Sécuriser les points de terminaison avec la Confiance Zéro
Background
L’entreprise moderne a une diversité incroyable de points de terminaison accédant aux données. Tous les points de terminaison ne sont pas gérés ni même détenus par l’organisation, ce qui se traduit par des configurations d’appareil et des niveaux de correctif logiciel différents. Cela crée une surface d’attaque massive et, si elle est laissée non résolue, l’accès aux données de travail à partir de points de terminaison non approuvés peut facilement devenir le lien le plus faible dans votre stratégie de sécurité de Confiance Zéro.
La Confiance Zéro adhère au principe « Ne jamais faire confiance, toujours vérifier ». En termes de points de terminaison, cela signifie toujours vérifier tous les points de terminaison. Cela comprend non seulement les appareils des sous-traitants, des partenaires et invités, mais également les applications et les appareils utilisés par les employés pour accéder aux données de travail, quelle que soit la propriété de l’appareil.
Dans une approche Confiance Zéro, les mêmes stratégies de sécurité sont appliquées, indépendamment du fait que l’appareil soit détenu par l’entreprise ou personnellement par le biais de BYOD (Apportez votre propre appareil), qu’il soit complètement managé par le service Informatique ou non, ou que seules les applications et les données soient sécurisées. Les stratégies s’appliquent à tous les points de terminaison, qu’il s’agisse d’appareils PC, Mac, smartphones, tablettes, wearables ou IoT, où qu’ils soient connectés, qu’il s’agisse d’un réseau d’entreprise sécurisé, d’un réseau domestique ou de l’Internet public.
Plus important encore, l’intégrité et la fiabilité des applications qui s’exécutent sur ces points de terminaison ont un impact sur votre posture de sécurité. Vous devez empêcher que des données d’entreprise soient divulguées à des applications ou services non fiables ou inconnus, que ce soit accidentellement ou intentionnellement.
Il existe quelques règles clés pour sécuriser les appareils et les points de terminaison dans un modèle Confiance Zéro :
Les stratégies de sécurité Confiance Zéro sont appliquées de manière centralisée dans le cloud, et couvrent la sécurité des points de terminaison, la configuration des appareils, la protection des applications, la conformité des appareils et la posture de risque.
La plateforme, ainsi que les applications qui s’exécutent sur les appareils, sont provisionnées de manière sécurisée, configurées correctement, et tenues à jour.
Il existe une réponse automatisée et rapide afin de restreindre l’accès aux données d’entreprise dans les applications en cas de compromission de la sécurité.
Le système de contrôle d’accès garantit que tous les contrôles de stratégie sont en vigueur avant l’accès aux données.
Objectifs du déploiement de point de terminaison Confiance Zéro
Avant qu’elles ne commencent le parcours Confiance Zéro, la sécurité de point de terminaison de la plupart des organisations est configurée comme suit :
-
Les points de terminaison sont joints à un domaine et gérés à l’aide de solutions telles qu’Objets de stratégie de groupe ou Configuration Manager. Il s’agit d’options intéressantes, mais elles ne tirent pas parti des fournisseurs de solutions Cloud Windows 10 modernes, ou requièrent une appliance de passerelle de gestion cloud distincte pour traiter les requêtes des appareils basés sur le cloud.
-
Les points de terminaison doivent être sur un réseau d’entreprise pour accéder aux données. Cela peut signifier que les appareils doivent être physiquement sur site afin d’accéder au réseau d’entreprise, ou qu’ils nécessitent un accès VPN, ce qui augmente le risque qu’un appareil compromis accède à des ressources sensibles de l’entreprise.
