J’ai rencontré un problème chez un client avec la configuration Autologon qui a été poussée sur des machines Windows 10/11 spécifiques via Microsoft Intune. Nous avons constaté que cette dernière n’était pas appliquée et que l’événement 5012 dans le journal Microsoft – Windows – Authentifcation User Interface :
Le paramètres autologon a été supprimée à cause de la stratégie EAS est définie
(vous apprécierez la traduction)
ou
The autologon setting has been removed because the EAS policy is set
C’est d’ailleurs officiellement décrit dans la documentation Microsoft via l’article : Configure Windows to automate logon - Windows Server | Microsoft Learn qui spécifie : « When Exchange Active Sync (EAS) password restrictions are active, the autologon feature does not work. This behavior is by design. This behavior is caused by a change in Windows 8.1 and does not affect Windows 8 or earlier versions. To work around this behavior in Windows 8.1 and later versions, remove the EAS policies in Control Panel.”
C’est aussi confirmé sur : Exchange ActiveSync Policy Engine Overview | Microsoft Learn
En creusant le sujet et bien qu’aucune stratégie EAS ait été déployée, on peut observer la clé de registre suivante dans HKLM\SYSTEM\CurrentControlSet\Control\EAS\Policies
Cette stratégie semblait être présente lorsque le poste était enregistré dans Microsoft Intune. Après avoir poussé les tests plus loin, nous avons isolé le poste de toutes les stratégies poussées par Intune et nous avons constaté que le problème n’apparaissait plus. Il s’avère que ce paramètre était créé lors du déploiement d’une stratégie de conformité. J’ai donc découvert que le CSP DeviceLock et notamment la stratégie de mot de passe, utilise le moteur de stratégie Exchange ActiveSync hérité. Ce CSP peut être utilisé par la stratégie de conformité, par des stratégies de configuration (de mot de passe, etc.) ou par la stratégie de conformité pour Windows.
Vous devez donc exclure ces postes où vous configurez l’Autologon de ces types de stratégies et éventuellement créer des stratégies dédiées qui ne font pas appel au CSP DeviceLock.
