Intégrer des appareils Windows à l’aide d’une stratégie de groupe
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
S’applique à :
- Stratégie de groupe
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.
Pour Windows Server 2019 et Windows Server 2022, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence stratégie de groupe.
Remarque
Si vous utilisez la nouvelle solution de Microsoft Defender pour point de terminaison unifiée pour Windows Server 2012 R2 et 2016, vérifiez que vous utilisez les derniers fichiers ADMX dans votre magasin central pour accéder aux fichiers appropriés. Microsoft Defender pour point de terminaison options de stratégie. Reportez-vous à La création et à la gestion du Magasin central pour stratégie de groupe modèles d’administration dans Windows et téléchargez les derniers fichiers à utiliser avec Windows 10.
Consultez Identifier l’architecture et la méthode de déploiement de Defender pour point de terminaison pour voir les différents chemins d’accès au déploiement de Defender pour point de terminaison.
Ouvrez le fichier de package de configuration de la stratégie de groupe (
WindowsDefenderATPOnboardingPackage.zip
) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir du portail Microsoft Defender :Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.
Sélectionnez le système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier WindowsDefenderATPOnboardingScript.cmd.
Pour créer un objet de stratégie de groupe, ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis cliquez sur Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis cliquez sur OK.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).
Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier WindowsDefenderATPOnboardingScript.cmd partagé.
Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.
Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Cliquez sur OK.
Conseil
Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré.
Paramètres de configuration supplémentaires de Defender pour point de terminaison
Pour chaque appareil, vous pouvez indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Microsoft Defender XDR d’envoyer un fichier à des fins d’analyse approfondie.
Vous pouvez utiliser stratégie de groupe (GP) pour configurer des paramètres, tels que les paramètres de l’exemple de partage utilisé dans la fonctionnalité d’analyse approfondie.
Configurer des exemples de paramètres de regroupement
Sur votre appareil de gestion gp, copiez les fichiers suivants à partir du package de configuration :
Copiez AtpConfiguration.admx dans C :\Windows\PolicyDefinitions
Copiez AtpConfiguration.adml dans C :\Windows\PolicyDefinitions\en-US
Si vous utilisez un magasin central pour stratégie de groupe modèles d’administration, copiez les fichiers suivants à partir du package de configuration :
Copiez AtpConfiguration.admx dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions
Copiez AtpConfiguration.adml dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US
Ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur.
Cliquez sur Stratégies, puis sur Modèles d’administration.
Cliquez sur Composants Windows, puis Windows Defender ATP.
Choisissez d’activer ou de désactiver le partage d’exemples à partir de vos appareils.
Remarque
Si vous ne définissez pas de valeur, la valeur par défaut est d’activer la collection d’exemples.
Autres paramètres de configuration recommandés
Mettre à jour la configuration endpoint Protection
Après avoir configuré le script d’intégration, continuez à modifier la même stratégie de groupe pour ajouter des configurations Endpoint Protection. Effectuez des modifications de stratégie de groupe à partir d’un système exécutant Windows 10 ou Server 2019, Windows 11 ou Windows Server 2022 pour vous assurer que vous disposez de toutes les fonctionnalités antivirus Microsoft Defender requises. Vous devrez peut-être fermer et rouvrir l’objet de stratégie de groupe pour inscrire les paramètres de configuration Defender ATP.
Toutes les stratégies se trouvent sous Computer Configuration\Policies\Administrative Templates
.
Emplacement de la stratégie : \Composants Windows\Windows Defender ATP
Stratégie | Setting |
---|---|
Activer\Désactiver l’exemple de collection | Activé : « Activer la collecte d’exemples sur les machines » cochée |
Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender
Stratégie | Setting |
---|---|
Configurer la détection des applications potentiellement indésirables | Activé, Bloquer |
Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\MAPS
Stratégie | Setting |
---|---|
Rejoindre Microsoft MAPS | Enabled, Advanced MAPS |
Envoyer des exemples de fichiers quand une analyse supplémentaire est requise | Activé, Envoyer des exemples sécurisés |
Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Protection en temps réel
Stratégie | Setting |
---|---|
Désactiver la protection en temps réel | Désactivé |
Activer la surveillance du comportement | Activé |
Analyser tous les fichiers et pièces jointes téléchargés | Activé |
Surveiller l’activité des fichiers et des programmes sur votre ordinateur | Activé |
Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Analyse
Ces paramètres configurent des analyses périodiques du point de terminaison. Nous vous recommandons d’effectuer une analyse rapide hebdomadaire, si les performances le permettent.
