Intégrer des appareils Windows à l’aide d’une stratégie de groupe

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.

Pour Windows Server 2019 et Windows Server 2022, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence stratégie de groupe.

Remarque

Si vous utilisez la nouvelle solution de Microsoft Defender pour point de terminaison unifiée pour Windows Server 2012 R2 et 2016, vérifiez que vous utilisez les derniers fichiers ADMX dans votre magasin central pour accéder au fichier correct. Microsoft Defender pour point de terminaison options de stratégie. Reportez-vous à la rubrique How to create and manage the Central Store for stratégie de groupe Administrative Templates in Windows et téléchargez les derniers fichiers à utiliser avec Windows 10.

Consultez le fichier PDF ou Visio pour voir les différents chemins d’accès dans le déploiement de Defender pour point de terminaison.

  1. Ouvrez le fichier de package de configuration de la stratégie de groupe (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir du portail Microsoft 365 Defender :

    1. Dans le volet de navigation, sélectionnez Paramètres>Endpoints>Device Management>Onboarding.

    2. Sélectionnez le système d’exploitation.

    3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip à un emplacement partagé en lecture seule accessible par l’appareil. Vous devez disposer d’un dossier appelé OptionalParamsPolicy et du fichier WindowsDefenderATPOnboardingScript.cmd.

  3. Pour créer un objet de stratégie de groupe, ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis cliquez sur Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis cliquez sur OK.

  4. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  5. Dans l’éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis aux paramètres du Panneau de configuration.

  6. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  7. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe et tapez SYSTEM, puis cliquez sur Vérifier les noms , puis SUR OK. NT AUTHORITY\SYSTEM apparaît sous la forme du compte d’utilisateur sous lequel la tâche s’exécutera.

  8. Sélectionnez Exécuter si l’utilisateur est connecté ou non et cochez la case Exécuter avec les privilèges les plus élevés .

  9. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Defender pour le déploiement de point de terminaison).

  10. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, à l’aide du nom de domaine complet (FQDN) du fichier WindowsDefenderATPOnboardingScript.cmd partagé.

  11. Sélectionnez OK et fermez toutes les fenêtres GPMC ouvertes.

  12. Pour lier l’objet de stratégie de groupe à une unité d’organisation, cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Cliquez sur OK.

Pointe

Après avoir intégré l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré.

Paramètres de configuration Defender pour point de terminaison supplémentaires

Pour chaque appareil, vous pouvez indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Microsoft 365 Defender pour envoyer un fichier à des fins d’analyse approfondie.

Vous pouvez utiliser stratégie de groupe (GP) pour configurer des paramètres, tels que des paramètres pour l’exemple de partage utilisé dans la fonctionnalité d’analyse approfondie.

Configurer des exemples de paramètres de collecte

  1. Sur votre appareil de gestion de stratégie de groupe, copiez les fichiers suivants à partir du package de configuration :

    • Copier AtpConfiguration.admx en C:\Windows\PolicyDefinitions

    • Copier AtpConfiguration.adml dans C:\Windows\PolicyDefinitions\en-US

    Si vous utilisez un magasin central pour stratégie de groupe modèles d’administration, copiez les fichiers suivants à partir du package de configuration :

    • Copier AtpConfiguration.admx dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Copier AtpConfiguration.adml dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  3. Dans l’éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur.

  4. Cliquez sur Stratégies, puis sur Modèles d’administration.

  5. Cliquez sur les composants Windows, puis Windows Defender ATP.

  6. Choisissez d’activer ou de désactiver le partage d’exemples à partir de vos appareils.

Remarque

Si vous ne définissez pas de valeur, la valeur par défaut consiste à activer la collecte d’exemples.

Mettre à jour la configuration endpoint protection

Après avoir configuré le script d’intégration, continuez à modifier la même stratégie de groupe pour ajouter des configurations endpoint protection. Effectuez des modifications de stratégie de groupe à partir d’un système exécutant Windows 10 ou Server 2019, Windows 11 ou Windows Server 2022 pour vous assurer que vous disposez de toutes les fonctionnalités antivirus Microsoft Defender requises. Vous devrez peut-être fermer et rouvrir l’objet de stratégie de groupe pour inscrire les paramètres de configuration Defender ATP.

