Protéger les données et les appareils avec Microsoft Intune

Microsoft Intune pouvez vous aider à sécuriser et à mettre à jour vos appareils gérés tout en vous aidant à protéger les données de votre organization contre les appareils compromis. La protection des données comprend le contrôle de ce que font les utilisateurs avec les données d’un organization sur les appareils gérés et non gérés. La protection des données s’étend également au blocage de l’accès aux données à partir d’appareils susceptibles d’être compromis.

Cet article met en évidence la plupart des fonctionnalités intégrées de Intune et des technologies de partenaires que vous pouvez intégrer à Intune. À mesure que vous en apprendrez davantage à leur sujet, vous pouvez en regrouper plusieurs pour obtenir des solutions plus complètes sur votre parcours utilisateur dans un environnement de confiance nulle.

À partir du centre d’administration Microsoft Intune, Intune prend en charge les appareils gérés qui exécutent Android, iOS/iPad, Linux, macOS et Windows.

Lorsque vous utilisez Configuration Manager pour gérer des appareils locaux, vous pouvez étendre les stratégies Intune à ces appareils en configurant la liaison d’abonnés ou la cogestion.

Intune peut également utiliser des informations provenant d’appareils que vous gérez avec des produits tiers qui assurent la conformité des appareils et la protection contre les menaces mobiles.

Protéger des appareils par le biais de stratégies

Déployez les stratégies de sécurité des points de terminaison, de configuration des appareils et de conformité des appareils de Intune pour configurer les appareils afin d’atteindre les objectifs de sécurité de votre organisation. Les stratégies prennent en charge un ou plusieurs profils, qui sont des ensembles discrets de règles spécifiques à la plateforme que vous déployez sur des groupes d’appareils inscrits.

  • Avec les stratégies de sécurité des points de terminaison, déployez des stratégies axées sur la sécurité conçues pour vous aider à vous concentrer sur la sécurité de vos appareils et à atténuer les risques. Les tâches disponibles peuvent vous aider à identifier les appareils à risque, à corriger ces appareils et à les restaurer à un état conforme ou plus sécurisé.

  • Avec les stratégies de configuration des appareils, gérez les profils qui définissent les paramètres et les fonctionnalités que les appareils utilisent dans votre organisation. Configurez des appareils pour la protection du point de terminaison, la configuration de certificats pour l’authentification, la définition des comportements de mise à jour de logiciel, etc.

  • Avec les stratégies de conformité des appareils, vous créez des profils pour différentes plateformes d’appareils qui établissent les exigences des appareils. La configuration requise peut inclure des versions de système d’exploitation, l’utilisation du chiffrement de disques ou des niveaux de menace spécifiques tels que définis par le logiciel de gestion des menaces.

    Intune peut protéger des appareils qui ne sont pas conformes à vos stratégies et alerter l’utilisateur de l’appareil afin qu’il puisse mettre l’appareil en conformité.

    Lorsque vous ajoutez l’accès conditionnel à la combinaison, configurez des stratégies qui autorisent uniquement les appareils conformes à accéder à votre réseau et aux ressources de organization. Les restrictions d’accès peuvent inclure des partages de fichiers et des e-mails d’entreprise. Les stratégies d’accès conditionnel fonctionnent également avec les données d’état de l’appareil signalées par des partenaires de conformité des appareils tiers que vous intégrez à Intune.

Voici quelques-uns des paramètres de sécurité et des tâches que vous pouvez gérer via les stratégies disponibles :

  • Méthodes d’authentification : configurez la façon dont vos appareils s’authentifient auprès des ressources, des e-mails et des applications de votre organization.

    • Utilisez des certificats pour l’authentification auprès des applications, les ressources de votre organization, ainsi que pour la signature et le chiffrement du courrier électronique à l’aide de S/MIME. Vous pouvez également configurer des informations d’identification dérivées lorsque votre environnement requiert l’utilisation de cartes à puce.

