Stratégie de protection de compte pour la sécurité des points de terminaison dans Intune

  • Article

Utilisez Intune stratégies de sécurité de point de terminaison pour la protection des comptes afin de protéger l’identité et les comptes de vos utilisateurs et de gérer les appartenances de groupe intégrées sur les appareils.

Recherchez les stratégies de sécurité de point de terminaison pour Protection du compte sous Gérer dans le nœud Sécurité des points de terminaison du centre d’administration Microsoft Intune.

Conditions préalables pour les profils de protection de compte

  • Pour prendre en charge le profil Protection du compte (préversion), les appareils doivent exécuter Windows 10 ou Windows 11.
  • Pour prendre en charge le profil Appartenance au groupe d’utilisateurs local (préversion), les appareils doivent exécuter Windows 10 20H2 ou version ultérieure, ou Windows 11.

Profils de protection de compte

Les profils de protection de compte sont en préversion.

profils Windows 10/11 :

  • Protection de compte (préversion) : les paramètres des stratégies de protection de compte vous aident à protéger les informations d’identification de l’utilisateur.

    La stratégie de protection du compte est axée sur les paramètres pour Windows Hello et Credential Guard, qui fait partie de la gestion des identités et des accès Windows.

    • Windows Hello Entreprise remplace les mots de passe par une authentification à deux facteurs forte sur les PC et les appareils mobiles.
    • Credential Guard permet de protéger les informations d’identification et les secrets que vous utilisez avec vos appareils.

    Pour plus d’informations, consultez Gestion des identités et des accès dans la documentation sur la gestion des identités et des accès Windows.

    Afficher les paramètres du profil de protection du compte.

  • Solution de mot de passe d’administrateur local (Windows LAPS) : utilisez ce profil pour configurer Windows LAPS sur les appareils. Windows LAPS permet la gestion d’un seul compte d’administrateur local par appareil. Intune stratégie peut spécifier le compte d’administrateur local auquel elle s’applique à l’aide du paramètre de stratégie Nom du compte administrateur.

    Pour plus d’informations sur l’utilisation de Intune pour gérer Windows LAPS, consultez :

  • Appartenance aux groupes d’utilisateurs locaux : utilisez ce profil pour ajouter, supprimer ou remplacer des membres des groupes locaux intégrés sur les appareils Windows. Par exemple, le groupe local Administrateurs dispose de droits étendus. Vous pouvez utiliser cette stratégie pour modifier l’appartenance du groupe Administration afin de le verrouiller sur un ensemble de membres exclusivement définis.

    L’utilisation de ce profil est détaillée dans la section suivante, Gérer les groupes locaux sur les appareils Windows.

Gérer les groupes locaux sur les appareils Windows

Utilisez le profil d’appartenance au groupe d’utilisateurs local pour gérer les utilisateurs membres des groupes locaux intégrés sur les appareils qui s’exécutent Windows 10 20H2 et versions ultérieures, et Windows 11 appareils.

Conseil

Pour en savoir plus sur la prise en charge de la gestion des privilèges d’administrateur à l’aide de groupes Microsoft Entra, consultez Gérer les privilèges d’administrateur à l’aide de groupes Microsoft Entra dans la documentation Microsoft Entra.

Configurer le profil

Ce profil gère l’appartenance au groupe local sur les appareils par le biais du fournisseur de solutions Cloud Policy - LocalUsersAndGroups. La documentation csp inclut des détails supplémentaires sur la façon dont les configurations s’appliquent, ainsi qu’un FAQ sur l’utilisation du csp.

Lors de la configuration de ce profil, dans la page Paramètres de configuration, vous pouvez créer plusieurs règles pour gérer les groupes locaux intégrés que vous souhaitez modifier, l’action de groupe à effectuer et la méthode pour sélectionner les utilisateurs.

Capture d’écran de la page Paramètres de configuration pour la configuration du profil.

Voici les configurations que vous pouvez effectuer :

  • Groupe local : sélectionnez un ou plusieurs groupes dans la liste déroulante. Ces groupes appliquent tous la même action groupe et utilisateur aux utilisateurs que vous affectez. Vous pouvez créer plusieurs regroupements de groupes locaux dans un même profil et affecter des actions et des groupes d’utilisateurs différents à chaque groupe de groupes locaux.

Remarque

La liste des groupes locaux est limitée aux six groupes locaux intégrés dont l’évaluation est garantie lors de l’ouverture de session, comme indiqué dans la documentation Comment gérer le groupe Administrateurs locaux sur Microsoft Entra appareils joints.

