Déploiement de l'accès privilégié

Ce document vous guide tout au long de l’implémentation des composants techniques de la stratégie d’accès privilégié, notamment les comptes sécurisés, les stations de travail et les appareils et la sécurité de l’interface (avec une stratégie d’accès conditionnel).

Résumé des profils de niveau de sécurité

Ces conseils configurent tous les profils pour les trois niveaux de sécurité et doivent être attribués aux rôles de vos organisations en fonction des instructions relatives aux niveaux de sécurité d’accès privilégié . Microsoft recommande de les configurer dans l’ordre décrit dans le plan de modernisation rapid (RAMP)

Conditions de licence :

Les concepts abordés dans ce guide supposent que vous avez Microsoft 365 Entreprise E5 ou un produit équivalent. Certaines recommandations de ce guide peuvent être implémentées avec d’autres licences. Pour plus d’informations, consultez Microsoft 365 Licences Entreprise.

Pour automatiser l’approvisionnement de licences, envisagez de gérer les licences basées sur des groupes pour vos utilisateurs.

configuration de Microsoft Entra

Microsoft Entra ID gère les utilisateurs, les groupes et les appareils de vos stations de travail d’administrateur. Activez les services et fonctionnalités d’identité avec un compte d’administrateur.

Lorsque vous créez le compte d’administrateur de station de travail sécurisée, vous exposez le compte à votre station de travail actuelle. Veillez à utiliser un appareil reconnu comme sûr pour effectuer cette configuration initiale et toute la configuration globale. Pour réduire l’exposition aux attaques pour la première fois, envisagez de suivre les instructions pour prévenir les infections par les programmes malveillants.

Imposez l’authentification multifacteur, au moins pour vos administrateurs. Consultez l’accès conditionnel : Exiger l’authentification multifacteur pour les administrateurs pour obtenir des conseils d’implémentation.

Microsoft Entra utilisateurs et groupes

  1. À partir du portail Azure, accédez à Microsoft Entra ID>Users>New user.

  2. Entrez :

    • Nom - Utilisateur de station de travail sécurisé
    • Nom d’utilisateur - secure-ws-user@contoso.com
    • Rôle - d’annuaireAdministrateur limité et sélectionnez le rôle Administrateur Intune.
    • Emplacement d’utilisation : par exemple le Royaume-Uni ou votre emplacement souhaité dans la liste.

  3. Cliquez sur Créer.

Créez votre utilisateur administrateur d’appareil.

  1. Entrez :

    • Nom - Administrateur de station de travail sécurisée
    • Nom d’utilisateur - secure-ws-admin@contoso.com
    • Rôle - d’annuaireAdministrateur limité et sélectionnez le rôle Administrateur Intune.
    • Emplacement d’utilisation : par exemple le Royaume-Uni ou votre emplacement souhaité dans la liste.

  2. Cliquez sur Créer.

Ensuite, vous créez quatre groupes : Utilisateurs de stations de travail sécurisées, Administrateurs de station de travail sécurisée, Secours d’urgence et Appareils de station de travail sécurisés.

À partir du portail Azure, accédez à Microsoft Entra ID>Groups>New group.

  1. Pour le groupe d’utilisateurs de station de travail, vous pouvez configurer des licences basées sur un groupe pour automatiser l’approvisionnement de licences aux utilisateurs.

  2. Pour le groupe d’utilisateurs de station de travail, entrez :

    • Type de groupe - Sécurité
    • Nom du groupe - Utilisateurs de station de travail sécurisés
    • Type d’appartenance - Affecté

  3. Ajoutez votre utilisateur de station de travail sécurisée : secure-ws-user@contoso.com

  4. Vous pouvez ajouter d’autres utilisateurs qui utilisent des stations de travail sécurisées.

  5. Cliquez sur Créer.

  6. Pour le groupe Administrateurs de stations de travail privilégié, entrez :

    • Type de groupe - Sécurité
    • Nom du groupe - Administrateurs de station de travail sécurisé
    • Type d’appartenance - Affecté

  7. Ajoutez votre utilisateur de station de travail sécurisée : secure-ws-admin@contoso.com

  8. Vous pouvez ajouter d’autres utilisateurs qui gèrent des stations de travail sécurisées.

  9. Cliquez sur Créer.

  10. Pour le groupe d'urgence "BreakGlass", entrez :

    • Type de groupe - Sécurité
    • Nom du groupe - Casglass d’urgence
    • Type d’appartenance - Affecté

  11. Cliquez sur Créer.

  12. Ajoutez des comptes d’accès d’urgence à ce groupe.

  13. Pour le groupe d’appareils de station de travail, entrez :

    • Type de groupe - Sécurité
    • Nom du groupe - Périphériques de station de travail sécurisés
    • Type d’appartenance - Appareil dynamique
    • Règles d’appartenance dynamique - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Cliquez sur Créer.

configuration de l’appareil Microsoft Entra

Spécifier qui peut joindre des appareils à Microsoft Entra ID

Configurez vos appareils dans Active Directory pour permettre à votre groupe de sécurité administratif de joindre des appareils à votre domaine. Pour configurer ce paramètre à partir du portail Azure :

  1. Accédez à Microsoft Entra ID>Devices>Device settings.
  2. Choisissez Selected sous Utilisateurs peuvent joindre des appareils à Microsoft Entra ID, puis sélectionnez le groupe « Utilisateurs de station de travail sécurisés ».

