Partage via


Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison avec Microsoft Intune

S’applique à :

Si vous utilisez Intune pour gérer les paramètres de Defender pour point de terminaison, vous pouvez l’utiliser pour déployer et gérer les fonctionnalités de contrôle des appareils. Les différents aspects du contrôle d’appareil sont gérés différemment dans Intune, comme décrit dans les sections suivantes.

Configurer et gérer le contrôle des appareils dans Intune

  1. Accédez au Centre d’administration Intune et connectez-vous.

  2. Accédez à Sécurité du point de terminaison>Réduction de la surface d’attaque.

  3. Sous Stratégies de réduction de la surface d’attaque, sélectionnez une stratégie existante ou sélectionnez + Créer une stratégie pour configurer une nouvelle stratégie, à l’aide des paramètres suivants :

    • Dans la liste Plateforme , sélectionnez Windows 10, Windows 11 et Windows Server. (Le contrôle d’appareil n’est actuellement pas pris en charge sur Windows Server, même si vous sélectionnez ce profil pour les stratégies de contrôle d’appareil.)
    • Dans la liste Profil , sélectionnez Contrôle d’appareil.
  4. Sous l’onglet Informations de base , spécifiez un nom et une description pour votre stratégie.

  5. Sous l’onglet Paramètres de configuration , vous voyez une liste de paramètres. Vous n’avez pas besoin de configurer tous ces paramètres à la fois. Envisagez de commencer par Contrôle d’appareil.

    Capture d’écran de l’interface utilisateur Intune pour les stratégies de contrôle d’appareil.

  6. Après avoir configuré vos paramètres, passez à l’onglet Balises d’étendue , où vous pouvez spécifier des balises d’étendue pour la stratégie.

  7. Sous l’onglet Affectations , spécifiez des groupes d’utilisateurs ou d’appareils pour recevoir votre stratégie. Pour plus d’informations, consultez Attribuer des stratégies dans Intune.

  8. Sous l’onglet Vérifier + créer , passez en revue vos paramètres et apportez les modifications nécessaires.

  9. Lorsque vous êtes prêt, sélectionnez Créer pour créer votre stratégie de contrôle d’appareil.

Profils de contrôle d’appareil

Dans Intune, chaque ligne représente une stratégie de contrôle d’appareil. L’ID inclus est le paramètre réutilisable auquel la stratégie s’applique. L’ID exclu est le paramètre réutilisable qui est exclu de la stratégie. L’entrée de la stratégie contient les autorisations autorisées et le comportement pour le contrôle d’appareil qui entre en vigueur lorsque la stratégie s’applique.

Capture d’écran montrant la page sur laquelle vous pouvez configurer les paramètres de la fonctionnalité Contrôle d’appareil.

Pour plus d’informations sur l’ajout des groupes réutilisables de paramètres inclus dans la ligne de chaque stratégie de contrôle d’appareil, consultez la section Ajouter des groupes réutilisables à un profil de contrôle d’appareil dans Utiliser des groupes de paramètres réutilisables avec des stratégies Intune.

Les stratégies peuvent être ajoutées et supprimées à l’aide des + icônes et . Le nom de la stratégie apparaît dans l’avertissement pour les utilisateurs, ainsi que dans les rapports et la chasse avancés.

Vous pouvez ajouter des stratégies d’audit, et vous pouvez ajouter des stratégies Autoriser/Refuser. Il est recommandé d’ajouter toujours une stratégie Autoriser et/ou Refuser lors de l’ajout d’une stratégie d’audit afin d’éviter les résultats inattendus.

Importante

Si vous configurez uniquement des stratégies d’audit, les autorisations sont héritées du paramètre d’application par défaut.

Remarque

  • L’ordre dans lequel les stratégies sont répertoriées dans l’interface utilisateur n’est pas conservé pour l’application des stratégies. La meilleure pratique consiste à utiliser des stratégies Autoriser/Refuser. Vérifiez que l’option Autoriser/Refuser les stratégies ne se croise pas en ajoutant explicitement des appareils à exclure. À l’aide de l’interface graphique d’Intune, vous ne pouvez pas modifier l’application par défaut. Si vous remplacez l’application Denypar défaut par et que vous créez une Allow stratégie à appliquer à des appareils spécifiques, tous les appareils sont bloqués, à l’exception des appareils définis dans la Allow stratégie.

