Paramètres de conformité des appareils pour Windows 10/11 dans Intune

Cet article répertorie et décrit les différents paramètres de conformité que vous pouvez configurer sur les appareils Windows dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour exiger BitLocker, définir un système d’exploitation minimal et maximal, définir un niveau de risque à l’aide de Microsoft Defender pour point de terminaison, etc.

Cette fonctionnalité s’applique à :

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger vos ressources organisationnelles. Pour en savoir plus sur les stratégies de conformité et leur action, consultez Prise en main de la conformité des appareils.

Avant de commencer

Créez une stratégie de conformité. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

Intégrité du périphérique

Règles d’évaluation du service d’attestation d’intégrité Windows

• Exiger BitLocker :
  Le chiffrement de lecteur Windows BitLocker chiffre toutes les données stockées sur le volume du système d’exploitation Windows. BitLocker utilise le module de plateforme sécurisée (TPM) pour protéger le système d’exploitation Windows et les données utilisateur. Il permet également de confirmer qu’un ordinateur n’est pas falsifié, même s’il est laissé sans assistance, perdu ou volé. Si l’ordinateur est équipé d’un module TPM compatible, BitLocker utilise le module de plateforme sécurisée pour verrouiller les clés de chiffrement qui protègent les données. Par conséquent, les clés ne sont pas accessibles tant que le module de plateforme sécurisée n’a pas vérifié l’état de l’ordinateur.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : l’appareil peut protéger les données stockées sur le lecteur contre tout accès non autorisé lorsque le système est éteint ou en veille prolongée.

  Device HealthAttestation CSP - BitLockerStatus

  Remarque

  Si vous utilisez une stratégie de conformité d’appareil dans Intune, n’oubliez pas que l’état de ce paramètre n’est mesuré qu’au moment du démarrage. Par conséquent, même si le chiffrement BitLocker peut être terminé, un redémarrage sera nécessaire pour que l’appareil détecte cela et devienne conforme. Pour plus d’informations, consultez le blog de support Microsoft suivant sur l’attestation d’intégrité de l’appareil.

• Exiger que le démarrage sécurisé soit activé sur l’appareil :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : le système est forcé de démarrer à un état approuvé d’usine. Les composants principaux utilisés pour démarrer l’ordinateur doivent avoir des signatures de chiffrement correctes approuvées par le organization qui a fabriqué l’appareil. Le microprogramme UEFI vérifie la signature avant de laisser la machine démarrer. Si des fichiers sont falsifiés, ce qui rompt leur signature, le système ne démarre pas.

  Remarque

  Le paramètre Exiger l’activation du démarrage sécurisé sur l’appareil est pris en charge sur certains appareils TPM 1.2 et 2.0. Pour les appareils qui ne prennent pas en charge TPM 2.0 ou version ultérieure, la stratégie status dans Intune s’affiche comme Non conforme. Pour plus d’informations sur les versions prises en charge, consultez Attestation d’intégrité de l’appareil.

• Exiger l’intégrité du code :
  L’intégrité du code est une fonctionnalité qui valide l’intégrité d’un fichier de pilote ou système chaque fois qu’il est chargé en mémoire.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : exiger l’intégrité du code, qui détecte si un pilote ou un fichier système non signé est chargé dans le noyau. Il détecte également si un fichier système est modifié par un logiciel malveillant ou exécuté par un compte d’utilisateur disposant de privilèges d’administrateur.

Ressources complémentaires :

• Pour plus d’informations sur le fonctionnement du service d’attestation d’intégrité, consultez Csp Attestation d’intégrité.
• Conseil de support : Utilisation des paramètres d’attestation d’intégrité de l’appareil dans le cadre de votre stratégie de conformité Intune.

Propriétés de l’appareil

Version du système d’exploitation

Pour découvrir les versions de build pour tous les Mises à jour de fonctionnalités Windows 10/11 et les Mises à jour cumulatives (à utiliser dans certains des champs ci-dessous), consultez Informations sur les versions de Windows. Veillez à inclure le préfixe de version approprié avant les numéros de build, comme 10.0 pour Windows 10 comme l’illustrent les exemples suivants.

