Intégrer les appareils Windows utilisant un script local
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Vous pouvez également intégrer manuellement des appareils individuels à Defender pour point de terminaison. Vous souhaiterez peut-être intégrer certains appareils lorsque vous testez le service avant de valider l’intégration de tous les appareils de votre réseau.
Importante
Le script décrit dans cet article est recommandé pour l’intégration manuelle d’appareils à Defender pour point de terminaison. Il ne doit être utilisé que sur un nombre limité d’appareils. Si vous effectuez un déploiement dans un environnement de production, consultez d’autres options de déploiement, telles que Intune, stratégie de groupe ou Configuration Manager.
Consultez Identifier l’architecture et la méthode de déploiement de Defender pour point de terminaison pour voir les différents chemins d’accès au déploiement de Defender pour point de terminaison.
Intégration des appareils
Ouvrez le fichier de .zip du package de configuration (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir de Microsoft Defender portail :
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.
Sélectionnez Windows 10 ou Windows 11 comme système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Script local.
Sélectionnez Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du package de configuration à un emplacement sur l’appareil que vous souhaitez intégrer (par exemple, le Bureau). Vous devez avoir un fichier nommé WindowsDefenderATPLocalOnboardingScript.cmd.
Ouvrez une invite de ligne de commande avec élévation de privilèges sur l’appareil et exécutez le script :
Accéder à Démarrer et taper cmd.
Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.
Tapez l’emplacement du fichier de script. Si vous avez copié le fichier sur le bureau, tapez :
%userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdAppuyez sur la touche Entrée ou sélectionnez OK.
Tapez « Y », puis entrez lorsque vous y êtes invité.
Une fois le script terminé, il affiche « Appuyez sur n’importe quelle touche pour continuer... ». Appuyez sur n’importe quelle touche pour effectuer les étapes sur l’appareil.
Pour plus d’informations sur la façon dont vous pouvez vérifier manuellement que l’appareil est conforme et qu’il signale correctement les données du capteur, consultez Résoudre les problèmes d’intégration Microsoft Defender pour point de terminaison.
Conseil
Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un point de terminaison Microsoft Defender pour point de terminaison nouvellement intégré.
Configurer des exemples de paramètres de regroupement
Pour chaque appareil, vous pouvez définir une valeur de configuration pour indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Microsoft Defender XDR d’envoyer un fichier pour une analyse approfondie.
Vous pouvez configurer manuellement l’exemple de paramètre de partage sur l’appareil en utilisant regedit ou en créant et en exécutant un .reg fichier.
La configuration est définie via l’entrée de clé de Registre suivante :
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
Où Type de nom est un D-WORD. Les valeurs possibles sont les suivantes :
- 0 : n’autorise pas le partage d’exemples à partir de cet appareil
- 1 - autorise le partage de tous les types de fichiers à partir de cet appareil
La valeur par défaut si la clé de Registre n’existe pas est 1.
Exécuter un test de détection pour vérifier l’intégration
Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.
Désintégner des appareils à l’aide d’un script local
Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expire trois jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil sont rejetés. Lors du téléchargement d’un package de désintéglage, vous êtes informé de la date d’expiration du package et cette date est incluse dans le nom du fichier du package.
Remarque
Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps. Sinon, des collisions imprévisibles peuvent se produire.
Obtenez le package de désintégrage à partir de Microsoft Defender portail :
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Désactivationde la gestion des>appareils.
Sélectionnez Windows 10 ou Windows 11 comme système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Script local.
Sélectionnez Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé et en lecture seule auquel les appareils peuvent accéder. Vous devez avoir un fichier nommé
WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.Ouvrez une invite de ligne de commande avec élévation de privilèges sur l’appareil et exécutez le script :
Accéder à Démarrer et taper cmd.
Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.
Tapez l’emplacement du fichier de script. Si vous avez copié le fichier sur le bureau, tapez :
%userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmdAppuyez sur la touche Entrée ou sélectionnez OK.
Importante
La désintégérence entraîne l’arrêt de l’envoi des données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois maximum.
Surveiller la configuration de l’appareil
Vous pouvez suivre les différentes étapes de vérification dans Résoudre les problèmes d’intégration pour vérifier que le script s’est correctement terminé et que l’agent est en cours d’exécution.
La surveillance peut également être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.
Surveiller les appareils à l’aide du portail
Accédez au portail Microsoft Defender.
Sélectionnez Inventaire des appareils.
Vérifiez que les appareils apparaissent.
Articles connexes
- Intégrer des appareils Windows à l’aide d’une stratégie de groupe
- Intégrer des appareils Windows à l’aide de Microsoft Endpoint Configuration Manager
- Intégrer les appareils Windows à l’aide des outils de gestion des appareils mobiles
- Intégrer les ordinateurs virtuels d’infrastructure de bureau (VDI) non persistants
- Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré
- Résoudre les problèmes d’intégration Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour