Configurer l’accès conditionnel dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cette section vous guide tout au long des étapes à suivre pour implémenter correctement l’accès conditionnel.

Avant de commencer

Avertissement

Il est important de noter que les appareils inscrits à Microsoft Entra ne sont pas pris en charge dans ce scénario.
Seuls les appareils inscrits à Intune sont pris en charge.

Vous devez vous assurer que tous vos appareils sont inscrits dans Intune. Vous pouvez utiliser l’une des options suivantes pour inscrire des appareils dans Intune :

• Administrateur informatique : pour plus d’informations sur l’activation de l’inscription automatique, consultez Inscription Windows
• Utilisateur final : pour plus d’informations sur l’inscription de votre appareil Windows 10 et Windows 11 dans Intune, consultez Inscrire votre appareil Windows 10 dans Intune
• Alternative utilisateur final : pour plus d’informations sur la jonction d’un domaine Microsoft Entra, consultez Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.

Vous devez effectuer certaines étapes dans le portail Microsoft Defender, le portail Intune et le Centre d’administration Microsoft Entra.

Il est important de noter les rôles requis pour accéder à ces portails et implémenter l’accès conditionnel :

• Portail Microsoft Defender : vous devez vous connecter au portail avec un rôle Administrateur général pour activer l’intégration.
• Intune : vous devez vous connecter au portail avec des droits d’administrateur de sécurité avec des autorisations de gestion.
• Centre d’administration Microsoft Entra : vous devez vous connecter en tant qu’administrateur général, administrateur de la sécurité ou administrateur de l’accès conditionnel.

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Remarque

Vous aurez besoin d’un environnement Microsoft Intune, avec des appareils Windows 10 et Windows 11 gérés et joints à Microsoft Entra.

Procédez comme suit pour activer l’accès conditionnel :

• Étape 1 : Activer la connexion Microsoft Intune à partir de Microsoft Defender XDR
• Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune
• Étape 3 : Créer la stratégie de conformité dans Intune
• Étape 4 : Attribuer la stratégie
• Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra

Étape 1 : Activer la connexion Microsoft Intune

1. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>générales> connexion >Microsoft Intune.

2. Basculez le paramètre Microsoft Intune sur Activé.

3. Cliquez sur Enregistrer les préférences.

Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune

1. Se connecter au portail Intune

2. Sélectionnez Sécurité> des points determinaison Microsoft Defender pour point de terminaison.

3. Définissez Connecter les appareils Windows 10.0.15063+ à Microsoft Defender Advanced Threat Protection sur Activé.

4. Cliquez sur Save (Enregistrer).

Étape 3 : Créer la stratégie de conformité dans Intune

1. Dans le portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.

2. Sélectionnez Stratégies de conformitéde l’appareil>>Créer une stratégie.

3. Entrez un nom et une description.

4. Dans Plateforme, sélectionnez Windows 10 et versions ultérieures.

5. Dans les paramètres d’intégrité de l’appareil, définissez Exiger que l’appareil soit au niveau de menace de l’appareil ou sous celui de votre choix :

   • Sécurisé : ce niveau est le plus sûr. L’appareil ne peut pas avoir de menaces existantes et accéder toujours aux ressources de l’entreprise. Si des menaces sont détectées, l’appareil est évalué comme non conforme.
   • Faible : l’appareil est conforme seulement si les menaces détectées sont de niveau faible. Les appareils présentant des niveaux de menace moyens ou élevés ne sont pas conformes.
   • Moyen : l’appareil est conforme si les menaces détectées sont de niveau faible ou moyen. Si des menaces de niveau élevé sont détectées, l’appareil est considéré comme non conforme.
   • Élevé : ce niveau est le moins sécurisé et autorise tous les niveaux de menace. Ainsi, les appareils qui présentent des niveaux de menace élevés, moyens ou faibles sont considérés comme conformes.

6. Sélectionnez OK, puis Créer pour enregistrer vos modifications (et créer la stratégie).

Étape 4 : Attribuer la stratégie

1. Dans le portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.

2. SélectionnezStratégies>de conformité> des appareils sélectionnez votre stratégie de conformité Microsoft Defender pour point de terminaison.

3. Sélectionnez Devoirs.

4. Incluez ou excluez vos groupes Microsoft Entra pour leur attribuer la stratégie.

5. Pour déployer la stratégie dans les groupes, sélectionnez Enregistrer. La conformité des appareils utilisateur ciblés par la stratégie est évaluée.

Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra

1. Dans le portail Azure, ouvrez Lanouvelle stratégied’accès> conditionnel id> Microsoft Entra.

2. Entrez un nom de stratégie, puis sélectionnez Utilisateurs et groupes. Utilisez les options Inclure et Exclure pour ajouter vos groupes à la stratégie, puis sélectionnez Terminé.

3. Sélectionnez Applications cloud, puis choisissez les applications à protéger. Par exemple, choisissez Sélectionner les applications, puis sélectionnez Office 365 SharePoint Online et Office 365 Exchange Online. Sélectionnez OK pour enregistrer vos modifications.

4. Sélectionnez Conditions>Applications clientes pour appliquer la stratégie aux applications et aux navigateurs. Par exemple, sélectionnez Oui, puis activez Navigateur et Applications mobiles et clients de bureau. Sélectionnez OK pour enregistrer vos modifications.

5. Sélectionnez Accorder pour appliquer l’accès conditionnel basé sur la conformité des appareils. Par exemple, sélectionnez Accorder l’accès>Exiger que l’appareil soit marqué comme conforme. Choisissez Sélectionner pour enregistrer vos changements.

6. Sélectionnez Activer la stratégie, puis Créer pour enregistrer vos changements.

Remarque

Vous pouvez utiliser l’application Microsoft Defender pour point de terminaison avec l’application cliente approuvée , la stratégie De protection des applications et les contrôles Appareil conforme (Exiger que l’appareil soit marqué comme conforme) dans les stratégies d’accès conditionnel Microsoft Entra. Aucune exclusion n’est requise pour l’application Microsoft Defender pour point de terminaison lors de la configuration de l’accès conditionnel. Bien que Microsoft Defender pour point de terminaison sur Android & iOS (ID d’application - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) n’est pas une application approuvée, il est en mesure de signaler la posture de sécurité de l’appareil dans les trois autorisations accordées.

Toutefois, Defender demande en interne l’étendue MSGraph/User.read et l’étendue du tunnel Intune (dans le cas de scénarios Defender+Tunnel). Ces étendues doivent donc être exclues*. Pour exclure l’étendue MSGraph/User.read, n’importe quelle application cloud peut être exclue. Pour exclure l’étendue tunnel, vous devez exclure « Microsoft Tunnel Gateway ». Ces autorisations et exclusions activent le flux d’informations de conformité vers l’accès conditionnel.

L’application d’une stratégie d’accès conditionnel à Toutes les applications cloud peut bloquer par inadvertance l’accès des utilisateurs dans certains cas, c’est donc déconseillé. En savoir plus sur les stratégies d’accès conditionnel sur Cloud Apps

Pour plus d’informations, consultez Appliquer la conformité pour Microsoft Defender pour point de terminaison avec l’accès conditionnel dans Intune.

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.