    • Configurez les paramètres qui limitent les risques, par exemple :

      • Exigez l’authentification multifacteur (MFA) pour ajouter une couche supplémentaire d’authentification pour les utilisateurs.
      • Définissez les exigences relatives au code confidentiel et au mot de passe devant être respectées avant d’accéder aux ressources.
      • Activez Windows Hello Entreprise pour les appareils Windows.
  • Chiffrement de l’appareil : gérez BitLocker sur les appareils Windows et FileVault sur macOS.

  • Mises à jour de logiciel : gérez quand et comment les appareils obtiennent des mises à jour de logiciel. Les éléments suivants sont pris en charge :

    • Mises à jour du microprogramme Android :
      • Firmware Over-the-Air (FOTA) : pris en charge par certains fabricants OEM, vous pouvez utiliser FOTA pour mettre à jour à distance le microprogramme des appareils.
      • Zebra LifeGuard Over-the-Air (LG OTA) : gérez les mises à jour du microprogramme pour les appareils Zebra pris en charge via le centre d’administration Intune.
    • iOS : gérez les versions du système d’exploitation des appareils et quand les appareils case activée et installent les mises à jour.
    • macOS : gérer les mises à jour logicielles pour les appareils macOS inscrits en tant qu’appareils supervisés.
    • Windows : pour gérer l’expérience Windows Update pour les appareils, vous pouvez configurer lorsque les appareils analysent ou installent des mises à jour, conservent un ensemble de vos appareils gérés à des versions de fonctionnalités spécifiques, etc.
  • Bases de référence de sécurité : déployez des bases de référence de sécurité pour établir une posture de sécurité de base sur vos appareils Windows. Les bases de référence de sécurité sont des groupes préconfigurés de paramètres Windows recommandés par les équipes de produit concernées. Vous pouvez utiliser des lignes de base telles que fournies ou modifier des instances de ces dernières pour atteindre vos objectifs de sécurité pour les groupes ciblés d’appareils.

  • Réseaux privés virtuels (VPN) : avec les profils VPN, affectez des paramètres VPN aux appareils afin qu’ils puissent facilement se connecter au réseau de votre organization. Intune prend en charge plusieurs types de connexions VPN et applications qui incluent à la fois des fonctionnalités intégrées pour certaines plateformes et des applications VPN internes et tierces pour les appareils.

  • Solution de mot de passe de l’administrateur local Windows (LAPS) : avec la stratégie Windows LAPS, vous pouvez :

    • Appliquer les exigences de mot de passe pour les comptes d’administrateur local
    • Sauvegarder un compte d’administrateur local à partir d’appareils dans votre annuaire Active Directory (AD) ou Microsoft Entra
    • Planifiez la rotation de ces mots de passe de compte pour assurer leur sécurité.

Protéger les données par le biais de stratégies

Les applications gérées par Intune et les stratégies de protection des applications d’Intune peuvent vous aider à arrêter les fuites de données et à sécuriser les données de votre organisation. Ces protections peuvent s’appliquer aux appareils inscrits avec Intune et aux appareils qui ne le sont pas.

  • Les applications gérées par Intune (ou les applications gérées en abrégé) sont des applications qui intègrent le SDK d’application Intune ou qui sont encapsulées par le Intune App Wrapping Tool. Quelles sont les applications qui peuvent être gérées avec des stratégies de protection des applications Intune. Pour afficher une liste des applications gérées disponibles publiquement, consultez Applications protégées par Intune.

    Les utilisateurs peuvent utiliser des applications managées pour utiliser à la fois les données de votre organization et leurs propres données personnelles. Toutefois, lorsque les stratégies de protection des applications nécessitent l’utilisation d’une application managée, l’application gérée est la seule application qui peut être utilisée pour accéder aux données de votre organization. Protection d'applications règles ne s’appliquent pas aux données personnelles d’un utilisateur.

