé > paramètres de démarrage et récupération.
d. Dans la section d’Écrire des informations de débogage , sélectionnez Image mémoire
complète.
NOTE
Pour les versions de Windows qui sont antérieures à Windows 8 ou Windows Server 2012, le type d’image
mémoire complète n’est pas disponible dans l’interface utilisateur graphique. Vous devez le modifier dans
l’Éditeur du Registre. Pour ce faire, remplacez la valeur de l’entrée de Registre suivante CrashDumpEnabled
sur 1 (REG_DWORD):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled
e. Sélectionnez l’option Remplacer tous les fichiers existants.

f. Assurez-vous qu’il existe un fichier d’échange (Pagefile) sur le lecteur système et qu’il s’agit d’au
moins 100 mégaoctets (Mo) au cours de la mémoire RAM installée (Initial et la taille maximale).
En outre, vous pouvez utiliser la solution de contournement pour les limitations de l’espace sur le
lecteur système dans Windows Server 2008.
g. Assurez-vous qu’il existe plus d’espace disponible sur le lecteur système supérieure à la mémoire
RAM physique.
2. Activer la valeur de Registre CrashOnCtrlScroll permettre au système générer un fichier de vidage à l’aide
du clavier. Pour cela, procédez comme suit:
a. Accédez à l’Éditeur du Registre et recherchez les clés de Registre suivantes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
b. Créer l’entrée de Registre suivante CrashOnCtrlScroll dans les deux clés de Registre:
Nom de la valeur: CrashOnCtrlScroll
Type de données: REG_DWORD
Valeur: 1
c. Fermez l’Éditeur du Registre.
d. Redémarrez l’ordinateur.
3. Sur certains ordinateurs physiques, vous pouvez générer une interruption nonmakeable (interruption non
programmable) à partir de la fonctionnalité de l’Interface Web (par exemple, DRAC, OIT et RSA). Toutefois,
par défaut, ce paramètre s’arrête le système sans avoir à créer une image mémoire.
Pour autoriser le système d’exploitation générer un fichier de vidage mémoire à une interruption de
l’interruption non programmable, définissez la valeur de l’entrée de Registre NMICrashDump à 1
(REG_DWORD ). Puis, redémarrez l’ordinateur pour appliquer cette modification.
NOTE
Cela s’applique uniquement pour Windows 7, Windows Server 2008 R2 et versions antérieures de Windows. Pour
Windows Server 2012 Windows 8 et versions ultérieures de Windows, la clé de Registre NMICrashDump n’est plus
nécessaire, et une interruption d’interruption non programmable se traduit par une erreur d’arrêt qui suit une
collection de données de vidage mémoire.
4. Lorsque l’ordinateur expose le problème, maintenez la touche Ctrl et appuyez deux fois sur la touche Arrêt
défil pour générer un fichier de vidage mémoire.
NOTE
Par défaut, le fichier de vidage se trouve dans le chemin d’accès suivant:
% SystemRoot%\MEMORY. DMP
Méthode 2: Vérification de validité de données

Utilisez l’utilitaire de contrôle vidage (Dumpchk.exe) pour lire un fichier de vidage mémoire ou vérifier que le
fichier a été correctement créé. Vous pouvez utiliser l’outil Microsoft DumpChk (sur incident vérificateur de fichier
de vidage) pour vérifier que les fichiers de vidage mémoire ne sont pas endommagés ou non valide.
À l’aide de DumpChk
Télécharger DumpCheck
Découvrez comment utiliser Dumpchk.exe pour vérifier vos fichiers de vidage:
Méthode 3: L’Analyseur de performances

Vous pouvez utiliser l’Analyseur de performances Windows pour examiner la manière dont les programmes que
vous exécutez affecte les performances de votre ordinateur, à la fois en temps réel et en collectant les données du
journal pour une analyse ultérieure. Pour créer le compteur de performance et de collections de journal des
événements trace sur des systèmes locaux et distants, exécutez les commandes suivantes dans une invite de
commandes en tant qu’administrateur:
Logman create counter LOGNAME_Long -u DOMAIN\USERNAME * -f bincirc -v mmddhhmm -max 500 -c

