Gérer les stratégies de sécurité des points de terminaison sur les appareils intégrés à Microsoft Defender pour point de terminaison

  • Article

Lorsque vous utilisez Microsoft Defender pour point de terminaison, vous pouvez déployer des stratégies de sécurité de point de terminaison à partir de Microsoft Intune pour gérer les paramètres de sécurité Defender sur les appareils que vous avez intégrés à Defender sans inscrire ces appareils avec Intune. Cette fonctionnalité est connue sous le nom de gestion des paramètres de sécurité de Defender pour point de terminaison.

Lorsque vous gérez des appareils via la gestion des paramètres de sécurité :

  • Vous pouvez utiliser le centre d’administration Microsoft Intune ou le portail Microsoft 365 Defender pour configurer des stratégies de sécurité des points de terminaison pour Defender pour point de terminaison et affecter ces stratégies à des groupes Microsoft Entra ID. Le portail Defender inclut l’interface utilisateur pour les vues des appareils, la gestion des stratégies et les rapports pour la gestion des paramètres de sécurité.

    Pour afficher des conseils sur la gestion des stratégies de sécurité de point de terminaison Intune à partir du portail Defender, consultez Gérer les stratégies de sécurité de point de terminaison dans Microsoft Defender pour point de terminaison dans le contenu Defender.

  • Les appareils obtiennent les stratégies qui leur sont attribuées en fonction de leur objet d’appareil Entra ID. Un appareil qui n’est pas déjà inscrit dans Microsoft Entra est joint dans le cadre de cette solution.

  • Lorsqu’un appareil reçoit une stratégie, les composants Defender pour point de terminaison sur l’appareil appliquent la stratégie et signalent les status de l’appareil. La status de l’appareil est disponible dans le centre d’administration Microsoft Intune et le portail Microsoft Defender.

Ce scénario étend la surface Microsoft Intune Endpoint Security aux appareils qui ne sont pas en mesure de s’inscrire dans Intune. Lorsqu’un appareil est géré par Intune (inscrit à Intune), l’appareil ne traite pas les stratégies pour la gestion des paramètres de sécurité Defender pour point de terminaison. Utilisez plutôt Intune pour déployer la stratégie de Defender pour point de terminaison sur vos appareils.

S’applique à :

  • Windows 10 et Windows 11
  • Windows Server (2012 R2 et versions ultérieures)
  • Linux
  • macOS

Présentation conceptuelle de la Microsoft Defender pour Endpoint-Attach solution.

Conditions préalables

Consultez les sections suivantes pour connaître la configuration requise pour le scénario de gestion des paramètres de sécurité De Defender pour point de terminaison.

Environnement

Lorsqu’un appareil pris en charge est intégré à Microsoft Defender pour point de terminaison :

  • L’appareil est interrogé pour rechercher une présence Microsoft Intune existante, qui est une inscription à la gestion des appareils mobiles (GPM) pour Intune.
  • Les appareils sans présence Intune activent la fonctionnalité de gestion des paramètres de sécurité.
  • Pour les appareils qui ne sont pas entièrement Microsoft Entra inscrits, une identité d’appareil synthétique est créée dans Microsoft Entra ID qui permet à l’appareil de récupérer des stratégies. Les appareils entièrement inscrits utilisent leur inscription actuelle.
  • Les stratégies récupérées à partir de Microsoft Intune sont appliquées sur l’appareil par Microsoft Defender pour point de terminaison.

La gestion des paramètres de sécurité n’est pas encore prise en charge avec les clouds du secteur public. Pour plus d’informations, consultez Parité des fonctionnalités avec les offres commerciales dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Exigences de connectivité

Les appareils doivent avoir accès au point de terminaison suivant :

  • *.dm.microsoft.com- L’utilisation d’un caractère générique prend en charge les points de terminaison de service cloud utilisés pour l’inscription, l’case activée et la création de rapports, et qui peuvent changer à mesure que le service est mis à l’échelle.

Plateformes prises en charge

Les stratégies de gestion de la sécurité Microsoft Defender pour point de terminaison sont prises en charge pour les plateformes d’appareils suivantes :

Linux :

Avec Microsoft Defender pour point de terminaison pour l’agent Linux version 101.23052.0009 ou ultérieure, la gestion des paramètres de sécurité prend en charge les distributions Linux suivantes :

  • Red Hat Enterprise Linux 7.2 ou version ultérieure
  • CentOS 7.2 ou version ultérieure
  • Ubuntu 16.04 LTS ou version ultérieure LTS
  • Debian 9 ou version ultérieure
  • SUSE Linux Enterprise Server 12 ou version ultérieure
  • Oracle Linux 7.2 ou version ultérieure
  • Amazon Linux 2
  • Fedora 33 ou version ultérieure

Pour confirmer la version de l’agent Defender, dans le portail Defender, accédez à la page appareils, puis sous l’onglet Inventaires des appareils, recherchez Defender pour Linux. Pour obtenir des conseils sur la mise à jour de la version de l’agent, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.

