Apprenez à configurer un profil de restriction de périphériques Intune pour contrôler l'accès aux ports USB, protéger les données sensibles et prévenir les exfiltrations.
~20 minIntermédiaireIntune · Windows 10/11MD-102 · SC-300
1
Pourquoi bloquer les ports USB ?
Les périphériques USB amovibles sont l'un des vecteurs d'exfiltration de données et d'introduction de malwares les plus courants dans les environnements d'entreprise. Avant de configurer la restriction, comprenons l'enjeu.
⚠ Menaces associées aux périphériques USB non contrôlés
📤
Exfiltration de données
Copie non autorisée de fichiers confidentiels sur une clé USB
🦠
Introduction de malwares
Infection via un périphérique infecté branché sur le poste
⚡
Attaque USB Rubber Ducky
Périphérique se faisant passer pour un clavier et injectant des commandes
🔓
Contournement DLP
Bypass des politiques de prévention de fuite de données
📋
Selon le Référentiel ANSSI, la maîtrise des médias amovibles fait partie des mesures d'hygiène informatique fondamentales. La restriction USB est également un contrôle requis dans ISO 27001 (A.8.3) et CIS Controls (Control 10).
2
Intune vs GPO : choisir la bonne approche
Deux méthodes permettent de restreindre les USB sur Windows : les Group Policy Objects (GPO) via Active Directory, et les profils de configuration Intune. Comparez leurs caractéristiques.
Microsoft Intune Recommandé
✓ Gestion cloud-native, sans VPN
✓ Postes hybrides et Azure AD Joined
✓ Rapports de conformité en temps réel
✓ Granularité : Allow/Block/ReadOnly
✓ Ciblage par groupe AAD dynamique
✓ Compatible Windows 10/11 + macOS
✗ Nécessite licence Intune (M365 BP+)
GPO Active Directory Traditionnel
✓ Gratuit, inclus dans Windows Server
✓ Très fin (Device Instance Path, GUID)
✗ Nécessite connectivité AD (VPN/réseau)
✗ Pas de reporting centralisé natif
✗ Pas adapté aux postes Azure AD Joined
✗ Délai d'application (rafraîchissement GPO)
✗ Ciblage par OU uniquement
💡
Dans un environnement hybride (co-gestion SCCM + Intune), vous pouvez utiliser Intune pour les périphériques gérés dans le cloud et GPO pour les postes on-premises. Les deux politiques coexistent sans conflit si correctement scindées.
3
Les types de restrictions disponibles
Intune propose plusieurs niveaux de contrôle pour les périphériques amovibles. Sélectionnez un scénario pour découvrir le paramétrage correspondant.
🚫 Blocage total
👁 Lecture seule
✅ USB approuvés uniquement
💿 CD-ROM uniquement
🚫 Blocage total — Aucune écriture ni lecture USB
Scénario le plus restrictif. Les périphériques USB de stockage ne sont ni lisibles ni inscriptibles. Adapté aux environnements haute sécurité (finance, santé, défense).
Removable storageBlock
USB connections (non-charging)Block
Bluetooth connectionsBlock
Removable disk — Write accessBlock
Removable disk — Read accessBlock
👁 Lecture seule — Transferts entrants bloqués
Les utilisateurs peuvent lire les contenus USB (consultation de documents) mais ne peuvent pas copier de fichiers vers le périphérique. Bon compromis pour les équipes terrain.
Removable storageNot configured
Removable disk — Read accessAllow
Removable disk — Write accessBlock
USB connections (non-charging)Allow
Bluetooth connectionsNot configured
✅ USB approuvés uniquement (via Device Control)
Nécessite Microsoft Defender for Endpoint Plan 2. Permet de créer des listes blanches de périphériques par Hardware ID ou Instance Path. Seuls les appareils listés sont autorisés.
Removable storageBlock (par défaut)
Device Control PolicyAllow — Hardware IDs listés
Defender for EndpointRequis — Plan 2
Audit mode disponibleOui — mode détection
PortéeGroupe AAD ciblé
💿 Blocage CD-ROM uniquement
Cible spécifiquement les lecteurs optiques. Utilisé en complément du blocage USB dans les environnements où les postes disposent encore de lecteurs DVD physiques.
Removable storageNot configured
CD ROM — Read accessBlock
CD ROM — Write accessBlock
USB connectionsNot configured
Floppy disk (legacy)Block
4
Configuration pas-à-pas dans Intune
Suivez chaque étape pour créer et déployer un profil de restriction USB dans le centre d'administration Intune.
Étape 1 Accéder au centre d'administration Intune
Connectez-vous avec un compte disposant du rôle Intune Administrator ou Global Administrator sur Microsoft Entra ID.
🌐https://intune.microsoft.com
Dans le menu de gauche, naviguez vers :
Devices›Configuration›+ Create›New policy
🔐
Rôles minimum requis : Intune Service Administrator ou Policy and Profile Manager (rôle personnalisé). Évitez d'utiliser le Global Admin pour les tâches opérationnelles quotidiennes.
Étape 2 Créer le profil de configuration
Dans le volet Create a profile, renseignez les paramètres de base :
PlatformWindows 10 and later
Profile typeSettings catalog
Cliquez sur Create. Dans l'onglet Basics, nommez la politique de manière explicite :
📋 WIN-USB-Block-Production
Ajoutez une description : "Bloque l'accès en lecture/écriture aux périphériques USB amovibles sur les postes Windows 10/11."
⚠️
Préférez Settings catalog à Device restrictions (profil legacy). Le Settings catalog offre plus de granularité, des options plus récentes et une meilleure lisibilité des paramètres dans les rapports.