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la sécurisation des points de terminaison, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux : |
|
I. Les points de terminaison sont inscrits auprès de fournisseurs d’identité cloud. Pour superviser la sécurité et les risques sur plusieurs points de terminaison utilisés par une personne, vous avez besoin d’une visibilité sur tous les appareils et points d’accès susceptibles d’accéder à vos ressources. II. L’accès est accordé uniquement aux points de terminaison et applications conformes et gérés dans le cloud. Définissez des règles de conformité pour vous assurer que les appareils répondent aux exigences de sécurité minimales avant d’accorder l’accès. Définissez également des règles de correction pour les appareils non conformes, afin que les utilisateurs sachent comment résoudre le problème. III. Des stratégies de protection contre la perte de données (DLP) sont appliquées pour les appareils d’entreprise et BYOD. Contrôlez ce que l’utilisateur peut faire avec les données une fois qu’il y a accès. Par exemple, interdisez ou limitez l’enregistrement de fichiers à des emplacements non approuvés (tels que le disque local), ou limitez le partage par copier-coller avec une application de communication consommateur ou une application de conversation afin de protéger les données. |
|
Une fois ces opérations terminées, concentrez-vous sur ces objectifs de déploiement supplémentaires : |
|
IV. La détection des menaces de point de terminaison est utilisée afin de superviser les risques des appareils. Utilisez un seul volet pour gérer tous les points de terminaison de manière cohérente, et utilisez une solution SIEM pour router les journaux de point de terminaison et les transactions de manière à recevoir des alertes moins nombreuses, mais exploitables. V. Le contrôle d’accès est contrôlé en cas de risque de point de terminaison pour les appareils d’entreprise et BYOD. Intégrez des données de Microsoft Defender pour point de terminaison ou d’autres fournisseurs de Protection contre les menaces mobiles (MTD) en tant que source d’informations pour les stratégies de conformité des appareils et les règles d’Accès conditionnel des appareils. Le risque de l’appareil influencera alors directement les ressources qui seront accessibles à l’utilisateur de cet appareil. |
Guide de déploiement de point de terminaison Confiance Zéro
Ce guide vous accompagne tout au long des étapes nécessaires à la sécurisation de vos appareils selon les principes d’une infrastructure de sécurité Confiance Zéro.
|
Objectifs de déploiement initiaux |
I. Les points de terminaison sont inscrits auprès de fournisseurs d’identité cloud
Pour limiter l’exposition au risque, vous devez superviser chaque point de terminaison afin de vous assurer que chacun d’eux a une identité approuvée, que des stratégies de sécurité sont appliquées et que le niveau de risque pour des éléments tels que les logiciels malveillants ou l’exfiltration de données a été mesuré, corrigé ou jugé acceptable.
Une fois l’appareil inscrit, les utilisateurs peuvent accéder aux ressources restreintes de votre organisation en se connectant avec leur nom d’utilisateur et mot de passe d’entreprise (ou Windows Hello Entreprise).
Inscrire les appareils de société auprès de Microsoft Entra ID.
Effectuez les étapes suivantes :
Nouveaux appareils Windows 10
Démarrez votre nouvel appareil et commencez le processus OOBE (Out-Of-Box-Experience).
Dans l’écran Se connecter avec Microsoft, tapez votre adresse e-mail professionnelle ou scolaire.
Dans l’écran Entrez votre mot de passe, tapez votre mot de passe.
Sur votre appareil mobile, approuvez ce dernier afin qu’il puisse accéder à votre compte.
Terminez le processus OOBE, notamment en définissant vos paramètres de confidentialité et en configurant Windows Hello (si nécessaire).
Votre appareil est maintenant joint au réseau de votre organisation.
Appareils Windows 10 existants
Ouvrez Paramètres, puis sélectionnez Comptes.
Sélectionnez Accès Professionnel ou Scolaire, puis Se connecter.
Dans l’écran Configurer un compte professionnel ou scolaire, sélectionnez Joindre cet appareil à Microsoft Entra ID.
Dans l’écran Procédons à votre connexion, tapez votre adresse e-mail (par exemple, alain@contoso.com), puis sélectionnez Suivant.
Dans l’écran Entrez votre mot de passe, tapez votre mot de passe et sélectionnez Se connecter.
Sur votre appareil mobile, approuvez ce dernier afin qu’il puisse accéder à votre compte.
Dans l’écran Vérifiez qu’il s’agit de votre organisation, passez en revue les informations pour vous assurer qu’elles sont correctes, puis sélectionnez Joindre.
Dans l’écran Vous avez terminé, cliquez sur Terminé.
Inscrire des appareils Windows personnels avec Microsoft Entra ID
Effectuez les étapes suivantes :
Ouvrez Paramètres, puis sélectionnez Comptes.
Sélectionnez Accès Professionnel ou Scolaire, puis sélectionnez Connexion à partir de l’écran Accès Professionnel ou Scolaire.