  • Les stratégies de protection des applications sont des règles qui garantissent que les données d’une organisation sont sécurisées ou restent dans une application gérée. Les règles identifient l’application managée qui doit être utilisée et définissent ce qui peut être fait avec les données pendant l’utilisation de l’application.

Voici quelques exemples de protections et de restrictions que vous pouvez définir avec les stratégies de protection des applications et les applications gérées :

  • Configurer des protections de la couche application, comme exiger un code confidentiel pour ouvrir une application dans un contexte professionnel.
  • Contrôlez le partage des données d’un organization entre les applications sur un appareil, comme le blocage du copier-coller ou des captures d’écran.
  • Empêchez l’enregistrement des données de votre organization dans des emplacements de stockage personnels.

Utiliser des actions d’appareil pour protéger des appareils et des données

À partir du centre d’administration Microsoft Intune, vous pouvez exécuter des actions d’appareil qui permettent de protéger un appareil sélectionné. Vous pouvez exécuter un sous-ensemble de ces actions comme des actions d’appareil en bloc pour affecter plusieurs appareils en même temps. Et plusieurs actions à distance d’Intune peuvent également être utilisées avec des appareils cogérés.

Les actions de l’appareil ne sont pas une stratégie et prennent effet une seule fois lors de son appel. Ils s’appliquent immédiatement si l’appareil est accessible en ligne ou lors du prochain démarrage ou archivage d’Intune. Ces actions sont considérées comme complémentaires à l’utilisation de stratégies qui configurent et gèrent les configurations de sécurité pour un groupe de périphériques.

Voici des exemples d’actions que vous pouvez exécuter pour sécuriser les appareils et les données :

Appareils gérés par Intune :

  • Rotation de clés BitLocker (Windows uniquement)
  • Désactiver le verrouillage d’activation (appareils Apple uniquement, voir comment désactiver le verrouillage d’activation à l’aide d’Apple Business Manager)
  • Analyse complète ou rapide (Windows uniquement)
  • Verrouiller à distance
  • Mettre hors service (qui supprime les données de votre organization de l’appareil tout en laissant intactes les données personnelles)
  • Mettre à jour la veille de sécurité Windows Defender
  • Réinitialiser (l’appareil est réinitialisé aux paramètres d’usine, en supprimant toutes les données, applications et paramètres)

Appareils gérés par Configuration Manager :

  • Mettre hors service
  • Réinitialisation
  • Synchroniser (l’appareil est forcé de s’archiver immédiatement auprès d’Intune pour rechercher de nouvelles stratégies ou des actions en attente)

Intégrer à d’autres produits et technologies partenaires

Intune prend en charge l’intégration à des applications partenaires à partir de sources internes et tierces, qui développent ses fonctionnalités intégrées. Vous pouvez également intégrer Intune à plusieurs technologies Microsoft.

Partenaires de conformité

Découvrez comment utiliser des partenaires de conformité des appareils avec Intune. Lorsque vous gérez un appareil avec un partenaire de gestion des appareils mobiles autre que Intune, vous pouvez intégrer ces données de conformité à Microsoft Entra ID. Lorsqu’elles sont intégrées, les stratégies d’accès conditionnel peuvent utiliser les données du partenaire avec les données de conformité de Intune.

Configuration Manager

Vous pouvez utiliser de nombreuses stratégies Intune et actions d’appareil pour protéger les appareils que vous gérez avec Configuration Manager. Pour prendre en charge ces appareils, configurez la cogestion ou la liaison d’abonnés. Vous pouvez également les utiliser ensemble avec Intune.

  • Avec la cogestion, vous pouvez gérer simultanément un appareil Windows avec Configuration Manager et Intune. Vous installez le client Configuration Manager et inscrivez l’appareil auprès d’Intune. L’appareil communique avec les deux services.

  • Avec l’attachement de locataire, vous configurez la synchronisation entre votre site Configuration Manager et votre locataire Intune. Cette synchronisation vous fournit une vue unique pour tous les appareils que vous gérez avec Microsoft Intune.

