Empêcher Microsoft Teams (New) d’enregistrer les mots de passe sur un poste partagé (WAM/Modern Auth)

Sur les PC partagés, la nouvelle application Microsoft Teams (New) retient des jetons WAM et réouvre les sessions sans mot de passe. Voici des procédures concrètes, des scripts et des stratégies d’administration pour empêcher ce stockage local et protéger les comptes élèves/étudiants.

Sommaire

Vue d’ensemble : pourquoi Teams (New) « se souvient » des utilisateurs

Depuis la refonte « New Teams », l’application s’appuie sur l’authentification moderne (WAM/OneAuth) fournie par Windows et stocke des jetons dans le profil de l’utilisateur Windows. Même après Se déconnecter dans Teams, une « galerie » de comptes précédemment utilisés reste visible. Sur un poste en libre‑service, un simple clic peut alors reconnecter l’un de ces comptes sans redemander le mot de passe. Le risque est évident : accès non autorisé au compte de l’élève précédent.

Objectif : empêcher la persistance des identités et des jetons sur la machine. On y parvient via un nettoyage ciblé du cache/jetons, le durcissement des paramètres de Windows et d’Entra ID (Conditional Access), et—idéalement—l’adoption de modèles « postes partagés » (Shared PC) qui recréent un environnement vierge à chaque session.

Réponses & solutions proposées (synthèse)

Objectif	Mesures concrètes	Remarques utiles
A. Purger manuellement les jetons et le cache	1. Quitter Teams. 2. Supprimer le cache « New Teams » : `%userprofile%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams`. 3. Supprimer les dossiers d’identités Windows : `%LocalAppData%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy` `%LocalAppData%\Microsoft\OneAuth` `%LocalAppData%\Microsoft\TokenBroker` `%LocalAppData%\Microsoft\IdentityCache`. 4. Redémarrer le PC.	Supprimer / réinstaller Teams ne suffit pas : les jetons vivent hors du dossier de l’application.
B. Nettoyer le Gestionnaire d’informations d’identification	Panneau de configuration → Comptes d’utilisateurs > Gestionnaire d’identification > Informations d’identification Windows > Génériques : supprimer les entrées liées à MicrosoftTeams, aad ou Office.	Évite le SSO silencieux d’Office/Teams.
C. Retirer le compte AAD stocké dans Windows	Paramètres > Comptes > Accès professionnel ou scolaire (ou E‑mail & comptes) : sélectionner le compte et cliquer Supprimer / Déconnecter.	Sans ce lien, Teams ne peut plus récupérer de jeton WAM.
D. Réinitialiser l’application via les paramètres Windows	Paramètres > Applications > Applications installées > Microsoft Teams (New) > Options avancées > Réinitialiser.	Supprime le cache sans passer par l’Explorateur.
E. Alternatives pour postes partagés	Teams PWA / navigateur en session privée (aucun jeton local) ; ou classer l’appareil en Shared PC (Intune) pour effacer automatiquement les profils à la fermeture de session.	Idéal pour laboratoires ou salles de classe.
F. Durcir la politique d’authentification	a) Conditional Access : réduire la Sign‑in frequency et désactiver les Persistent browser sessions. b) GPO/Registre : `BlockWorkplaceJoin` pour empêcher la jonction automatique et la mise en cache WAM.	Force une authentification à chaque lancement.

Points d’attention supplémentaires

Depuis une mise à jour de 2024, la déconnexion exige à nouveau un mot de passe, mais la « galerie » des comptes reste visible (pas d’option graphique pour la vider). Sur PC partagé, un nettoyage automatisé demeure indispensable.
Toute solution scriptée doit être programmée à la fermeture de session Windows pour être réellement efficace en libre accès.
Sur des appareils non gérés, la méthode la plus sûre reste Teams Web (session privée) ou un profil Windows distinct par élève (sans droits d’admin).

Procédures détaillées

Purger manuellement les jetons et le cache

Fermez totalement Teams (icône zone de notification > clic droit > Quitter). Vérifiez dans le Gestionnaire des tâches que ms-teams ou Teams n’existe plus.
Supprimez le cache de l’application :
%userprofile%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams.
Supprimez les caches et identités Windows utilisés par WAM/OneAuth :
%LocalAppData%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
%LocalAppData%\Microsoft\OneAuth
%LocalAppData%\Microsoft\TokenBroker
%LocalAppData%\Microsoft\IdentityCache
Videz la corbeille et redémarrez l’ordinateur.