"\\COMPUTERNAME\LogicalDisk(*)\*" "\\COMPUTERNAME\Memory\*" "\\COMPUTERNAME\Network Interface(*)\*"
"\\COMPUTERNAME\Paging File(*)\*" "\\COMPUTERNAME\PhysicalDisk(*)\*" "\\COMPUTERNAME\Process(*)\*"
"\\COMPUTERNAME\Redirector\*" "\\COMPUTERNAME\Server\*" "\\COMPUTERNAME\System\*" "\\COMPUTERNAME\Terminal
Services\*" "\\COMPUTERNAME\Processor(*)\*" "\\COMPUTERNAME\Cache\*" -si 00:05:00
Logman create counter LOGNAME_Short -u DOMAIN\USERNAME * -f bincirc -v mmddhhmm -max 500 -c

"\\COMPUTERNAME\LogicalDisk(*)\*" "\\COMPUTERNAME\Memory\*" "\\COMPUTERNAME\Network Interface(*)\*"
"\\COMPUTERNAME\Paging File(*)\*" "\\COMPUTERNAME\PhysicalDisk(*)\*" "\\COMPUTERNAME\Process(*)\*"
"\\COMPUTERNAME\Redirector\*" "\\COMPUTERNAME\Server\*" "\\COMPUTERNAME\System\*" "\\COMPUTERNAME\Terminal
Services\*" "\\COMPUTERNAME\Processor(*)\*" "\\COMPUTERNAME\Cache\*" -si 00:00:10
Ensuite, vous pouvez démarrer ou arrêter le journal en exécutant les commandes suivantes:
logman start LOGNAME_Long / LOGNAME_Short

logman stop LOGNAME_Long / LOGNAME_Short
Le journal de l’Analyseur de performances se trouve dans le chemin d’accès: C:\PERFLOGS

