Déployer et gérer le contrôle d’appareil dans Microsoft Defender pour point de terminaison avec Microsoft Intune

Si vous utilisez Intune pour gérer les paramètres de Defender pour point de terminaison, vous pouvez l’utiliser pour déployer et gérer les fonctionnalités de contrôle des appareils. Les différents aspects du contrôle d’appareil sont gérés différemment dans Intune, comme décrit dans les sections suivantes.

Configurer et gérer le contrôle des appareils dans Intune

1. Accédez au centre d’administration Intune et connectez-vous.

2. Accédez à Sécurité du point de terminaison>Réduction de la surface d’attaque.

3. Sous l’onglet Stratégies de la page Réduction de la surface d’attaque , sélectionnez + Créer une stratégie pour configurer une nouvelle stratégie avec les paramètres suivants :

   • Plateforme : sélectionnez Windows. Actuellement, le contrôle d’appareil n’est pas pris en charge sur Windows Server, même si cette stratégie s’applique à l’affiche.
   • Profil : sélectionnez Contrôle d’appareil.

   Sélectionnez Créer.

4. L’Assistant Création d’une stratégie s’ouvre. Sous l’onglet Informations de base , configurez les paramètres suivants :

   • Nom Entrez un nom unique et descriptif pour la stratégie.
   • Description : entrez une description facultative.

5. Sous l’onglet Paramètres de configuration , configurez tout ou partie des paramètres suivants :

   • Defender : consultez Autoriser l’analyse complète des paramètres d’analyse des lecteurs amovibles .
   • Contrôle d’appareil : configurez des stratégies personnalisées avec des paramètres réutilisables. Consultez la section Profils de contrôle d’appareil plus loin dans cet article et Vue d’ensemble du contrôle d’appareil : Règles.
   • Restrictions d’installation de l’appareil : consultez Paramètres d’installation de l’appareil .
   • Accès au stockage amovible : consultez Paramètres d’accès au stockage amovible .
   • Protection des données : consultez Autoriser les paramètres d’accès direct à la mémoire .
   • Dma Guard : consultez Paramètres de stratégie d’énumération d’appareils .
   • Stockage : consultez Paramètres d’accès en écriture de refus de disque amovible .
   • Connectivité : consultez Autoriser la connexion USB** et Autoriser les paramètres Bluetooth .
   • Bluetooth : paramètres liés aux connexions et services Bluetooth. Consultez Fournisseur de services de configuration de stratégie - Bluetooth.
   • Système : consultez Autoriser les paramètres de carte de stockage .

   Conseil

   Vous n’avez pas besoin de configurer tous les paramètres disponibles en même temps. Envisagez de commencer avec les paramètres de contrôle d’appareil, comme décrit dans la section suivante.

   

6. Sous l’onglet Balises d’étendue , où vous pouvez spécifier des balises d’étendue pour la stratégie.

7. Sous l’onglet Affectations , spécifiez des groupes d’utilisateurs ou d’appareils pour recevoir votre stratégie. Pour plus d’informations, consultez Attribuer des stratégies dans Intune.

8. Sous l’onglet Vérifier + créer , passez en revue vos paramètres et apportez les modifications nécessaires. Lorsque vous êtes prêt, sélectionnez Créer pour créer votre stratégie de contrôle d’appareil.

Profils de contrôle d’appareil

Dans Intune, chaque ligne de la section Contrôle d’appareil représente une stratégie de contrôle d’appareil. Vous pouvez ajouter et supprimer des stratégies à l’aide de + Ajouter et – Supprimer. Le nom de la stratégie apparaît dans l’avertissement pour les utilisateurs, ainsi que dans les rapports et la chasse avancés.

Une fois que vous avez sélectionné + Ajouter, les paramètres suivants sont disponibles :

• Appareils inclus : paramètre réutilisable auquel la stratégie s’applique.
• Appareils exclus : paramètre réutilisable exclu de la stratégie.
• Accès : les autorisations autorisées et le comportement du contrôle d’appareil qui entre en vigueur lorsque la stratégie s’applique.

