Vue d’ensemble de la gestion des appareils avec Intune

Un composant essentiel de la sécurité au niveau de l’entreprise inclut la gestion et la protection des appareils. Que vous construisiez une architecture de sécurité de confiance zéro, renforciez votre environnement contre les rançongiciels ou que vous génériez des protections pour prendre en charge les travailleurs à distance, la gestion des appareils fait partie de la stratégie. Bien que Microsoft 365 inclut plusieurs outils et méthodologies pour la gestion et la protection des appareils, ces instructions suivent les recommandations de Microsoft à l’aide de Microsoft Intune. Il s’agit de conseils qui vous conviennent si vous :

  • Prévoyez d’inscrire des appareils dans Intune via Microsoft Entra jointure (y compris Microsoft Entra jointure hybride).
  • Prévoyez d’inscrire manuellement des appareils dans Intune.
  • Autorisez les appareils BYOD avec des plans à implémenter la protection des applications et des données et/ou inscrivez ces appareils auprès d’Intune.

En revanche, si votre environnement inclut des plans de cogestion, y compris Microsoft Configuration Manager, consultez la documentation sur la cogestion pour développer le meilleur chemin pour votre organization. Si votre environnement inclut des plans pour Windows 365 PC Cloud, consultez la Documentation Windows 365 Enterprise pour développer le meilleur parcours pour votre organisation.

Regardez cette vidéo de présentation du processus de déploiement.

Pourquoi gérer les points de terminaison ?

L’entreprise moderne possède une diversité incroyable de points de terminaison qui accèdent à ses données. Cette configuration crée une surface d’attaque massive, et par conséquent, les points de terminaison peuvent facilement devenir le lien le plus faible dans votre stratégie de sécurité Confiance zéro.

Principalement pilotés par une nécessité telle que le monde s’est déplacé vers un modèle de travail distant ou hybride, les utilisateurs travaillent à partir de n’importe où, de n’importe quel appareil, plus qu’à tout autre moment dans l’histoire. Les attaquants ajustent rapidement leurs tactiques pour profiter de ce changement. De nombreuses organisations font face à des ressources limitées alors qu’elles relèvent ces nouveaux défis d’entreprise. Pratiquement du jour au lendemain, les entreprises ont accéléré la transformation numérique. En bref, la façon dont les gens travaillent a changé. Nous ne prévoyons plus d’accéder à la myriade de ressources d’entreprise uniquement à partir du bureau et sur les appareils appartenant à l’entreprise.

Obtenir une visibilité sur les points de terminaison accédant à vos ressources d’entreprise est la première étape de votre stratégie d’appareils de confiance zéro. En règle générale, les entreprises sont proactives pour protéger les PC contre les vulnérabilités et les attaques, tandis que les appareils mobiles restent souvent sans surveillance et sans protection. Pour vous assurer que vous n’exposez pas vos données à des risques, nous devons surveiller chaque point de terminaison à la recherche de risques et utiliser des contrôles d’accès granulaires pour offrir le niveau d’accès approprié en fonction de la stratégie de l’organisation. Par exemple, si un appareil personnel est jailbreaké, vous pouvez bloquer l’accès pour vous assurer que les applications d’entreprise ne sont pas exposées à des vulnérabilités connues.

Cette série d’articles vous permet de parcourir un processus recommandé de gestion des appareils qui accèdent à vos ressources. Si vous suivez les étapes recommandées, votre organisation peut obtenir une protection très sophistiquée pour vos appareils et les ressources auxquelles ils accèdent.

Mise en œuvre de couches de protection sur et pour les appareils

La protection des données et des applications sur les appareils et les appareils eux-mêmes est un processus à plusieurs couches. Il existe certaines protections que vous pouvez acquérir sur des appareils non gérés. Après avoir inscrit des appareils dans la gestion, vous pouvez implémenter des contrôles plus sophistiqués. Lorsque la protection contre les menaces est déployée sur vos points de terminaison, vous obtenez davantage d’informations et la possibilité de corriger automatiquement certaines attaques. Enfin, si votre organization a travaillé à l’identification des données sensibles, à l’application de classification et d’étiquettes et à la configuration de stratégies de Protection contre la perte de données Microsoft Purview, vous pouvez obtenir une protection encore plus précise des données sur vos points de terminaison.

Le diagramme suivant illustre les blocs de construction pour obtenir une posture de sécurité de confiance zéro pour Microsoft 365 et d’autres applications SaaS que vous introduisez dans cet environnement. Les éléments liés aux appareils sont numérotés de 1 à 7. Les administrateurs d’appareils se coordonnent avec d’autres administrateurs pour accomplir ces couches de protection.