Méthode 4: Prise en charge de Microsoft Diagnostics
1. Dans la zone de recherche du Portail d’aide de Microsoft prise en charge de Diagnostics, tapez Diagnostic
des performances de Windows.
2. Dans les résultats de recherche, sélectionnez Diagnostic des performances de Windows, puis cliquez
sur créer.
3. Suivez les étapes de diagnostic.
Méthodes supplémentaires pour collecter des données
Permet de collecter des données pour l’ordinateur physique qui s’exécute dans un état figé vidage mémoire
WARNING
Suivez les étapes décrites dans cette section avec soin. De graves problèmes peuvent se produire si vous modifiez le registre
de façon incorrecte. Avant que vous modifiez, sauvegardez le Registre pour la restauration en cas de problèmes.
Si l’ordinateur physique est toujours en cours d’exécution dans un état figé, procédez comme suit pour activer et
collecter vidage mémoire:
1. Assurez-vous que l’ordinateur est configuré pour obtenir un fichier de vidage mémoire complète et que
vous pouvez y accéder via le réseau. Pour cela, procédez comme suit:
NOTE
Si elle n’est pas possible d’accéder à l’ordinateur concerné par le biais du réseau, essayez de générer un fichier de
vidage mémoire par le biais d’interruption interruption non programmable. Le résultat de l’action ne peut pas
collecter un fichier de vidage mémoire si certains des paramètres suivants ne sont pas éligibles.
a. Essayez d’accéder au bureau de l’ordinateur par tout moyen.
NOTE
Au cas où l’accès au système d’exploitation n’est pas possible, essayez d’accéder à distance à l’Éditeur du
Registre sur l’ordinateur afin de vérifier le type de fichier de vidage mémoire et de fichier d’échange avec
lequel l’ordinateur est actuellement configuré.
b. À partir d’un ordinateur distant qui est, de préférence, dans le même réseau et le même sous-réseau,
accédez à L’Éditeur du Registre > Connexion au Registre réseau. Ensuite, connectez-vous à
l’ordinateur concerné et vérifiez les paramètres suivants:
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpE
nabled'
Assurez-vous que l’entrée de Registre CrashDumpEnabled est 1 .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\NMICrashDump
Sur certains serveurs physiques, si l’entrée de Registre NMICrashDump existe et que sa
valeur est 1 , vous pouvez tirer parti de l’interruption non programmable à partir des
fonctionnalités de gestion à distance (par exemple, DRAC, OIT et RSA).
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\PagingFiles and ExistingPageFiles
Si la valeur de l’entrée de Registre du fichier d’échange est géré par le système, la taille
n’apparaissent pas dans le Registre (par exemple la valeur: ?:\pagefile.sys).
Si le fichier d’échange est personnalisé, la taille est répercutée dans le Registre, telles que «?: \
Pagefile.sys 1024 1124' où 1024 est la taille initiale et 1124 est la taille maximale.
NOTE
Si la taille n’est pas reflétée dans le Registre, essayez d’accéder à un partage d’administration où se
trouve le fichier d’échange (tels que \*nom_serveur*\C$).
c. Assurez-vous qu’il existe un fichier de pagination (Pagefile) sur le lecteur système de l’ordinateur, et il
est de 100 Mo minimum au cours de la mémoire RAM installée.
d. Assurez-vous qu’il existe plus espace libre sur les lecteurs de disque dur de l’ordinateur supérieure à
la mémoire RAM physique.
2. Activer la valeur de Registre CrashOnCtrlScroll sur l’ordinateur pour permettre au système générer un
fichier de vidage à l’aide du clavier. Pour cela, procédez comme suit:
a. À partir d’un ordinateur distant, de préférence, dans le même réseau et le même sous-réseau,
accédez à l’Éditeur du Registre > du Registre de connexion réseau. Connectez-vous à l’ordinateur
concerné et recherchez les clés de Registre suivantes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
b. Créer l’entrée de Registre suivante CrashOnCtrlScroll dans les deux clés de Registre:
Nom de la valeur: CrashOnCtrlScroll
Type de données: REG_DWORD
Valeur: 1
c. Fermez l’Éditeur du Registre.
d. Redémarrez l’ordinateur.
3. Lorsque l’ordinateur expose le problème, maintenez la touche CTRL et appuyez deux fois sur la touche
Arrêt défil pour générer une image mémoire.
NOTE
Par défaut, le fichier de vidage se trouve dans le chemin d’accès: % SystemRoot%\MEMORY. DMP
Utilisez le moniteur de Pool pour collecter des données pour l’ordinateur physique qui est figée n’est plus
Analyseur de pool vous indique le nombre d’allocations et octets en attente d’allocation par type de pool et la
balise transmis dans les appels de ExAllocatePoolWithTag.
Découvrez comment utiliser l’Analyseur de Pool et comment utiliser ces données afin de résoudre les problèmes
de fuite de pool.
Permet de collecter des données pour la machine virtuelle qui s’exécute dans un état figé vidage mémoire
Utilisez l’une des méthodes suivantes pour l’application sur lequel la machine virtuelle est en cours d’exécution.
Microsoft Hyper-V
Si l’ordinateur virtuel exécute Windows 8, Windows Server 2012 ou une version ultérieure de Windows sur
Microsoft Hyper-V Server 2012, vous pouvez utiliser la fonctionnalité d’interruption non programmable intégrée
par le biais d’une applet de commande de Machines virtuelles débogage pour déboguer et obtenir un vidage
mémoire.
Pour déboguer les machines virtuelles sur Hyper-V, exécutez l’applet de commande suivante dans Windows
PowerShell:
Debug-VM -Name "VM Name" -InjectNonMaskableInterrupt -ComputerName Hostname
NOTE
Cette méthode s’applique uniquement à Windows 8, Windows Server 2012 et les versions ultérieures de machines virtuelles
Windows. Pour les versions antérieures de Windows, voir les méthodes 1 à 4 qui sont décrits plus haut dans cette section.
VMware
Vous pouvez utiliser des instantanés de VMware ou état de veille et extraire un fichier de vidage mémoire
équivalent à un fichier de vidage mémoire complète. À l’aide de Point de contrôle dans Core outil (vmss2core),
vous pouvez convertir à la fois de suspension (.vmss) et des fichiers d’état de capture instantanée (.vmsn) à un
vidage de fichiers et ensuite analyser le fichier en utilisant les outils de débogage standard de Windows.
Citrix XenServer
Le processus de vidage mémoire se produit en appuyant sur la droite + défil combinaison CTRL + Arrêt défil
clavier qui est décrit dans la méthode 1 et sur le site de Citrix.
Limitations de l’espace sur le lecteur système dans Windows Server

