Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison avec Microsoft Intune
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
Si vous utilisez Intune pour gérer les paramètres de Defender pour point de terminaison, vous pouvez l’utiliser pour déployer et gérer les fonctionnalités de contrôle des appareils. Les différents aspects du contrôle d’appareil sont gérés différemment dans Intune, comme décrit dans les sections suivantes.
Configurer et gérer le contrôle des appareils dans Intune
Accédez au Centre d’administration Intune et connectez-vous.
Accédez à Sécurité du point de terminaison>Réduction de la surface d’attaque.
Sous Stratégies de réduction de la surface d’attaque, sélectionnez une stratégie existante ou sélectionnez + Créer une stratégie pour configurer une nouvelle stratégie, à l’aide des paramètres suivants :
- Dans la liste Plateforme , sélectionnez Windows 10, Windows 11 et Windows Server. (Le contrôle d’appareil n’est actuellement pas pris en charge sur Windows Server, même si vous sélectionnez ce profil pour les stratégies de contrôle d’appareil.)
- Dans la liste Profil , sélectionnez Contrôle d’appareil.
Sous l’onglet Informations de base , spécifiez un nom et une description pour votre stratégie.
Sous l’onglet Paramètres de configuration , vous voyez une liste de paramètres. Vous n’avez pas besoin de configurer tous ces paramètres à la fois. Envisagez de commencer par Contrôle d’appareil.
- Sous Modèles d’administration, vous avez les paramètres Installation de l’appareil et Accès au stockage amovible .
- Sous Defender, consultez Autoriser l’analyse complète des paramètres d’analyse des lecteurs amovibles .
- Sous Protection des données, consultez Autoriser les paramètres d’accès direct à la mémoire .
- Sous Dma Guard, consultez Paramètres de stratégie d’énumération d’appareils .
- Sous Stockage, consultez Paramètres de refus d’accès en écriture sur disque amovible .
- Sous Connectivité, consultez Autoriser la connexion USB** et Autoriser les paramètres Bluetooth .
- Sous Bluetooth, consultez la liste des paramètres relatifs aux connexions et services Bluetooth. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie - Bluetooth.
- Sous Contrôle d’appareil, vous pouvez configurer des stratégies personnalisées avec des paramètres réutilisables. Pour plus d’informations, consultez Vue d’ensemble du contrôle d’appareil : règles.
- Sous Système, consultez Autoriser les paramètres de la carte de stockage .
Après avoir configuré vos paramètres, passez à l’onglet Balises d’étendue , où vous pouvez spécifier des balises d’étendue pour la stratégie.
Sous l’onglet Affectations , spécifiez des groupes d’utilisateurs ou d’appareils pour recevoir votre stratégie. Pour plus d’informations, consultez Attribuer des stratégies dans Intune.
Sous l’onglet Vérifier + créer , passez en revue vos paramètres et apportez les modifications nécessaires.
Lorsque vous êtes prêt, sélectionnez Créer pour créer votre stratégie de contrôle d’appareil.
Profils de contrôle d’appareil
Dans Intune, chaque ligne représente une stratégie de contrôle d’appareil. L’ID inclus est le paramètre réutilisable auquel la stratégie s’applique. L’ID exclu est le paramètre réutilisable qui est exclu de la stratégie. L’entrée de la stratégie contient les autorisations autorisées et le comportement pour le contrôle d’appareil qui entre en vigueur lorsque la stratégie s’applique.
Pour plus d’informations sur l’ajout des groupes réutilisables de paramètres inclus dans la ligne de chaque stratégie de contrôle d’appareil, consultez la section Ajouter des groupes réutilisables à un profil de contrôle d’appareil dans Utiliser des groupes de paramètres réutilisables avec des stratégies Intune.
Les stratégies peuvent être ajoutées et supprimées à l’aide des + icônes et . Le nom de la stratégie apparaît dans l’avertissement pour les utilisateurs, ainsi que dans les rapports et la chasse avancés.
Vous pouvez ajouter des stratégies d’audit, et vous pouvez ajouter des stratégies Autoriser/Refuser. Il est recommandé d’ajouter toujours une stratégie Autoriser et/ou Refuser lors de l’ajout d’une stratégie d’audit afin d’éviter les résultats inattendus.
Importante
Si vous configurez uniquement des stratégies d’audit, les autorisations sont héritées du paramètre d’application par défaut.
Remarque
- L’ordre dans lequel les stratégies sont répertoriées dans l’interface utilisateur n’est pas conservé pour l’application des stratégies. La meilleure pratique consiste à utiliser des stratégies Autoriser/Refuser. Vérifiez que l’option Autoriser/Refuser les stratégies ne se croise pas en ajoutant explicitement des appareils à exclure. À l’aide de l’interface graphique d’Intune, vous ne pouvez pas modifier l’application par défaut. Si vous remplacez l’application
Denypar défaut par et que vous créez uneAllowstratégie à appliquer à des appareils spécifiques, tous les appareils sont bloqués, à l’exception des appareils définis dans laAllowstratégie.
Définition des paramètres avec OMA-URI
Importante
L’utilisation d’OMA-URI Intune pour configurer le contrôle d’appareil nécessite que la charge de travail Configuration de l’appareil soit gérée par Intune, si l’appareil est cogéré avec Configuration Manager. Pour plus d’informations, consultez Comment basculer des charges de travail Configuration Manager vers Intune.
Dans le tableau suivant, identifiez le paramètre que vous souhaitez configurer, puis utilisez les informations contenues dans les colonnes OMA-URI et le type de données & valeurs. Les paramètres sont répertoriés par ordre alphabétique.
| Setting | OMA-URI, type de données & valeurs |
|---|---|
|
Application par défaut du contrôle d’appareil L’application par défaut établit les décisions prises lors des vérifications d’accès du contrôle d’appareil quand aucune des règles de stratégie ne correspond |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcementEntier: - DefaultEnforcementAllow = 1- DefaultEnforcementDeny = 2 |
|
Types d’appareils Types d’appareils, identifiés par leurs ID principaux, avec la protection du contrôle d’appareil activée |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationCorde: - RemovableMediaDevices- CdRomDevices- WpdDevices- PrinterDevices |
|
Activer le contrôle d’appareil Activer ou désactiver le contrôle de l’appareil sur l’appareil |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabledEntier: - Désactiver = 0- Activer = 1 |
Création de stratégies avec OMA-URI
Lorsque vous créez des stratégies avec OMA-URI dans Intune, créez un fichier XML pour chaque stratégie. Il est recommandé d’utiliser le profil de contrôle d’appareil ou le profil de règles de contrôle d’appareil pour créer des stratégies personnalisées.
Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :
- Dans le champ Nom , tapez
Allow Read Activity. - Dans le champ OMA-URI , tapez
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Vous pouvez utiliser la commandeNew-GuidPowerShell pour générer un nouveau GUID et remplacer[PolicyRule Id].) - Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.
Vous pouvez utiliser des paramètres pour définir des conditions pour des entrées spécifiques. Voici un exemple de fichier XML de groupe pour Autoriser l’accès en lecture pour chaque stockage amovible.
Remarque
Les commentaires utilisant la notation <!-- COMMENT --> de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.
Création de groupes avec OMA-URI
Lorsque vous créez des groupes avec OMA-URI dans Intune, créez un fichier XML pour chaque groupe. Il est recommandé d’utiliser des paramètres réutilisables pour définir des groupes.
Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :
- Dans le champ Nom , tapez
Any Removable Storage Group. - Dans le champ OMA-URI , tapez
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Pour obtenir votre GroupID, dans le Centre d’administration Intune, accédez à Groupes, puis sélectionnez Copier l’ID d’objet. Vous pouvez également utiliser la commandeNew-GuidPowerShell pour générer un nouveau GUID et remplacer[GroupId].) - Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.
Remarque
Les commentaires utilisant la notation <!-- COMMENT -- > de commentaire XML peuvent être utilisés dans les fichiers XML de règle et de groupe, mais ils doivent se trouver à l’intérieur de la première balise XML, et non de la première ligne du fichier XML.
Configurer le contrôle d’accès au stockage amovible à l’aide d’OMA-URI
Accédez au Centre d’administration Microsoft Intune et connectez-vous.
Choisissez Appareils>Profils de configuration. La page Profils de configuration s’affiche.
Sous l’onglet Stratégies (sélectionné par défaut), sélectionnez + Créer, puis choisissez + Nouvelle stratégie dans la liste déroulante qui s’affiche. La page Créer un profil s’affiche.
Dans la liste Plateforme , sélectionnez Windows 10, Windows 11 et Windows Server dans la liste déroulante Plateforme , puis choisissez Modèles dans la liste déroulante Type de profil .
Une fois que vous avez choisi Modèles dans la liste déroulante Type de profil, le volet Nom du modèle s’affiche, ainsi qu’une zone de recherche (pour rechercher le nom du profil).
Sélectionnez Personnalisé dans le volet Nom du modèle, puis sélectionnez Créer.
Créez une ligne pour chaque paramètre, groupe ou stratégie en implémentant les étapes 1 à 5.
Afficher les groupes de contrôle d’appareil (paramètres réutilisables)
Dans Intune, les groupes de contrôle d’appareil apparaissent en tant que paramètres réutilisables.
Accédez au Centre d’administration Microsoft Intune et connectez-vous.
Accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.
Sélectionnez l’onglet Paramètres réutilisables .