  • Action de groupe et utilisateur : configurez l’action à appliquer aux groupes sélectionnés. Cette action s’applique aux utilisateurs que vous sélectionnez pour cette même action et regroupement de comptes locaux. Les actions que vous pouvez choisir sont les suivantes :

    • Ajouter (Mettre à jour) : ajoute des membres aux groupes sélectionnés. L’appartenance au groupe des utilisateurs qui ne sont pas spécifiés par la stratégie n’est pas modifiée.
    • Supprimer (Mettre à jour) : supprimer les membres des groupes sélectionnés. L’appartenance au groupe des utilisateurs qui ne sont pas spécifiés par la stratégie n’est pas modifiée.
    • Ajouter (Remplacer) : remplacez les membres des groupes sélectionnés par les nouveaux membres que vous spécifiez pour cette action. Cette option fonctionne de la même façon qu’un groupe restreint et tous les membres du groupe qui ne sont pas spécifiés dans la stratégie sont supprimés.

    Attention

    Si le même groupe est configuré avec les actions Remplacer et Mettre à jour, l’action Remplacer gagne. Cela n’est pas considéré comme un conflit. Une telle configuration peut se produire lorsque vous déployez plusieurs stratégies sur le même appareil, ou lorsque ce fournisseur de solutions Cloud est également configuré à l’aide de Microsoft Graph.

  • Type de sélection d’utilisateur : choisissez comment sélectionner des utilisateurs. Les options suivantes sont disponibles :

    • Utilisateurs : sélectionnez les utilisateurs et les groupes d’utilisateurs dans Microsoft Entra ID. (Pris en charge pour Microsoft Entra appareils joints uniquement).
    • Manuel : spécifiez Microsoft Entra utilisateurs et groupes manuellement, par nom d’utilisateur, domaine\nom_utilisateur ou identificateur de sécurité (SID) des groupes. (Pris en charge pour les appareils joints Microsoft Entra et Microsoft Entra joints hybrides).

  • Utilisateur(s) sélectionné(s) : en fonction de votre sélection pour le type de sélection d’utilisateur, vous utiliserez l’une des options suivantes :

    • Sélectionner un ou plusieurs utilisateurs : sélectionnez les utilisateurs et les groupes d’utilisateurs dans Microsoft Entra.

    • Ajouter des utilisateurs : le volet Ajouter des utilisateurs s’ouvre, dans lequel vous pouvez ensuite spécifier un ou plusieurs identificateurs d’utilisateur tels qu’ils apparaissent sur un appareil. Vous pouvez spécifier l’utilisateur par identificateur de sécurité (SID),domaine\nom d’utilisateur ou par nom d’utilisateur.

      Capture d’écran de la page Ajouter des utilisateurs.

Le choix de l’option Manuel peut être utile dans les scénarios où vous souhaitez gérer vos utilisateurs Active Directory locaux d’Active Directory vers un groupe local pour un appareil joint Microsoft Entra hybride. Les formats pris en charge pour identifier la sélection de l’utilisateur dans l’ordre le plus ou le moins préféré sont le SID, le domaine\nom d’utilisateur ou le nom d’utilisateur du membre. Les valeurs d’Active Directory doivent être utilisées pour les appareils joints hybrides, tandis que les valeurs de Microsoft Entra ID doivent être utilisées pour Microsoft Entra jointure. les SID de groupe Microsoft Entra peuvent être obtenus à l’aide de API Graph pour les groupes.

Conflicts

Si les stratégies créent un conflit pour une appartenance à un groupe, les paramètres en conflit de chaque stratégie ne sont pas envoyés à l’appareil. Au lieu de cela, le conflit est signalé pour ces stratégies dans le centre d’administration Microsoft Intune. Pour résoudre le conflit, reconfigurez une ou plusieurs stratégies.

Reporting

À mesure que les appareils case activée et appliquent la stratégie, le centre d’administration affiche la status des appareils et des utilisateurs comme ayant réussi ou en erreur.

Étant donné que la stratégie peut contenir plusieurs règles, tenez compte des éléments suivants :

  • Lors du traitement de la stratégie pour les appareils, la vue de status par paramètre affiche un status pour le groupe de règles comme s’il s’agit d’un seul paramètre.
  • Chaque règle de la stratégie qui entraîne une erreur est ignorée et n’est pas envoyée aux appareils.
  • Chaque règle qui réussit est envoyée aux appareils à appliquer.

Étapes suivantes

Configurer des stratégies de sécurité de point de terminaison