Gérer la protection contre les falsifications de votre organization à l’aide de Microsoft Intune

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender
• Microsoft Defender pour les PME
• Microsoft 365 Business Premium

Plateformes

• Windows

La protection contre les falsifications permet de protéger certains paramètres de sécurité, tels que la protection contre les virus et les menaces, contre toute désactivation ou modification. Si vous faites partie de l’équipe de sécurité de votre organization et que vous utilisez Microsoft Intune, vous pouvez gérer la protection contre les falsifications de votre organization dans le centre d’administration Intune. Vous pouvez également utiliser Configuration Manager. Avec Intune ou Configuration Manager, vous pouvez :

• Activez (ou désactivez la protection contre les falsifications) pour certains ou tous les appareils.
• Protégez Microsoft Defender exclusions antivirus contre la falsification (certaines conditions doivent être remplies).

Importante

Si vous utilisez Microsoft Intune pour gérer les paramètres de Defender pour point de terminaison, veillez à définir DisableLocalAdminMerge sur true sur les appareils.

Lorsque la protection contre les falsifications est activée, les paramètres protégés contre les falsifications ne peuvent pas être modifiés. Pour éviter d’interrompre les expériences de gestion, y compris les Intune (et Configuration Manager), gardez à l’esprit que les modifications apportées aux paramètres protégés contre les falsifications peuvent sembler réussir, mais qu’elles sont en fait bloquées par la protection contre les falsifications. Selon votre scénario particulier, plusieurs options sont disponibles :

• Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, nous vous recommandons d’utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Notez qu’une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre les falsifications sont rétablies à leur état configuré.
• Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.
• Si vous gérez la protection contre les falsifications via Intune, vous pouvez modifier les exclusions antivirus protégées contre les falsifications.

Conditions requises pour la gestion de la protection contre les falsifications dans Intune

Conditions requises	Détails
Rôles et autorisations	Vous devez disposer des autorisations appropriées attribuées par le biais de rôles, tels que Administrateur général ou Administrateur de la sécurité. Consultez Microsoft Entra rôles avec accès Intune.
Gestion des périphériques	Votre organization utilise Intune pour gérer les appareils.
Licences Intune	Intune licences sont requises. Consultez Microsoft Intune licences.
Système d’exploitation	Les appareils Windows doivent exécuter Windows 10 version 1709 ou ultérieure ou Windows 11. (Pour plus d’informations sur les versions, consultez Informations sur les versions de Windows.) Pour Mac, consultez Protéger les paramètres de sécurité macOS avec la protection contre les falsifications.
Veille de sécurité	Vous devez utiliser la sécurité Windows avec l’intelligence de sécurité mise à jour vers la version 1.287.60.0 (ou une version ultérieure).
Plateforme anti-programme malveillant	Les appareils doivent utiliser la version 4.18.1906.3 de plateforme anti-programme malveillant (ou supérieure) et la version 1.1.15500.X du moteur anti-programme malveillant (ou version ultérieure). Consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.
Identifiant Microsoft Entra	Vos locataires Intune et Defender pour point de terminaison doivent partager la même infrastructure Microsoft Entra.
Defender pour point de terminaison	Vos appareils doivent être intégrés à Defender pour point de terminaison.

Remarque

Si les appareils ne sont pas inscrits dans Microsoft Defender pour point de terminaison, la protection contre les falsifications s’affiche comme Non applicable jusqu’à la fin du processus d’intégration. La protection contre les falsifications peut empêcher les modifications apportées aux paramètres de sécurité. Si vous voyez un code d’erreur avec l’ID d’événement 5013, consultez Examiner les journaux des événements et les codes d’erreur pour résoudre les problèmes liés à Microsoft Defender Antivirus.

Activer (ou désactiver) la protection contre les falsifications dans Microsoft Intune

1. Dans le centre d’administration Intune, accédez àAntivirusde sécurité> des points de terminaison, puis choisissez + Create Stratégie.

   • Dans la liste Plateforme, sélectionnez Windows 10, Windows 11 et Windows Server.
   • Dans la liste Profil, sélectionnez Sécurité Windows’expérience.

