Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
En tant qu’administrateur de la sécurité, utilisez Intune stratégies de sécurité de point de terminaison pour configurer et gérer les paramètres de sécurité sur vos appareils gérés. Les stratégies de sécurité de point de terminaison sont des profils de sécurité spécialement conçus qui se concentrent sur des scénarios de sécurité d’appareil spécifiques, offrant une approche simplifiée de l’implémentation et de la gestion des contrôles de sécurité dans votre organization.
Par rapport à la gestion des paramètres de sécurité via des stratégies de configuration d’appareil, les stratégies de sécurité des points de terminaison offrent plusieurs avantages clés :
- Gestion de la sécurité ciblée : chaque type de stratégie cible des zones de sécurité spécifiques (antivirus, pare-feu, chiffrement de disque, etc.) sans la complexité des profils de configuration d’appareil plus larges.
- Approche de sécurité d’abord : stratégies spécialement conçues pour les scénarios de sécurité plutôt que pour la gestion générale des appareils.
- Organisé par fonction de sécurité : regroupé par charge de travail de sécurité (antivirus, pare-feu, etc.) plutôt que mélangé avec des paramètres généraux de gestion des appareils.
- Surveillance complète : création de rapports intégrés et détection des conflits pour garantir que les stratégies de sécurité sont correctement déployées.
Présentation de l’intégration de la stratégie de sécurité de point de terminaison
Lorsque vous implémentez des stratégies de sécurité de point de terminaison avec d’autres types de stratégies Intune, planifiez votre approche pour réduire les conflits de configuration. Tous les types de stratégie Intune sont traités comme des sources égales de paramètres de configuration d’appareil, ce qui signifie que des conflits se produisent lorsqu’un appareil reçoit des configurations différentes pour le même paramètre de plusieurs stratégies.
Scénarios de conflit courants :
- Les bases de référence de sécurité peuvent définir des valeurs autres que celles par défaut pour les paramètres afin de se conformer aux configurations recommandées, tandis que les stratégies de sécurité des points de terminaison et de configuration des appareils sont généralement définies par défaut sur Non configuré. La combinaison de ces approches peut créer des conflits (résoudre les conflits).
- Stratégies de configuration d’appareil gérant les mêmes paramètres que les stratégies de sécurité de point de terminaison (résoudre les conflits).
- Plusieurs stratégies de sécurité de point de terminaison définissant des valeurs différentes pour le même paramètre (gérer les conflits).
En cas de conflit, les paramètres affectés peuvent ne pas s’appliquer correctement. Planifiez votre architecture de stratégie et utilisez les conseils liés pour identifier et résoudre les conflits.
Types de stratégie de sécurité de point de terminaison disponibles
Accédez aux stratégies de sécurité de point de terminaison à partir deGestion de la sécurité> des points de terminaison dans le centre d’administration Microsoft Intune.
- Objectif : Protéger les identités et les comptes des utilisateurs par le biais de méthodes d’authentification modernes
- Prise en charge de la plateforme : Windows
- Profils disponibles : Protection de compte, solution de mot de passe d’administrateur local (Windows LAPS), Appartenance au groupe d’utilisateurs local
- Cas d’usage : Implémenter l’authentification sans mot de passe et la protection des informations d’identification
- Objectif : Configurer et gérer les paramètres de protection antivirus
- Prise en charge de la plateforme : Windows, macOS, Linux
- Profils disponibles : contrôles Defender Update, antivirus Microsoft Defender, exclusions d’antivirus Microsoft Defender, expérience Sécurité Windows, antivirus de sécurité de point de terminaison macOS
- Cas d’usage : gérer de manière centralisée les stratégies antivirus Microsoft Defender sur les appareils Windows
Contrôle d’application pour les entreprises
- Objectif : Contrôler les applications qui peuvent s’exécuter sur des appareils Windows à l’aide du contrôle d’application Windows Defender (WDAC)
- Prise en charge de la plateforme : Windows
- Profils disponibles : Windows Defender Application Control (WDAC)
- Cas d’usage : Implémenter la liste verte des applications et contrôler l’exécution des logiciels
Réduction de la surface d’attaque
- Objectif : Réduire les vecteurs d’attaque potentiels et les vulnérabilités système
- Prise en charge de la plateforme : Windows
- Profils disponibles : Isolation des applications et des navigateurs, règles de réduction de la surface d’attaque, Contrôle de l’appareil, Exploit Protection, Contrôle d’application
- Cas d’usage : Renforcer les appareils contre les méthodes et techniques d’attaque courantes
- Configuration requise : Microsoft Defender Antivirus doit être la solution antivirus principale
