Création de politiques de sécurité dans Intune pour protéger les appareils Windows

Création de politiques de sécurité dans Intune pour protéger les appareils Windows

01/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la création et la mise en œuvre de politiques de sécurité robustes dans Microsoft Intune pour protéger les appareils Windows. Microsoft Intune, qui fait partie de Microsoft Endpoint Manager, fournit une solution complète pour la gestion unifiée des points de terminaison, permettant aux organisations de gérer les appareils, de protéger les données et de garantir la conformité aux politiques de sécurité, quel que soit l'emplacement des appareils [1].

Présentation

Dans un environnement de travail moderne, où les appareils peuvent appartenir à l'entreprise ou être personnels (BYOD) et accéder aux ressources de l'entreprise depuis n'importe où, la sécurité des points finaux est plus critique que jamais. Microsoft Intune simplifie la gestion et l'application des politiques de sécurité sur les appareils Windows, en garantissant qu'elles répondent aux normes de l'entreprise avant d'accéder aux données sensibles [2].

Ce guide pratique couvrira la création de différents types de politiques de sécurité dans Intune, telles que les politiques de conformité et les profils de configuration d'appareil, en se concentrant sur des scénarios réels et en fournissant des instructions étape par étape, des exemples de configuration et des méthodes de validation. L'objectif est de permettre au lecteur de mettre en œuvre ces politiques de manière efficace et d'améliorer la posture de sécurité de leur organisation.

Pourquoi utiliser Intune pour les politiques de sécurité ?

Intune offre plusieurs avantages pour la gestion de la sécurité des appareils Windows :

  • Gestion unifiée : gérez les appareils Windows, macOS, iOS/iPadOS et Android à partir d'une seule console.
  • Conformité continue : garantit que les appareils répondent aux exigences de sécurité avant d'accéder aux ressources de l'entreprise.
  • Automation : automatise le déploiement des paramètres de sécurité, des mises à jour et des applications.
  • Intégration : s'intègre à d'autres solutions Microsoft, telles que Azure AD (Microsoft Entra ID) pour l'accès conditionnel et Microsoft Defender for Endpoint pour une protection avancée contre les menaces.
  • Flexibilité : prend en charge divers scénarios, des appareils d'entreprise entièrement gérés au BYOD.

Prérequis

Pour suivre ce tutoriel, vous aurez besoin des éléments suivants :

  1. Licence : Une licence valide pour Microsoft Intune. Souvent inclus dans des packages tels que les licences autonomes Microsoft 365 E3, E5, F1, F3 ou Enterprise Mobility + Security (EMS) [3].
  2. Accès administratif : un compte avec les autorisations d'administrateur global ou d'administrateur Intune dans le centre d'administration Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. Appareils Windows enregistrés : appareils Windows 10/11 déjà enregistrés auprès de Microsoft Intune. L’inscription peut être effectuée via Azure AD Join, Hybrid Azure AD Join ou une inscription manuelle pour BYOD.
  4. Groupes d'utilisateurs et de périphériques : groupes de sécurité dans Azure AD pour attribuer des stratégies de manière organisée.

Étape par étape : création de stratégies de sécurité dans Intune

Nous allons créer différents types de stratégies pour démontrer l’exhaustivité d’Intune.

1. Création d'une politique de conformité des appareils

Les politiques de conformité définissent les exigences auxquelles un appareil doit répondre pour être considéré comme « conforme ». Les appareils non conformes peuvent être empêchés d'accéder aux ressources de l'entreprise via des politiques d'accès conditionnel.

Étapes :