Important : ne supprimez pas le dossier Packages d’autres applications. Ne touchez pas aux dossiers système protégés. Si vous déployez cette procédure via script, testez-la d’abord sur une machine de recette.

Nettoyer le Gestionnaire d’informations d’identification

Ouvrez le Panneau de configuration > Comptes d’utilisateurs > Gestionnaire d’identification.
Dans Informations d’identification Windows > Génériques, supprimez les entrées contenant MicrosoftTeams, aad, Office ou login.microsoftonline.com.
Fermez la session Windows, puis reconnectez‑vous et relancez Teams : l’application doit demander un mot de passe.

Astuce : sur un poste en libre‑service, évitez d’ajouter des comptes professionnels dans E‑mail & comptes. Privilégiez la connexion à la demande dans le navigateur.

Retirer le compte AAD lié à Windows

Ouvrez Paramètres > Comptes > Accès professionnel ou scolaire (ou E‑mail & comptes).
Sélectionnez le compte scolaire/professionnel ajouté et cliquez Déconnecter / Supprimer.
Vérifiez avec Paramètres que plus aucun compte AAD n’est lié. Redémarrez.

Attention : ne confondez pas « déconnecter un compte utilisateur » et « quitter la jonction Azure AD de l’appareil ». Sur des terminaux gérés, laissez la jonction AAD de la machine (si nécessaire) mais évitez de lier des comptes utilisateurs persistants pour les sessions élève.

Réinitialiser Microsoft Teams (New) via Paramètres

Paramètres > Applications > Applications installées.
Choisissez Microsoft Teams (New) > Options avancées.
Cliquez Réinitialiser (puis Réparer si proposé). Redémarrez Teams.

Alternatives sûres pour postes partagés

Teams PWA / navigateur en session privée : aucune persistance hors du cache navigateur. Fermer toutes les fenêtres privées efface automatiquement les cookies et les jetons de session.
Mode « Shared PC » via Intune : à la fermeture de session, le profil utilisateur est supprimé (ou recyclé). Idéal pour les salles de classe, CDI et laboratoires.
Comptes Windows temporaires : un compte local standard par élève/classe, recréé chaque jour via script ou gestion centralisée.

Durcir l’authentification (Entra ID & GPO)

Conditional Access (Entra ID)

Sign‑in frequency : imposez une fréquence de reconnexion courte (ex. 1 heure ou « chaque fois ») pour Cloud apps => Microsoft Teams et Office. Les sessions prolongées disparaissent.
Persistent browser session : définissez « Jamais persistante ». Le navigateur ne conserve pas d’état connecté au‑delà de la session.
Exclure les comptes enseignants/administratifs si cela gêne leur usage. Appliquez‑le strictement aux groupes « élèves/étudiants » et « postes partagés ».

Note : ces réglages s’appliquent côté service. Ils ne remplacent pas le nettoyage local lorsque la « galerie de comptes » reste visible dans le client.

GPO / Registre Windows

Bloquer la jonction Workplace (WAM) : créez la valeur BlockWorkplaceJoin à 1 sous HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin.
Stratégies utilisateur > Scripts (Ouverture/Fermeture de session) : ajoutez un script de purge ciblée (voir ci‑dessous).
Effacement de profils : GPO « Supprimer les profils utilisateurs plus anciens que X jours ». Sur poste kiosque, X = 1 (ou 0) est pertinent.

Automatiser le nettoyage à la fermeture de session

Sur un poste partagé, une procédure manuelle n’est jamais fiable. Le mieux : automatiser à chaque logoff. Voici trois méthodes robustes.

Script PowerShell de purge (à exécuter au logoff)

Ce script arrête Teams (New) et supprime les caches et jetons WAM les plus courants au niveau utilisateur. Déployez‑le en script de fermeture de session (GPO) ou via un moteur d’automatisation.

