Paramètres de conformité des appareils pour Windows 10/11 dans Intune
Cet article répertorie et décrit les différents paramètres de conformité que vous pouvez configurer sur les appareils Windows dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles (MDM), utilisez ces paramètres pour exiger BitLocker, définir un système d’exploitation minimal et maximal, définir un niveau de risque à l’aide de Microsoft Defender pour point de terminaison, etc.
Cette fonctionnalité s’applique à :
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger vos ressources organisationnelles. Pour en savoir plus sur les stratégies de conformité et leur action, consultez Prise en main de la conformité des appareils.
Avant de commencer
Créez une stratégie de conformité. Pour Plateforme, sélectionnez Windows 10 et ultérieur.
Intégrité de l’appareil
Pour garantir que les appareils démarrent à un état approuvé, Intune utilise les services d’attestation d’appareil Microsoft. Les appareils dans les services intune commerciaux, US Government GCC High et DoD exécutant Windows 10 utilisent le service DHA (Device Health Attestation).
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Règles d’évaluation du service d’attestation d’intégrité Windows
Exiger BitLocker :
Le chiffrement de lecteur Windows BitLocker chiffre toutes les données stockées sur le volume du système d’exploitation Windows. BitLocker utilise le module de plateforme sécurisée (TPM) pour protéger le système d’exploitation Windows et les données utilisateur. Il permet également de confirmer qu’un ordinateur n’est pas falsifié, même s’il est laissé sans assistance, perdu ou volé. Si l’ordinateur est équipé d’un module TPM compatible, BitLocker utilise le module de plateforme sécurisée pour verrouiller les clés de chiffrement qui protègent les données. Par conséquent, les clés ne sont pas accessibles tant que le module de plateforme sécurisée n’a pas vérifié l’état de l’ordinateur.- Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
- Exiger : l’appareil peut protéger les données stockées sur le lecteur contre tout accès non autorisé lorsque le système est éteint ou en veille prolongée.
Device HealthAttestation CSP - BitLockerStatus
Remarque
Si vous utilisez une stratégie de conformité d’appareil dans Intune, n’oubliez pas que l’état de ce paramètre n’est mesuré qu’au moment du démarrage. Par conséquent, même si le chiffrement BitLocker peut être terminé, un redémarrage sera nécessaire pour que l’appareil détecte cela et devienne conforme. Pour plus d’informations, consultez le blog de support Microsoft suivant sur l’attestation d’intégrité de l’appareil.
Exiger que le démarrage sécurisé soit activé sur l’appareil :
- Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
- Exiger : le système est forcé de démarrer à un état approuvé d’usine. Les principaux composants utilisés pour démarrer l’ordinateur doivent avoir des signatures de chiffrement correctes approuvées par l’organisation qui a fabriqué l’appareil. Le microprogramme UEFI vérifie la signature avant de laisser la machine démarrer. Si des fichiers sont falsifiés, ce qui rompt leur signature, le système ne démarre pas.
Remarque
Le paramètre Exiger l’activation du démarrage sécurisé sur l’appareil est pris en charge sur certains appareils TPM 1.2 et 2.0. Pour les appareils qui ne prennent pas en charge TPM 2.0 ou version ultérieure, l’état de la stratégie dans Intune s’affiche comme Non conforme. Pour plus d’informations sur les versions prises en charge, consultez Attestation d’intégrité de l’appareil.
Exiger l’intégrité du code :
L’intégrité du code est une fonctionnalité qui valide l’intégrité d’un fichier de pilote ou système chaque fois qu’il est chargé en mémoire.- Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
- Exiger : exiger l’intégrité du code, qui détecte si un pilote ou un fichier système non signé est chargé dans le noyau. Il détecte également si un fichier système est modifié par un logiciel malveillant ou exécuté par un compte d’utilisateur disposant de privilèges d’administrateur.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Pour plus d’informations sur le fonctionnement du service d’attestation d’intégrité, consultez Csp Attestation d’intégrité.
- Conseil de support : Utilisation des paramètres d’attestation d’intégrité de l’appareil dans le cadre de votre stratégie de conformité Intune.
