Paramètres de conformité des appareils pour Windows 10/11 dans Intune

Cet article répertorie et décrit les différents paramètres de conformité que vous pouvez configurer sur Windows appareils dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles , utilisez ces paramètres pour exiger BitLocker, définir un système d’exploitation minimal et maximal, définir un niveau de risque à l’aide de Microsoft Defender pour point de terminaison, etc.

Cette fonctionnalité s’applique à :

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger les ressources de votre organisation. Pour en savoir plus sur les stratégies de conformité et sur ce qu’elles font, consultez prise en main de la conformité des appareils.

Avant de commencer

Créez une stratégie de conformité. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

Intégrité du périphérique

Windows règles d’évaluation du service d’attestation d’intégrité

• Exiger BitLocker :
  Windows chiffrement de lecteur BitLocker chiffre toutes les données stockées sur le volume du système d’exploitation Windows. BitLocker utilise le module de plateforme sécurisée (TPM) pour protéger les données utilisateur et le système d’exploitation Windows. Il permet également de vérifier qu’un ordinateur n’est pas falsifié, même s’il est laissé sans assistance, perdu ou volé. Si l’ordinateur est équipé d’un module de plateforme sécurisée compatible, BitLocker utilise le module de plateforme sécurisée pour verrouiller les clés de chiffrement qui protègent les données. Par conséquent, les clés ne sont pas accessibles tant que le module de plateforme sécurisée (TPM) n’a pas vérifié l’état de l’ordinateur.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : l’appareil peut protéger les données stockées sur le lecteur contre tout accès non autorisé lorsque le système est désactivé ou mis en veille prolongée.

  Device HealthAttestation fournisseur de solutions Cloud - BitLockerStatus

  Notes

  Si vous utilisez une stratégie de conformité d’appareil dans Intune, sachez que l’état de ce paramètre est mesuré uniquement au moment du démarrage. Par conséquent, même si le chiffrement BitLocker est peut-être terminé, un redémarrage est nécessaire pour que l’appareil détecte ce chiffrement et devienne conforme. Pour plus d’informations, consultez le blog de support Microsoft suivant sur l’attestation d’intégrité de l’appareil.

• Exiger que le démarrage sécurisé soit activé sur l’appareil :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : le système est forcé de démarrer dans un état approuvé d’usine. Les composants principaux utilisés pour démarrer l’ordinateur doivent avoir des signatures de chiffrement correctes approuvées par l’organisation qui a fabriqué l’appareil. Le microprogramme UEFI vérifie la signature avant de laisser l’ordinateur démarrer. Si des fichiers sont falsifiés, ce qui interrompt leur signature, le système ne démarre pas.

  Notes

  L’option Exiger un démarrage sécurisé à activer sur le paramètre d’appareil est prise en charge sur certains appareils TPM 1.2 et 2.0. Pour les appareils qui ne prennent pas en charge TPM 2.0 ou version ultérieure, l’état de la stratégie dans Intune s’affiche comme non conforme. Pour plus d’informations sur les versions prises en charge, consultez Attestation d’intégrité de l’appareil.

• Exiger l’intégrité du code :
  L’intégrité du code est une fonctionnalité qui valide l’intégrité d’un pilote ou d’un fichier système chaque fois qu’il est chargé en mémoire.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger - Exiger l’intégrité du code, qui détecte si un pilote ou un fichier système non signé est chargé dans le noyau. Il détecte également si un fichier système est modifié par un logiciel malveillant ou exécuté par un compte d’utilisateur disposant de privilèges d’administrateur.

Autres ressources :

• Pour plus d’informations sur le fonctionnement du service Attestation d’intégrité, consultez Fournisseur de solutions Cloud d’attestation d’intégrité.
• Conseil de support : Utilisation de l’attestation d’intégrité des appareils Paramètres dans le cadre de votre stratégie de conformité Intune.

