Paramètres de la stratégie antivirus Microsoft Defender dans Microsoft Intune pour les appareils Windows
Affichez des détails sur les paramètres de stratégie antivirus de sécurité des points de terminaison que vous pouvez configurer pour le profil antivirus Microsoft Defender pour Windows 10 et versions ultérieures dans Microsoft Intune.
Remarque
Cet article détaille les paramètres que vous pouvez trouver dans Microsoft Defender profils Antivirus et Microsoft Defender Exclusions d’antivirus créés avant le 5 avril 2022 pour la stratégie antivirus Windows 10 et ultérieure pour la sécurité des points de terminaison. Le 5 avril 2022, la plateforme Windows 10 et ultérieure a été remplacée par la plateforme Windows 10, Windows 11 et Windows Server. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.
Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le centre d’administration Microsoft Intune sont directement extraits du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.
Les détails des paramètres suivants pour les profils Windows s’appliquent à ces profils déconseillés.
Protection cloud
Activer la protection par le cloud
CSP : AllowCloudProtectionPar défaut, Defender sur les appareils de bureau Windows 10/11 envoie à Microsoft des informations sur les problèmes qu’il détecte. Microsoft analyse ces informations pour en savoir plus sur les problèmes affectant vous et d’autres clients, afin d’offrir des solutions améliorées.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : la protection fournie par le cloud est activée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Niveau de protection fourni par le cloud
CSP : CloudBlockLevelConfigurez l’agressivité Defender Antivirus dans le blocage et l’analyse des fichiers suspects.
- Non configuré (par défaut) : niveau de blocage Defender par défaut.
- Élevé : bloquez de manière agressive les inconnus tout en optimisant les performances du client, ce qui inclut une plus grande probabilité de faux positifs.
- Plus élevé : bloquez de manière agressive les inconnus et appliquez des mesures de protection supplémentaires susceptibles d’affecter les performances du client.
- Tolérance zéro : bloquer tous les fichiers exécutables inconnus.
Délai d’expiration étendu du cloud Defender en secondes
CSP : CloudExtendedTimeoutDefender Antivirus bloque automatiquement les fichiers suspects pendant 10 secondes pendant qu’il les analyse dans le cloud pour s’assurer qu’ils sont sécurisés. Vous pouvez ajouter jusqu’à 50 secondes supplémentaires à ce délai d’expiration.
Exclusions de l’antivirus Microsoft Defender
Avertissement
La définition d’exclusions réduit la protection offerte par Microsoft Defender Antivirus. Évaluez toujours les risques associés à l’implémentation des exclusions. Excluez uniquement les fichiers que vous savez ne sont pas malveillants.
Pour plus d’informations, consultez Vue d’ensemble des exclusions dans la documentation Microsoft Defender.
Les paramètres suivants sont disponibles dans le profil antivirus Microsoft Defender :
Fusion de l’administrateur local Defender
CSP : Configuration/DisableLocalAdminMergeCe paramètre contrôle si les paramètres de liste d’exclusion configurés par un administrateur local fusionnent avec les paramètres managés de Intune stratégie. Ce paramètre s’applique aux listes telles que les menaces et les exclusions.
- Non configuré(valeur par défaut) : les éléments uniques définis dans les paramètres de préférence configurés par un administrateur local fusionnent dans la stratégie effective résultante. En cas de conflit, les paramètres de gestion de Intune stratégie remplacent les paramètres de préférence locale.
- Non : le comportement est le même que non configuré.
- Oui : seuls les éléments définis par la gestion sont utilisés dans la stratégie effective résultante. Les paramètres managés remplacent les paramètres de préférence configurés par l’administrateur local.
Les paramètres suivants sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
- Exclusions de l’antivirus Microsoft Defender
Pour chaque paramètre de ce groupe, vous pouvez développer le paramètre, sélectionner Ajouter, puis spécifier une valeur pour l’exclusion.
Processus Defender à exclure
CSP : ExcludedProcessesSpécifiez une liste de fichiers ouverts par les processus à ignorer pendant une analyse. Le processus lui-même n’est pas exclu de l’analyse.
Extensions de fichier à exclure des analyses et protection en temps réel
CSP : ExcludedExtensionsSpécifiez une liste d’extensions de type de fichier à ignorer lors d’une analyse.
Fichiers et dossiers Defender à exclure
CSP : ExcludedPathsSpécifiez une liste de fichiers et de chemins d’accès de répertoire à ignorer pendant une analyse.
Protection en temps réel
Ces paramètres sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
Paramètres :
Activer la protection en temps réel
CSP : AllowRealtimeMonitoringExiger defender sur les appareils de bureau Windows 10/11 pour utiliser la fonctionnalité de surveillance en temps réel.
- Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : appliquez l’utilisation de la surveillance en temps réel. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Activer la protection de l’accès
CSP : AllowOnAccessProtection Configurez une protection antivirus active en continu, par opposition à la demande.- Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : bloquer la protection d’accès sur les appareils. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : La protection d’accès est active sur les appareils.
Surveillance des fichiers entrants et sortants
CSP : Defender/RealTimeScanDirectionConfigurez ce paramètre pour déterminer le fichier NTFS et l’activité du programme surveillés.
- Surveiller tous les fichiers (par défaut)
- Surveiller uniquement les fichiers entrants
- Surveiller uniquement les fichiers sortants
Activer la surveillance du comportement
CSP : AllowBehaviorMonitoringPar défaut, Defender sur les appareils de bureau Windows 10/11 utilise la fonctionnalité d’analyse du comportement.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : appliquez l’utilisation de la surveillance du comportement en temps réel. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Activer la protection du réseau
CSP : EnableNetworkProtectionProtégez les utilisateurs d’appareils utilisant n’importe quelle application contre les escroqueries par hameçonnage, les sites d’hébergement d’exploitation et le contenu malveillant sur Internet. La protection inclut l’empêchement des navigateurs tiers de se connecter à des sites dangereux.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : la protection réseau est activée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Analyser tous les fichiers et pièces jointes téléchargés
CSP : AllowIOAVProtectionConfigurez Defender pour analyser tous les fichiers et pièces jointes téléchargés.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : Defender analyse tous les fichiers et pièces jointes téléchargés. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Analyser les scripts utilisés dans les navigateurs Microsoft
CSP : AllowScriptScanningConfigurez Defender pour analyser les scripts.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : Defender analyse les scripts. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Analyser les fichiers réseau
CSP : AllowScanningNetworkFilesConfigurez Defender pour analyser les fichiers réseau.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : activez l’analyse des fichiers réseau. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Analyser les e-mails
CSP : AllowEmailScanningConfigurez Defender pour analyser les e-mails entrants.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : activez l’analyse des e-mails. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Remédiation
Ces paramètres sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
Paramètres :
Nombre de jours (0-90) pour conserver les programmes malveillants mis en quarantaine
CSP : DaysToRetainCleanedMalwareSpécifiez le nombre de jours entre zéro et 90 pendant lesquels le système stocke les éléments mis en quarantaine avant qu’ils ne soient automatiquement supprimés. La valeur zéro maintient les éléments en quarantaine et ne les supprime pas automatiquement.
Envoyer le consentement des exemples
- Non configuré (par défaut)
- Envoyer automatiquement des exemples sécurisés
- Toujours l’invite
- Ne jamais envoyer
- Envoyer automatiquement tous les exemples
Action à entreprendre sur les applications potentiellement indésirables
CSP : PUAProtectionSpécifiez le niveau de détection des applications potentiellement indésirables (PUA). Defender avertit les utilisateurs en cas de téléchargement de logiciels potentiellement indésirables ou de tentatives d’installation sur un appareil.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, qui est PROTECTION PUA DÉSACTIVÉE.
- Disable
- Activer : les éléments détectés sont bloqués et s’affichent dans l’historique avec d’autres menaces.
- Mode Audit : Defender détecte les applications potentiellement indésirables, mais n’effectue aucune action. Vous pouvez consulter des informations sur les applications contre lesquelles Defender aurait pris des mesures en recherchant les événements créés par Defender dans le observateur d'événements.
Actions pour les menaces détectées
CSP : ThreatSeverityDefaultActionSpécifiez l’action que Defender effectue pour les programmes malveillants détectés en fonction du niveau de menace du programme malveillant.
Defender classe les programmes malveillants qu’il détecte comme l’un des niveaux de gravité suivants :
- Gravité faible
- Gravité modérée
- Gravité élevée
- Gravité grave
Pour chaque niveau, spécifiez l’action à effectuer. La valeur par défaut pour chaque niveau de gravité est Non configuré.
- Non configuré
- Nettoyer : le service tente de récupérer des fichiers et d’essayer de désinfecter.
- Quarantaine : déplace les fichiers en quarantaine.
- Supprimer : supprime les fichiers de l’appareil.
- Autoriser : autorise le fichier et n’effectue pas d’autres actions.
- Défini par l’utilisateur : l’utilisateur de l’appareil prend la décision sur l’action à entreprendre.
- Bloquer : bloque l’exécution du fichier.
Analyser
Ces paramètres sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
Paramètres :
Analyser les fichiers d’archive
CSP : AllowArchiveScanningConfigurez Defender pour analyser les fichiers d’archive, tels que les fichiers ZIP ou CAB.
- Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du client, qui consiste à analyser les fichiers archivés, mais l’utilisateur peut désactiver le paramètre. En savoir plus
- Non : les archives de fichiers ne sont pas analysées. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : activez l’analyse des fichiers d’archive. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Utiliser une faible priorité du processeur pour les analyses planifiées
CSP : EnableLowCPUPriorityConfigurez la priorité du processeur pour les analyses planifiées.
- Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du système, dans laquelle aucune modification de la priorité du processeur n’est apportée.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : une faible priorité du processeur sera utilisée pendant les analyses planifiées. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Désactiver l’analyse complète de rattrapage
CSP : DisableCatchupFullScanConfigurez des analyses de rattrapage pour les analyses complètes planifiées. Une analyse de rattrapage est une analyse qui est exécutée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.
- Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à désactiver les analyses de rattrapage pour les analyses complètes.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : les analyses de rattrapage pour les analyses complètes planifiées sont appliquées et l’utilisateur ne peut pas les désactiver. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Désactiver l’analyse rapide de rattrapage
CSP : DisableCatchupQuickScanConfigurez des analyses de rattrapage pour les analyses rapides planifiées. Une analyse de rattrapage est une analyse qui est exécutée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.
- Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à désactiver les analyses de rattrapage pour les analyses complètes.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
- Oui : les analyses de rattrapage des analyses rapides planifiées sont appliquées et l’utilisateur ne peut pas les désactiver. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Limite d’utilisation du processeur par analyse
CSP : AvgCPULoadFactorSpécifiez sous la forme d’un pourcentage compris entre zéro et 100, le facteur de charge processeur moyen pour l’analyse Defender.
Analyser les lecteurs réseau mappés pendant l’analyse complète
CSP : AllowFullScanOnMappedNetworkDrivesConfigurez Defender pour analyser les lecteurs réseau mappés.
- Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, ce qui désactive l’analyse sur les lecteurs réseau mappés.
- Non : le paramètre est désactivé. Les utilisateurs de l’appareil ne peuvent pas modifier le paramètre.
- Oui : activez les analyses des lecteurs réseau mappés. Les utilisateurs de l’appareil ne peuvent pas modifier ce paramètre.
Exécutez l’analyse rapide quotidienne sur
CSP : ScheduleQuickScanTimeSélectionnez l’heure d’exécution des analyses rapides Defender. Ce paramètre s’applique uniquement lorsqu’un appareil exécute une analyse rapide et n’interagit pas avec les trois paramètres suivants :
- Type d’analyse
- Jour de la semaine pour exécuter une analyse planifiée
- Heure de la journée pour exécuter une analyse planifiée
Par défaut, l’option Exécuter l’analyse rapide quotidienne sur est définie sur Non configuré.
Type d’analyse
CSP : ScanParameterSélectionnez le type d’analyse exécuté par Defender. Ce paramètre interagit avec les paramètres Jour de la semaine pour exécuter une analyse planifiée et Heure de la journée pour exécuter une analyse planifiée.
- Non configuré (par défaut)
- Analyse rapide
- Analyse complète
Jour de la semaine pour exécuter une analyse planifiée
- Non configuré (par défaut)
Heure de la journée pour exécuter une analyse planifiée
- Non configuré (par défaut)
Rechercher les mises à jour de signature avant d’exécuter l’analyse
- Non configuré (par défaut)
- Non
- Oui
Updates
Ces paramètres sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
Paramètres :
Entrez la fréquence (0-24 heures) à laquelle case activée pour les mises à jour du renseignement de sécurité
CSP : SignatureUpdateIntervalSpécifiez l’intervalle de zéro à 24 (en heures) utilisé pour case activée pour les signatures. La valeur zéro n’entraîne aucune case activée pour les nouvelles signatures. La valeur 2 case activée toutes les deux heures, etc.
Définir des partages de fichiers pour le téléchargement des mises à jour de définition
CSP : SignatureUpdateFallbackOrderGérez les emplacements, comme un partage de fichiers UNC, en tant qu’emplacement source de téléchargement pour obtenir des mises à jour de définition. Une fois les mises à jour de définition téléchargées à partir d’une source spécifiée, les sources restantes de la liste ne sont pas contactées.
Vous pouvez ajouter des emplacements individuels ou importer une liste d’emplacements en tant que fichier .csv.
Définir l’ordre des sources pour le téléchargement des mises à jour de définition
CSP : SignatureUpdateFileSharesSourcesSpécifiez dans quel ordre contacter les emplacements sources que vous avez spécifiés pour obtenir les mises à jour de définition. Une fois que les mises à jour de définition ont été téléchargées à partir d’une source spécifiée, les sources restantes de la liste ne sont pas contactées.
Expérience utilisateur
Ces paramètres sont disponibles dans les profils suivants :
- Antivirus Microsoft Defender
Paramètres :
Autoriser l’accès utilisateur à Microsoft Defender’application
CSP : AllowUserUIAccessNon configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du client dans lequel l’interface utilisateur et les notifications sont autorisées.
Non : l’interface utilisateur de Defender est inaccessible et les notifications sont supprimées.
Oui