Supprimer les droits d’administrateur local

Cette méthode requiert que les utilisateurs des postes de travail VIP, DevOps et privilégiés n’aient pas de droits d’administrateur sur leurs ordinateurs. Pour configurer ce paramètre à partir du portail Azure :

  1. Accédez à Microsoft Entra ID>Devices>Device settings.
  2. Sélectionnez None dans Administrateurs locaux additionnels sur des appareils joints à Microsoft Entra.

Reportez-vous à Comment gérer le groupe des administrateurs locaux sur les appareils joints à Microsoft Entra pour des détails sur la gestion des membres du groupe des administrateurs locaux.

Exiger l’authentification multifacteur pour joindre des appareils

Pour renforcer davantage le processus de jonction d’appareils à Microsoft Entra ID :

  1. Accédez à Microsoft Entra ID>Devices>Device settings.
  2. Sélectionnez Oui sous Exiger l’authentification multifacteur pour joindre des appareils.
  3. Cliquez sur Enregistrer.

Configurer la gestion des appareils mobiles

À partir du portail Azure :

  1. Accédez à Microsoft Entra ID>Mobility (MDM et MAM)>Microsoft Intune.
  2. Remplacez le paramètre d’étendue de l’utilisateur MDM par All.
  3. Cliquez sur Enregistrer.

Ces étapes vous permettent de gérer n’importe quel appareil avec Microsoft Intune. Pour plus d’informations, consultez Configurer l’inscription automatique pour les appareils Windows 10/11. Vous créerez des stratégies de configuration et de conformité Intune à une étape ultérieure.

Microsoft Entra Accès Conditionnel

Microsoft Entra Access conditionnel peut aider à restreindre les tâches administratives privilégiées aux appareils conformes. Les membres prédéfinis du groupe Utilisateurs de station de travail sécurisée doivent effectuer l’authentification multifacteur lors de la connexion à des applications cloud. Une meilleure pratique consiste à exclure des comptes d’accès d’urgence de la stratégie. Pour plus d’informations, consultez Manage des comptes d’accès d’urgence dans Microsoft Entra ID.

Accès conditionnel permettant uniquement aux stations de travail sécurisées d’accéder au portail Azure

Les organisations doivent empêcher les utilisateurs privilégiés de pouvoir se connecter aux interfaces de gestion cloud, aux portails et à PowerShell, à partir d’appareils non-PAW.

Pour empêcher les appareils non autorisés d’accéder aux interfaces de gestion cloud, suivez les instructions de l’article Accès conditionnel : Filtres pour les appareils (préversion). Il est essentiel que lors du déploiement de cette fonctionnalité, vous tenez compte d’urgence . Ces comptes doivent être utilisés uniquement pour les cas extrêmes et le compte devant être géré par le biais d'une politique.

Remarque

Vous devez créer un groupe d’utilisateurs et inclure votre utilisateur d’urgence capable de contourner la stratégie d’accès conditionnel. Pour notre exemple, nous avons un groupe de sécurité appelé Emergency BreakGlass

Cet ensemble de stratégies garantit que vos administrateurs doivent utiliser un appareil capable de présenter une valeur d’attribut d’appareil spécifique, que l’authentification multifacteur est satisfaite et que l’appareil est marqué comme conforme par Microsoft Intune et Microsoft Defender for Endpoint.

Les organisations doivent également envisager de bloquer les protocoles d’authentification hérités dans leurs environnements. Pour plus d’informations sur le blocage des protocoles d’authentification hérités, consultez l’article How to : Block legacy authentication to Microsoft Entra ID with Conditional Access.

configuration de Microsoft Intune

Rejet de l'enrôlement de l'appareil BYOD

Dans notre exemple, nous vous recommandons de ne pas autoriser les appareils BYOD. L’utilisation de l’inscription BYOD Intune permet aux utilisateurs d’inscrire des appareils qui sont inférieurs ou non approuvés. Cependant, il est important de noter que les organisations qui disposent d’un budget limité pour l’achat de nouveaux appareils, qui cherchent à utiliser le parc matériel existant ou qui envisagent d’utiliser des appareils non Windows, peuvent envisager d’utiliser la fonctionnalité BYOD d’Intune pour déployer le profil Entreprise.