Desc.

Dans cette illustration :

  Étape Description Conditions d'octroi de licence
1 Configurer le point de départ des stratégies d’accès aux appareils et aux identités de confiance zéro Travaillez avec votre administrateur d'identité pour mettre en œuvre des stratégies de protection des données APP (App Protection Policies) de niveau 2. Ces stratégies ne nécessitent pas que vous gériez les appareils. Vous configurez les stratégies de stratégie de protection des applications (SPA) dans Intune. L’administrateur des identités configure une stratégie d’accès conditionnel pour exiger des applications approuvées. E3, E5, F1, F3, F5
2 Inscrire des appareils dans Intune Cette tâche nécessite davantage de planification et de temps pour son implémentation. Microsoft recommande d’utiliser Intune pour inscrire des appareils, car cet outil offre une intégration optimale. Il existe plusieurs options d’inscription d’appareils, en fonction de la plateforme. Par exemple, les appareils Windows peuvent être inscrits à l’aide de Microsoft Entra jonction ou à l’aide d’Autopilot. Vous devez passer en revue les options de chaque plateforme et choisir l’option d’inscription la mieux adaptée à votre environnement. Voir Étape 2. Inscrire les appareils à Intune pour plus d'informations. E3, E5, F1, F3, F5
3 Configurer des stratégies de conformité Vous souhaitez vous assurer que les appareils qui accèdent à vos applications et données répondent aux exigences minimales, par exemple les appareils sont protégés par mot de passe ou par code confidentiel et le système d’exploitation est à jour. Les stratégies de conformité sont le moyen de définir les exigences que les appareils doivent respecter. Étape 3. Configurer les stratégies de conformité vous aide à configurer ces stratégies. E3, E5, F3, F5
4 Configurer les stratégies d’entreprise d’accès aux appareils et aux identités de confiance zéro (recommandé) Maintenant que vos appareils sont inscrits, vous pouvez travailler avec votre administrateur d'identité pour ajuster les stratégies d'accès conditionnel afin d'exiger des appareils sains et conformes. E3, E5, F3, F5
5 Déployer des profils de configuration Par opposition aux stratégies de conformité des appareils qui marquent simplement un appareil comme conforme ou non en fonction des critères que vous configurez, les profils de configuration modifient réellement la configuration des paramètres sur un appareil. Vous pouvez utiliser des stratégies de configuration pour renforcer les appareils contre les cybermenaces. Voir l’Étape 5. Déployer des profils de configuration.. E3, E5, F3, F5
6 Surveiller les risques et la conformité des appareils avec les bases de référence de sécurité Dans cette étape, vous connectez Intune à Microsoft Defender pour point de terminaison. Grâce à cette intégration, vous pouvez ensuite surveiller les risques des appareils comme condition d’accès. Les appareils qui se trouvent dans un état risqué sont bloqués. Vous pouvez également surveiller la conformité avec les bases de référence de sécurité. Voir l'étape 6. Surveillez les risques liés aux appareils et la conformité aux lignes de base de sécurité. E5, F5
7 Implémenter la protection contre la perte de données (DLP) avec les fonctionnalités de protection des informations Si votre organisation a fait le nécessaire pour identifier les données sensibles et étiqueter les documents, vous pouvez collaborer avec votre administrateur chargé de la protection des informations pour protéger les informations et les documents sensibles sur vos appareils. Module complémentaire de conformité E5, F5

Coordination de la gestion du point de terminaison avec des stratégies d’accès aux appareils et aux identités de confiance zéro

Ces conseils sont étroitement coordonnés avec les stratégies recommandées de confiance zéro en matière d'identité et d'accès aux appareils. Vous allez travailler avec votre équipe d’identité pour assurer la protection que vous configurez avec Intune dans les stratégies d’accès conditionnel dans Microsoft Entra ID.

Voici une illustration de l’ensemble de stratégies recommandé avec des légendes d’étape pour le travail que vous effectuerez dans Intune et les stratégies d’accès conditionnel associées que vous aiderez à coordonner dans Microsoft Entra ID.

Confiance nulle stratégies d’identité et d’accès aux appareils.

