Partager via


Gérer la protection contre les falsifications de votre organization à l’aide de Microsoft Intune

S’applique à :

Plateformes

  • Windows

La protection contre les falsifications permet de protéger certains paramètres de sécurité, tels que la protection contre les virus et les menaces, contre toute désactivation ou modification. Si vous faites partie de l’équipe de sécurité de votre organization et que vous utilisez Microsoft Intune, vous pouvez gérer la protection contre les falsifications de votre organization dans le centre d’administration Intune. Vous pouvez également utiliser Configuration Manager. Avec Intune ou Configuration Manager, vous pouvez effectuer les tâches suivantes :

Importante

Si vous utilisez Microsoft Intune pour gérer les paramètres de Defender pour point de terminaison, veillez à définir DisableLocalAdminMergetrue sur sur les appareils.

Lorsque la protection contre les falsifications est activée, les paramètres protégés contre les falsifications ne peuvent pas être modifiés. Pour éviter d’interrompre les expériences de gestion, y compris les Intune (et Configuration Manager), gardez à l’esprit que les modifications apportées aux paramètres protégés contre les falsifications peuvent sembler réussir, mais qu’elles sont en fait bloquées par la protection contre les falsifications. Selon votre scénario particulier, plusieurs options sont disponibles :

  • Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, nous vous recommandons d’utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Notez qu’une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre les falsifications sont rétablies à leur état configuré.

  • Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.

  • Si vous gérez la protection contre les falsifications via Intune, vous pouvez modifier les exclusions antivirus protégées contre les falsifications.

Conditions requises pour la gestion de la protection contre les falsifications dans Intune

Conditions requises Détails
Rôles et autorisations Vous devez disposer des autorisations appropriées attribuées par le biais de rôles, tels que Administrateur de la sécurité. Consultez Microsoft Entra rôles avec accès Intune.
Gestion des périphériques Votre organization utilise Configuration Manager ou Intune pour gérer les appareils. Co-Managed appareils ne sont pas pris en charge pour cette fonctionnalité.
Licences Intune Intune licences sont requises. Consultez Microsoft Intune licences.
Système d’exploitation Les appareils Windows doivent exécuter Windows 10 version 1709 ou ultérieure ou Windows 11. (Pour plus d’informations sur les versions, consultez Informations sur les versions de Windows.)

Pour Mac, consultez Protéger les paramètres de sécurité macOS avec la protection contre les falsifications.
Veille de sécurité Vous devez utiliser la sécurité Windows avec l’intelligence de sécurité mise à jour vers la version 1.287.60.0 (ou une version ultérieure).
Plateforme anti-programme malveillant Les appareils doivent utiliser la version 4.18.1906.3 de la plateforme anti-programme malveillant (ou ultérieure) et la version 1.1.15500.X du moteur anti-programme malveillant (ou version ultérieure). Consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.
Identifiant Microsoft Entra Vos locataires Intune et Defender pour point de terminaison doivent partager la même infrastructure Microsoft Entra.
Defender pour point de terminaison Vos appareils doivent être intégrés à Defender pour point de terminaison.

Remarque

Si les appareils ne sont pas inscrits dans Microsoft Defender pour point de terminaison, la protection contre les falsifications s’affiche comme Non applicable jusqu’à la fin du processus d’intégration. La protection contre les falsifications peut empêcher les modifications apportées aux paramètres de sécurité. Si vous voyez un code d’erreur avec l’ID d’événement 5013, consultez Examiner les journaux des événements et les codes d’erreur pour résoudre les problèmes liés à Microsoft Defender Antivirus.

Activer (ou désactiver) la protection contre les falsifications dans Microsoft Intune

Activer la protection contre les falsifications avec Intune

  1. Dans le centre d’administration Intune, accédez àAntivirusde sécurité> des points de terminaison, puis choisissez + Créer une stratégie.

    • Dans la liste Plateforme, sélectionnez Windows 10, Windows 11 et Windows Server.
    • Dans la liste Profil, sélectionnez Sécurité Windows’expérience.
  2. Créez un profil qui inclut le paramètre suivant :

    • Protection contre la falsification (appareil) : activé
  3. Terminez la sélection des options et des paramètres de votre stratégie.

