Intégrer des Windows 10 à l’aide de la stratégie de groupeOnboard Windows 10 devices using Group Policy

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Notes

Pour utiliser les mises à jour de stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.To use Group Policy (GP) updates to deploy the package, you must be on Windows Server 2008 R2 or later.

Pour Windows Server 2019, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence de stratégie de groupe.For Windows Server 2019, you may need to replace NT AUTHORITY\Well-Known-System-Account with NT AUTHORITY\SYSTEM of the XML file that the Group Policy preference creates.

Intégrer des appareils à l’aide d’une stratégie de groupeOnboard devices using Group Policy

Image du PDF montrant les différents chemins de déploiementImage of the PDF showing the various deployment paths

Consultez le fichier PDF ou Visio pour voir les différents chemins d’accès dans le déploiement de Defender for Endpoint.Check out the PDF or Visio to see the various paths in deploying Defender for Endpoint.

  1. Ouvrez le fichier de package de configuration de .zip de groupe (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant d’intégration de service.Open the GP configuration package .zip file (WindowsDefenderATPOnboardingPackage.zip) that you downloaded from the service onboarding wizard. Vous pouvez également obtenir le package à partir de Centre de sécurité Microsoft Defender:You can also get the package from Microsoft Defender Security Center:

    1. Dans le volet de navigation, sélectionnez > Paramètres’intégration.In the navigation pane, select Settings > Onboarding.

    2. Sélectionnez Windows 10 comme système d’exploitation.Select Windows 10 as the operating system.

    3. Dans le champ Méthode de déploiement, sélectionnez Stratégie de groupe.In the Deployment method field, select Group policy.

    4. Cliquez sur Télécharger le package et enregistrez .zip fichier.Click Download package and save the .zip file.

  2. Extrayez le contenu du .zip vers un emplacement partagé en lecture seule accessible par l’appareil.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier WindowsDefenderATPOnboardingScript.cmd.You should have a folder called OptionalParamsPolicy and the file WindowsDefenderATPOnboardingScript.cmd.

  3. Ouvrez la Console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe à configurer, puis cliquez sur Modifier.Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. Dans l’Éditeur de gestion des stratégies de groupe, allez à Configuration ordinateur, puis Préférences, puis paramètres du panneau de configuration.In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. Cliquez avec le bouton droit sur Tâches programmées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (au moins Windows 7).Right-click Scheduled tasks, point to New, and then click Immediate Task (At least Windows 7).

  6. Dans la fenêtre Tâche qui s’ouvre, allez dans l’onglet Général. Sous Options de sécurité, cliquez sur Modifier l’utilisateur ou le groupe, puis tapez SYSTEM, puis cliquez sur Vérifier les noms, puis OK.In the Task window that opens, go to the General tab. Under Security options click Change User or Group and type SYSTEM and then click Check Names then OK. NT AUTHORITY\SYSTEM apparaît en tant que compte d’utilisateur que la tâche exécutera.NT AUTHORITY\SYSTEM appears as the user account the task will run as.

  7. Sélectionnez Exécuter, que l’utilisateur soit connecté ou non, puis cochez la case Exécuter avec les privilèges les plus élevés.Select Run whether user is logged on or not and check the Run with highest privileges check box.

  8. Go to the Actions tab and click New... Assurez-vous que démarrer un programme est sélectionné dans le champ Action.Go to the Actions tab and click New... Ensure that Start a program is selected in the Action field. Entrez le nom de fichier et l’emplacement du fichier WindowsDefenderATPOnboardingScript.cmd partagé.Enter the file name and location of the shared WindowsDefenderATPOnboardingScript.cmd file.

  9. Cliquez sur OK et fermez toutes les fenêtres GPMC ouvertes.Click OK and close any open GPMC windows.

Conseil

Après avoir intégré l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service.After onboarding the device, you can choose to run a detection test to verify that the device is properly onboarded to the service. Pour plus d’informations, voir Exécuter un test de détection sur un appareil Defender for Endpoint nouvellement intégré.For more information, see Run a detection test on a newly onboarded Defender for Endpoint device.

