Gérer les applications approuvées pour les appareils Windows avec la stratégie App Control for Business et les programmes d’installation managés pour Microsoft Intune

Cette fonctionnalité est disponible en préversion publique.

Chaque jour, de nouveaux fichiers et applications malveillants apparaissent dans la nature. Lorsqu’ils sont exécutés sur des appareils de votre organization ils présentent un risque, qui peut être difficile à gérer ou à empêcher. Pour empêcher l’exécution d’applications indésirables sur vos appareils Windows gérés, vous pouvez utiliser Microsoft Intune stratégies App Control for Business.

Les stratégies App Control for Business de Intune font partie de la sécurité des points de terminaison et utilisent le csp ApplicationControl Windows pour gérer les applications autorisées sur les appareils Windows.

Également disponible via la stratégie App Control for Business, vous pouvez utiliser une stratégie de programme d’installation managée pour ajouter l’extension de gestion Intune à votre locataire en tant que programme d’installation géré. Avec cette extension en tant que programme d’installation managé, les applications que vous déployez via Intune sont automatiquement étiquetées par le programme d’installation. Les applications étiquetées peuvent être identifiées par vos stratégies App Control for Business comme des applications sécurisées qui peuvent être autorisées à s’exécuter sur vos appareils.

• L’extension de gestion Intune est un service Intune qui complète Windows 10 fonctionnalités MDM pour les appareils Windows 10 et Windows 11. Il facilite l’installation des applications Win32 et des scripts PowerShell sur les appareils gérés.

• Un programme d’installation géré utilise une règle AppLocker pour étiqueter les applications que vous installez comme approuvées par votre organization Pour plus d’informations, consultez Autoriser les applications installées par un programme d’installation géré dans la documentation Sécurité Windows.

  L’utilisation d’un programme d’installation managé n’est pas nécessaire pour utiliser des stratégies App Control for Business.

Les informations contenues dans cet article peuvent vous aider à :

• Configurez l’extension de gestion Intune en tant que programme d’installation managé.
• Configurez les stratégies De contrôle d’application de sécurité des points de terminaison pour les entreprises.

Pour plus d’informations, consultez Windows Defender Application Control dans la documentation Sécurité Windows.

Remarque

App Control pour les profils de contrôle d’application et de contrôle d’application : Intune stratégies App Control for Business utilisent le fournisseur de services de configuration ApplicationControl. Les stratégies de réduction de la surface d’attaque de Intune utilisent le fournisseur de services de configuration AppLocker pour leurs profils de contrôle d’application. Windows a introduit le fournisseur de services de configuration ApplicationControl pour remplacer le fournisseur de services de configuration AppLocker. Windows continue de prendre en charge le fournisseur de services de configuration AppLocker, mais ne lui ajoute plus de nouvelles fonctionnalités. Au lieu de cela, le développement se poursuit via le fournisseur de services de configuration ApplicationControl.

S’applique à :

• Windows 10
• Windows 11

Configuration requise

Appareils

Les appareils suivants sont pris en charge pour les stratégies App Control for Business lorsqu’ils sont inscrits avec Intune :

• Windows Entreprise ou Éducation :

  • Windows 10, versions 1903 ou ultérieures
  • Windows 11 version 1903 ou ultérieure

• Windows Professionnel :

  • Windows 10 avec KB5019959
  • Windows 11 :
    • Version 22H2 avec KB5019980
    • Version 21H2 avec KB5019961

• Windows 11 SE :

  • Windows 11 SE est pris en charge uniquement pour les locataires Éducation. Pour plus d’informations, consultez Stratégies App Control for Business pour les locataires Éducation plus loin dans cet article.

• Azure Virtual Desktop (AVD) :

  • Les appareils AVD sont pris en charge pour utiliser les stratégies App Control for Business
  • Pour cibler des appareils AVD multisession, utilisez le nœud App Control for Business dans Endpoint Security. Toutefois, App Control for Business est l’étendue de l’appareil uniquement.

• Appareils cogérés :

  • Pour prendre en charge les stratégies Application Control for Business sur les appareils cogérés, définissez le curseur endpoint Protection sur Intune.

Windows Defender App Control for Business

Consultez Exigences relatives à l’édition et aux licences windows dans À propos du contrôle d’application pour Windows dans la documentation Sécurité Windows.

Contrôles d’accès en fonction du rôle

Pour gérer les stratégies App Control for Business, un compte doit se voir attribuer un Intune rôle de contrôle d’accès en fonction du rôle (RBAC) qui inclut des autorisations et des droits suffisants pour effectuer la tâche souhaitée.

Voici les tâches disponibles avec les autorisations et les droits requis.

