Partager via


Configuration de Microsoft Defender pour point de terminaison dans Intune

Utilisez les informations et les procédures décrites dans cet article pour configurer l’intégration de Microsoft Defender pour point de terminaison avec Intune. La configuration se compose des étapes générales suivantes :

  • Établir une connexion de service à service entre Intune et Microsoft Defender pour point de terminaison. Cette connexion permet à Microsoft Defender pour point de terminaison de collecter des données sur les risques machine d’appareils pris en charge que vous gérez avec Intune. Consultez les prérequis pour utiliser Microsoft Defender pour point de terminaison avec Intune.
  • Utilisez Intune stratégie pour intégrer des appareils avec Microsoft Defender pour point de terminaison. Vous configurez des périphériques intégrés pour qu’ils communiquent avec Microsoft Defender pour point de terminaison et pour fournir des données qui permettent d’évaluer leur niveau de risque.
  • Utilisez Intune stratégies de conformité des appareils pour définir le niveau de risque que vous souhaitez autoriser. Microsoft Defender pour point de terminaison signale un niveau de risque pour les appareils. Les appareils qui dépassent le niveau de risque autorisé sont identifiés comme non conformes.
  • Utilisez une stratégie d’accès conditionnel pour empêcher les utilisateurs d’accéder aux ressources de l’entreprise à partir d’appareils qui ne sont pas conformes.
  • Utilisez desstratégies de protection des applications pour Android et iOS/iPadOS pour définir les niveaux de risque de l’appareil. Protection d'applications stratégies fonctionnent avec les appareils inscrits et non inscrits.

En plus de gérer les paramètres des Microsoft Defender pour point de terminaison sur les appareils qui s’inscrivent avec Intune, vous pouvez gérer les configurations de sécurité de Defender pour point de terminaison sur les appareils qui ne sont pas inscrits avec Intune. Ce scénario est appelé Gestion de la sécurité pour Microsoft Defender pour point de terminaison et nécessite la configuration de l’option Autoriser Microsoft Defender pour point de terminaison pour appliquer les configurations de sécurité de point de terminaison sur Activé. Pour plus d’informations, consultez Gestion de la configuration de la sécurité MDE.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 31 décembre 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Connecter Microsoft Defender pour point de terminaison à Intune

La première étape consiste à configurer la connexion de service à service entre Intune et Microsoft Defender pour point de terminaison. La configuration exige un accès administratif au Centre de sécurité Microsoft Defender et à Intune.

Il n’est nécessaire d’activer Microsoft Defender pour point de terminaison qu’une seule fois par locataire.

Pour activer Microsoft Defender pour point de terminaison, procédez comme suit :

Ouvrez le portail Microsoft Defender pour point de terminaison à security.microsoft.com. Le centre d’administration Intune inclut également un lien vers le portail Defender pour point de terminaison.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité des points de terminaison>Microsoft Defender pour point de terminaison, puis Ouvrir le Centre de sécurité Microsoft Defender.

    Conseil

    Dans le Centre d’administration Intune, si le status connexion en haut de la page Microsoft Defender pour point de terminaison est déjà défini sur Activé, la connexion à Intune est déjà active et le centre d’administration affiche un texte d’interface utilisateur différent pour le lien. Dans ce cas, sélectionnez Ouvrir la console d’administration Microsoft Defender pour point de terminaison pour ouvrir le Microsoft Defender du portail. Vous pouvez ensuite utiliser les instructions de l’étape suivante pour confirmer que la connexion Microsoft Intune est définie sur Activé.

    Capture d’écran montrant le patch pour ouvrir le Centre de sécurité Microsoft Defender.

  3. Dans Microsoft Defender portail (anciennement Centre de sécurité Microsoft Defender) :

    1. Sélectionnez Paramètres>Points de terminaison>Fonctionnalités avancées.

    2. Pour Connexion Microsoft Intune, choisissez Activé :

      Capture d’écran du paramètre de connexion de Microsoft Intune.

