Protéger les PC Windows à l'aide de stratégies de Pare-feu Windows dans Microsoft IntuneHelp protect Windows PCs using Windows Firewall policies in Microsoft Intune

S’applique à : Intune dans la console classiqueApplies to: Intune in the classic console
Vous recherchez la documentation sur Intune dans Azure ?Looking for documentation about Intune on Azure? Cliquez ici.Go here.

Microsoft Intune peut vous aider à sécuriser les PC Windows que vous gérez avec le client Intune et ce, de plusieurs façons.Microsoft Intune can help you to secure Windows PCs that you manage with the Intune client in a number of ways. Par exemple, il peut fournir des stratégies vous permettant de configurer les paramètres du Pare-feu Windows sur des PC.One way in which it does this is to provide policies that enable you to configure Windows Firewall settings on PCs.

Si vous n’avez pas encore installé le client de PC Windows Intune sur vos ordinateurs, consultez Installer le client de PC Windows avec Microsoft Intune.If you have not yet installed the Intune Windows PC client on your computers, see Install the Windows PC client with Microsoft Intune.

Utilisez les informations des sections suivantes pour configurer, déployer et surveiller les stratégies du Pare-feu Windows sur les PC Windows.Use the information in the following sections to help you configure, deploy, and monitor Windows Firewall policies on Windows PCs.

Utiliser des stratégies Intune pour gérer le Pare-feu WindowsUse Intune policies to manage Windows Firewall

La stratégie du Pare-feu Windows vous permet de créer et de déployer les paramètres qui contrôlent le Pare-feu Windows sur les PC gérés.The Windows Firewall policy lets you create and deploy settings that control Windows Firewall on managed PCs. Vous ne pouvez pas gérer des exceptions personnalisées pour le Pare-feu Windows, et ces paramètres n’affectent pas les pare-feux tiers.You cannot manage custom exceptions for Windows Firewall, and these settings do not affect third-party firewalls.

Note

Si la stratégie Microsoft Intune et la stratégie de groupe sont configurées pour gérer le même paramètre sur le PC, le paramètre de la stratégie de groupe est prioritaire sur la stratégie Microsoft Intune.If Microsoft Intune policy and Group Policy are configured to manage the same setting on the PC, the Group Policy setting overrides the Microsoft Intune policy. Pour en savoir plus sur la façon d’éviter des conflits entre la stratégie Intune et la stratégie de groupe, voir Résoudre des conflits de stratégie entre les objets de stratégie de groupe et Microsoft Intune.For information about how to avoid conflicts between Intune policy and Group Policy, see Resolve GPO and Microsoft Intune policy conflicts.

Pour déployer les paramètres du Pare-feu Windows sur des ordinateurs exécutant Windows Vista, vous devez d’abord installer le correctif logiciel KB971800 sur ces ordinateurs.If you want to deploy Windows Firewall settings to computers that run Windows Vista, you must first install Hotfix KB971800 on these computers.

Important

Pour gérer le Pare-feu Windows à l’aide d’Intune, assurez-vous que les deux services suivants sont activés sur les ordinateurs que vous allez gérer :To manage Windows Firewall by using Intune, ensure that the following two services are enabled on the computers that you manage:

  • Pare-feu WindowsWindows Firewall
  • Agent de stratégie IPsecIPsec Policy Agent

Configurer une stratégie du Pare-feu WindowsConfigure a Windows Firewall policy

  1. Dans la console d’administration Microsoft Intune, choisissez Stratégie > Ajouter une stratégie.In the Microsoft Intune administration console, choose Policy > Add Policy.

  2. Configurez et déployez une stratégie Paramètres du Pare-feu Windows .Configure and deploy a Windows Firewall Settings policy. Vous pouvez utiliser les paramètres recommandés ou personnaliser les paramètres.You can use the recommended settings or customize the settings. Pour plus d’informations sur la création et le déploiement des stratégies, consultez Tâches courantes de gestion des PC Windows avec le client Microsoft Intune.If you need more information about how to create and deploy policies, see Common Windows PC management tasks with the Microsoft Intune computer client.