Problème connu : avec la version 101.23052.0009 de l’agent Defender, les appareils Linux ne parviennent pas à s’inscrire lorsqu’il manque le chemin de fichier suivant : /sys/class/dmi/id/board_vendor.

macOS:

Avec Microsoft Defender pour point de terminaison pour l’agent macOS version 101.23052.0004 ou ultérieure, la gestion des paramètres de sécurité prend en charge les versions macOS suivantes :

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Pour confirmer la version de l’agent Defender, dans le portail Defender, accédez à la page appareils, puis sous l’onglet Inventaires des appareils, recherchez Defender pour macOS. Pour obtenir des conseils sur la mise à jour de la version de l’agent, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur macOS.

Problème connu : Avec la version 101.23052.0004 de l’agent Defender, les appareils macOS inscrits dans Microsoft Entra ID avant l’inscription avec la gestion des paramètres de sécurité reçoivent un ID d’appareil en double dans Microsoft Entra ID, qui est une inscription synthétique. Lorsque vous créez un groupe Microsoft Entra pour cibler la stratégie, vous devez utiliser l’ID d’appareil synthétique créé par la gestion des paramètres de sécurité. Dans Microsoft Entra ID, la colonne Type de jointure pour l’ID d’appareil synthétique est vide.

Windows :

La gestion des paramètres de sécurité ne fonctionne pas sur et n’est pas prise en charge avec les appareils suivants :

  • Les bureaux non persistants, comme les clients VDI (Virtual Desktop Infrastructure) ou Azure Virtual Desktops.
  • Contrôleurs de domaine

Importante

Dans certains cas, les contrôleurs de domaine qui exécutent un système d’exploitation serveur de niveau inférieur (2012 R2 ou 2016) peuvent être gérés involontairement par Microsoft Defender pour point de terminaison. Pour vous assurer que cela ne se produit pas dans votre environnement, nous vous recommandons de vous assurer que vos contrôleurs de domaine ne sont pas étiquetés « MDE-Management » ou gérés par MDE.

Licences et abonnements

Pour utiliser la gestion des paramètres de sécurité, vous avez besoin des éléments suivants :

  • Un abonnement qui accorde des licences pour Microsoft Defender pour point de terminaison, comme Microsoft 365, ou une licence autonome uniquement pour Microsoft Defender pour point de terminaison. Un abonnement qui accorde des licences Microsoft Defender pour point de terminaison accorde également à votre locataire l’accès au nœud sécurité des points de terminaison du centre d’administration Microsoft Intune.

    Remarque

    Exception : si vous avez accès à Microsoft Defender pour point de terminaison uniquement via Microsoft Defender pour les serveurs (faisant partie de Microsoft Defender pour le cloud, anciennement Azure Security Center), la fonctionnalité de gestion des paramètres de sécurité n’est pas disponible. Vous devez disposer d’au moins une licence d’abonnement Microsoft Defender pour point de terminaison (utilisateur) active.

    Le nœud Sécurité du point de terminaison est l’endroit où vous configurez et déployez des stratégies pour gérer les Microsoft Defender pour point de terminaison de vos appareils et surveiller les status des appareils.

    Pour plus d’informations sur les options, consultez Configuration minimale requise pour Microsoft Defender pour point de terminaison.

Architecture

Le diagramme suivant est une représentation conceptuelle de la solution de gestion de la configuration de la sécurité Microsoft Defender pour point de terminaison.

Diagramme conceptuel de la solution de gestion de la configuration de la sécurité Microsoft Defender pour point de terminaison

  1. Appareils intégrés à Microsoft Defender pour point de terminaison.
  2. Les appareils communiquent avec Intune. Cette communication permet aux Microsoft Intune de distribuer des stratégies ciblées sur les appareils lorsqu’ils case activée.
  3. Une inscription est établie pour chaque appareil dans Microsoft Entra ID :
    • Si un appareil a été précédemment inscrit entièrement, comme un appareil de jointure hybride, l’inscription existante est utilisée.
    • Pour les appareils qui n’ont pas été inscrits, une identité d’appareil synthétique est créée dans Microsoft Entra ID pour permettre à l’appareil de récupérer des stratégies. Lorsqu’un appareil avec une inscription synthétique a une inscription Microsoft Entra complète créée pour lui, l’inscription synthétique est supprimée et la gestion des appareils continue sans interruption à l’aide de l’inscription complète.
  4. Defender pour point de terminaison signale la status de la stratégie à Microsoft Intune.

Importante

La gestion des paramètres de sécurité utilise une inscription synthétique pour les appareils qui ne s’inscrivent pas entièrement dans Microsoft Entra ID et supprime la Microsoft Entra prérequis de jointure hybride. Avec cette modification, les appareils Windows qui avaient précédemment des erreurs d’inscription commencent à intégrer Defender, puis reçoivent et traitent les stratégies de gestion des paramètres de sécurité.

