Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
L’agent de correction des vulnérabilités est actuellement en préversion publique limitée et disponible uniquement pour un groupe de clients sélectionné. Si vous souhaitez y accéder ou si vous souhaitez en savoir plus, contactez votre équipe commerciale pour obtenir plus de détails et les étapes suivantes.
L’agent de correction des vulnérabilités pour Security Copilot dans Intune utilise les données de Gestion des vulnérabilités Microsoft Defender pour identifier les vulnérabilités et les expositions courantes (CVE) sur vos appareils gérés. Les résultats sont classés par ordre de priorité pour la correction et incluent des instructions pas à pas pour vous guider dans l’utilisation de Intune pour corriger la menace. Cet agent Copilot peut vous aider à réduire le temps nécessaire à l’examen, à l’identification et à la correction des menaces, ce qui améliore la posture de sécurité globale de votre organization.
Lorsque l’agent s’exécute, il analyse les données de Gestion des vulnérabilités Microsoft Defender et fournit une liste hiérarchisée des suggestions qui s’affichent dans le centre d’administration Intune. Vous pouvez explorer chaque suggestion pour afficher les détails suivants :
- Nombre de vulnérabilités associées
- Une analyse d’impact résumée assistée par Copilot
- Actions suggérées
- Systèmes affectés
- Appareils exposés
- Impact potentiel
- Conseils pas à pas pour l’utilisation de Intune pour y remédier
Une fois que vous avez corrigé une suggestion d’agent, vous pouvez la marquer comme appliquée pour que l’agent conserve un enregistrement que vous pouvez utiliser dans le suivi des actions de correction au fil du temps.
Étant donné que les détails cve et les conseils de correction recommandés peuvent changer au fil du temps, les exécutions suivantes de l’agent peuvent fournir de nouveaux détails, le nombre d’appareils et les étapes de correction. À mesure que vous gérez les rapports de menaces suivants, l’enregistrement de vos solutions précédemment appliquées peut vous aider à suivre la modification des risques spécifiques en fonction de vos corrections précédentes.
Conseil
L’agent de correction des vulnérabilités est accessible dans le centre d’administration Intune à partir des nœuds de sécurité Agents et Point de terminaison. Chaque chemin d’accès fournit l’accès au même agent. Dans cette documentation, les références à son emplacement utilisent le nœud Agents .
Cet article :
- Répertorie les prérequis pour utiliser l’agent
- Explique le fonctionnement de l’agent
- Montre comment configurer l’agent
- Montre comment renouveler ou supprimer l’agent
Pour plus d’informations sur les autres agents Security Copilot dans Intune et les fonctionnalités courantes, consultez Security Copilot agents dans Microsoft Intune.
Configuration requise
Configuration requise pour le cloud
L’agent est pris en charge uniquement sur le cloud public. Il n’est pas pris en charge sur les clouds gouvernementaux.
Conditions requises pour les licences
Pour utiliser Security Copilot agents dans Microsoft Intune, les licences suivantes sont requises :
- abonnement Microsoft Intune Plan 1
- Microsoft Security Copilot avec suffisamment d’unités de calcul de sécurité (SKU)
- Gestion des vulnérabilités Microsoft Defender : cette fonctionnalité est fournie par Microsoft Defender pour point de terminaison P2 ou Defender Vulnerability Management Autonome.
Conditions requises pour les plug-in
Les plug-ins permettent aux agents Security Copilot de se connecter aux services Microsoft et d’effectuer des actions spécialisées. Cet agent nécessite les plug-ins suivants :
Si vous utilisez Copilot dans Intune, le plug-in Intune est déjà activé. En savoir plus sur les plug-ins.
