Gérer la protection contre les falsifications pour votre organisation à l’aide de Microsoft Intune

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender
• Microsoft Defender pour les PME
• Microsoft 365 Business Premium

Plateformes

• Windows

La protection contre les falsifications permet de protéger certains paramètres de sécurité, tels que la protection contre les virus et les menaces, contre toute désactivation ou modification. Si vous faites partie de l’équipe de sécurité de votre organisation et que vous utilisez Microsoft Intune, vous pouvez gérer la protection contre les falsifications de votre organisation dans le Centre d’administration Intune. Vous pouvez également utiliser Configuration Manager. Avec Intune ou Configuration Manager, vous pouvez :

• Activez (ou désactivez la protection contre les falsifications) pour certains ou tous les appareils.
• Protéger les exclusions de l’Antivirus Microsoft Defender contre la falsification (certaines conditions doivent être remplies).

Importante

Si vous utilisez Microsoft Intune pour gérer les paramètres de Defender pour point de terminaison, veillez à définir DisableLocalAdminMerge sur true sur les appareils.

Lorsque la protection contre les falsifications est activée, les paramètres protégés contre les falsifications ne peuvent pas être modifiés. Pour éviter d’interrompre les expériences de gestion, notamment Intune (et Configuration Manager), gardez à l’esprit que les modifications apportées aux paramètres protégés contre les falsifications peuvent sembler réussir, mais qu’elles sont en fait bloquées par la protection contre les falsifications. Selon votre scénario particulier, plusieurs options sont disponibles :

• Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, nous vous recommandons d’utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Notez qu’une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre les falsifications sont rétablies à leur état configuré.
• Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.
• Si vous gérez la protection contre les falsifications via Intune, vous pouvez modifier les exclusions d’antivirus protégées contre les falsifications.

Configuration requise pour la gestion de la protection contre les falsifications dans Intune

Conditions requises	Détails
Rôles et autorisations	Vous devez disposer des autorisations appropriées attribuées par le biais de rôles, tels que Administrateur de la sécurité. Consultez Rôles Microsoft Entra avec accès Intune.
Gestion des périphériques	Votre organisation utilise Intune pour gérer les appareils.
Licences Intune	Des licences Intune sont requises. Consultez Licences Microsoft Intune.
Système d’exploitation	Les appareils Windows doivent exécuter Windows 10 version 1709 ou ultérieure ou Windows 11. (Pour plus d’informations sur les versions, consultez Informations sur les versions de Windows.) Pour Mac, consultez Protéger les paramètres de sécurité macOS avec la protection contre les falsifications.
Veille de sécurité	Vous devez utiliser la sécurité Windows avec l’intelligence de sécurité mise à jour vers la version 1.287.60.0 (ou une version ultérieure).
Plateforme anti-programme malveillant	Les appareils doivent utiliser la version 4.18.1906.3 de plateforme anti-programme malveillant (ou supérieure) et la version 1.1.15500.X du moteur anti-programme malveillant (ou version ultérieure). Consultez Gérer les mises à jour de l’Antivirus Microsoft Defender et appliquer des bases de référence.
Identifiant Microsoft Entra	Vos locataires Intune et Defender pour point de terminaison doivent partager la même infrastructure Microsoft Entra.
Defender pour point de terminaison	Vos appareils doivent être intégrés à Defender pour point de terminaison.

Remarque

Si les appareils ne sont pas inscrits dans Microsoft Defender pour point de terminaison, la protection contre les falsifications s’affiche comme Non applicable tant que le processus d’intégration n’est pas terminé. La protection contre les falsifications peut empêcher les modifications apportées aux paramètres de sécurité. Si vous voyez un code d’erreur avec l’ID d’événement 5013, consultez Examiner les journaux des événements et les codes d’erreur pour résoudre les problèmes liés à l’Antivirus Microsoft Defender.

Activer (ou désactiver la protection contre les falsifications) dans Microsoft Intune

1. Dans le Centre d’administration Intune, accédez àAntivirusde sécurité> du point de terminaison, puis choisissez + Créer une stratégie.

   • Dans la liste Plateforme , sélectionnez Windows 10, Windows 11 et Windows Server.
   • Dans la liste Profil , sélectionnez Expérience de sécurité Windows.

