Partage via


Vue d’ensemble de l’intégration d’appareils Windows dans Microsoft 365

S’applique à :

La protection contre la perte de données de point de terminaison (DLP) et la gestion des risques internes nécessitent que les appareils Windows 10 Windows et Windows 11 soient intégrés au service afin qu’ils puissent envoyer des données de surveillance aux services.

La protection contre la perte de données (DLP) de point de terminaison vous permet de surveiller les appareils Windows 10 ou Windows 11 et de détecter quand les éléments sensibles sont utilisés et partagés. Cela vous donne la visibilité et le contrôle dont vous avez besoin pour vous assurer qu’ils sont utilisés et protégés correctement, et pour éviter les comportements à risque susceptibles de les compromettre. Si vous souhaitez en savoir plus sur les offres DLP de Microsoft, veuillez consulter la rubrique En savoir plus sur la protection contre la perte de données. Pour en savoir plus sur le point de terminaison DLP, voir En savoir plus sur la protection contre la perte de données de point de terminaison.

Endpoint DLP vous permet également d’intégrer des appareils exécutant les versions suivantes de Windows Server :

Remarque

L’installation des bases de connaissances Windows Server prises en charge désactive la fonctionnalité Classification sur le serveur. Cela signifie que endpoint DLP ne classifie pas les fichiers sur le serveur. Toutefois, endpoint DLP protège toujours les fichiers sur le serveur qui ont été classifiés avant l’installation de ces bases de connaissances sur le serveur. Pour garantir cette protection, installez Microsoft Defender version 4.18.23100 (octobre 2023) ou ultérieure.

Par défaut, endpoint DLP n’est pas activé pour les serveurs Windows lorsqu’ils sont initialement intégrés. Avant de voir les événements DLP de point de terminaison pour vos serveurs dans l’Explorer d’activité, vous devez d’abord activer la prise en charge DLP des points de terminaison pour les serveurs intégrés.

Une fois correctement configurées, les mêmes stratégies de protection contre la perte de données peuvent être appliquées automatiquement aux PC Windows et aux serveurs Windows.

La gestion des risques internes utilise l’ensemble des indicateurs de service et tiers pour vous aider à identifier, trier et agir rapidement sur l’activité des utilisateurs à risque. À l’aide des journaux de Microsoft 365 et de Microsoft Graph, la gestion des risques internes vous permet de définir des stratégies spécifiques pour identifier les indicateurs de risque et prendre des mesures pour atténuer ces risques. Pour plus d’informations, voir En savoir plus sur la gestion des risques internes.

L’intégration d’appareil est partagée entre Microsoft 365 et Microsoft Defender pour le point de terminaison (MDE). Si vous avez déjà intégré des appareils à MDE, ils apparaissent dans la liste des appareils gérés et aucune autre étape n’est nécessaire pour intégrer ces appareils spécifiques. L’intégration d’appareils dans le portail de conformité les intègre également à MDE.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Licences SKU/abonnements

Vérifiez les conditions de licence ici.

Autorisations

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Administrateur général est un rôle à privilèges élevés qui ne doit être utilisé que dans les scénarios où un rôle moins privilégié ne peut pas être utilisé.

Pour activer la gestion des appareils, le compte que vous utilisez doit être membre de l’un de ces rôles :

  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité

Si vous voulez utiliser un compte personnalisé pour afficher les paramètres de gestion des appareils, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité
  • Administrateur des données de mise en conformité
  • Lecteur général

Si vous voulez utiliser un compte personnalisé pour accéder à la page d’intégration/déclassement, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité

Si vous voulez utiliser un compte personnalisé pour activer/désactiver la surveillance de l’appareil, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité

Préparer vos appareils Windows

Assurez-vous que les appareils Windows que vous devez intégrer répondent à ces exigences.

  1. Doit exécuter l’une des builds suivantes de Windows ou Windows Server :

    1. Windows (X64) :

      1. Windows 11 24H2 (Voir les détails de la mise à jour)
      2. Windows 11 23H2 (Voir les détails de la mise à jour)
      3. mise à jour Windows 11 22H2 (Voir les détails de la mise à jour)
      4. Windows 11 21H2 (Voir les détails de la mise à jour)
      5. Mise à jour Windows 10 22H2 (voir les détails de la mise à jour)
    2. Windows (ARM64) :

      1. Windows 11 24H2 (Voir les détails de la mise à jour)
      2. Windows 11 23H2 (Voir les détails de la mise à jour)
      3. mise à jour Windows 11 22H2 (Voir les détails de la mise à jour)
      4. Windows 11 21H2 (Voir les détails de la mise à jour)
    3. Système d’exploitation Windows Server 2019 : version 1809 et versions ultérieures ou Système d’exploitation Windows Server 2022 : 21H2 et versions ultérieures.

