Intégrer des appareils Windows 10 et Windows 11 à l’aide de Microsoft Configuration Manager
S’applique à :
Intégrer des appareils à l’aide de Configuration Manager
Obtenez le fichier de .zip du package de configuration (DeviceComplianceOnboardingPackage.zip) à partir de portail de conformité Microsoft Purview.
Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil>.
Dans le champ Méthode de déploiement, sélectionnez Microsoft Configuration Manager.
Sélectionnez Télécharger le package, puis enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible aux administrateurs réseau qui déploieront le package. Vous devez avoir un fichier nommé DeviceCompliance.onboarding.
Déployez le package en suivant les étapes décrites dans l’article Packages et programmes - Configuration Manager.
Choisissez un regroupement d’appareils prédéfini sur lequel déployer le package.
Remarque
La protection des informations Microsoft 365 ne prend pas en charge l’intégration pendant la phase OOBE (Out-Of-Box Experience). Assurez-vous que les utilisateurs terminent L’OOBE après avoir exécuté l’installation ou la mise à niveau de Windows.
Conseil
Il est possible de créer une règle de détection sur une application Configuration Manager pour case activée en continu si un appareil a été intégré. Une application est un type d’objet différent de celui d’un package et d’un programme. Si un appareil n’est pas encore intégré (en raison de l’achèvement OOBE en attente ou pour toute autre raison), Configuration Manager réessayez d’intégrer l’appareil jusqu’à ce que la règle détecte le changement status.
Ce comportement peut être accompli en créant une règle de détection pour déterminer si la OnboardingState
valeur de Registre (de type REG_DWORD) = 1.
Cette valeur de Registre se trouve sous HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
.
Pour plus d’informations, consultez Options de méthode de détection de type de déploiement.
Configurer des exemples de paramètres de regroupement
Pour chaque appareil, vous pouvez définir une valeur de configuration pour indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Centre de sécurité Microsoft Defender d’envoyer un fichier pour une analyse approfondie.
Remarque
Ces paramètres de configuration sont généralement effectués via Configuration Manager.
Vous pouvez définir une règle de conformité pour l’élément de configuration dans Configuration Manager pour modifier l’exemple de paramètre de partage sur un appareil.
Cette règle doit être un élément de configuration de règle de conformité de correction qui définit la valeur d’une clé de Registre sur les appareils ciblés pour s’assurer qu’il s’agit d’une plainte.
La configuration est définie via l’entrée de clé de Registre suivante :
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
Où :
Le type de clé est un D-WORD.
Les valeurs possibles sont les suivantes :
- 0 : n’autorise pas le partage d’exemples à partir de cet appareil
- 1 - autorise le partage de tous les types de fichiers à partir de cet appareil
La valeur par défaut si la clé de Registre n’existe pas est 1. Configuration Manager, consultez Créer des éléments de configuration personnalisés pour les ordinateurs de bureau et serveur Windows gérés avec le client Configuration Manager.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Autres paramètres de configuration recommandés
Après l’intégration des appareils au service, il est important de tirer parti des fonctionnalités de protection contre les menaces incluses en les activant avec les paramètres de configuration recommandés suivants.
Configuration de la protection nouvelle génération
Les paramètres de configuration suivants sont recommandés :
Analyser
- Analyser les périphériques de stockage amovibles tels que les lecteurs USB : Oui
Protection en temps réel
- Activer la surveillance comportementale : Oui
- Activer la protection contre les applications potentiellement indésirables au téléchargement et avant l’installation : Oui
Cloud Protection Service
- Type d’appartenance au service De protection cloud : Appartenance avancée
Réduction de la surface d’attaque Configurez toutes les règles disponibles pour Auditer.
Remarque
Le blocage de ces activités peut interrompre les processus métier légitimes. La meilleure approche consiste à définir tous les éléments à auditer, à identifier ceux qui sont sûrs à activer, puis à activer ces paramètres sur les points de terminaison qui n’ont pas de détections de faux positifs.
Protection du réseau
Avant d’activer la protection réseau en mode audit ou bloc, vérifiez que vous avez installé la mise à jour de la plateforme anti-programme malveillant, qui peut être obtenue à partir de la page de support.
Accès contrôlé aux dossiers
Activez la fonctionnalité en mode audit pendant au moins 30 jours. Après cette période, passez en revue les détections et créez une liste d’applications autorisées à écrire dans des répertoires protégés.
Pour plus d’informations, consultez Évaluer l’accès contrôlé aux dossiers.
Désintégrer les appareils à l’aide de Configuration Manager
Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintéglage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.
Remarque
Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.
Désintégrer des appareils à l’aide de Microsoft Configuration Manager current Branch
Si vous utilisez Microsoft Configuration Manager current Branch, consultez Créer un fichier de configuration de désintéglage.
Surveiller la configuration de l’appareil
Avec Microsoft Configuration Manager Current Branch, utilisez le tableau de bord Microsoft Defender pour point de terminaison intégré dans la console Configuration Manager. Pour plus d’informations, consultez Microsoft Defender Advanced Threat Protection - Monitor.
Vérifier que les appareils sont conformes au service de protection contre la perte de données de point de terminaison
Vous pouvez définir une règle de conformité pour l’élément de configuration dans Configuration Manager afin de surveiller votre déploiement.
Remarque
Cette procédure et cette entrée de Registre s’appliquent à endpoint DLP ainsi qu’à Defender pour point de terminaison.
Cette règle doit être un élément de configuration de règle de conformité non corrective qui surveille la valeur d’une clé de Registre sur les appareils ciblés.
Surveillez l’entrée de clé de Registre suivante :
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"
Pour plus d’informations, consultez Planifier et configurer les paramètres de conformité.
Voir aussi
- Intégrer des appareils Windows 10 et Windows 11 à l’aide de stratégie de groupe
- Intégrer les appareils Windows 10 et Windows 11 à l’aide des outils de gestion des périphériques mobiles
- Intégrer les appareils Windows 10 et Windows 11 en utilisant un script local
- Intégrer les ordinateurs virtuels d’infrastructure de bureau (VDI) non persistants
- Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré
- Résoudre les problèmes d’intégration Microsoft Defender pour point de terminaison