Utilisez des bases de référence de sécurité pour sécuriser les appareils Windows que vous gérez avec Microsoft Intune

Avec les bases de référence de sécurité de Microsoft Intune, vous pouvez rapidement déployer une posture de sécurité recommandée sur vos appareils Windows gérés pour les bases de référence de sécurité Windows afin de vous aider à sécuriser et à protéger vos utilisateurs et appareils.

Même si Windows et Windows Server sont conçus pour être prêts à l’emploi, de nombreuses organisations souhaitent toujours disposer d’un contrôle plus précis sur leurs configurations de sécurité. Pour naviguer dans le grand nombre de contrôles, les organisations recherchent souvent des conseils sur la configuration de différentes fonctionnalités de sécurité. Microsoft fournit ces conseils sous la forme de bases de référence de sécurité.

Cette fonctionnalité s’applique à :

• Windows 10 1809 et versions ultérieures
• Windows 11

Vue d’ensemble de la base de référence de sécurité Intune

Chaque base de référence de sécurité est un groupe de paramètres Windows préconfigurés qui vous aident à appliquer et à appliquer des paramètres de sécurité granulaires recommandés par les équipes de sécurité concernées. Vous pouvez également personnaliser chaque ligne de base que vous déployez pour appliquer uniquement les paramètres et les valeurs dont vous avez besoin. Lorsque vous créez un profil de ligne de base de sécurité dans Intune, vous créez un modèle qui se compose de plusieurs profils de configuration d’appareil.

Les paramètres de chaque base de référence sont des paramètres de configuration d’appareil comme ceux qui se trouvent dans différentes stratégies Intune. Chaque paramètre d’une base de référence fonctionne avec le fournisseur de services de configuration pour le produit approprié présent sur un appareil Windows géré.

Pour en savoir plus sur la raison et le moment où vous souhaitez déployer des bases de référence de sécurité, consultez lignes de base de sécurité Windows dans la documentation de sécurité Windows.

Vous déployez des bases de référence de sécurité sur des groupes d’utilisateurs ou d’appareils dans Intune, et les paramètres s’appliquent aux appareils qui s’exécutent Windows 10 ou 11. Par exemple, la configuration par défaut de la base de référence de sécurité pour Windows 10 et versions ultérieures active automatiquement BitLocker pour les lecteurs amovibles, nécessite automatiquement un mot de passe pour déverrouiller un appareil, désactive automatiquement l’authentification de base, et bien plus encore. Quand une valeur par défaut ne fonctionne pas pour votre environnement, personnalisez la base de référence pour appliquer les paramètres nécessaires.

Remarque

En mai 2023, Intune a commencé le déploiement d’un nouveau format de base de référence de sécurité pour chaque nouvelle version de base de référence ou mise à jour de version. Le nouveau format met à jour les paramètres de la base de référence pour prendre directement leur nom et leurs options de configuration à partir du fournisseur de services de configuration (CSP) que le paramètre de base de référence gère.

Intune également introduit un nouveau processus pour vous aider à migrer un profil de base de référence de sécurité existant vers la version la plus récente de la base de référence. Ce nouveau comportement est un processus unique qui remplace le comportement de mise à jour normal lorsque vous passez de la version la plus récente d’un profil plus ancien à une version plus récente qui est devenue disponible en mai 2023 ou version ultérieure.

Avantages de l’utilisation de bases de référence :
Les bases de référence de sécurité peuvent vous aider à fournir un flux de travail sécurisé de bout en bout lorsque vous travaillez avec Microsoft 365. Vous trouverez ci-dessous certains des avantages :

• Par défaut, chaque base de référence de sécurité est configurée pour respecter les bonnes pratiques et les recommandations relatives aux paramètres qui affectent la sécurité. Intune collabore avec la même équipe de sécurité Windows qui crée les bases de référence de sécurité de la stratégie de groupe. Ces recommandations sont basées sur des conseils et une grande expérience.
• Si vous débutez avec Intune et que vous ne savez pas par où commencer, les bases de référence de sécurité vous offrent un avantage. Vous pouvez rapidement créer et déployer un profil sécurisé, en sachant que vous aidez à protéger les données et les ressources de votre organisation.
• Si vous utilisez actuellement une stratégie de groupe, la migration vers Intune pour la gestion est plus facile avec ces bases de référence. Ces bases de référence sont intégrées en mode natif à Intune et incluent une expérience de gestion moderne.