Pour filtrer les appareils qui n’ont pas pu s’inscrire en raison du non-respect de la Microsoft Entra prérequis de jointure hybride, accédez à la liste Appareils dans le portail Microsoft Defender et filtrez par inscription status. Étant donné que ces appareils ne sont pas entièrement inscrits, leurs attributs d’appareil indiquent MDM = Intune et Type de = jointurevides. Ces appareils s’inscrivent désormais avec la gestion des paramètres de sécurité à l’aide de l’inscription synthétique.

Après l’inscription, ces appareils apparaissent dans les listes d’appareils pour les portails Microsoft Defender, Microsoft Intune et Microsoft Entra. Bien que les appareils ne soient pas entièrement inscrits auprès de Microsoft Entra, leur inscription synthétique compte comme un seul objet d’appareil.

À quoi s’attendre dans le portail Microsoft Defender

Vous pouvez utiliser la Microsoft Defender XDR Inventaire des appareils pour confirmer qu’un appareil utilise la fonctionnalité de gestion des paramètres de sécurité dans Defender pour point de terminaison, en examinant les appareils status dans la colonne Géré par. Les informations Gérées par sont également disponibles dans le panneau latéral ou la page de l’appareil. Géré par doit indiquer de manière cohérente que son géré par MDE. 

Vous pouvez également vérifier qu’un appareil s’est inscrit correctement dans la gestion des paramètres de sécurité en confirmant que le panneau côté appareil ou la page de l’appareil affiche MDE status d’inscription comme Réussite.

Capture d’écran d’une status d’inscription de gestion des paramètres de sécurité des appareils sur la page de l’appareil dans le portail Microsoft Defender.

Si le status d’inscription MDE n’affiche pas Réussite, vérifiez que vous examinez un appareil qui a été mis à jour et qui est dans l’étendue de la gestion des paramètres de sécurité. (Vous configurez l’étendue dans la page Étendue de l’application lors de la configuration de la gestion des paramètres de sécurité.)

À quoi s’attendre dans le centre d’administration Microsoft Intune

Dans le centre d’administration Microsoft Intune, accédez à la page Tous les appareils. Les appareils inscrits avec la gestion des paramètres de sécurité apparaissent ici comme dans le portail Defender. Dans le centre d’administration, le champ Appareils gérés par doit afficher MDE.

Capture d’écran de la page de l’appareil dans le centre d’administration Intune avec le status géré de l’appareil mis en évidence.

Conseil

En juin 2023, la gestion des paramètres de sécurité a commencé à utiliser l’inscription synthétique pour les appareils qui ne s’inscrivent pas entièrement dans Microsoft Entra. Avec cette modification, les appareils qui avaient précédemment des erreurs d’inscription commencent à intégrer Defender, puis reçoivent et traitent les stratégies de gestion des paramètres de sécurité.

À quoi s’attendre dans le Portail Azure Microsoft

Dans la page Tous les appareils dans le Portail Azure Microsoft, vous pouvez afficher les détails de l’appareil.

Capture d’écran de la page Tous les appareils dans microsoft Portail Azure avec un exemple d’appareil mis en évidence.

Pour vous assurer que tous les appareils inscrits dans la gestion des paramètres de sécurité Defender pour point de terminaison reçoivent des stratégies, nous vous recommandons de créer un groupe de Microsoft Entra dynamique en fonction du type de système d’exploitation des appareils. Avec un groupe dynamique, les appareils gérés par Defender pour point de terminaison sont automatiquement ajoutés au groupe sans que les administrateurs effectuent d’autres tâches, telles que la création d’une stratégie.

Importante

De juillet 2023 au 25 septembre 2023, la gestion des paramètres de sécurité a exécuté une préversion publique d’adhésion qui a introduit un nouveau comportement pour les appareils gérés et inscrits au scénario. À compter du 25 septembre 2023, le comportement de la préversion publique est devenu généralement disponible et s’applique désormais à tous les locataires qui utilisent la gestion des paramètres de sécurité.

Si vous avez utilisé la gestion des paramètres de sécurité avant le 25 septembre 2023 et que vous n’avez pas rejoint la préversion publique d’adhésion qui s’est déroulée de juillet 2023 au 25 septembre 2023, passez en revue vos groupes Microsoft Entra qui s’appuient sur des étiquettes système pour apporter des modifications qui identifieront les nouveaux appareils que vous gérez avec la gestion des paramètres de sécurité. Cela est dû au fait qu’avant le 25 septembre 2023, les appareils non gérés via la préversion publique d’adhésion utilisaient les étiquettes système suivantes (étiquettes) MDEManaged et MDEJoined pour identifier les appareils gérés. Ces deux étiquettes système ne sont plus prises en charge et ne sont plus ajoutées aux appareils qui s’inscrivent.

Utilisez les conseils suivants pour vos groupes dynamiques :

  • (Recommandé) Lorsque vous ciblez la stratégie, utilisez des groupes dynamiques basés sur la plateforme de l’appareil à l’aide de l’attribut deviceOSType (Windows, Windows Server, macOS, Linux) pour vous assurer que la stratégie continue d’être fournie pour les appareils qui changent de type de gestion, par exemple lors de l’inscription GPM.

