Partager via


Gérer les paramètres d’abonnement Microsoft Defender pour point de terminaison sur les appareils clients

Dans Defender pour point de terminaison, un scénario de licences mixtes est une situation dans laquelle une organisation utilise une combinaison de licences Defender pour point de terminaison Plan 1 et Plan 2. Le tableau suivant décrit des exemples de scénarios de licences mixtes :

Scénario Description
Locataire mixte Utilisez différents ensembles de fonctionnalités pour les groupes d’utilisateurs et leurs appareils. Les exemples incluent :
- Defender pour point de terminaison Plan 1 et Defender pour point de terminaison Plan 2
- Microsoft 365 E3 et Microsoft 365 E5
Version d’évaluation mixte Essayez un abonnement de niveau Premium pour certains utilisateurs. Les exemples incluent :
- Defender pour point de terminaison Plan 1 (acheté pour tous les utilisateurs) et Defender pour point de terminaison Plan 2 (un abonnement d’essai a été démarré pour certains utilisateurs)
- Microsoft 365 E3 (acheté pour tous les utilisateurs) et Microsoft 365 E5 (un abonnement d’essai a été lancé pour certains utilisateurs)
Mises à niveau par phases Mettre à niveau les licences utilisateur par phases. Les exemples incluent :
- Déplacement de groupes d’utilisateurs de Defender pour point de terminaison Plan 1 vers Plan 2
- Déplacement de groupes d’utilisateurs de Microsoft 365 E3 vers E5

Jusqu’à récemment, les scénarios de licence mixte n’étaient pas pris en charge ; dans le cas de plusieurs abonnements, l’abonnement fonctionnel le plus élevé est prioritaire pour votre locataire. À présent, vous pouvez gérer vos paramètres d’abonnement pour prendre en charge des scénarios de licences mixtes sur les appareils clients. Ces fonctionnalités vous permettent d’effectuer les opérations suivantes :

  • Définissez votre locataire en mode mixte et étiquetez les appareils pour déterminer quels appareils clients recevront les fonctionnalités et les fonctionnalités de chaque plan (nous appelons cette option mode mixte) ; OU,
  • Utilisez les fonctionnalités d’un seul plan sur tous vos appareils clients.

Vous pouvez également utiliser un nouveau rapport d’utilisation des licences pour suivre l’état.

Remarque

Si vous utilisez Microsoft Defender pour les entreprises et que vous souhaitez passer à Defender pour point de terminaison Plan 2, consultez Modifier votre abonnement de sécurité de point de terminaison.

Définir votre locataire en mode mixte et étiqueter des appareils

Importante

  • Les paramètres en mode mixte s’appliquent uniquement aux points de terminaison clients. L’étiquetage des appareils serveur ne modifie pas l’état de leur abonnement. Tous les appareils serveur exécutant Windows Server ou Linux doivent avoir les licences appropriées, telles que Defender pour les serveurs. Consultez Options d’intégration des serveurs.
  • Veillez à suivre les procédures décrites dans cet article pour essayer des scénarios de licence mixte dans votre environnement. L’attribution de licences utilisateur dans le Centre d’administration Microsoft 365 (https://admin.microsoft.com) ne définit pas votre locataire en mode mixte.
  • Vous devez disposer de licences d’essai actives ou payantes pour Defender pour point de terminaison Plan 1 et Plan 2.
  • Pour accéder aux informations de licence, vous devez disposer de l’un des rôles suivants attribués dans l’ID Microsoft Entra :
    • Administrateur de sécurité
    • Administrateur de licence et Administrateur Defender pour point de terminaison
  1. En tant qu’administrateur, accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.

  2. Accédez à Paramètres Licences> de >points de terminaison. Votre rapport d’utilisation s’ouvre et affiche des informations sur les licences Defender pour point de terminaison de votre organisation.

  3. Sous État de l’abonnement, sélectionnez Gérer les paramètres de l’abonnement.

    Remarque

    Si vous ne voyez pas Gérer les paramètres d’abonnement, au moins l’une des conditions suivantes est remplie :

    • Vous disposez de Defender pour point de terminaison Plan 1 ou Plan 2 (mais pas les deux) ; ou
    • Les fonctionnalités de licence mixte n’ont pas encore été déployées sur votre locataire.
  4. Un menu volant Paramètres d’abonnement s’ouvre. Choisissez l’option permettant d’utiliser Defender pour point de terminaison Plan 1 et Plan 2. (Aucune modification ne se produit tant que les appareils ne sont pas étiquetés conformément à l’étape suivante.)

  5. Étiquetez les appareils qui doivent recevoir les fonctionnalités Defender pour point de terminaison Plan 1 ou Plan 2. Vous pouvez choisir d’étiqueter vos appareils manuellement ou à l’aide d’une règle dynamique. En savoir plus sur l’étiquetage des appareils.

    Méthode Détails
    Étiqueter les appareils manuellement Pour étiqueter des appareils manuellement, créez une balise appelée License MDE P1 et appliquez-la aux appareils. Pour obtenir de l’aide sur cette étape, consultez Créer et gérer des étiquettes d’appareil.