Paramètres par défaut sur plusieurs bases de référence :
Les types de base de référence distincts, comme la base de référence de sécurité MDM pour Windows et la base de référence pour Microsoft Defender, peuvent inclure les mêmes paramètres et utiliser des valeurs par défaut différentes pour ces paramètres. Intune ne pouvez pas déterminer la configuration qui vous convient le mieux, ni même dans quel environnement ou scénario vous souhaiterez peut-être utiliser une recommandation par défaut de base par rapport à une autre :

• Il est important de comprendre les valeurs par défaut dans les bases de référence que vous utilisez, puis de modifier chaque base de référence en fonction des besoins de votre organisation.
• Par défaut, chaque base de référence est préconfigurée à l’aide des recommandations spécifiques au produit auquel elle s’applique.
• Dans certains cas, une configuration recommandée par Microsoft Defender peut ne pas être la configuration par défaut pour des paramètres similaires quand Windows le recommande. Dans ce cas, il est important de passer en revue chaque paramètre afin de comprendre son intention en fonction des détails du fournisseur de services de configuration et de l’étendue plus large des deux produits.

Dans presque tous les scénarios, les paramètres par défaut dans les bases de référence de sécurité sont les plus restrictifs. Vous devez vérifier que ces paramètres n’entrent pas en conflit avec d’autres paramètres de stratégie ou fonctionnalités de votre environnement.

Par exemple, les paramètres par défaut pour la configuration du pare-feu peuvent ne pas fusionner les règles de sécurité de connexion et les règles de stratégie locale avec les règles GPM. Par conséquent, si vous utilisez l’optimisation de la distribution, vous devez valider ces configurations avant d’affecter la base de référence de sécurité.

Remarque

Microsoft déconseille l’utilisation de préversions de bases de référence de sécurité dans un environnement de production. Les paramètres d’une base de référence en préversion peuvent changer au cours de la préversion.

Bases de référence de la sécurité disponibles

Les instances de bases de référence de sécurité suivantes sont disponibles pour une utilisation avec Intune. Utilisez les liens pour afficher les paramètres des instances récentes de chaque base de référence.

• Base de référence de sécurité pour Windows 10 et versions ultérieures :
  • Version 23H2
  • Novembre 2021
  • Décembre 2020
  • Août 2020

• Microsoft Defender pour point de terminaison base de référence :
  (Pour pouvoir utiliser cette base de référence, vous devez faire en sorte que votre environnement respecte les prérequis de Microsoft Defender pour point de terminaison).

  • Version 6
  • Version 5
  • Version 4
  • Version 3

  Remarque

  La base de référence de sécurité Microsoft Defender pour point de terminaison a été optimisée pour les appareils physiques. Elle n’est pas recommandée à l’heure actuelle sur les machines virtuelles ni les points de terminaison VDI. Certains paramètres de la base de référence peuvent impacter les sessions interactives à distance sur les environnements virtualisés. Pour plus d’informations, consultez Améliorer la conformité à la base de référence de la sécurité de Microsoft Defender pour point de terminaison dans la documentation Windows.

• Microsoft 365 Apps entreprise :

  • Version 2306 (base de référence Office)Publiée en novembre 2023
  • Mai 2023 (base de référence Office)

• Base de référence Microsoft Edge :

  • Mai 2023 (Microsoft Edge version 112 et ultérieures)
  • Septembre 2020 (Microsoft Edge version 85 et ultérieures)
  • Avril 2020 (Microsoft Edge version 80 et ultérieures)
  • Préversion : octobre 2019 (Microsoft Edge version 77 et ultérieure)

• base de référence de la sécurité Windows 365 :

  • Octobre 2021

Lorsqu’une nouvelle version d’un profil devient disponible, les paramètres des profils basés sur les versions antérieures deviennent en lecture seule. Vous pouvez continuer à utiliser ces anciens profils. Vous pouvez également modifier les noms de profil, la description et les affectations, mais ils ne prennent pas en charge une modification de la configuration de leurs paramètres et vous ne pouvez pas créer de profils basés sur les versions antérieures.