• Activer l’utilisation d’un programme d’installation géré : le rôle Administrateur Intune doit être attribué aux comptes. L’activation du programme d’installation est un événement unique.

  Importante

  Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. L’administrateur Intune et les comptes similaires sont des rôles hautement privilégiés qui doivent être limités aux scénarios qui ne peuvent pas utiliser un rôle différent.

• Stratégie Gérer le contrôle d’application pour les entreprises : les comptes doivent disposer de l’autorisation Contrôle d’application pour les entreprises , qui inclut des droits pour supprimer, lire, affecter, créer, mettre à jour et afficher des rapports.

• Afficher les rapports pour la stratégie App Control for Business : les comptes doivent disposer de l’une des autorisations et droits suivants :

  • L’autorisation App Control for Business avec Afficher les rapports.
  • Autorisation Organisation avec Lecture.

Pour obtenir des conseils sur l’attribution du niveau approprié d’autorisations et de droits pour gérer Intune stratégie App Control for Business, consultez Assign-based-role-access-controls-for-endpoint-security-policy.

Support du cloud secteur public

Intune sécurité des points de terminaison Les stratégies de contrôle d’application et la configuration d’un programme d’installation managé sont prises en charge avec les environnements cloud souverains suivants :

• Clouds du gouvernement des États-Unis
• 21Vianet

Prise en main des programmes d’installation managés

Avec la sécurité des points de terminaison de Intune Contrôle d’application pour les entreprises, vous pouvez utiliser la stratégie pour ajouter l’extension de gestion Intune en tant que programme d’installation managé sur vos appareils Windows gérés.

Une fois que vous avez activé un programme d’installation géré, toutes les applications suivantes que vous déployez sur des appareils Windows via Intune sont marquées avec la balise programme d’installation managée. La balise identifie que l’application a été installée par une source connue et peut être approuvée. Le balisage du programme d’installation géré des applications est ensuite utilisé par les stratégies App Control for Business pour identifier automatiquement les applications comme approuvées pour s’exécuter sur les appareils de votre environnement.

Les stratégies App Control for Business sont une implémentation de Windows Defender Application Control (WDAC). Pour en savoir plus sur WDAC et l’étiquetage des applications, consultez À propos du contrôle d’application pour Windows et le guide de balisage de l’ID d’application WDAC (AppId) dans la documentation du contrôle d’application Windows Defender.

Considérations relatives à l’utilisation d’un programme d’installation managé :

• La définition d’un programme d’installation géré est une configuration à l’échelle du locataire qui s’applique à tous vos appareils Windows gérés.

• Une fois que vous avez activé l’extension Intune Management en tant que programme d’installation managé, toutes les applications que vous déployez sur des appareils Windows via Intune sont étiquetées avec la marque du programme d’installation géré.

• En soi, cette balise n’a aucun effet sur les applications qui peuvent s’exécuter sur vos appareils. La balise est utilisée uniquement lorsque vous attribuez également des stratégies WDAC qui déterminent les applications autorisées à s’exécuter sur vos appareils gérés.

• Étant donné qu’il n’y a pas d’étiquetage rétroactif, toutes les applications sur vos appareils qui ont été déployées avant l’activation du programme d’installation géré ne sont pas étiquetées. Si vous appliquez une stratégie WDAC, vous devez inclure des configurations explicites pour autoriser l’exécution de ces applications sans étiquette.

• Vous pouvez désactiver cette stratégie en modifiant la stratégie Programme d’installation géré. La désactivation de la stratégie empêche les applications suivantes d’être étiquetées avec le programme d’installation géré. Les applications précédemment installées et étiquetées restent marquées. Pour plus d’informations sur la propre manuelle d’un programme d’installation géré après la désactivation de la stratégie, consultez Supprimer l’extension de gestion Intune en tant que programme d’installation managé plus loin dans cet article.

Pour en savoir plus sur la façon dont Intune définir le programme d’installation managé, consultez la documentation Sécurité Windows.

Importante

Impact potentiel sur les événements collectés par les intégrations Log Analytics

Log Analytics est un outil du portail Azure que les clients peuvent utiliser pour collecter des données à partir d’événements de stratégie AppLocker. Avec cette préversion publique, si vous effectuez l’action d’adhésion, la stratégie AppLocker commence à être déployée sur les appareils applicables dans votre locataire. En fonction de votre configuration Log Analytics, en particulier si vous collectez certains des journaux les plus détaillés, cela entraîne une augmentation du nombre d’événements générés par la stratégie AppLocker. Si votre organization utilise Log Analytics, nous vous recommandons de passer en revue votre configuration Log Analytics afin que vous :

• Comprenez votre configuration Log Analytics et assurez-vous qu’un plafond de collecte de données approprié est en place pour éviter des coûts de facturation inattendus.
• Désactivez complètement la collection d’événements AppLocker dans Log Analytics (erreur, avertissement, informations) à l’exception des journaux MSI et script.

