Vue d’ensemble de l’intégration d’appareils Windows dans Microsoft 365

  • Article

S’applique à :

La protection contre la perte de données de point de terminaison (DLP) et la gestion des risques internes nécessitent que les appareils Windows 10 Windows et Windows 11 soient intégrés au service afin qu’ils puissent envoyer des données de surveillance aux services.

La protection contre la perte de données (DLP) de point de terminaison vous permet de surveiller les appareils Windows 10 ou Windows 11 et de détecter quand les éléments sensibles sont utilisés et partagés. Ainsi, vous bénéficiez de la visibilité et du contrôle dont vous avez besoin pour vous assurer qu’ils sont utilisés et protégés correctement, et pour éviter tout comportement risqué susceptible de les compromettre. Si vous souhaitez en savoir plus sur les offres DLP de Microsoft, veuillez consulter la rubrique En savoir plus sur la protection contre la perte de données. Pour en savoir plus sur le point de terminaison DLP, voir En savoir plus sur la protection contre la perte de données de point de terminaison.

Endpoint DLP vous permet également d’intégrer des appareils exécutant les versions suivantes de Windows Server :

Remarque

L’installation des bases de connaissances Windows Server prises en charge désactive la fonctionnalité Classification sur le serveur. Cela signifie que endpoint DLP ne classifie pas les fichiers sur le serveur. Toutefois, endpoint DLP protège toujours les fichiers sur le serveur qui ont été classifiés avant l’installation de ces bases de connaissances sur le serveur. Pour garantir cette protection, installez Microsoft Defender version 4.18.23100 (octobre 2023) ou ultérieure.

Par défaut, endpoint DLP n’est pas activé pour les serveurs Windows lorsqu’ils sont initialement intégrés. Avant de voir les événements DLP de point de terminaison pour vos serveurs dans l’Explorer d’activité, vous devez d’abord activer la prise en charge DLP des points de terminaison pour les serveurs intégrés.

Une fois correctement configurées, les mêmes stratégies de protection contre la perte de données peuvent être appliquées automatiquement aux PC Windows et aux serveurs Windows.

La gestion des risques internes utilise l’ensemble des indicateurs de service et tiers pour vous aider à identifier, trier et agir rapidement sur l’activité des utilisateurs à risque. À l’aide des journaux de Microsoft 365 et de Microsoft Graph, la gestion des risques internes vous permet de définir des stratégies spécifiques pour identifier les indicateurs de risque et prendre des mesures pour atténuer ces risques. Pour plus d’informations, voir En savoir plus sur la gestion des risques internes.

L’intégration d’appareil est partagée entre Microsoft 365 et Microsoft Defender pour le point de terminaison (MDE). Si vous avez déjà intégré des appareils à MDE, ils apparaissent dans la liste des appareils gérés et aucune autre étape n’est nécessaire pour intégrer ces appareils spécifiques. L’intégration d’appareils dans le portail de conformité les intègre également à MDE.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Licences SKU/abonnements

Vérifiez les conditions de licence ici.

Autorisations

Pour activer la gestion des appareils, le compte que vous utilisez doit être membre de l’un de ces rôles :

  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité

Si vous voulez utiliser un compte personnalisé pour afficher les paramètres de gestion des appareils, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité
  • Administrateur des données de mise en conformité
  • Lecteur général

Si vous voulez utiliser un compte personnalisé pour accéder à la page d’intégration/déclassement, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité

Si vous voulez utiliser un compte personnalisé pour activer/désactiver la surveillance de l’appareil, celui-ci doit se trouver dans l’un de ces rôles :

  • Administrateur global
  • Administrateur de mise en conformité

Préparer vos appareils Windows

Assurez-vous que les appareils Windows que vous devez intégrer répondent à ces exigences.

  1. Doit exécuter l’une des builds suivantes de Windows ou Windows Server :

    1. Windows (X64) :
      1. Windows 10 21H2 (Voir les détails de la mise à jour)
      2. Mise à jour Windows 10 22H2 (voir les détails de la mise à jour)
    2. Windows (ARM64) :
      1. Windows 11 21H2 (Voir les détails de la mise à jour)
      2. Windows 11 22H2 (Voir les détails de la mise à jour)
    3. Système d’exploitation Windows Server 2019 : version 1809 et versions ultérieures ou Système d’exploitation Windows Server 2022 : 21H2 et versions ultérieures.

  2. La version du client logiciel anti-programme malveillant est 4.18.2110 ou ultérieure. Vérifiez votre version actuelle à l’aide de l’application Sécurité Windows, sélectionnez l’icône Paramètres, puis À propos de. Le numéro de version est répertorié sous version du client anti-programme malveillant. Effectuez une mise à jour vers la dernière version du client anti-programme malveillant en installant Windows Update KB4052623. Pour plus d’informations, consultez : antivirus Microsoft Defender dans Windows.

    Importante

    Aucun des composants Sécurité Windows ne doit être actif, mais la protection en temps réel et le moniteur de comportement doivent être activés.

