Dans de nombreux environnements d’entreprise, l’utilisation de comptes Microsoft personnels n’est pas souhaitée, en particulier sur des serveurs Windows TSE/RDS. En effet, la connexion au navigateur et la synchronisation des données Edge (favoris, mots de passe, historique, extensions…) via le cloud Microsoft peuvent poser plusieurs problèmes :
- Sécurité : fuite potentielle de données de l’entreprise vers des comptes externes non maîtrisés.
- Conformité : impossibilité de contrôler la localisation et la conservation des données synchronisées.
- Expérience utilisateur : risques de confusion entre profils personnels et professionnels.
La bonne pratique consiste donc à désactiver la connexion et la synchronisation Edge directement via la stratégie de groupe (GPO).
Mise en place de la GPO
- Ouvrir la console GPMC (Gestion des stratégies de groupe).
- Créer une nouvelle GPO, par exemple « Navigateurs – Verrouillage MS Sync ».
- Éditer la GPO et configurer les paramètres suivants dans la section Configuration utilisateur :
- Chemin : Configuration utilisateur → Modèles d’administration → Microsoft Edge
- Paramètre : Paramètre de connexion du navigateur
- Valeur : 0 – Désactiver la connexion au navigateur
- Paramètre : Désactiver la synchronisation des données à l’aide des services de synchronisation Microsoft
- Valeur : Activé
- Paramètre : Paramètre de connexion du navigateur
- Chemin : Configuration utilisateur → Modèles d’administration → Microsoft Edge
- Lier cette GPO à l’OU contenant vos serveurs TSE/RDS.
- Vérifier que le Loopback Processing est activé (mode « Fusionner » de préférence).
- Dans l’onglet Délégation, filtrer la sécurité de la GPO pour n’autoriser que le ou les groupes d’utilisateurs concernés (par ex. Utilisateurs_TSE).
Pourquoi appliquer ces paramètres en
Configuration utilisateur
et de façon granulaire ?
Microsoft propose ces stratégies à la fois en Configuration ordinateur et en Configuration utilisateur. Dans un scénario TSE, le réflexe pourrait être de passer par la partie « ordinateur » : cela bloquerait la synchro pour tous les utilisateurs se connectant sur les serveurs.
Mais cela pose deux limites majeures :
- Pas de finesse de ciblage : impossible d’autoriser certains groupes tout en bloquant d’autres.
- Rigidité : la règle s’applique de manière globale à la machine, sans tenir compte du contexte utilisateur.
En plaçant ces paramètres dans la Configuration utilisateur et en activant le loopback processing :
- Les stratégies utilisateur de la GPO appliquée à l’OU « Serveurs TSE » prennent le dessus au moment de l’ouverture de session.
- Vous pouvez restreindre l’application à un groupe précis (par ex. ISN) via le filtrage de sécurité.
- Le résultat est granulaire et contrôlé : seuls les utilisateurs du groupe, et uniquement lorsqu’ils se connectent sur les serveurs TSE, voient leur navigateur Edge verrouillé.
Résultat attendu
Avec ce paramétrage :
- Un utilisateur membre du groupe ISN → ne peut pas connecter Edge à un compte Microsoft ni activer la synchronisation, mais seulement lorsqu’il est sur vos serveurs TSE.
- Un utilisateur hors du groupe → conserve un fonctionnement normal, même sur les mêmes serveurs.
- Aucun impact sur les postes de travail classiques ou sur d’autres OU.
Conclusion
Bloquer la synchronisation Edge via GPO est une mesure simple mais efficace pour protéger vos environnements TSE et maîtriser l’usage de comptes personnels Microsoft.
En combinant loopback processing et filtrage par groupe, vous gagnez en souplesse et en sécurité : la politique ne s’applique que là où elle est nécessaire, sans perturber le reste de votre infrastructure.
👉 Chez DYB, nous accompagnons nos clients dans la mise en place de stratégies de sécurité adaptées, qu’il s’agisse de gestion de postes, de serveurs TSE ou de politiques de conformité plus globales.