Dans l’écran Ajouter un compte professionnel ou scolaire, tapez votre adresse e-mail pour votre compte professionnel ou scolaire, puis sélectionnez Suivant. Par exemple : alain@contoso.com.
Connectez-vous à votre compte professionnel ou scolaire, puis sélectionnez Se connecter.
Effectuez le reste du processus d’inscription, y compris l’approbation de votre demande de vérification d’identité (si vous utilisez la vérification en deux étapes) et la configuration de Windows Hello (si nécessaire).
Activer et configurer Windows Hello Entreprise
Pour proposer aux utilisateurs une méthode de connexion alternative au mot de passe, par exemple un code confidentiel, une authentification biométrique ou un lecteur d’empreintes digitales, activez Windows Hello Entreprise sur les appareils Windows 10 des utilisateurs.
Les actions Microsoft Intune et Microsoft Entra suivantes sont effectuées dans le Centre d’administration Microsoft Intune :
Commencez par créer une stratégie d’inscription Windows Hello Entreprise dans Microsoft Intune.
Accédez à Appareils > Inscription > Inscrire des appareils > Inscription Windows > Windows Hello Entreprise.
Sélectionnez les options suivantes pour configurer Windows Hello Entreprise :
Désactivé. Si vous ne souhaitez pas utiliser Windows Hello Entreprise, sélectionnez ce paramètre. Si cette option est désactivée, les utilisateurs ne peuvent pas approvisionner Windows Hello Entreprise, sauf sur les téléphones mobiles Microsoft Entra joints où l’approvisionnement peut être nécessaire.
Activé. Sélectionner ce paramètre si vous souhaitez configurer Windows Hello Entreprise paramètres. Si vous sélectionnez Activé, des paramètres supplémentaires pour Windows Hello apparaissent.
Non configuré. Sélectionner ce paramètre si vous ne souhaitez pas utiliser Intune pour contrôler Windows Hello Entreprise paramètres. Les paramètres de Windows Hello Entreprise existants sur les appareils Windows 10 ne sont pas modifiés. Tous les autres paramètres du volet ne sont pas disponibles.
Si vous avez sélectionné Activé, configurez les paramètres nécessaires qui sont appliqués à tous les appareils Windows 10 et Windows 10 Mobile inscrits.
Utiliser un module de plateforme sécurisée (TPM). Une puce TPM fournit une couche supplémentaire de sécurité des données. Choisissez l’une des valeurs suivantes :
Obligatoire. Seuls les appareils avec un TPM accessible peuvent configurer Windows Hello Entreprise.
Préféré Les appareils tentent d’abord d’utiliser un TPM. Si cette option n’est pas disponible, ils peuvent utiliser un chiffrement logiciel.
Définir une longueur minimale de code confidentiel et une longueur maximale de code confidentiel. Cela configure les appareils pour qu’ils utilisent les longueurs de code confidentiel minimale et maximale que vous spécifiez, afin de garantir une connexion sécurisée. La longueur du code confidentiel par défaut est de six caractères, mais vous pouvez appliquer une longueur minimale de quatre caractères. La longueur maximale du code confidentiel est de 127 caractères.
Définir l’expiration du code confidentiel (en jours). Nous vous conseillons de spécifier une période d’expiration pour un code confidentiel, après laquelle les utilisateurs finaux doivent le modifier. La valeur par défaut est 41 jours.
Conserver l’historique des codes confidentiels. Limite la réutilisation des codes confidentiels précédemment utilisés. Par défaut, les 5 derniers codes confidentiels ne peuvent pas être réutilisés.
Utiliser la détection d’usurpation avancée, si disponible. Cette option permet de configurer quand les fonctionnalités de détection d’usurpation de Windows Hello sont utilisées sur les appareils qui les prennent en charge. Par exemple, détection d’une photographie d’un visage au lieu d’un visage réel.
Autoriser la connexion par téléphone. Utiliser Remote Passport : si cette option a la valeur Activé, les utilisateurs peuvent utiliser un appareil Remote Passport comme appareil mobile pour l’authentification d’ordinateur du bureau. L’ordinateur de bureau doit être joint à Microsoft Entra, et l’appareil complémentaire doit être configuré avec un code confidentiel Windows Hello Entreprise.
