Étape 4 : Configurer les fonctionnalités et les paramètres des appareils pour sécuriser les appareils et accéder aux ressources

Jusqu’à présent, vous avez configuré votre abonnement Intune, créé des stratégies de protection des applications et créé des stratégies de conformité des appareils.

Dans cette étape, vous êtes prêt à configurer un ensemble minimal ou de référence de fonctionnalités de sécurité et d’appareil que tous les appareils doivent avoir.

Cet article s’applique à :

• Android
• iOS/iPadOS
• macOS
• Windows

Lorsque vous créez des profils de configuration d’appareil, différents niveaux et types de stratégies sont disponibles. Ces niveaux sont les stratégies minimales recommandées par Microsoft. Sachez que vos besoins en matière d’environnement et d’entreprise peuvent être différents.

• Niveau 1 - Configuration minimale de l’appareil : Dans ce niveau, Microsoft vous recommande de créer des stratégies qui :

  • Concentrez-vous sur la sécurité des appareils, notamment l’installation d’un antivirus, la création d’une stratégie de mot de passe fort et l’installation régulière des mises à jour logicielles.
  • Donnez aux utilisateurs l’accès à leur organization e-mail et à un accès sécurisé contrôlé à votre réseau, où qu’ils se trouvent.

• Niveau 2 - Configuration améliorée de l’appareil : Dans ce niveau, Microsoft vous recommande de créer des stratégies qui :

  • Développez la sécurité des appareils, notamment la configuration du chiffrement de disque, l’activation du démarrage sécurisé et l’ajout de règles de mot de passe supplémentaires.
  • Utilisez les fonctionnalités et modèles intégrés pour configurer d’autres paramètres importants pour votre organization, notamment l’analyse d’objets stratégie de groupe (GPO) locaux.

• Niveau 3 - Configuration élevée de l’appareil : Dans ce niveau, Microsoft vous recommande de créer des stratégies qui :

  • Passez à l’authentification sans mot de passe, notamment en utilisant des certificats, en configurant l’authentification unique (SSO) pour les applications, en activant l’authentification multifacteur (MFA) et en configurant Microsoft Tunnel.
  • Ajoutez des couches de sécurité supplémentaires en utilisant le mode Critères communs Android ou en créant des stratégies DFCI pour les appareils Windows.
  • Utilisez les fonctionnalités intégrées pour configurer des appareils kiosque, des appareils dédiés, des appareils partagés et d’autres appareils spécialisés.
  • Déployez des scripts shell existants.

Cet article répertorie les différents niveaux de stratégies de configuration d’appareil que les organisations doivent utiliser. La plupart de ces stratégies de cet article se concentrent sur l’accès aux ressources organization et la sécurité.

Ces fonctionnalités sont configurées dans les profils de configuration d’appareil du centre d’administration Microsoft Intune. Lorsque les profils Intune sont prêts, ils peuvent être attribués à vos utilisateurs et appareils.

Conseil

Découvrez Intune et le centre d’administration Microsoft Intune.

Niveau 1 - Créer votre base de référence de sécurité

Pour sécuriser vos données et appareils organization, vous créez différentes stratégies qui se concentrent sur la sécurité. Vous devez créer une liste des fonctionnalités de sécurité que tous les utilisateurs et/ou tous les appareils doivent avoir. Cette liste est votre base de référence de sécurité.

Dans votre base de référence, Microsoft recommande au minimum les stratégies de sécurité suivantes :

• Installer un antivirus (AV) et rechercher régulièrement les programmes malveillants
• Utiliser la détection et la réponse
• Activer le pare-feu
• Installer régulièrement des mises à jour logicielles
• Créer une stratégie de code confidentiel/mot de passe forte

Cette section répertorie les Intune et les services Microsoft que vous pouvez utiliser pour créer ces stratégies de sécurité.

Pour obtenir une liste plus précise des paramètres Windows et de leurs valeurs recommandées, accédez à Bases de référence de sécurité Windows.

Antivirus et analyse

✅ Installer un logiciel antivirus et rechercher régulièrement les programmes malveillants

Tous les appareils doivent avoir un logiciel antivirus installé et être régulièrement analysés pour rechercher des programmes malveillants. Intune s’intègre aux services de défense contre les menaces mobiles (MTD) partenaires tiers qui fournissent des analyses antivirus et des menaces. Pour macOS et Windows, l’antivirus et l’analyse sont intégrés pour Intune avec Microsoft Defender pour point de terminaison.