Ajouter un programme d’installation géré à votre locataire

La procédure suivante vous guide tout au long de l’ajout de l’extension de gestion Intune en tant que programme d’installation managé pour votre locataire. Intune prend en charge une seule stratégie de programme d’installation managée.

1. Dans le centre d’administration Microsoft Intune, accédez à Sécurité du point de terminaison (préversion) , sélectionnez l’onglet Programme d’installation géré, puis sélectionnez *Ajouter. Le volet Ajouter un programme d’installation géré s’ouvre.

   

2. Sélectionnez Ajouter, puis Oui pour confirmer l’ajout de l’extension de gestion Intune en tant que programme d’installation managé.

3. Après avoir ajouté le programme d’installation géré, dans certains cas rares, vous devrez peut-être attendre jusqu’à 10 minutes avant que la nouvelle stratégie soit ajoutée à votre locataire. Sélectionnez Actualiser pour mettre à jour le centre d’administration régulièrement, jusqu’à ce qu’il soit disponible.

   La stratégie est prête dans le service quand Intune affiche une stratégie de programme d’installation managée portant le nom Programme d’installation géré – Extension de gestion Intune avec le status actif. Du côté client, vous devrez peut-être attendre jusqu’à une heure pour que la stratégie commence à être remise.

   

4. Vous pouvez maintenant sélectionner la stratégie pour modifier sa configuration. Seuls les deux domaines de stratégie suivants prennent en charge les modifications :

   • Paramètres : la modification des paramètres de stratégie ouvre le volet Désactiver pour le programme d’installation géré , où vous pouvez modifier la valeur de Définir le programme d’installation géré entre Activé et Désactivé. Lorsque vous ajoutez le programme d’installation, le paramètre Définir le programme d’installation géré est activé par défaut. Avant de modifier la configuration, veillez à passer en revue le comportement détaillé dans le volet pour Activé et Désactivé.

   • Balises d’étendue : vous pouvez ajouter et modifier des balises d’étendue affectées à cette stratégie. Cela vous permet de spécifier les administrateurs qui peuvent afficher les détails de la stratégie.

Avant que la stratégie ait un effet, vous devez créer et déployer une stratégie App Control for Business pour spécifier les règles pour lesquelles les applications peuvent s’exécuter sur vos appareils Windows.

Pour plus d’informations, consultez Autoriser les applications installées par un programme d’installation managé dans la documentation Sécurité Windows.

Importante

Risque de non-démarrage potentiel de la fusion de stratégies AppLocker

Lors de l’activation du programme d’installation géré via Intune, une stratégie AppLocker avec une règle factice est déployée et fusionnée avec la stratégie AppLocker existante sur l’appareil cible. Si la stratégie AppLocker existante inclut une ruleCollection définie comme NotConfigured avec un ensemble de règles vide, elle est fusionnée en tant que NotConfigured avec la règle factice. Une collection de règles NotConfigured est appliquée par défaut si des règles sont définies dans la collection. Lorsque la règle factice est la seule règle configurée, cela implique que le chargement ou l’exécution d’autres éléments sont bloqués. Cela peut entraîner des problèmes inattendus tels que l’échec du démarrage des applications et l’échec du démarrage ou de l’ouverture de session dans Windows. Pour éviter ce problème, nous vous recommandons de supprimer toute RuleCollection définie comme NotConfigured avec un ensemble de règles vide de votre stratégie AppLocker existante si elle est actuellement en place.

• Le programme d’installation managé peut activer les stratégies App-Locker arrêtées ou désactivées (sur les PC ciblés) appliquées à partir de l’objet de stratégie de groupe.

Supprimer l’extension de gestion Intune en tant que programme d’installation managé

Si nécessaire, vous pouvez arrêter de configurer l’extension de gestion Intune en tant que programme d’installation managé pour votre locataire. Pour cela, vous devez désactiver la stratégie d’installation managée. Une fois la stratégie désactivée, vous pouvez choisir d’utiliser des actions de propre supplémentaires.

Désactiver la stratégie d’extension de gestion Intune (obligatoire)

La configuration suivante est nécessaire pour arrêter l’ajout de l’extension de gestion Intune en tant que programme d’installation managé à vos appareils.

1. Dans le Centre d’administration, accédez à Sécurité du point de terminaison (préversion), sélectionnez l’onglet Programme d’installation géré, puis sélectionnez la stratégie Programme d’installation géré – extension de gestion Intune.