    3. Sélectionnez Enregistrer les préférences.

    Remarque

    Une fois la connexion établie, les services sont censés se synchroniser les uns avec les autres au moins une fois toutes les 24 heures. Le nombre de jours sans synchronisation jusqu’à ce que la connexion ne réponde pas est configurable dans le centre d’administration Microsoft Intune. Sélectionnez Sécurité des points de terminaison>Microsoft Defender pour point de terminaison>Nombre de jours après lesquels le partenaire est considéré comme non réactif

  4. Revenez à Microsoft Defender pour point de terminaison page dans le centre d’administration Microsoft Intune.

    1. Pour utiliser Defender pour point de terminaison avec des stratégies de conformité, configurez les éléments suivants sous Évaluation de la stratégie de conformité pour les plateformes que vous prenez en charge :

      • Définissez Connecter des appareils Android à Microsoft Defender pour point de terminaison sur Activé
      • Définissez Connecter des appareils iOS/iPadOS sur Microsoft Defender pour point de terminaison sur Activé
      • Définissez Connecter les appareils Windows à Microsoft Defender pour point de terminaison sur Activé.

      Quand ces configurations sont Activées, les appareils applicables que vous gérez avec Intune ainsi que les appareils que vous inscrivez ultérieurement sont connectés à Microsoft Defender pour point de terminaison à des fins de conformité.

      Pour les appareils iOS, Defender pour point de terminaison prend également en charge les paramètres suivants qui permettent de fournir l’évaluation des vulnérabilités des applications sur Microsoft Defender pour point de terminaison pour iOS. Pour plus d’informations sur l’utilisation des deux paramètres suivants, consultez Configurer l’évaluation des vulnérabilités des applications.

      • Activer la synchronisation d’applications pour les appareils iOS : définissez sur Activé pour permettre à Defender pour point de terminaison de demander des métadonnées d’applications iOS à partir de Intune à utiliser à des fins d’analyse des menaces. L’appareil iOS doit être inscrit à GPM et fournir des données d’application mises à jour lors de l’case activée de l’appareil.

      • Envoyer des données d’inventaire d’applications complètes sur des appareils iOS/iPadOS appartenant à l’utilisateur : ce paramètre contrôle les données d’inventaire des applications que Intune partagent avec Defender pour point de terminaison lorsque Defender pour point de terminaison synchronise les données d’application et demande la liste d’inventaire des applications.

        Lorsqu’il est défini sur Activé, Defender pour point de terminaison peut demander une liste d’applications à partir de Intune pour les appareils iOS/iPadOS appartenant à l’utilisateur. Cette liste inclut les applications non managées et les applications qui ont été déployées via Intune.

        Lorsque la valeur est Désactivée, les données sur les applications non managées ne sont pas fournies. Intune partage des données pour les applications déployées via Intune.

      Pour plus d’informations, consultez Basculer les options de défense contre les menaces mobiles.

    2. Pour utiliser Defender pour point de terminaison avec des stratégies de protection des applications pour Android et iOS/iPadOS, configurez les éléments suivants sous Protection d'applications évaluation de stratégie pour les plateformes que vous utilisez :

      • Définissez Connecter des appareils Android sur Microsoft Defender pour Point de terminaison sur Activé.
      • Définissez Connecter des appareils iOS/iPadOS sur Microsoft Defender pour point de terminaison sur Activé.

    Pour configurer un Microsoft Defender pour point de terminaison d’intégration pour l’évaluation de la stratégie de conformité et de protection des applications, vous devez disposer d’un rôle qui inclut Lire et modifier pour l’autorisation Mobile Threat Defense dans Intune. Ces autorisations sont incluses dans le rôle d’administrateur intégré Endpoint Security Manager pour Intune. Pour plus d’informations sur la stratégie de conformité MDM Paramètres et la stratégie de protection des applications Paramètres, consultez Basculer les options de défense contre les menaces mobiles.

  5. Sélectionnez Enregistrer.

Conseil

Depuis la version du service Intune d’août 2023 (2308), les stratégies d’accès conditionnel classique ne sont plus créées pour le connecteur Microsoft Defender pour point de terminaison. Si votre locataire dispose d’une stratégie d’autorité de certification classique qui a été créée précédemment pour l’intégration à Microsoft Defender pour point de terminaison, elle peut être supprimée. Pour afficher les stratégies d’accès conditionnel classiques, dans Azure, accédez à Microsoft Entra ID> Stratégiesclassiquesd’accès> conditionnel.

Intégration des appareils

Lorsque vous activez la prise en charge des Microsoft Defender pour point de terminaison dans Intune, vous avez établi une connexion de service à service entre Intune et Microsoft Defender pour point de terminaison. Vous pouvez ensuite intégrer les appareils que vous gérez avec Intune dans Microsoft Defender pour Microsoft Defender pour point de terminaison. L’intégration active la collecte des données sur les niveaux de risque des appareils.