- Objectif : Gérer les méthodes de chiffrement intégrées pour la protection des données
- Prise en charge de la plateforme : Windows, macOS
- Profils disponibles : BitLocker, Chiffrement des données personnelles (PDE), macOS FileVault
- Cas d’usage : Garantir la protection des données au repos avec des technologies de chiffrement natives
Détection et réponse des points de terminaison
- Objectif : Configurer l’intégration et l’intégration Microsoft Defender pour point de terminaison
- Prise en charge de la plateforme : Windows, macOS, Linux
- Profils disponibles : Détection et réponse des points de terminaison (pour l’intégration et la configuration)
- Cas d’usage : Activer les fonctionnalités avancées de détection et de réponse aux menaces
- Configuration requise : licence Microsoft Defender pour point de terminaison et connexion de locataire
- Objectif : Configurer la protection de pare-feu intégrée
- Prise en charge de la plateforme : Windows, macOS
- Profils disponibles : Pare-feu Windows, règles de pare-feu Windows, pare-feu macOS
- Cas d’usage : Contrôler l’accès réseau et implémenter la segmentation réseau
Fonctionnalités de gestion améliorées
Les stratégies de sécurité des points de terminaison incluent les fonctionnalités de gestion suivantes au-delà du déploiement de stratégie de base :
Groupes de paramètres réutilisables : créez des configurations standardisées qui peuvent être partagées entre plusieurs stratégies, ce qui réduit la surcharge administrative et garantit la cohérence. Pris en charge par :
- Pare-feu>Profil des règles du Pare-feu Windows (plateforme Windows)
- Réduction de la surface d’attaque>Profil de contrôle d’appareil (plateforme Windows)
Gestion des paramètres de sécurité via Microsoft Defender portail : lorsque les appareils ont Microsoft Defender pour point de terminaison mais ne sont pas inscrits avec Intune, vous pouvez utiliser certaines stratégies de sécurité de point de terminaison (antivirus, réduction de la surface d’attaque, EDR) directement à partir du portail Defender. Cela fournit les éléments suivants :
- Gestion de la sécurité étendue aux appareils qui ne sont pas inscrits avec Intune dans votre environnement.
- Expérience de gestion unifiée des stratégies via le portail Defender.
- Contrôles de sécurité cohérents sur les appareils inscrits et non inscrits.
Contrôle d’accès en fonction du rôle pour la sécurité des points de terminaison
La gestion des stratégies de sécurité de point de terminaison nécessite des autorisations de contrôle d’accès en fonction du rôle (RBAC) appropriées Intune. La compréhension du modèle d’autorisation RBAC actuel est essentielle pour un accès approprié à l’attribution de rôle et à la gestion des stratégies.
Remarque
Intune passe de l’utilisation de l’autorisation bases de référence de sécurité unifiée pour toutes les charges de travail de sécurité de point de terminaison à des autorisations granulaires pour des types de stratégies individuels. Cette transition fournit un contrôle d’accès plus précis, mais entraîne des exigences d’autorisation différentes d’un type de stratégie à l’autre.
Autorisations RBAC requises
Les stratégies de sécurité de point de terminaison utilisent des autorisations granulaires pour des charges de travail spécifiques ou l’autorisation Bases de référence de sécurité . L’autorisation requise varie selon le type de stratégie :
Autorisations granulaires (accès spécifique à la stratégie) :
- Contrôle d’application pour les entreprises - Stratégies et rapports de contrôle d’application
- Réduction de la surface d’attaque : la plupart des stratégies de réduction de la surface d’attaque. (Voir la note importante suivante)
- Détection et réponse des points de terminaison - Stratégies et rapports EDR
Autorisation des bases de référence de sécurité (accès unifié) :
- Stratégies antivirus (tous les profils)
- Stratégies de protection de compte
- Stratégies de chiffrement de disque
- Stratégies de pare-feu
- Certains profils de réduction de la surface d’attaque : isolation des applications et des navigateurs, protection web, protection Exploit, accès contrôlé aux dossiers
Importante
Pour les stratégies de réduction de la surface d’attaque, case activée les exigences de profil spécifiques. Certains profils utilisent l’autorisation de réduction de la surface d’attaque granulaire, tandis que d’autres nécessitent l’autorisation Bases de référence de sécurité .
Pour obtenir des exigences détaillées spécifiques au profil, consultez Considérations relatives aux rôles personnalisés.
Importante
L’autorisation granulaire de Antivirus pour les stratégies de sécurité de point de terminaison peut être temporairement visible dans certains locataires. Cette autorisation n’est pas libérée et n’est pas prise en charge pour l’utilisation. Les configurations de l’autorisation Antivirus sont ignorées par Intune. Quand Antivirus devient disponible pour une utilisation comme autorisation granulaire, annoncez sa disponibilité dans l’article Nouveautés de Microsoft Intune.
