Surface Go 4 / Surface Pro 9 : Mode kiosque sécurisé Windows 11 (Assigned Access, Edge, Intune)

Vous cherchez à verrouiller une Surface Go 4 ou Surface Pro 9 pour n’autoriser qu’une ou deux applications ? Ce guide pas‑à‑pas vous aide à choisir entre solutions tierces et fonctions natives de Windows 11 (Assigned Access, Edge Kiosk, Intune) et à sécuriser durablement le poste.

Surface Go 4 / Surface Pro 9 : mettre l’appareil en mode kiosque sécurisé

Vue d’ensemble de la question

Un utilisateur souhaitait transformer une tablette Surface (Go 4 ou Pro 9) en borne interactive, avec accès limité à une ou plusieurs applications. Il citait les utilitaires tiers SureLock et Windows Kiosk Software et s’interrogeait sur :

• leur compatibilité avec les appareils Surface ;
• l’existence d’une alternative « native » Microsoft ;
• les mesures de sécurité Windows capables de compléter ou remplacer ces outils.

Réponse et pistes de solution

Option	Fonctionnement	Avantages	Limites / précautions
Outils tiers : SureLock, Windows Kiosk Software	Applications indépendantes, compatibles Windows, à installer et configurer manuellement.	Interface graphique simple, nombreux réglages (liste blanche d’apps, contrôle matériel, etc.).	Non éditées par Microsoft ; support assuré par l’éditeur tiers ; coût de licence possible.
Fonctionnalités Windows intégrées	1. Accès attribué / Assigned Access (Paramètres > Comptes > Famille et autres utilisateurs > Configurer un accès attribué) : verrouille la session sur une application UWP ou un ensemble d’apps (Windows 11). 2. Mode kiosque Microsoft Edge (idéal pour borne web).	Aucun coût supplémentaire, support Microsoft, déploiement via Stratégies de groupe ou Intune.	Moins d’options fines qu’un logiciel spécialisé ; nécessite une app UWP/Store, une app Win32 approuvée ou Edge.
Sécurité système	— Microsoft Defender : antivirus/antimalware temps réel. — BitLocker : chiffrement du disque pour empêcher l’accès aux données en cas de vol.	Protection native, centralisable via Intune/MDM, sans frais supplémentaires.	N’ajoute pas de contrôle d’interface ; complète mais ne remplace pas le mode kiosque.

Recommandations rapides

1. Besoin simple (afficher une seule application ou un site web) : activez Accès attribué ou le mode Edge kiosque. C’est gratuit, maintenu par Microsoft et administrable à distance (Intune, GPO).
2. Contrôle très fin (désactivation de touches, du Panneau de configuration, capteurs, etc.) : envisagez SureLock ou Windows Kiosk Software après un test pilote.
3. Sécurité : ajoutez Defender et BitLocker dans tous les cas.
4. Déploiement à grande échelle : préparez une image Windows avec les réglages kiosque, puis utilisez Windows Autopilot ou Intune pour l’enrôlement automatique.
5. Support : Microsoft Community ne prend pas en charge les outils tiers. Pour ces produits, contactez le support de l’éditeur.

---

Procédures pas‑à‑pas (Surface Go 4 / Pro 9, Windows 11)

Pré‑requis matériels et système

• Surface Go 4 ou Surface Pro 9 à jour (pilotes & firmware via Windows Update).
• Windows 11 Pro minimum (Enterprise/Business recommandé pour gestion centralisée via Intune, Shell Launcher, etc.).
• Compte administrateur local (temporaire) pour la préparation.
• Connexion réseau stable (Wi‑Fi ou Ethernet via adaptateur USB‑C).
• Alimentation secteur pour éviter les coupures pendant la configuration.

Activer un kiosque mono‑application via l’interface Windows

Objectif : verrouiller la session sur une seule application UWP/Store ou sur Microsoft Edge.