Toutes les stratégies se trouvent sous Computer Configuration\Policies\Administrative Templates.

Emplacement de la stratégie : \Windows Components\Windows Defender ATP

Stratégie Setting
Activer\Désactiver la collection d’exemples Activé : « Activer l’exemple de collecte sur les machines » activé

Emplacement de la stratégie : \Windows Components\Microsoft Defender Antivirus

Stratégie Setting
Configurer la détection pour les applications potentiellement indésirables Activé, Bloquer

Emplacement de la stratégie : \Windows Components\Microsoft Defender Antivirus\MAPS

Stratégie Setting
Rejoindre Microsoft MAPS Activé, Cartes avancées
Envoyer des exemples de fichiers quand une analyse plus approfondie est requise Activé, Envoyer des exemples sécurisés

Emplacement de la stratégie : \Composants Windows\Microsoft Defender Antivirus\Protection en temps réel

Stratégie Setting
Désactiver la protection en temps réel Désactivé
Activer la surveillance du comportement Activé
Analyser tous les fichiers et pièces jointes téléchargés Activé
Surveiller l’activité des fichiers et des programmes sur votre ordinateur Activé

Emplacement de la stratégie : \Windows Components\Microsoft Defender Antivirus\Scan

Ces paramètres configurent des analyses périodiques du point de terminaison. Nous vous recommandons d’effectuer une analyse rapide hebdomadaire, en autorisant les performances.

Stratégie Setting
Recherchez les dernières informations de sécurité sur les virus et les logiciels espions avant d’exécuter une analyse planifiée Activé

Emplacement de la stratégie : \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Obtenez la liste actuelle des guid de réduction de la surface d’attaque à partir de l’étape 3 de déploiement des règles de réduction de la surface d’attaque : Implémenter des règles ASR. Pour plus d’informations sur les règles, consultez la référence des règles de réduction de la surface d’attaque

  1. Ouvrez la stratégie configurer la réduction de la surface d’attaque .

  2. Sélectionnez Activé.

  3. Sélectionnez le bouton Afficher .

  4. Ajoutez chaque GUID dans le champ Nom de la valeur avec une valeur de 2.

    Cela permet de configurer chacune d’elles pour l’audit uniquement.

    Configuration de la réduction de la surface d’attaque

Stratégie Emplacement Setting
Configurer l’accès contrôlé aux dossiers \Composants Windows\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Accès contrôlé aux dossiers Activé, mode Audit

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Désintégrage des appareils à l’aide de stratégie de groupe

Pour des raisons de sécurité, le package utilisé pour désintégrez les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintégrage, vous êtes informé de la date d’expiration des packages et il est également inclus dans le nom du package.

Remarque

Les stratégies d’intégration et de désintégrage ne doivent pas être déployées simultanément sur le même appareil, sinon cela provoquera des collisions imprévisibles.

  1. Obtenez le package de désintégrage à partir du portail Microsoft 365 Defender :

    1. Dans le volet de navigation, sélectionnez Paramètres>Points de terminaison> De ladésintégrationde la gestion> des appareils.

    2. Sélectionnez le système d’exploitation.

    3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip à un emplacement partagé en lecture seule accessible par l’appareil. Vous devez disposer d’un fichier nommé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  4. Dans l’éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis aux paramètres du Panneau de configuration.

  5. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.

  6. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Choisissez le compte d’utilisateur SYSTEM local (BUILTIN\SYSTEM) sous Options de sécurité.

  7. Sélectionnez Exécuter si l’utilisateur est connecté ou non et cochez la case Exécuter avec les privilèges les plus élevés .

  8. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Defender pour le déploiement de point de terminaison).

  9. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du fichier partagé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd .

  10. Sélectionnez OK et fermez toutes les fenêtres GPMC ouvertes.

Importante

La désintégération entraîne l’arrêt de l’envoi de données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois maximum.

Surveiller la configuration de l’appareil

Avec stratégie de groupe il n’existe pas d’option permettant de surveiller le déploiement de stratégies sur les appareils. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.