Lors de l’intégration d’appareils, veillez à utiliser la version la plus récente de Microsoft Defender pour point de terminaison pour chaque plateforme.

Intégrer des appareils Windows 10

  • Stratégie de détection et de réponse de point de terminaison (EDR). La page Microsoft Defender pour point de terminaison du centre d’administration Intune inclut un lien qui ouvre directement le flux de travail de création de stratégie EDR, qui fait partie de la sécurité des points de terminaison dans Intune.

    Utilisez des stratégies EDR pour configurer la sécurité des appareils en évitant la surcharge de travail liée aux nombreux paramètres qui se trouvent dans les profils de configuration d’appareil. Vous pouvez également utiliser cette stratégie avec des appareils attachés au locataire que vous pouvez gérer avec Configuration Manager.

    Lorsque vous configurez la stratégie EDR après la connexion d’Intune à Defender, le paramètre de stratégie Microsoft Defender pour point de terminaison type de package de configuration du client a une nouvelle option de configuration : Auto à partir du connecteur. Avec cette option, Intune obtient automatiquement le package d’intégration (blob) à partir de votre déploiement Defender pour point de terminaison, en remplaçant la nécessité de configurer manuellement un package d’intégration.

  • Profil de configuration d’appareil. Lorsque vous créez une stratégie de configuration d’appareil pour intégrer des appareils Windows, sélectionnez le modèle Microsoft Defender pour point de terminaison. Lorsque vous vous êtes connecté Intune à Defender, Intune reçu un package de configuration d’intégration de Defender. Ce package est utilisé par le modèle pour configurer les appareils afin qu’ils communiquent avec les services Microsoft Defender pour point de terminaison, analysent les fichiers et détectent les menaces. Les appareils intégrés signalent également leur niveau de risque à Microsoft Defender pour point de terminaison en fonction de vos stratégies de conformité. Une fois qu’un appareil est intégré en utilisant le package de configuration, il n’est pas nécessaire de le refaire.

  • Stratégie de groupe ou Microsoft Configuration Manager. Intégrer des machines Windows à l’aide de Microsoft Configuration Manager contient plus de détails sur les paramètres de Microsoft Defender pour point de terminaison.

Conseil

Lorsque vous utilisez plusieurs stratégies ou types de stratégies, comme la stratégie Configuration de l’appareil ou la stratégie Détection de point de terminaison et réponse pour gérer les mêmes paramètres d’appareil (par exemple, l’intégration à Defender pour point de terminaison), vous pouvez créer des conflits de stratégie sur les appareils. Pour plus d’informations sur les conflits, consultez Gérer les conflits dans l’article Gérer les stratégies de sécurité.

Création du profil de configuration d’appareil pour l’intégration d’appareils Windows

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité du point de terminaison>Détection et réponse de point de terminaison>Créer une stratégie.

  3. Pour Plateforme, sélectionnez Windows 10, Windows 11 et Windows Server.

  4. Pour Type de profil, sélectionnez Détection de point de terminaison et réponse, puis sélectionnez Créer.

  5. Dans la page Informations de base, entrez un Nom et une Description (facultatif) pour le profil, puis choisissez Suivant.

  6. Dans la page Paramètres de configuration, configurez les options suivantes pour Détection et réponse du point de terminaison :

    • Microsoft Defender pour point de terminaison type de package de configuration du client : sélectionnez Auto dans le connecteur pour utiliser le package d’intégration (blob) de votre déploiement Defender pour point de terminaison. Si vous intégrez un déploiement Defender pour point de terminaison différent ou déconnecté, sélectionnez Intégrer et collez le texte du fichier blob WindowsDefenderATP.onboarding dans le champ Intégration (appareil).
    • Exemple de partage : renvoie ou définit le paramètre de configuration Microsoft Defender pour point de terminaison Exemple de partage.
    • [Déconseillé] Fréquence des rapports de télémétrie : pour les appareils à haut risque, activez ce paramètre afin qu’il signale les données de télémétrie au service Microsoft Defender pour point de terminaison plus fréquemment.

    Capture d’écran des options de configuration pour Détection de point de terminaison et réponse.

    Remarque

    La capture d’écran précédente montre vos options de configuration après la configuration d’une connexion entre Intune et Microsoft Defender pour point de terminaison. Une fois connecté, les détails des objets blob d’intégration et de désintéglage sont générés automatiquement et transférés vers Intune.

