Afficher et modifier les stratégies de protection des appareils
Dans Microsoft 365 Business Premium, les paramètres de sécurité des appareils gérés sont configurés via des stratégies de protection des appareils dans le portail Microsoft Defender ou dans le centre d’administration Microsoft Intune. Pour simplifier l’installation et la configuration, il existe des stratégies préconfigurées qui protègent les appareils de votre organisation dès leur intégration. Vous pouvez utiliser les stratégies par défaut, modifier des stratégies existantes ou créer vos propres stratégies.
Ce guide décrit comment :
- Obtenir une vue d’ensemble de vos stratégies par défaut
- Utilisez des stratégies d’appareil dans le portail Microsoft Defender ou dans le centre d’administration Microsoft Intune.
À propos des stratégies de protection des appareils par défaut
Microsoft 365 Business Premium comprend deux principaux types de stratégies pour protéger les appareils de votre organisation :
Stratégies de protection de nouvelle génération, qui déterminent comment les Antivirus Microsoft Defender et d’autres fonctionnalités de protection contre les menaces sont configurées.
Les Stratégies de pare-feu, qui déterminent le trafic réseau autorisé à effectuer par les appareils de votre organisation.
Les stratégies supplémentaires sont les suivantes :
- Filtrage de contenu web, qui permet à votre équipe de sécurité de suivre et de réglementer l’accès aux sites web en fonction de catégories de contenu (comme le contenu pour adultes, la bande passante élevée, la responsabilité juridique et les loisirs). Pour plus d’informations, consultez Filtrage de contenu web dans Microsoft Defender pour entreprises.
- Accès contrôlé aux dossiers, qui permet uniquement aux applications approuvées d’accéder aux dossiers protégés sur les appareils Windows. Considérez cette fonctionnalité comme une protection contre les rançongiciels. Pour plus d’informations, consultez Configurer ou modifier votre stratégie d’accès contrôlé aux dossiers dans Microsoft Defender pour entreprises.
- Règles de réduction de la surface d’attaque qui permettent de réduire les lieux et les façons dont votre entreprise peut être vulnérable aux cybermenaces et aux attaques. Pour plus d’informations, consultez Activer vos règles de réduction de la surface d’attaque dans Microsoft Defender pour entreprises.
Ces stratégies font partie de Microsoft Defender entreprise, inclus dans votre abonnement Microsoft 365 Business Premium. Des informations sont fournies pour l’utilisation des stratégies dans le portail Microsoft Defender ou dans le centre d’administration Microsoft Intune.
Utilisation des stratégies d’appareil dans le portail Microsoft Defender
Les détails suivants s’appliquent à l’utilisation de vos stratégies dans le portail Microsoft Defender (https://security.microsoft.com).
Afficher les stratégies de protection des appareils existantes dans Microsoft Defender XDR
Dans le portail Microsoft Defender (https://security.microsoft.com), dans le volet de navigation, choisissez Configuration de l’appareil. Les stratégies sont organisées par système d’exploitation (par exemple, Client Windows) et par type de stratégie (par exemple, Protection nouvelle génération et Pare-feu).
Sélectionnez un onglet de système d’exploitation (par exemple, Clients Windows), puis passez en revue la liste des stratégies sous les catégories Protection nouvelle génération et Pare-feu.
Pour afficher plus de détails sur une stratégie, sélectionnez son nom. Un volet latéral s’ouvre et fournit plus d’informations sur cette stratégie, telles que les appareils protégés par cette stratégie.
Modifier une stratégie de protection d’appareil existante dans Microsoft Defender XDR
Dans le portail Microsoft Defender (https://security.microsoft.com), dans le volet de navigation, choisissez Configuration de l’appareil. Les stratégies sont organisées par système d’exploitation (par exemple, Client Windows) et par type de stratégie (par exemple, Protection nouvelle génération et Pare-feu).
Sélectionnez un onglet de système d’exploitation (par exemple, Clients Windows), puis passez en revue la liste des stratégies sous les catégories Protection nouvelle génération et Pare-feu.
Pour modifier une stratégie, sélectionnez son nom, puis choisissez Modifier.
Sur l’onglet Informations générales, passez en revue les informations. Si nécessaire, vous pouvez modifier la description. Sélectionnez Suivant.
