Intégrer des appareils Windows 10 et Windows 11 à l’aide de Microsoft Configuration Manager

  • Article

S’applique à :

Intégrer des appareils à l’aide de Configuration Manager

  1. Obtenez le fichier de .zip du package de configuration (DeviceComplianceOnboardingPackage.zip) à partir de portail de conformité Microsoft Purview.

  2. Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil>.

  3. Dans le champ Méthode de déploiement, sélectionnez Microsoft Configuration Manager.

  4. Sélectionnez Télécharger le package, puis enregistrez le fichier .zip.

  5. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible aux administrateurs réseau qui déploieront le package. Vous devez avoir un fichier nommé DeviceCompliance.onboarding.

  6. Déployez le package en suivant les étapes décrites dans l’article Packages et programmes - Configuration Manager.

  7. Choisissez un regroupement d’appareils prédéfini sur lequel déployer le package.

Remarque

La protection des informations Microsoft 365 ne prend pas en charge l’intégration pendant la phase OOBE (Out-Of-Box Experience). Assurez-vous que les utilisateurs terminent L’OOBE après avoir exécuté l’installation ou la mise à niveau de Windows.

Conseil

Il est possible de créer une règle de détection sur une application Configuration Manager pour case activée en continu si un appareil a été intégré. Une application est un type d’objet différent de celui d’un package et d’un programme. Si un appareil n’est pas encore intégré (en raison de l’achèvement OOBE en attente ou pour toute autre raison), Configuration Manager réessayez d’intégrer l’appareil jusqu’à ce que la règle détecte le changement status.

Ce comportement peut être accompli en créant une règle de détection pour déterminer si la OnboardingState valeur de Registre (de type REG_DWORD) = 1. Cette valeur de Registre se trouve sous HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Pour plus d’informations, consultez Options de méthode de détection de type de déploiement.

Configurer des exemples de paramètres de regroupement

Pour chaque appareil, vous pouvez définir une valeur de configuration pour indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Centre de sécurité Microsoft Defender d’envoyer un fichier pour une analyse approfondie.

Remarque

Ces paramètres de configuration sont généralement effectués via Configuration Manager.

Vous pouvez définir une règle de conformité pour l’élément de configuration dans Configuration Manager pour modifier l’exemple de paramètre de partage sur un appareil.

Cette règle doit être un élément de configuration de règle de conformité de correction qui définit la valeur d’une clé de Registre sur les appareils ciblés pour s’assurer qu’il s’agit d’une plainte.

La configuration est définie via l’entrée de clé de Registre suivante :

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Où :

Le type de clé est un D-WORD.

Les valeurs possibles sont les suivantes :

  • 0 : n’autorise pas le partage d’exemples à partir de cet appareil
  • 1 - autorise le partage de tous les types de fichiers à partir de cet appareil

La valeur par défaut si la clé de Registre n’existe pas est 1. Configuration Manager, consultez Create éléments de configuration personnalisés pour les ordinateurs de bureau et serveur Windows gérés avec le client Configuration Manager.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Après l’intégration des appareils au service, il est important de tirer parti des fonctionnalités de protection contre les menaces incluses en les activant avec les paramètres de configuration recommandés suivants.

Configuration de la protection nouvelle génération

Les paramètres de configuration suivants sont recommandés :

Analyser

  • Analyser les périphériques de stockage amovibles tels que les lecteurs USB : Oui

Protection en temps réel

  • Activer la surveillance comportementale : Oui
  • Activer la protection contre les applications potentiellement indésirables au téléchargement et avant l’installation : Oui

Cloud Protection Service

  • Type d’appartenance au service De protection cloud : Appartenance avancée

Réduction de la surface d’attaque Configurez toutes les règles disponibles pour Auditer.

Remarque

Le blocage de ces activités peut interrompre les processus métier légitimes. La meilleure approche consiste à définir tous les éléments à auditer, à identifier ceux qui sont sûrs à activer, puis à activer ces paramètres sur les points de terminaison qui n’ont pas de détections de faux positifs.

Protection du réseau

Avant d’activer la protection réseau en mode audit ou bloc, vérifiez que vous avez installé la mise à jour de la plateforme anti-programme malveillant, qui peut être obtenue à partir de la page de support.

Accès contrôlé aux dossiers

Activez la fonctionnalité en mode audit pendant au moins 30 jours. Après cette période, passez en revue les détections et créez une liste d’applications autorisées à écrire dans des répertoires protégés.

Pour plus d’informations, consultez Évaluer l’accès contrôlé aux dossiers.

Désintégrer les appareils à l’aide de Configuration Manager

Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintéglage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.

Remarque

Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.

Désintégrer des appareils à l’aide de Microsoft Configuration Manager current Branch

Si vous utilisez Microsoft Configuration Manager branche actuelle, consultez Create un fichier de configuration de désintégrage.

Surveiller la configuration de l’appareil

Avec Microsoft Configuration Manager Current Branch, utilisez le tableau de bord Microsoft Defender pour point de terminaison intégré dans la console Configuration Manager. Pour plus d’informations, consultez Microsoft Defender Advanced Threat Protection - Monitor.

Vérifier que les appareils sont conformes au service de protection contre la perte de données de point de terminaison

Vous pouvez définir une règle de conformité pour l’élément de configuration dans Configuration Manager afin de surveiller votre déploiement.

Remarque

Cette procédure et cette entrée de Registre s’appliquent à endpoint DLP ainsi qu’à Defender pour point de terminaison.

Cette règle doit être un élément de configuration de règle de conformité non corrective qui surveille la valeur d’une clé de Registre sur les appareils ciblés.

Surveillez l’entrée de clé de Registre suivante :

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Pour plus d’informations, consultez Planifier et configurer les paramètres de conformité.