2. Create un profil qui inclut le paramètre suivant :

   • Protection contre la falsification (appareil) : activé

3. Terminez la sélection des options et des paramètres de votre stratégie.

4. Déployez la stratégie sur les appareils.

Protection contre les falsifications pour les exclusions antivirus

Si votre organization a des exclusions définies pour Microsoft Defender Antivirus, la protection contre les falsifications protège ces exclusions, à condition que toutes les conditions suivantes soient remplies :

Condition	Critère
Microsoft Defender plateforme	Les appareils s’exécutent Microsoft Defender plateforme ou une version 4.18.2211.5 ultérieure. Pour plus d’informations, consultez Versions de moteur et de plateforme mensuelles.
DisableLocalAdminMerge Réglage	Ce paramètre est également appelé empêcher la fusion de listes locales. DisableLocalAdminMergeest activé pour que les paramètres configurés sur un appareil ne soient pas fusionnés avec des stratégies organization, telles que les paramètres dans Intune. Pour plus d’informations, consultez DisableLocalAdminMerge.
Gestion des périphériques	Les appareils sont gérés dans Intune uniquement, ou sont gérés avec Configuration Manager uniquement. L’option Sense doit être activée.
Exclusions d’antivirus	Microsoft Defender exclusions antivirus sont gérées dans Microsoft Intune. Pour plus d’informations, consultez Paramètres de la stratégie antivirus Microsoft Defender dans Microsoft Intune pour les appareils Windows. Les fonctionnalités de protection Microsoft Defender exclusions antivirus sont activées sur les appareils. Pour plus d’informations, consultez Guide pratique pour déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows.

Conseil

Pour plus d’informations sur les exclusions d’antivirus Microsoft Defender, consultez Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.

Comment déterminer si les exclusions antivirus sont protégées contre les falsifications sur un appareil Windows

Vous pouvez utiliser une clé de Registre pour déterminer si la fonctionnalité de protection Microsoft Defender exclusions antivirus est activée. La procédure suivante explique comment afficher, mais pas modifier, la protection contre les falsifications status.

1. Sur un appareil Windows, ouvrez le Registre Rédacteur. (Le mode lecture seule est correct ; vous ne modifiez pas la clé de Registre.)

2. Pour vérifier que l’appareil est géré par Intune uniquement ou par Configuration Manager uniquement, avec Sense activé, case activée les valeurs de clé de Registre suivantes :

   • ManagedDefenderProductType (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender ou HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (situé à l’adresse Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM ou HKLM\SOFTWARE\Microsoft\SenseCM)

   Le tableau suivant récapitule ce que signifient les valeurs de clé de Registre :

   Valeur ManagedDefenderProductType	Valeur EnrollmentStatus	Signification de la valeur
   6	(n’importe quelle valeur)	L’appareil est géré par Intune uniquement. (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
   7	4	L’appareil est géré par Configuration Manager. (Répond à une exigence pour que les exclusions soient protégées contre les falsifications.)
   Valeur autre que 6 ou 7	(n’importe quelle valeur)	L’appareil n’est pas géré par Intune uniquement ou Configuration Manager uniquement. (Les exclusions ne sont pas protégées contre les falsifications.)

3. Pour vérifier que la protection contre les falsifications est déployée et que les exclusions sont protégées contre les falsifications, case activée la TPExclusions clé de Registre (située sur Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features ou HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Signification de la valeur
   1	Les conditions requises sont remplies et la nouvelle fonctionnalité de protection des exclusions est activée sur l’appareil. (Les exclusions sont protégées contre les falsifications.)
   0	La protection contre les falsifications ne protège pas actuellement les exclusions sur l’appareil. (Si toutes les conditions sont remplies et que cet état semble incorrect, contactez le support.)

Attention

Ne modifiez pas la valeur des clés de Registre. Utilisez la procédure précédente à des fins d’information uniquement. La modification des clés n’a aucun effet sur le fait que la protection contre les falsifications s’applique ou non aux exclusions.

Voir aussi

• Forum aux questions (FAQ) sur la protection contre les falsifications
• Defender pour point de terminaison sur des appareils non Windows
• Résoudre les problèmes liés à la protection contre les falsifications
• Gérer les Microsoft Defender pour point de terminaison sur les appareils avec Microsoft Intune

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.