Partager via


Paramètres de la stratégie antivirus Microsoft Defender dans Microsoft Intune pour les appareils Windows

Affichez des détails sur les paramètres de stratégie antivirus de sécurité des points de terminaison que vous pouvez configurer pour le profil antivirus Microsoft Defender pour Windows 10 et versions ultérieures dans Microsoft Intune.

Remarque

Cet article détaille les paramètres que vous pouvez trouver dans Microsoft Defender profils Antivirus et Microsoft Defender Exclusions d’antivirus créés avant le 5 avril 2022 pour la stratégie antivirus Windows 10 et ultérieure pour la sécurité des points de terminaison. Le 5 avril 2022, la plateforme Windows 10 et ultérieure a été remplacée par la plateforme Windows 10, Windows 11 et Windows Server. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le centre d’administration Microsoft Intune sont directement extraits du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

Les détails des paramètres suivants pour les profils Windows s’appliquent à ces profils déconseillés.

Protection cloud

  • Activer la protection par le cloud
    CSP : AllowCloudProtection

    Par défaut, Defender sur les appareils de bureau Windows 10/11 envoie à Microsoft des informations sur les problèmes qu’il détecte. Microsoft analyse ces informations pour en savoir plus sur les problèmes affectant vous et d’autres clients, afin d’offrir des solutions améliorées.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : la protection fournie par le cloud est activée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Niveau de protection fourni par le cloud
    CSP : CloudBlockLevel

    Configurez l’agressivité Defender Antivirus dans le blocage et l’analyse des fichiers suspects.

    • Non configuré (par défaut) : niveau de blocage Defender par défaut.
    • Élevé : bloquez de manière agressive les inconnus tout en optimisant les performances du client, ce qui inclut une plus grande probabilité de faux positifs.
    • Plus élevé : bloquez de manière agressive les inconnus et appliquez des mesures de protection supplémentaires susceptibles d’affecter les performances du client.
    • Tolérance zéro : bloquer tous les fichiers exécutables inconnus.
  • Délai d’expiration étendu du cloud Defender en secondes
    CSP : CloudExtendedTimeout

    Defender Antivirus bloque automatiquement les fichiers suspects pendant 10 secondes pendant qu’il les analyse dans le cloud pour s’assurer qu’ils sont sécurisés. Vous pouvez ajouter jusqu’à 50 secondes supplémentaires à ce délai d’expiration.

Exclusions de l’antivirus Microsoft Defender

Avertissement

La définition d’exclusions réduit la protection offerte par Microsoft Defender Antivirus. Évaluez toujours les risques associés à l’implémentation des exclusions. Excluez uniquement les fichiers que vous savez ne sont pas malveillants.

Pour plus d’informations, consultez Vue d’ensemble des exclusions dans la documentation Microsoft Defender.

Les paramètres suivants sont disponibles dans le profil antivirus Microsoft Defender :

  • Fusion de l’administrateur local Defender
    CSP : Configuration/DisableLocalAdminMerge

    Ce paramètre contrôle si les paramètres de liste d’exclusion configurés par un administrateur local fusionnent avec les paramètres managés de Intune stratégie. Ce paramètre s’applique aux listes telles que les menaces et les exclusions.

    • Non configuré(valeur par défaut) : les éléments uniques définis dans les paramètres de préférence configurés par un administrateur local fusionnent dans la stratégie effective résultante. En cas de conflit, les paramètres de gestion de Intune stratégie remplacent les paramètres de préférence locale.
    • Non : le comportement est le même que non configuré.
    • Oui : seuls les éléments définis par la gestion sont utilisés dans la stratégie effective résultante. Les paramètres managés remplacent les paramètres de préférence configurés par l’administrateur local.

Les paramètres suivants sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender
  • Exclusions de l’antivirus Microsoft Defender

Pour chaque paramètre de ce groupe, vous pouvez développer le paramètre, sélectionner Ajouter, puis spécifier une valeur pour l’exclusion.

  • Processus Defender à exclure
    CSP : ExcludedProcesses

    Spécifiez une liste de fichiers ouverts par les processus à ignorer pendant une analyse. Le processus lui-même n’est pas exclu de l’analyse.

  • Extensions de fichier à exclure des analyses et protection en temps réel
    CSP : ExcludedExtensions

    Spécifiez une liste d’extensions de type de fichier à ignorer lors d’une analyse.

  • Fichiers et dossiers Defender à exclure
    CSP : ExcludedPaths

    Spécifiez une liste de fichiers et de chemins d’accès de répertoire à ignorer pendant une analyse.