Une fois ces paramètres configurés, cliquez sur Enregistrer.
Après avoir configuré les paramètres qui s’appliquent à tous les appareils Windows 10 et Windows 10 Mobile inscrits, configurez des profils Identity Protection Windows Hello Entreprise afin de personnaliser les paramètres de sécurité Windows Hello Entreprise pour des appareils d’utilisateurs finaux spécifiques.
Sélectionnez Appareils > Profils de configuration > Créer un profil > Windows 10 et versions ultérieures > Identity Protection .
Configurez Windows Hello Entreprise. Choisissez la façon dont vous souhaitez configurer Windows Hello Entreprise.
Longueur minimale du code confidentiel.
Lettres minuscules dans le code confidentiel.
Lettres majuscules dans le code confidentiel.
Caractères spéciaux dans le code confidentiel.
Expiration du code confidentiel (en jours).
Conserver l’historique des codes confidentiels.
Activer la récupération du code confidentiel. Permet à l’utilisateur d’utiliser le service de récupération de code confidentiel Windows Hello Entreprise.
Utiliser un module de plateforme sécurisée (TPM). Une puce TPM fournit une couche supplémentaire de sécurité des données.
Autoriser l’authentification biométrique. Permet d’utiliser l’authentification biométrique, telle que la reconnaissance faciale ou les empreintes digitales, à la place d’un code confidentiel pour Windows Hello Entreprise. Les utilisateurs doivent toujours configurer un code confidentiel en cas d’échec de l’authentification biométrique.
Utiliser la détection d’usurpation avancée, si disponible. Détermine quand les fonctionnalités de lutte contre l’usurpation d’identité numérique de Windows Hello sont utilisées sur les appareils qui les prennent en charge (par exemple, détection d’une photo de visage au lieu d’un visage réel).
Utiliser des clés de sécurité pour la connexion. Cette action est disponible pour les appareils qui exécutent Windows 10 version 1903 ou ultérieure. Utilisez-le pour gérer la prise en charge de l’utilisation des clés de sécurité Windows Hello pour la connexion.
Pour finir, vous pouvez créer des stratégies de restriction d’appareil supplémentaires afin de renforcer le verrouillage des appareils d’entreprise.
Conseil
Apprenez-en davantage sur l’implémentation d’une stratégie d’identité Confiance Zéro de bout en bout.
II. L’accès est accordé uniquement aux points de terminaison et applications conformes et gérés dans le cloud
Une fois que vous disposez d’identités pour tous les points de terminaison accédant aux ressources de l’entreprise et avant l’octroi de l’accès, vous devez vous assurer qu’elles répondent aux exigences minimales de sécurité définies par votre organisation.
Une fois que vous avez établi des stratégies de conformité afin de limiter l’accès aux ressources de l’entreprise aux points de terminaison et aux applications mobiles et de bureau approuvés, tous les utilisateurs peuvent accéder aux données organisationnelles sur des appareils mobiles, et une version minimale ou maximale du système d’exploitation est installée sur tous les appareils. Les appareils ne sont pas jailbroken ou rootés.
Vous devez par ailleurs définir des règles de correction pour les appareils non conformes, par exemple bloquer un appareil non conforme ou offrir à l’utilisateur une période de grâce pour se mettre en conformité.
Créer une stratégie de conformité avec Microsoft Intune (toutes les plateformes)
Pour créer une stratégie de conformité, effectuez les étapes suivantes :
Sélectionnez Appareils > Stratégies de conformité > Stratégies > Créer une stratégie.
Sélectionnez une plateforme pour cette stratégie (Windows 10 est utilisé dans l’exemple ci-dessous).
Sélectionnez la configuration Intégrité de l’appareil souhaitée.
Configurez les propriétés minimales ou maximales de l’appareil.
Configurez la conformité de Configuration Manager. Cela nécessite que toutes les évaluations de conformité dans Configuration Manager soient conformes, et s’applique uniquement aux appareils Windows 10 cogérés. Tous les appareils Intune-uniquement retournent N/A.
Configurez les paramètres de sécurité système.
Configurez Logiciel anti-programme malveillant Microsoft Defender.
