{"id":1298,"date":"2025-09-26T15:59:42","date_gmt":"2025-09-26T13:59:42","guid":{"rendered":"https:\/\/dyb.fr\/?p=1298"},"modified":"2025-09-26T15:59:42","modified_gmt":"2025-09-26T13:59:42","slug":"comment-verrouiller-la-synchronisation-edge-vers-microsoft-via-gpo","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/comment-verrouiller-la-synchronisation-edge-vers-microsoft-via-gpo\/","title":{"rendered":"Comment verrouiller la synchronisation Edge vers Microsoft via GPO"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Dans de nombreux environnements d\u2019entreprise, l\u2019utilisation de comptes Microsoft personnels n\u2019est pas souhait\u00e9e, en particulier sur des <strong>serveurs Windows TSE\/RDS<\/strong>. En effet, la connexion au navigateur et la synchronisation des donn\u00e9es Edge (favoris, mots de passe, historique, extensions\u2026) via le cloud Microsoft peuvent poser plusieurs probl\u00e8mes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S\u00e9curit\u00e9<\/strong> : fuite potentielle de donn\u00e9es de l\u2019entreprise vers des comptes externes non ma\u00eetris\u00e9s.<\/li>\n\n\n\n<li><strong>Conformit\u00e9<\/strong> : impossibilit\u00e9 de contr\u00f4ler la localisation et la conservation des donn\u00e9es synchronis\u00e9es.<\/li>\n\n\n\n<li><strong>Exp\u00e9rience utilisateur<\/strong> : risques de confusion entre profils personnels et professionnels.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La bonne pratique consiste donc \u00e0 <strong>d\u00e9sactiver la connexion et la synchronisation Edge<\/strong> directement via la <strong>strat\u00e9gie de groupe (GPO)<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Mise en place de la GPO<\/strong><\/h2>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Ouvrir la console GPMC<\/strong> (Gestion des strat\u00e9gies de groupe).<\/li>\n\n\n\n<li>Cr\u00e9er une nouvelle GPO, par exemple <strong>\u00ab Navigateurs \u2013 Verrouillage MS Sync \u00bb<\/strong>.<\/li>\n\n\n\n<li>\u00c9diter la GPO et configurer les param\u00e8tres suivants dans la section <strong>Configuration utilisateur<\/strong> :\n<ul class=\"wp-block-list\">\n<li><strong>Chemin :<\/strong> Configuration utilisateur \u2192 Mod\u00e8les d\u2019administration \u2192 Microsoft Edge\n<ul class=\"wp-block-list\">\n<li><strong>Param\u00e8tre :<\/strong> <em>Param\u00e8tre de connexion du navigateur<\/em>\n<ul class=\"wp-block-list\">\n<li><strong>Valeur :<\/strong> 0 \u2013 D\u00e9sactiver la connexion au navigateur<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Param\u00e8tre :<\/strong> <em>D\u00e9sactiver la synchronisation des donn\u00e9es \u00e0 l\u2019aide des services de synchronisation Microsoft<\/em>\n<ul class=\"wp-block-list\">\n<li><strong>Valeur :<\/strong> Activ\u00e9<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Lier cette GPO \u00e0 l\u2019<strong>OU contenant vos serveurs TSE\/RDS<\/strong>.<\/li>\n\n\n\n<li>V\u00e9rifier que le <strong>Loopback Processing<\/strong> est activ\u00e9 (mode \u00ab Fusionner \u00bb de pr\u00e9f\u00e9rence).<\/li>\n\n\n\n<li>Dans l\u2019onglet <strong>D\u00e9l\u00e9gation<\/strong>, filtrer la s\u00e9curit\u00e9 de la GPO pour n\u2019autoriser que le ou les groupes d\u2019utilisateurs concern\u00e9s (par ex. Utilisateurs_TSE).<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi appliquer ces param\u00e8tres en&nbsp;<\/strong><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Configuration utilisateur<\/strong><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>&nbsp;et de fa\u00e7on granulaire ?<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft propose ces strat\u00e9gies \u00e0 la fois en <strong>Configuration ordinateur<\/strong> et en <strong>Configuration utilisateur<\/strong>. Dans un sc\u00e9nario TSE, le r\u00e9flexe pourrait \u00eatre de passer par la partie \u00ab ordinateur \u00bb : cela bloquerait la synchro pour <em>tous<\/em> les utilisateurs se connectant sur les serveurs.