Dans cette illustration :

  • À l'étape 1, Mettre en œuvre les stratégies de protection des applications (APP) de niveau 2, vous configurez le niveau recommandé de protection des données avec les stratégies APP. Vous travaillez ensuite avec l’équipe chargée des identités pour configurer la règle d’accès conditionnel associée afin d’exiger l’utilisation de cette protection.
  • Aux étapes 2, 3 et 4, vous inscrivez des appareils à la gestion avec Intune, définissez des stratégies de conformité des appareils, puis vous coordonnez avec votre équipe d’identité pour configurer la règle d’accès conditionnel associée afin d’autoriser uniquement l’accès aux appareils conformes.

Inscription d’appareils et intégration d’appareils

Si vous suivez ces conseils, vous allez inscrire des appareils dans la gestion à l’aide de Intune et intégrer des appareils pour les fonctionnalités Microsoft 365 suivantes :

  • Microsoft Defender pour point de terminaison
  • Microsoft Purview (pour la protection contre la perte de données de point de terminaison (DLP))

L’illustration suivante explique comment cela fonctionne à l’aide d’Intune.

Processus d’inscription et d’intégration des appareils.

Dans cette illustration :

  1. Inscrire des appareils dans la gestion avec Intune.
  2. Utilisez Intune pour intégrer des appareils à Defender pour point de terminaison.
  3. Les appareils intégrés à Defender pour point de terminaison sont également intégrés pour les fonctionnalités de Microsoft Purview, y compris la protection contre la perte de données du point de terminaison.

Notez que seul Intune gère les appareils. L’intégration fait référence à la possibilité pour un appareil de partager des informations avec un service spécifique. Le tableau suivant récapitule les différences entre l’inscription d’appareils dans la gestion et l’intégration d’appareils pour un service spécifique.

  Inscription Intégrer
Description L’inscription s’applique à la gestion des appareils. Les appareils sont inscrits pour la gestion avec Intune ou Gestionnaire de configuration. L’intégration configure un appareil pour qu’il fonctionne avec un ensemble spécifique de fonctionnalités dans Microsoft 365. Actuellement, l’intégration s’applique à Microsoft Defender pour point de terminaison et aux fonctionnalités de conformité Microsoft.

Sur les appareils Windows, l’intégration implique de basculer un paramètre dans Windows Defender qui permet à Defender de se connecter au service en ligne et d’accepter les stratégies qui s’appliquent à l’appareil.
Portée Ces outils de gestion des appareils gèrent l’ensemble de l’appareil, notamment la configuration de l’appareil pour atteindre des objectifs spécifiques, tels que la sécurité. L’intégration affecte uniquement les services qui s’appliquent.
Méthodes recommandées Microsoft Entra’inscription automatique des appareils dans Intune. Intune est la méthode préférée pour intégrer des appareils à Windows Defender pour point de terminaison, et par conséquent les fonctionnalités de Microsoft Purview.

Notez que les appareils intégrés aux fonctionnalités de Microsoft Purview à l’aide d’autres méthodes ne sont pas automatiquement inscrits pour Defender pour point de terminaison.
Autres méthodes D’autres méthodes d’inscription dépendent de la plateforme de l’appareil et s’il s’agit de BYOD ou géré par votre organization. Les autres méthodes d’intégration des appareils sont les suivantes, dans l’ordre recommandé :
  • Gestionnaire de configuration
  • Autre outil de gestion des périphériques mobiles (si l’appareil est géré par un seul)
  • Script local
  • Package de configuration VDI pour l’intégration d’appareils d’infrastructure de bureau virtuel (VDI) non persistants
  • Stratégie de groupe
  • Apprentissage pour les administrateurs

    Les ressources suivantes aident les administrateurs à découvrir les concepts relatifs à l’utilisation de Intune.

    • Simplifier la gestion des appareils avec Microsoft Intune module de formation

      Découvrez comment les solutions de gestion d’entreprise via Microsoft 365 offrent aux utilisateurs une expérience de bureau sécurisée et personnalisée et aident les organisations à gérer facilement les mises à jour pour tous les appareils avec une expérience d’administration simplifiée.

    • Évaluer Microsoft Intune

      Microsoft Intune vous aide à protéger les appareils, les applications et les données que les personnes de votre organization utiliser pour être productifs. Cet article vous explique comment configurer Microsoft Intune. Le programme d’installation comprend l’examen des configurations prises en charge, l’inscription à Intune, l’ajout d’utilisateurs et de groupes, l’attribution de licences aux utilisateurs, l’octroi d’autorisations d’administrateur et la définition de l’autorité mobile Gestion des appareils (GPM).

    Étape suivante

    Passez à l’étape 1. Implémenter des stratégies de protection des applications.