Sur l’onglet Groupes d’appareils, déterminez les groupes d’appareils qui doivent recevoir cette stratégie.
- Pour conserver le groupe d’appareils sélectionné tel qu’il est, choisissez Suivant.
- Pour supprimer un groupe d’appareils de la stratégie, sélectionnez Supprimer.
- Pour configurer un nouveau groupe d’appareils, sélectionnez Créer un groupe, puis configurez votre groupe d’appareils. (Pour obtenir de l’aide sur cette tâche, consultez Groupes d’appareils dans Microsoft 365 Business Premium.)
- Pour appliquer la stratégie à un autre groupe d’appareils, sélectionnez Utiliser le groupe existant.
Une fois que vous avez spécifié quels groupes d’appareils doivent recevoir la stratégie, choisissez Suivant.
Sur l’onglet Paramètres de configuration, passez en revue les paramètres. Si nécessaire, vous pouvez modifier les paramètres de votre stratégie. Pour obtenir de l’aide sur cette tâche, consultez les articles suivants :
Une fois que vous avez spécifié vos paramètres de protection de nouvelle génération, choisissez Suivant.
Sur l’onglet Vérifier votre stratégie, passez en revue les informations générales, les appareils ciblés et les paramètres de configuration.
- Apportez les modifications nécessaires en sélectionnant Modifier.
- Lorsque vous êtes prêt à continuer, choisissez Mettre à jour la stratégie.
Créer une stratégie de protection des appareils dans Microsoft Defender XDR
Dans le portail Microsoft Defender (https://security.microsoft.com), dans le volet de navigation, choisissez Configuration de l’appareil. Les stratégies sont organisées par système d’exploitation (par exemple, Client Windows) et par type de stratégie (par exemple, Protection nouvelle génération et Pare-feu).
Sélectionnez un onglet de système d’exploitation (par exemple, Clients Windows), puis passez en revue la liste des stratégies Protection nouvelle génération.
Sous Protection nouvelle génération ou Pare-feu, sélectionnez + Ajouter.
Sur l’onglet Informations générales, procédez comme suit :
- Spécifiez un nom et une description. Ces informations vous aideront, vous et votre équipe, à identifier la stratégie ultérieurement.
- Passez en revue l’ordre de stratégie et modifiez-le si nécessaire. (Pour plus d’informations, consultez Ordre de stratégie.)
- Cliquez sur Suivant.
Sur l’onglet Groupes d’appareils, créez un groupe d’appareils ou utilisez un groupe existant. Les stratégies sont affectées aux appareils par le biais de groupes d’appareils. Voici quelques éléments à garder à l’esprit :
- Au départ, vous ne disposez peut-être que de votre groupe d’appareils par défaut, qui inclut les appareils que les membres de votre organisation utilisent pour accéder aux données et à la messagerie de l’organisation. Vous pouvez conserver et utiliser votre groupe d’appareils par défaut.
- Créez un groupe d’appareils pour appliquer une stratégie avec des paramètres spécifiques différents de la stratégie par défaut.
- Lorsque vous configurez votre groupe d’appareils, vous spécifiez certains critères, tels que la version du système d’exploitation. Les appareils qui répondent aux critères sont inclus dans ce groupe d’appareils, sauf si vous les excluez.
- Tous les groupes d’appareils, y compris les groupes d’appareils par défaut et personnalisés que vous définissez, sont stockés dans Microsoft Entra’ID.
Pour en savoir plus sur les groupes d’appareils, consultez Groupes d’appareils dans Microsoft Defender Entreprise.
Sur l’onglet Paramètres de configuration, spécifiez les paramètres de votre stratégie, puis choisissez Suivant. Pour plus d’informations sur les paramètres individuels, consultez Comprendre les paramètres de configuration de nouvelle génération dans Microsoft Defender Entreprise.
Sur l’onglet Vérifier votre stratégie, passez en revue les informations générales, les appareils ciblés et les paramètres de configuration.
- Apportez les modifications nécessaires en sélectionnant Modifier.
- Lorsque vous êtes prêt à continuer, choisissez Créer une stratégie.
