Comment Microsoft gère le cas Recall en entreprise

Utilisateurs finaux, prière d'employer PowerShell pour gérer Recall.

C'est loin d'être la règle, mais il existe encore au moins un cas de figure dans lequel cette exigence peut se présenter. Il concerne les appareils qui exécutent :

• Une édition Entreprise ou Éducation de Windows
• Tout SKU premium, et qui disposent d'une clé de licence en volume ou sont joints à un domaine

Reflet de sa sensibilité, Recall est, sur ces appareils, encadré par un mille-feuilles de politiques d'administration et de consentements. Sa mise en fonction requiert effectivement :

• Côté admin, l'activation de la stratégie AllowRecallEnablement et la non-activation de la stratégie DisableAIDataAnalysis (laquelle interdit la sauvegarde des captures d'écran nécessaires à Recall)
  
  
• Côté utilisateur, l'acceptation explicite de cette même sauvegarde (soit à la première ouverture, soit par après dans les paramètres Windows), puis de l'usage même de Recall

Si AllowRecallEnablement n'est pas configuré, Recall n'est pas accessible. Même chose si la stratégie est réglée sur "désactivée" ; mais en plus, tous les contenus associés - notamment les snapshots réalisés précédemment - sont supprimés.

Si l'utilisateur final souhaite effectuer une telle suppression après qu'un admin a autorisé l'activation de Recall, il lui faut, pour le moment, passer par PowerShell.

De la navigation web aux bureaux distants, des trous dans la raquette

Microsoft vient d'amorcer la diffusion globale de la preview de Recall. Il fait de même pour une autre fonctionnalité "spéciale PC Copilot+ " : Click to Do. En l'état, elle est englobée dans le "contrôle temporaire des fonctionnalités de l'entreprise". Cela signifie que sur les appareils où les mises à jour sont gérées avec Windows Autopatch ou WSUS, elle est automatiquement désactivée jusqu'à la prochaine mise à jour annuelle de fonctionnalités. Ou jusqu'à son activation via la stratégie AllowTemporaryEnterpriseFeatureControl - laquelle enclenche toutes les features installées via le dernier update mensuel de qualité.

Diverses stratégies permettent un réglage plus fin de Recall, mais elles ne peuvent s'appliquer aux appareils sous Windows 11 Pro :

• SetDenyAppListForRecall
  Définition d'une liste d'applications exclues des captures d'écran. Elle peut comprendre des valeurs AUMID (ID de modèle utilisateur) et/ou des noms de fichiers exécutables. L'utilisateur final peut ajouter des éléments.
  
  
• SetDenyUriListForRecall
  Définition d'une liste d'URI exclus dans les navigateurs pris en charge (Edge, Firefox, Opera, Chrome et ceux basés sur Chromium en version 124 ou ultérieure).
  
  
• SetMaximumStorageDurationForRecallSnapshots
  Contrôle de la durée maximale de conservation des captures d'écran (30, 60, 90 ou 180 jours). À défaut, lorsque le quota de stockage alloué à Recall est atteint, les plus anciens snapshots sont supprimés.
  
  
• SetMaximumStorageSpaceForRecallSnapshots
  Six options : 10, 25, 50, 75, 100 ou 150 Go. À défaut d'une valeur, 25 Go sont alloués sur les systèmes à 256 Go de disque ; 75 Go sur ceux à 512 Go ; 150 Go sur ceux à 1 To ou plus.

Une fois installé, Click to Do est, au contraire de Recall, activé par défaut. Il peut être géré au niveau de l'appareil comme de l'utilisateur.

À l'heure actuelle, sur les appareils non gérés, il n'existe pas, dans Intune ou Entra, de stratégies d'accès conditionnel à Recall. Une limite à prendre en compte dans le cadre des politiques BYOD. Attention par ailleurs aux sessions de bureau distant : le client devra implémenter une protection contre les captures d'écran. Quant aux sites web, il ne sont filtrés que lorsqu'ils sont au premier plan. Des onglets ouverts mais non actifs peuvent donc se retrouver dans les snapshots.

Illustration © Microsoft