2. Modifiez la stratégie, définissez Définir le programme d’installation géré sur Désactivé, puis enregistrez la stratégie.

Les nouveaux appareils ne seront pas configurés avec l’extension de gestion Intune en tant que programme d’installation managé. Cela ne supprime pas l’extension de gestion Intune en tant que programme d’installation managé des appareils qui sont déjà configurés pour l’utiliser.

Supprimer l’extension de gestion Intune en tant que programme d’installation géré sur les appareils (facultatif)

En tant qu’étape de propre facultative, vous pouvez exécuter un script pour supprimer l’extension de gestion Intune en tant que programme d’installation managé sur les appareils qui l’ont déjà installée. Cette étape est facultative, car cette configuration n’a aucun effet sur les appareils, sauf si vous utilisez également des stratégies App Control for Business qui référencent le programme d’installation managé.

1. Téléchargez le script PowerShellCatCleanIMEOnly.ps1. Ce script est disponible à https://aka.ms/intune_WDAC/CatCleanIMEOnly partir de download.microsoft.com.

2. Exécutez ce script sur les appareils dont l’extension de gestion Intune est définie en tant que programme d’installation managé. Ce script supprime uniquement l’extension de gestion Intune en tant que programme d’installation managé.

3. Redémarrez le service d’extension de gestion Intune pour que les modifications ci-dessus prennent effet.

Pour exécuter ce script, vous pouvez utiliser Intune pour exécuter des scripts PowerShell ou d’autres méthodes de votre choix.

Supprimer toutes les stratégies AppLocker d’un appareil (facultatif)

Pour supprimer toutes les stratégies Windows AppLocker d’un appareil, vous pouvez utiliser le script PowerShell CatCleanAll.ps1 . Ce script supprime non seulement l’extension de gestion Intune en tant que programme d’installation managé, mais également toutes les stratégies basées sur Windows AppLocker d’un appareil. Avant d’utiliser ce script, veillez à comprendre l’utilisation des stratégies AppLocker par votre organisation.

1. Téléchargez le script PowerShellCatCleanAll.ps1. Ce script est disponible à https://aka.ms/intune_WDAC/CatCleanAll partir de download.microsoft.com.

2. Exécutez ce script sur les appareils dont l’extension de gestion Intune est définie en tant que programme d’installation managé. Ce script supprime l’extension de gestion Intune en tant que programme d’installation managé et les stratégies AppLocker de l’appareil.

3. Redémarrez le service d’extension de gestion Intune pour que les modifications ci-dessus prennent effet.

Pour exécuter ce script, vous pouvez utiliser Intune pour exécuter des scripts PowerShell ou d’autres méthodes de votre choix.

Bien démarrer avec les stratégies App Control for Business

Avec les stratégies de contrôle d’application de sécurité des points de terminaison de Intune, vous pouvez gérer les applications autorisées à s’exécuter sur vos appareils Windows gérés. Toutes les applications qui ne sont pas explicitement autorisées à s’exécuter par une stratégie sont bloquées, sauf si vous avez configuré la stratégie pour utiliser un mode Audit. Avec le mode audit, la stratégie permet à toutes les applications de s’exécuter et enregistre les détails les concernant localement sur le client.

Pour gérer les applications autorisées ou bloquées, Intune utilise le csp ApplicationControl Windows sur les appareils Windows.

Lorsque vous créez une stratégie App Control for Business, vous devez choisir un format de paramètres de configuration à utiliser :

• Entrer des données xml : lorsque vous choisissez d’entrer des données xml, vous devez fournir à la stratégie un ensemble de propriétés XML personnalisées qui définissent votre stratégie App Control for Business.

• Contrôles intégrés : cette option est le chemin le plus simple à configurer, mais reste un choix puissant. Avec les contrôles intégrés, vous pouvez facilement approuver toutes les applications installées par un programme d’installation managé et autoriser l’approbation des composants Windows et des applications du Store.

  Vous trouverez plus d’informations sur ces options dans l’interface utilisateur lors de la création d’une stratégie, ainsi que dans la procédure suivante qui vous guide tout au long de la création d’une stratégie.

Après avoir créé une stratégie App Control for Business, vous pouvez étendre l’étendue de cette stratégie en créant des stratégies supplémentaires qui ajoutent d’autres règles au format XML à cette stratégie d’origine. Lorsque vous utilisez des stratégies supplémentaires, la stratégie d’origine est appelée stratégie de base.

Remarque

Si votre locataire est un locataire éducationnel, consultez Stratégies De contrôle d’application pour les locataires Éducation pour en savoir plus sur la prise en charge supplémentaire des appareils et la stratégie Contrôle d’application pour les entreprises pour ces appareils.