Les instructions suivantes configurent l’inscription pour les déploiements qui refusent l’accès BYOD.

Définir des restrictions d’inscription en empêchant BYOD

  1. Dans le centre d’administration Microsoft Intune, choisissez >Devices> Restrictions de l’inscription> choisissez la restriction par défaut All Users
  2. Sélectionner les paramètres de la plateforme de propriétés>Modifier
  3. Sélectionnez Block pour tous les types, à l’exception de Windows MDM.
  4. Sélectionnez Bloquer pour tous les éléments appartenant à l’utilisateur.

Créer un profil de déploiement Autopilot

Après avoir créé un groupe d’appareils, vous devez créer un profil de déploiement pour configurer les appareils Autopilot.

  1. Dans le centre d’administration Microsoft Intune, choisissez Inscription des appareils>Inscription Windows>Profils de déploiement>Créer un profil.

  2. Entrez :

    • Nom : profil de déploiement de station de travail sécurisé.
    • Description : déploiement de stations de travail sécurisées.
    • Définissez Convertir tous les appareils ciblés en Autopilot en Oui. Ce paramètre permet de s’assurer que tous les appareils de la liste sont inscrits auprès du service de déploiement Autopilot. Le traitement de l’inscription peut prendre 48 heures.

  3. Sélectionnez Suivant.

    • Pour le mode déploiement, choisissez Self-Deploying (préversion). Les appareils avec ce profil sont associés à l’utilisateur qui inscrit l’appareil. Durant le déploiement, il est recommandé d’utiliser les fonctionnalités du mode Déploiement automatique pour inclure les éléments suivants :
      • Inscrit l’appareil dans l’inscription MDM automatique de Microsoft Entra Intune et n'autorise l’accès à l’appareil que lorsque toutes les stratégies, applications, certificats et profils réseau sont provisionnés sur l’appareil.
      • Les informations d’identification de l’utilisateur sont requises pour inscrire l’appareil. Il est essentiel de noter que le déploiement d’un appareil en mode autodéploiement vous permet de déployer des ordinateurs portables dans un modèle partagé. Aucune attribution d’utilisateur ne se produit avant la première attribution de l’appareil à un utilisateur. Ainsi, les stratégies utilisateur telles que BitLocker ne sont pas activées tant qu’une affectation d’utilisateurs n’a pas été effectuée. Pour plus d’informations sur la connexion à un appareil sécurisé, consultez les profils sélectionnés.
    • Sélectionnez votre langue (région), type de compte d’utilisateur standard.

  4. Sélectionnez Suivant.

    • Sélectionnez une balise d’étendue si vous en avez préconfiguré une.

  5. Sélectionnez Suivant.

  6. Choisissez Affectationsattribuées à>des groupes sélectionnés>. Dans Sélectionner des groupes à inclure, choisissez Appareils de station de travail sécurisés.

  7. Sélectionnez Suivant.

  8. Cliquez sur Créer pour créer le profil. Le profil de déploiement Autopilot est maintenant disponible pour les appareils.

L’expérience utilisateur de l’inscription d’appareils dans AutoPilot diffère selon le type et le rôle de chaque appareil. Dans notre exemple de déploiement, nous illustrons un modèle dans lequel les appareils sécurisés sont déployés en bloc et peuvent être partagés, mais lorsqu’ils sont utilisés pour la première fois, l’appareil est attribué à un utilisateur. Pour plus d’informations, consultez Windows Autopilot inscription.

Page des états d’inscription

La page d’état d’inscription (ESP) affiche la progression du provisionnement après l’inscription d’un nouvel appareil. Pour vous assurer que les appareils sont entièrement configurés avant l’utilisation, Intune fournit un moyen de bloquer l’utilisation de l’appareil jusqu’à ce que toutes les applications et tous les profils soient installés.

Créer et attribuer un profil de la page de statut d'inscription

  1. Dans le centre d’administration Microsoft Intune, choisissez Appareils>Windows>Enrôlement Windows>Page d'état de l'enrôlement>Créer un profil.
  2. Fournissez un nom et une description.
  3. Cliquez sur Créer.
  4. Choisissez le nouveau profil dans la liste des pages d’état d’inscription .
  5. Définissez La progression de l’installation du profil d’application sur Oui.
  6. Définissez bloquer l’utilisation de l’appareil jusqu’à ce que toutes les applications et profils soient installés sur Oui.
  7. Choisissez Affectations Sélectionner des>groupes> choisir >Secure Workstationgroupe Sélectionner>Enregistrer.
  8. Choisissez Paramètres> pour choisir les paramètres que vous souhaitez appliquer à ce profil >Enregistrer.