Vos options de stratégie :

Plateforme	Type de stratégie
Android Entreprise	- Partenaire de défense contre les menaces mobiles - Microsoft Defender pour point de terminaison pour Android peut rechercher des programmes malveillants
iOS/iPadOS	Partenaire de défense contre les menaces mobiles
macOS	Profil antivirus Intune Endpoint Security (Microsoft Defender pour point de terminaison)
Client Windows	- Intune bases de référence de sécurité (recommandé) - Intune profil antivirus Endpoint Security (Microsoft Defender pour point de terminaison) - Partenaire de défense contre les menaces mobiles

Pour plus d’informations sur ces fonctionnalités, accédez à :

• Android Enterprise :
  • Intégration de la défense contre les menaces mobiles
  • Microsoft Defender pour point de terminaison vue d’ensemble
• Intégration de la défense contre les menacesmobiles iOS/iPadOS
• Stratégie antivirusmacOS
• Windows :
  • Stratégie antivirus
  • Bases de référence de sécurité

Détection et réponse

✅ Détecter les attaques et agir sur ces menaces

Lorsque vous détectez rapidement des menaces, vous pouvez réduire l’impact de la menace. Lorsque vous combinez ces stratégies avec l’accès conditionnel, vous pouvez empêcher les utilisateurs et les appareils d’accéder aux ressources organization si une menace est détectée.

Vos options de stratégie :

Plateforme	Type de stratégie
Android Entreprise	- Partenaire de défense contre les menaces mobiles - Microsoft Defender pour point de terminaison sur Android
iOS/iPadOS	- Partenaire de défense contre les menaces mobiles - Microsoft Defender pour point de terminaison sur iOS/iPadOS
macOS	Non disponible
Client Windows	- Intune bases de référence de sécurité (recommandées) - Intune profil de détection et de réponse des points de terminaison (Microsoft Defender pour point de terminaison) - Partenaire de défense contre les menaces mobiles

Pour plus d’informations sur ces fonctionnalités, accédez à :

• Android Enterprise :
  • Intégration de défense contre les menaces mobiles avec Intune
  • Microsoft Defender pour point de terminaison vue d’ensemble
• iOS/iPadOS :
  • Intégration de défense contre les menaces mobiles avec Intune
  • Microsoft Defender pour point de terminaison vue d’ensemble
• Windows :
  • Bases de référence de sécurité
  • Stratégie de détection et de réponse des points de terminaison

Pare-feu

✅ Activer le pare-feu sur tous les appareils

Certaines plateformes sont fournies avec un pare-feu intégré et sur d’autres, vous devrez peut-être installer un pare-feu séparément. Intune s’intègre aux services de défense contre les menaces mobiles (MTD) partenaires tiers qui peuvent gérer un pare-feu pour les appareils Android et iOS/iPadOS. Pour macOS et Windows, la sécurité du pare-feu est intégrée à Intune avec Microsoft Defender pour point de terminaison.

Vos options de stratégie :

Plateforme	Type de stratégie
Android Entreprise	Partenaire de défense contre les menaces mobiles
iOS/iPadOS	Partenaire de défense contre les menaces mobiles
macOS	Profil de pare-feu Intune Endpoint Security (Microsoft Defender pour point de terminaison)
Client Windows	- Intune bases de référence de sécurité (recommandées) - profil de pare-feu Intune Endpoint Security (Microsoft Defender pour point de terminaison) - Partenaire de défense contre les menaces mobiles

Pour plus d’informations sur ces fonctionnalités, accédez à :

• Intégration de la défense contre les menacesmobiles Android Enterprise
• Intégration de la défense contre les menacesmobiles iOS/iPadOS
• Stratégie de pare-feumacOS
• Windows :
  • Bases de référence de sécurité
  • Stratégie de pare-feu

Stratégie de mot de passe

✅ Créer une stratégie de mot de passe/code confidentiel fort et bloquer les codes secrets simples

Les codes confidentiels déverrouillent les appareils. Sur les appareils qui accèdent aux données organization, y compris les appareils personnels, vous devez exiger des codes confidentiels/codes secrets forts et prendre en charge la biométrie pour déverrouiller les appareils. L’utilisation de la biométrie fait partie d’une approche sans mot de passe, qui est recommandée.