Propriétés de l’appareil

Version du système d’exploitation

Pour découvrir les versions de build pour toutes les mises à jour de fonctionnalités Windows 10/11 et les mises à jour cumulatives (à utiliser dans certains des champs ci-dessous), consultez Windows informations de publication. Veillez à inclure le préfixe de version approprié avant les numéros de build, comme 10.0 pour Windows 10 comme l’illustrent les exemples suivants.

• Version minimale du système d’exploitation :
  Entrez la version minimale autorisée au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes et tapez ver. La ver commande retourne la version au format suivant :

  Microsoft Windows [Version 10.0.17134.1]

  Lorsqu’un appareil a une version antérieure à la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.

• Version maximale du système d’exploitation :
  Entrez la version maximale autorisée, au format de numéro major.minor.build.revision . Pour obtenir la valeur correcte, ouvrez une invite de commandes et tapez ver. La ver commande retourne la version au format suivant :

  Microsoft Windows [Version 10.0.17134.1]

  Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version entrée, l’accès aux ressources de l’organisation est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources de l’organisation tant que la règle n’est pas modifiée pour autoriser la version du système d’exploitation.

• Système d’exploitation minimal requis pour les appareils mobiles :
  Entrez la version minimale autorisée, au format de numéro major.minor.build.

  Lorsqu’un appareil a une version antérieure de la version du système d’exploitation que vous entrez, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après la mise à niveau, ils peuvent accéder aux ressources de l’entreprise.

• Système d’exploitation maximal requis pour les appareils mobiles :
  Entrez la version maximale autorisée, dans le numéro major.minor.build.

  Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version entrée, l’accès aux ressources de l’organisation est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources de l’organisation tant que la règle n’est pas modifiée pour autoriser la version du système d’exploitation.

• Builds de système d’exploitation valides :
  Spécifiez une liste de builds de système d’exploitation minimales et maximales. Les builds de système d’exploitation valides offrent une flexibilité supplémentaire par rapport aux versions minimale et maximale du système d’exploitation. Envisagez un scénario où la version minimale du système d’exploitation est définie sur 10.0.18362.xxx (Windows 10 1903) et la version maximale du système d’exploitation est définie sur 10.0.18363.xxx (Windows 10 1909). Cette configuration peut permettre à un appareil Windows 10 1903 qui n’a pas de mises à jour cumulatives récentes installées d’être identifié comme conforme. Les versions minimales et maximales du système d’exploitation peuvent convenir si vous avez normalisé sur une seule version Windows 10, mais peuvent ne pas répondre à vos besoins si vous devez utiliser plusieurs builds, chacune avec des niveaux de correctif spécifiques. Dans ce cas, envisagez plutôt d’utiliser des builds de système d’exploitation valides, ce qui permet de spécifier plusieurs builds conformément à l’exemple suivant.

  Exemple :
  Le tableau suivant est un exemple de plage pour les versions acceptables des systèmes d’exploitation pour différentes versions Windows 10. Dans cet exemple, trois mises à jour de fonctionnalités différentes ont été autorisées (1809, 1909 et 2004). Plus précisément, seules les versions de Windows et qui ont appliqué des mises à jour cumulatives de juin à septembre 2020 seront considérées comme conformes. Il s’agit uniquement d’exemples de données. Le tableau inclut une première colonne qui inclut tout texte que vous souhaitez décrire l’entrée, suivie de la version minimale et maximale du système d’exploitation pour cette entrée. Les deuxième et troisième colonnes doivent respecter les versions de build de système d’exploitation valides au format de numéro major.minor.build.revision . Après avoir défini une ou plusieurs entrées, vous pouvez exporter la liste en tant que fichier de valeurs séparées par des virgules (CSV).

  Description	Version minimale du système d’exploitation	Version maximale du système d’exploitation
  Win 10 2004 (juin-sept 2020)	10.0.19041.329	10.0.19041.508
  Win 10 1909 (juin-sept 2020)	10.0.18363.900	10.0.18363.1110
  Win 10 1809 (juin-sept 2020)	10.0.17763.1282	10.0.17763.1490

conformité Configuration Manager

S’applique uniquement aux appareils cogérés exécutant Windows 10/11. Intune seuls les appareils retournent un état non disponible.