# Purge Teams (New) + caches d'identité WAM/OneAuth
# À exécuter en contexte utilisateur (logoff) - testez avant déploiement de masse

# 1) Tuer Teams (New) s'il tourne encore

Get-Process -Name "ms-teams","teams" -ErrorAction SilentlyContinue | Stop-Process -Force -ErrorAction SilentlyContinue

# 2) Cibles à supprimer (profils utilisateur)

\$paths = @(
"\$env\:LOCALAPPDATA\Packages\MSTeams\_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams",
"\$env\:LOCALAPPDATA\Packages\Microsoft.AAD.BrokerPlugin\_cw5n1h2txyewy",
"\$env\:LOCALAPPDATA\Microsoft\OneAuth",
"\$env\:LOCALAPPDATA\Microsoft\TokenBroker",
"\$env\:LOCALAPPDATA\Microsoft\IdentityCache",
"\$env\:LOCALAPPDATA\Packages\MSTeams\_8wekyb3d8bbwe\LocalCache\Microsoft\WebView2" # données WebView2 associées
)

foreach (\$p in \$paths) {
try {
if (Test-Path \$p) { Remove-Item -LiteralPath \$p -Recurse -Force -ErrorAction Stop }
} catch {
Write-Output "Info: impossible de supprimer \$p : \$($\_.Exception.Message)"
}
}

# 3) Facultatif : vider %TEMP%

try {
Get-ChildItem -Path "\$env\:TEMP\*" -Force -ErrorAction SilentlyContinue | Remove-Item -Recurse -Force -ErrorAction SilentlyContinue
} catch {}

# 4) Journaliser pour audit local

\$logDir = "\$env\:LOCALAPPDATA\TeamsCleanup"
New-Item -ItemType Directory -Force -Path \$logDir | Out-Null
"\[\$(Get-Date -Format 'yyyy-MM-dd HH\:mm\:ss')] Purge Teams/WAM terminée pour \$env\:USERNAME" | Out-File -FilePath (Join-Path \$logDir "cleanup.log") -Append -Encoding UTF8

Déploiement GPO : Configuration utilisateur > Paramètres Windows > Scripts (Fermeture de session) > Ajouter > sélectionnez un .ps1. Si besoin, autorisez l’exécution (Set-ExecutionPolicy en Bypass via GPO préférences ou exécutez via powershell.exe -ExecutionPolicy Bypass -File ...).

Intune : « Proactive remediation »

Créez une paire Détection/Remédiation :

Détection : renvoie 1 si au moins un des dossiers cibles existe.
Remédiation : script PowerShell ci‑dessus. Planifiez l’exécution à la fermeture de session (via tâche locale) ou plusieurs fois par jour.

Avantage : pilotage par groupes (élèves, salles informatiques) et rapports centralisés.

Poste « Shared PC » (Intune)

Activez les paramètres « Shared device » pour qu’à la fermeture de session, les profils utilisateurs soient supprimés (ou « recyclés »). Combinez avec un compte invité éphémère et un délai d’inactivité court. C’est la solution la plus simple à maintenir à long terme.

Scénarios d’implémentation recommandés

Établissement non géré (pas d’Intune/GPO)

Imposer Teams Web en navigation privée (Edge, Chrome) pour les élèves.
Quand l’application Teams (New) est nécessaire : appliquer la procédure manuelle A–D après chaque usage et redémarrer la machine en fin de journée.
Créer un compte Windows standard Élève et supprimer régulièrement le profil (netplwiz ou Paramètres > Comptes > Famille et autres utilisateurs).

Laboratoire / CDI sous GPO (AD DS)

GPO Scripts de fermeture de session : script PowerShell de purge.
GPO Profiles : suppression des profils > X jours (X=1 recommandé).
GPO Workplace Join : BlockWorkplaceJoin=1.
Bloquer l’ajout de comptes dans E‑mail & comptes via stratégies.

Parc géré Intune (Entra ID)

Shared PC pour les zones en libre accès.
Proactive remediation + filtre « postes partagés ».
Conditional Access : Sign‑in frequency courte + pas de sessions persistantes.
Optionnel : imposer Teams PWA pour les élèves (WebApp gérée) plutôt que le client de bureau.

Vérifications après mise en place

Au redémarrage, lancez Teams (New) : l’écran de connexion doit exiger l’adresse e‑mail, puis l’authentification complète. Si des comptes restent visibles sans mot de passe, la purge n’est pas complète.
Gestionnaire d’identification : aucune entrée Teams/AAD dans Windows > Génériques.
Paramètres > Accès professionnel ou scolaire : aucun compte élève connecté en permanence sur un PC partagé.
Dossiers WAM/OneAuth : inexistants ou recréés à neuf après connexion d’un nouvel utilisateur.

FAQ (problèmes fréquents)

« J’ai réinstallé Teams, mais il se reconnecte quand même automatiquement. »
C’est attendu : les jetons WAM/OneAuth sont stockés en dehors du dossier de l’application. Il faut purger les dossiers d’identités et le cache (sections A–D) ou basculer en modèle « Shared PC ».

