Paramètres d'accès

Sur la page des paramètres d'accès, vous pouvez autoriser ou refuser l'accès à certains types de terminaux, ainsi qu'activer ou désactiver les notifications du système d'exploitation et les alertes de contrôle des terminaux.

Les paramètres d'accès vous permettent de limiter l'accès des utilisateurs aux ports et types de terminaux suivants :

  • Amovible (contrôle d'accès par type de terminal) : terminaux possédant une interface permettant de se connecter à un ordinateur (USB, FireWire, PCMCIA, IDE, SATA, SCSI, etc.) et reconnus par le système d'exploitation comme étant des périphériques de stockage amovibles (par exemple, clés USB, lecteurs de carte, lecteurs magnéto-optiques, etc.). Le contrôle des terminaux classifie tous les disques durs connectés via USB, FireWire et PCMCIA en tant que terminaux amovibles. Il classifie également certains disques durs (généralement SATA et SCSI) en tant que terminaux amovibles s'ils prennent en charge la fonction de branchement à chaud et que le système d'exploitation en cours d'exécution n'est pas installé sur eux.

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux terminaux amovibles, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout terminal amovible sur un ordinateur protégé. Les droits d'accès n'affectent pas les terminaux chiffrés avec BitLocker ou FileVault (uniquement avec le système de fichiers HFS+).

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • Amovible chiffré (contrôle d'accès par type de terminal) : terminaux amovibles chiffrés avec le chiffrement de lecteur BitLocker (sur Windows) ou FileVault (sur macOS).

    Sur macOS, seuls les lecteurs amovibles chiffrés lecteur utilisant le système de fichiers HFS+ (également nommé HFS Plus ou Mac OS Extended, ou encore HFS Extended) sont pris en charge. Les lecteurs amovibles chiffrés utilisant le système de fichiers APFS sont traités comme des lecteurs amovibles.

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux terminaux amovibles chiffrés, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout terminal amovible chiffré sur un ordinateur protégé. Les droits d'accès affectent uniquement les terminaux chiffrés avec BitLocker ou FileVault (uniquement avec le système de fichiers HFS+).

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • Imprimantes (contrôle d'accès par type de terminal) : imprimantes physiques avec une interface de connexion à un ordinateur, quelle qu'elle soit (USB, LPT, Bluetooth, etc.), ainsi que toutes les imprimantes auxquelles un ordinateur sur le réseau peut accéder.

    Vous pouvez autoriser ou refuser l'accès aux imprimantes afin de contrôler l'impression de documents sur n'importe quelle imprimante sur un ordinateur protégé.

    Lorsque vous définissez le paramètre d'accès aux imprimantes sur Refuser, les applications et processus qui accèdent aux imprimantes doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.

    Ce type de terminaux est pris en charge sur Windows uniquement.

  • Presse-papiers (contrôle d'accès par type de terminal) : presse-papiers Windows.

    Vous pouvez autoriser l'accès ou refuser l'accès au presse-papiers pour contrôler les opérations de copier-coller via le presse-papiers Windows sur un ordinateur protégé.

    Lorsque vous définissez le paramètre d'accès au presse-papiers sur Refuser, les applications et processus qui accèdent au presse-papiers doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.

    Ce type de terminaux est pris en charge sur Windows uniquement.

  • Capture d'écran (contrôle d'accès par type de terminal) : permet la capture d'écran de l'écran complet, de la fenêtre active ou d'une partie sélectionnée de l'écran.

    Vous pouvez autoriser ou refuser l'accès aux captures d'écran afin de contrôler la capture d'écran sur un ordinateur protégé.

    Lorsque vous définissez le paramètre d'accès aux captures d'écran sur Refuser, les applications et processus qui accèdent à la capture d'écran doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.

    Ce type de terminaux est pris en charge sur Windows uniquement.

  • Terminaux mobiles (contrôle d'accès par type de terminal) : terminaux (ex. : smartphones Android, etc.) qui communiquent avec un ordinateur via le protocole MTP (Media Transfer Protocol), avec n'importe quelle interface utilisée pour se connecter à un ordinateur (USB, IP, Bluetooth).

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux terminaux mobiles, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout terminal mobile sur un ordinateur protégé.

    Lorsque vous définissez le paramètre d'accès aux terminaux mobiles sur Lecture seule ou Refuser, les applications et processus qui accèdent aux terminaux mobiles doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.

    Ce type de terminaux est pris en charge sur Windows uniquement.

  • Bluetooth (contrôle d'accès par type de terminal) : terminaux Bluetooth internes ou externes disposant d'une interface de connexion à un ordinateur, quelle qu'elle soit (USB, PCMCIA, etc.). Ce paramètre contrôle l'utilisation des terminaux de ce type, plutôt que l'échange de données à l'aide de tels terminaux.

    Vous pouvez autoriser ou refuser l'accès au Bluetooth afin de contrôler le Bluetooth sur un ordinateur protégé.

    Sur macOS, les droits d'accès pour le Bluetooth n'affectent pas les terminaux Bluetooth HID. L'accès de ces terminaux est toujours autorisé pour éviter que les terminaux HID sans fil (souris et claviers) ne soient désactivés sur le matériel iMac et Mac Pro.

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • Lecteurs optiques (contrôle d'accès par type de terminal) : lecteurs CD/DVD/BD internes ou externes (y compris graveurs) disposant d'une interface de connexion à un ordinateur, quelle qu'elle soit (IDE, SATA, USB, FireWire, PCMCIA, etc.).