Surveiller les appareils à l’aide du portail

  1. Accédez au portail Microsoft 365 Defender.
  2. Cliquez sur Inventaire des appareils.
  3. Vérifiez que les appareils apparaissent.

Remarque

L’affichage des appareils dans la liste Des appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire à la distribution des stratégies sur l’appareil, le temps nécessaire à l’ouverture de session de l’utilisateur et le temps nécessaire au point de terminaison pour démarrer la création de rapports.

Configurer les stratégies av Defender

Créez un stratégie de groupe ou regroupez ces paramètres avec les autres stratégies. Cela dépend de l’environnement du client et de la façon dont il souhaite déployer le service en ciblant différentes unités d’organisation.

  1. Après avoir choisi la stratégie de groupe ou en créer une nouvelle, modifiez-la.

  2. Accédez aux modèlesd’administration desstratégies de configuration>> de l’ordinateurcomposants>> Windows Microsoft Defender protection antivirus>en temps réel.

    Protection en temps réel

  3. Dans le dossier Quarantaine, configurez la suppression des éléments du dossier Quarantaine.

    Dossier de mise en quarantaine des éléments de suppression

    mise en quarantaine config-removal

  4. Dans le dossier Analyse, configurez les paramètres d’analyse.

    Analyses de gpo

Surveiller tous les fichiers dans la protection en temps réel

Accédez aux modèlesd’administration desstratégies de configuration>> de l’ordinateurcomposants>> Windows Microsoft Defender protection antivirus>en temps réel.

Configurer la surveillance de l’activité de fichier sortant entrant

Configurer Windows Defender paramètres SmartScreen

  1. Accédez aux modèlesd’administration desstratégies de configuration>> del’ordinateurcomposants>> Windows Windows Defender Explorateur SmartScreen>.

    Configurer l’Explorateur d’écrans intelligents Windows Defender

  2. Accédez aux modèlesd’administration desstratégies deconfiguration >>de l’ordinateurcomposants>> Windows Windows Defender SmartScreen>Microsoft Edge.

    Configurer Windows Defender Smart Screen Edge

Configurer des applications potentiellement indésirables

Accédez auxmodèlesd’administration desstratégies de configuration>> de l’ordinateurcomposants>> Windows Microsoft Defender Antivirus.

Configurer une application indésirable potentielle

potentiel de configuration

Configurer Cloud Deliver Protection et envoyer automatiquement des exemples

Accédez aux modèlesd’administration desstratégies de configuration>> de l’ordinateurcomposants>> Windows Microsoft Defender Antivirus>MAPS.

Cartes

Bloquer à la première consultation

Rejoindre microsoft maps

Envoyer un exemple de fichier quand une analyse plus approfondie est requise

Remarque

L’option Envoyer tous les exemples fournit l’analyse la plus approfondie des fichiers binaires/scripts/documents, ce qui augmente la posture de sécurité. L’option Envoyer des exemples sécurisés limite le type de fichiers binaires/scripts/documents en cours d’analyse et réduit la posture de sécurité.

Pour plus d’informations, consultez Activer la protection cloud dans Microsoft Defender Antivirus, la protection cloud et l’exemple de soumission dans Microsoft Defender Antivirus.

Rechercher la mise à jour de signature

Accédez aux modèlesd’administration desstratégies deconfiguration >>de l’ordinateurcomposants>> Windows Microsoft Defender>Mises à jour Antivirus Security Intelligence.

Mise à jour de signature

Mise à jour de définition de signature

Configurer le délai d’expiration et le niveau de protection des livraisons cloud

Accédez aux modèlesd’administration desstratégies deconfiguration>> de l’ordinateurcomposants>> Windows Microsoft DefenderMpEngineantivirus>. Lorsque vous configurez la stratégie de niveau de protection cloud sur la stratégie de blocage par défaut Microsoft Defender Antivirus, la stratégie est désactivée. C’est ce qui est nécessaire pour définir le niveau de protection sur la valeur par défaut de Windows.

configuration d’une vérification cloud étendue

niveau de protection cloud de configuration