Créer une stratégie App Control for Business

Utilisez la procédure suivante pour vous aider à créer une stratégie App Control for Business réussie. Cette stratégie est considérée comme une stratégie de base si vous créez des stratégies supplémentaires pour étendre l’étendue de confiance que vous définissez avec cette stratégie.

1. Connectez-vous au centre d’administration Microsoft Intune et accédez à Sécurité des points de terminaison>App Control for Business (préversion)> sélectionnez l’onglet >Contrôle d’application pour les entreprises, puis sélectionnez Créer une stratégie. Les stratégies App Control for Business sont automatiquement affectées à un type de plateforme de Windows 10 et versions ultérieures.

   

2. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommez les profils afin que vous puissiez facilement les identifier ultérieurement.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

3. Dans Paramètres de configuration, choisissez un format paramètres de configuration :

   Entrer des données xml : avec cette option, vous devez fournir des propriétés XML personnalisées pour définir votre stratégie App Control for Business. Si vous sélectionnez cette option mais que vous n’ajoutez pas de propriétés XLM à la stratégie, elle agit comme Non configuré. Une stratégie App Control for Business qui n’est pas configurée entraîne des comportements par défaut sur un appareil, sans aucune option ajoutée du csp ApplicationControl.

   Contrôles intégrés : avec cette option, la stratégie n’utilise pas de code XML personnalisé. Configurez plutôt les paramètres suivants :

   • Activer l’approbation des composants Windows et des applications du Store : lorsque ce paramètre est Activé (valeur par défaut), les appareils gérés peuvent exécuter des composants Windows et stocker des applications, ainsi que d’autres applications que vous pouvez configurer comme approuvées. Les applications qui ne sont pas définies comme approuvées par cette stratégie ne peuvent pas s’exécuter.

     Ce paramètre prend également en charge un mode Audit uniquement . Avec le mode audit, tous les événements sont enregistrés dans les journaux du client local, mais l’exécution des applications n’est pas bloquée.

   • Sélectionner des options supplémentaires pour approuver les applications : pour ce paramètre, vous pouvez sélectionner l’une des options suivantes ou les deux :

     • Approuver les applications ayant une bonne réputation : cette option permet aux appareils d’exécuter des applications dignes de confiance telles que définies par Microsoft Intelligent Security Graph. Pour plus d’informations sur l’utilisation d’Intelligent Security Graph (ISG), consultez Autoriser des applications réputées avec Intelligent Security Graph (ISG) dans la documentation Sécurité Windows.

     • Approuver les applications à partir de programmes d’installation gérés : cette option permet aux appareils d’exécuter les applications qui ont été déployées par une source autorisée, qui est un programme d’installation géré. Cela s’applique aux applications que vous déployez via Intune après avoir configuré l’extension de gestion Intune en tant que programme d’installation managé.

       Le comportement de tous les autres applications et fichiers qui ne sont pas spécifiés par les règles de cette stratégie dépend de la configuration de l’option Activer l’approbation des composants Windows et des applications du Store :

       • Si cette option est activée, l’exécution des fichiers et des applications sur les appareils est bloquée.
       • S’il est défini sur Audit uniquement, les fichiers et les applications sont audités uniquement dans les journaux du client local.

   

4. Dans la page Balises d’étendue, sélectionnez les balises d’étendue souhaitées à appliquer, puis sélectionnez Suivant.

5. Pour Affectations, sélectionnez les groupes qui reçoivent la stratégie, mais considérez que les stratégies WDAC s’appliquent uniquement à l’étendue de l’appareil. Pour continuer, sélectionnez Suivant.

   Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

6. Pour Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie est également affichée dans la liste des stratégies.

Utiliser une stratégie supplémentaire

Une ou plusieurs stratégies supplémentaires peuvent vous aider à développer une stratégie de base App Control for Business pour augmenter le cercle de confiance de cette stratégie. Une stratégie supplémentaire ne peut développer qu’une seule stratégie de base, mais plusieurs autres peuvent développer la même stratégie de base. Lorsque vous ajoutez des stratégies supplémentaires, les applications autorisées par la stratégie de base et ses stratégies supplémentaires sont autorisées à s’exécuter sur les appareils.

Les stratégies supplémentaires doivent être au format XML et doivent référencer l’ID de stratégie de la stratégie de base.

L’ID de stratégie d’une stratégie de base App Control for Business est déterminé par la configuration de la stratégie de base :

• Les stratégies de base créées à l’aide du code XML personnalisé ont un Id de stratégie unique basé sur cette configuration XML.

