Configurer l’attachement de locataire pour prendre en charge les stratégies de sécurité de point de terminaison à partir d’Intune
Lorsque vous utilisez le scénario d’attachement de locataire Configuration Manager, vous pouvez déployer des stratégies de sécurité de point de terminaison à partir d’Intune sur les appareils que vous gérez avec Configuration Manager. Pour utiliser ce scénario, vous devez d’abord configurer l’attachement de locataire pour Configuration Manager et activer les regroupements d’appareils à partir de Configuration Manager pour une utilisation avec Intune. Une fois que les regroupements sont activés pour l’utilisation, vous utilisez le Centre d’administration Microsoft Intune pour créer et déployer des stratégies.
Conditions requises pour utiliser la stratégie Intune pour l’attachement de locataire
Pour prendre en charge l’utilisation de stratégies de sécurité de point de terminaison Intune avec des appareils Configuration Manager, votre environnement Configuration Manager nécessite les configurations suivantes. Des conseils de configuration sont fournis dans cet article :
Conditions générales pour l’attachement de locataire
Configurer l’attachement de locataire : avec le scénario d’attachement de locataire , vous synchronisez les appareils de Configuration Manager vers le Centre d’administration Microsoft Intune. Vous pouvez ensuite utiliser le Centre d’administration pour déployer des stratégies prises en charge sur ces regroupements.
L’attachement de locataire est souvent configuré avec la cogestion, mais vous pouvez configurer l’attachement de locataire seul.
Synchroniser les appareils et les regroupements Configuration Manager : après avoir configuré l’attachement de locataire, vous pouvez sélectionner les appareils Configuration Manager à synchroniser avec le Centre d’administration Microsoft Intune. Vous pouvez également revenir ultérieurement pour modifier les appareils que vous synchronisez.
Après avoir sélectionné les appareils à synchroniser, vous devez activer les regroupements à utiliser avec les stratégies de sécurité de point de terminaison à partir d’Intune. Les stratégies prises en charge pour les appareils Configuration Manager peuvent uniquement être affectées aux regroupements que vous avez activés.
Autorisations sur l’ID Microsoft Entra : pour terminer la configuration de l’attachement de locataire, votre compte doit disposer d’autorisations d’administrateur général sur votre abonnement Azure.
Locataire pour Microsoft Defender pour point de terminaison : votre locataire Microsoft Defender pour point de terminaison doit être intégré à votre locataire Microsoft Intune (abonnement Microsoft Intune Plan 1). Consultez Utiliser Microsoft Defender pour point de terminaison dans la documentation Intune.
Configuration requise pour la version de Configuration Manager pour les stratégies de sécurité de point de terminaison Intune
Antivirus
Gérez les paramètres antivirus des appareils Configuration Manager lorsque vous utilisez l’attachement de locataire.
Chemin de la stratégie :
- Antivirus > sécurité > des points de terminaison Windows (ConfigMgr)
Profils :
- Antivirus Microsoft Defender (préversion)
- Expérience de sécurité Windows (préversion)
Version requise de Configuration Manager :
- Configuration Manager Current Branch version 2006 ou ultérieure
Plateformes d’appareils Configuration Manager prises en charge :
- Windows 8.1 (x86, x64), à partir de Configuration Manager version 2010
- Windows 10 et versions ultérieures (x86, x64, ARM64)
- Windows 11 et versions ultérieures (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), à compter de Configuration Manager version 2010
- Windows Server 2016 et versions ultérieures (x64)
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Détection et réponse du point de terminaison
Pour gérer les paramètres de stratégie de détection de point de terminaison et de réponse pour les appareils Configuration Manager lorsque vous utilisez l’attachement de locataire.