    La section suivante répertorie les valeurs que vous pouvez configurer dans la stratégie, ainsi que les valeurs par défaut qui seront utilisées si vous ne personnalisez pas la stratégie.The following section lists the values that you can configure in the policy and also the default values that will be used if you don’t customize the policy.

Après avoir déployé une stratégie du Pare-feu Windows, vous pouvez afficher son état dans la page Toutes les stratégies de l’espace de travail Stratégie.After you deploy a Windows Firewall policy, you can view its status on the All Policies page of the Policy workspace.

Spécifier des paramètres de stratégie pour le Pare-feu WindowsSpecify policy settings for Windows Firewall

Activer le Pare-feu WindowsTurn on Windows Firewall

Ces paramètres de stratégie activent le Pare-feu Windows sur les ordinateurs gérés qui sont :These policy settings enable Windows Firewall on managed computers that are:

  • connectés à un domaine (par exemple, sur l’espace de travail) ;Connected to a domain (for example, at the workplace)
  • connectés à un réseau privé (approuvé), par exemple un réseau domestique ;Connected to a private (trusted) network (such as a home network)
  • connectés à un réseau public non approuvé (par exemple un café).Connected to an untrusted public network (such as a coffee shop)

La valeur par défaut pour chacun de ces paramètres est Oui, qui est la valeur la plus sécurisée.The default value for each of these settings is Yes, which is the most secure value.

Bloquer toutes les connexions entrantes, y compris celles figurant dans la liste de programmes autorisésBlock all incoming connections, including those in the list of allowed programs

Ces paramètres de stratégie configurent le Pare-feu Windows pour bloquer le trafic réseau entrant sur les ordinateurs gérés qui sont :These policy settings configure Windows Firewall to block incoming network traffic on managed computers that are:

  • connectés à un domaine (par exemple, sur l’espace de travail) ;Connected to a domain (for example, at the workplace)
  • connectés à un réseau privé (approuvé), par exemple un réseau domestique ;Connected to a private (trusted) network (such as a home network)
  • connectés à un réseau public non approuvé (par exemple un café).Connected to an untrusted public network (such as a coffee shop)

La valeur par défaut pour chacun de ces paramètres est Oui, qui est la valeur la plus sécurisée.The default value for each of these settings is Yes, which is the most secure value.

Important

Si votre environnement comprend des ordinateurs gérés exécutant Windows Vista sans Service Pack installé, vous devez installer la mise à jour associée à l’article 971800 de la Base de connaissances Microsoft, ou bien désactiver les paramètres de la stratégie Bloquer toutes les connexions entrantes dans les stratégies déployées sur ces ordinateurs.If your environment includes managed computers that are running Windows Vista with no service packs installed, you must either install the update that's associated with article 971800 in the Microsoft Knowledge Base or disable the Block all incoming connections policy settings in policies that are deployed to those computers.

Informer l'utilisateur lorsque le Pare-feu Windows bloque un nouveau programmeNotify the user when Windows Firewall blocks a new program

Ces paramètres de stratégie déterminent si le Pare-feu Windows doit avertir l’utilisateur du PC en cas de blocage du trafic réseau entrant lorsque les ordinateurs gérés sont :These policy settings determine whether Windows Firewall notifies a PC user when it blocks incoming network traffic when the managed computer is:

  • connectés à un domaine (par exemple, sur l’espace de travail) ;Connected to a domain (for example, at the workplace)
  • connectés à un réseau privé (approuvé), par exemple un réseau domestique ;Connected to a private (trusted) network (such as a home network)
  • connectés à un réseau public non approuvé (par exemple un café).Connected to an untrusted public network (such as a coffee shop)

La valeur par défaut pour chacun de ces paramètres est Oui.The default value for each of these settings is Yes.

Configurer des exceptions prédéfiniesConfigure predefined exceptions

Vous pouvez configurer des exceptions qui autorisent des types spécifiques de trafic réseau via le pare-feu, indépendamment des valeurs que vous avez configurées précédemment.You can configure exceptions that allow specific types of network traffic through the firewall regardless of the values that you configured earlier. Aucun de ces paramètres n’est configuré par défaut.None of these settings are configured by default.