Rôles RBAC intégrés
Les rôles intégrés Intune suivants permettent d’accéder aux charges de travail de sécurité des points de terminaison :
- Endpoint Security Manager : fonctionnalités de gestion complètes de toutes les stratégies de sécurité de point de terminaison.
- Opérateur du support technique : tâches opérationnelles limitées et accès en lecture.
- Opérateur Lecture seule : accès en mode affichage seul aux stratégies et aux rapports.
Considérations relatives aux rôles personnalisés
Accès aux rapports : le droit Afficher les rapports pour les configurations d’appareil permet également d’accéder aux rapports de stratégie de sécurité des points de terminaison.
Intégration du portail Defender : la gestion des paramètres de sécurité via le portail Defender utilise les mêmes Intune autorisations RBAC.
Approbation multi-Administration : les modifications de rôle peuvent nécessiter une approbation d’administrateur double en fonction des paramètres de gouvernance de votre organization.
Créer des stratégies de sécurité de point de terminaison
Suivez ce flux de travail général pour créer des stratégies de sécurité de point de terminaison :
Accédez à la création de stratégie :
- Connectez-vous au Centre d’administration Microsoft Intune.
- Accédez à Sécurité> du point de terminaison, sélectionnez le type > de stratégie souhaité Créer une stratégie.
Configurer les principes de base de la stratégie :
- Plateforme : choisissez la plateforme de l’appareil cible (les options varient selon le type de stratégie).
- Profil : sélectionnez parmi les profils disponibles pour la plateforme choisie.
- Sélectionnez Créer pour continuer.
Terminer la configuration de la stratégie :
- Informations de base : fournissez un nom descriptif et une description facultative pour le profil.
- Paramètres de configuration : développez chaque groupe de paramètres et configurez les paramètres que vous souhaitez gérer avec ce profil. Lorsque vous avez terminé la configuration des paramètres, sélectionnez Suivant.
- Balises d’étendue : choisissez Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des étiquettes afin d’affecter des balises d’étendue au profil (facultatif).
- Affectations : sélectionnez les groupes pour recevoir ce profil. Consultez Attribuer des profils d’utilisateur et d’appareil.
- Vérifier + créer : passez en revue votre configuration et sélectionnez Créer quand vous êtes prêt. Le nouveau profil apparaît ensuite dans la liste des stratégies.
Gestion avancée des stratégies
Stratégies dupliquées
La duplication de stratégies simplifie le déploiement en vous permettant de copier des configurations existantes et de les modifier pour différents scénarios, plutôt que de recréer des stratégies complexes à partir de zéro.
Cas d’usage courants pour la duplication de stratégie :
- Déploiement de l’environnement : copiez les stratégies de production dans des environnements intermédiaires ou de test.
- Variantes de groupe : créez des stratégies similaires pour différents groupes d’utilisateurs (par exemple, les cadres et les utilisateurs généraux avec des exigences de sécurité légèrement différentes).
- Personnalisation régionale : adaptez les stratégies à différents emplacements géographiques avec différentes exigences de conformité.
- Déploiements incrémentiels : créez plusieurs versions de la même stratégie pour les déploiements par phases.
Workflow de duplication :
- Recherchez la stratégie source dans la liste des stratégies.
- Sélectionnez les points de suspension (...) >Dupliquer.
- Fournissez un nouveau nom descriptif et enregistrez.
- Modifiez la stratégie dupliquée pour personnaliser les paramètres de votre cas d’usage spécifique.
- Configurez de nouvelles affectations de groupe pour le scénario cible.
Remarque
Les stratégies dupliquées conservent tous les paramètres de configuration et les balises d’étendue de la stratégie d’origine, mais n’héritent pas des affectations. Vous devez configurer de nouvelles affectations et généralement modifier certains paramètres pour qu’ils correspondent à votre scénario cible.
Modifier des stratégies existantes
Mettez à jour les stratégies via la vue Propriétés :
- Sélectionnez la stratégie à modifier.
- Sélectionnez Modifier pour chaque section nécessitant des modifications (Informations de base, Affectations, Balises d’étendue, Paramètres de configuration).
- Enregistrez les modifications après avoir modifié une section avant de passer à la suivante.
Gérer les conflits de stratégie
Prévenir et résoudre les conflits de stratégie par le biais de la planification et de la surveillance stratégiques :
Stratégies de prévention :
- Planifiez l’architecture de stratégie avant l’implémentation et documentez les types de stratégies qui gèrent des paramètres spécifiques.
- Utilisez des approches de configuration cohérentes entre les types de stratégies.
- Appliquez les bases de référence de sécurité comme sources de configuration principales, le cas échéant.