Une fois qu’une connexion entre Intune et Configuration Manager est établie, les appareils de Configuration Manager sont disponibles dans le centre d’administration Microsoft Intune. Vous pouvez ensuite déployer des stratégies Intune sur ces appareils ou utiliser des actions d’appareil pour les protéger.

Les protections que vous pouvez appliquer sont les suivantes, entre autres :

  • Déployer des certificats sur des appareils à l’aide du protocole d’Inscription de certificats simple (SCEP) Intune ou des profils de certificat privés et de paire de clés publique (PKCS).
  • Utiliser une stratégie de conformité.
  • Utiliser des stratégies de sécurité de point de terminaison, telles que les Antivirus, la Détection et la réponse des points de terminaison et les règles de Pare-feu.
  • Appliquer des lignes de base de sécurité.
  • Gérer Windows Update.

Applications de défense contre les menaces mobiles

Les applications de défense contre les menaces mobiles (MTD) numérisent et analysent activement les appareils à la recherche de menaces. Lorsque vous intégrez (connectez) des applications de défense contre les menaces mobiles avec Intune, vous obtenez l’évaluation des applications d’un niveau de menace d’appareils. L’évaluation d’une menace ou d’un niveau de risque d’appareil est un outil important pour protéger les ressources de votre organization contre les appareils mobiles compromis. Vous pouvez ensuite utiliser ce niveau de menace dans différentes stratégies, telles que les stratégies d’accès conditionnel, pour vous aider à contrôler l’accès à ces ressources.

Utilisez des données au niveau des menaces avec des stratégies pour la conformité des appareils, la protection des applications et l’accès conditionnel. Ces stratégies utilisent les données pour empêcher les appareils non conformes d’accéder aux ressources de votre organization.

Avec une application MTD intégrée :

  • Pour les appareils inscrits :

    • Utiliser Intune pour déployer puis gérer l’application MTD sur les appareils.
    • Déployer des stratégies de conformité des appareils qui utilisent le niveau de menace signalé par les appareils pour évaluer la conformité.
    • Définir des stratégies d’accès conditionnel qui prennent en compte un certain niveau de menace des appareils.
    • Définir des stratégies de protection des applications pour déterminer quand bloquer ou autoriser l’accès aux données, en fonction du niveau de menace de l’appareil.
  • Pour les appareils qui ne s’inscrivent pas avec Intune mais exécutent une application MTD qui s’intègre à Intune, utilisez leurs données de niveau de menace avec vos stratégies de protection des applications pour bloquer l’accès aux données de votre organization.

Intune prend en charge l’intégration avec :

Microsoft Defender pour point de terminaison

En soi, Microsoft Defender pour point de terminaison offre plusieurs avantages axés sur la sécurité. Microsoft Defender pour point de terminaison s’intègre également à Intune et est pris en charge sur plusieurs plateformes d’appareils. Avec l’intégration, vous obtenez une application de défense contre les menaces mobiles et ajoutez des fonctionnalités à Intune pour assurer la sécurité des données et des appareils. Ces capacités sont les suivantes :

  • Support de Microsoft tunnel : Sur les appareils Android, Microsoft Defender pour point de terminaison est l’application cliente que vous utilisez avec Microsoft Tunnel, une solution de passerelle VPN pour Intune. Lorsqu’elle est utilisée en tant qu’application cliente Microsoft Tunnel, vous n’avez pas besoin d’un abonnement pour Microsoft Defender pour point de terminaison.

