Déploiement Microsoft Intune et GPO
Ce guide installe SafePrompt automatiquement sur tous les postes Windows de votre organisation, sans intervention de l'utilisateur. Deux voies sont couvertes : Microsoft Intune (cloud, recommandé) et Active Directory GPO (annuaire on-premise, héritage).
Public visé : RSSI ou administrateur Windows qui supervise une flotte Chrome managée. L'objectif est un déploiement complet en moins d'une heure sur un groupe pilote.
Voie A — Microsoft Intune (recommandée)
Intune est le canal moderne : la configuration est centralisée dans le portail endpoint.microsoft.com et s'applique aux postes en moins de 15 minutes après l'assignation.
Étape 1 — Récupérer votre clé tenant_api_key
Connectez-vous à votre Dashboard SafePrompt et ouvrez la page Paramètres → Identifiants tenant. Notez les deux valeurs tenant_api_key et tenant_id : vous allez les coller dans le profil de configuration Intune à l'étape 3.
Ouvrir le Dashboard SafePrompt →
Étape 2 — Télécharger le profil de configuration Intune
Téléchargez le fichier JSON ci-dessous. Il décrit les trois clés de registre que Intune doit pousser sur chaque poste : ExtensionInstallForcelist (force-install), ExtensionSettings (autorisations) et 3rdparty.extensions.<EXTENSION_ID>.policy (vos identifiants tenant).
intune-chrome-policy.json— Profil Settings catalog Intune pour ChromeÉtape 3 — Importer le profil dans Intune
Ouvrir endpoint.microsoft.com
Connectez-vous au portail puis naviguez vers Devices → Configuration profiles → Create profile.Choisir la plateforme et le type de profil
Sélectionnez Windows 10 and later comme plateforme, puis Settings catalog comme type de profil. Cliquez sur Create.Nommer le profil
Saisissez un nom explicite : par exemple « SafePrompt — Chrome force-install (Pilote) ». Cliquez sur Next.Ajouter les paramètres Chrome
Dans l'onglet Configuration settings, cliquez sur Add settings et recherchez ExtensionInstallForcelist puis ExtensionSettings dans la catégorie Google Chrome. Activez-les.Coller le JSON et substituer les placeholders
Reprenez le contenu d'intune-chrome-policy.json dans les valeurs correspondantes du Settings catalog. Remplacez les trois placeholders : <EXTENSION_ID>, <TENANT_API_KEY>, <TENANT_UUID>.Assigner au groupe pilote et sauvegarder
Dans l'onglet Assignments, choisissez un groupe pilote restreint (10 à 20 utilisateurs). Cliquez sur Next, vérifiez le résumé puis Save.
Étape 4 — Vérification sur un poste Windows
Sur un poste membre du groupe pilote, ouvrez une session avec un compte de domaine. Forcez la synchronisation Intune via Paramètres → Comptes → Accès Professionnel → Sync. Au bout de 5 à 15 minutes, l'icône SafePrompt apparaît automatiquement dans la barre d'outils Chrome. Passez ensuite à la section Vérification commune ci-dessous pour confirmer la propagation des identifiants tenant.
Voie B — Active Directory GPO
Cette voie s'adresse aux environnements qui n'ont pas encore migré vers Intune. Le déploiement se fait via la console GPMC (Group Policy Management Console) et les fichiers ADMX/ADML officiels SafePrompt.
Étape 1 — Télécharger les fichiers GPO
Téléchargez les trois fichiers ci-dessous. Le ADMX décrit la stratégie ; l'ADML porte les libellés en-US affichés dans la console ; le .reg est un raccourci pour des tests rapides en laboratoire.
- safeprompt.admx— Template ADMX (stratégie SafePrompt)
- safeprompt.adml— Libellés en-US pour GPMC
- safeprompt-fallback.reg— Fichier registre fallback (laboratoire uniquement)
Étape 2 — Copier ADMX/ADML dans le PolicyDefinitions store
Depuis un poste administrateur, copiez safeprompt.admx dans le central store SYSVOL de votre domaine et le fichier safeprompt.adml dans le sous-dossier en-US correspondant. Ouvrez PowerShell en tant qu'administrateur et lancez la commande suivante (adaptez le chemin SYSVOL à votre domaine).
# Adapt %userdomain%.local to your Active Directory domain FQDN.
$sysvol = "\\${env:userdnsdomain}\SYSVOL\${env:userdnsdomain}\Policies\PolicyDefinitions"
Copy-Item -Path .\safeprompt.admx -Destination "$sysvol\safeprompt.admx" -Force
Copy-Item -Path .\safeprompt.adml -Destination "$sysvol\en-US\safeprompt.adml" -Force
Write-Host "SafePrompt ADMX/ADML deployed to the central store."Étape 3 — Créer et lier la GPO
Ouvrez gpmc.msc, créez une nouvelle GPO nommée « SafePrompt — Force-install (Pilote) » et liez-la à l'OU contenant les postes pilotes. Éditez la GPO : Computer Configuration → Policies → Administrative Templates → SafePrompt. Activez les deux stratégies « Force-install SafePrompt on Google Chrome » et « Configure SafePrompt tenant credentials » et saisissez vos valeurs tenant_api_key, tenant_id, et l'entrée force-install au format EXTENSION_ID;https://clients2.google.com/service/update2/crx.
Étape 4 — Option rapide : merger le .reg (lab uniquement)
Pour un test très rapide sur un poste isolé, vous pouvez double-cliquer sur safeprompt-fallback.reg après avoir remplacé les placeholders. Les clés sont écrites immédiatement dans HKLM, sans passer par la GPO.
Vérification commune
Que vous ayez choisi Intune ou GPO, la vérification finale est identique sur un poste Windows membre du périmètre.
Ouvrir chrome://policy
Lancez Google Chrome sur un poste cible puis tapez chrome://policy dans la barre d'URL.Recharger et inspecter
Cliquez sur Reload policies en haut à droite. Vérifiez la présence d'une entrée SafePrompt avec les champs tenant_api_key et tenant_id correctement renseignés.Confirmer la présence de l’extension
Ouvrez chrome://extensions et confirmez que l'extension SafePrompt apparaît avec la mention « Installée par votre administrateur ».Tester sur ChatGPT
Visitez https://chatgpt.com et tapez un texte contenant un faux numéro de SIRET pour valider que la détection fonctionne.
Besoin d'aide ?
L'équipe SafePrompt accompagne les déploiements enterprise. Décrivez votre environnement (Intune ou GPO, nombre de sièges, version de Chrome) et nous vous répondons sous 24h ouvrées.