Comprendre les limites de la stratégie :
- Chevauchement des paramètres : de nombreux paramètres gérés par les stratégies de sécurité de point de terminaison sont également disponibles dans les stratégies de configuration d’appareil et les bases de référence de sécurité.
- Priorité égale : tous les types de stratégie ont la même priorité quand Intune évalue la configuration de l’appareil.
- Comportement en conflit : lorsque plusieurs stratégies configurent le même paramètre avec des valeurs différentes, le paramètre peut ne pas s’appliquer et être marqué comme étant en conflit.
Workflow de résolution des conflits :
- Identifier les conflits : surveillez les rapports de déploiement de stratégie pour détecter les indicateurs d’erreur ou de conflit status.
- Vérifier les paramètres : vérifiez quels types de stratégies ciblent le même paramètre sur plusieurs stratégies.
- Passez en revue les status par paramètre : utilisez la création de rapports au niveau de l’appareil pour identifier les stratégies qui s’appliquent.
- Vérifier les bases de référence : déterminez si les bases de référence de sécurité définissent des valeurs non définies par défaut qui entrent en conflit avec d’autres stratégies.
- Appliquer la résolution : utilisez des conseils spécifiques à la stratégie pour résoudre systématiquement les conflits.
Ressources de résolution : résolvez les problèmes de stratégies et de profils dans Intune et surveiller les bases de référence de sécurité.
Intégration à Microsoft Defender pour point de terminaison
De nombreuses stratégies de sécurité de point de terminaison ont une intégration approfondie avec Microsoft Defender pour point de terminaison, allant de l’amélioration facultative à l’intégration essentielle. La compréhension de ces relations est essentielle pour une implémentation réussie.
Dépendances Defender spécifiques à la stratégie
Détection et réponse de point de terminaison (EDR) :
- Nécessite l’intégration : connexion du locataire Defender pour point de terminaison avec Intune.
- Packages d’intégration : utilise des configurations d’intégration spécifiques à Defender pour chaque plateforme.
- Fonctionnalités de base : fournit des fonctionnalités de détection et de réponse aux attaques en temps réel.
Antivirus :
- Gestion multiplateforme : les appareils Windows utilisent l’antivirus Microsoft Defender intégré, tandis que les appareils macOS utilisent Microsoft Defender pour point de terminaison.
- Protection contre les falsifications : disponible sur Windows et macOS avec les licences Defender pour point de terminaison P1 ou ultérieures.
Réduction de la surface d’attaque :
- Configuration requise : Microsoft Defender Antivirus doit être la solution antivirus principale.
- Règles ASR : les règles de réduction de la surface d’attaque sont natives Microsoft Defender fonctionnalités antivirus qui s’intègrent à Defender pour point de terminaison.
- Contrôle d’appareil : les stratégies de contrôle d’appareil avancées utilisent les fonctionnalités de surveillance des périphériques de Defender.
Contrôle d’application :
- Programmes d’installation managés : intégration aux mécanismes d’étiquetage et d’approbation des applications defender.
- Application de la stratégie : utilise l’infrastructure Defender pour les décisions de contrôle des applications.
Avantages de l’intégration de Defender
- Posture de sécurité unifiée : visibilité centralisée sur les stratégies de sécurité des points de terminaison et la détection des menaces.
- Rapports avancés : données combinées de conformité des appareils et de renseignement sur les menaces.
- Gestion multiplateforme : déploiement cohérent de la stratégie de sécurité sur Windows, macOS et Linux via l’agent Defender.
- Gestion des paramètres de sécurité : gérez certaines stratégies de sécurité de point de terminaison (antivirus, réduction de la surface d’attaque, EDR) sur les appareils non inscrits via le portail Defender. Consultez Microsoft Defender pour point de terminaison gestion des paramètres de sécurité.
Prérequis pour l’intégration de Defender
- Licences : Microsoft Defender pour point de terminaison licence P1 ou supérieure.
- Connexion de locataire : connexion de service à service entre Intune et les locataires Defender pour point de terminaison.
- Déploiement de l’agent : l’agent Defender pour point de terminaison est installé sur les appareils cibles (requis pour certains types de stratégies).
-
Connectivité réseau : Accès de l’appareil aux
*.dm.microsoft.compoints de terminaison pour la gestion des paramètres de sécurité defender et la communication de stratégie.
Étapes suivantes
- Explorer la vue d’ensemble de la sécurité des points de terminaison
- Passer en revue les bases de référence de sécurité pour obtenir des configurations de sécurité complètes
- En savoir plus sur les groupes de paramètres réutilisables
- Configurer l’intégration Microsoft Defender pour point de terminaison
- Comprendre les stratégies de protection des appareils