Configuration requise pour la plateforme de l’appareil
L’agent de correction des vulnérabilités prend en charge l’évaluation et les recommandations pour les plateformes et applications suivantes :
- Windows
- Applications dans Intune
Conditions requises pour les rôles
Pour activer et configurer l’agent, utilisez un compte avec les rôles suivants :
Intune rôles :
- Opérateur en lecture seule ou rôle personnalisé avec les autorisations suivantes :
- Applications gérées / lecture
- Applications mobiles / lecture
- Configurations de l’appareil / lecture
Microsoft Defender rôles :
- Le compte utilisé par l’agent pour son identité doit se voir attribuer des autorisations qui s’alignent sur Microsoft Defender XDR configurations RBAC :
- RBAC unifié : rôle Lecteur de sécurité
- RBAC granulaire : Rôle RBAC personnalisé avec des autorisations équivalentes au rôle Lecteur de sécurité RBAC unifié
Security Copilot rôles :
Pour utiliser l’agent et afficher les résultats, utilisez un compte avec les rôles suivants :
- Opérateur lecture seule ou autorisations équivalentes
Fonctionnement de l’agent
L’agent de correction des vulnérabilités effectue des évaluations automatisées pour identifier et hiérarchiser les vulnérabilités sur vos appareils gérés. Voici le principe de fonctionnement :
1. Collecte de données : l’agent collecte des données de vulnérabilité à partir de Gestion des vulnérabilités Microsoft Defender, en analysant les vulnérabilités et les expositions courantes (CVE) sur vos appareils gérés.
2. Analyse et hiérarchisation : l’agent évalue les données de vulnérabilité et hiérarchise les menaces en fonction de facteurs tels que les scores CVSS, l’impact de l’exposition et le nombre d’appareils pour se concentrer d’abord sur les problèmes les plus critiques.
3. Conseils de correction : pour chaque vulnérabilité identifiée, l’agent fournit des instructions de correction pas à pas adaptées aux fonctionnalités de Intune, notamment des recommandations de stratégie et des instructions de configuration.
4. Suivi et création de rapports : l’agent conserve les enregistrements des corrections suggérées et vous permet de suivre les solutions appliquées au fil du temps, ce qui vous aide à mesurer les efforts d’amélioration de la sécurité.
Identité de l’agent
Par défaut, l’agent de correction des vulnérabilités s’exécute sous l’identité et les autorisations du compte d’administrateur utilisé pour configurer l’agent. Après l’installation, cette identité peut être modifiée.
La modification de l’identité n’affecte pas l’historique des exécutions de l’agent, qui reste disponible.
Le comportement de l’agent est limité aux autorisations de l’identité utilisateur sous laquelle l’agent s’exécute.
L’agent s’exécute de manière permanente dans l’identité et les autorisations du compte d’administrateur Intune qui est affecté en tant qu’identité de l’agent.
L’identité de l’agent s’actualise à chaque exécution de l’agent et expire si l’agent ne s’exécute pas pendant 90 jours consécutifs. Lorsque la date d’expiration approche, chaque propriétaire Copilot et copilot contributeur reçoivent une bannière d’avertissement sur le renouvellement de l’identité de l’agent lorsqu’ils affichent la page de vue d’ensemble de l’agent. Si l’authentification de l’agent expire, les exécutions suivantes de l’agent échouent jusqu’à ce que l’authentification soit renouvelée. Pour plus d’informations sur le renouvellement de l’authentification, consultez Renouveler l’agent.
Importante
Lorsque l’authentification de l’agent est renouvelée, l’agent commence à utiliser les informations d’identification de la personne qui clique sur le bouton Renouveler l’authentification.
Considérations opérationnelles
Avant d’exécuter l’agent de correction des vulnérabilités, gardez à l’esprit les points suivants :
- Un administrateur doit démarrer manuellement l’agent. Une fois l’agent démarré, il n’existe aucune option pour l’arrêter ou le suspendre.
- Démarrez l’agent uniquement à partir du centre d’administration Microsoft Intune.
- Les CVC associés contiennent le nombre de CVC sur les appareils dotés d’éditions du système d’exploitation client Windows, mais excluent les appareils avec des éditions Windows Server. Les CVC sont classés comme bas, moyen, élevé et critique selon l’échelle CVSS (Common Vulnerability Scoring System).
- La liste des appareils exposés inclut uniquement les appareils trouvés dans Microsoft Entra et qui ne sont pas Windows Server éditions.
- Agent ne prend pas en charge les balises d’étendue en préversion publique.
- Seul l’utilisateur qui configure l’agent peut afficher les détails de la session dans le portail Microsoft Security Copilot.
Importante
Les données que l’agent signale sont rendues visibles par le biais de suggestions d’agent. Ces données peuvent être visibles par les administrateurs disposant d’un accès pour afficher l’agent dans le centre d’administration Intune, même lorsque ces données sont en dehors des administrateurs affectés Intune rôles ou de l’étendue.