2008
Sur Windows Server 2008, peut-être pas suffisamment d’espace disque libre pour générer un fichier de vidage
mémoire complète sur le volume système. Il existe un correctif logiciel qui permet la collecte de données même s’il
n’existe pas suffisamment d’espace sur le lecteur système pour stocker le fichier de vidage mémoire.
En outre, sur Windows Server 2008 Service Pack (SP2), il existe une deuxième option si le lecteur système ne
dispose pas suffisamment d’espace. En l’occurrence, vous pouvez utiliser l’entrée de Registre DedicatedDumpFile.
Pour savoir comment utiliser l’entrée de Registre, voir le nouveau comportement dans Windows Vista et Windows
Server 2008.
Pour plus d’informations, voir l’utilisation de la valeur de Registre DedicatedDumpFile pour contourner les limites
de l’espace sur le lecteur système.
Résolution avancée des problèmes d’erreur d’arrêt 7B
ou Inaccessible_Boot_Device
Cet article explique comment résoudre les problèmes Stop erreur 7 b: Inaccessible_Boot_Device. Cette erreur
peut se produire après que des modifications sont apportées à l’ordinateur, ou immédiatement après le
déploiement de Windows sur l’ordinateur.
Causes de l’erreur Inaccessible_Boot_Device arrêter

L’un des facteurs suivants peut provoquer l’erreur d’arrêt:
Manquant, endommagé ou dysfonctionnements des pilotes de filtre qui sont liés à la pile de stockage
Système de fichiers endommagé
Modifier le mode du contrôleur de stockage ou les paramètres dans le BIOS
À l’aide d’un contrôleur de stockage autre que celui qui a été utilisé lorsque Windows a été installé
Déplacer le disque dur vers un autre ordinateur qui dispose d’un contrôleur différent
Une carte mère défectueuse ou un contrôleur de stockage ou une défaillance matérielle
Dans des cas exceptionnels: l’échec du service TrustedInstaller aux mises à jour de la validation qui vient
d’être installée en raison des endommagements du composant, en fonction du Store
Les fichiers dans la partition de démarrage endommagés (par exemple, toute altération dans le volume est
intitulée système lorsque vous exécutez le diskpart > list vol commande)
Résoudre les problèmes de cette erreur

Démarrez l’ordinateur en Mode de récupération Windows (WinRE ). Pour ce faire, procédez comme suit.
1. Démarrer le système en utilisant le support d’installation de la version de Windows installée.
2. Sur l’écran d’Installation de Windows , sélectionnez suivant > Réparer votre ordinateur .
3. Sur l’écran d’Options de récupération système , sélectionnez suivant > invite de commandes .
Vérifiez que le disque de démarrage est connectée et accessibles
Étape1
À l’invite de commandes de WinRE, exécutez diskpart , puis exécutez list disk .
Une liste des disques physiques qui sont associés à l’ordinateur doit être affichée et ressembler à l’écran suivant:
Disk ### Status Size Free Dyn Gpt
-------- ------------- ------- ------- --- ---
Disk 0 Online **size* GB 0 B *
Si l’ordinateur utilise une interface de démarrage Unified Extensible Firmware Interface (UEFI), il y aura un
astérisque () dans la colonne **GPT* .
Si l’ordinateur utilise une interface de base d’entrée/sortie système (BIOS ), il y aura pas un astérisque dans la
colonne Dyn .
Étape2
Si le list disk listes de commandes les disques du système d’exploitation s’exécutent correctement, le list vol
commande diskpart .
list vol génère une sortie semblable à l’écran suivant:
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 Windows RE NTFS Partition 499 MB Healthy
Volume 1 C OSDisk NTFS Partition 222 GB Healthy Boot
Volume 2 SYSTEM FAT32 Partition 499 MB Healthy System
NOTE
Si le disque qui contient le système d’exploitation n’est pas répertorié dans la sortie, vous devrez entrer en contact le
fabricant OEM ou de la virtualisation.
Vérifier l’intégrité de la base de données de Configuration de démarrage