• Version minimale du système d’exploitation :
  Entrez la version minimale autorisée au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes, puis tapez ver. La ver commande retourne la version au format suivant :

  Microsoft Windows [Version 10.0.17134.1]

  Lorsqu’un appareil a une version antérieure à la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.

• Version maximale du système d’exploitation :
  Entrez la version maximale autorisée, au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes, puis tapez ver. La ver commande retourne la version au format suivant :

  Microsoft Windows [Version 10.0.17134.1]

  Lorsqu’un appareil utilise une version de système d’exploitation ultérieure à la version entrée, l’accès aux ressources organization est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources organization tant que la règle n’a pas été modifiée pour autoriser la version du système d’exploitation.

• Système d’exploitation minimal requis pour les appareils mobiles :
  Entrez la version minimale autorisée, au format de numéro major.minor.build.

  Lorsqu’un appareil dispose d’une version antérieure à la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.

• Système d’exploitation maximal requis pour les appareils mobiles :
  Entrez la version maximale autorisée, dans le numéro major.minor.build.

  Lorsqu’un appareil utilise une version de système d’exploitation ultérieure à la version entrée, l’accès aux ressources organization est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources organization tant que la règle n’a pas été modifiée pour autoriser la version du système d’exploitation.

• Builds de système d’exploitation valides :
  Spécifiez une liste des builds minimales et maximales du système d’exploitation. Les builds de système d’exploitation valides offrent une flexibilité supplémentaire par rapport aux versions minimale et maximale du système d’exploitation. Imaginez un scénario où la version minimale du système d’exploitation est définie sur 10.0.18362.xxx (Windows 10 1903) et la version maximale du système d’exploitation est définie sur 10.0.18363.xxx (Windows 10 1909). Cette configuration peut permettre à un appareil Windows 10 1903 qui n’a pas de mises à jour cumulatives récentes installées d’être identifié comme conforme. Les versions minimales et maximales du système d’exploitation peuvent convenir si vous avez normalisé une seule version Windows 10, mais elles peuvent ne pas répondre à vos besoins si vous devez utiliser plusieurs builds, chacune avec des niveaux de correctif spécifiques. Dans ce cas, envisagez de tirer parti des builds de système d’exploitation valides à la place, ce qui permet de spécifier plusieurs builds conformément à l’exemple suivant.

  La plus grande valeur prise en charge pour chacun des champs de version, principal, secondaire et de build est 65535. Par exemple, la plus grande valeur que vous pouvez entrer est 65535.65535.65535.65535.

  Exemple :
  Le tableau suivant est un exemple de plage pour les versions de systèmes d’exploitation acceptables pour différentes versions Windows 10. Dans cet exemple, trois Mises à jour de fonctionnalités différentes ont été autorisées (1809, 1909 et 2004). Plus précisément, seules les versions de Windows qui ont appliqué des mises à jour cumulatives de juin à septembre 2020 seront considérées comme conformes. Il s’agit uniquement d’exemples de données. Le tableau comprend une première colonne qui inclut le texte que vous souhaitez décrire l’entrée, suivie de la version minimale et maximale du système d’exploitation pour cette entrée. Les deuxième et troisième colonnes doivent respecter les versions de build de système d’exploitation valides au format de numéro major.minor.build.revision . Après avoir défini une ou plusieurs entrées, vous pouvez exporter la liste sous la forme d’un fichier CSV (valeurs séparées par des virgules).

  Description	Version minimale du système d’exploitation	Version maximale du système d’exploitation
  Win 10 2004 (juin-septembre 2020)	10.0.19041.329	10.0.19041.508
  Victoire 10 1909 (juin-septembre 2020)	10.0.18363.900	10.0.18363.1110
  Victoire 10 1809 (juin-septembre 2020)	10.0.17763.1282	10.0.17763.1490

  Remarque

  Si vous spécifiez plusieurs plages de builds de version de système d’exploitation dans votre stratégie et qu’un appareil a une build en dehors des plages conformes, Portail d'entreprise informera l’utilisateur de l’appareil que l’appareil n’est pas conforme à ce paramètre. Toutefois, n’oubliez pas qu’en raison de limitations techniques, le message de correction de conformité affiche uniquement la première plage de versions du système d’exploitation spécifiée dans la stratégie. Nous vous recommandons de documenter les plages de versions de système d’exploitation acceptables pour les appareils gérés dans votre organization.