1. Ouvrez Paramètres  >  Comptes  >  Famille et autres utilisateurs.
2. Dans Kiosque, cliquez Configurer un accès attribué  >  Commencer.
3. Créez un compte local dédié (ex. kiosk). L’assistant crée un utilisateur « limité ».
4. Choisissez l’application à exécuter en mode kiosque :
   • Microsoft Edge (borne web) : choisissez le mode (accès public, plein écran, affichage numérique), l’URL de démarrage et l’inactivité avant réinitialisation.
   • Application UWP/Store : sélectionnez l’app souhaitée. Installez‑la d’abord depuis Microsoft Store si besoin.
5. Validez, fermez la session administrateur et connectez‑vous avec l’utilisateur kiosk pour tester.

Conseils de test :

• Vérifiez qu’aucun raccourci système (Win, Alt+Tab, Ctrl+Alt+Suppr) n’expose d’options non souhaitées au public.
• Simulez une coupure réseau : la borne doit rester « sûre » et afficher des messages contrôlés.
• Mesurez l’inactivité avant réinitialisation (Edge) et l’auto‑relog après plantage.

Créer un kiosque Edge (borne web) avec options avancées

Objectif : borne web mono‑site ou multi‑onglets, réinitialisable après inactivité.

Deux approches selon votre organisation :

• Locale (poste à poste) : via Accès attribué et l’assistant Edge comme ci‑dessus.
• Centralisée (Intune/GPO) : appliquez des politiques de navigateur (démarrage en plein écran, restrictions de menus, effacement automatique des données, impression en mode kiosque, page d’accueil, blocage de paramètres).

Vous pouvez aussi démarrer Edge en ligne de commande (pour des tests) :

msedge.exe --kiosk https://votre-site --no-first-run --kiosk-printing

Bonnes pratiques : définissez une page d’accueil « statique », désactivez la sauvegarde de mots de passe, forcez InPrivate, purgez l’historique à la fermeture et bloquez l’accès aux réglages du navigateur.

Configurer un kiosque multi‑applications avec Microsoft Intune

Objectif : n’autoriser qu’un petit ensemble d’applications (UWP/Store et/ou Win32 approuvées) avec un menu de démarrage réduit.

1. Dans Intune, créez un profil de configuration pour Windows 10/11 (Modèles > Kiosque ou Restrictions de l’appareil).
2. Sélectionnez Multi‑app et ajoutez :
   • Liste Autoriser d’apps (Edge, application métier, visionneuse PDF, etc.).
   • Disposition du menu Démarrer minimal et barre des tâches épurée.
   • Paramètres de session (réinitialisation après inactivité, redémarrage automatique de l’app).
3. Assignez le profil à un groupe de périphériques (par ex. Surface‑Kiosk).
4. Optionnel : utilisez Autopilot (mode auto‑déployé) pour orchestrer OOBE, création du compte kiosque et l’inscription MDM sans intervention.

Astuce : si vous devez lancer une application Win32 en mode mono‑app et remplacer l’Explorateur en tant que shell, envisagez Shell Launcher (Windows Enterprise/IoT). Réservez‑le à des scénarios avancés et validez soigneusement l’expérience utilisateur.

Déploiement par paquet de provisionnement (Windows Configuration Designer)

Objectif : standardiser un paramétrage kiosque hors ligne et l’appliquer rapidement.

1. Créez un projet dans Windows Configuration Designer (WCD).
2. Renseignez la création du compte kiosque, l’application autorisée, le fond d’écran, le Wi‑Fi, etc.
3. Générez un fichier .ppkg et appliquez‑le sur chaque Surface (clé USB, SD, ou durant OOBE).

Le .ppkg peut coexister avec une gestion Intune, mais évitez les chevauchements de paramètres (source de conflits).