• Exiger la conformité des appareils à partir de Configuration Manager :
  • Non configuré (par défaut) : Intune ne vérifie pas la conformité des paramètres de Configuration Manager.
  • Exiger - Exiger que tous les paramètres (éléments de configuration) de Configuration Manager soient conformes.

Sécurité système

Password

• Exiger un mot de passe pour déverrouiller des appareils mobiles :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.

• Mots de passe simples :

  • Non configuré (par défaut) : les utilisateurs peuvent créer des mots de passe simples, tels que 1234 ou 1111.
  • Bloquer : les utilisateurs ne peuvent pas créer de mots de passe simples, tels que 1234 ou 1111.

• Type de mot de passe :
  Choisissez le type de mot de passe ou de code confidentiel requis. Les options disponibles sont les suivantes :

  • Valeur par défaut de l’appareil : exiger un mot de passe, un code confidentiel numérique ou un code confidentiel alphanumérique
  • Numérique - Exiger un mot de passe ou un code confidentiel numérique
  • Alphanumérique : exiger un mot de passe ou un code pin alphanumérique.

  Lorsque la valeur est Alphanumérique, les paramètres suivants sont disponibles :

  • Complexité du mot de passe :
    Les options disponibles sont les suivantes :

    • Exiger des chiffres et des lettres minuscules (valeur par défaut)
    • Exiger des chiffres, des lettres minuscules et des majuscules
    • Exiger des chiffres, des lettres minuscules, des majuscules et des caractères spéciaux

    Conseil

    Les stratégies de mot de passe alphanumériques peuvent être complexes. Nous encourageons les administrateurs à lire les CSP pour plus d’informations :

    • DeviceLock/AlphanumericDevicePasswordRequired fournisseur de solutions Cloud
    • DeviceLock/MinDevicePasswordComplexCharacters fournisseur de solutions Cloud

• Longueur minimale du mot de passe :
  Entrez le nombre minimal de chiffres ou de caractères que le mot de passe doit avoir.

• Nombre maximal de minutes d’inactivité avant que le mot de passe ne soit requis :
  Entrez la durée d’inactivité avant que l’utilisateur ne doive entrer à nouveau son mot de passe.

• Expiration du mot de passe (jours) :
  Entrez le nombre de jours avant l’expiration du mot de passe, et ils doivent en créer un, de 1 à 730.

• Nombre de mots de passe précédents pour empêcher la réutilisation :
  Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés.

• Exiger un mot de passe lorsque l’appareil retourne un état d’inactivité (Mobile et Holographique) :

  • Non configuré (par défaut)
  • Exiger : exiger que les utilisateurs de l’appareil entrent le mot de passe chaque fois que l’appareil revient d’un état inactif.

  Important

  Lorsque l’exigence de mot de passe est modifiée sur un bureau Windows, les utilisateurs sont affectés la prochaine fois qu’ils se connectent, car c’est à ce moment que l’appareil passe d’inactif à actif. Les utilisateurs disposant de mots de passe qui répondent à cette exigence sont toujours invités à modifier leurs mots de passe.

Chiffrement

• Chiffrement du stockage de données sur un appareil :
  Ce paramètre s’applique à tous les lecteurs sur un appareil.

  • Non configuré (par défaut)
  • Exiger - Utiliser Require pour chiffrer le stockage des données sur vos appareils.

  DeviceStatus fournisseur de solutions Cloud - DeviceStatus/Compliance/EncryptionCompliance

  Notes

  Le chiffrement du stockage de données sur un paramètre d’appareil vérifie de manière générique la présence du chiffrement sur l’appareil, plus précisément au niveau du lecteur du système d’exploitation. Actuellement, Intune prend en charge uniquement la vérification du chiffrement avec BitLocker. Pour un paramètre de chiffrement plus robuste, envisagez d’utiliser Exiger BitLocker, qui tire parti de Windows’attestation d’intégrité de l’appareil pour valider l’état de Bitlocker au niveau du module de plateforme sécurisée. Toutefois, lors de l’utilisation de ce paramètre, sachez qu’un redémarrage peut être nécessaire avant que l’appareil ne se reflète comme conforme.