Conformité Configuration Manager

S’applique uniquement aux appareils cogérés exécutant Windows 10/11. Les appareils Intune uniquement retournent un status non disponible.

• Exiger la conformité de l’appareil à partir de Configuration Manager :
  • Non configuré (par défaut) : Intune n’case activée aucun des paramètres de Configuration Manager pour la conformité.
  • Exiger : exiger que tous les paramètres (éléments de configuration) dans Configuration Manager soient conformes.

Sécurité système

Mot de passe

• Exiger un mot de passe pour déverrouiller les appareils mobiles :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.

• Mots de passe simples :

  • Non configuré (valeur par défaut) : les utilisateurs peuvent créer des mots de passe simples, tels que 1234 ou 1111.
  • Bloquer : les utilisateurs ne peuvent pas créer de mots de passe simples, tels que 1234 ou 1111.

• Type de mot de passe :
  Choisissez le type de mot de passe ou de code confidentiel requis. Les options disponibles sont les suivantes :

  • Appareil par défaut (par défaut) : exiger un mot de passe, un code confidentiel numérique ou un code confidentiel alphanumérique
  • Numérique : exiger un mot de passe ou un code pin numérique
  • Alphanumérique : exiger un mot de passe ou un code confidentiel alphanumérique.

  Lorsqu’il est défini sur Alphanumérique, les paramètres suivants sont disponibles :

  • Complexité du mot de passe :
    Les options disponibles sont les suivantes :

    • Exiger des chiffres et des lettres minuscules (par défaut)
    • Exiger des chiffres, des lettres minuscules et des lettres majuscules
    • Exiger des chiffres, des lettres minuscules, des lettres majuscules et des caractères spéciaux

    Conseil

    Les stratégies de mot de passe alphanumériques peuvent être complexes. Nous encourageons les administrateurs à lire les csp pour plus d’informations :

    • Fournisseur de services de configuration DeviceLock/AlphanumericDevicePasswordRequired
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Longueur minimale du mot de passe :
  Entrez le nombre minimal de chiffres ou de caractères que le mot de passe doit contenir.

• Nombre maximal de minutes d’inactivité avant que le mot de passe ne soit requis :
  Entrez le temps d’inactivité avant que l’utilisateur ne doit entrer à nouveau son mot de passe.

• Expiration du mot de passe (jours) :
  Entrez le nombre de jours avant l’expiration du mot de passe, et ils doivent en créer un, de 1 à 730.

• Nombre de mots de passe précédents pour empêcher la réutilisation :
  Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés.

• Exiger un mot de passe lorsque l’appareil revient de l’état d’inactivité (mobile et holographique) :

  • Non configuré (par défaut)
  • Exiger : demandez aux utilisateurs de l’appareil d’entrer le mot de passe chaque fois que l’appareil revient d’un état inactif.

  Importante

  Lorsque l’exigence de mot de passe est modifiée sur un bureau Windows, les utilisateurs sont affectés la prochaine fois qu’ils se connectent, car c’est à ce moment que l’appareil passe d’inactif à actif. Les utilisateurs avec des mots de passe qui répondent à la condition sont toujours invités à modifier leurs mots de passe.

Chiffrement

• Chiffrement du stockage de données sur un appareil :
  Ce paramètre s’applique à tous les lecteurs d’un appareil.

  • Non configuré (par défaut)
  • Exiger : utilisez Exiger pour chiffrer le stockage de données sur vos appareils.

  Fournisseur de services de configuration DeviceStatus - DeviceStatus/Compliance/EncryptionCompliance

  Remarque

  Le paramètre Chiffrement du stockage de données sur un appareil vérifie de façon générique la présence du chiffrement sur l’appareil, plus spécifiquement au niveau du lecteur du système d’exploitation. Actuellement, Intune prend uniquement en charge le chiffrement case activée avec BitLocker. Pour un paramètre de chiffrement plus robuste, envisagez d’utiliser Exiger BitLocker, qui tire parti de l’attestation d’intégrité de l’appareil Windows pour valider les status BitLocker au niveau du module de plateforme sécurisée. Toutefois, lorsque vous tirez parti de ce paramètre, sachez qu’un redémarrage peut être nécessaire avant que l’appareil soit considéré comme conforme.