---

Durcissement de la sécurité (couches indispensables)

Mesure	Pourquoi	Où le régler
BitLocker (TPM)	Protège les données en cas de perte/vol de la tablette.	Paramètres > Confidentialité et sécurité > Chiffrement de l’appareil ou stratégies Intune.
Microsoft Defender + Tamper Protection	Détection/Blocage des menaces ; empêche la désactivation non autorisée.	Paramètres > Sécurité Windows et stratégies sécurité dans Intune.
Restrictions du compte kiosque	Compte local standard, mot de passe fort (ou connexion automatique contrôlée), pas d’accès admin.	Assistant Accès attribué, Intune, GPO.
Surface en charge et verrou physique	Évite l’extinction et le vol en environnement public.	Support avec fixation, câble Kensington compatible.
Verrouillage des ports & périphériques	Empêche copies sur USB, installation sauvage, accès aux réglages.	Intune (restrictions), GPO, UEFI (si requis).
Mises à jour contrôlées	Stabilité de l’expérience kiosque, pas de redémarrage intempestif.	Anneaux Windows Update for Business (Intune), planification des redémarrages.
Core isolation / Virtualization‑based Security	Renforce l’isolation mémoire et réduit la surface d’attaque.	Sécurité Windows > Isolation du noyau, politiques de sécurité.

Journalisation et diagnostic

Activez et surveillez les journaux dédiés aux sessions kiosque :

Observateur d’événements
> Applications & Services Logs
  > Microsoft
    > Windows
      > AssignedAccess

Conservez également les événements DeviceManagement‑Enterprise‑Diagnostics‑Provider (MDM) pour investiguer des échecs d’application de politique.

---

Exploitation, disponibilité et maintenance

Plan de mise à jour

• Mettez en place des anneaux de déploiement (pilote, pré‑prod, prod) pour Windows et Edge.
• Figez la version d’application métier en production et ne validez une mise à jour qu’après tests en environnement pilote.
• Programmez des fenêtres de redémarrage en dehors des horaires d’ouverture.

Surveillance et support

• Supervisez la disponibilité (connectivité, batterie, température) via votre outil de monitoring ou Endpoint analytics si disponible.
• Documentez une procédure de reprise : redémarrage forcé, ré‑appliquer le profil kiosque, re‑provisionner via Autopilot.
• Préparez un jeu de supports hors‑ligne : .ppkg, image de référence, clé USB de récupération.

Continuité d’activité en magasin/accueil

• Installez un onduleur (si borne alimentée via hub secteur), pour éviter l’extinction lors de micro‑coupures.
• Fixez un seuil d’inactivité Edge adapté (ex. 2 à 5 minutes) pour « nettoyer » la session entre deux usagers.
• Affichez un écran d’attente (home) clair afin d’éviter les confusions.

---

Scénarios concrets et recettes

Borne d’accueil pour un site web unique

Exigences : une URL publique, navigation en plein écran, réinitialisation automatique.

1. Accès attribué > Microsoft Edge > Mode accès public ou plein écran.
2. Définissez l’URL d’accueil, le délai d’inactivité, désactivez les éléments de menu non nécessaires.
3. Durcissez : BitLocker, Defender, blocage USB, verrouillage physique, nettoyage des données Edge à la fermeture.

Poste métier avec deux ou trois apps autorisées

Exigences : application interne, visionneuse PDF, navigateur sécurisé.

1. Intune > Profil Kiosque multi‑app : autorisez App métier, Edge, Visionneuse.
2. Menu Démarrer minimal + barre des tâches restreinte.
3. Mises à jour par anneaux + surveillance de l’intégrité poste.

Kiosque applicatif Win32 unique

Exigences : lancer un .exe dédié en mode plein écran.

• Option 1 : si l’app est gérable via multi‑app kiosque (Intune), l’ajouter à la liste autorisée et masquer le reste.
• Option 2 (avancé) : Shell Launcher (Windows Enterprise/IoT) pour remplacer l’Explorateur par votre exécutable. À réserver aux cas maîtrisés.

---

Bonnes pratiques d’expérience utilisateur

• Clavier/Touch : sur Surface, activez le clavier tactile automatique au focus des champs, grossissez les cibles tactiles, testez en orientation paysage et portrait (si votre support le permet).
• Alimentation : configurez la mise en veille sur « Jamais » en secteur et un écran de veille sobre pour éviter l’image retention.
• Accessibilité : validez narration, contraste, tailles de police et gestuelle simple.
• Récupérabilité : affichez un code/QR discret pour joindre le support en cas de panne.