Sécurité des appareils

• Pare-feu :

  • Non configuré (par défaut) : Intune ne contrôle pas le Pare-feu Microsoft Defender, ni ne modifie les paramètres existants.
  • Exiger : activez la Pare-feu Microsoft Defender et empêchez les utilisateurs de la désactiver.

  CSP de pare-feu

  Notes

  • Si l’appareil se synchronise immédiatement après un redémarrage ou se synchronise immédiatement après le réveil, ce paramètre peut signaler une erreur. Ce scénario peut ne pas affecter l’état global de conformité de l’appareil. Pour réévaluer l’état de conformité, synchronisez manuellement l’appareil.

  • Si une stratégie de groupe est appliquée à un appareil qui configure le Pare-feu Defender pour autoriser tout le trafic entrant ou désactive le pare-feu, la définition du pare-feu sur Exiger retourne non conforme, même si Intune stratégie de configuration de l’appareil active le Pare-feu. Cela est dû au fait que l’objet de stratégie de groupe remplace la stratégie Intune. Pour résoudre ce problème, nous vous recommandons de supprimer les paramètres de stratégie de groupe en conflit ou de migrer vos paramètres de stratégie de groupe liés au pare-feu vers Intune stratégie de configuration d’appareil. En général, nous vous recommandons de conserver les paramètres par défaut, y compris le blocage des connexions entrantes. Pour plus d’informations, consultez les meilleures pratiques pour configurer Pare-feu Windows Defender.

• Module de plateforme sécurisée (TPM) :

  • Non configuré (par défaut) : Intune ne vérifie pas la version d’une puce TPM sur l’appareil.
  • Exiger - Intune vérifie la conformité de la version de la puce TPM. L’appareil est conforme si la version de la puce TPM est supérieure à 0 (zéro). L’appareil n’est pas conforme s’il n’existe pas de version TPM sur l’appareil.

  DeviceStatus fournisseur de solutions Cloud - DeviceStatus/TPM/SpecificationVersion

• Antivirus :

  • Non configuré (par défaut) : Intune ne vérifie pas les solutions antivirus installées sur l’appareil.
  • Exiger - Vérifier la conformité à l’aide de solutions antivirus inscrites auprès de Sécurité Windows Center, telles que Symantec et Microsoft Defender.

  DeviceStatus fournisseur de solutions Cloud - DeviceStatus/Antivirus/Status

• Antispyware :

  • Non configuré (par défaut) : Intune ne vérifie pas les solutions antispyware installées sur l’appareil.
  • Exiger - Vérifier la conformité à l’aide de solutions antispyware inscrites auprès de Sécurité Windows Center, telles que Symantec et Microsoft Defender.

  DeviceStatus fournisseur de solutions Cloud - DeviceStatus/Antispyware/Status

Défenseur

Les paramètres de conformité suivants sont pris en charge avec Windows 10/11 Desktop.

• Logiciel anti-programme malveillant Microsoft Defender :

  • Non configuré (par défaut) : Intune ne contrôle pas le service, ni ne modifie les paramètres existants.
  • Exiger : activez le service anti-programme malveillant Microsoft Defender et empêchez les utilisateurs de le désactiver.

• Version minimale de Microsoft Defender Antimalware :
  Entrez la version minimale autorisée du service anti-programme malveillant Microsoft Defender. Par exemple, entrez 4.11.0.0. Une fois vide, n’importe quelle version du service anti-programme malveillant Microsoft Defender peut être utilisée.

  Par défaut, aucune version n’est configurée.

• Informations de sécurité Microsoft Defender Antimalware à jour :
  Contrôle les mises à jour de la protection Sécurité Windows virus et contre les menaces sur les appareils.

  • Non configuré (par défaut) : Intune n’applique aucune exigence.
  • Exiger : forcez le renseignement de sécurité Microsoft Defender à être à jour.