  2. La version du client logiciel anti-programme malveillant est 4.18.2110 ou ultérieure. Vérifiez votre version actuelle à l’aide de l’application Sécurité Windows, sélectionnez l’icône Paramètres, puis À propos de. Le numéro de version est répertorié sous version du client anti-programme malveillant. Effectuez une mise à jour vers la dernière version du client anti-programme malveillant en installant Windows Update KB4052623. Pour plus d’informations, consultez : antivirus Microsoft Defender dans Windows.

    Importante

    Aucun des composants Sécurité Windows ne doit être actif, mais la protection en temps réel et le moniteur de comportement doivent être activés.

  3. Tous les appareils doivent être l’un de ceux-ci :

  4. Une version prise en charge de Microsoft 365 Apps est installée et à jour. Pour une protection et une expérience utilisateur optimales, vérifiez Microsoft 365 Apps version 16.0.14701.0 ou ultérieure est installée.

    Remarque

  5. Si vous avez des points de terminaison qui utilisent un proxy de périphérique pour se connecter à l'internet, suivez les procédures de la section Configurer le proxy de périphérique et les paramètres de connexion à l'internet pour la protection de l’information.

    Importante

    Veillez à autoriser MpDlpService.exe via votre pare-feu, un logiciel antivirus tiers ou un contrôle d’application.

Intégration d’appareils Windows 10 ou Windows 11

Vous devez activer la surveillance des appareils et intégrer vos points de terminaison avant de pouvoir surveiller et protéger les éléments sensibles sur un appareil. Ces deux actions sont effectuées dans le portail de conformité Microsoft Purview.

Lorsque vous souhaitez intégrer des appareils qui n’ont pas encore été intégrés, vous téléchargez le script approprié et le déployez sur ces appareils. Suivez les procédures d’intégration d’appareil ci-dessous.

Si vous avez déjà intégré des appareils à Microsoft Defender pour point de terminaison, ils apparaissent déjà dans la liste des appareils gérés.

Dans ce scénario de déploiement, vous intégrez des appareils Windows 10 ou Windows 11 qui n’ont pas encore été intégrés.

  1. Ouvrez le Portail de conformité Microsoft Purview. Choisissez Paramètres>Appareils d’intégration de l’appareil>.

    Remarque

    Si vous avez précédemment déployé Microsoft Defender pour le point de terminaison, tous les appareils qui ont été intégrés au cours de ce processus sont répertoriés dans la liste Appareils. Il n’est pas nécessaire de les intégrer à nouveau. Bien que l’activation de l’intégration des appareils dure généralement environ 60 secondes, patientez jusqu’à 30 minutes avant de contacter le support Microsoft.

  2. Choisissez Activer l’intégration des appareils.

  3. Sélectionnez Intégration pour lancer le processus d’intégration.

  4. Choisissez le mode de déploiement que vous souhaitez déployer sur ces autres appareils dans la liste Méthode de déploiement , puis téléchargez le package.

  5. Choisissez la procédure appropriée à suivre dans le tableau ci-dessous :

    Article Description
    Intune Utilisez les outils de Gestion des appareils mobiles ou Microsoft Intune pour déployer le package de configuration sur l’appareil.
    Configuration Manager Vous pouvez utiliser Microsoft Endpoint Configuration Manager (current branch) version 1606 ou Microsoft Endpoint Configuration Manager (current branch) version 1602 ou antérieure pour déployer le package de configuration sur les appareils.
    Stratégie de groupe Utilisez la stratégie de groupe pour déployer le package de configuration sur les appareils.
    Script local Découvrez comment utiliser le script local pour déployer le package de configuration sur des points de terminaison.
    Appareils vDI (Virtual Desktop Infrastructure) Découvrez comment utiliser le package de configuration pour configurer des appareils VDI.

Vérification de la status de l’appareil

Une fois que vous avez intégré vos appareils, vous pouvez case activée les status des appareils dans la liste Appareils. Vérifiez d’abord le status configuration. Configuration status indique si l’appareil est configuré correctement, envoie un signal de pulsation à Purview et la dernière fois que la configuration a été validée. Pour les appareils Windows, la configuration comprend la vérification de la status de Microsoft Defender protection always-on antivirus et de la surveillance du comportement.

Si aucune stratégie DLP n’est limitée à l’emplacement Appareils, vous ne verrez pas d’informations valides dans le champ Status de synchronisation de stratégie.

Importante

Pour plus d’informations sur la résolution des problèmes de status de status de la configuration de l’appareil et de la synchronisation de stratégie, consultez Résolution des problèmes de configuration et de synchronisation de stratégie de protection contre la perte de données de point de terminaison

Voir aussi