Plateforme : Windows (ConfigMgr)
Profil : Détection et réponse de point de terminaison (ConfigMgr)
Version requise de Configuration Manager :
- Configuration Manager Current Branch version 2002 ou ultérieure, avec mise à jour dans la console Correctif logiciel Configuration Manager 2002 (KB4563473)
- Configuration Manager Technical Preview 2003 ou version ultérieure
Plateformes d’appareils Configuration Manager prises en charge :
- Windows 8.1 (x86, x64), à compter de Configuration Manager version 2010
- Windows 10 et versions ultérieures (x86, x64, ARM64)
- Windows 11 et versions ultérieures (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), à compter de Configuration Manager version 2010
- Windows Server 2016 et versions ultérieures (x64)
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Pare-feu
La prise en charge des appareils gérés par Configuration Manager est disponible en préversion.
Gérez les paramètres de stratégie de pare-feu pour les appareils Configuration Manager lorsque vous utilisez l’attachement de locataire.
Chemin de la stratégie :
- Pare-feu de sécurité > des points de terminaison
Profils :
- Pare-feu Windows (ConfigMgr)
Version requise de Configuration Manager :
- Configuration Manager Current Branch version 2006 ou ultérieure, avec mise à jour dans la console Correctif logiciel Configuration Manager 2006 (KB4578605)
Plateformes d’appareils Configuration Manager prises en charge :
- Windows 11 et versions ultérieures (x86, x64, ARM64)
- Windows 10 et versions ultérieures (x86, x64, ARM64)
Configurer Configuration Manager pour prendre en charge les stratégies Intune
Avant de déployer des stratégies Intune sur des appareils Configuration Manager, effectuez les configurations détaillées dans les sections suivantes. Ces configurations intègrent vos appareils Configuration Manager avec Microsoft Defender pour point de terminaison et leur permettent d’utiliser les stratégies Intune.
Les tâches suivantes sont effectuées dans la console Configuration Manager. Si vous n’êtes pas familiarisé avec Configuration Manager, collaborez avec un administrateur Configuration Manager pour effectuer ces tâches.
- Confirmer votre environnement Configuration Manager
- Configurer l’attachement de locataire et synchroniser des appareils
- Sélectionner les appareils à synchroniser
- Activer les regroupements pour les stratégies de sécurité de point de terminaison
Conseil
Pour en savoir plus sur l’utilisation de Microsoft Defender pour point de terminaison avec Configuration Manager, consultez les articles suivants dans le contenu Configuration Manager :
Tâche 1 : Confirmer votre environnement Configuration Manager
Les stratégies Intune pour les appareils Configuration Manager nécessitent différentes versions minimales de Configuration Manager, selon la date de publication initiale de la stratégie. Passez en revue les exigences de version de Configuration Manager pour les stratégies de sécurité de point de terminaison Intune décrites plus haut dans cet article pour vous assurer que votre environnement prend en charge les stratégies que vous envisagez d’utiliser. Une version plus récente de Configuration Manager prend en charge les stratégies qui nécessitent une version antérieure.
Lorsqu’un correctif logiciel Configuration Manager est nécessaire, vous pouvez trouver le correctif sous la forme d’une mise à jour dans la console pour Configuration Manager. Pour plus d’informations, consultez Installer des mises à jour dans la console dans la documentation Configuration Manager.
Après avoir installé les mises à jour nécessaires, revenez ici pour continuer à configurer votre environnement afin de prendre en charge les stratégies de sécurité des points de terminaison à partir du Centre d’administration Microsoft Intune.
Tâche 2 : Configurer l’attachement de locataire et synchroniser des appareils
Avec l’attachement de locataire, vous spécifiez des regroupements d’appareils de votre déploiement Configuration Manager à synchroniser avec le Centre d’administration Microsoft Intune. Une fois les regroupements synchronisés, utilisez le centre d’administration pour afficher des informations sur ces appareils et pour déployer la stratégie de sécurité des points de terminaison à partir d’Intune sur ceux-ci.
Pour plus d’informations sur le scénario d’attachement de locataire, consultez Activer l’attachement de locataire dans le contenu Configuration Manager.
Activer l’attachement de locataire lorsque la cogestion n’a pas été activée
Conseil
Vous utilisez l’Assistant Configuration de cogestion dans la console Configuration Manager pour activer l’attachement de locataire, mais vous n’avez pas besoin d’activer la cogestion.
Si vous envisagez d’activer la cogestion, familiarisez-vous avec la cogestion, ses prérequis et comment gérer les charges de travail avant de continuer. Consultez Qu’est-ce que la cogestion ? dans la documentation Configuration Manager.
Dans la console d’administration Configuration Manager, accédez àVue d’ensemble de>l’administration>Cogestion des services>cloud.
Dans le ruban, sélectionnez Configurer la cogestion pour ouvrir l’Assistant.
Dans la page Intégration du client, sélectionnez AzurePublicCloud pour votre environnement. Le cloud Azure Government n’est pas pris en charge.
Sélectionnez Se connecter. Utilisez votre compte Administrateur général pour vous connecter.
Vérifiez que l’option Charger dans le Centre d’administration Microsoft Intune est sélectionnée dans la page Intégration du locataire .
Supprimez la vérification de Activer l’inscription automatique du client pour la cogestion.
Lorsque cette option est sélectionnée, l’Assistant présente des pages supplémentaires pour terminer la configuration de la cogestion. Pour plus d’informations, consultez Activer la cogestion dans le contenu Configuration Manager.
Sélectionnez Suivant , puis Oui pour accepter la notification Créer une application Microsoft Entra . Cette action provisionne un principal de service et crée une inscription d’application Microsoft Entra pour faciliter la synchronisation des regroupements avec le Centre d’administration Microsoft Intune.
Dans la page Configurer le chargement , configurez les regroupements d’appareils que vous souhaitez synchroniser. Vous pouvez limiter votre configuration aux regroupements d’appareils ou utiliser le paramètre de chargement d’appareil recommandé pour Tous mes appareils gérés par Microsoft Endpoint Configuration Manager.
Conseil
Vous pouvez ignorer la sélection des regroupements maintenant et utiliser ultérieurement les informations de la tâche suivante, Tâche 3, pour configurer les regroupements d’appareils à synchroniser avec le Centre d’administration Microsoft Intune.
Sélectionnez Résumé pour passer en revue votre sélection, puis sélectionnez Suivant.
Une fois l’Assistant terminé, sélectionnez Fermer.
L’attachement de locataire est maintenant configuré et les appareils sélectionnés sont synchronisés avec le Centre d’administration Microsoft Intune.
Activer l’attachement de locataire lorsque vous utilisez déjà la cogestion
Dans la console d’administration Configuration Manager, accédez àVue d’ensemble de>l’administration>Cogestion des services>cloud.
Cliquez avec le bouton droit sur vos paramètres de cogestion, puis sélectionnez Propriétés.
Sous l’onglet Configurer le chargement , sélectionnez Charger dans le Centre d’administration Microsoft Intune, puis Appliquer.
Le paramètre par défaut pour le chargement d’appareil est Tous mes appareils gérés par Microsoft Endpoint Configuration Manager. Vous pouvez également choisir de limiter votre configuration à un ou plusieurs regroupements d’appareils.
Connectez-vous avec votre compte Administrateur général quand vous y êtes invité.
Sélectionnez Oui pour accepter la notification Créer une application Microsoft Entra . Cette action provisionne un principal de service et crée une inscription d’application Microsoft Entra pour faciliter la synchronisation.
Sélectionnez OK pour quitter les propriétés de cogestion si vous avez terminé d’apporter des modifications. Sinon, passez à la tâche 3 pour activer de manière sélective le chargement de l’appareil dans le Centre d’administration Microsoft Intune.
L’attachement de locataire est maintenant configuré et les appareils sélectionnés sont synchronisés avec le Centre d’administration Microsoft Intune.
Tâche 3 : Sélectionner les appareils à synchroniser
Lorsque l’attachement de locataire est configuré, vous pouvez sélectionner les appareils à synchroniser. Si vous n’avez pas encore synchronisé d’appareils ou si vous avez besoin de reconfigurer ceux que vous synchronisez, vous pouvez modifier les propriétés de la cogestion dans la console Configuration Manager pour ce faire.