Configurez le score de risque machine Microsoft Defender pour point de terminaison requis.
Sous l’onglet Actions en cas de non-conformité, spécifiez une séquence d’actions à appliquer automatiquement aux appareils qui ne respectent pas cette stratégie de conformité.
Automatiser la notification par e-mail et ajouter des actions de correction supplémentaires pour les appareils non conformes dans Intune (toutes les plateformes)
Lorsque leurs points de terminaison ou applications deviennent non conformes, les utilisateurs sont guidés en vue de procéder à une auto-correction. Des alertes sont générées automatiquement, avec des alarmes supplémentaires et des actions automatisées définies pour certains seuils. Vous pouvez définir des actions de correction de non-conformité.
Procédez comme suit :
Sélectionnez Appareils > Stratégies de conformité > Notifications > Créer une notification.
Créez un modèle de message de notification.
Sélectionnez Appareils > Stratégies de conformité >Stratégies, sélectionnez l’une de vos stratégies, puis Propriétés.
Sélectionnez Actions en cas de non-conformité> Ajouter.
Ajoutez des actions en cas de non-conformité :
Configurez un e-mail automatisé pour les utilisateurs disposant d’appareils non conformes.
Configurez une action pour verrouiller à distance les appareils non conformes.
Configurez une action pour mettre automatiquement hors service un appareil non conforme après un nombre défini de jours.
III. Des stratégies de protection contre la perte de données (DLP) sont appliquées pour les appareils d’entreprise et BYOD
Une fois l’accès aux données accordé, vous souhaiterez contrôler ce que l’utilisateur peut faire avec les données. Par exemple, si un utilisateur accède à un document avec une identité d’entreprise, vous souhaiterez empêcher l’enregistrement de ce document à un emplacement de stockage consommateur non protégé ou son partage avec une application de communication ou de conversation grand public.
Appliquer les paramètres de sécurité recommandés
Tout d’abord, appliquez les paramètres de sécurité recommandés par Microsoft aux appareils Windows 10 afin de protéger les données d’entreprise (nécessite Windows 10 1809 et versions ultérieures) :
Utilisez les bases de référence de la sécurité Intune pour sécuriser et protéger vos utilisateurs et appareils. Les bases de référence de la sécurité représentent des groupes préconfigurés de paramètres Windows qui vous aident à appliquer un groupe connu de paramètres et de valeurs par défaut, recommandé par les équipes de sécurité correspondantes.
Effectuez les étapes suivantes :
Sélectionnez Sécurité des points de terminaison > Bases de référence de sécurité pour afficher la liste des bases de référence disponibles.
Sélectionnez la base de référence que vous souhaitez utiliser, puis sélectionnez Créer un profil.
Sous l’onglet Paramètres de configuration, affichez les groupes de Paramètres disponibles dans la ligne de base que vous avez sélectionnée. Vous pouvez développer un groupe pour en afficher les paramètres ainsi que les valeurs par défaut pour ces paramètres dans la base de référence. Pour rechercher des paramètres spécifiques :
Sélectionnez un groupe pour développer et passer en revue les paramètres disponibles.
Utilisez la barre de recherche et spécifiez des mot clé qui filtrent l’affichage pour afficher uniquement les groupes qui contiennent vos critères de recherche.
Reconfigurez les paramètres par défaut pour répondre aux besoins de votre entreprise.
Sous l’onglet Affectations, sélectionnez les groupes à inclure, puis affectez la base de référence à un ou plusieurs groupes. Pour affiner l’affectation, utilisez Sélectionner les groupes à exclure.
Vérifier que les mises à jour sont déployées automatiquement sur les points de terminaison
Configurer des appareils Windows 10
Configurez Windows Update pour Entreprise afin de simplifier l’expérience de gestion des mises à jour pour les utilisateurs et être certain que les appareils sont automatiquement mis à jour pour atteindre le niveau de conformité requis.
Effectuez les étapes suivantes :
Gérez les mises à jour logicielles Windows 10 dans Intune en créant des anneaux de mise à jour et en activant un ensemble de paramètres qui configurent le moment où les mises à jour Windows 10 seront installées.
Sélectionnez Appareils > Windows > Anneaux de mise à jour Windows 10 > Créer.