Nom du paramètreSetting name DétailsDetails
BranchCache - Récupération du contenuBranchCache - Content Retrieval
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre permet aux clients BranchCache d’utiliser le protocole HTTP pour récupérer le contenu d’autres clients BranchCache en mode distribué, et à partir du cache hébergé en mode cache hébergé.Lets BranchCache clients use HTTP to retrieve content from other BranchCache clients while in distributed mode and from the hosted cache while in hosted cache mode. Ce paramètre utilise HTTP.This setting uses HTTP.
BranchCache - Client de cache hébergéBranchCache - Hosted Cache Client
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre permet aux clients BranchCache d’utiliser un cache hébergé.Lets BranchCache clients use a hosted cache. Ce paramètre utilise le protocole HTTPS.This setting uses HTTPS.
BranchCache - Serveur de cache hébergéBranchCache - Hosted Cache Server Ce paramètre permet aux clients BranchCache d’utiliser un cache hébergé pour communiquer avec d’autres clients.Lets BranchCache clients use a hosted cache to communicate with other clients. Ce paramètre utilise le protocole HTTPS.This setting uses HTTPS.
BranchCache - Découverte d'homologueBranchCache - Peer Discovery
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre permet aux clients BranchCache d’utiliser le protocole Web Services Dynamic Discovery (WS-Discovery) pour vérifier la disponibilité du contenu sur le sous-réseau local.Lets BranchCache clients use the Web Services Dynamic Discovery (WS-Discovery) protocol to look up content availability on the local subnet.
BITS PeercachingBITS Peercaching Ce paramètre permet aux clients d’utiliser le service de transfert intelligent en arrière-plan (BITS) pour rechercher et partager des fichiers qui sont stockés dans le cache BITS sur les clients dans le même sous-réseau.Lets clients use Background Intelligent Transfer Service (BITS) to find and share files that are stored in the BITS cache on clients in the same subnet. Ce paramètre utilise les technologies Web Services on Devices (WSDAPI) et l’appel de procédure distante (RPC).This setting uses Web Services on Devices (WSDAPI) and Remote Procedure Call (RPC).
Connexion à un projecteur réseauConnect to a Network Projector Ce paramètre permet aux utilisateurs de se connecter à des projecteurs via des réseaux câblés ou sans fil pour projeter des présentations.Lets users connect to projectors over wired or wireless networks to project presentations. Ce paramètre utilise le WSDAPI.This setting uses WSDAPI.
Accès au réseau de baseCore Networking Ce paramètre permet aux clients d’utiliser les protocoles IPv4 et IPv6 pour se connecter aux ressources réseau.Lets clients use IPv4 and IPv6 to connect to network resources.
Coordinateur de transactions distribuéesDistributed Transaction Coordinator Ce paramètre permet à des ordinateurs gérés de coordonner les transactions qui mettent à jour des ressources protégées par transaction, comme les bases de données, les files d’attente de messages et les systèmes de fichiers.Enables managed computers to coordinate transactions that update transaction-protected resources, such as databases, message queues, and file systems.
Partage de fichiers et d'imprimantesFile and Printer Sharing Ce paramètre permet aux utilisateurs de partager des imprimantes et fichiers locaux avec d’autres utilisateurs sur le réseau.Enables users to share local files and printers with other users on the network. Ce paramètre utilise NetBIOS, la résolution LLMNR (Link Local Multicast Name Resolution), le protocole SMB (Server Message Block) et RPC.This setting uses NetBIOS, Link Local Multicast Name Resolution (LLMNR), Server Message Block (SMB) protocol, and RPC.
HomeGroupHomeGroup
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre autorise les ordinateurs gérés à participer à un réseau HomeGroup.Enables managed computers to participate in a HomeGroup network.
Service iSCSIiSCSI Service Ce paramètre permet à des ordinateurs gérés de se connecter à des appareils et serveurs iSCSI.Enables managed computers to connect to iSCSI servers and devices.