Configurer Windows Update

Garder Windows 10 à jour est l’une des choses les plus importantes que vous pouvez faire. Pour maintenir Windows dans un état sécurisé, vous déployez un anneau update pour gérer le rythme d’application des mises à jour aux stations de travail.

Ce guide recommande de créer un anneau de mise à jour et de modifier les paramètres par défaut suivants :

  1. Dans le centre d’administration Microsoft Intune, choisissez Devices>Software updates>Windows 10 Update Rings.

  2. Entrez :

    • Nom - mises à jour de stations de travail gérées par Azure
    • Canal de maintenance - Canal semi-annuel
    • Report de mise à jour de qualité (jours) - 3
    • Période de report des mises à jour des fonctionnalités (jours) - 3
    • Comportement de mise à jour automatique - Installation automatique et redémarrage sans contrôle de l’utilisateur final
    • Empêcher l’utilisateur de suspendre les mises à jour de Windows - Block
    • Exiger l’approbation de l’utilisateur pour redémarrer en dehors des heures de travail - Obligatoire
    • Autoriser l’utilisateur à redémarrer (redémarrage engagé) - Obligatoire
    • Transition des utilisateurs vers le redémarrage engagé après un redémarrage automatique (jours) - 3
    • Rappel de redémarrage engagé snooze (jours) - 3
    • Définir l’échéance des redémarrages en attente (jours) - 3

  3. Cliquez sur Créer.

  4. Sous l’onglet Affectations , ajoutez le groupe Stations de travail sécurisées .

Pour plus d’informations sur les stratégies Windows Update, consultez Policy CSP - Mise à jour.

Intégration de Microsoft Defender pour Endpoint avec Intune

Microsoft Defender for Endpoint et Microsoft Intune collaborer pour empêcher les violations de sécurité. Ils peuvent également limiter l’impact des violations. Ces fonctionnalités permettent la détection de menaces en temps réel, ainsi qu’un audit étendu et la journalisation des appareils de point de terminaison.

Pour configurer l’intégration de Windows Defender pour point de terminaison et de Microsoft Intune :

  1. Dans le centre d’administration Microsoft Intune, choisissez Endpoint Security>Microsoft Defender ATP.

  2. À l’étape 1, sous Configuring Windows Defender ATP, sélectionnez Connect Windows Defender ATP à Microsoft Intune dans le Centre de sécurité Windows Defender.

  3. Dans le centre de sécurité Windows Defender :

    1. Sélectionnez Paramètres>avancés.
    2. Pour Microsoft Intune connexion, choisissez On.
    3. Sélectionnez Enregistrer les préférences.

  4. Une fois la connexion établie, revenez à Microsoft Intune et sélectionnez Refresh en haut.

  5. Définissez Connecter des appareils Windows version(20H2) 19042.450 et versions ultérieures sur Windows Defender ATP sur Activé.

  6. Cliquez sur Enregistrer.

Créer le profil de configuration d’appareil pour intégrer des appareils Windows

  1. Connectez-vous au centre d’administration Microsoft Intune, choisissez Sécurité des points de terminaison>Détection et réponse des points de terminaison>Créer un profil.

  2. Pour Platform, sélectionnez Windows 10 et versions ultérieures.

  3. Pour Type de profil, sélectionnez Détection de point de terminaison et réponse, puis sélectionnez Créer.

  4. Dans la page Basics, Entrez un PAW - Defender pour point de terminaison dans le champ Nom et Description (facultatif) pour le profil, puis choisissez Next.

  5. Dans la page Paramètres de configuration , configurez l’option suivante dans La détection et la réponse du point de terminaison :

  6. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  7. Dans la page Affectations , sélectionnez Groupe Station de travail sécurisée . Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

  8. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil. OK, puis Créer pour enregistrer vos modifications, ce qui crée le profil.

Pour plus d’informations, consultez Windows Defender Protection avancée contre les menaces.

Terminer le renforcement du profil de station de travail

Pour mener à bien le renforcement de la solution, téléchargez et exécutez le script approprié. Recherchez les liens de téléchargement pour votre niveau de profil souhaité :

Profil Emplacement de téléchargement Nom du fichier
Entreprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Spécialisé https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
Privilégié https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Remarque

La suppression des droits d’administration et de l’accès, ainsi que le contrôle de l’exécution des applications (AppLocker) sont gérés par les profils de stratégie déployés.

Une fois que le script s’est exécuté correctement, vous pouvez mettre à jour les profils et les stratégies dans Intune. Les scripts créent des stratégies et des profils pour vous, mais vous devez affecter les stratégies à votre groupe d’appareils Stations de travail sécurisées .