  1. Accédez au Centre d'administration Microsoft Endpoint Manager.
  2. Accédez à Appareils > Politiques de conformité.
  3. Cliquez sur Créer une stratégie.
  4. Sélectionnez la plate-forme Windows 10 et versions ultérieures et cliquez sur Créer.
  5. Bases : donnez un nom à la stratégie (ex : Windows - Politique de conformité par défaut) et une description. Cliquez sur Suivant.
  6. Paramètres de conformité : Ici, vous définissez les règles. Exemples de paramètres importants :
    • Intégrité de l'appareil :
      • Exiger BitLocker : Exiger. Garantit que le lecteur système est chiffré.
      • Exiger que le démarrage sécurisé soit activé sur l'appareil : Require. Protège contre les rootkits lors du processus de démarrage.
    • Propriétés de l'appareil :
      • Version minimale du système d'exploitation : définissez la version minimale de Windows sur garaAssurez-vous que seuls les systèmes d’exploitation pris en charge et à jour sont utilisés.
    • Sécurité du système :
      • Exiger un mot de passe pour déverrouiller les appareils mobiles : Exiger.
      • Pare-feu : Exiger. Garantit que le pare-feu Microsoft Defender est actif.
      • Antivirus : Exiger. Garantit qu'une solution antivirus enregistrée auprès du Centre de sécurité Windows est active.
  7. Actions en cas de non-conformité : définissez ce qui se passe si un appareil n'est pas conforme. L'action par défaut consiste à Marquer immédiatement l'appareil comme non pris en charge. Vous pouvez ajouter d'autres actions, comme l'envoi d'un e-mail à l'utilisateur.
  8. Affectations : attribuez la stratégie à un groupe d'appareils ou d'utilisateurs Azure AD.
  9. Vérifier + créer : Vérifiez les paramètres et cliquez sur Créer.

2. Création d'un profil de configuration de périphérique

Les profils de configuration sont utilisés pour appliquer des paramètres de sécurité plus détaillés aux appareils.

Étapes :

  1. Dans le Centre d'administration Microsoft Endpoint Manager, accédez à Périphériques > Profils de configuration.
  2. Cliquez sur Créer un profil.
  3. Sélectionnez la plate-forme Windows 10 et versions ultérieures et le type de profil Catalogue de paramètres. Cliquez sur Créer.
  4. Bases : donnez un nom au profil (ex : Windows - Paramètres de sécurité Defender) et une description.
  5. Paramètres de configuration : cliquez sur Ajouter des paramètres. Utilisez le sélecteur de paramètres pour rechercher et définir les stratégies souhaitées. Par exemple, pour configurer Microsoft Defender :
    • Recherchez « Microsoft Defender ».
    • Sélectionnez des catégories telles que « Microsoft Defender Antivirus » et « Protection en temps réel ».
    • Activez les paramètres tels que :
      • Activer la protection en temps réel : Activé.
      • Activer la protection fournie par le cloud : « Activé ».
      • Niveau de protection fourni dans le cloud : « Niveau de blocage élevé ».
  6. Affectations : attribuez le profil à un groupe d'appareils.
  7. Réviser + créer : Révisez et créez le profil.

3. Appliquer une ligne de base de sécurité

Les lignes de base sont des ensembles de paramètres de sécurité préconfigurés recommandés par Microsoft. C'est le moyen le plus rapide d'appliquer une posture de sécurité robuste.

Étapes :

  1. Accédez à Endpoint Security > Lignes de base de sécurité.
  2. Sélectionnez la ligne de base que vous souhaitez utiliser, par exemple Base de référence de sécurité pour Windows 10 et versions ultérieures.
  3. Cliquez sur Créer un profil.
  4. Donnez un nom et une description.
  5. Paramètres de configuration : vérifiez les paramètres par défaut. Vous pouvez les personnaliser selon vos besoins, mais idéalement, vous souhaitez vous en tenir aux recommandations de Microsoft.
  6. Affectations : attribuez la ligne de base à un groupe d'appareils.
  7. Réviser + créer : créez le profil.

Validation et surveillance

Une fois les politiques créées et attribuées, il est crucial de surveiller leur application et la conformité des appareils.

  • Pour les politiques de conformité : accédez à Périphériques > Politiques de conformité, sélectionnez la politique et vérifiez l'État de l'appareil et le Statut par configuration pour voir quels appareils sont conformes ou non et pourquoi.
  • Pour les profils de configuration : accédez à Périphériques > Profils de configuration, sélectionnez le profil et vérifiez les rapports d'état pour voir si les paramètres ont été appliqués avec succès.

Conclusion

Microsoft Intune est un outil puissant pour renforcer la sécurité des appareils Windows dans les environnements d'entreprise. En combinant les politiques de conformité, les profils de configuration et les lignes de base de sécurité, les administrateurs peuvent garantir que les appareils répondent à un niveau de sécurité élevé, protégeant ainsi les données de l'organisation contre les menaces. La mise en œuvre correcte de ces politiques constitue une étape fondamentale vers une architecture de sécurité Zero Trust.

Références

[1]Microsoft. (2023). Qu'est-ce que Microsoft Intune ? [2]Microsoft. (2023). Sécurisez les données et les appareils avec Microsoft Intune. [3]Microsoft. (2023). Licences disponibles pour Microsoft Intune.