2. Créez un profil qui inclut le paramètre suivant :

   • Protection contre la falsification (appareil) : activé

3. Terminez la sélection des options et des paramètres de votre stratégie.

4. Déployez la stratégie sur les appareils.

Protection contre les falsifications pour les exclusions antivirus

Si votre organisation a des exclusions définies pour l’Antivirus Microsoft Defender, la protection contre les falsifications protège ces exclusions, à condition que toutes les conditions suivantes soient remplies :

Condition	Critère
Plateforme Microsoft Defender	Les appareils exécutent la plateforme Microsoft Defender ou une version 4.18.2211.5 ultérieure. Pour plus d’informations, consultez Versions de moteur et de plateforme mensuelles.
DisableLocalAdminMerge réglage	Ce paramètre est également appelé empêcher la fusion de listes locales. DisableLocalAdminMerge est activé pour que les paramètres configurés sur un appareil ne soient pas fusionnés avec des stratégies d’organisation, telles que les paramètres dans Intune. Pour plus d’informations, consultez DisableLocalAdminMerge.
Gestion des périphériques	Les appareils sont gérés uniquement dans Intune ou avec Configuration Manager uniquement. L’option Sense doit être activée.
Exclusions d’antivirus	Les exclusions de l’Antivirus Microsoft Defender sont gérées dans Microsoft Intune. Pour plus d’informations, consultez Paramètres de la stratégie antivirus Microsoft Defender dans Microsoft Intune pour les appareils Windows. La fonctionnalité de protection des exclusions de l’Antivirus Microsoft Defender est activée sur les appareils. Pour plus d’informations, consultez Guide pratique pour déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows.

Conseil

Pour plus d’informations sur les exclusions de l’Antivirus Microsoft Defender, consultez Exclusions pour Microsoft Defender pour point de terminaison et Antivirus Microsoft Defender.

Comment déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows

Vous pouvez utiliser une clé de Registre pour déterminer si la fonctionnalité de protection des exclusions de l’Antivirus Microsoft Defender est activée. La procédure suivante explique comment afficher, mais pas modifier, l’état de protection contre les falsifications.

1. Sur un appareil Windows, ouvrez l’Éditeur du Registre. (Le mode lecture seule est correct ; vous ne modifiez pas la clé de Registre.)

2. Pour vérifier que l’appareil est géré uniquement par Intune ou géré par Configuration Manager uniquement, avec l’option Sense activée, vérifiez les valeurs de clé de Registre suivantes :

   • ManagedDefenderProductType (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender ou HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM ou HKLM\SOFTWARE\Microsoft\SenseCM)

   Le tableau suivant récapitule ce que signifient les valeurs de clé de Registre :

   Valeur ManagedDefenderProductType	Valeur EnrollmentStatus	Signification de la valeur
   6	(n’importe quelle valeur)	L’appareil est géré uniquement par Intune. (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
   7	4	L’appareil est géré par Configuration Manager. (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
   Valeur autre que 6 ou 7	(n’importe quelle valeur)	L’appareil n’est pas géré uniquement par Intune ou Configuration Manager uniquement. (Les exclusions ne sont pas protégées contre les falsifications.)

3. Pour vérifier que la protection contre les falsifications est déployée et que les exclusions sont protégées contre les falsifications, vérifiez la clé de TPExclusions Registre (située à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features ou HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Signification de la valeur
   1	Les conditions requises sont remplies et la nouvelle fonctionnalité de protection des exclusions est activée sur l’appareil. (Les exclusions sont protégées contre les falsifications.)
   0	La protection contre les falsifications ne protège pas actuellement les exclusions sur l’appareil. (Si toutes les conditions sont remplies et que cet état semble incorrect, contactez le support.)

Attention

Ne modifiez pas la valeur des clés de Registre. Utilisez la procédure précédente à des fins d’information uniquement. La modification des clés n’a aucun effet sur le fait que la protection contre les falsifications s’applique ou non aux exclusions.

Voir aussi

• Forum aux questions (FAQ) sur la protection contre les falsifications
• Defender pour point de terminaison sur des appareils non Windows
• Résoudre les problèmes liés à la protection contre les falsifications
• Gérer Microsoft Defender pour point de terminaison sur les appareils avec Microsoft Intune

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.