Intune utilise des profils de restrictions d’appareil pour créer et configurer des exigences de mot de passe.

Vos options de stratégie :

Plateforme	Type de stratégie
Android Entreprise	Intune profil de restrictions d’appareil pour gérer : - Mot de passe de l’appareil - Mot de passe du profil professionnel
Android Open-Source Project (AOSP)	Intune profil de restrictions d’appareil
iOS/iPadOS	Intune profil de restrictions d’appareil
macOS	Intune profil de restrictions d’appareil
Client Windows	- Intune bases de référence de sécurité (recommandé) - profil de restrictions d’appareil Intune

Pour obtenir la liste des paramètres que vous pouvez configurer, accédez à :

• Profil de restrictions d’appareil Android Enterprise :
  • Appareils appartenant à l’entreprise >Mot de passe de l’appareil et mot de passe du profil professionnel
  • Appareils personnels avec un mot >de passe et un mot de passe de profil professionnel
• Profil de restrictions > d’appareil Android AOSP Mot de passe de l’appareil
• Mot de passe du profil > de restrictions d’appareiliOS/iPadOS
• Mot de passe du profil > de restrictions d’appareilmacOS
• Windows :
  • Bases de référence de sécurité
  • Mot de passe du profil > de restrictions d’appareil client
  • Gérer les Windows Hello Entreprise lors de l’inscription des appareils
  • Gérer les Windows Hello Entreprise après l’inscription des appareils

Mises à jour logicielles

✅ Installer régulièrement les mises à jour logicielles

Tous les appareils doivent être mis à jour régulièrement et des stratégies doivent être créées pour s’assurer que ces mises à jour sont correctement installées. Pour la plupart des plateformes, Intune a des paramètres de stratégie qui se concentrent sur la gestion et l’installation des mises à jour.

Vos options de stratégie :

Plateforme	Type de stratégie
Appareils Android Enterprise organization détenus	Paramètres de mise à jour du système à l’aide de Intune profil de restrictions d’appareil
Appareils Android Enterprise appartenant à l’utilisateur	Non disponible Peut utiliser des stratégies de conformité pour définir un niveau de correctif minimal, une version minimale/maximale du système d’exploitation, etc.
iOS/iPadOS	Intune stratégie de mise à jour
macOS	Intune stratégie de mise à jour
Client Windows	- Intune stratégie de mise à jour des fonctionnalités - Intune stratégie de mises à jour accélérées

Pour plus d’informations sur ces fonctionnalités et/ou les paramètres que vous pouvez configurer, accédez à :

• Profil de restrictions > d’appareil Android Entreprise Mise à jour du système
• Stratégies de mise à jour logicielleiOS/iPadOS
• Stratégies de mise à jour logiciellemacOS
• Windows :
  • Stratégie de mise à jour des fonctionnalités
  • Stratégie de mise à jour accélérée

Niveau 1 : accéder à organization e-mail, se connecter à un VPN ou Wi-Fi

Cette section se concentre sur l’accès aux ressources de votre organization. Ces ressources sont les suivantes :

• Email pour les comptes professionnels ou scolaires
• Connexion VPN pour la connectivité à distance
• Wi-Fi connexion pour la connectivité locale

E-mail

De nombreuses organisations déploient des profils de messagerie avec des paramètres préconfigurés sur les appareils des utilisateurs.

✅ Se connecter automatiquement aux comptes de messagerie des utilisateurs

Le profil inclut les paramètres de configuration de messagerie qui se connectent à votre serveur de messagerie.

Selon les paramètres que vous configurez, le profil de messagerie peut également connecter automatiquement les utilisateurs aux paramètres de leur compte de messagerie individuel.

✅ Utiliser des applications de messagerie au niveau de l’entreprise

Email profils dans Intune utilisent des applications de messagerie courantes et populaires, comme Outlook. L’application de messagerie est déployée sur les appareils des utilisateurs. Une fois l’application déployée, vous déployez le profil de configuration de l’appareil de messagerie avec les paramètres qui configurent l’application de messagerie.

