Technologies de sécurité dans bureau géré MicrosoftSecurity technologies in Microsoft Managed Desktop

Bureau géré Microsoft utilise plusieurs technologies Microsoft pour sécuriser les appareils gérés et les données.Microsoft Managed Desktop uses several Microsoft technologies to help secure managed devices and data. En outre, le Centre d’opérations de sécurité bureau géré Microsoft utilise différents processus conjointement avec ces technologies.In addition, the Microsoft Managed Desktop Security Operations Center uses various processes in conjunction with these technologies.

Notamment :Specifically:

Pour plus d’informations sur les pratiques de stockage, d’utilisation et de sécurité des données utilisées par Le Bureau géré Microsoft, consultez notre livre blanc sur https://aka.ms/mmd-data .For information about data storage, usage, and security practices used by Microsoft Managed Desktop, see our whitepaper at https://aka.ms/mmd-data.

Sécurité de l’appareilDevice security

Bureau géré Microsoft garantit que tous les appareils gérés sont sécurisés et protégés, et détecte les menaces dès que possible à l’aide des services suivants :Microsoft Managed Desktop ensures all managed devices are secured and protected, and detects threats as early as possible using the following services:

ServiceService DescriptionDescription
AntivirusAntivirus L’Antivirus Microsoft Defender est installé et configuréMicrosoft Defender AV is installed and configured
Les définitions de Microsoft Defender AV sont à jourMicrosoft Defender AV definitions are up to date
Chiffrement de volume completFull Volume Encryption Windows BitLocker est la solution de chiffrement de volume pour les appareils bureau géré Microsoft.Windows BitLocker is the volume encryption solution for Microsoft Managed Desktop devices.

Une fois qu’une organisation est intégrée au service, les appareils sont chiffrés à l’aide de Windows BitLocker avec le module de plateforme de gestion de la plateforme de confiance (TPM) intégré pour empêcher l’accès non autorisé aux données locales lorsque l’appareil est en mode veille ou hors service.Once an organization is onboarded into the service, devices will be encrypted using Windows BitLocker with built-in Trust Platform Module (TPM) to prevent unauthorized access to local data when the device is in sleep mode, or off.
SurveillanceMonitoring Microsoft Defender for Endpoint est utilisé pour la surveillance des menaces de sécurité sur tous les appareils de bureau géré Microsoft.Microsoft Defender for Endpoint is used for security threat monitoring across all Microsoft Managed Desktop devices. Defender pour le point de terminaison permet aux clients d’entreprise de détecter, d’examiner et de répondre aux menaces avancées dans leur réseau d’entreprise.Defender for Endpoint allows enterprise customers to detect, investigate, and respond to advanced threats in their corporate network. Pour plus d’informations, voir Microsoft Defender for Endpoint.For more information, see Microsoft Defender for Endpoint.
Mises à jour du système d’exploitationOperating system updates Les appareils bureau géré Microsoft sont toujours sécurisés avec les dernières mises à jour de sécurité.Microsoft Managed Desktop devices are always secured with the latest security updates.
Configuration de l’appareil sécuriséSecure Device Configuration Bureau géré Microsoft implémente la ligne de base de sécurité Microsoft.Microsoft Managed Desktop implements the Microsoft Security Baseline. Pour plus d’informations, voir les lignes de base de sécurité Windows.For more information, see Windows security baselines.

Gestion des identités et des accèsIdentity and access management

La gestion des identités et des accès protège les biens d’entreprise et les données stratégiques de l’entreprise.Identity and access management protects corporate assets and business-critical data. Bureau géré Microsoft configure les appareils pour garantir une utilisation sécurisée avec les identités gérées Azure Active Directory (Azure AD).Microsoft Managed Desktop configures devices to ensure secure use with Azure Active Directory (Azure AD) managed identities. Il incombe au client de conserver des informations précises dans son client Azure AD.It is the customer's responsibility to maintain accurate information in their Azure AD tenant.