Vérifiez si la base de données de Configuration de démarrage (BCD ) dispose de toutes les entrées correctes. Pour
ce faire, exécutez bcdedit à l’invite de commandes WinRE.
Pour vérifier les entrées BCD:
1. Examinez la section de Gestionnaire de démarrage Windows qui a l’identificateur {bootmgr} . Vérifiez
que les entrées de périphérique et le chemin d’accès pointent vers le fichier de chargeur du périphérique
et de démarrage approprié.
Un exemple de sortie si l’ordinateur est avec UEFI:
device partition=\Device\HarddiskVolume2
path \EFI\Microsoft\Boot\bootmgfw.efi
Un exemple de sortie se BIOS en fonction de l’ordinateur:
Device partition=C:
NOTE
Cette sortie ne peut pas contenir un chemin d’accès.
2. Dans le Chargeur de démarrage Windows qui a l’identificateur de {la valeur default} , assurez-vous que
ce périphérique , chemin d’accès , osdevice et systemroot pointent vers l’appareil est correcte ou
partition, fichier le winload, partition du système d’exploitation ou d’appareil et du système d’exploitation
dossier.
NOTE
Si l’ordinateur est avec UEFI, les entrées de bootmgr et le winload sous {la valeur default} contient une extension
.efi .
Si une des informations est incorrecte ou absente, nous recommandons que vous créez une sauvegarde du
magasin BCD. Pour ce faire, exécutez bcdedit /export C:\temp\bcdbackup . Cette commande crée une sauvegarde
dans C:\temp\ qui est nommé bcdbackup . Pour restaurer la sauvegarde, exécutez
bcdedit /import C:\temp\bcdbackup . Cette commande remplace tous les paramètres BCD en utilisant les
paramètres dans bcdbackup .
Une fois que la sauvegarde est terminée, exécutez la commande suivante pour apporter les modifications:
bcdedit /set *{identifier}* option value
Par exemple, si l’appareil sous la valeur {default} est incorrecte ou absente, exécutez la commande suivante pour
définir: bcdedit /set {default} device partition=C:
Si vous souhaitez recréer complètement le magasin BCD, ou si vous obtenez un message indiquant que «storeles
données de configuration de démarrage pas pu être ouvert. Le système n’a pas pu trouver le fichier
spécifié, «exécuter bootrec /rebuildbcd .
Si le magasin BCD comporte les entrées correctes, vérifiez si les entrées le winload et bootmgr existent dans
l’emplacement correct par le chemin d’accès spécifié dans la commande bcdedit . Par défaut, bootmgr dans la
partition BIOS sera à la racine de la partition système . Pour voir le fichier, exécutez Attrib -s -h -r .
Si les fichiers sont manquants, et que vous souhaitez reconstruire les fichiers de démarrage, procédez comme suit:
1. Copiez tout le contenu sous la partition système vers un autre emplacement. Sinon, vous pouvez utiliser
l’invite de commandes pour naviguer sur le lecteur du système d’exploitation, créer un nouveau dossier, puis le
copier tous les fichiers et dossiers à partir du volume système , comme suit:
D:\> Mkdir BootBackup