Le profil de configuration de l’appareil de messagerie inclut des paramètres qui se connectent à votre instance Exchange.

✅ Accéder aux e-mails professionnels ou scolaires

La création d’un profil de messagerie est une stratégie de base minimale courante pour les organisations dont les utilisateurs utilisent la messagerie électronique sur leurs appareils.

Intune dispose de paramètres de messagerie intégrés pour les appareils clients Android, iOS/iPadOS et Windows. Lorsque les utilisateurs ouvrent leur application de messagerie, ils peuvent se connecter, s’authentifier et synchroniser automatiquement leurs comptes de messagerie professionnels sur leurs appareils.

✅ Déployer à tout moment

Sur les nouveaux appareils, nous vous recommandons de déployer l’application de messagerie pendant le processus d’inscription. Une fois l’inscription terminée, déployez la stratégie de configuration de l’appareil de messagerie.

Si vous avez des appareils existants, déployez l’application de messagerie à tout moment et déployez la stratégie de configuration de l’appareil de messagerie.

Bien démarrer avec les profils de messagerie

Pour commencer :

1. Déployez une application de messagerie sur vos appareils. Pour obtenir des conseils, accédez à Ajouter des paramètres de messagerie aux appareils à l’aide de Intune.

2. Créez un profil de configuration d’appareil de messagerie dans Intune. Selon l’application de messagerie que votre organization utilise, le profil de configuration de l’appareil de messagerie n’est peut-être pas nécessaire.

   Pour obtenir des conseils, accédez à Ajouter des paramètres de messagerie aux appareils à l’aide de Intune.

3. Dans le profil de configuration de l’appareil de messagerie, configurez les paramètres de votre plateforme :

   • Appareils Android Entreprise appartenant à l’utilisateur avec des paramètres d’e-mail de profil professionnel

     Les appareils Android Enterprise appartenant à organization n’utilisent pas de profils de configuration d’appareil de messagerie.

   • Paramètres de messagerie iOS/iPadOS

   • Paramètres de messagerie Windows

4. Affectez le profil de configuration de l’appareil de messagerie à vos utilisateurs ou groupes d’utilisateurs.

VPN

De nombreuses organisations déploient des profils VPN avec des paramètres préconfigurés sur les appareils des utilisateurs. Le VPN connecte vos appareils à votre réseau organization interne.

Si votre organization utilise des services cloud avec une authentification moderne et des identités sécurisées, vous n’avez probablement pas besoin d’un profil VPN. Les services natifs cloud ne nécessitent pas de connexion VPN.

Si vos applications ou services ne sont pas basés sur le cloud ou ne sont pas natifs cloud, déployez un profil VPN pour vous connecter à votre réseau organization interne.

✅ Travailler en tout lieu

La création d’un profil VPN est une stratégie de base minimale courante pour les organisations disposant de workers à distance et de workers hybrides.

Lorsque les utilisateurs travaillent n’importe où, ils peuvent utiliser le profil VPN pour se connecter en toute sécurité au réseau de votre organization pour accéder aux ressources.

Intune dispose de paramètres VPN intégrés pour les appareils clients Android, iOS/iPadOS, macOS et Windows. Sur les appareils utilisateur, votre connexion VPN s’affiche en tant que connexion disponible. Les utilisateurs le sélectionnent. En outre, en fonction des paramètres de votre profil VPN, les utilisateurs peuvent s’authentifier et se connecter automatiquement au VPN sur leurs appareils.

✅ Utiliser des applications VPN au niveau de l’entreprise

Les profils VPN dans Intune utilisent des applications VPN d’entreprise courantes, comme Check Point, Cisco, Microsoft Tunnel, etc. L’application VPN est déployée sur les appareils des utilisateurs. Une fois l’application déployée, vous déployez le profil de connexion VPN avec les paramètres qui configurent l’application VPN.

Le profil de configuration du périphérique VPN inclut des paramètres qui se connectent à votre serveur VPN.

✅ Déployer à tout moment

Sur les nouveaux appareils, nous vous recommandons de déployer l’application VPN pendant le processus d’inscription. Une fois l’inscription terminée, déployez la stratégie de configuration du périphérique VPN.

Si vous avez des appareils existants, déployez l’application VPN à tout moment, puis déployez la stratégie de configuration de périphérique VPN.