Sélectionner les appareils à charger
Dans la console d’administration Configuration Manager, accédez àVue d’ensemble de>l’administration>Cogestion des services>cloud.
Cliquez avec le bouton droit sur vos paramètres de cogestion, puis sélectionnez Propriétés.
Sous l’onglet Configurer le chargement , sélectionnez Charger dans le Centre d’administration Microsoft Intune, puis Appliquer.
Le paramètre par défaut pour le chargement d’appareil est Tous mes appareils gérés par Microsoft Endpoint Configuration Manager. Vous pouvez également choisir de limiter votre configuration à un ou plusieurs regroupements d’appareils.
Tâche 4 : Activer les regroupements pour les stratégies de sécurité de point de terminaison
Après avoir configuré les appareils à synchroniser avec le Centre d’administration Microsoft Intune, vous devez autoriser les regroupements à utiliser des stratégies de sécurité de point de terminaison. Lorsque vous autorisez des regroupements d’appareils à utiliser des stratégies de sécurité de point de terminaison à partir d’Intune, vous rendez les regroupements configurés disponibles pour être ciblés avec des stratégies de sécurité de point de terminaison.
Activer les regroupements à utiliser avec les stratégies de sécurité de point de terminaison
À partir d’une console Configuration Manager connectée à votre site de niveau supérieur, cliquez avec le bouton droit sur un regroupement d’appareils que vous synchronisez avec le Centre d’administration Microsoft Intune, puis sélectionnez Propriétés.
Sous l’onglet Synchronisation cloud , activez l’option Rendre ce regroupement disponible pour affecter des stratégies de sécurité de point de terminaison à partir du Centre d’administration Microsoft Intune.
- Vous ne pouvez pas sélectionner cette option si votre hiérarchie Configuration Manager n’est pas attachée au locataire.
- Les regroupements disponibles pour cette option sont limités par l’étendue de collection sélectionnée pour le chargement de l’attachement de locataire.
Sélectionnez Ajouter , puis sélectionnez le groupe Microsoft Entra que vous souhaitez synchroniser avec Collecter les résultats de l’appartenance.
Sélectionnez OK pour enregistrer la configuration.
Les appareils de ce regroupement peuvent désormais s’intégrer à Microsoft Defender pour point de terminaison et prendre en charge l’utilisation des stratégies de sécurité des points de terminaison Intune.
Afficher l’état du connecteur
Le connecteur Configuration Manager fournit des détails sur votre implémentation de Configuration Manager. À partir du Centre d’administration Microsoft Intune, vous pouvez consulter des détails sur le connecteur Configuration Manager, tels que l’heure de la dernière synchronisation réussie et l’état de la connexion.
Pour afficher l’état du connecteur Configuration Manager :
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration client>Connecteurs et jetons>Microsoft Endpoint Configuration Manager. Sélectionnez une hiérarchie Configuration Manager exécutant la version 2006 ou une version ultérieure pour afficher des informations supplémentaires à son sujet.
Remarque
Certaines informations ne sont pas disponibles si la hiérarchie exécute Configuration Manager version 2006 ou antérieure.
Une fois que vous avez vérifié que votre connexion à Configuration Manager à partir de Microsoft Intune est saine, vous avez correctement attaché votre locataire à Configuration Manager.
Afficher les détails du périphérique
Vous pouvez afficher les détails du client Configuration Manager, notamment les regroupements, l’appartenance au groupe de limites et les informations client pour un appareil spécifique dans le Centre d’administration Microsoft Intune.
Afficher les détails du client en fonction de l’appareil
Pour afficher les détails du client d’un appareil spécifique, suivez les étapes suivantes :
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Tous les appareils.
Les appareils qui ont été chargés à l’aide de l’attachement de locataire affichent ConfigMgr dans la colonne Géré par .
Sélectionnez un appareil synchronisé à partir du Configuration Manager via l’attachement du client.
