La gestion des périphériques de stockage amovibles est souvent un point important dans la stratégie de sécurité d’une entreprise. Limiter l’écriture sur les clés USB permet d’éviter la fuite ou la corruption de données, tout en laissant la possibilité de lire des fichiers provenant de sources maîtrisée. Intune offre plusieurs méthodes pour appliquer cette restriction, principalement via les politiques de configuration (Device Configuration) ou via les paramètres de sécurité (Endpoint Security / Attack Surface Reduction).
Dans cet article, on va voir comment configurer la lecture seule sur les clés USB pour les postes Windows 10/11 gérés avec Intune :
- Créer un profil de configuration de type « Setting Catalog »
- Rechercher le paramètre « Removable Disk Deny Write Access » puis le basculer à Enabled
- Déployer ce profil de configuration selon vos bonnes pratique en vigueur.
- Quand le profil sera appliqué sur le poste de l’utilisateur et que celui-ci voudra copier un fichier sur une clé USB, il aura un message d’erreur lui indiquant que c’est non autorisé
Certains environnements veulent limiter les USB inconnus. On peut via un profil :
- limiter par ID matériel
- limiter par classe de périphériques
Mais pour une simple lecture seule globale, tu n’as pas besoin d’aller plus loin.
Une fois configurée, cette stratégie renforce significativement la sécurité tout en laissant une flexibilité minimale aux utilisateurs.