Étape 3 Ajouter les paramètres de restriction USB
Dans l'onglet Configuration settings, cliquez sur + Add settings. Recherchez les paramètres suivants dans le Settings catalog :
🔍 Recherche : "removable storage"
Catégorie : System › Device Installation › Device Installation Restrictions
Allow installation of devices using drivers that match these device setup classesDisabled
Prevent installation of removable devicesEnabled
Pour le blocage lecture/écriture, ajoutez également :
🔍 Recherche : "removable disk"
Catégorie : System › Removable Storage Access
Removable Disks: Deny read accessEnabled
Removable Disks: Deny write accessEnabled
💡
Les paramètres Removable Storage Access agissent au niveau du système de fichiers. Les paramètres Device Installation Restrictions agissent au niveau du driver PnP. Pour un blocage complet, les deux familles sont complémentaires.
Étape 4 Assigner le profil à un groupe
Dans l'onglet Assignments, cliquez sur + Add groups (ou Add all users/all devices). Recommandations d'assignation :
Cible recommandéeGroupe d'appareils AAD
Approche de déploiementPilote → Production
Exclusion recommandéeGrp-Admins-IT
Filtres de périphériquesOptionnel (OS version, etc.)
Créez d'abord un groupe pilote (Grp-USB-Block-Pilote) avec 5 à 10 postes tests avant un déploiement massif.
🧪
Excluez toujours les postes de test et les comptes Break Glass de vos politiques restrictives. Un blocage USB mal ciblé peut empêcher l'utilisation de dongles de sécurité physiques (YubiKey, etc.) si USB non-charging est également bloqué.
Étape 5 Vérifier et déployer le profil
Dans l'onglet Review + create, vérifiez la synthèse du profil, puis cliquez sur Create.
Après création, le profil est visible dans :
Devices›Configuration›WIN-USB-Block-Production
Statut attenduSucceeded
Délai d'application~15 min (check-in Intune)
Forcer le check-inDevices › Sync (manuel)
🔄
Après déploiement, surveillez le rapport du profil sous Devices › Monitor › Configuration profiles. Le statut "Conflict" indique qu'un autre profil applique un paramètre contraire sur le même appareil.
Étape 6 Valider l'application sur le poste
Sur un poste cible, après synchronisation Intune, vérifiez l'application de la politique :
Via Gestionnaire de périphériques : les disques USB doivent apparaître avec un 🚫 symbole d'erreur lors du branchement.
Via PowerShell (audit rapide) :
PowerShell
# Vérifier le statut des politiques Intune appliquéesGet-Item"HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices"# Vérifier la clé de blocage en écritureGet-ItemProperty"HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"-Name"Deny_Write"
Une valeur Deny_Write = 1 confirme le blocage en écriture.
✅
Testez toujours en branchant une clé USB réelle sur un poste du groupe pilote. Le message d'erreur Windows attendu est : "Ce périphérique est désactivé (Code 22)" ou "L'accès est refusé" à la tentative d'écriture.
5
Clés de registre appliquées par Intune
Intune traduit les paramètres du Settings catalog en clés de registre sur le poste Windows. Voici les valeurs injectées selon le mode de restriction choisi.
Le GUID {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} identifie la classe de périphériques Disk drives dans Windows. C'est le GUID cible pour les clés USB de stockage standard.
Le blocage en lecture empêche également les opérations de récupération de données sur des supports légitimes (ex. : photos depuis un appareil photo USB). Assurez-vous que ce niveau de restriction est justifié par votre politique de sécurité.
Le paramètre DenyRemovableDevices bloque l'installation de tout pilote de périphérique amovible. Contrairement au blocage Storage Access, ce paramètre agit avant même que Windows reconnaisse le périphérique.
6
Simulateur de connexion USB
Activez ou désactivez la politique Intune, puis cliquez sur un périphérique pour simuler sa connexion au poste Windows. Observez comment la restriction s'applique.
❌ Désactivée
🔑
Clé USB 32 Go
!
💾
Disque externe
!
🖱
Souris USB
!
⌨️
Clavier USB
!
🔐
YubiKey
!
💳
Carte SD
!
⚠️
Attention : la restriction USB connections (non-charging) dans Intune bloque tous les périphériques USB, y compris les claviers et souris USB non-Bluetooth. Pour les postes fixes avec périphériques filaires, utilisez uniquement le blocage Removable Storage.
7
Délais de déploiement et cycle de vie
Comprenez les délais attendus lors du déploiement d'une nouvelle politique Intune USB.
Profil créé dans Intune
La politique est enregistrée dans le tenant. Intune génère la charge MDM.
T+0 min
Notification push MDM envoyée
Intune envoie une notification WNS (Windows Push Notification) aux appareils cibles en ligne.
T+2 à 5 min
Check-in du poste Windows
Le poste contacte Intune, récupère la politique et l'écrit dans le registre (canal OMA-DM).
T+5 à 15 min
Application de la politique
Les clés de registre sont écrites. La restriction USB est active sans redémarrage dans la plupart des cas.
T+15 à 30 min
Rapport de conformité disponible
Le portail Intune affiche le statut "Succeeded" pour les appareils ayant appliqué la politique.
T+30 à 60 min
Cycle de re-check automatique
Intune re-vérifie la conformité toutes les 8h (appareils actifs) ou au prochain login utilisateur.
Récurrent — toutes les 8h
8
Quiz de validation
Vérifiez votre compréhension de la configuration Intune USB. 5 questions, niveau MD-102.