Lorsque vous êtes prêt à utiliser la version de base de référence la plus récente, vous pouvez créer de nouveaux profils ou mettre à jour vos profils existants vers la nouvelle version. Consultez Modifier la version de base de référence pour un profil dans l’article Gérer des profils de base de référence de sécurité.

Versions et instances des bases de référence

Chaque nouvelle instance d’une version de base de référence peut ajouter ou supprimer des paramètres ou introduire d'autres modifications. Par exemple, à mesure que de nouveaux paramètres Windows deviennent disponibles avec les nouvelles versions de Windows 10/11, la base de référence de sécurité pour Windows 10 et versions ultérieures peut recevoir une nouvelle version instance qui inclut les paramètres les plus récents.

Vous pouvez afficher la liste des bases de référence disponibles dans le centre d’administration Microsoft Intune, sous Sécurité des points de terminaison> -Bases de référence de sécurité. La liste inclut :

• Nom de chaque modèle de base de référence de sécurité.
• Le nombre de profils dont vous disposez qui utilisent ce type de base de référence.
• le nombre d’instances distinctes (versions) du type de base de référence qui sont disponibles ;
• une date de dernière publication qui identifie le moment où la dernière version du modèle de base de référence est devenue disponible.

Pour afficher plus d’informations sur les versions de base de référence que vous utilisez, sélectionnez un type de base de référence, comme Base de référence de sécurité pour Windows 10 et versions ultérieures pour ouvrir son volet Profils, puis sélectionnez Versions. Intune affiche des détails sur les versions de la base de référence utilisée par vos profils. Les détails incluent la version de base de référence la plus récente. Vous pouvez sélectionner une version pour voir plus de détails sur les profils qui l’utilisent.

Vous pouvez choisir de modifier la version d’une base de référence utilisée avec un profil donné. Lorsque vous modifiez la version, vous n’êtes pas obligé de créer un nouveau profil de base de référence pour tirer parti des versions mises à jour. Au lieu de cela, vous pouvez sélectionner un profil de base de référence puis utiliser l’option intégrée pour remplacer la version de l’instance pour ce profil par une nouvelle version.

Éviter les conflits

Vous pouvez utiliser une ou plusieurs des bases de référence disponibles dans votre environnement Intune en même temps. Vous pouvez également utiliser plusieurs instances des mêmes bases de référence de sécurité qui ont des personnalisations différentes.

Lorsque vous utilisez plusieurs bases de référence de sécurité, passez en revue les paramètres de chacune d’elles pour déterminer quand vos différentes configurations de bases de référence introduisent des valeurs conflictuelles pour le même paramètre. Étant donné que vous pouvez déployer des bases de référence de sécurité conçues pour différentes intentions et déployer plusieurs instances de la même base de référence qui incluent des paramètres personnalisés, vous pouvez créer des conflits de configuration d’appareils qui doivent être examinés et résolus.

En outre, les bases de référence de la sécurité gèrent souvent les mêmes paramètres que ceux que vous pouvez définir avec des profils de configuration d’appareil ou d’autres types de stratégie. Par conséquent, tenez compte de vos autres stratégies et profils pour les paramètres lorsque vous souhaitez éviter ou résoudre les conflits.

Pour plus d’informations qui peuvent vous aider à identifier et à résoudre les conflits, consultez :

• Résoudre les problèmes de stratégies et profils dans Intune
• Surveiller vos bases de référence de sécurité

Questions et réponses

Pourquoi ces paramètres ?

L’équipe de sécurité Microsoft travaille directement avec les développeurs Windows et de la communauté de sécurité depuis des années pour créer ces recommandations. Les paramètres de cette base de référence sont considérées comme les options de configuration liées à la sécurité les plus pertinentes. Dans chaque nouvelle build de Windows, l’équipe ajuste ses recommandations en fonction des nouvelles fonctionnalités.