Sélectionnez Détails du client pour plus d’informations.
Une fois par heure, les champs suivants sont mis à jour :
- Dernière demande de stratégie
- Heure de la dernière activité
- Point de gestion
Sélectionnez Collections pour répertorier les collections du client.
Les collections vous aident à organiser les ressources en unités gérables.
Afficher la liste des appareils en fonction de l’utilisateur
Pour afficher la liste des appareils appartenant à un utilisateur, suivez les étapes suivantes :
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Dépannage + support>Résoudre les problèmes>Sélectionner un utilisateur.
Si vous avez déjà un utilisateur affiché, vous choisissez Modifier l’utilisateur pour sélectionner un autre utilisateur.
Recherchez ou sélectionnez un utilisateur répertorié, puis cliquez sur Sélectionner.
La table Périphériques répertorie les périphériques Configuration Manager associés à l’utilisateur.
Pour plus d’informations sur l’affichage des détails du client et de l’attachement du client, consultez Attachement client : détails du client ConfigMgr dans le Centre d’administration.
Afficher les données de l’appareil local
À partir du Centre d’administration Microsoft Intune, vous pouvez afficher l’inventaire matériel des appareils Configuration Manager chargés à l’aide de l’Explorateur de ressources.
Pour afficher les données d’appareil à partir de l’explorateur de ressources :
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Tous les appareils.
Sélectionnez un appareil synchronisé à partir du Configuration Manager via l’attachement du client.
Les appareils qui sont synchronisés via l’attachement de locataire affichent ConfigMgr dans la colonne Géré par . Les appareils peuvent également afficher la cogestion lorsque Configuration Manager et Intune s’appliquent, et afficher Intune lorsque seule la gestion Intune s’applique.
Sélectionnez Explorateur de ressources pour afficher l’inventaire matériel.
Recherchez ou sélectionnez une classe (valeur d’appareil) pour récupérer des informations à partir du client.
L’Explorateur de ressources peut afficher une vue historique de l’inventaire des appareils dans le Centre d’administration Microsoft Intune. Lors de la résolution des problèmes, le fait de disposer de données d’inventaire historique peut fournir des informations précieuses sur les modifications apportées à l’appareil.
Dans le Centre d’administration Microsoft Intune, sélectionnez Explorateur de ressources si vous ne l’avez pas déjà sélectionné.
Sélectionnez une classe (valeur d’appareil).
Pour obtenir les données d’inventaire historiques, entrez une date personnalisée dans le sélecteur de date et d’heure.
Fermez l’Explorateur de ressources et revenez aux informations de l’appareil en sélectionnant l’icône
X
en haut à droite de l’Explorateur de ressources.
Pour plus d’informations sur l’affichage des données d’appareil pour les appareils avec attachement de client, consultez Attachement client : explorateur de ressource dans le Centre d’administration.
Afficher la gestion des applications locales
À partir du Centre d’administration Microsoft Intune, vous pouvez lancer l’installation d’une application en temps réel pour un appareil attaché à un locataire. Vous pouvez déployer une application sur un appareil ou un utilisateur. En outre, vous pouvez réparer, réévaluer, réinstaller ou désinstaller une application.
Pour installer une application sur un appareil local, suivez les étapes suivantes :
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Tous les appareils.
Sélectionnez un appareil synchronisé à partir du Configuration Manager via l’attachement du client.
Comme indiqué précédemment, les appareils qui se synchronisent via l’attachement de locataire affichent ConfigMgr dans la colonne Géré par . Les appareils affichent la cogestion lorsque Configuration Manager et Intune s’appliquent, et affichent Intune lorsque seule la gestion Intune s’applique.
Sélectionnez Applications pour afficher la liste des applications applicables.
Sélectionnez une application qui n’a pas été installée, puis sélectionnez Installer.
Pour plus d’informations sur les applications et l’attachement client, consultez Attachement client : installer une application à partir du centre d’administration.