« Peut‑on désactiver WAM dans Teams (New) comme dans l’ancien client ? »
Le client New Teams repose nativement sur WAM. Les « bypass » qui existaient côté classique ne sont pas supportés. La bonne approche est la suppression des jetons + Shared PC + Conditional Access.

« Effacer ces dossiers va‑t‑il déconnecter Office/Outlook ? »
Oui, potentiellement. Les jetons d’Office s’appuient sur les mêmes composants. C’est d’ailleurs l’effet recherché sur un poste partagé.

« Et sur macOS ? »
Les caches sont ailleurs (~/Library/Group Containers/UBF8T346G9.com.microsoft.teams et ~/Library/Containers/com.microsoft.teams2). La logique est identique : fermer l’app, supprimer caches/identités, puis relancer. Privilégiez également Teams Web sur Mac en libre service.

« Et sur iPad partagé ? »
Misez sur Shared iPad (Intune) ou sur l’effacement du Keychain local entre les sessions. Les comptes ne doivent pas rester persistants sur un appareil multi‑utilisateurs.

Bonnes pratiques, sécurité et conformité

Principe du moindre privilège : interdire les droits d’admin aux comptes élèves. Un élève ne doit pas pouvoir installer des logiciels ni modifier des stratégies.
Éphémérisation : plus un profil est éphémère, moins il laisse de traces (Shared PC, profils temporaires, PWA privée).
Double barrière : nettoyage local et politiques cloud (CA). Les deux se complètent.
Journalisation : tenez un journal local des purges (ex. script ci‑dessus) et surveillez les connexions dans Entra ID. Repérez toute connexion « silencieuse » anormale.
Communication : informez enseignants/élèves qu’un redémarrage est normal après usage sur un poste partagé.

Modèles prêts à l’emploi

Commande Registre pour bloquer Workplace Join (GPO ou script admin)

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin" /v BlockWorkplaceJoin /t REG_DWORD /d 1 /f

Appliquez puis redémarrez. Testez l’accès à Accès professionnel ou scolaire : l’ajout de comptes doit être limité/bloqué selon vos autres politiques.

Raccourci « purge rapide » pour un surveillant

Créez un fichier Purge-TeamsWAM.ps1 avec le script PowerShell et placez un raccourci sur le Bureau des surveillants/enseignants. Demandez un double‑clic avant de fermer la salle.

Edge/Chrome en mode privé forcé (si Teams Web)

Activez les stratégies qui imposent le mode invité/privé et empêchent la connexion au profil du navigateur.
Configurez un raccourci qui lance l’URL Teams en --incognito (Chrome) ou --inprivate (Edge).

Check‑list déploiement (résumé)

✅ Script de purge au logoff déployé et testé.
✅ GPO BlockWorkplaceJoin (ou équivalent) activée sur les OU des postes partagés.
✅ Conditional Access : Sign‑in frequency courte + aucune session persistante pour les groupes élèves.
✅ Option préférée : Teams Web en navigation privée, ou appareils classés Shared PC.
✅ Processus opérationnel : redémarrage quotidien, vérifications hebdomadaires (audit local & Entra ID).

Informations complémentaires utiles

Réduction radicale : si vous désinstallez le client et vous limitez à Teams Web, aucun jeton n’est conservé hors du cache du navigateur ; un simple effacement des cookies suffit.
macOS : caches sous ~/Library/Group Containers/UBF8T346G9.com.microsoft.teams et ~/Library/Containers/com.microsoft.teams2. Procédez comme sous Windows : fermer l’app, supprimer, redémarrer.
iOS/iPadOS partagés : l’effacement passe par des profils MDM (Intune) en Shared iPad mode ou par la suppression du Keychain local.

Conclusion

Empêcher la nouvelle application Microsoft Teams de « se souvenir » des comptes sur un poste partagé exige de combiner purge locale (cache Teams + dossiers WAM/OneAuth), stratégies Windows (GPO/Registre) et politiques cloud (Conditional Access). Dans les environnements scolaires et universitaires, la voie la plus robuste reste le modèle Shared PC ou l’usage de Teams Web en mode privé. En appliquant les sections A–F ou en automatisant via logoff/Intune, vous éliminez durablement les identités persistantes et les réouvertures de session sans mot de passe.