R:\> Copy *.* D:\BootBackup
1. Si vous utilisez Windows 10, ou si vous rencontrez à l’aide d’un fichier ISO de Windows 10 à l’invite de
commandes d’environnement de préinstallation de Windows, vous pouvez utiliser la commande bcdboot
pour recréer les fichiers de démarrage, comme suit:
Bcdboot <**OSDrive* >:\windows /s <**SYSTEMdrive* >: /f ALL
Par exemple: si nous affectons, Drive> système (WinRE drive) la lettre R et correspond à la lettre D, cette
commande est le suivant:
Bcdboot D:\windows /s R: /f ALL
NOTE
La partie de la commande bcdboot toutes les écritures tous les fichiers de démarrage (UEFI et BIOS) vers leur
emplacement respectifs.
Si vous ne disposez pas d’un fichier ISO de Windows 10, vous devez formater la partition et copier bootmgr à
partir d’un autre ordinateur de travail qui dispose d’une build de Windows similaire. Pour cela, procédez comme
suit:
1. Démarrez le bloc-notes .
2. Appuyez sur Ctrl + O.
3. Accédez à la partition système (dans cet exemple, il s’agit R ).
4. Avec le bouton droit de la partition et mettez-le.
Résolution des problèmes si ce problème se produit après une installation de Windows Update
Exécutez la commande suivante pour vérifier que les Windows update installation et les dates:
Dism /Image:<Specify the OS drive>: /Get-packages
Après avoir exécuté cette commande, vous verrez l' installation en attente et ** désinstaller en attente **
packages:
1. Exécuter le dism /Image:C:\ /Cleanup-Image /RevertPendingActions commande. Remplacez C: par la partition
système pour votre ordinateur.
2. Accédez à ** OSdriveLetter : \Windows\WinSxS** , puis vérifiez si le fichier pending.xml existe. Si tel est le
cas, renommez-le pending.xml.old.
3. Pour restaurer les modifications du Registre, tapez regedit à l’invite de commandes pour ouvrir L’Éditeur
du Registre.
4. Sélectionnez HKEY_LOCAL_MACHINEet accédez au fichier > Charger la ruche.
5. Accédez à OSdriveLetter:\Windows\System32\config, sélectionnez le fichier qui est appelé composant
(avec sans extension) et sélectionnez Ouvrir. Lorsque vous y êtes invité, entrez le nom
OfflineComponentHive de la ruche du nouveau
6. Développez HKEY_LOCAL_MACHINE\OfflineComponentHiveet vérifier l’existence de la clé
PendingXmlIdentifier . Créer une sauvegarde de la clé OfflineComponentHive et puis supprimez la clé
PendingXmlIdentifier .
7. Décharger la ruche. Pour ce faire, mettez en surbrillance OfflineComponentHiveet sélectionnez fichier >
Décharger la ruche.
8. Sélectionnez HKEY_LOCAL_MACHINE, accédez au fichier > Charger la ruche, accédez à **
OSdriveLetter : \Windows\System32\config, sélectionnez le fichier est nommé **système (avec sans
extension) et sélectionnez Open ** . Lorsque vous y êtes invité, entrez le nom **OfflineSystemHive
pour la ruche du nouveau.
9. Développez HKEY_LOCAL_MACHINE\OfflineSystemHiveet sélectionnez la sélection de la clé. Vérifiez
les données de la valeur par défaut .
10. Si les données de HKEY_LOCAL_MACHINE\OfflineSystemHive\Select\Default sont 1 , développez
HKEY_LOCAL_MACHINE\OfflineHive\ControlSet001. S’il est 2, développez
HKEY_LOCAL_MACHINE\OfflineHive\ControlSet002et ainsi de suite.
11. Développez le Gestionnaire Control\Session. Vérifier l’existence de la clé
PendingFileRenameOperations . Si tel est le cas, sauvegarder la clé SessionManager et puis supprimez
la clé PendingFileRenameOperations .
Vérification des services et les pilotes critiques de démarrage
Vérifiez les services
1. Suivez les étapes 1 à 10 dans la «section Résolution des problèmes si ce problème se produit après une
installation de Windows Update». (Étape 11 ne s’applique pas à cette procédure.)
2. Développez Services.
3. Assurez-vous que les clés de Registre suivante existent sous Services:
ACPI
DISQUE
VOLMGR
PARTMGR
VOLSNAP
VOLUME
Si ces clés existent, vérifiez chacun d’eux pour vous assurer qu’il a une valeur qui est nommée Démarrer et qu’elle
est définie sur 0. Si ce n’est pas le cas, définissez la valeur sur 0.
Si aucune de ces clés n’existent pas, vous pouvez essayer de remplacer la ruche du Registre en cours à l’aide de la
ruche à partir de RegBack. Pour ce faire, exécutez les commandes suivantes:
cd OSdrive:\Windows\System32\config
ren SYSTEM SYSTEM.old
copy OSdrive:\Windows\System32\config\RegBack\SYSTEM OSdrive:\Windows\System32\config\
Vérifier les pilotes de filtre supérieur et inférieur

