GPO Windows 11 essentielles pour PME en 2026 : 15 réglages incontournables

Active Directory tient encore 80% des PME françaises en 2026. Voici les 15 GPO essentielles à déployer sur Windows 11 pour une PME — sans devenir admin AD à plein temps.

1. Sécurité de base (5 GPO obligatoires)

• BitLocker activation forcée : Computer Config > Policies > Admin Templates > Windows Components > BitLocker → "Require additional authentication at startup" + recovery key dans AD
• Windows Defender activation : forcer real-time protection + cloud protection + tamper protection
• Pare-feu Windows actif : tous profils (Domain, Private, Public)
• UAC sur "Always notify" : Computer Config > Windows Settings > Security Settings > Local Policies → niveau 4
• SMBv1 désactivé : Computer Config > Admin Templates > MS Security Guide → "SMB v1 client disabled"

2. Comptes et authentification (3 GPO)

• Politique mot de passe : Computer Config > Windows Settings > Security Settings > Account Policies → 14 caractères min, complexité activée, historique 24, max age 365j (recommandation NIST 2025 : pas de rotation forcée stupide)
• Account lockout : 5 tentatives échouées → verrouillage 30 min
• Désactiver compte Administrateur local par défaut + activer LAPS (Local Administrator Password Solution) : mot de passe admin local unique par poste, rotation auto

3. Edge / navigateur (2 GPO)

• Edge SmartScreen forcé : User Config > Admin Templates > Microsoft Edge → "Configure Microsoft Defender SmartScreen" Enabled
• Tracking prevention "Strict" par défaut + bloquer extensions non approuvées (allow-list)

4. Mises à jour (2 GPO)

• Windows Update for Business : déploiement décalé (quality 7j, feature 30j) pour PME — laisser tester par les Insiders d'abord
• Heures actives : 8h-19h pour éviter reboot intempestif pendant journée

5. UX / pro (3 GPO)

• OneDrive Known Folder Move : auto-sync Desktop/Documents/Pictures vers OneDrive (sauvegarde transparente)
• Désactiver Cortana + Copilot sur postes pro si non souhaités (RGPD : éviter envoi données vers MS)
• Bing search désactivé dans menu démarrer (perf + privacy)

6. Outils pour gérer GPO efficacement

• Microsoft Security Compliance Toolkit : baselines GPO Windows 11 prêtes (gratuit, à customiser)
• GPMC + AGPM (si licence MDOP) : versionning + workflow approbation GPO
• PolicyAnalyzer : compare 2 baselines GPO + détecte écarts
• LGPO.exe : import GPO offline (postes hors domaine)

7. Et si je passe à Intune ?

Intune (cloud MDM) remplace progressivement GPO pour beaucoup de PME M365. Migration possible avec :

• Group Policy analytics dans Intune (importe GPO existantes, calcule % migrable)
• Configuration Profiles + Settings Catalog (équivalent Intune des GPO)
• Coexistence possible : AD + GPO pour héritage, Intune pour nouveaux postes Cloud-only

Conclusion

15 GPO bien choisies couvrent 80% des besoins de durcissement Win 11 PME. Microsoft Security Compliance Toolkit accélère le démarrage. Pour aller plus loin (Intune cloud MDM), voir notre comparatif MDM PME : /comparatifs/mdm-pme. KOLOSALTech accompagne déploiement GPO + migration vers Intune pour PME 10-200 postes.