  Defender fournisseur de solutions Cloud - Defender/Health/SignatureOutOfDate fournisseur de solutions Cloud

  Pour plus d’informations, consultez les mises à jour du renseignement de sécurité pour Antivirus Microsoft Defender et d’autres logiciels anti-programme malveillant Microsoft.

• Protection en temps réel :

  • Non configuré (par défaut) : Intune ne contrôle pas cette fonctionnalité, ni ne modifie les paramètres existants.
  • Exiger : activez la protection en temps réel, qui recherche les logiciels malveillants, les logiciels espions et d’autres logiciels indésirables.

  Fournisseur de solutions Cloud de stratégie - Defender/AllowRealtimeMonitoring fournisseur de solutions Cloud

Microsoft Defender pour point de terminaison

règles de Microsoft Defender pour point de terminaison

Pour plus d’informations sur Microsoft Defender pour point de terminaison intégration dans les scénarios d’accès conditionnel, consultez Configurer l’accès conditionnel dans Microsoft Defender pour point de terminaison.

• Exigez que l’appareil soit au niveau ou sous le score de risque de l’ordinateur :
  Utilisez ce paramètre pour prendre l’évaluation des risques de vos services de menaces de défense comme condition de conformité. Choisissez le niveau de menace maximal autorisé :

  • Non configuré (par défaut)
  • Effacer : cette option est la plus sécurisée, car l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté comme présentant un niveau quelconque de menaces, il est évalué comme non conforme.
  • Faible : l’appareil est évalué comme conforme si seules des menaces de bas niveau sont présentes. Tout élément supérieur place l’appareil dans un état non conforme.
  • Moyen : l’appareil est évalué comme conforme si les menaces existantes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme ayant des menaces de haut niveau, il est déterminé comme non conforme.
  • Élevé : cette option est la moins sécurisée et autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

  Pour configurer Microsoft Defender pour point de terminaison en tant que service de protection contre les menaces, consultez Activer Microsoft Defender pour point de terminaison avec l’accès conditionnel.

Windows Holographic for Business

Windows Holographic for Business utilise la plateforme Windows 10 et ultérieure. Windows Holographic for Business prend en charge le paramètre suivant :

• Sécurité > du système Cryptage > Chiffrement du stockage des données sur l’appareil.

Pour vérifier le chiffrement de l’appareil sur le Microsoft HoloLens, consultez Vérifier le chiffrement de l’appareil.

Surface Hub

Surface Hub utilise la plateforme Windows 10 et ultérieure. Les Surface Hubs sont pris en charge pour la conformité et l’accès conditionnel. Pour activer ces fonctionnalités sur Surface Hubs, nous vous recommandons d’activer Windows l’inscription automatique dans Intune (nécessite Azure Active Directory (Azure AD) et de cibler les appareils Surface Hub en tant que groupes d’appareils. Les Surface Hubs doivent être joints à Azure AD pour que la conformité et l’accès conditionnel fonctionnent.

Pour obtenir des conseils, consultez configurer l’inscription pour Windows appareils.

Considérations spéciales pour les Surface Hubs exécutant Windows 10/11 Team OS :
Les Surface Hubs qui exécutent Windows 10/11 Team OS ne prennent pas en charge les stratégies de conformité Microsoft Defender pour point de terminaison et mot de passe pour l’instant. Par conséquent, pour les Surface Hubs qui exécutent Windows 10/11 Team OS, définissez les deux paramètres suivants sur leur valeur par défaut : Non configuré :

• Dans la catégorie Mot de passe, définissez Exiger un mot de passe pour déverrouiller les appareils mobiles sur la valeur par défaut Non configuré.

• Dans la catégorie Microsoft Defender pour point de terminaison, définissez Exiger que l’appareil soit au niveau ou sous le score de risque de l’ordinateur sur la valeur par défaut Non configuré.

Prochaines étapes

• Ajoutez des actions pour les appareils non conformes et utilisez des balises d’étendue pour filtrer les stratégies.
• Surveillez vos stratégies de conformité.
• Consultez les paramètres de stratégie de conformité pour Windows 8.1 appareils.