  • Si nécessaire, les groupes dynamiques contenant exclusivement des appareils gérés par Defender pour point de terminaison peuvent être ciblés en définissant un groupe dynamique à l’aide de l’attribut managementTypeMicrosoftSense. L’utilisation de cet attribut cible tous les appareils gérés par Defender pour point de terminaison via la fonctionnalité de gestion des paramètres de sécurité, et les appareils restent dans ce groupe uniquement lorsqu’ils sont gérés par Defender pour point de terminaison.

En outre, lors de la configuration de la gestion des paramètres de sécurité, si vous envisagez de gérer l’ensemble des flottes de plateformes de système d’exploitation à l’aide de Microsoft Defender pour point de terminaison, en sélectionnant tous les appareils au lieu d’appareils étiquetés dans le Microsoft Defender pour point de terminaison Page Étendue de l’application, comprenez que toutes les inscriptions synthétiques sont comptabilisées par rapport aux quotas Microsoft Entra ID de la même façon que les inscriptions complètes.

Quelle solution dois-je utiliser ?

Microsoft Intune comprend plusieurs méthodes et types de stratégies pour gérer la configuration de Defender pour point de terminaison sur les appareils. Le tableau suivant identifie les stratégies et profils Intune qui prennent en charge le déploiement sur les appareils gérés par la gestion des paramètres de sécurité de Defender pour point de terminaison et peut vous aider à déterminer si cette solution est adaptée à vos besoins.

Lorsque vous déployez une stratégie de sécurité de point de terminaison qui est prise en charge pour la gestion et la Microsoft Intune des paramètres de sécurité Defender pour point de terminaison, une seule instance de cette stratégie peut être traitée par :

  • Appareils pris en charge via la gestion des paramètres de sécurité (Microsoft Defender)
  • Appareils gérés par Intune ou Configuration Manager.

Les profils de la plateforme Windows 10 et ultérieure ne sont pas pris en charge pour les appareils gérés par la gestion des paramètres de sécurité.

Les profils suivants sont pris en charge pour chaque type d’appareil :

Linux

Les types de stratégies suivants prennent en charge la plateforme Linux .

Stratégie de sécurité des points de terminaison Profil Gestion des paramètres de sécurité de Defender pour point de terminaison Microsoft Intune
Antivirus Antivirus Microsoft Defender Soutenu Soutenu
Antivirus Exclusions de l’antivirus Microsoft Defender Soutenu Soutenu
Détection et réponse du point de terminaison Détection et réponse du point de terminaison Soutenu Pris en charge

macOS

Les types de stratégies suivants prennent en charge la plateforme macOS .

Stratégie de sécurité des points de terminaison Profil Gestion des paramètres de sécurité de Defender pour point de terminaison Microsoft Intune
Antivirus Antivirus Microsoft Defender Pris en charge Soutenu
Antivirus Exclusions de l’antivirus Microsoft Defender Pris en charge Soutenu
Détection et réponse du point de terminaison Détection et réponse du point de terminaison Soutenu Soutenu

Windows 10, Windows 11 et Windows Server

Pour prendre en charge l’utilisation avec Microsoft Defender gestion des paramètres de sécurité, vos stratégies pour les appareils Windows doivent utiliser la plateforme Windows 10, Windows 11 et Windows Server. Chaque profil de la plateforme Windows 10, Windows 11 et Windows Server peut s’appliquer aux appareils gérés par Intune et aux appareils gérés par la gestion des paramètres de sécurité.

Stratégie de sécurité des points de terminaison Profil Gestion des paramètres de sécurité de Defender pour point de terminaison Microsoft Intune
Antivirus Contrôles de mise à jour Defender Soutenu Soutenu
Antivirus Antivirus Microsoft Defender Pris en charge Soutenu
Antivirus Exclusions de l’antivirus Microsoft Defender Pris en charge Soutenu
Antivirus expérience Sécurité Windows Remarque 1 Soutenu
Réduction de la surface d’attaque Règles de réduction de la surface d’attaque Soutenu Soutenu
Détection et réponse du point de terminaison Détection et réponse du point de terminaison Soutenu Soutenu
Pare-feu Pare-feu Soutenu Soutenu
Pare-feu Règles de pare-feu Soutenu Soutenu

1 - Le profil d’expérience Sécurité Windows est disponible dans le portail Defender, mais s’applique uniquement aux appareils gérés par Intune. Il n’est pas pris en charge pour les appareils gérés par Microsoft Defender gestion des paramètres de sécurité.

Les stratégies de sécurité de point de terminaison sont des groupes discrets de paramètres destinés à être utilisés par les administrateurs de sécurité qui se concentrent sur la protection des appareils dans votre organization. Voici une description des stratégies qui prennent en charge la gestion des paramètres de sécurité :

  • Les stratégies antivirus gèrent les configurations de sécurité trouvées dans Microsoft Defender pour point de terminaison. Consultez stratégie antivirus pour la sécurité des points de terminaison.