• Les stratégies de base créées à l’aide des contrôles intégrés pour App Control for Business ont l’un des quatre Id de stratégie possibles qui sont déterminés par les combinaisons possibles des paramètres intégrés. Le tableau suivant identifie les combinaisons et le PolicyID associé :

  PolicyID d’une stratégie de base	Options dans la stratégie WDAC (Auditer ou Appliquer)
  {A8012CFC-D8AE-493C-B2EA-510F035F1250}	Activer la stratégie de contrôle des applications pour approuver les composants Windows et les applications du Windows Store
  {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF}	Activer la stratégie de contrôle des applications pour approuver les composants Windows et les applications du Windows Store et approuver les applications ayant une bonne réputation
  {63D1178A-816A-4AB6-8ECD-127F2DF0CE47}	Activer la stratégie de contrôle des applications pour approuver les composants Windows et les applications du Windows Store et Approuver les applications à partir de programmes d’installation gérés
  {2DA0F72D-1688-4097-847D-C42C39E631BC}	Activer la stratégie de contrôle des applications pour approuver les composants Windows et les applications du Windows Store et approuver les applications avec une bonne réputation et approuver les applications à partir des programmes d’installation gérés

Même si deux stratégies App Control for Business qui utilisent la même configuration de contrôles intégrés ont le même PolicyID, vous pouvez appliquer des stratégies supplémentaires différentes en fonction des affectations de vos stratégies.

Considérez le scénario suivant :

• Vous créez deux stratégies de base qui utilisent la même configuration et ont donc le même PolicyID. Vous déployez l’un d’entre eux dans votre équipe de direction, et la deuxième stratégie est déployée dans votre équipe de support technique.

• Ensuite, vous créez une stratégie supplémentaire qui permet à d’autres applications de s’exécuter dont votre équipe de direction a besoin. Vous affectez cette stratégie supplémentaire à ce même groupe, l’équipe de direction.

• Ensuite, vous créez une deuxième stratégie supplémentaire qui permet l’exécution des différents outils requis par votre équipe de support technique. Cette stratégie est affectée au groupe Support technique.

À la suite de ces déploiements, les deux stratégies supplémentaires peuvent modifier les deux instances de la stratégie de base. Toutefois, en raison des affectations distinctes et distinctes, la première stratégie supplémentaire modifie uniquement les applications autorisées affectées à l’équipe de direction, et la deuxième stratégie modifie uniquement les applications autorisées utilisées par l’équipe du support technique.

Créer une stratégie supplémentaire

1. Utilisez l’Assistant Contrôle d’application Windows Defender ou les applets de commande PowerShell pour générer une stratégie App Control for Business au format XML.

   Pour en savoir plus sur l’Assistant, consultez aka.ms/wdacWizard ou Assistant Microsoft WDAC.

   Lorsque vous créez une stratégie au format XML, elle doit référencer l’ID de stratégie de la stratégie de base.

2. Une fois que votre stratégie supplémentaire App Control for Business a été créée au format XML, connectez-vous au centre d’administration Microsoft Intune et accédez à Sécurité des points de terminaison>Contrôle d’application pour les entreprises (préversion),> sélectionnez l’onglet Contrôle d’application pour les entreprises, puis sélectionnez Créer une stratégie.

3. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommez les profils afin que vous puissiez facilement les identifier ultérieurement.

   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

4. Dans Paramètres de configuration, pour Format des paramètres de configuration , sélectionnez Entrer des données xml et chargez votre fichier XML.

5. Pour Affectations, sélectionnez les mêmes groupes que les groupes attribués à la stratégie de base à laquelle vous souhaitez que la stratégie supplémentaire s’applique, puis sélectionnez Suivant.

6. Pour Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie est également affichée dans la liste des stratégies.

Stratégies App Control for Business pour les locataires Éducation

Les stratégies App Control for Business dans les locataires pour les organisations éducatives prennent également en charge Windows 11 SE en plus des plateformes prises en charge dans les prérequis.

Windows 11 SE est un système d’exploitation cloud qui est optimisé pour une utilisation dans les salles de classe. Tout comme Intune éducation, Windows SE 11 donne la priorité à la productivité, à la confidentialité des étudiants et à l’apprentissage, et prend uniquement en charge les fonctionnalités et les applications essentielles pour l’éducation.

Pour faciliter cette optimisation, la stratégie WDAC et l’extension de gestion Intune sont configurées automatiquement pour les appareils Windows 11 SE :

• Intune prise en charge des appareils Windows 11 SE est limitée au déploiement de stratégies WDAC prédéfinies avec une liste définie d’applications dans les locataires EDU. Ces stratégies sont déployées automatiquement et ne peuvent pas être modifiées.

• Pour Intune locataires EDU, l’extension de gestion Intune est automatiquement définie en tant que programme d’installation managé. Cette configuration est automatique et ne peut pas être modifiée.