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux lecteurs optiques, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout lecteur optique sur un ordinateur protégé.

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • Disquettes (contrôle d'accès par type de terminal) : lecteurs de disquettes internes ou externes disposant d'une interface de connexion à un ordinateur, quelle qu'elle soit (IDE, USB, PCMCIA, etc.). Certains modèles de lecteurs de disquettes sont reconnus par le système d'exploitation comme des lecteurs amovibles. Dans ce cas, le module de contrôle des terminaux identifie également ces lecteurs comme étant des terminaux amovibles.

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux lecteurs de disquettes, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout lecteur de disquettes sur un ordinateur protégé.

    Ce type de terminaux est pris en charge sur Windows uniquement.

  • USB (contrôle d'accès par interface de terminal) : tout terminal connecté à un port USB, à l'exception des concentrateurs).

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux ports USB, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout port USB sur un ordinateur protégé.

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • FireWire (contrôle d'accès par interface de terminal) : tout terminal connecté à un port FireWire (IEEE 1394), à l'exception des concentrateurs).

    Vous pouvez autoriser l'accès complet ou l'accès en lecture seule aux ports FireWire, ou en refuser l'accès pour contrôler les opérations de copie de données vers et depuis tout port FireWire sur un ordinateur protégé.

    Ce type de terminaux est pris en charge à la fois sur Windows et macOS.

  • Terminaux redirigés (contrôle d'accès par interface de terminal) : lecteurs mappés (disques durs, lecteurs amovibles et lecteurs optiques), terminaux USB et presse-papiers redirigés vers des sessions d'application virtuelle ou de bureau virtuel.

    Le module de contrôle des terminaux reconnaît les terminaux redirigés via les protocoles à distance Microsoft RDP, Citrix ICA, VMware PCoIP et HTML5/WebSockets dans les environnements de virtualisation Microsoft RDS, Citrix XenDesktop, Citrix XenApp, Citrix XenServer et VMware Horizon hébergés sur des ordinateurs Windows protégés. Il peut également contrôler les opérations de copies de données entre le presse-papiers Windows du système d'exploitation invité exécuté sur VMware Workstation, VMware Player, Oracle VM VirtualBox ou Windows Virtual PC, et le presse-papiers du système d'exploitation hôte exécuté sur l'ordinateur Windows protégé.

    Ce type de terminaux est pris en charge sur Windows uniquement.

    Vous pouvez configurer l'accès aux terminaux redirigés comme suit :

    • Lecteurs mappés : autorisez l'accès complet ou l'accès en lecture seule, ou refusez l'accès afin de contrôler les opérations de copie de données vers et depuis tout disque dur, lecteur amovible ou lecteur optique redirigé vers la session hébergée sur un ordinateur protégé.
    • Presse-papiers entrant : autorisez ou refusez l'accès pour contrôler les opérations de copie de données via le presse-papiers vers la session hébergée sur un ordinateur protégé.
      Lorsque vous définissez le paramètre d'accès au presse-papiers entrant sur Refuser, les applications et processus qui accèdent au presse-papiers doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.
    • Presse-papiers sortant : autorisez ou refusez l'accès pour contrôler les opérations de copie de données via le presse-papiers depuis la session hébergée sur un ordinateur protégé.
      Lorsque vous définissez le paramètre d'accès au presse-papiers sortant sur Refuser, les applications et processus qui accèdent au presse-papiers doivent être redémarrés pour appliquer les paramètres d'accès nouvellement configurés. Pour vous assurer que les paramètres d'accès sont correctement appliqués, redémarrez les charges de travail protégées.
    • Ports USB : autorisez ou refusez l'accès pour contrôler les opérations de copie des données vers et depuis les terminaux connectés à n'importe quel port USB redirigé vers la session hébergée sur un ordinateur protégé.

Les paramètres de contrôle des terminaux affectent tous les utilisateurs de la même manière. Par exemple, si vous refusez l'accès à des terminaux amovibles, vous empêchez tout utilisateur de copier des données depuis et à partir de ces terminaux sur un ordinateur protégé. Il est possible d'autoriser l'accès à des terminaux USB particuliers en les excluant du contrôle d'accès (voir Liste d'autorisation des types de terminaux et Liste d'autorisation des terminaux USB).

Lorsque l'accès à un terminal est contrôlé à la fois par son type et par son interface, le refus de l'accès au niveau interface a priorité. Par exemple, si l'accès aux ports USB est refusé (interface de terminal), l'accès aux terminaux mobiles connectés à un port USB est refusé, que l'accès aux terminaux mobiles soit autorisé ou non (type de terminal). Pour autoriser l'accès à un tel terminal, vous devez autoriser à la fois son interface et son type.

Si le plan de protection utilisé sur macOS inclut des paramètres pour les types de terminaux qui sont uniquement pris en charge par Windows, alors ces paramètres sont ignorés pour macOS.

Lorsqu'un terminal amovible, un terminal amovible chiffré, une imprimante ou un terminal Bluetooth est connecté à un port USB, l'autorisation de l'accès à ce terminal outrepasse le refus d'accès défini au niveau de l'interface USB. Si vous autorisez un tel type de terminal, l'accès à ce terminal est autorisé, que l'accès au port USB soit refusé ou non.
Icône du lien vers les rubriques connexesVoir aussi