Bien démarrer avec les profils VPN

Pour commencer :

1. Déployez une application VPN sur vos appareils.

   • Pour obtenir la liste des applications VPN prises en charge, accédez à Applications de connexion VPN prises en charge dans Intune.
   • Pour connaître les étapes permettant d’ajouter des applications à Intune, accédez à Ajouter des applications à Microsoft Intune.

2. Créez un profil de configuration VPN dans Intune.

3. Dans le profil de configuration de périphérique VPN, configurez les paramètres de votre plateforme :

   • Paramètres VPN Android Entreprise
   • Paramètres VPN iOS/iPadOS
   • Paramètres vpn macOS
   • Paramètres VPN Windows

4. Attribuez le profil de configuration de périphérique VPN à vos utilisateurs ou groupes d’utilisateurs.

Wi-Fi

De nombreuses organisations déploient des profils Wi-Fi avec des paramètres préconfigurés sur les appareils des utilisateurs. Si votre organization a un personnel à distance uniquement, vous n’avez pas besoin de déployer Wi-Fi profils de connexion. Wi-Fi profils sont facultatifs et sont utilisés pour la connectivité locale.

✅ Se connecter sans fil

Lorsque les utilisateurs travaillent à partir de différents appareils mobiles, ils peuvent utiliser le profil Wi-Fi pour se connecter sans fil et en toute sécurité au réseau de votre organization.

Le profil inclut les paramètres de configuration Wi-Fi qui se connectent automatiquement à votre réseau et/ou À votre SSID (identificateur de jeu de services). Les utilisateurs n’ont pas besoin de configurer manuellement leurs paramètres de Wi-Fi.

✅ Prise en charge des appareils mobiles locaux

La création d’un profil Wi-Fi est une stratégie de base minimale courante pour les organisations disposant d’appareils mobiles qui fonctionnent localement.

Intune dispose de paramètres de Wi-Fi intégrés pour les appareils clients Android, iOS/iPadOS, macOS et Windows. Sur les appareils utilisateur, votre connexion Wi-Fi est affichée en tant que connexion disponible. Les utilisateurs le sélectionnent. Et, en fonction des paramètres de votre profil Wi-Fi, les utilisateurs peuvent s’authentifier et se connecter automatiquement au Wi-Fi sur leurs appareils.

✅ Déployer à tout moment

Sur les nouveaux appareils, nous vous recommandons de déployer la stratégie de configuration d’appareil Wi-Fi lorsque les appareils s’inscrivent dans Intune.

Si vous avez des appareils existants, vous pouvez déployer la stratégie de configuration d’appareil Wi-Fi à tout moment.

Bien démarrer avec les profils Wi-Fi

Pour commencer :

1. Créez un profil de configuration d’appareil Wi-Fi dans Intune.

2. Configurez les paramètres de votre plateforme :

   • Paramètres de Wi-Fi Android Enterprise
   • Paramètres de Wi-Fi iOS/iPadOS
   • Paramètres de Wi-Fi macOS
   • Paramètres de Wi-Fi Windows

3. Affectez le profil de configuration d’appareil Wi-Fi à vos utilisateurs ou groupes d’utilisateurs.

Niveau 2 - Protection et configuration améliorées

Ce niveau développe ce que vous avez configuré au niveau 1 et ajoute plus de sécurité pour vos appareils. Dans cette section, vous allez créer un ensemble de stratégies de niveau 2 qui configurent d’autres paramètres de sécurité pour vos appareils.

Microsoft recommande les stratégies de sécurité de niveau 2 suivantes :

• Activez le chiffrement de disque, le démarrage sécurisé et le module de plateforme sécurisée sur vos appareils. Ces fonctionnalités combinées à une stratégie de code confidentiel forte ou à un déverrouillage biométrique sont recommandées à ce niveau.

  Android

  Sur les appareils Android, le chiffrement de disque et Samsung Knox peuvent être intégrés au système d’exploitation. Le chiffrement de disque peut être activé automatiquement lorsque vous configurez les paramètres de l’écran de verrouillage. Dans Intune, vous pouvez créer une stratégie de restrictions d’appareil qui configure les paramètres de l’écran de verrouillage.