Propriétés de l’appareil
Version du système d’exploitation
Pour découvrir les versions de build de toutes les mises à jour des fonctionnalités windows 10/11 et mises à jour cumulatives (à utiliser dans certains des champs ci-dessous), consultez informations sur les versions de Windows. Veillez à inclure le préfixe de version approprié avant les numéros de build, comme 10.0 pour Windows 10, comme l’illustrent les exemples suivants.
Version minimale du système d’exploitation :
Entrez la version minimale autorisée au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes, puis tapezver
. Laver
commande retourne la version au format suivant :Microsoft Windows [Version 10.0.17134.1]
Lorsqu’un appareil a une version antérieure à la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.
Version maximale du système d’exploitation :
Entrez la version maximale autorisée, au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes, puis tapezver
. Laver
commande retourne la version au format suivant :Microsoft Windows [Version 10.0.17134.1]
Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version entrée, l’accès aux ressources de l’organisation est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources de l’organisation tant que la règle n’a pas été modifiée pour autoriser la version du système d’exploitation.
Système d’exploitation minimal requis pour les appareils mobiles :
Entrez la version minimale autorisée, au format de numéro major.minor.build.Lorsqu’un appareil dispose d’une version antérieure à la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.
Système d’exploitation maximal requis pour les appareils mobiles :
Entrez la version maximale autorisée, dans le numéro major.minor.build.Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version entrée, l’accès aux ressources de l’organisation est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources de l’organisation tant que la règle n’a pas été modifiée pour autoriser la version du système d’exploitation.
Builds de système d’exploitation valides :
Spécifiez une liste des builds minimales et maximales du système d’exploitation. Les builds de système d’exploitation valides offrent une flexibilité supplémentaire par rapport aux versions minimale et maximale du système d’exploitation. Imaginez un scénario où la version minimale du système d’exploitation est définie sur 10.0.18362.xxx (Windows 10 1903) et la version maximale du système d’exploitation est définie sur 10.0.18363.xxx (Windows 10 1909). Cette configuration peut permettre à un appareil Windows 10 1903 qui n’a pas de mises à jour cumulatives récentes installées d’être identifié comme conforme. Les versions minimales et maximales du système d’exploitation peuvent convenir si vous avez normalisé une seule version de Windows 10, mais elles peuvent ne pas répondre à vos besoins si vous avez besoin d’utiliser plusieurs builds, chacune avec des niveaux de correctif spécifiques. Dans ce cas, envisagez de tirer parti des builds de système d’exploitation valides à la place, ce qui permet de spécifier plusieurs builds conformément à l’exemple suivant.La plus grande valeur prise en charge pour chacun des champs de version, principal, secondaire et de build est 65535. Par exemple, la plus grande valeur que vous pouvez entrer est 65535.65535.65535.65535.
Exemple :
Le tableau suivant est un exemple de plage pour les versions de systèmes d’exploitation acceptables pour différentes versions de Windows 10. Dans cet exemple, trois mises à jour de fonctionnalités différentes ont été autorisées (1809, 1909 et 2004). Plus précisément, seules les versions de Windows qui ont appliqué des mises à jour cumulatives de juin à septembre 2020 seront considérées comme conformes. Il s’agit uniquement d’exemples de données. Le tableau comprend une première colonne qui inclut le texte que vous souhaitez décrire l’entrée, suivie de la version minimale et maximale du système d’exploitation pour cette entrée. Les deuxième et troisième colonnes doivent respecter les versions de build de système d’exploitation valides au format de numéro major.minor.build.revision . Après avoir défini une ou plusieurs entrées, vous pouvez exporter la liste sous la forme d’un fichier CSV (valeurs séparées par des virgules).Description Version minimale du système d’exploitation Version maximale du système d’exploitation Win 10 2004 (juin-septembre 2020) 10.0.19041.329 10.0.19041.508 Victoire 10 1909 (juin-septembre 2020) 10.0.18363.900 10.0.18363.1110 Victoire 10 1809 (juin-septembre 2020) 10.0.17763.1282 10.0.17763.1490 Remarque
Si vous spécifiez plusieurs plages de builds de version de système d’exploitation dans votre stratégie et qu’un appareil a une build en dehors des plages conformes, le Portail d’entreprise informe l’utilisateur de l’appareil que l’appareil n’est pas conforme à ce paramètre. Toutefois, n’oubliez pas qu’en raison de limitations techniques, le message de correction de conformité affiche uniquement la première plage de versions du système d’exploitation spécifiée dans la stratégie. Nous vous recommandons de documenter les plages de versions de système d’exploitation acceptables pour les appareils gérés dans votre organisation.