  • Vous trouverez ici les profils de configuration des appareils Intune créés par les scripts : portail Azure>Microsoft Intune>>.
  • Voici où vous trouverez les stratégies de conformité des appareils Intune créées par les scripts : portail AzureMicrosoft IntuneConformité des appareilsStratégies.

Exécutez le script d’exportation de données Intune DeviceConfiguration_Export.ps1 à partir du dépôt DeviceConfiguration GitHub pour exporter tous les profils Intune actuels à des fins de comparaison et d’évaluation des profils.

Définir des règles dans le profil de configuration de la protection des points de terminaison pour le pare-feu Microsoft Defender

Les paramètres de stratégie du pare-feu Windows sont inclus dans le profil de configuration de la protection des terminaux. Le comportement de la stratégie appliqué est décrit dans le tableau suivant.

Profil Règles de trafic entrant Règles de trafic sortant Comportement de la fusion
Entreprise Bloquer Autoriser Autoriser
Spécialisé Bloquer Autoriser Bloquer
Privilégié Bloquer Bloquer Bloquer

Enterprise : cette configuration est la plus permissive, car elle reflète le comportement par défaut d’une installation Windows. Tout le trafic entrant est bloqué, à l’exception des règles définies explicitement dans les règles de stratégie locales, car la fusion des règles locales est définie sur Autorisé. Tout le trafic sortant est autorisé.

Spécialisé : cette configuration est plus restrictive, car elle ignore toutes les règles définies localement sur l’appareil. Tout le trafic entrant est bloqué, y compris les règles définies localement ; la stratégie inclut deux règles pour permettre à l’optimisation de la distribution de fonctionner comme prévu. Tout le trafic sortant est autorisé.

Privilégié : tout le trafic entrant est bloqué, y compris les règles définies localement, la stratégie inclut deux règles pour permettre à l’optimisation de la distribution de fonctionner comme prévu. Le trafic sortant est également bloqué en dehors des règles explicites qui autorisent le trafic DNS, DHCP, NTP, NSCI, HTTP et HTTPS. Cette configuration permet non seulement de réduire la surface d’attaque présentée par l’appareil au réseau mais aussi de limiter les connexions sortantes que l’appareil peut établir uniquement aux connexions nécessaires à l’administration des services Cloud.

Règle Direction Action Application / Service Protocole Ports locaux Ports distants
Services du World Wide Web (trafic HTTP sortant) Sortant Autoriser Tous TCP Tous les ports 80
Services World Wide Web (trafic sortant HTTPS) Sortant Autoriser Tous TCP Tous les ports 443
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Sortant Autoriser %SystemRoot%\system32\svchost.exe TCP 546 547
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Sortant Autoriser Dhcp TCP 546 547
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Sortant Autoriser %SystemRoot%\system32\svchost.exe TCP 68 67
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Sortant Autoriser Dhcp TCP 68 67
Mise en réseau de base - DNS (UDP-Out) Sortant Autoriser %SystemRoot%\system32\svchost.exe UDP Tous les ports 53
Mise en réseau de base - DNS (UDP-Out) Sortant Autoriser Dnscache UDP Tous les ports 53
Mise en réseau de base - DNS (TCP-Out) Sortant Autoriser %SystemRoot%\system32\svchost.exe TCP Tous les ports 53
Mise en réseau de base - DNS (TCP-Out) Sortant Autoriser Dnscache TCP Tous les ports 53
Sonde NSCI (TCP-Out) Sortant Autoriser %SystemRoot%\system32\svchost.exe TCP Tous les ports 80
Sonde NSCI - DNS (TCP-Out) Sortant Autoriser NlaSvc TCP Tous les ports 80
heure Windows (UDP-Out) Sortant Autoriser %SystemRoot%\system32\svchost.exe TCP Tous les ports 80
sonde de temps Windows - DNS (UDP-Out) Sortant Autoriser W32Time UDP Tous les ports 123
Optimisation de la distribution (TCP-In) Entrante Autoriser %SystemRoot%\system32\svchost.exe TCP 7680 Tous les ports
Optimisation de la distribution (TCP-In) Entrante Autoriser DoSvc TCP 7680 Tous les ports
Optimisation de la distribution (UDP-In) Entrante Autoriser %SystemRoot%\system32\svchost.exe UDP 7680 Tous les ports
Optimisation de la distribution (UDP-In) Entrante Autoriser DoSvc UDP 7680 Tous les ports

Remarque

Il existe deux règles définies pour chaque règle dans la configuration du pare-feu Microsoft Defender. Pour limiter les règles entrantes et sortantes à Windows Services, par exemple, le client DNS, le nom du service, DNSCache et le chemin exécutable, C :\Windows\System32\svchost.exe, doivent être définis comme une règle distincte plutôt qu’une seule règle possible à l’aide de la stratégie de groupe.