Afficher les scripts locaux
Vous pouvez exécuter des scripts PowerShell à partir du cloud sur un appareil géré par Configuration Manager individuel en temps réel. Vous pouvez également autoriser d’autres personnages, comme le support technique, à exécuter des scripts PowerShell. Cela offre tous les avantages des scripts PowerShell définis et approuvés par l’administrateur Configuration Manager à utiliser dans ce nouvel environnement.
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Tous les appareils.
Sélectionnez un appareil synchronisé à partir du Configuration Manager via l’attachement du client.
Comme indiqué précédemment, les appareils qui se synchronisent via l’attachement de locataire affichent ConfigMgr dans la colonne Géré par . Les appareils affichent la cogestion lorsque Configuration Manager et Intune s’appliquent, et affichent Intune lorsque seule la gestion Intune s’applique.
Sélectionnez Scripts pour afficher la liste des scripts disponibles.
Les scripts récemment exécutés qui ciblaient directement l’appareil sont répertoriés. La liste comprend des scripts exécutés à partir du Centre d’administration, du SDK ou de la console Configuration Manager. Les scripts lancés à partir de la console Configuration Manager sur les regroupements contenant l’appareil ne sont pas affichés, sauf si les scripts ont également été lancés spécifiquement pour l’appareil unique.
Pour plus d’informations sur l’exécution de scripts sur les appareils connectés au client, consultez Attachement client : exécuter des scripts à partir du Centre d’administration.
Afficher la chronologie des événements d’appareil local
Lorsque Configuration Manager synchronise un appareil avec Microsoft Intune via l’attachement de locataire, vous pouvez voir une chronologie des événements pour ces appareils dans le Centre d’administration Microsoft Intune. Cette chronologie indique l’activité passée sur l’appareil qui peut vous aider à résoudre les problèmes.
Une fois par jour, Configuration Manager envoie les événements d’appareil local au Centre d’administration Microsoft Intune. Seuls les événements collectés après que le client ait reçu la stratégie Activer la collecte de données d’analyse de point de terminaison sont visibles dans le Centre d’administration. Vous pouvez générer facilement des événements de test en installant une application ou une mise à jour à partir de Configuration Manager, ou redémarrez l’appareil. Les événements sont conservés pendant 30 jours.
Remarque
Pour afficher la chronologie à partir du Centre d’administration Microsoft Intune, vous devez définir Activer le point de terminaison analytique collecte de données sur Oui dans Configuration Manager. Pour plus d’informations sur l’implémentation de la chronologie de l’appareil, consultez Attachement client : chronologie de l'appareil dans le Centre d'administration.
Pour afficher la chronologie des événements d’appareil :
Dans un navigateur, accédez au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Tous les appareils.
Sélectionnez un appareil synchronisé à partir du Configuration Manager via l’attachement du client.
Comme indiqué précédemment, les appareils qui se synchronisent via l’attachement de locataire affichent ConfigMgr dans la colonne Géré par . Les appareils affichent la cogestion lorsque Configuration Manager et Intune s’appliquent, et affichent Intune lorsque seule la gestion Intune s’applique.
Sélectionnez chronologie. Par défaut, les événements des dernières 24 heures s’affichent.
- Sélectionnez Synchroniser pour récupérer les données récentes générées sur le client. L’appareil envoie des événements une fois par jour au Centre d’administration par défaut.
- Utilisez le bouton Filtrer pour modifier la plage de temps, les niveaux d’événementet le nom du fournisseur.
- Si vous sélectionnez un événement, vous pouvez afficher le message détaillé correspondant.
- Sélectionnez Actualiser pour recharger la page et pour voir les événements nouvellement collectés.
Pour plus d’informations sur l’affichage des événements d’appareil pour les appareils connectés au client, consultez Attachement client : chronologie de l'appareil dans le Centre d'administration.
Étapes suivantes
- Configurez des stratégies de sécurité de point de terminaison pour la détection et la réponse de l’antivirus, du pare-feuet du point de terminaison.
- En savoir plus sur Microsoft Defender pour point de terminaison.