Gérer la sécurité des appareils avec des stratégies de sécurité de point de terminaison dans Microsoft Intune

Utilisez Intune stratégies de sécurité de point de terminaison pour gérer les paramètres de sécurité sur les appareils. Chaque stratégie de sécurité de point de terminaison prend en charge un ou plusieurs profils. Ces profils sont similaires au concept d’un modèle de stratégie de configuration d’appareil, un groupe logique de paramètres associés.

En tant qu’administrateur de sécurité concerné par la sécurité des appareils, vous pouvez utiliser ces profils axés sur la sécurité pour éviter la surcharge liée aux profils de configuration d’appareil ou aux bases de référence de sécurité. Les profils de configuration d’appareil et les bases de référence incluent un grand nombre de paramètres divers en dehors de l’étendue de la sécurisation des points de terminaison. En revanche, chaque profil de sécurité de point de terminaison se concentre sur un sous-ensemble spécifique de paramètres d’appareil destinés à configurer un aspect de la sécurité des appareils.

Lorsque vous utilisez des stratégies de sécurité de point de terminaison avec d’autres types de stratégies tels que les bases de référence de sécurité ou les modèles de protection des points de terminaison à partir de stratégies de configuration d’appareil, il est important de développer un plan d’utilisation de plusieurs types de stratégies afin de réduire le risque de paramètres en conflit. Les bases de référence de sécurité, les stratégies de configuration d’appareil et les stratégies de sécurité de point de terminaison sont toutes traitées comme des sources égales de paramètres de configuration d’appareil par Intune. Un conflit de paramètres se produit lorsqu’un appareil reçoit deux configurations différentes pour un paramètre provenant de plusieurs sources. Plusieurs sources peuvent inclure des types de stratégies distincts et plusieurs instances de la même stratégie.

Quand Intune évalue la stratégie d’un appareil et identifie les configurations en conflit pour un paramètre, le paramètre impliqué peut être marqué pour une erreur ou un conflit et ne pas s’appliquer. Chaque type de stratégie de configuration prend en charge l’identification et la résolution des conflits s’ils surviennent :

• Profils de configuration d’appareil
• Profils de sécurité de point de terminaison
• Bases de référence de sécurité

Vous trouverez des stratégies de sécurité de point de terminaison sous Gérer dans le nœud Sécurité des points de terminaison du centre d’administration Microsoft Intune.

Vous trouverez ci-dessous de brèves descriptions de chaque type de stratégie de sécurité de point de terminaison. Pour en savoir plus à leur sujet, y compris les profils disponibles pour chacun d’eux, suivez les liens vers le contenu dédié à chaque type de stratégie :

• Protection des comptes : les stratégies de protection de compte vous aident à protéger l’identité et les comptes de vos utilisateurs. La stratégie de protection du compte est axée sur les paramètres pour Windows Hello et Credential Guard, qui fait partie de la gestion des identités et des accès Windows.

• Antivirus : les stratégies antivirus aident les administrateurs de sécurité à se concentrer sur la gestion du groupe discret de paramètres antivirus pour les appareils gérés.

• App Control for Business (préversion) : gérez les applications approuvées pour les appareils Windows avec la stratégie App Control for Business et managed Installers pour Microsoft Intune. Intune stratégies App Control for Business sont une implémentation de Windows Defender Application Control (WDAC).

• Réduction de la surface d’attaque : lorsque l’antivirus Defender est utilisé sur vos appareils Windows 10/11, utilisez Intune stratégies de sécurité de point de terminaison pour la réduction de la surface d’attaque afin de gérer ces paramètres pour vos appareils.

• Chiffrement de disque - Sécurité des points de terminaison Les profils de chiffrement de disque se concentrent uniquement sur les paramètres pertinents pour une méthode de chiffrement intégrée des appareils, comme FileVault ou BitLocker. Ce focus permet aux administrateurs de la sécurité de gérer facilement les paramètres de chiffrement de disque sans avoir à naviguer dans une multitude de paramètres non liés.

• Détection et réponse de point de terminaison : lorsque vous intégrez Microsoft Defender pour point de terminaison à Intune, utilisez les stratégies de sécurité de point de terminaison pour la détection et la réponse des points de terminaison (EDR) pour gérer les paramètres EDR et intégrer les appareils à Microsoft Defender pour point de terminaison.

• Pare-feu : utilisez la stratégie de pare-feu de sécurité de point de terminaison dans Intune pour configurer un pare-feu intégré pour les appareils qui exécutent macOS et Windows 10/11.

Les sections suivantes s’appliquent à toutes les stratégies de sécurité de point de terminaison.