    Si vous n’avez pas correctement configuré cette connexion, le paramètre Microsoft Defender pour point de terminaison type de package de configuration du client inclut uniquement des options pour spécifier les objets blob intégrés et hors bord.

  7. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  8. Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Lorsque vous effectuez un déploiement sur des groupes d’utilisateurs, un utilisateur doit se connecter sur un appareil avant que la stratégie ne s’applique et que l’appareil puisse s’intégrer à Defender pour point de terminaison.

    Sélectionnez Suivant.

  9. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil. OK, puis Créer pour enregistrer vos modifications et créer le profil.

Intégrer des appareils macOS

Une fois la connexion service à service établie entre Intune et Microsoft Defender pour point de terminaison, vous pouvez intégrer des appareils macOS à Microsoft Defender pour point de terminaison. L’intégration configure les appareils pour communiquer avec Microsoft Defender pour point de terminaison, qui collecte alors des données sur leur niveau de risque.

Des conseils de configuration pour Intune sont disponibles dans Microsoft Defender pour point de terminaison pour macOS.

Pour plus d’informations sur Microsoft Defender pour point de terminaison pour Mac, notamment sur les nouveautés de la dernière version, consultez Microsoft Defender pour point de terminaison pour Mac dans la documentation sur la sécurité de Microsoft 365.

Intégrer des appareils Android

Une fois la connexion de service à service établie entre Intune et Microsoft Defender pour point de terminaison, vous pouvez intégrer des appareils Android à Microsoft Defender pour point de terminaison. L’intégration permet de les configurer de sorte qu’ils communiquent avec Defender pour point de terminaison, qui collecte alors des données sur leur niveau de risque.

Il n’existe pas de package de configuration pour les appareils Android. Pour connaître les prérequis et les instructions d’intégration pour Android, consultez Vue d’ensemble de Microsoft Defender pour point de terminaison pour Android dans la documentation de Microsoft Defender pour point de terminaison.

Sur les appareils Android, vous pouvez également utiliser la stratégie Intune pour modifier Microsoft Defender pour point de terminaison sur Android. Pour plus d’informations, consultez Protection Web Microsoft Defender pour point de terminaison.

Intégrer des appareils iOS/iPadOS

Une fois la connexion de service à service établie entre Intune et Microsoft Defender pour point de terminaison, vous pouvez intégrer des appareils iOS/iPadOS à Microsoft Defender pour point de terminaison. L’intégration permet de les configurer de sorte qu’ils communiquent avec Defender pour point de terminaison, qui collecte alors des données sur leur niveau de risque.

Il n’existe pas de package de configuration pour les appareils iOS/iPadOS. Pour connaître les prérequis et les instructions d’intégration iOS/iPadOS, consultez Vue d’ensemble de Microsoft Defender pour point de terminaison pour iOS dans la documentation de Microsoft Defender pour point de terminaison.

Pour les appareils qui exécutent iOS/iPadOS (en mode supervisé), il existe une capacité spécialisée compte tenu des fonctionnalités de gestion accrues fournies par la plateforme sur ces types d’appareils. Pour tirer parti de ces fonctionnalités, l’application Defender doit savoir si l’appareil est en mode supervisé. Intune vous permet de configurer l’application Defender pour iOS à l’aide d’une stratégie App Configuration (pour les appareils managés) qui doit cibler tous les appareils iOS, dans le cadre des meilleures pratiques. Pour plus d’informations, consultez Terminer le déploiement pour les appareils supervisés.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Applications Stratégies>de configuration> d’application + Ajouter, puis appareilsgérés dans la liste déroulante.

  3. Dans la page De base, entrez un Nom et une Description (facultatif) pour le profil, sélectionnez Plateforme > iOS/iPadOS, puis choisissez Suivant.

  4. Sélectionnez Application ciblée > Microsoft Defender pour iOS.

  5. Dans la page Paramètres, configurez la Clé de configuration sur issupervised, puis Type de valeur sur string avec {{issupervised}} comme Valeur de configuration.

  6. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  7. Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour ce scénario, la meilleure pratique consiste à cibler Tous les appareils. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Lors du déploiement de la stratégie sur des groupes d’utilisateurs, un utilisateur doit se connecter sur un appareil avant que la stratégie ne s’applique.

    Sélectionnez Suivant.

  8. Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le nouveau profil s’affiche dans la liste des profils de configuration.