Utilisation des stratégies d’appareil dans le centre d’administration Microsoft Intune
Utilisez les informations suivantes pour créer et gérer des stratégies d’appareil dans Intune, via Sécurité des points de terminaison dans le centre d’administration Microsoft Intune (https://intune.microsoft.com).
Créer des stratégies dans Intune
Dans le centre d’administration Microsoft Intune (https://intune.microsoft.com), sélectionnez Sécurité du point de terminaison et le type de stratégie que vous souhaitez configurer, puis sélectionnez Créer une stratégie.
Choisissez parmi les types de stratégie suivants :
- Antivirus
- Chiffrement de disque
- Pare-feu
- Détection et réponse du point de terminaison
- Réduction de la surface d'attaque
- Protection de compte
Spécifiez les propriétés suivantes :
- Plateforme : choisissez la plateforme pour laquelle vous créez la stratégie. Les options disponibles dépendent du type de stratégie que vous sélectionnez.
- Profil : choisissez parmi les profils disponibles pour la plateforme que vous avez sélectionnée. Pour plus d’informations sur les profils, consultez la section dédiée de cet article pour le type de stratégie choisi.
Ensuite, sélectionnez Créer.
Dans la page De base, entrez un nom et une description pour le profil, puis choisissez Suivant.
Dans la page Paramètres de configuration, développez chaque groupe de paramètres et configurez les paramètres que vous souhaitez gérer avec ce profil. Ensuite, sélectionnez Suivant.
Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil. Ensuite, sélectionnez Suivant.
Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.
Dupliquer une stratégie dans Intune
Dans le centre d’administration Microsoft Intune (https://intune.microsoft.com), sélectionnez la stratégie à copier. Ensuite, sélectionnez Dupliquer ou sélectionnez les points de suspension (...) à droite de la stratégie, puis sélectionnez Dupliquer.
Indiquez un nouveau nom pour la stratégie, puis sélectionnez Enregistrer.
Modifier une stratégie dans Intune
Dans le centre d’administration Microsoft Intune (https://intune.microsoft.com), sélectionnez une stratégie, puis sélectionnez Propriétés.
Sélectionnez Paramètres pour développer la liste des paramètres de configuration dans la stratégie. Vous ne pouvez pas modifier les paramètres à partir de cette vue, mais vous pouvez vérifier comment ils sont configurés.
Pour modifier la stratégie, sélectionnez Modifier pour chaque catégorie dans laquelle vous souhaitez apporter une modification :
- Informations de base
- Affectations
- Balises d'étendue
- les paramètres de configuration ;
Une fois que vous avez apporté des modifications, sélectionnez Enregistrer pour enregistrer vos modifications. Les modifications apportées à une catégorie doivent être enregistrées avant de pouvoir introduire des modifications à d’autres catégories.
Gérer les conflits
La plupart des paramètres d’appareil que vous pouvez gérer avec des stratégies de sécurité de point de terminaison sont également disponibles via d’autres types de stratégies dans Intune. Ces autres types de stratégie incluent les stratégies de configuration des appareils et les bases de référence de sécurité. Étant donné que les paramètres peuvent être gérés via plusieurs types de stratégies différentes ou par plusieurs instances du même type de stratégie, préparez-vous à identifier et résoudre les conflits de stratégie pour les appareils qui ne respectent pas les configurations attendues.
Les lignes de base de sécurité peuvent définir une valeur autre que la valeur par défaut pour un paramètre afin qu’il soit conforme à la configuration recommandée pour les adresses de base.
D’autres types de stratégies, y compris les stratégies de sécurité de point de terminaison, définissent la valeur Non configurée par défaut. Ces autres types de stratégie vous obligent à configurer explicitement les paramètres dans la stratégie.
Quelle que soit la méthode de stratégie, la gestion du même paramètre sur le même appareil par le biais de plusieurs types de stratégie ou de plusieurs instances du même type de stratégie peut entraîner des conflits qui doivent être évités.
Si vous rencontrez des conflits de stratégie, consultez Résolution des problèmes de stratégies et de profils dans Microsoft Intune.
Voir aussi
Gérer la sécurité des points de terminaison dans Microsoft Intune
Meilleures pratiques pour sécuriser les plans Microsoft 365 pour les PME