Configurer l’agent
L’agent s’exécute sous l’identité et les autorisations du compte utilisé pendant l’installation. Ses actions sont limitées aux autorisations de ce compte et l’identité s’actualise à chaque exécution.
Pour configurer l’agent :
Dans le centre d’administration Microsoft Intune, accédez àAgent de correction des vulnérabilitésagents>.
Dans Vue d’ensemble, sélectionnez Configurer l’agent. Ce volet affiche des détails sur l’agent, mais ne nécessite aucune configuration.
Passez en revue les détails pour vérifier que les exigences sont en place, puis sélectionnez Démarrer l’agent pour fermer le volet d’installation et démarrer la première exécution de l’agent.
Une fois l’installation terminée, l’agent est prêt à être utilisé. Pour en savoir plus sur l’utilisation de l’agent, consultez Utiliser l’agent de correction des vulnérabilités.
Renouveler l’agent
Si vous n’utilisez pas d’agent pendant 90 jours, l’autorisation de l’agent expire et les exécutions de l’agent échouent jusqu’à la réauthentification. Vous pouvez renouveler l’authentification de l’agent à tout moment.
À mesure que l’expiration approche, Intune affiche un avertissement sur la page de vue d’ensemble de l’agent que chaque propriétaire Copilot et contributeur Copilot peuvent voir. L’avertissement invite à renouveler l’identité de l’agent.
Pour autoriser à nouveau l’identité de l’agent, sélectionnez Renouveler l’authentification. Lorsque vous renouvelez l’authentification de l’agent, l’agent utilise automatiquement les informations d’identification de connexion. Si vous ne souhaitez pas utiliser les informations d’identification de connexion, sélectionnez l’onglet >Paramètres de l’agent >Choisir une autre identité.
Après le renouvellement, la bannière d’avertissement disparaît et une notification toast valide que le renouvellement a réussi.
Modifier l’identité de l’agent
Par défaut, l’agent s’exécute sous l’identité de l’utilisateur administratif qui a configuré l’agent dans le locataire. Après l’installation, l’identité de l’agent peut changer lorsqu’un autre utilisateur renouvelle l’agent, et en modifiant les paramètres de l’agent pour attribuer explicitement une nouvelle identité d’agent.
Une modification de l’identité de l’agent n’affecte pas l’historique des exécutions de l’agent.
Pour attribuer une nouvelle identité, dans le centre d’administration Intune, accédez à Agentde correction des vulnérabilités agents >(préversion) et sélectionnez l’onglet Paramètres. Sous Identité, vous pouvez voir le compte d’utilisateur actuel sous lequel l’agent s’exécute. Sélectionnez Choisir une autre identité pour ouvrir une invite de connexion au compte. Sélectionnez, puis authentifiez un nouveau compte à utiliser comme identité des agents.
Importante
Le comportement de l’agent est limité au niveau des autorisations affectées à l’identité de l’utilisateur sous lequel l’agent s’exécute. Lorsque l’utilisateur dont l’identité est exécutée par l’agent n’a pas les autorisations suffisantes, l’agent ne parvient pas à s’exécuter.
Supprimer l’agent
Lorsque vous supprimez un agent, toutes les données associées générées, y compris les suggestions et les activités, sont supprimées. Les suggestions précédemment appliquées restent inchangées.
Étapes de suppression d’un agent instance :
- Dans le centre d’administration Microsoft Intune, sélectionnez Agents.
- Sélectionnez l’agent instance que vous souhaitez supprimer.
- Sélectionnez Supprimer l’agent et confirmez la suppression.
Après la suppression :
- Le volet agent revient à son état d’origine.
- Un administrateur peut réinstaller l’agent ultérieurement en répétant le processus d’installation.
Remarque
Pour supprimer l’agent instance, votre compte doit être un propriétaire Security Copilot.
Contribuer à façonner l’avenir des agents Intune
Rejoignez notre forum de commentaires Intune Agents pour partager des insights et influencer les fonctionnalités à venir dans Microsoft Intune.
Inscrivez-vous et apprenez-en davantage : https://aka.ms/IntuneAgentsForum