Conformité de Configuration Manager
S’applique uniquement aux appareils cogérés exécutant Windows 10/11. Les appareils Intune uniquement retournent un état non disponible.
-
Exiger la conformité de l’appareil à partir de Configuration Manager :
- Non configuré (par défaut) : Intune ne vérifie pas la conformité des paramètres Configuration Manager.
- Exiger : exiger que tous les paramètres (éléments de configuration) dans Configuration Manager soient conformes.
Sécurité système
Mot de passe
Exiger un mot de passe pour déverrouiller les appareils mobiles :
- Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
- Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.
Mots de passe simples :
- Non configuré (valeur par défaut) : les utilisateurs peuvent créer des mots de passe simples, tels que 1234 ou 1111.
- Bloquer : les utilisateurs ne peuvent pas créer de mots de passe simples, tels que 1234 ou 1111.
Type de mot de passe :
Choisissez le type de mot de passe ou de code confidentiel requis. Les options disponibles sont les suivantes :- Appareil par défaut (par défaut) : exiger un mot de passe, un code confidentiel numérique ou un code confidentiel alphanumérique
- Numérique : exiger un mot de passe ou un code pin numérique
- Alphanumérique : exiger un mot de passe ou un code confidentiel alphanumérique.
Lorsqu’il est défini sur Alphanumérique, les paramètres suivants sont disponibles :
Complexité du mot de passe :
Les options disponibles sont les suivantes :- Exiger des chiffres et des lettres minuscules (par défaut)
- Exiger des chiffres, des lettres minuscules et des lettres majuscules
- Exiger des chiffres, des lettres minuscules, des lettres majuscules et des caractères spéciaux
Conseil
Les stratégies de mot de passe alphanumériques peuvent être complexes. Nous encourageons les administrateurs à lire les csp pour plus d’informations :
Longueur minimale du mot de passe :
Entrez le nombre minimal de chiffres ou de caractères que le mot de passe doit contenir.Nombre maximal de minutes d’inactivité avant que le mot de passe ne soit requis :
Entrez le temps d’inactivité avant que l’utilisateur ne doit entrer à nouveau son mot de passe.Expiration du mot de passe (jours) :
Entrez le nombre de jours avant l’expiration du mot de passe, et ils doivent en créer un, de 1 à 730.Nombre de mots de passe précédents pour empêcher la réutilisation :
Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés.Exiger un mot de passe lorsque l’appareil revient de l’état d’inactivité (mobile et holographique) :
- Non configuré (par défaut)
- Exiger : demandez aux utilisateurs de l’appareil d’entrer le mot de passe chaque fois que l’appareil revient d’un état inactif.
Importante
Lorsque l’exigence de mot de passe est modifiée sur un bureau Windows, les utilisateurs sont affectés la prochaine fois qu’ils se connectent, car c’est à ce moment que l’appareil passe d’inactif à actif. Les utilisateurs avec des mots de passe qui répondent à la condition sont toujours invités à modifier leurs mots de passe.
Chiffrement
Chiffrement du stockage de données sur un appareil :
Ce paramètre s’applique à tous les lecteurs d’un appareil.- Non configuré (par défaut)
- Exiger : utilisez Exiger pour chiffrer le stockage de données sur vos appareils.