  Pour obtenir la liste des paramètres de mot de passe et d’écran de verrouillage que vous pouvez configurer, consultez les articles suivants :

  • Appareils appartenant à l’organisation - Mot de passe de l’appareil
  • Appareils appartenant à l’organisation - Mot de passe du profil professionnel
  • Appareils personnels - Mot de passe du profil professionnel
  • Appareils personnels - Mot de passe de l’appareil

  iOS/iPadOS

  Sur les appareils iOS/iPadOS, le chiffrement de disque et l’enclave sécurisée sont intégrés au système d’exploitation et activés automatiquement. Il n’existe aucun paramètre Intune pour configurer ces fonctionnalités spécifiques.

  Pour plus d’informations, consultez Présentation de la sécurité de la plateforme Apple et enclave sécurisée (ouvre le site web d’Apple).

  Il existe Intune paramètres de stratégie qui se concentrent sur les paramètres de mot de passe et le chiffrement des sauvegardes.

  MacOS

  Sur les appareils macOS, vous pouvez configurer et utiliser des stratégies FileVault dans Intune pour le chiffrement de disque.

  L’enclave sécurisée est intégrée au système d’exploitation et activée automatiquement. Pour plus d’informations, consultez Présentation de la sécurité de la plateforme Apple et enclave sécurisée (ouvre le site web d’Apple).

  Fenêtres

  Sur les appareils Windows, il existe Intune stratégies de protection des points de terminaison qui gèrent BitLocker, y compris le module TPM et les paramètres Windows, y compris le démarrage sécurisé.

---

• Faire expirer les mots de passe et réglementer la réutilisation des anciens mots de passe. Au niveau 1, vous avez créé une stratégie de code confidentiel ou de mot de passe forte. Si ce n’est déjà fait, veillez à configurer vos codes confidentiels & mots de passe pour qu’ils expirent et à définir des règles de réutilisation des mots de passe.

  Vous pouvez utiliser Intune pour créer une stratégie de restrictions d’appareil ou une stratégie de catalogue de paramètres qui configure ces paramètres. Pour plus d’informations sur les paramètres de mot de passe que vous pouvez configurer, consultez les articles suivants :

  Android

  Sur les appareils Android, vous pouvez utiliser des stratégies de restrictions d’appareil pour définir des règles de mot de passe :

  • Appareils appartenant à l’organisation - Paramètres du mot de passe de l’appareil
  • Appareils appartenant à l’organisation - Paramètres de mot de passe du profil professionnel
  • Appareils personnels - Paramètres de mot de passe de profil professionnel
  • Appareils personnels - Paramètres de mot de passe de l’appareil

  iOS/iPadOS

  Sur les appareils iOS/iPadOS, vous pouvez utiliser des stratégies de restrictions d’appareil et/ou le catalogue de paramètres pour définir des règles de mot de passe :

  • Stratégie de restrictions d’appareil > Paramètres de mot de passe
  • Catalogue> de paramètres Chercher Passcode

  MacOS

  Sur les appareils macOS, vous pouvez utiliser des stratégies de restrictions d’appareil et/ou le catalogue de paramètres pour définir des règles de mot de passe :

  • Stratégie de restrictions d’appareil > Paramètres de mot de passe
  • Catalogue> de paramètres Chercher Passcode

  Fenêtres

  Sur les appareils Windows, vous pouvez utiliser des stratégies de restrictions d’appareil et/ou le catalogue de paramètres pour définir des règles de mot de passe :

  • Stratégie de restrictions d’appareil > Paramètres de mot de passe
  • Catalogue> de paramètres Chercher Device lock

---

• Intune comprend des centaines de paramètres qui peuvent gérer les fonctionnalités et les paramètres des appareils, comme la désactivation de la caméra intégrée, le contrôle des notifications, l’autorisation du bluetooth, le blocage des jeux, etc.

  Vous pouvez utiliser les modèles intégrés ou le catalogue de paramètres pour afficher et configurer les paramètres.

  • Les modèles de restrictions d’appareil ont de nombreux paramètres intégrés qui peuvent contrôler différentes parties des appareils, notamment la sécurité, le matériel, le partage de données, etc.