  • Tâches de sécurité : avec les tâches de sécurité, les administrateurs Intune peuvent tirer parti des fonctionnalités de gestion des vulnérabilités et des menaces de Microsoft Defender pour point de terminaison. Fonctionnement:

    • Votre équipe Defender pour point de terminaison identifie les appareils à risque et crée les tâches de sécurité pour Intune dans le centre de sécurité de Defender pour point de terminaison.
    • Ces tâches s’affichent dans Intune avec des conseils d’atténuation que les administrateurs Intune peuvent utiliser pour atténuer le risque.
    • Quand une tâche est résolue dans Intune, cet état est retransmis au centre de sécurité de Defender pour point de terminaison, où les résultats de l’atténuation peuvent être évalués.
  • Stratégies de sécurité des points de terminaison : les stratégies de sécurité des points de terminaison Intune suivantes requièrent l’intégration à Microsoft Defender pour point de terminaison. Lorsque vous utilisez la liaison d’abonnés, vous pouvez déployer ces stratégies sur les appareils que vous gérez avec Intune ou Configuration Manager.

    • Stratégie antivirus : gérez les paramètres de Microsoft Defender Antivirus et l’expérience Sécurité Windows sur les appareils pris en charge, tels que Windows et macOS.

    • Stratégie de détection et de réponse des points de terminaison : utilisez cette stratégie pour configurer la détection et la réponse des points de terminaison (EDR), qui est une fonctionnalité de Microsoft Defender pour point de terminaison.

Accès conditionnel

L’accès conditionnel est une fonctionnalité Microsoft Entra qui fonctionne avec Intune pour protéger les appareils. Pour les appareils qui s’inscrivent auprès de Microsoft Entra ID, les stratégies d’accès conditionnel peuvent utiliser les détails de l’appareil et de la conformité de Intune pour appliquer les décisions d’accès pour les utilisateurs et les appareils.

Stratégie d’accès conditionnel de base de référence :

  • Les stratégies de conformité des appareils peuvent exiger qu’un appareil soit marqué comme conforme avant que cet appareil puisse être utilisé pour accéder aux ressources de votre organization. Les stratégies d’accès conditionnel spécifient les services d’applications que vous souhaitez protéger, les conditions sous lesquelles les applications ou les services sont accessibles et les utilisateurs auxquels la stratégie s’applique.

  • Protection d'applications stratégies peuvent ajouter une couche de sécurité qui garantit que seules les applications clientes qui prennent en charge les stratégies de protection des applications Intune peuvent accéder à vos ressources en ligne, comme Exchange ou d’autres services Microsoft 365.

L’accès conditionnel fonctionne également avec les éléments suivants pour vous aider à sécuriser les appareils :

  • Microsoft Defender pour point de terminaison et applications MTD tierces
  • Applications des partenaires de conformité des appareils
  • Microsoft Tunnel

Ajouter Endpoint Privilege Management

Endpoint Privilege Management (EPM) vous permet d’exécuter vos utilisateurs Windows en tant qu’utilisateurs standard tout en n’élevant les privilèges qu’en cas de besoin, selon les règles et paramètres de l’organisation définis par votre organization. Cette conception prend en charge l’application de l’accès au privilège minimum, un locataire principal d’une architecture de sécurité Confiance nulle. EPM permet aux équipes informatiques de gérer les utilisateurs standard plus efficacement et de limiter leur surface d’attaque en autorisant uniquement les employés à s’exécuter en tant qu’administrateurs pour des applications ou des tâches spécifiques approuvées.

Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

En déployant des règles d’élévation EPM que vous définissez, vous pouvez autoriser uniquement les applications approuvées à s’exécuter dans le contexte avec élévation de privilèges. Par exemple, vos règles peuvent nécessiter une correspondance de hachage de fichier ou la présence d’un certificat pour valider l’intégrité des fichiers avant de s’exécuter sur un appareil.

Conseil

Endpoint Privilege Management est disponible en tant que module complémentaire Intune qui nécessite une licence supplémentaire à utiliser et prend en charge les appareils Windows 10 et Windows 11.

Pour plus d’informations, consultez Endpoint Privilege Management.

Prochaines étapes

Envisagez d’utiliser les fonctionnalités d’Intune pour prendre en charge votre parcours dans un environnement de confiance nulle en protégeant vos données et en sécurisant vos appareils. Au-delà des liens en ligne précédents pour en savoir plus sur ces fonctionnalités, découvrez la sécurité et le partage des données dans Intune.