    Remarque

    Bien que les points de terminaison ne nécessitent pas de redémarrage pour appliquer des paramètres modifiés ou de nouvelles stratégies, nous sommes conscients d’un problème dans lequel les paramètres AllowOnAccessProtection et DisableLocalAdminMerge peuvent parfois obliger les utilisateurs finaux à redémarrer leurs appareils pour que ces paramètres soient mis à jour. Nous étudions actuellement ce problème afin de fournir une solution.

  • Les stratégies de réduction de la surface d’attaque (ASR) se concentrent sur la réduction des endroits où votre organization est vulnérable aux cybermenaces et aux attaques. Avec la gestion des paramètres de sécurité, les règles ASR s’appliquent aux appareils qui exécutent Windows 10, Windows 11 et Windows Server.

    Pour obtenir des conseils actuels sur les paramètres qui s’appliquent aux différentes plateformes et versions, consultez Systèmes d’exploitation pris en charge par les règles ASR dans la documentation sur la protection contre les menaces Windows.

    Conseil

    Pour maintenir à jour les points de terminaison pris en charge, envisagez d’utiliser la solution unifiée moderne pour Windows Server 2012 R2 et 2016.

    Consulter également :

  • Les stratégies de détection et de réponse de point de terminaison (EDR) gèrent les fonctionnalités de Defender pour point de terminaison qui fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. En fonction des configurations EDR, les analystes de sécurité peuvent hiérarchiser efficacement les alertes, obtenir une visibilité sur l’étendue complète d’une violation et prendre des mesures de réponse pour corriger les menaces. Consultez La stratégie de détection et de réponse des points de terminaison pour la sécurité des points de terminaison.

  • Les stratégies de pare-feu se concentrent sur le pare-feu Defender sur vos appareils. Consultez Stratégie de pare-feu pour la sécurité des points de terminaison.

  • Les règles de pare-feu configurent des règles granulaires pour les pare-feu, notamment des ports, des protocoles, des applications et des réseaux spécifiques. Consultez Stratégie de pare-feu pour la sécurité des points de terminaison.

Configurer votre locataire pour prendre en charge la gestion des paramètres de sécurité defender pour point de terminaison

Pour prendre en charge la gestion des paramètres de sécurité via le centre d’administration Microsoft Intune, vous devez activer la communication entre eux à partir de chaque console.

Les sections suivantes vous guident tout au long de ce processus.

Configurer Microsoft Defender pour point de terminaison

Dans Microsoft Defender pour point de terminaison portail, en tant qu’administrateur de sécurité :

  1. Connectez-vous à Microsoft Defender portail et accédez à Paramètres Points> determinaison>Gestion de> la configurationÉtendue de l’application et activez les plateformes pour la gestion des paramètres de sécurité.

    Activez la gestion des paramètres de Microsoft Defender pour point de terminaison dans le portail Microsoft Defender.

    Remarque

    Si vous disposez de l’autorisation Gérer les paramètres de sécurité dans Security Center dans le portail Microsoft Defender pour point de terminaison et que vous êtes simultanément activé pour afficher les appareils de tous les groupes d’appareils (aucune limite de contrôle d’accès en fonction du rôle sur vos autorisations utilisateur), vous pouvez également effectuer cette action.

  2. Dans un premier temps, nous vous recommandons de tester la fonctionnalité pour chaque plateforme en sélectionnant l’option Plateformes pour Sur les appareils étiquetés, puis en étiquetant les appareils avec l’étiquette MDE-Management .

    Importante

    L’utilisation de la fonctionnalité d’étiquette dynamique de Microsoft Defender pour point de terminaison pour étiqueter des appareils avec MDE-Management n’est pas prise en charge actuellement avec la gestion des paramètres de sécurité. Les appareils balisés par le biais de cette fonctionnalité ne s’inscrivent pas correctement. Cette question est toujours en cours d’examen.

    Conseil

    Utilisez les étiquettes d’appareil appropriées pour tester et valider votre déploiement sur un petit nombre d’appareils. Lorsque vous sélectionnez Tous les appareils, tous les appareils qui entrent dans l’étendue configurée sont automatiquement inscrits.

  3. Configurez la fonctionnalité pour Microsoft Defender pour les appareils intégrés au cloud et les paramètres d’autorité de Configuration Manager en fonction des besoins de votre organization :

    Configurez le mode pilote pour la gestion des paramètres de point de terminaison dans le portail Microsoft Defender.

    Conseil

    Pour vous assurer que vos utilisateurs Microsoft Defender pour point de terminaison portail disposent d’autorisations cohérentes entre les portails, si ce n’est déjà fait, demandez à votre administrateur informatique de leur accorder le rôle RBAC intégré Microsoft Intune Endpoint Security Manager.

Configurer Intune

Dans le centre d’administration Microsoft Intune, votre compte a besoin d’autorisations égales au rôle de contrôle d’accès en fonction du rôle (RBAC) intégré Endpoint Security Manager.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité>du point de terminaison Microsoft Defender pour point de terminaison, puis définissez Autoriser Microsoft Defender pour point de terminaison pour appliquer les configurations de sécurité des points de terminaison sur Activé.

    Activez la gestion des paramètres de Microsoft Defender pour point de terminaison dans le centre d’administration Microsoft Intune.

