Stratégies d’appareil
Lorsqu’un nouvel appareil Bureau géré Microsoft est en cours de configuration, nous nous assurons que la configuration est optimisée pour Bureau géré Microsoft.
La configuration inclut un ensemble de stratégies par défaut définies dans le cadre du processus d’intégration. Ces stratégies sont fournies à l’aide de Mobile Gestion des appareils (MDM) dans la mesure du possible. Pour plus d’informations, consultez Mobile Gestion des appareils.
Remarque
Pour éviter les conflits, ne modifiez pas ces stratégies.
Les appareils arrivent avec une image de signature, puis rejoignent le domaine Microsoft Entra lorsque le premier utilisateur se connecte. L’appareil installe automatiquement les stratégies et applications requises sans aucune intervention de votre personnel informatique.
Stratégies par défaut
Ce tableau met en évidence les stratégies par défaut qui sont appliquées à tous les appareils Bureau géré Microsoft pendant l’approvisionnement des appareils. Toutes les modifications détectées apportées aux objets non approuvés par l’équipe des opérations de bureau géré par Microsoft et gérés par Bureau géré Microsoft seront annulées.
| Stratégie | Description |
|---|---|
| Base de référence de sécurité | Labase de référence de sécurité Microsoft pour la gestion des appareils mobiles est configurée pour tous les appareils Bureau géré Microsoft. Cette base de référence est la configuration standard du secteur. Il est publié publiquement, bien testé et examiné par des experts en sécurité Microsoft pour assurer la sécurité des appareils et applications Bureau géré Microsoft dans l’espace de travail moderne. Pour atténuer les menaces dans le paysage des menaces de sécurité en constante évolution, la base de référence de sécurité Microsoft sera mise à jour et déployée sur les appareils Bureau géré Microsoft avec chaque mise à jour des fonctionnalités Windows 10. Pour plus d’informations, consultez bases de référence de sécurité Windows. |
| Modèle de sécurité recommandé pour Bureau géré Microsoft | Ce modèle est un ensemble de modifications recommandées de la base de référence de sécurité qui optimise l’expérience utilisateur. Ces modifications sont documentées dans l’Addendum de sécurité. Les mises à jour de l’addendum de stratégie se produisent en fonction des besoins. |
| Mettre à jour le déploiement | Utilisez Windows Update pour Entreprise pour effectuer un déploiement progressif des mises à jour logicielles. Les administrateurs informatiques ne peuvent pas modifier les paramètres des stratégies de groupe de déploiement. Pour plus d’informations sur le déploiement basé sur un groupe, consultez Comment les mises à jour sont gérées dans Bureau géré Microsoft. |
| Connexions limitées | Par défaut, les mises à jour sur les connexions limitées (telles que les réseaux LTE) sont désactivées. Toutefois, chaque utilisateur peut activer ce paramètre indépendamment en accédant à Paramètres, puis Mises à jour, puis aux options avancées. Si vous souhaitez autoriser tous les utilisateurs à activer les mises à jour sur les connexions limitées, envoyez une demande de modificationqui active ce paramètre pour tous les appareils. |
| Conformité des appareils | Ces stratégies sont configurées pour tous les appareils Bureau géré Microsoft. Un appareil est signalé comme non conforme lorsqu’il dérive de notre configuration de sécurité requise. |
Données de diagnostic Windows
Les appareils seront configurés pour fournir des données de diagnostic améliorées à Microsoft sous un identificateur commercial connu. Dans le cadre de Bureau géré Microsoft, les administrateurs informatiques ne peuvent pas modifier ces paramètres.
Pour les clients des régions Règlement général sur la protection des données (RGPD), les utilisateurs peuvent réduire le niveau des données de diagnostic fournies, mais il y aura une réduction du service. Par exemple, Bureau géré Microsoft ne peut pas collecter les données nécessaires pour itérer sur les paramètres et les stratégies afin de répondre au mieux aux besoins en matière de performances et de sécurité. Pour plus d’informations, consultez Configurer données de diagnostic Windows dans votre organisation.
Addendum de sécurité
Cette section décrit les stratégies qui seront déployées en plus des stratégies Bureau géré Microsoft standard répertoriées dans les stratégies par défaut. Cette configuration est conçue avec les services financiers et les secteurs hautement réglementés à l’esprit, et optimisée pour une sécurité optimale tout en conservant la productivité des utilisateurs.
Stratégies de sécurité supplémentaires
Ces stratégies sont ajoutées pour renforcer la sécurité des secteurs hautement réglementés :
| Stratégie | Description |
|---|---|
| Surveillance de la sécurité | Microsoft surveillera les appareils à l’aide de Microsoft Defender pour point de terminaison. Si une menace est détectée, Microsoft avertit le client, isole l’appareil et corrige le problème à distance. |
| Désactiver PowerShell V2 | Microsoft a supprimé PowerShell V2 en août 2017. Cette fonctionnalité a été désactivée sur tous les appareils Bureau géré Microsoft. Pour plus d’informations sur cette modification, consultez Windows PowerShell dépréciation 2.0. |