Pour plus d’informations sur l’ajout des groupes réutilisables de paramètres inclus dans la ligne de chaque stratégie de contrôle d’appareil, consultez Ajouter des groupes réutilisables à un profil de contrôle d’appareil.

Vous pouvez ajouter des stratégies d’audit, et vous pouvez ajouter des stratégies Autoriser/Refuser. Nous vous recommandons toujours d’ajouter une stratégie Autoriser et/ou Refuser lors de l’ajout d’une stratégie d’audit afin d’éviter les résultats inattendus.

Définition des paramètres avec OMA-URI

Dans le tableau suivant, identifiez le paramètre que vous souhaitez configurer, puis utilisez les informations contenues dans les colonnes OMA-URI et le type de données & valeurs. Les paramètres sont répertoriés par ordre alphabétique.

Création de stratégies avec OMA-URI

Lorsque vous créez des stratégies avec OMA-URI dans Intune, créez un fichier XML pour chaque stratégie. Il est recommandé d’utiliser le profil de contrôle d’appareil ou le profil de règles de contrôle d’appareil pour créer des stratégies personnalisées.

Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :

• Dans le champ Nom , tapez Allow Read Activity.
• Dans le champ OMA-URI , tapez ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Vous pouvez utiliser la commande New-Guid PowerShell pour générer un nouveau GUID et remplacer [PolicyRule Id].)
• Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.

Vous pouvez utiliser des paramètres pour définir des conditions pour des entrées spécifiques. Voici un exemple de fichier XML de groupe pour Autoriser l’accès en lecture pour chaque stockage amovible.

Création de groupes avec OMA-URI

Lorsque vous créez des groupes avec OMA-URI dans Intune, créez un fichier XML pour chaque groupe. Il est recommandé d’utiliser des paramètres réutilisables pour définir des groupes.

Dans le volet Ajouter une ligne , spécifiez les paramètres suivants :

• Dans le champ Nom , tapez Any Removable Storage Group.
• Dans le champ OMA-URI , tapez ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Pour obtenir votre GroupID, dans le centre d’administration Intune, accédez à Groupes, puis sélectionnez Copier l’ID d’objet. Vous pouvez également utiliser la commande New-Guid PowerShell pour générer un nouveau GUID et remplacer [GroupId].)
• Dans le champ Type de données , sélectionnez Chaîne (fichier XML) et utilisez Xml personnalisé.

Configurer le contrôle d’accès au stockage amovible à l’aide d’OMA-URI

1. Accédez au Centre d’administration Microsoft Intune et connectez-vous.

2. Choisissez Appareils>Profils de configuration. La page Profils de configuration s’affiche.

3. Sous l’onglet Stratégies (sélectionné par défaut), sélectionnez + Créer, puis choisissez + Nouvelle stratégie dans la liste déroulante qui s’affiche. La page Créer un profil s’affiche.

4. Dans la liste Plateforme, sélectionnez Windows 10, Windows 11 et Windows Server dans la liste déroulante Plateforme, puis choisissez Modèles dans la liste déroulante Type de profil.

5. Une fois que vous avez choisi Modèles dans la liste déroulante Type de profil, le volet Nom du modèle s’affiche, ainsi qu’une zone de recherche (pour rechercher le nom du profil).

6. Sélectionnez Personnalisé dans le volet Nom du modèle, puis sélectionnez Créer.

7. Créez une ligne pour chaque paramètre, groupe ou stratégie en implémentant les étapes 1 à 5.

Afficher les groupes de contrôle d’appareil (paramètres réutilisables)

Dans Intune, les groupes de contrôle d’appareil apparaissent en tant que paramètres réutilisables.

1. Accédez au Centre d’administration Microsoft Intune et connectez-vous.

2. Accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.

3. Sélectionnez l’onglet Paramètres réutilisables .

Voir aussi

• Contrôle d’appareil dans Defender pour point de terminaison
• Stratégies et paramètres de contrôle d’appareil
• Contrôle d’appareil pour macOS