    Lorsque vous définissez cette option sur Activé, tous les appareils de l’étendue de la plateforme pour Microsoft Defender pour point de terminaison qui ne sont pas gérés par Microsoft Intune peuvent être intégrés à Microsoft Defender pour point de terminaison.

Intégrer des appareils à Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison prend en charge plusieurs options pour intégrer des appareils. Pour obtenir des conseils actuels, consultez Intégrer à Microsoft Defender pour point de terminaison dans la documentation defender pour point de terminaison.

Coexistence avec Microsoft Configuration Manager

Dans certains environnements, il peut être souhaitable d’utiliser la gestion des paramètres de sécurité avec des appareils gérés par Configuration Manager. Si vous utilisez les deux, vous devez contrôler la stratégie via un seul canal. L’utilisation de plusieurs canaux crée l’opportunité de conflits et de résultats indésirables.

Pour cela, configurez gérer les paramètres de sécurité à l’aide de Configuration Manager bascule sur Désactivé. Connectez-vous au portail Microsoft Defender et accédez à Paramètres Points>de terminaison> Gestionde la configuration>Étendue de l’application :

Capture d’écran du portail Defender montrant le bouton bascule Gérer les paramètres de sécurité à l’aide de Configuration Manager défini sur Désactivé.

Créer des groupes Microsoft Entra

Une fois les appareils intégrés à Defender pour point de terminaison, vous devez créer des groupes d’appareils pour prendre en charge le déploiement de la stratégie pour Microsoft Defender pour point de terminaison. Pour identifier les appareils inscrits auprès de Microsoft Defender pour point de terminaison mais qui ne sont pas gérés par Intune ou Configuration Manager :

  1. Connectez-vous à Microsoft Intune centre d’administration.

  2. Accédez à Appareils>Tous les appareils, puis sélectionnez la colonne Géré par pour trier l’affichage des appareils. Les appareils qui sont intégrés à Microsoft Defender pour point de terminaison mais qui ne sont pas gérés par Intune affichent Microsoft Defender pour point de terminaison dans la colonne Géré par. Ces appareils peuvent recevoir des stratégies pour la gestion des paramètres de sécurité.

    Les appareils qui s’intègrent à Microsoft Defender pour point de terminaison et qui sont inscrits mais qui ne sont pas gérés par Intune affichent Microsoft Defender pour point de terminaison dans la colonne Géré par. Il s’agit des appareils qui peuvent recevoir une stratégie de gestion de la sécurité pour Microsoft Defender pour point de terminaison.

    À compter du 25 septembre 2023, les appareils qui utilisent la gestion de la sécurité pour Microsoft Defender pour point de terminaison ne peuvent plus être identifiés à l’aide des étiquettes système suivantes :

    • MDEJoined : balise désormais déconseillée qui a été précédemment ajoutée aux appareils joints au répertoire dans le cadre de ce scénario.
    • MDEManaged : balise désormais déconseillée précédemment ajoutée aux appareils qui utilisaient activement le scénario de gestion de la sécurité. Cette balise est supprimée de l’appareil si Defender pour point de terminaison cesse de gérer la configuration de la sécurité.

    Au lieu d’utiliser des étiquettes système, vous pouvez utiliser l’attribut de type de gestion et le configurer sur MicrosoftSense.

Vous pouvez créer des groupes pour ces appareils dans Microsoft Entra ou à partir du centre d’administration Microsoft Intune. Lorsque vous créez des groupes, vous pouvez utiliser la valeur du système d’exploitation d’un appareil si vous déployez des stratégies sur des appareils exécutant Windows Server ou sur des appareils qui exécutent une version cliente de Windows :

  • Windows 10 et Windows 11 : le deviceOSType ou le système d’exploitation s’affiche sous windows
  • Windows Server : deviceOSType ou le système d’exploitation s’affiche en tant que Windows Server
  • Appareil Linux : le deviceOSType ou le système d’exploitation s’affiche sous linux

Exemple Intune groupes dynamiques avec la syntaxe de règle

Stations de travail Windows :

Capture d’écran du groupe dynamique Intune pour les stations de travail Windows.

Serveurs Windows :

Capture d’écran du groupe dynamique Intune pour les serveurs Windows.

Appareils Linux :

Capture d’écran du groupe dynamique Intune pour Windows Linux.

Importante

En mai 2023, deviceOSType a été mis à jour pour faire la distinction entre les clients Windows et les serveurs Windows.

Les scripts personnalisés et les Microsoft Entra groupes d’appareils dynamiques créés avant cette modification qui spécifient des règles qui référencent uniquement Windows peuvent exclure les serveurs Windows lorsqu’ils sont utilisés avec la solution Gestion de la sécurité pour Microsoft Defender pour point de terminaison. Par exemple :

  • Si vous avez une règle qui utilise l’opérateur equals ou not equals pour identifier Windows, cette modification affecte votre règle. Cela est dû au fait que Windows et Windows Server étaient précédemment signalés comme Windows. Pour continuer à inclure les deux, vous devez mettre à jour la règle pour qu’elle référence également Windows Server.
  • Si vous avez une règle qui utilise l’opérateur contains ou like pour spécifier Windows, la règle n’est pas affectée par cette modification. Ces opérateurs peuvent trouver à la fois Windows et Windows Server.

