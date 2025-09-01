I. Présentation

Quick Assist, intégré nativement à Windows, peut poser un risque de sécurité s'il est détourné par une personne malintentionnée. Découvrons comment le bloquer proprement grâce à une stratégie Microsoft Intune et au pare-feu Windows.

Pour rappel : Quick Assist (ou "Assistance Rapide") est une application fournie par Microsoft dans Windows 10 et Windows 11. Elle permet à un utilisateur de partager son écran et de donner le contrôle de son poste à un tiers via Internet. C'est un outil de support à distance pratique et directement intégré à Windows.

Cependant, dans un contexte d’entreprise, laisser Quick Assist actif peut représenter un risque :

Possibilité de prise en main à distance non contrôlée.

Contournement d’outils de support officiels déjà déployés (ex. TeamViewer, AnyDesk, Remote Help de Microsoft).

Etc...

Pour renforcer la sécurité des postes de travail, il est donc pertinent de bloquer Quick Assist, si vous ne l'utilisez pas. Les risques et les méthodes de blocage par stratégie de groupe ont été plus largement détaillé dans cet article :

Dans cet article, nous allons voir comment bloquer l'Assistance Rapide via Microsoft Intune en configurant une règle de pare-feu ciblant l’application.

II. Comprendre la logique de blocage

Pour bloquer Quick Assist avec Microsoft Intune, plusieurs pistes sont exploitables, notamment :

Créer un script PowerShell de détection et de remédiation pour supprimer automatiquement l'application dès qu'elle est détectée (avec une latence éventuelle).

pour supprimer automatiquement l'application dès qu'elle est détectée (avec une latence éventuelle). Créer une règle de pare-feu Windows Defender pour bloquer les flux réseau associés à l'application Assistance Rapide : plus efficace à mon sens, car un utilisateur lambda peut installer l'application Quick Assist depuis le Microsoft Store (sauf si ce dernier est bridé).

Actuellement, Quick Assist n’est pas un simple exécutable classique (comme quickassist.exe ), mais une application moderne distribuée via le Microsoft Store (UWP). Pour cibler une telle application dans le pare-feu Windows, il faut utiliser son package family name. Une information que nous pouvons obtenir via cette commande PowerShell :

Get-AppxPackage | Where-Object { $_.Name -like "*QuickAssist*" }

La propriété PackageFamilyName indique que le nom de Quick Assist est :

MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe

En créant une règle sortante dans le pare-feu Windows bloquant ce package, nous empêchons l’application de communiquer avec Internet, rendant ainsi impossible son utilisation. Prêt à effectuer cette configuration ? Lisez la suite de cet article.

III. Intune : règle de pare-feu pour bloquer Quick Assist

Pour bloquer l'Assistance Rapide sur un ensemble de postes de travail, vous pouvez déployer une règle de pare-feu par l'intermédiaire de Microsoft Intune. Bien entendu, les appareils doivent être gérés par l'intermédiaire de ce MDM. Voici les étapes à suivre.

Accédez au portail Intune au sein de la section suivante : Sécurité du point de terminaison > Pare-feu. Ici, créez une nouvelle stratégie avec le bouton "Créer Azure Policy". Vous pouvez cliquer sur ce lien pour y arriver directement.

Créez un nouveau profil pour "Windows" avec le type de profil "Règles de pare-feu Windows".

Nommez la stratégie.

Choisissez bien "Bloquer" comme action puis cliquez sur le lien "Modifier l'instance" pour paramétrer la règle.

Vous devez activer la règle sur tous les profils de pare-feu et tous les types d'interface (sélectionnez uniquement l'option ALL à chaque fois, et pas toutes les options).

En complément, il est important de :

Appliquer cette règle sur les flux sortants

Activer la règle

Activer l'option "Nom de famille du package" pour spécifier le nom suivant : MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe

Voici un aperçu :

La configuration finale attendue est celle-ci :

Poursuivez la création de la règle... Attribuez le profil aux groupes de périphériques souhaités.

Après application de la stratégie sur les appareils ciblés, Quick Assist sera bloqué sur les postes gérés par Intune. Nous allons le vérifier.

Tout d'abord, dans l'Observateur d'événements, nous pouvons constater que Windows Defender a bien appliqué cette nouvelle règle. Ce journal se situe ici : Journaux des applications et des services > Microsoft > Windows > Windows Firewall With Advanced Security > Pare-feu.

Vous pouvez aussi rechercher la règle avec PowerShell (elle n'apparaîtra pas dans l'interface graphique).

Get-NetFirewallRule -PolicyStore ActiveStore | Where-Object DisplayName -Like "*Quick Assist*"

Si vous cherchez à lancer l'Assistance Rapide, vous allez obtenir une erreur ! L'application est bien bloquée, car elle ne parvient pas à établir une connexion avec les serveurs de Microsoft.

V. Conclusion

Bloquer Quick Assist est une mesure simple, mais efficace pour renforcer la sécurité de votre parc Windows. En ciblant directement le package via une règle de pare-feu, vous neutralisez son fonctionnement, qu'elle soit installée ou non sur la machine Windows.