Stratégie | Setting |
---|---|
Recherchez les informations de sécurité les plus récentes sur les virus et les logiciels espions avant d’exécuter une analyse planifiée | Activé |
Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Réduction de la surface d’attaque
Obtenez la liste actuelle des GUID des règles de réduction de la surface d’attaque à partir du déploiement des règles de réduction de la surface d’attaque Étape 3 : Implémenter des règles ASR. Pour plus d’informations sur les règles, consultez Informations de référence sur les règles de réduction de la surface d’attaque
Ouvrez la stratégie Configurer la réduction de la surface d’attaque .
Sélectionnez Activé.
Sélectionnez le bouton Afficher .
Ajoutez chaque GUID dans le champ Nom de la valeur avec la valeur 2.
Cela permet de configurer chacun d’eux pour l’audit uniquement.
Stratégie | Emplacement | Setting |
---|---|---|
Configurer l’accès contrôlé aux dossiers | \Composants Windows\antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Accès contrôlé aux dossiers | Activé, mode Audit |
Exécuter un test de détection pour vérifier l’intégration
Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.
Désintégner des appareils à l’aide de stratégie de groupe
Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintéglage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.
Remarque
Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.
Obtenez le package de désintégrage à partir du portail Microsoft Defender :
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Désactivationde la gestion des>appareils.
Sélectionnez le système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un fichier nommé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général sous Options de sécurité et sélectionnez Modifier l’utilisateur ou le groupe, entrez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).
Accédez à l’onglet Actions et sélectionnez Nouveau.... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd partagé.
Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.
Importante
La désintégérence entraîne l’arrêt de l’envoi des données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois maximum.
Surveiller la configuration de l’appareil
Avec stratégie de groupe il n’existe aucune option permettant de surveiller le déploiement des stratégies sur les appareils. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.
Surveiller les appareils à l’aide du portail
- Accédez au portail Microsoft Defender.
- Cliquez sur Inventaire des appareils.
- Vérifiez que les appareils apparaissent.
Remarque
L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire pour que les stratégies soient distribuées à l’appareil, le temps nécessaire avant que l’utilisateur se connecte et le temps nécessaire pour que le point de terminaison commence à créer des rapports.
Configurer les stratégies Defender AV
Create une nouvelle stratégie de groupe ou regrouper ces paramètres avec les autres stratégies. Cela dépend de l’environnement du client et de la façon dont il souhaite déployer le service en ciblant différentes unités d’organisation( UO).
Après avoir choisi la stratégie de groupe ou créé un nouveau groupe, modifiez-la.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.
Dans le dossier Quarantaine, configurez la suppression des éléments du dossier Quarantaine.
Dans le dossier Analyser, configurez les paramètres d’analyse.
Surveiller tous les fichiers dans la protection en temps réel
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.
Configurer Windows Defender paramètres SmartScreen
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Windows Defender SmartScreen>Explorer.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Windows Defender SmartScreen>Microsoft Edge.
Configurer des applications potentiellement indésirables
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
Configurer Cloud Deliver Protection et envoyer automatiquement des exemples
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MAPS.
Remarque
L’option Envoyer tous les exemples fournit une analyse optimale des fichiers binaires/scripts/documents, ce qui augmente la posture de sécurité. L’option Envoyer des exemples sécurisés limite le type de fichiers binaires/scripts/documents analysés et réduit la posture de sécurité.
Pour plus d’informations, consultez Activer la protection cloud dans Microsoft Defender Antivirus et Protection cloud et envoi d’exemples dans Microsoft Defender Antivirus.
Rechercher la mise à jour de la signature
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.
Configurer le niveau de protection et de délai d’expiration de livraison cloud
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MpEngine. Lorsque vous configurez la stratégie de niveau de protection cloud sur La stratégie de blocage antivirus Microsoft Defender par défaut, cela désactive la stratégie. C’est ce qui est nécessaire pour définir le niveau de protection par défaut de Windows.
Voir aussi
- Intégrer des appareils Windows à l’aide de Microsoft Endpoint Configuration Manager
- Intégrer les appareils Windows à l’aide des outils de gestion des appareils mobiles
- Intégrer les appareils Windows utilisant un script local
- Intégrer les ordinateurs virtuels d’infrastructure de bureau (VDI) non persistants
- Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré
- Résoudre les problèmes d’intégration Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.