Fournisseur de services de configuration DeviceStatus - DeviceStatus/Compliance/EncryptionCompliance
Remarque
Le paramètre Chiffrement du stockage de données sur un appareil vérifie de façon générique la présence du chiffrement sur l’appareil, plus spécifiquement au niveau du lecteur du système d’exploitation. Actuellement, Intune prend uniquement en charge la vérification de chiffrement avec BitLocker. Pour un paramètre de chiffrement plus robuste, envisagez d’utiliser Exiger BitLocker, qui tire parti de l’attestation d’intégrité de l’appareil Windows pour valider l’état de BitLocker au niveau du TPM. Toutefois, lorsque vous tirez parti de ce paramètre, sachez qu’un redémarrage peut être nécessaire avant que l’appareil soit considéré comme conforme.
Sécurité des appareils
Pare-feu :
- Non configuré (par défaut) : Intune ne contrôle pas le Pare-feu Windows, ni ne modifie les paramètres existants.
- Exiger : activez le Pare-feu Windows et empêchez les utilisateurs de le désactiver.
Remarque
Si l’appareil se synchronise immédiatement après un redémarrage ou se synchronise immédiatement après la mise en veille, ce paramètre peut être indiqué comme une erreur. Ce scénario peut ne pas affecter l’état de conformité globale de l’appareil. Pour réévaluer l’état de conformité, synchronisez manuellement l’appareil.
Si une configuration est appliquée (par exemple, via une stratégie de groupe) à un appareil qui configure le Pare-feu Windows pour autoriser tout le trafic entrant ou désactive le pare-feu, la définition du pare-feu sur Exiger renvoie Non conforme, même si la stratégie de configuration d’appareil Intune active le pare-feu. Cela est dû au fait que l’objet de stratégie de groupe remplace la stratégie Intune. Pour résoudre ce problème, nous vous recommandons de supprimer tous les paramètres de stratégie de groupe en conflit ou de migrer vos paramètres de stratégie de groupe liés au pare-feu vers la stratégie de configuration d’appareil Intune. En général, nous vous recommandons de conserver les paramètres par défaut, notamment le blocage des connexions entrantes. Pour plus d’informations, consultez Meilleures pratiques pour configurer le Pare-feu Windows.
Module de plateforme sécurisée (TPM) :
- Non configuré (par défaut) : Intune ne vérifie pas la version de la puce TPM sur l’appareil.
- Exiger : Intune vérifie la conformité de la version de la puce TPM. L’appareil est conforme si la version de la puce TPM est supérieure à 0 (zéro). L’appareil n’est pas conforme s’il n’existe pas de version TPM sur l’appareil.
Fournisseur de services de configuration DeviceStatus - DeviceStatus/TPM/SpecificationVersion
Antivirus :
- Non configuré (par défaut) : Intune ne vérifie pas les solutions antivirus installées sur l’appareil.
- Exiger : vérifiez la conformité à l’aide de solutions antivirus inscrites auprès du Centre de sécurité Windows, telles que Symantec et Microsoft Defender. Lorsqu’il est défini sur Exiger, un appareil dont le logiciel antivirus est désactivé ou obsolète n’est pas conforme.
Fournisseur de services de configuration DeviceStatus - DeviceStatus/Antivirus/Status
Antispyware :
- Non configuré (par défaut) : Intune ne vérifie pas les solutions anti-espion installées sur l’appareil.
- Exiger : vérifiez la conformité à l’aide de solutions anti-espion inscrites auprès du Centre de sécurité Windows, telles que Symantec et Microsoft Defender. Lorsqu’il est défini sur Exiger, un appareil dont le logiciel anti-programme malveillant est désactivé ou obsolète n’est pas conforme.
Fournisseur de services de configuration DeviceStatus - DeviceStatus/Antispyware/Status
Défenseur
Les paramètres de conformité suivants sont pris en charge avec Windows 10/11 Desktop.
Microsoft Defender Antimalware :
- Non configuré (par défaut) : Intune ne contrôle pas le service, ni ne modifie les paramètres existants.
- Exiger : activez le service anti-programme malveillant Microsoft Defender et empêchez les utilisateurs de le désactiver.