Supprimer la stratégie App Control for Business

Comme indiqué dans Déployer des stratégies WDAC à l’aide de Mobile Gestion des appareils (MDM) (Windows 10) - Sécurité Windows dans la documentation Sécurité Windows, les stratégies supprimées de l’interface utilisateur Intune sont supprimées du système et des appareils, mais restent en vigueur jusqu’au prochain redémarrage de l’ordinateur.

Pour désactiver ou supprimer l’application WDAC :

1. Remplacez la stratégie existante par une nouvelle version de la stratégie qui sera Allow /*, comme les règles de l’exemple de stratégie trouvé sur les appareils Windows à l’adresse %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

   Cette configuration supprime tous les blocs qui pourraient être laissés en place sur un appareil après la suppression de la stratégie.

2. Une fois la stratégie mise à jour déployée, vous pouvez supprimer la nouvelle stratégie du portail Intune.

Cette séquence empêche tout blocage et supprime complètement la stratégie WDAC au prochain redémarrage.

Surveiller les stratégies App Control for Business et le programme d’installation managé

Une fois que les appareils se sont vu attribuer des stratégies App Control for Business et Managed Installer, vous pouvez afficher les détails des stratégies dans le centre d’administration.

• Pour afficher les rapports, votre compte doit disposer de l’autorisation Lecture pour la catégorie de contrôle d’accès en fonction du rôle Intune de l’organisation.

Pour afficher les rapports, connectez-vous au centre d’administration Intune et accédez au nœud Contrôle de compte. (Sécurité des points> de terminaisonContrôle de compte (préversion)). Ici, vous pouvez sélectionner l’onglet pour les détails de stratégie que vous souhaitez afficher :

Programme d’installation managé

Sous l’onglet Programme d’installation géré, vous pouvez afficher les status, le nombre de réussites et les détails des erreurs de la stratégie Managed Installer – Intune Management Extension :

Sélectionnez le nom de la stratégie pour ouvrir sa page Vue d’ensemble, où vous pouvez afficher les informations suivantes :

• Status de l’appareil, un nombre statique de réussites et d’erreurs.

• Tendance status des appareils, un graphique historique qui affiche un chronologie et le nombre d’appareils dans chaque catégorie de détails.

Les détails du rapport sont les suivants :

• Réussite : appareils qui ont correctement appliqué la stratégie.

• Erreur : appareils présentant des erreurs.

• Nouveaux appareils : les nouveaux appareils identifient les appareils qui ont récemment appliqué la stratégie.

  

La mise à jour des sections Status d’appareil et Status de l’appareil dans vue d’ensemble peut prendre jusqu’à 24 heures.

Lorsque vous affichez les détails de la stratégie, vous pouvez sélectionner Appareil status (sous Surveiller) pour ouvrir une vue basée sur l’appareil des détails de la stratégie. La vue Status de l’appareil affiche les détails suivants que vous pouvez utiliser pour identifier les problèmes si un appareil ne parvient pas à appliquer la stratégie :

• Nom du périphérique
• Nom d’utilisateur
• Version du système d'exploitation
• Programme d’installation géré status (Réussite ou Erreur)

La mise à jour de l’affichage basé sur l’appareil des détails de la stratégie peut prendre plusieurs minutes une fois que l’appareil a réellement reçu la stratégie.

Contrôle d’application pour les entreprises

Sous l’onglet App Control for Business , vous pouvez afficher la liste de vos stratégies App Control for Business et des détails de base, notamment si elle a été attribuée et quand elle a été modifiée pour la dernière fois.

Sélectionnez une stratégie pour ouvrir une vue qui contient d’autres options de rapport :

Les options de rapport pour la stratégie sont les suivantes :

• Appareil et case activée utilisateur status : graphique simple qui affiche le nombre d’appareils signalant chaque status disponible pour cette stratégie.

• Afficher le rapport : une vue avec la liste des appareils qui ont reçu cette stratégie s’ouvre. Ici, vous pouvez sélectionner des appareils pour explorer et afficher leur format de paramètres de stratégie App Control for Business.

La vue de stratégie inclut également les vignettes de rapport suivantes :

• Affectation d’appareil status : ce rapport affiche tous les appareils ciblés par la stratégie, y compris les appareils dans un état d’attribution de stratégie en attente.

  Avec ce rapport, vous pouvez sélectionner les valeurs d’affectation status que vous souhaitez afficher, puis sélectionner Générer le rapport pour actualiser les appareils individuels qui ont reçu la stratégie, leur dernier utilisateur actif et l’affectation status.

  Vous pouvez également sélectionner des appareils pour explorer et afficher leur format de paramètres de stratégie App Control for Business.