Sous Paramètres de l’anneau de mise à jour, configurez les paramètres pour vos besoins professionnels.
Sous Affectations, choisissez + Sélectionner les groupes à inclure, puis affectez l’anneau de mise à jour à un ou plusieurs groupes. Pour affiner l’attribution, utilisez + Sélectionner les groupes à exclure.
Gérez les mises à jour des fonctionnalités Windows 10 dans Intune pour mettre les appareils à la version de Windows que vous spécifiez (à savoir 1803 ou 1809) et gelez l’ensemble des fonctionnalités sur ces appareils jusqu’à ce que vous choisissiez de les mettre à jour vers une version ultérieure de Windows.
Sélectionnez Appareils > Windows > Mises à jour des fonctionnalités Windows 10 > Créer.
Sous De base, spécifiez un nom, une description (facultatif) et, pour Mise à jour de fonctionnalité à déployer, sélectionnez la version de Windows avec l’ensemble de fonctionnalités souhaité, puis sélectionnez Suivant.
Sous Affectations, choisissez et sélectionnez les groupes à inclure, puis affectez le déploiement de mise à jour des fonctionnalités à un ou plusieurs groupes.
Pour les appareils d’entreprise, configurez les mises à jour d’iOS afin de simplifier l’expérience de gestion des mises à jour pour les utilisateurs et être certain que les appareils sont automatiquement mis à jour pour atteindre le niveau de conformité requis. Configurez la stratégie de mise à jour d’iOS.
Effectuez les étapes suivantes :
Sélectionnez Appareils > Stratégies de mise à jour d’iOS/iPad > Créer un profil.
Sous l’onglet Informations de base, spécifiez un nom pour cette stratégie, spécifiez une description (facultatif), puis sélectionnez Suivant.
Dans l'onglet Paramètres de stratégie de mise à jour, configurez les éléments suivants :
Version cible à installer. Vous pouvez choisir :
Dernière mise à jour : cette dernière mise à jour est déployée pour iOS/iPadOS.
Toute version précédente disponible dans la zone de liste déroulante. Si vous sélectionnez une version précédente, vous devez également déployer une stratégie de configuration d’appareil pour retarder la visibilité des mises à jour logicielles.
Type de planification : Configurez la planification pour cette stratégie :
Mettre à jour lors du check-in suivant. La mise à jour s’installe sur l’appareil lors du check-in suivant avec Intune. Il s’agit de l’option la plus simple et n’a pas de configurations supplémentaires.
Mettre à jour pendant l’intervalle planifié. Vous configurez une ou plusieurs fenêtres de temps pendant lesquelles la mise à jour sera installée suite au check-in.
Mettre à jour en dehors de l’intervalle planifié. Vous configurez une ou plusieurs fenêtres de temps pendant lesquelles les mises à jour ne seront pas installées suite au check-in.
Planification hebdomadaire : si vous choisissez un type de planification autre que la mise à jour à la prochaine case activée-in, configurez les options suivantes :
Sélectionnez un Fuseau horaire.
Définissez une fenêtre de temps. Définissez une ou plusieurs plages de temps qui limitent le moment où les mises à jour sont installées. Les options incluent le jour de début, l’heure de début, la date de fin et l’heure de fin. À l’aide d’une journée de début et d’une journée de fin, les blocs de nuit sont pris en charge. Si vous ne configurez pas les heures de début ou de fin, la configuration ne génère aucune restriction et les mises à jour ne peuvent s’installer à tout moment.
Vérifier que les appareils sont chiffrés
Configurer BitLocker pour chiffrer les appareils Windows 10
Sélectionnez Appareils > Profils de configuration > Créer un profil.
Spécifiez les options suivantes :
Plateforme : Windows 10 et ultérieur
Type de profil : Endpoint Protection.
Sélectionnez Paramètres > Chiffrement Windows.
Configurez les paramètres de BitLocker pour répondre aux besoins de votre entreprise, puis sélectionnez OK.
Configurer le chiffrement FileVault sur des appareils macOS
Sélectionnez Appareils > Profils de configuration > Créer un profil.
Spécifiez les options suivantes :
Plateforme : macOS.
Type de profil : Endpoint Protection.
Sélectionnez Paramètres > FileVault.