En outre, pour les appareils qui exécutent iOS/iPadOS (en mode supervisé), l’équipe Defender pour iOS a mis à disposition un profil personnalisé .mobileconfig à déployer sur les appareils iPad/iOS. Le profil .mobileconfig est utilisé pour analyser le trafic réseau afin de garantir une expérience de navigation sécurisée, une fonctionnalité de Defender pour iOS.

  1. Téléchargez le profil .mobile, qui est hébergé ici : https://aka.ms/mdatpiossupervisedprofile.

  2. Connectez-vous au Centre d’administration Microsoft Intune.

  3. Sélectionnez Appareils> Gérer laconfiguration>des appareils> Sous l’onglet Stratégies, sélectionnez + Créer.

  4. Pour l’option Plateforme, sélectionnez iOS/iPadOS.

  5. Pour Type de profil, sélectionnez Personnalisé, puis Créer.

  6. Dans la page Informations de base, entrez un Nom et une Description (facultatif) pour le profil, puis choisissez Suivant.

  7. Entrez un nom de profil de configuration, puis sélectionnez un fichier .mobileconfig à charger.

  8. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  9. Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour ce scénario, la meilleure pratique consiste à cibler Tous les appareils. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Lorsque vous effectuez un déploiement sur des groupes d’utilisateurs, un utilisateur doit se connecter sur un appareil avant que la stratégie ne s’applique.

    Sélectionnez Suivant.

  10. Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le nouveau profil s’affiche dans la liste des profils de configuration.

Afficher le nombre d’appareils intégrés à Microsoft Defender pour point de terminaison

Pour afficher les appareils intégrés à partir de Microsoft Defender pour point de terminaison dans la page du connecteur Microsoft Defender pour point de terminaison, vous avez besoin d’un rôle de Intune qui inclut Lecture pour le Microsoft Defender Autorisation Advanced Threat Protection.

Exemple de vue du rapport d’appareil intégré.

Créer et attribuer une stratégie de conformité pour définir le niveau de risque de l’appareil

Tant pour les appareils Windows que pour les appareils Android et iOS/iPadOS, la stratégie de conformité détermine le niveau de risque que vous considérez comme acceptable pour un appareil.

Si vous n’êtes familiarisé avec la création d’une stratégie de conformité, référez-vous à la procédure Créer une stratégie de l’article Créer une stratégie de conformité dans Microsoft Intune. Les informations suivantes sont propres à la configuration de Microsoft Defender pour point de terminaison dans le cadre d’une stratégie de conformité.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Conformité des appareils>. Sous l’onglet Stratégies , sélectionnez + Créer une stratégie.

  3. Pour Plateforme, sélectionnez l’une des options suivantes dans la zone de liste déroulante :

    • Administrateur d’appareils Android
    • Android Entreprise
    • iOS/iPadOS
    • Windows 10 et versions ultérieures

    Ensuite, sélectionnez Créer.

  4. Sous l’onglet Informations de base , spécifiez un Nom qui vous permet d’identifier cette stratégie ultérieurement. Vous pouvez aussi spécifier une description.

  5. Sous l’onglet Paramètres de conformité, développez la catégorie Microsoft Defender pour point de terminaison et définissez l’option Exiger que l’appareil soit au niveau de risque de l’ordinateur ou sous celui de votre choix.

    Les classifications des niveaux de menace sont déterminées par Microsoft Defender pour point de terminaison.

    • Désactiver : ce niveau est le plus sûr. Si l’appareil fait l’objet de menaces, il ne peut pas accéder aux ressources de l’entreprise. Si des menaces sont détectées, l’appareil est évalué comme non conforme. (Microsoft Defender pour point de terminaison utilise la valeur Sécurisé.)
    • Faible : l’appareil est conforme seulement si les menaces détectées sont de niveau faible. Les appareils avec des niveaux de menace moyen ou élevé ne sont pas conformes.
    • Moyen : l’appareil est conforme si les menaces détectées sont de niveau faible ou moyen. Si des menaces de niveau élevé sont détectées, l’appareil est considéré comme non conforme.
    • Élevé : ce niveau est le moins sécurisé et permet tous les niveaux de menace. Les appareils dont le niveau de menace est élevé, moyen ou faible sont considérés comme conformes.
  6. Terminez la configuration de la stratégie, notamment l’affectation de la stratégie à des groupes applicables.

