Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section vous guide tout au long des étapes à suivre pour implémenter correctement l’accès conditionnel.
Avant de commencer
Avertissement
Il est important de noter que Microsoft Entra appareils inscrits ne sont pas pris en charge dans ce scénario. Seuls les appareils inscrits à Intune sont pris en charge.
Vous devez vous assurer que tous vos appareils sont inscrits dans Intune. Vous pouvez utiliser l’une des options suivantes pour inscrire des appareils dans Intune :
- Administration informatique : pour plus d’informations sur l’activation de l’inscription automatique, consultez Activer l’inscription automatique Windows.
- Utilisateur final : pour plus d’informations sur l’inscription de votre Windows 10 et Windows 11 appareil dans Intune, consultez Inscrire votre appareil Windows dans Intune.
- Alternative à l’utilisateur final : pour plus d’informations sur la jonction d’un domaine Microsoft Entra, consultez Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.
Vous devez effectuer certaines étapes dans le portail Microsoft Defender, le portail Intune et Microsoft Entra centre d’administration.
Il est important de noter les rôles requis pour accéder à ces portails et implémenter l’accès conditionnel :
- Microsoft Defender portail : vous devez vous connecter au portail avec un rôle approprié pour activer l’intégration. Consultez Options d’autorisation.
- Intune : vous devez vous connecter au portail avec des droits d’administrateur de sécurité avec des autorisations de gestion.
- Microsoft Entra centre d’administration : vous devez vous connecter en tant qu’administrateur de la sécurité ou administrateur de l’accès conditionnel.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Vous aurez besoin d’un environnement Microsoft Intune, avec des appareils gérés et Microsoft Entra joints Windows 10 et Windows 11.
Procédez comme suit pour activer l’accès conditionnel :
- Étape 1 : Activer la connexion Microsoft Intune à partir de Microsoft Defender XDR
- Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune
- Étape 3 : Créer la stratégie de conformité dans Intune
- Étape 4 : Attribuer la stratégie
- Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra
Étape 1 : Activer la connexion Microsoft Intune
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>générales> connexion >Microsoft Intune.
Basculez le paramètre Microsoft Intune sur Activé.
Cliquez sur Enregistrer les préférences.
Étape 2 : Activer l’intégration de Defender pour point de terminaison dans Intune
Se connecter au portail Intune
Sélectionnez Sécurité>du point de terminaison Microsoft Defender pour point de terminaison.
Définissez Connecter Windows 10.0.15063+ appareils sur Microsoft Defender Protection avancée contre les menaces sur Activé.
Cliquez sur Save (Enregistrer).
Étape 3 : Créer la stratégie de conformité dans Intune
Dans le Portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.
Sélectionnez Stratégies de conformitéde l’appareil>>Créer une stratégie.
Entrez un nom et une description.
Dans Plateforme, sélectionnez Windows 10 et versions ultérieures.
Dans les paramètres d’intégrité de l’appareil, définissez Exiger que l’appareil soit au niveau de menace de l’appareil ou sous celui de votre choix :
- Sécurisé : ce niveau est le plus sûr. L’appareil ne peut pas avoir de menaces existantes et accéder toujours aux ressources de l’entreprise. Si des menaces sont détectées, l’appareil est évalué comme non conforme.
- Faible : l’appareil est conforme seulement si les menaces détectées sont de niveau faible. Les appareils présentant des niveaux de menace moyens ou élevés ne sont pas conformes.
- Moyen : l’appareil est conforme si les menaces détectées sont de niveau faible ou moyen. Si des menaces de niveau élevé sont détectées, l’appareil est considéré comme non conforme.
- Élevé : ce niveau est le moins sécurisé et autorise tous les niveaux de menace. Ainsi, les appareils qui présentent des niveaux de menace élevés, moyens ou faibles sont considérés comme conformes.
Sélectionnez OK, puis Créer pour enregistrer vos modifications (et créer la stratégie).
Étape 4 : Attribuer la stratégie
Dans le Portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.
Sélectionnez Stratégies de conformité>> desappareils sélectionnez votre stratégie de conformité Microsoft Defender pour point de terminaison.
Sélectionnez Devoirs.
Incluez ou excluez vos groupes Microsoft Entra pour leur attribuer la stratégie.
Pour déployer la stratégie dans les groupes, sélectionnez Enregistrer. La conformité des appareils utilisateur ciblés par la stratégie est évaluée.
Étape 5 : Créer une stratégie d’accès conditionnel Microsoft Entra
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de l’accès conditionnel au moins.
- Accédez à Entra ID>Stratégies d’accès> conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme significative pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure :
- Sélectionner des utilisateurs et des groupes
- Choisissez les comptes d’accès d’urgence ou de secours de votre organization.
- Si vous utilisez des solutions d’identité hybride comme Microsoft Entra Connect ou Microsoft Entra Connect Cloud Sync, sélectionnez Rôles d’annuaire, puis comptes de synchronisation d’annuaires
- Sélectionner des utilisateurs et des groupes
- Sous Ressources cibles>Ressources (anciennement applications cloud)>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
- Sous Contrôle> d’accèsAccorder.
- Sélectionnez Exiger que l'appareil soit marqué comme conforme.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer la stratégie sur Rapport uniquement.
- Sélectionnez Créer pour créer pour activer votre stratégie.
Après avoir confirmé vos paramètres à l’aide de l’impact de la stratégie ou du mode rapport uniquement, déplacez le bouton bascule Activer la stratégie de Rapport uniquement sur Activé.
Remarque
Vous pouvez utiliser l’application Microsoft Defender pour point de terminaison avec l’application cliente approuvée, la stratégie De protection des applications et les contrôles Appareil conforme (Exiger que l’appareil soit marqué comme conforme) dans Microsoft Entra stratégies d’accès conditionnel. Aucune exclusion n’est requise pour l’application Microsoft Defender pour point de terminaison lors de la configuration de l’accès conditionnel. Bien que Microsoft Defender pour point de terminaison sur Android & iOS (ID d’application - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) n’est pas une application approuvée, elle est en mesure de signaler la posture de sécurité de l’appareil dans les trois autorisations accordées.
Pour plus d’informations, consultez Appliquer la conformité pour Microsoft Defender pour point de terminaison avec l’accès conditionnel dans Intune.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.