---

Dépannage – erreurs fréquentes et correctifs

Symptôme	Cause probable	Correctif
L’utilisateur peut ouvrir des paramètres inattendus.	Profil kiosque incomplet, barre des tâches non filtrée.	Réduire le menu Démarrer et la barre des tâches ; vérifier la liste Autoriser uniquement.
Edge sort du plein écran après un message système.	Notifications autorisées.	Désactiver les notifications et Focus Assist, appliquer des politiques Edge.
Redémarrages pendant les heures d’ouverture.	Fenêtres de maintenance mal paramétrées.	Configurer anneaux WaaS, définir horaires actifs et délais de redémarrage.
Ports USB utilisés pour extraire des données.	Absence de restrictions périphériques.	Bloquer stockage amovible via Intune/GPO et déployer caches sécurisés côté app.
L’app Win32 ne lance pas en mono‑app.	Mode Assigned Access mono‑UWP par défaut.	Utiliser multi‑app kiosque (Intune) ou Shell Launcher (Enterprise/IoT) après validation.

---

FAQ

Ces utilitaires tiers fonctionnent‑ils bien sur Surface ?
Oui. Ils ciblent Windows, pas un modèle de PC. Sur Surface Go 4/Pro 9, leur bon fonctionnement dépend surtout de la version de Windows et des droits administrateur au déploiement. Testez toujours sur un échantillon représentatif.

Existe‑t‑il une alternative native ?
Oui : Accès attribué (mono‑app) et kiosque multi‑app via Intune. Pour un navigateur : Edge Kiosk. Pour un unique exécutable Win32 en tant que shell : Shell Launcher (édition Enterprise/IoT).

Quelles mesures de sécurité Windows ajouter ?
Toujours activer BitLocker et Microsoft Defender, verrouiller ports et périphériques, calibrer Windows Update, protéger le compte kiosque (pas d’admin), et journaliser AssignedAccess.

Peut‑on gérer des dizaines de bornes facilement ?
Oui, via Autopilot pour l’inscription automatique et Intune pour appliquer profils kiosque, Edge, restrictions, mises à jour, conformité et rapports.

Comment revenir à un poste « normal » ?
Connectez‑vous avec un compte administrateur (différent du compte kiosque) puis désactivez « Accès attribué » ou retirez le profil kiosque dans Intune. En dernier recours, utilisez un .ppkg de « dés‑provisionnement » ou une réinitialisation Windows en conservant les données.

---

Informations spécifiques Surface Go 4 / Surface Pro 9

• Performances : pour des bornes web ou UWP, Go 4 et Pro 9 conviennent très bien. Pour une app Win32 lourde, privilégiez Pro 9 avec configuration adéquate.
• Thermique : prévoyez une circulation d’air et évitez l’ensoleillement direct en vitrine.
• Autonomie : en kiosque, laissez l’alimentation branchée, désactivez la mise en veille sur secteur et surveillez la santé de la batterie.
• Accessoires : support VESA/antivol, housse renforcée, hub USB‑C alimenté si périphériques (imprimante, lecteur code‑barres).

---

Licences, mises à jour et audit

• Licence Windows : le mode kiosque fonctionne dès Windows 10/11 Pro. Pour une gestion centralisée et des fonctionnalités avancées, Windows Enterprise + Intune simplifie la vie.
• Restriction de mises à jour : mettez en place un anneau de déploiement différé pour éviter des changements inopinés.
• Audit & journalisation : exploitez les journaux AssignedAccess pour diagnostiquer les sessions kiosque (voir plus haut).

---

Clôture du fil

Faute de retour de l’auteur, la réponse a été considérée suffisante par le modérateur. Pour toute aide future, ouvrez un nouveau fil avec vos prérequis (app, version de Windows, nombre de bornes, méthode de gestion).

---

Checklist récapitulative

• Choix du mode : mono‑app (Accès attribué) ou multi‑app (Intune).
• Définition des apps autorisées et des besoins (plein écran, impression, InPrivate, etc.).
• Création du compte kiosk (standard) et test complet.
• Sécurisation : BitLocker, Defender, blocage ports, verrou physique, MAJ contrôlées.
• Surveillance : journaux AssignedAccess, santé appareil, support terrain.