Conseil

Les utilisateurs auxquels la possibilité de gérer les paramètres de sécurité de point de terminaison est déléguée n’ont peut-être pas la possibilité d’implémenter des configurations à l’échelle du locataire dans Microsoft Intune. Contactez votre administrateur Intune pour plus d’informations sur les rôles et les autorisations dans votre organization.

Déployer une stratégie de protection des informations Windows

Après avoir créé un ou plusieurs groupes Microsoft Entra qui contiennent des appareils gérés par Microsoft Defender pour point de terminaison, vous pouvez créer et déployer les stratégies suivantes pour la gestion des paramètres de sécurité dans ces groupes. Les stratégies et les profils disponibles varient selon la plateforme.

Pour obtenir la liste des combinaisons de stratégies et de profils prises en charge pour la gestion des paramètres de sécurité, consultez le graphique dans Quelle solution dois-je utiliser ? plus haut dans cet article.

Conseil

Évitez de déployer plusieurs stratégies qui gèrent le même paramètre sur un appareil.

Microsoft Intune prend en charge le déploiement de plusieurs instances de chaque type de stratégie de sécurité de point de terminaison sur le même appareil, chaque stratégie instance étant reçue séparément par l’appareil. Par conséquent, un appareil peut recevoir des configurations distinctes pour le même paramètre de différentes stratégies, ce qui entraîne un conflit. Certains paramètres (comme les exclusions antivirus) se fusionnent sur le client et s’appliquent correctement.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Sécurité du point de terminaison, sélectionnez le type de stratégie que vous souhaitez configurer, puis sélectionnez Créer une stratégie.

  3. Pour la stratégie, sélectionnez la plateforme et le profil que vous souhaitez déployer. Pour obtenir la liste des plateformes et des profils qui prennent en charge la gestion des paramètres de sécurité, consultez le graphique dans Quelle solution dois-je utiliser ? plus haut dans cet article.

    Remarque

    Les profils pris en charge s’appliquent aux appareils qui communiquent via mobile Gestion des appareils (MDM) avec des Microsoft Intune et des appareils qui communiquent à l’aide du client Microsoft Defender pour point de terminaison.

    Veillez à passer en revue votre ciblage et vos groupes si nécessaire.

  4. Sélectionnez Créer.

  5. Dans la page De base, entrez un nom et une description pour le profil, puis choisissez Suivant.

  6. Dans la page Paramètres de configuration , sélectionnez les paramètres que vous souhaitez gérer avec ce profil.

    Pour en savoir plus sur un paramètre, développez sa boîte de dialogue d’informations et sélectionnez le lien En savoir plus pour afficher la documentation du fournisseur de services de configuration (CSP) en ligne ou les détails connexes pour ce paramètre.

    Quand vous avez terminé de configurer les paramètres, sélectionnez Suivant.

  7. Dans la page Affectations, sélectionnez les groupes Microsoft Entra qui reçoivent ce profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant pour continuer.

    Conseil

    • Les filtres d’affectation ne sont pas pris en charge pour les appareils gérés par la gestion des paramètres de sécurité.
    • Seuls les objets d’appareil s’appliquent à la gestion des Microsoft Defender pour point de terminaison. Le ciblage des utilisateurs n’est pas pris en charge.
    • Les stratégies configurées s’appliquent aux clients Microsoft Intune et Microsoft Defender pour point de terminaison.

  8. Terminez le processus de création de stratégie, puis dans la page Vérifier + créer , sélectionnez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

  9. Attendez que la stratégie soit affectée et affichez une indication de réussite de l’application de la stratégie.

  10. Vous pouvez vérifier que les paramètres ont été appliqués localement sur le client à l’aide de l’utilitaire de commande Get-MpPreference .

Surveiller status

L’état et les rapports des stratégies qui ciblent les appareils dans ce canal sont disponibles à partir du nœud de stratégie sous Sécurité du point de terminaison dans le centre d’administration Microsoft Intune.

Explorez le type de stratégie, puis sélectionnez la stratégie pour afficher ses status. Vous pouvez afficher la liste des plateformes, des types de stratégies et des profils qui prennent en charge la gestion des paramètres de sécurité dans le tableau de La solution à utiliser, plus haut dans cet article.

Lorsque vous sélectionnez une stratégie, vous pouvez afficher des informations sur l’appareil case activée status et sélectionner :

  • Afficher le rapport : affichez la liste des appareils qui ont reçu la stratégie. Vous pouvez sélectionner un appareil à explorer et voir son status par paramètre. Vous pouvez ensuite sélectionner un paramètre pour afficher plus d’informations à son sujet, y compris d’autres stratégies qui gèrent ce même paramètre, ce qui peut être une source de conflit.

  • Par paramètre status : affichez les paramètres gérés par la stratégie, ainsi qu’un nombre de réussites, d’erreurs ou de conflits pour chaque paramètre.