Existe-t-il une différence dans les recommandations pour les bases de référence de sécurité Windows pour la stratégie de groupe et Intune

La même équipe de sécurité Microsoft a choisi et organisé les paramètres pour chaque base de référence. Intune inclut tous les paramètres pertinents dans la base de référence de sécurité Intune. Il existe certains paramètres dans la base de référence de la stratégie de groupe qui sont spécifiques à un contrôleur de domaine local. Ces paramètres sont exclus des recommandations d’Intune. Tous les autres paramètres sont les mêmes.

Les lignes de base de sécurité Intune sont-elles conformes à CIS ou NSIT ?

À strictement parler, non. L’équipe de sécurité Microsoft consulte des organisations, comme CIS, pour compiler ses recommandations. Toutefois, il n’existe pas de mappage un-à-un entre les lignes de base « conformes CIS » et Microsoft.

Quelles certifications les bases de référence de sécurité de Microsoft ont-elles ?

Microsoft continue de publier des bases de référence de sécurité pour les stratégies de groupe (GPO) et la Boîte à outils de conformité de la sécurité, comme depuis de nombreuses années. Ces bases de référence sont utilisées par de nombreuses organisations. Les recommandations contenues dans ces bases de référence sont issues de l’engagement de l’équipe de sécurité Microsoft avec des clients d’entreprise et des agences externes, notamment le DOD (Department of Defense) et le NIST (National Institute of Standards et Technology). Nous partageons nos recommandations et bases de référence avec ces organisations. Ces organisations ont également leurs propres recommandations qui reflètent celles de Microsoft. Alors que la gestion des appareils mobiles continue de croître dans le cloud, Microsoft a créé des recommandations de gestion des appareils mobiles équivalentes à ces bases de référence de la stratégie de groupe. La plupart de ces bases de référence sont intégrées à Microsoft Intune et incluent des rapports de conformité sur les utilisateurs, les groupes et les appareils qui suivent (ou ne suivent pas) la base de référence.

De nombreux clients utilisent les recommandations de base Intune comme point de départ, puis les personnalisent pour répondre à leurs besoins informatiques et de sécurité. Le modèle de base de référence Windows 10 et ultérieur de Microsoft a été la première base de référence à être publié. Cette base de référence est conçue sous la forme d’une infrastructure générique qui permet aux clients d’importer les autres bases de référence de sécurité basées sur CIS, NIST et autres normes.

La migration de stratégies de groupe Active Directory local vers une solution cloud pure utilisant Microsoft Entra ID avec Microsoft Intune est un parcours. Pour vous aider, utilisez les différents outils de Security Compliance Toolkit susceptibles de vous aider à identifier les options basées sur le cloud des bases de référence de sécurité qui peuvent remplacer vos configurations d’objets de stratégie de groupe locales.

Où puis-je trouver des détails sur l’utilisation ou la configuration des paramètres disponibles dans une base de référence de sécurité ?

Chaque base de référence de sécurité gère les configurations d’appareil en appliquant les options d’un fournisseur de services de configuration sur un appareil. Par exemple, les paramètres qui s’appliquent à Microsoft Defender proviennent de Microsoft Defender CSP. Étant donné que Intune est un véhicule de configuration pour ces options et ne détermine pas leurs fonctionnalités ou étendue, la documentation csp possède le contenu de la configuration de chaque option.

Dans l’interface utilisateur de la stratégie de base de référence de sécurité Intune, Intune fournit un texte d’informations provenant du fournisseur de services de configuration source et fournit un lien vers ce fournisseur de services de configuration. Dans certains cas, le csp peut faire partie d’un ensemble de contenu plus volumineux qui inclut des conseils proactifs qui dépassent le cadre de Intune inclure ou dupliquer dans notre contenu. Toutefois, Intune documentez la liste des paramètres dans chaque version de la base de référence de sécurité et sa configuration par défaut.

Prochaines étapes

• Créer des profils de base de référence de sécurité

• Vérifier l’état et surveiller la base de référence et le profil

• Affichez les paramètres dans les dernières versions des bases de référence disponibles :

  • Windows 10 et versions ultérieures - Base de référence de la sécurité MDM
  • Base de référence de Microsoft Defender pour point de terminaison
  • base de référence de sécurité Microsoft 365 Apps pour l’entreprise (Office)
  • Base de référence de sécurité Microsoft Edge
  • Base de référence Sécurité Windows 365