Vous pouvez apporter des modifications supplémentaires à la gestion des règles de trafic entrant et sortant pour vos services autorisés et bloqués, en fonction de vos besoins. Pour plus d’informations, consultez le service de configuration du pare-feu.

Proxy de verrouillage d’URL

La gestion restrictive du trafic d’URL inclut les options suivantes :

  • Refuser tout le trafic sortant, à l’exception des services Azure et Microsoft sélectionnés, notamment Azure Cloud Shell et la possibilité d’autoriser la réinitialisation de mot de passe en libre-service.
  • Le profil privilégié limite les points de terminaison sur Internet auxquels l’appareil peut se connecter à l’aide de la configuration de proxy de verrouillage d’URL suivante.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Les points de terminaison répertoriés dans la liste ProxyOverride sont limités à ces points de terminaison nécessaires pour s’authentifier auprès de Microsoft Entra ID et accéder aux interfaces de gestion Azure ou Office 365. Pour étendre à d’autres services Cloud, ajoutez leur URL d’administration à la liste. Cette approche est conçue pour limiter l’accès à l’Internet plus vaste pour protéger les utilisateurs privilégiés contre les attaques basées sur Internet. Si cette approche est jugée trop restrictive, envisagez d’utiliser l’approche suivante pour le rôle privilégié.

Activer Microsoft Defender for Cloud Apps, liste restreinte d’URL aux URL approuvées (Autoriser la plupart)

Dans notre déploiement de rôles, il est recommandé que pour les déploiements d'entreprise et spécialisés, où une navigation web stricte deny all n'est pas souhaitable, l'utilisation des fonctionnalités d'un contrôleur de sécurité d'accès au cloud (CASB), comme Microsoft Defender for Cloud Apps, soit employée pour bloquer l'accès aux sites web risqués et discutables. Cette solution offre un moyen simple de bloquer les applications et les sites web qui ont été sélectionnés. Cette solution est similaire à l’accès à la liste de blocage à partir de sites tels que le Spamhaus Project qui gère the DBL (Domain Blocklist) : une bonne ressource à utiliser en tant qu’ensemble avancé de règles à implémenter pour les sites bloquants.

La solution vous fournit les éléments suivants :

  • Visibilité : détectez tous les services cloud ; affectez un classement à chaque risque ; identifiez tous les utilisateurs et les applications non-Microsoft en mesure de se connecter
  • Sécurité des données : identifier et contrôler les informations sensibles (DLP) ; répondre aux étiquettes de classification du contenu
  • Protection contre les menaces : offre une protection contre les menaces avec le contrôle d’accès adaptatif (AAC), l’analyse du comportement des utilisateurs et des entités (UEBA) et l’atténuation des programmes malveillants.
  • Conformité : fournir des rapports et des tableaux de bord pour démontrer la gouvernance du cloud ; soutenir les efforts pour se conformer aux exigences en matière de résidence des données et de conformité réglementaire.

Activez Defender pour le cloud Apps et connectez-vous à Defender ATP pour bloquer l’accès aux URL risquées :

Gérer les applications locales

La station de travail sécurisée passe à un état véritablement renforcé lorsque les applications locales sont supprimées, y compris les applications de productivité. Ici, vous ajoutez Visual Studio Code pour autoriser la connexion à Azure DevOps pour GitHub pour gérer les référentiels de code.

Configuration du portail de l'entreprise pour vos applications personnalisées

Une copie du Portail d'entreprise gérée par Intune vous permet d’accéder à des outils supplémentaires, que vous pouvez envoyer aux utilisateurs des postes de travail sécurisés.

En mode sécurisé, l’installation de l’application est limitée aux applications gérées fournies par Portail d'entreprise. Toutefois, l’installation du Portail d'entreprise nécessite l’accès au Microsoft Store. Dans votre solution sécurisée, vous ajoutez et affectez l’application Windows 10 Portail d'entreprise pour les appareils provisionnés via Autopilot.

Remarque

Veillez à affecter l’application Portail d'entreprise au groupe d’appareils de station de travail Secure Workstation Device Tag utilisé pour affecter le profil Autopilot.

Déployer des applications avec Intune

Dans certains cas, des applications telles que Microsoft Visual Studio Code sont requises sur la station de travail sécurisée. L’exemple suivant fournit des instructions pour installer Microsoft Visual Studio Code aux utilisateurs du groupe de sécurité Utilisateurs de station de travail sécurisée.

Visual Studio Code est fourni sous la forme d’un package EXE afin qu’il doit être empaqueté en tant que fichier de format .intunewin pour le déploiement à l’aide de Microsoft Intune à l’aide de l’outil Microsoft Win32 Content Prep Tool.