Version minimale de Microsoft Defender Antimalware :
Entrez la version minimale autorisée du service anti-programme malveillant Microsoft Defender. Par exemple, entrez4.11.0.0
. Lorsqu’elle n’est pas vide, n’importe quelle version du service microsoft Defender anti-programme malveillant peut être utilisée.Par défaut, aucune version n’est configurée.
Veille de sécurité Microsoft Defender Antimalware à jour :
Contrôle les mises à jour de la protection contre les virus et les menaces de sécurité Windows sur les appareils.- Non configuré (par défaut) : Intune n’applique aucune exigence.
- Exiger : forcez le renseignement de sécurité Microsoft Defender à être à jour.
Pour plus d’informations, consultez Mises à jour du renseignement de sécurité pour Antivirus Microsoft Defender et autres logiciels anti-programme malveillant Microsoft.
Protection en temps réel :
- Non configuré (par défaut) : Intune ne contrôle pas cette fonctionnalité, ni ne modifie les paramètres existants.
- Exiger : activez la protection en temps réel, qui recherche les logiciels malveillants, les logiciels espions et autres logiciels indésirables.
Microsoft Defender pour point de terminaison
Règles Microsoft Defender pour point de terminaison
Pour plus d’informations sur l’intégration de Microsoft Defender pour point de terminaison dans les scénarios d’accès conditionnel, consultez Configurer l’accès conditionnel dans Microsoft Defender pour point de terminaison.
Exiger que l’appareil soit au niveau ou sous le score de risque de la machine :
Utilisez ce paramètre pour prendre l’évaluation des risques de vos services de menace de défense comme condition de conformité. Choisissez le niveau de menace maximal autorisé :- Non configuré (par défaut)
- Effacer : cette option est la plus sécurisée, car l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté comme présentant un niveau quelconque de menaces, il est évalué comme non conforme.
- Faible : l’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. Tout ce qui est supérieur place l’appareil dans un état non conforme.
- Moyen : l’appareil est évalué comme conforme si les menaces existantes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
- Élevé : cette option est la moins sécurisée et autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.
Pour configurer Microsoft Defender pour point de terminaison en tant que service de menace de défense, consultez Activer Microsoft Defender pour point de terminaison avec l’accès conditionnel.
Windows Holographic for Business
Windows Holographic for Business utilise la plateforme Windows 10 et versions ultérieures . Windows Holographic for Business prend en charge le paramètre suivant :
- Sécurité> du systèmeChiffrement>Chiffrement du stockage de données sur l’appareil.
Pour vérifier le chiffrement de l’appareil sur Microsoft HoloLens, consultez Vérifier le chiffrement de l’appareil.
Surface Hub
Surface Hub utilise la plateforme Windows 10 et ultérieure . Les Surface Hubs sont pris en charge à la fois pour la conformité et l’accès conditionnel. Pour activer ces fonctionnalités sur les Surface Hubs, nous vous recommandons d’activer l’inscription automatique Windows dans Intune (nécessite l’ID Microsoft Entra) et de cibler les appareils Surface Hub en tant que groupes d’appareils. Les Surface Hubs doivent être joints à Microsoft Entra pour que la conformité et l’accès conditionnel fonctionnent.
Pour obtenir de l’aide, consultez Configurer l’inscription pour les appareils Windows.
Considérations spéciales pour les Surface Hubs exécutant le système d’exploitation d’équipe Windows 10/11 :
Les Surface Hubs qui exécutent le système d’exploitation d’équipe Windows 10/11 ne prennent pas en charge les stratégies de conformité microsoft Defender pour point de terminaison et mot de passe pour le moment. Par conséquent, pour les Surface Hubs qui exécutent le système d’exploitation Windows 10/11 Team, définissez les deux paramètres suivants sur leur valeur par défaut Non configuré :
Dans la catégorie Mot de passe, définissez Exiger un mot de passe pour déverrouiller les appareils mobiles sur la valeur par défaut Non configuré.
Dans la catégorie Microsoft Defender pour point de terminaison, définissez Exiger que l’appareil soit au niveau ou sous le score de risque de l’ordinateur sur la valeur par défaut Non configuré.