Service de gestion de clésKey Management Service Ce paramètre permet aux ordinateurs d’être comptabilisés pour la conformité des licences dans les environnements d’entreprise.Lets computers be counted for license compliance in enterprise environments.
Unités Media Center ExtenderMedia Center Extenders Ce paramètre autorise les unités Media Center Extender à communiquer avec les ordinateurs qui exécutent Windows Media Center.Enables Media Center Extenders to communicate with computers that are running Windows Media Center. Ce paramètre utilise qWave et le protocole SSDP (Simple Service Discovery Protocol).This setting uses Simple Service Discovery Protocol (SSDP) and qWave.
Service NetlogonNetlogon Service Ce paramètre configure un canal de sécurité entre les clients de domaine et un contrôleur de domaine pour l’authentification des utilisateurs et des services.Configures a security channel between domain clients and a domain controller for authenticating users and services. Ce paramètre utilise un RPC.This setting uses RPC.
Découverte du réseauNetwork Discovery Ce paramètre permet aux ordinateurs de détecter d’autres appareils et d’être détectés par d’autres appareils sur le réseau.Lets computers discover other devices and be discovered by other devices on the network. Ce paramètre utilise les services de découverte, d'hôte et de publication de fonctions et les protocoles de réseau SSDP, NetBIOS, LLMNR et UPnP.This setting uses Function Discovery Host and Publication Services and SSDP, NetBIOS, LLMNR, and UPnP network protocols.
Journaux et alertes de performancesPerformance Logs and Alerts Ce paramètre permet la gestion à distance du service Journaux et alertes de performances.Enables the Performance Logs and Alerts service to be remotely managed. Ce paramètre utilise un RPC.This setting uses RPC.
Administration à distanceRemote Administration Ce paramètre permet l’administration à distance de l’ordinateur.Enables remote administration of the computer.
Assistance à distanceRemote Assistance Ce paramètre permet aux utilisateurs d’ordinateurs gérés de demander une assistance à distance par d’autres utilisateurs sur le réseau.Lets users of managed computers request remote assistance from other users on the network. Ce paramètre utilise les protocoles de réseau UPnP, SSDP, PNRP (Peer Name Resolution Protocol) et Teredo.This setting uses SSDP, Peer Name Resolution Protocol (PNRP), Teredo, and UPnP network protocols.
Bureau à distanceRemote Desktop Ce paramètre permet à l’ordinateur d’utiliser le Bureau à distance pour accéder à d’autres ordinateurs.Lets the computer use Remote Desktop to access other computers.
Gestion à distance du journal des événementsRemote Event Log Management Ce paramètre permet la consultation et la gestion à distance des journaux des événements des clients.Lets client event logs be viewed and managed remotely. Ce paramètre utilise les canaux nommés et un RPC.This setting uses Named Pipes and RPC.
Gestion à distance des tâches planifiéesRemote Scheduled Tasks Management Ce paramètre permet la gestion à distance du service de planification des tâches.Enables remote management of the task scheduling service. Ce paramètre utilise un RPC.This setting uses RPC.
Gestion de services à distanceRemote Service Management Ce paramètre permet la gestion à distance des services locaux sur les clients.Enables remote management of local services on clients. Ce paramètre utilise les canaux nommés et un RPC.This setting uses Named Pipes and RPC.
Gestion des volumes à distanceRemote Volume Management Ce paramètre permet la gestion à distance des volumes de disque au plan logiciel et matériel.Enables remote software and hardware disk volume management. Ce paramètre utilise un RPC.This setting uses RPC.
Routage et accès distantRouting and Remote Access Ce paramètre autorise les connexions d’accès distant et VPN entrantes aux ordinateurs.Enables incoming VPN and remote access connections to computers.
Protocole SSTP (Secure Socket Tunneling Protocol)Secure Socket Tunneling Protocol Ce paramètre autorise les connexions VPN entrantes aux ordinateurs gérés via le protocole SSTP (Secure Socket Tunneling Protocol).Enables incoming VPN connections to managed computers with Secure Socket Tunneling Protocol (SSTP). Ce paramètre utilise le protocole HTTPS.This setting uses HTTPS.