Protection en temps réel

Ces paramètres sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender

Paramètres :

  • Activer la protection en temps réel
    CSP : AllowRealtimeMonitoring

    Exiger defender sur les appareils de bureau Windows 10/11 pour utiliser la fonctionnalité de surveillance en temps réel.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : appliquez l’utilisation de la surveillance en temps réel. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Activer la protection de l’accès
    CSP : AllowOnAccessProtection Configurez une protection antivirus active en continu, par opposition à la demande.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : bloquer la protection d’accès sur les appareils. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : La protection d’accès est active sur les appareils.
  • Surveillance des fichiers entrants et sortants
    CSP : Defender/RealTimeScanDirection

    Configurez ce paramètre pour déterminer le fichier NTFS et l’activité du programme surveillés.

    • Surveiller tous les fichiers (par défaut)
    • Surveiller uniquement les fichiers entrants
    • Surveiller uniquement les fichiers sortants
  • Activer la surveillance du comportement
    CSP : AllowBehaviorMonitoring

    Par défaut, Defender sur les appareils de bureau Windows 10/11 utilise la fonctionnalité d’analyse du comportement.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : appliquez l’utilisation de la surveillance du comportement en temps réel. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Activer la protection du réseau
    CSP : EnableNetworkProtection

    Protégez les utilisateurs d’appareils utilisant n’importe quelle application contre les escroqueries par hameçonnage, les sites d’hébergement d’exploitation et le contenu malveillant sur Internet. La protection inclut l’empêchement des navigateurs tiers de se connecter à des sites dangereux.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : la protection réseau est activée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Analyser tous les fichiers et pièces jointes téléchargés
    CSP : AllowIOAVProtection

    Configurez Defender pour analyser tous les fichiers et pièces jointes téléchargés.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : Defender analyse tous les fichiers et pièces jointes téléchargés. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Analyser les scripts utilisés dans les navigateurs Microsoft
    CSP : AllowScriptScanning

    Configurez Defender pour analyser les scripts.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : Defender analyse les scripts. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Analyser les fichiers réseau
    CSP : AllowScanningNetworkFiles

    Configurez Defender pour analyser les fichiers réseau.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : activez l’analyse des fichiers réseau. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Analyser les e-mails
    CSP : AllowEmailScanning

    Configurez Defender pour analyser les e-mails entrants.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : activez l’analyse des e-mails. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.

Remédiation

Ces paramètres sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender

Paramètres :

  • Nombre de jours (0-90) pour conserver les programmes malveillants mis en quarantaine
    CSP : DaysToRetainCleanedMalware

    Spécifiez le nombre de jours entre zéro et 90 pendant lesquels le système stocke les éléments mis en quarantaine avant qu’ils ne soient automatiquement supprimés. La valeur zéro maintient les éléments en quarantaine et ne les supprime pas automatiquement.

  • Envoyer le consentement des exemples

    • Non configuré (par défaut)
    • Envoyer automatiquement des exemples sécurisés
    • Toujours l’invite
    • Ne jamais envoyer
    • Envoyer automatiquement tous les exemples
  • Action à entreprendre sur les applications potentiellement indésirables
    CSP : PUAProtection

    Spécifiez le niveau de détection des applications potentiellement indésirables (PUA). Defender avertit les utilisateurs en cas de téléchargement de logiciels potentiellement indésirables ou de tentatives d’installation sur un appareil.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, qui est PROTECTION PUA DÉSACTIVÉE.
    • Disable
    • Activer : les éléments détectés sont bloqués et s’affichent dans l’historique avec d’autres menaces.
    • Mode Audit : Defender détecte les applications potentiellement indésirables, mais n’effectue aucune action. Vous pouvez consulter des informations sur les applications contre lesquelles Defender aurait pris des mesures en recherchant les événements créés par Defender dans le observateur d'événements.
  • Actions pour les menaces détectées
    CSP : ThreatSeverityDefaultAction

    Spécifiez l’action que Defender effectue pour les programmes malveillants détectés en fonction du niveau de menace du programme malveillant.

    Defender classe les programmes malveillants qu’il détecte comme l’un des niveaux de gravité suivants :

    • Gravité faible
    • Gravité modérée
    • Gravité élevée
    • Gravité grave

    Pour chaque niveau, spécifiez l’action à effectuer. La valeur par défaut pour chaque niveau de gravité est Non configuré.

    • Non configuré
    • Nettoyer : le service tente de récupérer des fichiers et d’essayer de désinfecter.
    • Quarantaine : déplace les fichiers en quarantaine.
    • Supprimer : supprime les fichiers de l’appareil.
    • Autoriser : autorise le fichier et n’effectue pas d’autres actions.
    • Défini par l’utilisateur : l’utilisateur de l’appareil prend la décision sur l’action à entreprendre.
    • Bloquer : bloque l’exécution du fichier.