Téléchargez l’outil de préparation de contenu Microsoft Win32 localement sur une station de travail et copiez-le dans un répertoire pour l’empaqueter, par exemple, dans C:\Packages. Créez ensuite un répertoire Source et Output sous C:\Packages.

Empaqueter Microsoft Visual Studio Code

  1. Téléchargez le programme d’installation hors connexion Visual Studio Code pour Windows version 64 bits.
  2. Copiez le fichier exe Visual Studio Code téléchargé dans C:\Packages\Source
  3. Ouvrez une console PowerShell et accédez à C:\Packages
  4. Tapez .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Tapez Y pour créer le dossier de sortie. Le fichier intunewin pour Visual Studio Code est créé dans ce dossier.

Charger VS Code dans Microsoft Intune

  1. Dans le centre d’administration Microsoft Intune, accédez à Apps>Windows>Add
  2. Sous Électionner le type d’application, choisissez Windows application (Win32)
  3. Cliquez sur Sélectionner un fichier de package d’application, cliquez sur Sélectionner un fichier, puis sélectionnez le VSCodeUserSetup-x64-1.51.1.intunewin fichier de C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Cliquez sur OK.
  4. Entrez Visual Studio Code 1.51.1 dans le champ Nom
  5. Entrez une description pour Visual Studio Code dans le champ Description
  6. Entrez Microsoft Corporation dans le champ Publisher
  7. Téléchargez https://jsarray.com/images/page-icons/visual-studio-code.png et sélectionnez l’image du logo. Sélectionnez Suivant.
  8. Entrer VSCodeSetup-x64-1.51.1.exe /SILENT dans le champ de commande Installer
  9. Entrez C:\Program Files\Microsoft VS Code\unins000.exe dans le champ Uninstall
  10. Sélectionnez Déterminer le comportement en fonction des codes de retour dans la liste déroulante du comportement de redémarrage de l’appareil . Sélectionnez Suivant.
  11. Cochez la case 64 bits dans la liste déroulante architecture du système d’exploitation
  12. Sélectionnez Windows 10 1903 dans la liste déroulante de la case à cocher système d'exploitation minimum. Sélectionnez Suivant.
  13. Sélectionnez Configurer manuellement les règles de détection dans la liste déroulante Format des règles
  14. Cliquez sur Ajouter, puis sélectionnez Fichier dans la liste déroulante Type de règle
  15. Entrez C:\Program Files\Microsoft VS Code dans le champ Path
  16. Entrer unins000.exe dans le champ Fichier ou dossier
  17. Sélectionnez Fichier ou dossier dans la liste déroulante, sélectionnez OK , puis sélectionnez Suivant
  18. Sélectionnez Suivant , car il n’existe aucune dépendance sur ce package
  19. Sélectionnez Ajouter un groupe sous Disponible pour les appareils inscrits, ajoutez le groupe Utilisateurs privilégiés. Cliquez sur Sélectionner pour confirmer le groupe. Sélectionnez Suivant.
  20. Cliquez sur Créer

Utiliser PowerShell pour créer des applications et des paramètres personnalisés

Certains paramètres de configuration que nous recommandons, notamment deux recommandations relatives à Defender for Endpoint, doivent être définis à l’aide de PowerShell. Ces changements de configuration ne peuvent pas être définis via des stratégies dans Intune.

Vous pouvez également utiliser PowerShell pour étendre les fonctionnalités de gestion de l’hôte. Le script PAW-DeviceConfig.ps1 de GitHub est un exemple de script qui configure les paramètres suivants :

  • Supprime Internet Explorer
  • Supprime PowerShell 2.0
  • Supprime Windows lecteur multimédia
  • Supprime le client Dossiers de travail
  • Supprime l’impression XPS
  • Active et configure la mise en veille prolongée
  • Implémente le correctif du Registre pour activer le traitement des règles DLL AppLocker
  • Implémente les paramètres de Registre pour deux recommandations Microsoft Defender for Endpoint qui ne peuvent pas être définies à l'aide de Endpoint Manager.
    • Exiger des utilisateurs qu’ils procèdent à une élévation lors de la définition d’un emplacement réseau
    • Empêcher l’enregistrement des informations d’identification réseau
  • Désactiver l’Assistant de localisation réseau : empêche les utilisateurs de définir l’emplacement réseau comme étant privé et, par conséquent, d’augmenter la surface d’attaque exposée dans le Pare-feu Windows.
  • Configurer Windows Time pour utiliser NTP et définir le service de temps automatique sur Automatique
  • Télécharge et définit l’arrière-plan du Bureau sur une image spécifique afin d’identifier aisément l’appareil en tant que station de travail prête à l’emploi et privilégiée.

Script PAW-DeviceConfig.ps1 de GitHub.

