Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[Intune] Empêcher l’utilisateur de lancer une réinitialisation du système (Factory Reset)

Je vous propose dans ce billet de voir comment désactiver la fonctionnalité de réinitialisation du système (Factory Reset) présente nativement dans Windows 10. Cette fonctionnalité est accessible aux utilisateurs qui sont administrateurs de la machine. Certaines entreprises peuvent vouloir désactiver l’accès à la fonctionnalité pour éviter des erreurs.

La fonctionnalité Reset this PC se trouve dans l’application Paramètres/Settings puis dans la partie Update & Security – Recovery.

Le déploiement d’une stratégie MDM pour configurer le CSP adéquate est le seul moyen de véritablement bloquer l’accès à cette fonctionnalité. Ouvrez Microsoft Intune et naviguez dans Device Configuration. Créez un profil personnalisé (Custom) ou utilisez un profil personnalisé Windows 10 and later existant.

  1. Ajoutez un paramétrage OMA-URI.
  2. Spécifiez le nom (par exemple FactoryReset) et une description
  3. Renseignez l’OMA-URI suivant : ./Vendor/MSFT/PolicyManager/My/System/AllowUserToResetPhone
    Note : Bien que le paramétrage comprenne la mention Phone, ceci s’applique aussi aux postes de travail.
  4. Choisissez le type de données : Integer
  5. Spécifiez la valeur : 0

 

Cliquez sur OK à deux reprises puis créez le profil.
Assignez enfin le profil à une groupe comprenant les machines Windows 10 cible.

Après chargement des stratégies sur les périphériques Windows 10 gérés, naviguez dans Paramètres/Settings puis dans la partie Update & Security – Recovery.
Notez que l’option est toujours disponible dans l’interface. Si l’utilisateur tente d’accéder à la fonctionnalité, cette dernière lui demande le type de réinitialisation qu’il souhaite opérer.

 

Quelque soit le scénario choisi, celui-ci affiche le message :
We can’t reset this PC
Your organization’s policy doesn’t allow it.
For more info, talk to your support person or IT department.

 

Note : Il n’existe pas de GPO pour désactiver ceci. Néanmoins la commande suivante reagentc.exe /disable permet de désactiver la fonctionnalité. Notez que cette commande n’est pas parfaite et peut cependant ne pas bloquer l’ensemble des scénarios. La meilleure méthode reste le CSP en mode MDM.

Facebook Like
Anonymous