Sécurité des appareils

• Pare-feu :

  • Non configuré (par défaut) : Intune ne contrôle pas le Pare-feu Windows, ni ne modifie les paramètres existants.
  • Exiger : activez le Pare-feu Windows et empêchez les utilisateurs de le désactiver.

  CSP de pare-feu

  Remarque

  • Si l’appareil se synchronise immédiatement après un redémarrage ou se synchronise immédiatement après la mise en veille, ce paramètre peut être indiqué comme une erreur. Ce scénario peut ne pas affecter le status de conformité globale de l’appareil. Pour réévaluer la status de conformité, synchronisez manuellement l’appareil.

  • Si une configuration est appliquée (par exemple, via une stratégie de groupe) à un appareil qui configure le Pare-feu Windows pour autoriser tout le trafic entrant ou désactive le pare-feu, la définition du pare-feu sur Exiger renvoie Non conforme, même si la stratégie de configuration d’appareil Intune active le pare-feu. Cela est dû au fait que l’objet de stratégie de groupe remplace la stratégie Intune. Pour résoudre ce problème, nous vous recommandons de supprimer tous les paramètres de stratégie de groupe en conflit ou de migrer vos paramètres de stratégie de groupe liés au pare-feu vers la stratégie de configuration d’appareil Intune. En général, nous vous recommandons de conserver les paramètres par défaut, notamment le blocage des connexions entrantes. Pour plus d’informations, consultez Meilleures pratiques pour configurer le Pare-feu Windows.

• Module de plateforme sécurisée (TPM) :

  • Non configuré (par défaut) : Intune n’case activée pas l’appareil pour une version de puce TPM.
  • Exiger : Intune vérifie la conformité de la version de la puce TPM. L’appareil est conforme si la version de la puce TPM est supérieure à 0 (zéro). L’appareil n’est pas conforme s’il n’existe pas de version TPM sur l’appareil.

  Fournisseur de services de configuration DeviceStatus - DeviceStatus/TPM/SpecificationVersion

• Antivirus :

  • Non configuré (par défaut) : Intune n’case activée pas pour les solutions antivirus installées sur l’appareil.
  • Exiger : vérifiez la conformité à l’aide de solutions antivirus inscrites auprès de Sécurité Windows Center, telles que Symantec et Microsoft Defender. Lorsqu’il est défini sur Exiger, un appareil dont le logiciel antivirus est désactivé ou obsolète n’est pas conforme.

  Fournisseur de services de configuration DeviceStatus - DeviceStatus/Antivirus/Status

• Antispyware :

  • Non configuré (par défaut) : Intune n’case activée pas pour les solutions anti-espion installées sur l’appareil.
  • Exiger : vérifiez la conformité à l’aide de solutions anti-espion inscrites auprès de Sécurité Windows Center, telles que Symantec et Microsoft Defender. Lorsqu’il est défini sur Exiger, un appareil dont le logiciel anti-programme malveillant est désactivé ou obsolète n’est pas conforme.

  Fournisseur de services de configuration DeviceStatus - DeviceStatus/Antispyware/Status

Défenseur

Les paramètres de conformité suivants sont pris en charge avec Windows 10/11 Desktop.

• Microsoft Defender Antimalware :

  • Non configuré (par défaut) : Intune ne contrôle pas le service, ni ne modifie les paramètres existants.
  • Exiger : activez le service anti-programme malveillant Microsoft Defender et empêchez les utilisateurs de le désactiver.

• Microsoft Defender version minimale du logiciel anti-programme malveillant :
  Entrez la version minimale autorisée de Microsoft Defender service anti-programme malveillant. Par exemple, entrez 4.11.0.0. Lorsqu’elle n’est pas vide, n’importe quelle version du service anti-programme malveillant Microsoft Defender peut être utilisée.

  Par défaut, aucune version n’est configurée.