  1. Téléchargez le script PAW-DeviceConfig.ps1 sur un appareil local.
  2. Accédez au portail Azure>Microsoft Intune>Configuration des appareils>scripts PowerShell>Ajouter. vProvide un nom pour le script et spécifiez l’emplacement du script.
  3. Sélectionnez Configurer.
    1. Définissez Exécuter ce script à l’aide des informations d’identification connectées surNon.
    2. Sélectionnez OK.
  4. Cliquez sur Créer.
  5. Sélectionnez Affectations Sélectionner des>groupes.
    1. Ajoutez les stations de travail sécurisées du groupe de sécurité.
    2. Cliquez sur Enregistrer.

Valider et tester votre déploiement avec votre premier appareil

Cette inscription suppose que vous utilisez un appareil informatique physique. Il est recommandé que, dans le cadre du processus d'approvisionnement, l'OEM, le revendeur, le distributeur ou le partenaire enregistrer des appareils dans Windows Autopilot.

Toutefois, pour les tests, il est possible de déployer des Machines Virtuelles comme scénario de test. Toutefois, notez que l’inscription des appareils personnellement associés doit être révisée pour que cette méthode puisse être utilisée pour associer un client.

Cette méthode fonctionne pour les appareils Machines Virtuelles ou physiques qui n'ont pas été précédemment inscrits.

  1. Démarrez l’appareil et attendez que s'affiche la boîte de dialogue du nom d'utilisateur
  2. Appuyez SHIFT + F10 pour afficher l’invite de commandes
  3. Appuyez PowerShell sur Entrée
  4. Appuyez Set-ExecutionPolicy RemoteSigned sur Entrée
  5. Appuyez Install-Script Get-WindowsAutopilotInfo sur Entrée
  6. Tapez Y et cliquez sur Entrée pour accepter la modification de l’environnement PATH
  7. Tapez Y et cliquez sur Entrée pour installer le fournisseur NuGet
  8. Type Y pour approuver le référentiel
  9. Type d’exécution Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Copier le fichier CSV à partir de l’ordinateur virtuel ou de l’appareil physique

Importer des appareils dans Autopilot

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Appareils Windows>Inscription Windows>Appareils

  2. Sélectionnez Importer et choisir votre fichier CSV.

  3. Attendez la Group Tag mise à jour et PAW la Profile Status modification .Assigned

    Remarque

    L’étiquette de groupe est utilisée par le groupe dynamique Stations de travail sécurisées pour que l’appareil soit membre de son groupe.

  4. Ajoutez l’appareil au groupe de sécurité Des stations de travail sécurisées .

  5. Sur l’appareil Windows 10 que vous souhaitez configurer, accédez à Windows ParamètresUpdate & SécuritéRecovery.

    1. Choisissez Bien démarrer sous Réinitialiser ce PC.
    2. Suivez les instructions pour réinitialiser et reconfigurer l’appareil avec le profil et les stratégies de conformité configurés.

Une fois que vous avez configuré l’appareil, effectuez une révision et vérifiez la configuration. Vérifiez que le premier appareil est correctement configuré avant de poursuivre le déploiement.

Attribuer des appareils

Pour affecter des appareils et des utilisateurs, vous devez mapper les profils sélectionnés à votre groupe de sécurité. Tous les nouveaux utilisateurs qui ont besoin d’autorisations pour le service doivent également être ajoutés au groupe de sécurité.

Utilisation de Microsoft Defender for Endpoint pour surveiller et répondre aux incidents de sécurité

  • Observer et surveiller en permanence les vulnérabilités et les configurations incorrectes
  • Utiliser Microsoft Defender for Endpoint pour hiérarchiser les menaces dynamiques dans la nature
  • Effectuer la corrélation des vulnérabilités avec les alertes d'Endpoint Detection and Response (EDR)
  • Utiliser le tableau de bord pour identifier les vulnérabilités au niveau de l’ordinateur lors des investigations
  • Déployer des correctifs à Intune

Configurez votre Microsoft Defender Security Center. Utilisation de conseils sur la vue d’ensemble du tableau de bord Threat &Vulnerability Management.

Surveillance de l’activité des applications à l’aide de la détection avancée des menaces

À partir de la station de travail spécialisée, AppLocker est activé pour la surveillance de l’activité des applications sur une station de travail. Par défaut, Defender pour le point de terminaison capture les événements AppLocker et les requêtes de détection avancée permettant de déterminer quels applications, scripts et fichiers DLL sont bloqués par AppLocker.

Remarque

Les profils de station de travail spécialisés et privilégiés contiennent les stratégies AppLocker. Le déploiement des stratégies est requis pour la surveillance de l’activité des applications sur un client.

Dans le volet Microsoft Defender Security Center Advanced Hunting, utilisez la requête suivante pour retourner les événements AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Surveillance

Étapes suivantes

  • Last updated on