Vérifiez s’il existe des pilotes de filtre d’inférieures et supérieures non Microsoft sur l’ordinateur et qu’ils n’existent
pas sur le travail similaire, un autre ordinateur. s’ils n’existent pas, supprimez les pilotes de filtre supérieur et
inférieur:
1. Développez HKEY_LOCAL_MACHINE\OfflineHive\ControlSet001\Control.
2. Recherchez les entrées UpperFilters ou LowerFilters .
NOTE
Ces filtres sont principalement liées au stockage. Une fois que vous développez la clé de contrôle dans le Registre,
vous pouvez rechercher UpperFilters et LowerFilters.
Voici quelques-uns des entrées de Registre différentes dans lequel vous pouvez trouver ces pilotes de filtre.
Ces entrées sont répertoriées sous ControlSet et considérées comme valeur par défaut :
\Control\Class\{4D36E96A-E325-11CE -BFC1-08002BE10318}
\Control\Class\{4D36E967-E325-11CE -BFC1-08002BE10318}
\Control\Class\{4D36E97B -E325-11CE -BFC1-08002BE10318}
\Control\Class\{71A27CDD -812A-11D0-BEC7-08002BE2092F }
Si une entrée UpperFilters ou LowerFilters est non standard (par exemple, il ne s’est pas d’un pilote de filtre par
défaut de Windows, par exemple, PartMgr), supprimez l’entrée en double-cliquant dessus dans le volet droit, puis
supprimez que cette valeur.
NOTE
Il peut y avoir plusieurs entrées.
Le fait que ces entrées peuvent affecter le permet, car il peut y avoir une entrée de la branche de Services qui
présente un type de démarrage défini sur 0 ou 1 (indiquant qu’il soit chargé au démarrage ou automatique dans le
cadre du processus de démarrage). En outre, le fichier qui est appelé est manquant ou endommagé, ou il peut être
nommé différemment de ce qui est indiqué dans l’entrée.
NOTE
Si c’est un service qui est défini sur 0 ou 1 qui correspond à une entrée UpperFilters ou LowerFilters , en définissant le
service sur désactivé dans le Registre de Services (comme indiqué dans les étapes 2 et 3 de la vérification section des
services) sans supprimer le Pilote de filtre entrée entraîne l’ordinateur après incident et générer une erreur d’arrêt 0x7b.
CHKDSK et SFC en cours d’exécution

Si l’ordinateur ne démarre pas, vous pouvez essayer d’exécuter un processus chkdsk sur le lecteur système et
également exécuter Vérificateur des fichiers système. Pour ce faire, exécutez les commandes suivantes à une invite
de commandes WinRE:
chkdsk /f /r OsDrive:
sfc /scannow /offbootdir=OsDrive:\ /offwindir=OsDrive:\Windows

Historique des modifications pour la gestion des
clients
Cette section répertorie les rubriques nouvelles ou mises à jour de la documentation Gestion des clients de
Windows10 et Windows10Mobile.
Décembre 2018
RUBRIQUE NOUVELLE OU MODIFIÉE DESCRIPTION
Résolution avancée des problèmes de TCP/IP Nouveau
Collecter des données à l’aide du Moniteur réseau Nouveau
Résoudre les problèmes de connectivité TCP/IP Nouveau
Résoudre les problèmes de carence de port Nouveau
Résoudre les erreurs d’appel de procédure distante Nouveau
Novembre 2018
Résolution avancée des problèmes de blocage de l’ordinateur Nouveau

Windows
Résolution avancée des problèmes d’erreur d’arrêt ou d’écran Nouveau

bleu
VERSION: Windows10, version1709

Les rubriques de cette bibliothèque ont été mises à jour pour Windows10, version1709 (également appelée Fall
Creators Update).
Juillet2017
Paramètres de stratégies de groupe s’appliquant uniquement Ajout indiquant que le paramètre de stratégie de disposition
à Windows10 éditions Entreprise et Éducation de l'écran de démarrage peut s'appliquer à Windows10
Professionnel, version1703
Juin2017
Créer des profils utilisateur obligatoires Ajout de Windows10, version1703, au tableau d’extension de
profil
Avril2017
Nouvelles stratégies pour Windows10 Ajout d'une liste de nouveaux paramètres de stratégie de
groupe pour Windows10, version1703
VERSION: Windows10, version1703