Pour FileVault, sélectionnez Activer.
Pour le type de clé de récupération, seule la clé personnelle est prise en charge.
Configurez les paramètres FileVault restants pour répondre aux besoins de votre entreprise, puis sélectionnez OK.
Créer des stratégies de protection des applications pour protéger les données d’entreprise au niveau de l’application
Pour vous assurer que vos données restent sécurisées ou contenues dans une application managée, créez des stratégies de protection des applications. Une stratégie peut être une règle appliquée lorsque l’utilisateur tente d’accéder ou de déplacer des données "d’entreprise", ou un ensemble d’actions interdites ou surveillées lorsque l’utilisateur se trouve dans l’application.
Le framework de protection des données des stratégies de protection des applications (APP) Intune est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :
La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration basique qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
La protection améliorée des données d’entreprise (niveau 2) présente les stratégies de protection des applications , les mécanismes de prévention des fuites de données et les exigences minimales du système d’exploitation. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.
Effectuez les étapes suivantes :
Dans le portail Intune, choisissez Applications>Stratégies de protection des applications. Cette sélection ouvre les détails des stratégies de protection des applications, où vous créez de nouvelles stratégies et modifiez des stratégies existantes.
Sélectionnez Créer une stratégie et sélectionnez iOS/iPadOS ou Android. Le volet Créer une stratégie s’affiche.
Choisissez les applications auxquelles vous souhaitez appliquer la stratégie de protection des applications.
Configurez les paramètres de protection des données :
Protection des données iOS/iPadOS. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS/iPadOS - Protection des données.
Protection des données Android. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android - Protection des données.
Configurez les paramètres d’exigence d’accès :
Conditions d’accès iOS/iPadOS. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS/iPadOS - Conditions d’accès.
Conditions d’accès Android. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android - Conditions d’accès.
Configurez les paramètres de lancement conditionnel :
Lancement conditionnel iOS/iPadOS. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS/iPadOS - Lancement conditionnel.
Lancement conditionnel Android. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android – Lancement conditionnel.
Cliquez sur Suivant pour afficher la page Affectations .
Lorsque vous avez terminé, cliquez sur Créer pour créer la stratégie de protection des applications dans Intune.
|
Objectifs de déploiement supplémentaires |
IV. La détection des menaces de point de terminaison est utilisée afin de superviser les risques des appareils
Une fois que vous avez accompli les trois premiers objectifs, l’étape suivante consiste à configurer la sécurité des points de terminaison afin que la protection avancée soit provisionnée, activée et supervisée. Un volet unique est utilisé pour gérer de manière cohérente tous les points de terminaison.
Router les journaux de point de terminaison et les transactions vers une solution SIEM ou Power BI
À l’aide de l’entrepôt de données Intune, envoyez les données de gestion des applications et des appareils vers des outils de création de rapports ou SIEM afin de bénéficier d’un filtrage intelligent des alertes et d’une réduction du bruit.
Effectuez les étapes suivantes :
Sélectionnez Rapports > Entrepôt de données Intune > Entrepôt de données.
Copiez l’URL du flux personnalisé. Par exemple :
https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0
Ouvrez Power BI Desktop ou votre solution SIEM.
À partir de votre solution SIEM
Choisissez l’option d’importation ou d’extraction de données à partir d’un flux OData.
À partir de Power BI
Dans le menu, sélectionnez Fichier > Obtenir les données > Flux OData.
Collez l’URL du flux personnalisé que vous avez copiée à l’étape précédente dans la zone URL de la fenêtre Flux OData.
Sélectionnez De base.
Cliquez sur OK.
Sélectionnez compte d’organisation, puis connectez-vous avec vos informations d’identification Intune.
Sélectionnez Se connecter. Le navigateur s’ouvre et vous affiche la liste des tables dans l’entrepôt de données Intune.
Sélectionnez les appareils et les tables ownerTypes. Sélectionnez Charger. Un jeu de données est le modèle Power BI.
Créer une relation. Vous pouvez importer plusieurs tables pour analyser non seulement les données dans une table unique, mais aussi les données connexes contenues dans plusieurs tables. Power BI dispose d’une fonctionnalité appelée détection automatique qui tente de rechercher et de créer des relations pour vous. Les tables de l’entrepôt de données ont été créées pour fonctionner avec la fonctionnalité de détection automatique dans Power BI. Toutefois, même si Power BI ne trouve pas automatiquement les relations, vous pouvez toujours gérer les relations.