Créer une stratégie de sécurité de point de terminaison

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Sélectionnez Sécurité du point de terminaison , sélectionnez le type de stratégie que vous souhaitez configurer, puis sélectionnez Créer une stratégie. Choisissez parmi les types de stratégie suivants :

   • Protection de compte
   • Antivirus
   • Contrôle d’application (préversion)
   • Réduction de la surface d'attaque
   • Chiffrement de disque
   • Détection et réponse du point de terminaison
   • Pare-feu

3. Entrez les propriétés suivantes :

   • Plateforme : choisissez la plateforme pour laquelle vous créez la stratégie. Les options disponibles dépendent du type de stratégie que vous sélectionnez.
   • Profil : choisissez parmi les profils disponibles pour la plateforme que vous avez sélectionnée. Pour plus d’informations sur les profils, consultez la section dédiée de cet article pour le type de stratégie choisi.

4. Sélectionnez Créer.

5. Dans la page De base, entrez un nom et une description pour le profil, puis choisissez Suivant.

6. Dans la page Paramètres de configuration , développez chaque groupe de paramètres et configurez les paramètres que vous souhaitez gérer avec ce profil.

   Quand vous avez terminé de configurer les paramètres, sélectionnez Suivant.

7. Dans la page Balises d’étendue , choisissez Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des étiquettes afin d’affecter des balises d’étendue au profil.

   Sélectionnez Suivant pour continuer.

8. Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

   Sélectionnez Suivant.

9. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

Dupliquer une stratégie

Les stratégies de sécurité de point de terminaison prennent en charge la duplication pour créer une copie de la stratégie d’origine. Un scénario où la duplication d’une stratégie est utile est si vous devez affecter des stratégies similaires à différents groupes, mais que vous ne souhaitez pas recréer manuellement la stratégie entière. Au lieu de cela, vous pouvez dupliquer la stratégie d’origine, puis introduire uniquement les modifications requises par la nouvelle stratégie. Vous pouvez uniquement modifier un paramètre spécifique et le groupe auquel la stratégie est affectée.

Lors de la création d’un doublon, vous donnez un nouveau nom à la copie. La copie est réalisée avec les mêmes configurations de paramètres et balises d’étendue que l’original, mais elle n’a aucune affectation. Vous devrez modifier la nouvelle stratégie ultérieurement pour créer des affectations.

Les types de stratégies suivants prennent en charge la duplication :

• Protection de compte
• Contrôle d’application (préversion)
• Antivirus
• Réduction de la surface d'attaque
• Chiffrement de disque
• Détection et réponse du point de terminaison
• Pare-feu

Après avoir créé la stratégie, examinez et modifiez-la pour apporter des modifications à sa configuration.

Pour dupliquer une stratégie

1. Connectez-vous au centre d’administration Microsoft Intune.
2. Sélectionnez la stratégie à copier. Ensuite, sélectionnez Dupliquer ou sélectionnez les points de suspension (...) à droite de la stratégie, puis sélectionnez Dupliquer.
3. Indiquez un nouveau nom pour la stratégie, puis sélectionnez Enregistrer.

Pour modifier une stratégie

1. Sélectionnez la nouvelle stratégie, puis Propriétés.
2. Sélectionnez Paramètres pour développer la liste des paramètres de configuration dans la stratégie. Vous ne pouvez pas modifier les paramètres à partir de cette vue, mais vous pouvez vérifier comment ils sont config.
3. Pour modifier la stratégie, sélectionnez Modifier pour chaque catégorie dans laquelle vous souhaitez apporter une modification :
   • Informations de base
   • Affectations
   • Balises d'étendue
   • les paramètres de configuration ;
4. Après avoir effectué les modifications, sélectionnez Enregistrer pour les enregistrer. Les modifications d’une catégorie doivent être enregistrées avant de pouvoir introduire des modifications dans d’autres catégories.

Gérer les conflits

La plupart des paramètres d’appareil que vous pouvez gérer avec les stratégies de sécurité de point de terminaison (stratégies de sécurité) sont également disponibles via d’autres types de stratégies dans Intune. Ces autres types de stratégies incluent la stratégie de configuration d’appareil et les bases de référence de sécurité. Étant donné que les paramètres peuvent être gérés via plusieurs types de stratégies différentes ou par plusieurs instances du même type de stratégie, préparez-vous à identifier et résoudre les conflits de stratégie pour les appareils qui ne respectent pas les configurations attendues.

• Les lignes de base de sécurité peuvent définir une valeur autre que la valeur par défaut pour un paramètre afin qu’il soit conforme à la configuration recommandée pour les adresses de base.
• D’autres types de stratégies, y compris les stratégies de sécurité de point de terminaison, définissent la valeur Non configuré par défaut. Ces autres types de stratégie vous obligent à configurer explicitement les paramètres dans la stratégie.

Quelle que soit la méthode de stratégie, la gestion du même paramètre sur le même appareil par le biais de plusieurs types de stratégie ou de plusieurs instances du même type de stratégie peut entraîner des conflits qui doivent être évités.

Les informations des liens suivants peuvent vous aider à identifier et à résoudre les conflits :

• Résoudre les problèmes de stratégies et profils dans Intune
• Surveiller vos bases de référence de sécurité

Prochaines étapes

Gérer la sécurité des points de terminaison dans Intune