  4. Déployez la stratégie sur les appareils.

Protection contre les falsifications pour les exclusions antivirus

Si votre organization a des exclusions définies pour Microsoft Defender Antivirus, la protection contre les falsifications protège ces exclusions, à condition que toutes les conditions suivantes soient remplies :

Condition Critère
Microsoft Defender plateforme Les appareils s’exécutent Microsoft Defender plateforme ou une version 4.18.2211.5 ultérieure. Pour plus d’informations, consultez Versions de moteur et de plateforme mensuelles.
DisableLocalAdminMerge réglage Ce paramètre est également appelé empêcher la fusion de listes locales. DisableLocalAdminMergedoit être activé afin que les paramètres configurés sur un appareil ne soient pas fusionnés avec des stratégies organization, telles que les paramètres dans Intune. Pour plus d’informations, consultez DisableLocalAdminMerge.
Gestion des périphériques Les appareils sont gérés dans Intune uniquement, ou sont gérés avec Configuration Manager uniquement. L’option Sense doit être activée.
Exclusions d’antivirus Microsoft Defender exclusions antivirus sont gérées dans Microsoft Intune ou Configuration Manager. Pour plus d’informations, consultez Paramètres de la stratégie antivirus Microsoft Defender dans Microsoft Intune pour les appareils Windows.

Les fonctionnalités de protection Microsoft Defender exclusions antivirus sont activées sur les appareils. Pour plus d’informations, consultez Guide pratique pour déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows.

Remarque

Par exemple, lorsque Configuration Manager est utilisé uniquement pour gérer les exclusions et que les conditions requises sont remplies, les exclusions de Configuration Manager sont protégées contre les falsifications. Dans ce cas, il n’est pas nécessaire d’envoyer (push) des exclusions antivirus à l’aide de Microsoft Intune.

Pour plus d’informations sur les exclusions d’antivirus Microsoft Defender, consultez Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.

Comment déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows

Vous pouvez utiliser une clé de Registre pour déterminer si la fonctionnalité de protection Microsoft Defender exclusions antivirus est activée. La procédure suivante explique comment afficher, mais pas modifier, la protection contre les falsifications status.

  1. Sur un appareil Windows, ouvrez le Registre Rédacteur. (Le mode lecture seule est correct ; vous ne modifiez pas la clé de Registre.)

  2. Pour vérifier que l’appareil est géré par Intune uniquement ou par Configuration Manager uniquement, avec Sense activé, case activée les valeurs de clé de Registre suivantes :

    • ManagedDefenderProductType (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender ou HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM ou HKLM\SOFTWARE\Microsoft\SenseCM)

    Le tableau suivant récapitule ce que signifient les valeurs de clé de Registre :

    Valeur ManagedDefenderProductType Valeur EnrollmentStatus Signification de la valeur
    6 (n’importe quelle valeur) L’appareil est géré avec Intune uniquement.
    (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
    7 4 L’appareil est géré avec Configuration Manager.
    (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
    7 3 L’appareil est cogéré avec Configuration Manager et Intune.
    (Cela n’est pas pris en charge pour les exclusions à protéger contre les falsifications.)
    Valeur autre que 6 ou 7 (n’importe quelle valeur) L’appareil n’est pas géré par Intune uniquement ou Configuration Manager uniquement.
    (Les exclusions ne sont pas protégées contre les falsifications.)
  3. Pour vérifier que la protection contre les falsifications est déployée et que les exclusions sont protégées contre les falsifications, case activée la TPExclusions clé de Registre (située sur Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features ou HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

    TPExclusions Signification de la valeur
    1 Les conditions requises sont remplies et la nouvelle fonctionnalité de protection des exclusions est activée sur l’appareil.
    (Les exclusions sont protégées contre les falsifications.)
    0 La protection contre les falsifications ne protège pas actuellement les exclusions sur l’appareil.
    (Si toutes les conditions sont remplies et que cet état semble incorrect, contactez le support.)

Attention

Ne modifiez pas la valeur des clés de Registre. Utilisez la procédure précédente à des fins d’information uniquement. La modification des clés n’a aucun effet sur le fait que la protection contre les falsifications s’applique ou non aux exclusions.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.