Sélectionnez Gérer les relations.
Sélectionnez Détection automatique si Power BI n’a pas encore détecté les relations.
Découvrez des méthodes avancées pour configurer des visualisations Power BI.
V. Le contrôle d’accès est contrôlé en cas de risque de point de terminaison pour les appareils d’entreprise et BYOD
Les appareils d’entreprise sont inscrits auprès d’un service d’inscription cloud tel que DEP, Android Enterprise ou Windows AutoPilot.
La création et la gestion d’images de système d’exploitation personnalisées sont un processus qui prend du temps, et il peut être nécessaire d’appliquer des images de système d’exploitation personnalisées à de nouveaux appareils afin de les préparer à l’utilisation.
Avec les services d’inscription cloud de Microsoft Intune, vous pouvez donner de nouveaux appareils à vos utilisateurs sans avoir à créer, gérer et appliquer des images de système d’exploitation personnalisées sur les appareils.
Windows Autopilot est un ensemble de technologies servant à configurer et à préconfigurer de nouveaux appareils afin de les préparer à une utilisation en production. Vous pouvez également utiliser Windows Autopilot pour réinitialiser, réaffecter et récupérer des appareils.
Configurer Windows Autopilot pour automatiser la jointure Microsoft Entra et inscrire de nouveaux appareils appartenant à l’entreprise dans Intune.
Configurez Apple DEP pour inscrire automatiquement les appareils iOS et iPadOS.
Produits abordés dans ce guide
Microsoft Azure
Microsoft 365
Microsoft Intune (inclut Microsoft Intune et Configuration Manager)
Microsoft Defender for Endpoint
Confiance Zéro et vos réseaux OT
Microsoft Defender pour IoT est une solution de sécurité unifiée spécialement conçue pour identifier les vulnérabilités, menaces et de technologies opérationnelles (OT). Utilisez Defender pour IoT pour sécuriser l’ensemble de votre environnement IoT/OT, y compris les appareils existants qui n’ont peut-être pas d’agents de sécurité intégrés.
Les réseaux OT diffèrent souvent de l’infrastructure informatique traditionnelle et nécessitent une approche spécialisée de la confiance zéro. Les systèmes OT utilisent une technologie unique avec des protocoles propriétaires, et peuvent avoir des plateformes vieillissantes avec une connectivité et une alimentation limitées, ou des exigences de sécurité spécifiques et des expositions uniques aux attaques physiques.
Defender pour IoT prend en charge les principes de confiance zéro en répondant aux défis spécifiques à OT, tels que :
- Vous aider à contrôler les connexions à distance dans vos systèmes OT
- Examiner et vous aider à réduire les interconnexions entre les systèmes dépendants
- Recherche de points de défaillance uniques dans votre réseau
Déployez les capteurs réseau Defender pour IoT afin de détecter les appareils et le trafic et de surveiller les vulnérabilités spécifiques à OT. Segmentez vos capteurs en sites et zones sur votre réseau pour surveiller le trafic entre les zones et suivez les étapes d’atténuation basées sur les risques de Defender pour IoT afin de réduire les risques dans votre environnement OT. Defender pour IoT surveille ensuite en continu vos appareils pour détecter un comportement anormal ou non autorisé.
Intégrez à services Microsoft, comme Microsoft Sentinel et d’autres services partenaires, y compris les systèmes SIEM et de tickets, pour partager des données Defender pour IoT au sein de votre organisation.
Pour plus d’informations, consultez l’article suivant :
- Confiance Zéro et vos réseaux OT
- Surveiller votre réseau OT avec les principes de la Confiance Zéro
- Investiguer les incidents Defender pour IoT avec Microsoft Sentinel
Conclusion
Une approche Confiance Zéro peut considérablement renforcer la posture de sécurité de vos appareils et de vos points de terminaison. Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client ou continuez à lire les autres chapitres de ce guide qui couvrent tous les piliers de la Confiance Zéro.
Série de guides de déploiement de la Confiance Zéro