• Par paramètre status : ce rapport affiche le nombre d’appareils qui signalent status comme Réussite, Erreur ou Conflit pour les paramètres de cette stratégie.

Questions fréquentes (FAQ)

Quand dois-je définir l’extension de gestion Intune comme programme d’installation géré ?

Nous vous recommandons de configurer l’extension de gestion Intune en tant que programme d’installation managé lors de la prochaine opportunité disponible.

Une fois définies, les applications suivantes que vous déployez sur les appareils sont correctement étiquetées pour prendre en charge les stratégies WDAC qui approuvent les applications des programmes d’installation gérés.

Dans les environnements où les applications déployées avant la configuration d’un programme d’installation managé, nous vous recommandons de déployer de nouvelles stratégies WDAC en mode audit afin de pouvoir identifier les applications qui ont été déployées, mais pas marquées comme approuvées. Vous pouvez ensuite passer en revue les résultats de l’audit et déterminer quelles applications doivent être approuvées. Pour les applications que vous approuverez et autoriserez à s’exécuter, vous pouvez ensuite créer des stratégies WDAC personnalisées pour autoriser ces applications.

Il peut être utile d’explorer la chasse avancée, qui est une fonctionnalité de Microsoft Defender pour point de terminaison qui facilite l’interrogation des événements d’audit sur les nombreux ordinateurs gérés par les administrateurs informatiques et les aide à créer des stratégies.

Que dois-je faire avec l’ancienne stratégie de contrôle d’application de ma stratégie de réduction de la surface d’attaque

Vous remarquerez peut-être des instances de la stratégie De contrôle d’application dans l’interface utilisateur Intune sousRéduction de la surface d’attachement de la sécurité> du point de terminaison ou sous Appareils>Gérer la configuration des appareils>. Celles-ci seront déconseillées dans une version ultérieure.

Que se passe-t-il si j’ai plusieurs stratégies de base ou supplémentaires sur le même appareil ?

Avant Windows 10 1903, App Control for Business ne prend en charge qu’une seule stratégie active sur un système à un moment donné. Ce comportement limite considérablement les clients dans les situations où plusieurs stratégies avec des intentions différentes seraient utiles. Aujourd’hui, plusieurs stratégies de base et supplémentaires sont prises en charge sur le même appareil. En savoir plus sur le déploiement de plusieurs stratégies App Control for Business.

Sur une note connexe, il n’existe plus de limitation de 32 stratégies actives sur le même appareil pour App Control for Business. Ce problème est résolu pour les appareils qui s’exécutent Windows 10 1903 ou version ultérieure avec une mise à jour de sécurité Windows publiée le 12 mars 2024 ou après. Les versions antérieures de Windows devraient recevoir ce correctif dans les futures mises à jour de sécurité Windows.

La fonctionnalité d’adhésion à Managed Installer pour mon locataire définit-elle les applications installées à partir de Configuration Manager avec la balise appropriée ?

Non. Cette version se concentre sur la définition des applications installées à partir de Intune, à l’aide de l’extension de gestion Intune, comme programme d’installation managé. Il ne peut pas définir Configuration Manager comme programme d’installation géré.

Si vous souhaitez définir Configuration Manager comme programme d’installation managé, vous pouvez autoriser ce comportement à partir de Configuration Manager. Si vous avez déjà Configuration Manager défini comme programme d’installation managé, le comportement attendu est que la nouvelle stratégie AppLocker d’extension de gestion Intune fusionne avec la stratégie Configuration Manager existante.

Quelles considérations dois-je avoir pour les appareils Entra Hybrid Join (HAADJ) au sein de mon organization qui souhaitent utiliser Managed Installer ?

Les appareils de jointure hybride Entra nécessitent une connectivité à un contrôleur de domaine local pour appliquer des stratégies de groupe, y compris la stratégie Programme d’installation managé (via AppLocker). Sans connectivité DC, en particulier lors de l’approvisionnement Autopilot, la stratégie Managed Installer ne s’applique pas correctement. Considérez :

1. Utilisez Autopilot avec la jointure Entra à la place. Consultez notre recommandation pour l’option entra join à choisir pour plus d’informations.

2. Pour la jointure hybride Entra, choisissez l’une des options suivantes ou les deux :

   • Utilisez des méthodes d’approvisionnement d’appareils qui fournissent une connectivité contrôleur de domaine au moment de l’installation de l’application, car Autopilot peut ne pas fonctionner ici.
   • Déployez des applications une fois l’approvisionnement Autopilot terminé, afin que la connectivité dc soit établie au moment de l’installation de l’application et que la stratégie Managed Installer puisse s’appliquer.

Étapes suivantes

Configurer des stratégies de sécurité de point de terminaison