• Microsoft Defender le renseignement de sécurité anti-programme malveillant à jour :
  Contrôle la Sécurité Windows mises à jour de protection contre les virus et les menaces sur les appareils.

  • Non configuré (par défaut) : Intune n’applique aucune exigence.
  • Exiger : forcer l’Microsoft Defender le renseignement de sécurité à être à jour.

  Fournisseur de services de configuration Defender - Fournisseur de services de configuration Defender/Health/SignatureOutOfDate

  Pour plus d’informations, consultez Mises à jour du renseignement de sécurité pour Microsoft Defender Antivirus et autres logiciels anti-programme malveillant Microsoft.

• Protection en temps réel :

  • Non configuré (par défaut) : Intune ne contrôle pas cette fonctionnalité, ni ne modifie les paramètres existants.
  • Exiger : activez la protection en temps réel, qui recherche les logiciels malveillants, les logiciels espions et autres logiciels indésirables.

  Fournisseur de services de configuration de stratégie - Fournisseur de services de configuration Defender/AllowRealtimeMonitoring

Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison règles

Pour plus d’informations sur l’intégration Microsoft Defender pour point de terminaison dans les scénarios d’accès conditionnel, consultez Configurer l’accès conditionnel dans Microsoft Defender pour point de terminaison.

• Exiger que l’appareil soit au niveau ou sous le score de risque de la machine :
  Utilisez ce paramètre pour prendre l’évaluation des risques de vos services de menace de défense comme condition de conformité. Choisissez le niveau de menace maximal autorisé :

  • Non configuré (par défaut)
  • Effacer : cette option est la plus sécurisée, car l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté comme présentant un niveau quelconque de menaces, il est évalué comme non conforme.
  • Faible : l’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. Toute valeur supérieure place l’appareil dans un status non conforme.
  • Moyen : l’appareil est évalué comme conforme si les menaces existantes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
  • Élevé : cette option est la moins sécurisée et autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

  Pour configurer Microsoft Defender pour point de terminaison en tant que service de défense contre les menaces, consultez Activer Microsoft Defender pour point de terminaison avec l’accès conditionnel.

Windows Holographic for Business

Windows Holographic for Business utilise la plateforme Windows 10 et ultérieure. Windows Holographic for Business prend en charge le paramètre suivant :

• Sécurité> du systèmeCryptage>Chiffrement du stockage de données sur l’appareil.

Pour vérifier le chiffrement de l’appareil sur le Microsoft HoloLens, consultez Vérifier le chiffrement de l’appareil.

Surface Hub

Surface Hub utilise la plateforme Windows 10 et ultérieure. Les Surface Hubs sont pris en charge à la fois pour la conformité et l’accès conditionnel. Pour activer ces fonctionnalités sur les Surface Hubs, nous vous recommandons d’activer l’inscription automatique Windows dans Intune (nécessite Microsoft Entra ID) et de cibler les appareils Surface Hub en tant que groupes d’appareils. Les Surface Hubs doivent être Microsoft Entra joints pour que la conformité et l’accès conditionnel fonctionnent.

Pour obtenir de l’aide, consultez Configurer l’inscription pour les appareils Windows.

Attention particulière pour les Surface Hubs exécutant Windows 10/11 Système d’exploitation d’équipe :
Les Surface Hubs qui exécutent le système d’exploitation d’équipe Windows 10/11 ne prennent pas en charge les stratégies de conformité Microsoft Defender pour point de terminaison et mot de passe pour l’instant. Par conséquent, pour les Surface Hubs qui exécutent Windows 10/11 Team OS, définissez les deux paramètres suivants sur leur valeur par défaut Non configuré :

• Dans la catégorie Mot de passe, définissez Exiger un mot de passe pour déverrouiller les appareils mobiles sur la valeur par défaut Non configuré.

• Dans la catégorie Microsoft Defender pour point de terminaison, définissez Exiger que l’appareil soit au niveau ou sous le score de risque de l’ordinateur sur la valeur par défaut Non configuré.

Étapes suivantes

• Ajoutez des actions pour les appareils non conformes et utilisez des balises d’étendue pour filtrer les stratégies.
• Surveillez vos stratégies de conformité.
• Consultez les paramètres de stratégie de conformité pour les appareils Windows 8.1.