Forum aux questions et considérations

Fréquence de case activée de l’appareil

Les appareils gérés par cette fonctionnalité case activée avec Microsoft Intune toutes les 90 minutes pour mettre à jour la stratégie.

Vous pouvez synchroniser manuellement un appareil à la demande à partir du portail Microsoft Defender. Connectez-vous au portail et accédez à Appareils. Sélectionnez un appareil géré par Microsoft Defender pour point de terminaison, puis sélectionnez le bouton Synchronisation de stratégie :

Synchronisez manuellement les appareils gérés par Microsoft Defender pour point de terminaison.

Le bouton Synchronisation de stratégie s’affiche uniquement pour les appareils gérés correctement par Microsoft Defender pour point de terminaison.

Appareils protégés par la protection contre les falsifications

Si la protection contre les falsifications est activée sur un appareil, il n’est pas possible de modifier les valeurs des paramètres protégés contre les falsifications sans désactiver la protection contre les falsifications au préalable.

Gestion des filtres d’affectation et des paramètres de sécurité

Les filtres d’affectation ne sont pas pris en charge pour les appareils qui communiquent via le canal Microsoft Defender pour point de terminaison. Bien que des filtres d’affectation puissent être ajoutés à une stratégie qui pourrait cibler ces appareils, les appareils ignorent les filtres d’affectation. Pour la prise en charge du filtre d’affectation, l’appareil doit être inscrit dans Microsoft Intune.

Suppression et suppression d’appareils

Vous pouvez supprimer des appareils qui utilisent ce flux à l’aide de l’une des deux méthodes suivantes :

  • Dans le centre d’administration Microsoft Intune, accédez à Appareils>Tous les appareils, sélectionnez un appareil qui affiche MDEJoined ou MDEManaged dans la colonne Géré par, puis sélectionnez Supprimer.
  • Vous pouvez également supprimer des appareils de l’étendue de Gestion de la configuration dans Security Center.

Une fois qu’un appareil est supprimé de l’un ou l’autre emplacement, cette modification se propage à l’autre service.

Impossible d’activer la charge de travail Gestion de la sécurité pour Microsoft Defender pour point de terminaison dans Endpoint Security

La plupart des flux d’approvisionnement initiaux sont généralement effectués par un administrateur des deux services (par exemple, un administrateur général). Dans certains scénarios, l’administration basée sur les rôles est utilisée pour personnaliser les autorisations des administrateurs. Aujourd’hui, les personnes qui ont délégué le rôle Gestionnaire de sécurité des points de terminaison ne disposent peut-être pas des autorisations nécessaires pour activer cette fonctionnalité.

Microsoft Entra appareils joints

Les appareils joints à Active Directory utilisent leur infrastructure existante pour effectuer le processus de jointure hybride Microsoft Entra.

Paramètres de sécurité non pris en charge

Les paramètres de sécurité suivants sont en attente de dépréciation. Le flux de gestion des paramètres de sécurité defender pour point de terminaison ne prend pas en charge ces paramètres :

  • Accélérer la fréquence des rapports de télémétrie (sous Détection et réponse des points de terminaison)
  • AllowIntrusionPreventionSystem (sous Antivirus)
  • Protection contre les falsifications (sous expérience Sécurité Windows). Ce paramètre n’est pas en attente de dépréciation, mais n’est actuellement pas pris en charge.

Utilisation de la gestion des paramètres de sécurité sur les contrôleurs de domaine

Étant donné qu’une approbation Microsoft Entra ID est requise, les contrôleurs de domaine ne sont actuellement pas pris en charge. Nous cherchons à ajouter cette prise en charge.

Importante

Dans certains cas, les contrôleurs de domaine qui exécutent un système d’exploitation serveur de niveau inférieur (2012 R2 ou 2016) peuvent être gérés involontairement par Microsoft Defender pour point de terminaison. Pour vous assurer que cela ne se produit pas dans votre environnement, nous vous recommandons de vous assurer que vos contrôleurs de domaine ne sont pas étiquetés « MDE-Management » ou gérés par MDE.

Installation minimale de Server Core

La gestion des paramètres de sécurité ne prend pas en charge les installations server core en raison des limitations de la plateforme Server Core.

Mode restreint PowerShell

PowerShell doit être activé.

La gestion des paramètres de sécurité ne fonctionne pas pour un appareil sur lequel PowerShell LanguageMode est configuré avec le mode enabledConstrainedLanguage. Pour plus d’informations, consultez about_Language_Modes dans la documentation PowerShell.

Gestion de la sécurité via MDE si vous utilisiez précédemment un outil de sécurité tiers

Si vous disposiez auparavant d’un outil de sécurité tiers sur la machine et que vous le gérez maintenant avec MDE, vous pouvez constater un impact sur la capacité de MDE à gérer les paramètres de sécurité dans de rares cas. Dans ce cas, pour résoudre les problèmes, désinstallez et réinstallez la dernière version de MDE sur votre ordinateur.

Étapes suivantes