Analyser

Ces paramètres sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender

Paramètres :

  • Analyser les fichiers d’archive
    CSP : AllowArchiveScanning

    Configurez Defender pour analyser les fichiers d’archive, tels que les fichiers ZIP ou CAB.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du client, qui consiste à analyser les fichiers archivés, mais l’utilisateur peut désactiver le paramètre. En savoir plus
    • Non : les archives de fichiers ne sont pas analysées. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : activez l’analyse des fichiers d’archive. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Utiliser une faible priorité du processeur pour les analyses planifiées
    CSP : EnableLowCPUPriority

    Configurez la priorité du processeur pour les analyses planifiées.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du système, dans laquelle aucune modification de la priorité du processeur n’est apportée.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : une faible priorité du processeur sera utilisée pendant les analyses planifiées. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Désactiver l’analyse complète de rattrapage
    CSP : DisableCatchupFullScan

    Configurez des analyses de rattrapage pour les analyses complètes planifiées. Une analyse de rattrapage est une analyse qui est exécutée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

    • Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à désactiver les analyses de rattrapage pour les analyses complètes.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : les analyses de rattrapage pour les analyses complètes planifiées sont appliquées et l’utilisateur ne peut pas les désactiver. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Désactiver l’analyse rapide de rattrapage
    CSP : DisableCatchupQuickScan

    Configurez des analyses de rattrapage pour les analyses rapides planifiées. Une analyse de rattrapage est une analyse qui est exécutée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

    • Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à désactiver les analyses de rattrapage pour les analyses complètes.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
    • Oui : les analyses de rattrapage des analyses rapides planifiées sont appliquées et l’utilisateur ne peut pas les désactiver. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Limite d’utilisation du processeur par analyse
    CSP : AvgCPULoadFactor

    Spécifiez sous la forme d’un pourcentage compris entre zéro et 100, le facteur de charge processeur moyen pour l’analyse Defender.

  • Analyser les lecteurs réseau mappés pendant l’analyse complète
    CSP : AllowFullScanOnMappedNetworkDrives

    Configurez Defender pour analyser les lecteurs réseau mappés.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, ce qui désactive l’analyse sur les lecteurs réseau mappés.
    • Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier le paramètre.
    • Oui : activez les analyses des lecteurs réseau mappés. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
  • Exécutez l’analyse rapide quotidienne sur
    CSP : ScheduleQuickScanTime

    Sélectionnez l’heure d’exécution des analyses rapides Defender. Ce paramètre s’applique uniquement lorsqu’un appareil exécute une analyse rapide et n’interagit pas avec les trois paramètres suivants :

    • Type d’analyse
    • Jour de la semaine pour exécuter une analyse planifiée
    • Heure de la journée pour exécuter une analyse planifiée

    Par défaut, l’option Exécuter l’analyse rapide quotidienne sur est définie sur Non configuré.

  • Type d’analyse
    CSP : ScanParameter

    Sélectionnez le type d’analyse exécuté par Defender. Ce paramètre interagit avec les paramètres Jour de la semaine pour exécuter une analyse planifiée et Heure de la journée pour exécuter une analyse planifiée.

    • Non configuré (par défaut)
    • Analyse rapide
    • Analyse complète
  • Jour de la semaine pour exécuter une analyse planifiée

    • Non configuré (par défaut)
  • Heure de la journée pour exécuter une analyse planifiée

    • Non configuré (par défaut)
  • Rechercher les mises à jour de signature avant d’exécuter l’analyse

    • Non configuré (par défaut)
    • Non
    • Oui

Updates

Ces paramètres sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender

Paramètres :

  • Entrez la fréquence (0-24 heures) à laquelle case activée pour les mises à jour du renseignement de sécurité
    CSP : SignatureUpdateInterval

    Spécifiez l’intervalle de zéro à 24 (en heures) utilisé pour case activée pour les signatures. La valeur zéro n’entraîne aucune case activée pour les nouvelles signatures. La valeur 2 case activée toutes les deux heures, etc.

  • Définir des partages de fichiers pour le téléchargement des mises à jour de définition
    CSP : SignatureUpdateFallbackOrder

    Gérez les emplacements, comme un partage de fichiers UNC, en tant qu’emplacement source de téléchargement pour obtenir des mises à jour de définition. Une fois les mises à jour de définition téléchargées à partir d’une source spécifiée, les sources restantes de la liste ne sont pas contactées.

    Vous pouvez ajouter des emplacements individuels ou importer une liste d’emplacements en tant que fichier .csv.

  • Définir l’ordre des sources pour le téléchargement des mises à jour de définition
    CSP : SignatureUpdateFileSharesSources

    Spécifiez dans quel ordre contacter les emplacements sources que vous avez spécifiés pour obtenir les mises à jour de définition. Une fois que les mises à jour de définition ont été téléchargées à partir d’une source spécifiée, les sources restantes de la liste ne sont pas contactées.

Expérience utilisateur

Ces paramètres sont disponibles dans les profils suivants :

  • Antivirus Microsoft Defender

Paramètres :

  • Autoriser l’accès utilisateur à Microsoft Defender’application
    CSP : AllowUserUIAccess

  • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du client dans lequel l’interface utilisateur et les notifications sont autorisées.

  • Non : l’interface utilisateur de Defender est inaccessible et les notifications sont supprimées.

  • Oui