ServiceService DescriptionDescription
Authentification biométriqueBiometric Authentication Windows Hello permet aux utilisateurs de se connecter à l’aide de leur visage ou d’un code confidentiel, ce qui rend les mots de passe plus difficiles à oublier ou à voler.Windows Hello allows users to sign in by using their face or a PIN, making passwords harder to forget or steal. Les clients sont chargés d’implémenter les conditions préalables nécessaires pour leur active directory local pour l’utilisation de ce service dans une configuration hybride.Customers are responsible for implementing the necessary pre-requisites for their on-premises Active Directory for use of this service in a hybrid configuration. Pour plus d’informations, voir Windows Hello.For more information, see Windows Hello.
Autorisation utilisateur standardStandard user permission Pour protéger le système et le sécuriser, l’utilisateur se voit attribuer des autorisations d’utilisateur standard.To protect the system and make it more secure, the user will be assigned Standard User Permissions. Cette autorisation est attribuée dans le cadre de l’expérience Windows Autopilot out-of-box.This permission is assigned as part of the Windows Autopilot out-of-box experience.

Sécurité réseauNetwork security

Les clients sont responsables de la sécurité du réseau.Customers are responsible for network security.

ServiceService DescriptionDescription
VPNVPN Les clients possèdent leur infrastructure VPN, pour s’assurer que des ressources limitées de l’entreprise peuvent être exposées en dehors de l’intranet.Customers own their VPN infrastructure, to ensure limited corporate resources can be exposed outside the intranet.

Exigence minimale : Bureau géré Microsoft nécessite une solution VPN compatible avec Windows 10 et prise en charge.Minimum requirement: Microsoft Managed Desktop requires a Windows 10 compatible and supported VPN solution. Si votre organisation a besoin d’une solution VPN, elle doit prendre en charge Windows 10 et être empaqueté et déployable via Intune.If your organization needs a VPN solution, it needs to support Windows 10 and be packaged and deployable through Intune. Pour plus d’informations, contactez votre éditeur de logiciels.Contact your software publisher for more information.

Recommandation :Recommendation:
- Microsoft recommande une solution VPN moderne qui pourrait être facilement déployée via Intune pour pousser les profils VPN.- Microsoft recommends a modern VPN solution that could be easily deployed through Intune to push VPN profiles. Cette approche offre un moyen toujours continu, transparent, fiable et sécurisé d’accéder au réseau d’entreprise.This approach provides an always-on, seamless, reliable, and secure way to access corporate network. Pour plus d’informations, voir [Paramètres VPN dans Intune].For more information, see [VPN settings in Intune].
- Les clients VPN épais ou les clients VPN plus anciens ne sont pas recommandés par Microsoft lors de l’utilisation du Bureau géré Microsoft, car cela peut avoir un impact sur l’environnement utilisateur.- Thick VPN clients, or older VPN clients, are not recommended by Microsoft while using Microsoft Managed Desktop as it can impact the user environment.
- Microsoft recommande que le trafic web sortant soit directement vers Internet sans passer par le VPN afin d’éviter tout problème de performances.- Microsoft recommends that the outgoing web traffic goes directly to Internet without going through the VPN to avoid any performance issues.
- Dans l’idéal, Microsoft recommande l’utilisation du proxy d’application Azure Active Directory au lieu d’un VPN.- Ideally, Microsoft recommends the use of Azure Active Directory App Proxy instead of a VPN.

Sécurité des informationsInformation security

Vous pouvez configurer ces services facultatifs pour protéger les biens à valeur élevée de l’entreprise.You can configure these optional services to help protect corporate high-value assets.

ServiceService DescriptionDescription
Récupération des donnéesData recovery Les informations stockées dans les dossiers clés de l’appareil sont enregistrées dans OneDrive Entreprise.Information stored in key folders on the device is backed up to OneDrive for Business. Bureau géré Microsoft n’est pas responsable des données qui ne sont pas synchronisées avec OneDrive Entreprise.Microsoft Managed Desktop is not responsible for data that isn’t synchronized with OneDrive for Business.
Protection des informations WindowsWindows Information Protection Pour les entreprises qui requièrent des niveaux élevés de sécurité des informations, nous recommandons la Protection des informations Windows et Azure Information Protection.For companies that require high levels of information security, we recommend Windows Information Protection and Azure Information Protection..