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mais cela pose deux limites majeures :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pas de finesse de ciblage<\/strong> : impossible d\u2019autoriser certains groupes tout en bloquant d\u2019autres.<\/li>\n\n\n\n<li><strong>Rigidit\u00e9<\/strong> : la r\u00e8gle s\u2019applique de mani\u00e8re globale \u00e0 la machine, sans tenir compte du contexte utilisateur.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">En pla\u00e7ant ces param\u00e8tres dans la <strong>Configuration utilisateur<\/strong> et en activant le <strong>loopback processing<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les strat\u00e9gies utilisateur de la GPO appliqu\u00e9e \u00e0 l\u2019OU \u00ab Serveurs TSE \u00bb prennent le dessus au moment de l\u2019ouverture de session.<\/li>\n\n\n\n<li>Vous pouvez restreindre l\u2019application \u00e0 un groupe pr\u00e9cis (par ex. ISN) via le filtrage de s\u00e9curit\u00e9.<\/li>\n\n\n\n<li>Le r\u00e9sultat est <strong>granulaire et contr\u00f4l\u00e9<\/strong> : seuls les utilisateurs du groupe, et uniquement lorsqu\u2019ils se connectent sur les serveurs TSE, voient leur navigateur Edge verrouill\u00e9.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>R\u00e9sultat attendu<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Avec ce param\u00e9trage :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un utilisateur membre du groupe ISN \u2192 ne peut pas connecter Edge \u00e0 un compte Microsoft ni activer la synchronisation, mais seulement lorsqu\u2019il est sur vos serveurs TSE.<\/li>\n\n\n\n<li>Un utilisateur hors du groupe \u2192 conserve un fonctionnement normal, m\u00eame sur les m\u00eames serveurs.<\/li>\n\n\n\n<li>Aucun impact sur les postes de travail classiques ou sur d\u2019autres OU.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusion<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bloquer la synchronisation Edge via GPO est une mesure simple mais efficace pour prot\u00e9ger vos environnements TSE et ma\u00eetriser l\u2019usage de comptes personnels Microsoft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En combinant <strong>loopback processing<\/strong> et <strong>filtrage par groupe<\/strong>, vous gagnez en <strong>souplesse<\/strong> et en <strong>s\u00e9curit\u00e9<\/strong> : la politique ne s\u2019applique que l\u00e0 o\u00f9 elle est n\u00e9cessaire, sans perturber le reste de votre infrastructure.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\">\ud83d\udc49 Chez <strong>DYB<\/strong>, nous accompagnons nos clients dans la mise en place de strat\u00e9gies de s\u00e9curit\u00e9 adapt\u00e9es, qu\u2019il s\u2019agisse de gestion de postes, de serveurs TSE ou de politiques de conformit\u00e9 plus globales.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dans de nombreux environnements d\u2019entreprise, l\u2019utilisation de comptes Microsoft personnels n\u2019est pas souhait\u00e9e, en particulier sur des serveurs Windows TSE\/RDS. En effet, la connexion au navigateur et la synchronisation des donn\u00e9es Edge (favoris, mots de passe, historique, extensions\u2026) via le cloud Microsoft peuvent poser plusieurs probl\u00e8mes : La bonne pratique consiste donc \u00e0 d\u00e9sactiver la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1299,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26,22],"tags":[21,48,28],"class_list":["post-1298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-adminsys","category-cybersecurite","tag-cybersecurite","tag-gpo","tag-windows"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1298"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1298\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1299"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}