Configurer l’accès conditionnel dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cette section vous guide tout au long des étapes à suivre pour implémenter correctement l’accès conditionnel.

Avant de commencer

Avertissement

Il est important de noter que Microsoft Entra appareils inscrits ne sont pas pris en charge dans ce scénario. Seuls Intune appareils inscrits sont pris en charge.

Vous devez vous assurer que tous vos appareils sont inscrits dans Intune. Vous pouvez utiliser l’une des options suivantes pour inscrire des appareils dans Intune :

• Administration informatique : pour plus d’informations sur l’activation de l’inscription automatique, consultez Activer l’inscription automatique Windows.
• Utilisateur final : pour plus d’informations sur l’inscription de votre appareil Windows 10 et Windows 11 dans Intune, consultez Inscrire votre appareil Windows dans Intune.
• Alternative à l’utilisateur final : pour plus d’informations sur la jonction d’un domaine Microsoft Entra, consultez Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.

Vous devez effectuer certaines étapes dans le portail Microsoft Defender, le portail Intune et centre d’administration Microsoft Entra.

Il est important de noter les rôles requis pour accéder à ces portails et implémenter l’accès conditionnel :

• Microsoft Defender portail : vous devez vous connecter au portail avec un rôle approprié pour activer l’intégration. Consultez Options d’autorisation.
• Intune : vous devez vous connecter au portail avec des droits d’administrateur de sécurité avec des autorisations de gestion.
• centre d’administration Microsoft Entra : vous devez vous connecter en tant qu’administrateur de la sécurité ou administrateur de l’accès conditionnel.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Vous aurez besoin d’un environnement Microsoft Intune, avec Intune appareils Windows 10 et Windows 11 gérés et Microsoft Entra joints.

Procédez comme suit pour activer l’accès conditionnel :

• Étape 1 : Activer la connexion Microsoft Intune à partir de Microsoft Defender XDR
• Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune
• Étape 3 : Créer la stratégie de conformité dans Intune
• Étape 4 : Attribuer la stratégie
• Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra

Étape 1 : Activer la connexion Microsoft Intune

1. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités> générales >avancées>Microsoft Intune connexion.

2. Basculez le paramètre Microsoft Intune sur Activé.

3. Cliquez sur Enregistrer les préférences.

Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune

1. Connectez-vous au portail Intune

2. Sélectionnez Sécurité>du point de terminaison Microsoft Defender pour point de terminaison.

3. Définissez Connecter Windows 10.0.15063+ appareils sur Microsoft Defender Protection avancée contre les menaces sur Activé.

4. Cliquez sur Save (Enregistrer).

Étape 3 : Créer la stratégie de conformité dans Intune

1. Dans le Portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.

2. Sélectionnez Stratégies de conformitéde l’appareil>>Créer une stratégie.

3. Entrez un nom et une description.

4. Dans Plateforme, sélectionnez Windows 10 et versions ultérieures.

5. Dans les paramètres d’intégrité de l’appareil, définissez Exiger que l’appareil soit au niveau de menace de l’appareil ou sous celui de votre choix :

   • Sécurisé : ce niveau est le plus sûr. L’appareil ne peut pas avoir de menaces existantes et accéder toujours aux ressources de l’entreprise. Si des menaces sont détectées, l’appareil est évalué comme non conforme.
   • Faible : l’appareil est conforme seulement si les menaces détectées sont de niveau faible. Les appareils présentant des niveaux de menace moyens ou élevés ne sont pas conformes.
   • Moyen : l’appareil est conforme si les menaces détectées sont de niveau faible ou moyen. Si des menaces de niveau élevé sont détectées, l’appareil est considéré comme non conforme.
   • Élevé : ce niveau est le moins sécurisé et autorise tous les niveaux de menace. Ainsi, les appareils qui présentent des niveaux de menace élevés, moyens ou faibles sont considérés comme conformes.

6. Sélectionnez OK, puis Créer pour enregistrer vos modifications (et créer la stratégie).

Étape 4 : Attribuer la stratégie

1. Dans le Portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.

2. Sélectionnez Stratégies de conformité>> desappareils sélectionnez votre stratégie de conformité Microsoft Defender pour point de terminaison.

3. Sélectionnez Devoirs.

4. Incluez ou excluez vos groupes Microsoft Entra pour leur attribuer la stratégie.

5. Pour déployer la stratégie dans les groupes, sélectionnez Enregistrer. La conformité des appareils utilisateur ciblés par la stratégie est évaluée.

Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra

1. Dans le Portail Azure, ouvrez Microsoft Entra ID>Nouvelle stratégie d’accès> conditionnel.

2. Entrez un nom de stratégie, puis sélectionnez Utilisateurs et groupes. Utilisez les options Inclure et Exclure pour ajouter vos groupes à la stratégie, puis sélectionnez Terminé.

3. Sélectionnez Applications cloud, puis choisissez les applications à protéger. Par exemple, choisissez Sélectionner les applications, puis sélectionnez Office 365 SharePoint Online et Office 365 Exchange Online. Sélectionnez OK pour enregistrer vos modifications.

4. Sélectionnez Conditions>Applications clientes pour appliquer la stratégie aux applications et aux navigateurs. Par exemple, sélectionnez Oui, puis activez Navigateur et Applications mobiles et clients de bureau. Sélectionnez OK pour enregistrer vos modifications.

5. Sélectionnez Accorder pour appliquer l’accès conditionnel basé sur la conformité des appareils. Par exemple, sélectionnez Accorder l’accès>Exiger que l’appareil soit marqué comme conforme. Choisissez Sélectionner pour enregistrer vos changements.

6. Sélectionnez Activer la stratégie, puis Créer pour enregistrer vos changements.

Remarque

Vous pouvez utiliser l’application Microsoft Defender pour point de terminaison avec l’application cliente approuvée, la stratégie De protection des applications et les contrôles Appareil conforme (Exiger que l’appareil soit marqué comme conforme) dans Microsoft Entra stratégies d’accès conditionnel. Aucune exclusion n’est requise pour l’application Microsoft Defender pour point de terminaison lors de la configuration de l’accès conditionnel. Bien que Microsoft Defender pour point de terminaison sur Android & iOS (ID d’application - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) n’est pas une application approuvée, elle est en mesure de signaler la posture de sécurité de l’appareil dans les trois autorisations accordées.

Toutefois, Defender demande en interne l’étendue MSGraph/User.read et Intune étendue tunnel (dans le cas de scénarios Defender+Tunnel). Ces étendues doivent donc être exclues*. Pour exclure l’étendue MSGraph/User.read, n’importe quelle application cloud peut être exclue. Pour exclure l’étendue tunnel, vous devez exclure « Microsoft Tunnel Gateway ». Ces autorisations et exclusions activent le flux d’informations de conformité vers l’accès conditionnel.

L’application d’une stratégie d’accès conditionnel à Toutes les applications cloud peut bloquer par inadvertance l’accès des utilisateurs dans certains cas, c’est donc déconseillé. En savoir plus sur les stratégies d’accès conditionnel sur Cloud Apps

Pour plus d’informations, consultez Appliquer la conformité pour Microsoft Defender pour point de terminaison avec l’accès conditionnel dans Intune.

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.