    Notez que les appareils étiquetés avec la balise à l’aide License MDE P1 de la méthode de clé de Registre ne recevront pas de fonctionnalités rétrogradées. Si vous souhaitez étiqueter des appareils à l’aide de la méthode de clé de Registre, utilisez une règle dynamique au lieu d’un balisage manuel.
    Étiqueter automatiquement les appareils à l’aide d’une règle dynamique La fonctionnalité de règle dynamique est nouvelle pour les scénarios de licence mixte ! Il vous permet d’appliquer un niveau de contrôle dynamique et granulaire sur la façon dont vous gérez les appareils.

    Pour utiliser une règle dynamique, vous spécifiez un ensemble de critères basés sur le nom de l’appareil, le domaine, la plateforme du système d’exploitation et/ou les étiquettes d’appareil. Les appareils qui répondent aux critères spécifiés recevront les fonctionnalités Defender pour point de terminaison Plan 1 ou Plan 2 conformément à votre règle.

    Lorsque vous définissez vos critères, vous pouvez utiliser les opérateurs de condition suivants :
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    Pour Nom de l’appareil, vous pouvez utiliser du texte de forme libre.

    Pour Domaine, sélectionnez dans une liste de domaines.

    Pour Plateforme du système d’exploitation, sélectionnez dans une liste de systèmes d’exploitation.

    Pour Balise, utilisez l’option texte de forme libre. Tapez la valeur de balise qui correspond aux appareils qui doivent recevoir les fonctionnalités Defender pour point de terminaison Plan 1 ou Plan 2. Consultez l’exemple dans Plus d’informations sur l’étiquetage des appareils.

    Les étiquettes d’appareil sont visibles dans la vue Inventaire des appareils et dans les API Defender pour point de terminaison.

    Remarque

    Les balises P1 Defender pour point de terminaison ajoutées dynamiquement ne peuvent pas être filtrées dans la vue Inventaire des appareils.

  6. Enregistrez votre règle et attendez jusqu’à trois (3) heures que les balises soient appliquées. Ensuite, passez à Vérifier qu’un appareil reçoit uniquement les fonctionnalités de Defender pour point de terminaison Plan 1.

Plus d’informations sur l’étiquetage des appareils

Comme décrit dans le blog de la communauté technique : Comment utiliser efficacement l’étiquetage, le balisage des appareils vous offre un contrôle granulaire sur les appareils. Avec les étiquettes d’appareil, vous pouvez :

  • Affichez certains appareils à des utilisateurs individuels dans le portail Microsoft Defender afin qu’ils voient uniquement les appareils dont ils sont responsables.
  • Inclure ou exclure des appareils de stratégies de sécurité spécifiques.
  • Déterminez les appareils qui doivent recevoir les fonctionnalités de Defender pour point de terminaison Plan 1 ou Plan 2.

Par exemple, supposons que vous souhaitiez utiliser une balise appelée VIP pour tous les appareils qui doivent recevoir les fonctionnalités de Defender pour point de terminaison Plan 2. Voici ce que vous feriez :

  1. Créez une balise d’appareil appelée VIPet appliquez-la à tous les appareils qui doivent recevoir les fonctionnalités de Defender pour point de terminaison Plan 2. Utilisez l’une des méthodes suivantes pour créer votre balise d’appareil :

  2. Configurez une règle dynamique à l’aide de l’opérateur Tag Does not contain VIPde condition . Dans ce cas, tous les appareils qui n’ont pas la VIP balise recevront la balise et les License MDE P1 fonctionnalités Defender pour point de terminaison Plan 1.

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Vérifier qu’un appareil reçoit uniquement les fonctionnalités de Defender pour point de terminaison Plan 1

Une fois que vous avez affecté des fonctionnalités Defender pour point de terminaison Plan 1 à certains ou à tous les appareils, vous pouvez vérifier qu’un appareil individuel reçoit ces fonctionnalités.

  1. Dans le portail Microsoft Defender (https://security.microsoft.com), accédez à Ressources>Appareils.

  2. Sélectionnez un appareil étiqueté avec License MDE P1. Vous devez voir que Defender pour point de terminaison Plan 1 est affecté à l’appareil.

Remarque

Les appareils auxquels sont affectées des fonctionnalités Defender pour point de terminaison Plan 1 n’ont pas de vulnérabilités ou de recommandations de sécurité répertoriées.

Passer en revue l’utilisation des licences

Le rapport d’utilisation des licences est estimé en fonction des activités de connexion sur l’appareil. Les licences Defender pour point de terminaison Plan 2 sont par utilisateur, et chaque utilisateur peut avoir jusqu’à cinq appareils intégrés simultanés. Pour en savoir plus sur les termes du contrat de licence, consultez Licence Microsoft.

Pour réduire la surcharge de gestion, il n’est pas nécessaire d’attribuer et de mappage appareil-à-utilisateur. Au lieu de cela, le rapport de licence fournit une estimation de l’utilisation qui est calculée en fonction de l’utilisation des appareils observée dans votre organisation. Votre rapport d’utilisation peut prendre jusqu’à un jour pour refléter l’utilisation active de vos appareils.

Importante

Pour accéder aux informations de licence, vous devez disposer de l’un des rôles suivants attribués dans l’ID Microsoft Entra :

  • Administrateur de sécurité
  • Administrateur de licence et Administrateur Defender pour point de terminaison
  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.

  2. Choisissez Paramètres Licences>de points de> terminaison.

  3. Passez en revue vos licences disponibles et attribuées. Le calcul est basé sur les utilisateurs détectés qui ont accédé à des appareils intégrés à Defender pour point de terminaison.

Plus de ressources

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.