Interruption SNMPSNMP Trap Ce paramètre permet aux ordinateurs gérés de recevoir le trafic du service d’interruption du protocole SNMP (Simple Network Management Protocol).Lets managed computers receive Simple Network Management Protocol (SNMP) Trap service traffic.
Infrastructure UPnPUPnP Framework Ce paramètre configure le service UPnP Framework sur les ordinateurs pour leur permettre de découvrir et d’utiliser les appareils certifiés UPnP.Configures the UPnP Framework service on computers to let them discover and use UPnP certified devices.
Service d'inscription de nom d'ordinateur Espace de collaboration WindowsWindows Collaboration Computer Name Registration Service Ce paramètre permet aux ordinateurs de rechercher d’autres ordinateurs et de communiquer avec eux à l’aide des protocoles SSDP et PNRP.Lets computers find and communicate with other computers by using SSDP and PNRP.
Lecteur Windows MediaWindows Media Player Ce paramètre permet aux utilisateurs d’accéder à la diffusion multimédia en continu via UDP (User Datagram Protocol).Lets users receive streaming media over User Datagram Protocol (UDP).
Service Partage réseau du Lecteur Windows MediaWindows Media Player Network Sharing Service Ce paramètre permet aux utilisateurs de partager des médias sur un réseau.Lets users share media over a network. Ce paramètre utilise les protocoles réseau SSDP, qWave et UPnP.This setting uses the SSDP, qWave, and UPnP network protocols.
Service Partage réseau du Lecteur Windows Media (Internet)Windows Media Player Network Sharing Service (Internet)
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre permet aux utilisateurs de partager des médias personnels sur Internet.Lets users share home media over the Internet.
Espace de collaboration WindowsWindows Meeting Space Ce paramètre permet aux utilisateurs de collaborer sur un réseau pour partager des documents, des programmes et leur Bureau.Lets users collaborate over a network to share documents, programs, and their desktops. Ce paramètre utilise la fonction de réplication du système de fichiers DFS (DFSR) et P2P.This setting uses Distributed File System Replication (DFSR) and P2P.
Windows Peer to Peer Collaboration FoundationWindows Peer to Peer Collaboration Foundation Ce paramètre configure différents programmes et technologies pair à pair pour leur permettre de se connecter.Configures various peer-to-peer programs and technologies to enable them to connect. Ce paramètre utilise SSDP et PNRP.This setting uses SSDP and PNRP.
Gestion à distance de Windows (compatibilité)Windows Remote Management (Compatibility) Ce paramètre permet l’administration à distance des ordinateurs gérés via WS-Management, un protocole basé sur des services web pour la gestion à distance des systèmes d’exploitation et des appareils.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Gestion à distance de WindowsWindows Remote Management
(Windows 8 ou version ultérieure)(Windows 8 or later)
Ce paramètre permet l’administration à distance des ordinateurs gérés via WS-Management, un protocole basé sur des services web pour la gestion à distance des systèmes d’exploitation et des appareils.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Windows Virtual PCWindows Virtual PC
(Windows 7 ou version ultérieure)(Windows 7 or later)
Ce paramètre permet à des machines virtuelles de communiquer avec d’autres ordinateurs.Lets virtual machines communicate with other computers.
Appareils mobiles sans filWireless Portable Devices Ce paramètre autorise le transfert de médias depuis un appareil multimédia ou une caméra compatible avec le réseau vers les ordinateurs gérés via le protocole MTP (Media Transfer Protocol).Enables the transfer of media from a network-enabled camera or media device to managed computers with Media Transfer Protocol (MTP). Ce paramètre utilise les protocoles de réseau SSDP et UPnP.This setting uses SSDP and UPnP network protocols.

Voir aussiSee also

Stratégies pour protéger les PC WindowsPolicies to protect Windows PCs

Pour envoyer vos commentaires sur le produit, consultez Intune Feedback