    Vous pouvez utiliser ces modèles sur les plateformes suivantes :

    • Android
    • iOS/iPadOS
    • macOS
    • Windows

  • Utilisez le catalogue Paramètres pour afficher et configurer tous les paramètres disponibles. Vous pouvez utiliser le catalogue de paramètres sur les plateformes suivantes :

    • iOS/iPadOS
    • macOS
    • Windows

  • Utilisez les modèles d’administration intégrés, comme pour la configuration locale des modèles ADMX. Vous pouvez utiliser les modèles ADMX sur la plateforme suivante :

    • Windows

• Si vous utilisez des objets de stratégie de groupe locaux et que vous souhaitez savoir si ces mêmes paramètres sont disponibles dans Intune, utilisez stratégie de groupe analytics. Cette fonctionnalité analyse vos objets de stratégie de groupe et, en fonction de l’analyse, peut les importer dans une stratégie de catalogue de paramètres Intune.

  Pour plus d’informations, accédez à Analyser vos objets de stratégie de groupe locaux et importez-les dans Intune.

Niveau 3 - Haute protection et configuration

Ce niveau s’étend sur ce que vous avez configuré dans les niveaux 1 et 2. Il ajoute des fonctionnalités de sécurité supplémentaires utilisées dans les organisations au niveau de l’entreprise.

• Développez l’authentification sans mot de passe à d’autres services utilisés par votre personnel. Au niveau 1, vous avez activé la biométrie afin que les utilisateurs puissent se connecter à leurs appareils avec une empreinte digitale ou une reconnaissance faciale. Dans ce niveau, développez le mot de passe sans pour d’autres parties du organization.

  • Utilisez des certificats pour authentifier les connexions e-mail, VPN et Wi-Fi. Les certificats sont déployés sur les utilisateurs et les appareils, puis sont utilisés par les utilisateurs pour accéder aux ressources de votre organization par le biais de la messagerie, du VPN et des connexions Wi-Fi.

    Pour en savoir plus sur l’utilisation des certificats dans Intune, accédez à :

    • Utiliser des certificats PKCS ou SCEP pour l’authentification
    • Utiliser des informations d’identification dérivées

  • Configurez l’authentification unique (SSO) pour une expérience plus transparente lorsque les utilisateurs ouvrent des applications professionnelles, comme les applications Microsoft 365. Les utilisateurs se connectent une seule fois, puis sont automatiquement connectés à toutes les applications qui prennent en charge votre configuration de l’authentification unique.

    Pour en savoir plus sur l’utilisation de l’authentification unique dans Intune et Microsoft Entra ID, accédez à :

    • Android : Activer l’authentification unique inter-applications sur Android à l’aide de MSAL dans Microsoft Entra ID
    • iOS/iPadOS, macOS : utiliser le plug-in Enterprise SSO dans Intune et d’autres mdMs
    • Windows : Configurer l’authentification unique avec Microsoft Entra ID

  • Utilisez l’authentification multifacteur (MFA). Lorsque vous passez à l’authentification multifacteur sans mot de passe, l’authentification multifacteur ajoute une couche de sécurité supplémentaire et peut vous aider à protéger votre organization contre les attaques par hameçonnage. Vous pouvez utiliser l’authentification multifacteur avec des applications d’authentification, comme Microsoft Authenticator, ou avec un appel téléphonique ou un SMS. Vous pouvez également utiliser l’authentification multifacteur lorsque les utilisateurs inscrivent leurs appareils dans Intune.

    L’authentification multifacteur est une fonctionnalité de Microsoft Entra ID et peut être utilisée avec Microsoft Entra comptes. Pour plus d’informations, voir :

    • Protection Microsoft Entra ID vue d’ensemble
    • Authentification multifacteur Microsoft Entra
    • Exiger l’authentification multifacteur pour les inscriptions d’appareils Intune

  • Configurez Microsoft Tunnel pour vos appareils Android et iOS/iPadOS. Microsoft Tunnel utilise Linux pour autoriser ces appareils à accéder aux ressources locales à l’aide de l’authentification moderne et de l’accès conditionnel.

    Microsoft Tunnel utilise Intune, Microsoft Entra ID et Services ADFS (AD FS). Pour plus d’informations, consultez Microsoft Tunnel pour Microsoft Intune.

  • En plus de Microsoft Tunnel pour les appareils inscrits avec Intune, vous pouvez utiliser Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) pour étendre les fonctionnalités de tunnel aux appareils Android et iOS/iPad qui ne sont pas inscrits avec Intune. Tunnel pour GAM est disponible en tant que module complémentaire Intune qui nécessite une licence supplémentaire.

    Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

• Utilisez la stratégie LaPS (Local Administrator Password Solution) Windows pour gérer et sauvegarder le compte d’administrateur local intégré sur vos appareils Windows. Étant donné que le compte d’administrateur local ne peut pas être supprimé et dispose d’autorisations complètes sur l’appareil, la gestion du compte d’administrateur Windows intégré est une étape importante de la sécurisation de votre organization. Intune stratégie pour Windows LAPS utilise les fonctionnalités disponibles pour les appareils Windows qui exécutent la version 21h2 ou ultérieure.

  Pour plus d’informations, consultez Intune prise en charge de Windows LAPS.

• Utilisez Gestion des privilèges de points de terminaison Microsoft Intune (EPM) pour réduire la surface d’attaque de vos appareils Windows. EPM vous permet d’avoir des utilisateurs qui s’exécutent en tant qu’utilisateurs standard (sans droits d’administrateur) tout en restant productifs en déterminant quand ces utilisateurs peuvent exécuter des applications dans un contexte élevé.

  Les règles d’élévation EPM peuvent être basées sur des hachages de fichiers, des règles de certificat, etc. Les règles que vous configurez permettent de s’assurer que seules les applications attendues et approuvées que vous autorisez peuvent s’exécuter avec des privilèges élevés. Les règles peuvent :

  • Gérer les processus enfants créés par une application.
  • Demandes de support par les utilisateurs pour élever un processus managé.
  • Autorisez les élévations automatiques de fichiers qui doivent simplement s’exécuter sans interruption de l’utilisateur.

  Endpoint Privilege Management est disponible en tant que module complémentaire Intune qui nécessite une licence supplémentaire. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

• Utilisez le mode Critères communs Android sur les appareils Android utilisés par des organisations hautement sensibles, comme les établissements gouvernementaux.

  Pour plus d’informations sur cette fonctionnalité, accédez au mode Critères communs Android.

• Créez des stratégies qui s’appliquent à la couche de microprogramme Windows. Ces stratégies peuvent aider à empêcher les programmes malveillants de communiquer avec les processus du système d’exploitation Windows.

  Pour plus d’informations sur cette fonctionnalité, consultez Utiliser les profils DFCI (Device Firmware Configuration Interface) sur les appareils Windows.

• Configurez des kiosques, des appareils partagés et d’autres appareils spécialisés :

  Android

  • Android Enterprise :

    • Utiliser et gérer des appareils Android Enterprise avec OEMConfig
    • Appareils dédiés qui s’exécutent en tant que paramètres d’appareil kiosque

  • Administrateur d’appareils Android

    • Utiliser et gérer des appareils Zebra avec les extensions Zebra Mobility

    • Paramètres de l’appareil à exécuter en tant que kiosque

      Importante

      La gestion des administrateurs d’appareils Android est déconseillée et n’est plus disponible pour les appareils ayant accès à Google Mobile Services (GMS). Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android. La documentation de support et d’aide reste disponible pour certains appareils sans GMS exécutant Android 15 et versions antérieures. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

  iOS/iPadOS

  • iOS/iPadOS
    • Paramètres de l’appareil à exécuter en mode d’application unique autonome (ASAM)
    • Paramètres de l’appareil à exécuter en tant que kiosque

  Fenêtres

  • Fenêtres

    • Paramètres de l’appareil à exécuter en tant que kiosque dédié
    • Paramètres de l’appareil à exécuter en tant que kiosque
    • PC partagé ou appareils multi-utilisateurs

  • Windows Holographic for Business

    • Paramètres de l’appareil à exécuter en tant que kiosque
    • Paramètres de l’appareil à exécuter en tant que kiosque dédié

---

• Déployer des scripts shell :

  • macOS : Utiliser des scripts d’interpréteur de commandes
  • Windows : Utiliser des scripts Windows PowerShell

Suivre les stratégies de base minimales recommandées

1. Configurer Microsoft Intune
2. Ajouter, configurer et protéger des applications
3. Planifier les stratégies de conformité
4. 🡺 Configurer les fonctionnalités de l’appareil (Vous êtes ici)
5. Inscrire des appareils