Créer et attribuer une stratégie de protection d’application pour définir le niveau de risque de l’appareil

Utilisez la procédure pour créer une stratégie de protection d’applications pour iOS/iPados ou Android et utilisez les informations suivantes dans les pages Applications, Lancement conditionnel et Affectations :

  • Applications : sélectionnez les applications que les stratégies de protection des applications doivent cibler. Pour cet ensemble de fonctionnalités, ces applications sont bloquées ou réinitialisées de manière sélective en fonction de l’évaluation des risques de l’appareil établie par le fournisseur Mobile Threat Defense que vous avez choisi.

  • Lancement conditionnel : sous Conditions de l’appareil, utilisez la zone de liste déroulante pour sélectionner Niveau de menace maximal autorisé pour l’appareil.

    Options pour la valeur du niveau de menace :

    • Sécurisé : ce niveau est le plus sûr. L'appareil ne peut pas avoir de menace présente et continuer à accéder aux ressources de l’entreprise. Si des menaces sont détectées, l’appareil est évalué comme non conforme.
    • Faible : l’appareil est conforme seulement si les menaces détectées sont de niveau faible. La présence de menaces de niveau supérieur rend l’appareil non conforme.
    • Moyen : l’appareil est conforme si les menaces détectées sont de niveau faible ou moyen. Si des menaces de niveau élevé sont détectées, l’appareil est considéré comme non conforme.
    • Élevé : ce niveau est le moins sécurisé et autorise tous les niveaux de menace (Mobile Threat Defense est uniquement utilisé à des fins de création de rapport). L’application MTD doit être activée avec ce paramètre sur les appareils.

    Options pour l’action :

    • Bloquer l’accès
    • Réinitialiser les données
  • Affectations : affectez la stratégie à des groupes d’utilisateurs. Les appareils utilisés par les membres du groupe sont évalués concernant l’accès aux données d’entreprise sur les applications ciblées par le biais de la protection des applications Intune.

Importante

Si vous créez une stratégie de protection des applications pour n’importe quelle application protégée, le niveau de menace de l’appareil est évalué. En fonction de la configuration, les appareils qui n’atteignent pas un niveau acceptable sont bloqués ou réinitialisés de manière sélective par le biais du lancement conditionnel. En cas de blocage, ils ne peuvent pas accéder aux ressources de l’entreprise tant que la menace sur l’appareil n’est pas résolue et signalée à Intune par le fournisseur MTD choisi.

Créer une stratégie d’accès conditionnel

Les stratégies d’accès conditionnel peuvent utiliser des données de Microsoft Defender pour point de terminaison pour bloquer l’accès aux ressources sur les appareils qui dépassent le niveau de menace que vous avez défini. Vous pouvez bloquer l’accès aux ressources d’entreprise à partir d’un appareil (comme SharePoint ou Exchange Online).

Conseil

L’accès conditionnel est une technologie Microsoft Entra. Le nœud Accès conditionnel trouvé dans le centre d’administration Microsoft Intune est le nœud de Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité du point de terminaison>Accès> conditionnelCréer une stratégie. Étant donné que Intune présente l’interface utilisateur de création de stratégie pour l’accès conditionnel à partir de l’Portail Azure, l’interface est différente du flux de travail de création de stratégie que vous connaissez peut-être.

  3. Entrez un nom de stratégie.

  4. Pour Utilisateurs, utilisez les onglets Inclure et Exclure pour configurer les groupes qui recevront cette stratégie.

  5. Pour Ressources cibles, définissez Sélectionner ce à quoi cette stratégie s’applique auxapplications cloud, puis choisissez les applications à protéger. Par exemple, choisissez Sélectionner des applications, puis sélectionnez Sélectionner, recherchez et sélectionnez Office 365 SharePoint Online et Office 365 Exchange Online.

  6. Pour Conditions, sélectionnez Applications clientes , puis définissez Configurer sur Oui. Ensuite, cochez les cases pour Navigateur et Applications mobiles et clients de bureau. Ensuite, sélectionnez Terminé pour enregistrer la configuration de l’application cliente.

  7. Pour Accorder, configurez cette stratégie pour qu’elle s’applique en fonction des règles de conformité des appareils. Par exemple :

    1. Sélectionnez Accorder l’accès.
    2. Cochez la case Exiger que l’appareil soit marqué comme conforme.
    3. Sélectionnez Exiger tous les contrôles sélectionnés. Choisissez Sélectionner pour enregistrer la configuration d’octroi.
  8. Pour Activer la stratégie, sélectionnez Activé , puis Créer pour enregistrer vos modifications.

Prochaines étapes

Pour plus d’informations, consultez la documentation Intune :

Pour plus d’informations, consultez la documentation de Microsoft Defender pour point de terminaison :