  3. Tous les appareils doivent être l’un de ceux-ci :

  4. Une version prise en charge de Microsoft 365 Apps est installée et à jour. Pour une protection et une expérience utilisateur optimales, vérifiez Microsoft 365 Apps version 16.0.14701.0 ou ultérieure est installée.

    Remarque

  5. Si vous avez des points de terminaison qui utilisent un proxy de périphérique pour se connecter à l'internet, suivez les procédures de la section Configurer le proxy de périphérique et les paramètres de connexion à l'internet pour la protection de l’information.

    Importante

    Veillez à autoriser MpDlpService.exe via votre pare-feu, un logiciel antivirus tiers ou un contrôle d’application.

Intégration d’appareils Windows 10 ou Windows 11

Vous devez activer la surveillance des appareils et intégrer vos points de terminaison avant de pouvoir surveiller et protéger les éléments sensibles sur un appareil. Ces deux actions sont effectuées dans le portail de conformité Microsoft Purview.

Lorsque vous souhaitez intégrer des appareils qui n’ont pas encore été intégrés, vous téléchargez le script approprié et le déployez sur ces appareils. Suivez les procédures d’intégration d’appareil ci-dessous.

Si vous avez déjà intégré des appareils à Microsoft Defender pour point de terminaison, ils apparaissent déjà dans la liste des appareils gérés.

Dans ce scénario de déploiement, vous intégrez des appareils Windows 10 ou Windows 11 qui n’ont pas encore été intégrés.

  1. Ouvrez le Portail de conformité Microsoft Purview. Choisissez Paramètres>Appareils d’intégration de l’appareil>.

    Remarque

    Si vous avez précédemment déployé Microsoft Defender pour le point de terminaison, tous les appareils qui ont été intégrés au cours de ce processus sont répertoriés dans la liste Appareils. Il n’est pas nécessaire de les intégrer à nouveau. Bien que l’activation de l’intégration des appareils dure généralement environ 60 secondes, patientez jusqu’à 30 minutes avant de contacter le support Microsoft.

  2. Choisissez Activer l’intégration des appareils.

  3. Sélectionnez Intégration pour lancer le processus d’intégration.

  4. Choisissez le mode de déploiement que vous souhaitez déployer sur ces autres appareils dans la liste Méthode de déploiement , puis téléchargez le package.

  5. Choisissez la procédure appropriée à suivre dans le tableau ci-dessous :

    Article Description
    Intune Utilisez les outils de Gestion des appareils mobiles ou Microsoft Intune pour déployer le package de configuration sur l’appareil.
    Configuration Manager Vous pouvez utiliser Microsoft Endpoint Configuration Manager (current branch) version 1606 ou Microsoft Endpoint Configuration Manager (current branch) version 1602 ou antérieure pour déployer le package de configuration sur les appareils.
    Stratégie de groupe Utilisez la stratégie de groupe pour déployer le package de configuration sur les appareils.
    Script local Découvrez comment utiliser le script local pour déployer le package de configuration sur des points de terminaison.
    Appareils vDI (Virtual Desktop Infrastructure) Découvrez comment utiliser le package de configuration pour configurer des appareils VDI.

Configuration de l’appareil et status de synchronisation des stratégies

Vous pouvez case activée les status de configuration et les status de synchronisation de stratégie de tous vos appareils intégrés dans la liste Appareils. Pour plus d’informations sur la configuration et la stratégie status, sélectionnez un appareil intégré pour ouvrir le volet d’informations.

Configuration status indique si l’appareil est configuré correctement, envoie un signal de pulsation à Purview et la dernière fois que la configuration a été validée. Pour les appareils Windows, la configuration comprend la vérification de la status de Microsoft Defender protection always-on antivirus et de la surveillance du comportement.

La synchronisation de stratégie status indique si l’appareil a reçu la dernière version de stratégie ou si les stratégies correspondantes ont été synchronisées avec l’appareil.

Valeur du champ Status de configuration Status de synchronisation de stratégie
Mis à jour Les paramètres d’intégrité de l’appareil sont activés et correctement définis. L’appareil a été mis à jour avec les versions actuelles des stratégies.
Non mis à jour Vous devez activer les paramètres de configuration de cet appareil. Suivez les procédures décrites dans Microsoft Defender Protection toujours activée antivirus Cet appareil n’a pas synchronisé les dernières mises à jour de stratégie. Si la mise à jour de la stratégie a été effectuée au cours des deux dernières heures, attendez que la stratégie atteigne votre appareil.
Non disponible Les propriétés de l’appareil ne sont pas disponibles dans la liste des appareils. Cela peut être dû au fait que l’appareil ne respecte pas la version ou la configuration minimale du système d’exploitation, ou si l’appareil vient d’être intégré. Les propriétés de l’appareil ne sont pas disponibles dans la liste des appareils. Cela peut être dû au fait que l’appareil ne respecte pas la version ou la configuration minimale du système d’exploitation, ou si l’appareil vient d’être intégré.

Jusqu’à 2 heures peuvent être nécessaires pour que la status de synchronisation soit reflétée sur le tableau de bord. Les appareils doivent être en ligne pour que la mise à jour de la stratégie se produise. Si le status n’est pas mis à jour, case activée la dernière fois que l’appareil a été vu.

Voir aussi