Les rubriques de cette bibliothèque ont été mises à jour pour Windows10, version1703 (également appelée Mise à
jour Creators). La nouvelle rubrique ci-dessous a été ajoutée:
Gérer l’application Paramètres avec la stratégie de groupe

MicrosoftSolution - All Boot Domage

Transféré par

Droits d'auteur :

Formats disponibles

MicrosoftSolution - All Boot Domage

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MicrosoftSolution - All Boot Domage

Transféré par

Droits d'auteur :

Formats disponibles

Contents

Manage clients in Windows 10

Réinitialiser un appareil Windows10 Mobile Instructions pour réinitialiser un appareil Windows10Mobile à

Bibliothèques Windows Aspects à prendre en compte et instructions pour la gestion

Configurations prises en charge

Pourquoi joindre un appareil Windows 10 Mobile à Azure AD

Mettez-vous des appareils actuels vers Windows 10 Mobile?

Différences entre « Ajouter un compte professionnel » et « Azure AD

Préparation à Windows 10 Mobile

Comment joindre Windows 10 Mobile à Azure AD

4. Ensuite, vous configurez un code PIN.

Configuration de la messagerie et du calendrier

MicrosoftPowerPoint affiche vos diapositives récemment ouvertes.

Utiliser MicrosoftStore pour Entreprises

Paramètres de stratégie de groupe de nouveau dans Windows 10,

Paramètres de stratégie de groupe de nouveau dans Windows 10,

NOM DE LA STRATÉGIE CHEMIN D’ACCÈS DE LA STRATÉGIE COMMENTAIRES

Disposition de l’écran de démarrage Configuration utilisateur\Modèles Dans Windows10, version1703, ce

Configuration utilisateur > Modèles

Configuration utilisateur > Modèles

Réinitialiser à l’aide de la gestion des périphériques mobiles (GPM)

Réinitialisation à l’aide de l’interface utilisateur

Réinitialiser à l’aide des boutons matériels

Passage en revue des options de gestion avec Windows10

Déploiement et mise en service

Mise à jour et maintenance

Appareils personnels Appareils d’entreprise

Propriétaire Employé Organisation

Recommandation: Microsoft recommande l’enregistrement auprès d’Azure AD et l’inscription GPM

Identité personnelle Identité d’organisation

Premier compte sur l’appareil Compte Microsoft Compte Azure AD

Possibilité de bloquer l’utilisation Non Oui

Remarque: La première livraison de Windows10 incluait MicrosoftPassport et WindowsHello, qui

Autoriser NFC Indique si la radio NFC est activée.

Branche actuelle 1511 Novembre2015

Branche actuelle pour entreprise 1511 Mars2016

Branche actuelle 1607 Juillet2016

Connexion Description Recherche Téléchargeme Installation Redémarrage

Wi-Fi L’appareil est connecté à un Oui Oui</td> Oui Oui, en dehors

Réseau L’appareil est connecté Ignore une N’intervient Oui Idem

Réseau L’appareil est connecté Non Non Non Idem

Suivi des publications de mises à jour

Option de Disponibilité des Longueur minimale Principaux avantages Éditions prises en

Report et approbation des mises à jour à l’aide d’un système GPM

Activité (stratégie) Paramètres de la version1511 Paramètres de la version1607

Reporter les mises à jour DeferUpdatePeriod Reportez les mises à DeferQualityUpdatePeriodInDays

Approuver les mises à jour RequireUpdateApproval RequireUpdateApproval

Gestion de l’expérience de mise à jour

Mise hors service

Historique des révisions

Prise en charge des rubriques de résolution des problèmes

Historique des mises à jour Windows10

Solutions relatives à l’installation des mises à jour Windows

Solutions relatives à l’installation ou à la mise à niveau de Windows

Solutions relatives à BitLocker

Solutions relatives aux vérifications d'erreur ou aux erreurs d’arrêt

Solutions relatives aux problèmes de démarrage de Windows

Solutions relatives à la configuration ou à la gestion du menu Démarrer

Solutions liées à la mise en réseau sans fil et à l’authentification 802.1X