Définition des paramètres avec OMA-URI

Importante

L’utilisation d’OMA-URI Intune pour configurer le contrôle d’appareil nécessite que la charge de travail Configuration de l’appareil soit gérée par Intune, si l’appareil est cogéré avec Configuration Manager. Pour plus d’informations, consultez Comment basculer des charges de travail Configuration Manager vers Intune.

Dans le tableau suivant, identifiez le paramètre que vous souhaitez configurer, puis utilisez les informations contenues dans les colonnes OMA-URI et le type de données & valeurs. Les paramètres sont répertoriés par ordre alphabétique.

Setting OMA-URI, type de données & valeurs
Application par défaut du contrôle d’appareil
L’application par défaut établit les décisions prises lors des vérifications d’accès du contrôle d’appareil quand aucune des règles de stratégie ne correspond
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Entier:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Types d’appareils
Types d’appareils, identifiés par leurs ID principaux, avec la protection du contrôle d’appareil activée
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Corde:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Activer le contrôle d’appareil
Activer ou désactiver le contrôle de l’appareil sur l’appareil
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Entier:
- Désactiver = 0
- Activer = 1

Création de stratégies avec OMA-URI

Capture d’écran montrant la page sur laquelle vous pouvez créer une stratégie avec OMA-URI.

Lorsque vous créez des stratégies avec OMA-URI dans Intune, créez un fichier XML pour chaque stratégie. Il est recommandé d’utiliser le profil de contrôle d’appareil ou le profil de règles de contrôle d’appareil pour créer des stratégies personnalisées.

Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :

  • Dans le champ Nom , tapez Allow Read Activity.
  • Dans le champ OMA-URI , tapez ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Vous pouvez utiliser la commande New-Guid PowerShell pour générer un nouveau GUID et remplacer [PolicyRule Id].)
  • Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.

Vous pouvez utiliser des paramètres pour définir des conditions pour des entrées spécifiques. Voici un exemple de fichier XML de groupe pour Autoriser l’accès en lecture pour chaque stockage amovible.

Remarque

Les commentaires utilisant la notation <!-- COMMENT --> de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.

Création de groupes avec OMA-URI

Capture d’écran montrant la page sur laquelle vous pouvez créer un groupe avec OMA-URI.

Lorsque vous créez des groupes avec OMA-URI dans Intune, créez un fichier XML pour chaque groupe. Il est recommandé d’utiliser des paramètres réutilisables pour définir des groupes.

Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :

  • Dans le champ Nom , tapez Any Removable Storage Group.
  • Dans le champ OMA-URI , tapez ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Pour obtenir votre GroupID, dans le Centre d’administration Intune, accédez à Groupes, puis sélectionnez Copier l’ID d’objet. Vous pouvez également utiliser la commande New-Guid PowerShell pour générer un nouveau GUID et remplacer [GroupId].)
  • Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.

Remarque

Les commentaires utilisant la notation <!-- COMMENT -- > de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.

Configurer le contrôle d’accès au stockage amovible à l’aide d’OMA-URI

  1. Accédez au Centre d’administration Microsoft Intune et connectez-vous.

  2. Choisissez Appareils>Profils de configuration. La page Profils de configuration s’affiche.

  3. Sous l’onglet Stratégies (sélectionné par défaut), sélectionnez + Créer, puis choisissez + Nouvelle stratégie dans la liste déroulante qui s’affiche. La page Créer un profil s’affiche.

  4. Dans la liste Plateforme , sélectionnez Windows 10, Windows 11 et Windows Server dans la liste déroulante Plateforme , puis choisissez Modèles dans la liste déroulante Type de profil .

    Une fois que vous avez choisi Modèles dans la liste déroulante Type de profil, le volet Nom du modèle s’affiche, ainsi qu’une zone de recherche (pour rechercher le nom du profil).

  5. Sélectionnez Personnalisé dans le volet Nom du modèle, puis sélectionnez Créer.

  6. Créez une ligne pour chaque paramètre, groupe ou stratégie en implémentant les étapes 1 à 5.

Afficher les groupes de contrôle d’appareil (paramètres réutilisables)

Dans Intune, les groupes de contrôle d’appareil apparaissent en tant que paramètres réutilisables.

  1. Accédez au Centre d’administration Microsoft Intune et connectez-vous.

  2. Accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.

  3. Sélectionnez l’onglet Paramètres réutilisables .

Voir aussi