Paramètres de configuration defender supplémentaires pour les points de terminaisonAdditional Defender for Endpoint configuration settings

Pour chaque appareil, vous pouvez déterminer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est faite via Centre de sécurité Microsoft Defender pour soumettre un fichier pour analyse approfondie.For each device, you can state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

Vous pouvez utiliser la stratégie de groupe (GP) pour configurer des paramètres, tels que les paramètres de l’exemple de partage utilisé dans la fonctionnalité d’analyse approfondie.You can use Group Policy (GP) to configure settings, such as settings for the sample sharing used in the deep analysis feature.

Configurer des paramètres de collection d’exemplesConfigure sample collection settings

  1. Sur votre appareil de gestion de la gp, copiez les fichiers suivants à partir du package de configuration :On your GP management device, copy the following files from the configuration package:

    • Copier AtpConfiguration.admx dans C : Windows \ \ PolicyDefinitionsCopy AtpConfiguration.admx into C:\Windows\PolicyDefinitions

    • Copier AtpConfiguration.adml dans C : Windows \ \ PolicyDefinitions \ en-USCopy AtpConfiguration.adml into C:\Windows\PolicyDefinitions\en-US

    Si vous utilisez un magasin central pour les modèlesd’administration de stratégie de groupe, copiez les fichiers suivants à partir du package de configuration :If you are using a Central Store for Group Policy Administrative Templates, copy the following files from the configuration package:

    • Copier AtpConfiguration.admx dans \ \ <forest.root> \ SysVol \ <forest.root> \ Policies \ PolicyDefinitionsCopy AtpConfiguration.admx into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Copier AtpConfiguration.adml dans \ \ <forest.root> \ SysVol \ <forest.root> \ Policies \ PolicyDefinitions \ en-USCopy AtpConfiguration.adml into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Ouvrez la Console de gestion des stratégiesde groupe, cliquez avec le bouton droit sur l’GPO que vous souhaitez configurer, puis cliquez sur Modifier.Open the Group Policy Management Console, right-click the GPO you want to configure and click Edit.

  3. Dans l’Éditeur de gestion des stratégies de groupe, allez à Configuration de l’ordinateur.In the Group Policy Management Editor, go to Computer configuration.

  4. Cliquez sur Stratégies, puis Modèles d’administration.Click Policies, then Administrative templates.

  5. Cliquez Windows composants, puis Windows Defender SmartScreen.Click Windows components and then Windows Defender SmartScreen.

  6. Choisissez d’activer ou de désactiver le partage d’exemples à partir de vos appareils.Choose to enable or disable sample sharing from your devices.

Notes

Si vous ne définissez pas de valeur, la valeur par défaut consiste à activer la collection d’exemples.If you don't set a value, the default value is to enable sample collection.

Mettre à jour la configuration de la protection des points de terminaisonUpdate endpoint protection configuration

Après avoir configuré le script d’intégration, continuez à modifier la même stratégie de groupe pour ajouter des configurations de protection des points de terminaison.After configuring the onboarding script, continue editing the same group policy to add endpoint protection configurations. Effectuez des modifications de stratégie de groupe à partir d’un système exécutant Windows 10 ou Server 2019 pour vous assurer que vous avez toutes les fonctionnalités Antivirus Microsoft Defender requises.Perform group policy edits from a system running Windows 10 or Server 2019 to ensure you have all of the required Microsoft Defender Antivirus capabilities. Vous devrez peut-être fermer et rouvrir l’objet de stratégie de groupe pour inscrire les paramètres de configuration de Defender ATP.You may need to close and reopen the group policy object to register the Defender ATP configuration settings.

Toutes les stratégies se trouvent sous Computer Configuration\Policies\Administrative Templates .All policies are located under Computer Configuration\Policies\Administrative Templates.

Emplacement de la stratégie : \Windows\Windows Defender SmartScreen*Policy location: \Windows Components\Windows Defender SmartScreen*

StratégiePolicy ParamètreSetting
Enable\Disable Sample collectionEnable\Disable Sample collection Activé : vérification « Activer la collecte d’exemples sur les ordinateurs »Enabled - "Enable sample collection on machines" checked

Emplacement de la stratégie : \Windows\Antivirus Microsoft DefenderPolicy location: \Windows Components\Microsoft Defender Antivirus

StratégiePolicy ParamètreSetting
Configurer la détection pour les applications potentiellement indésirablesConfigure detection for potentially unwanted applications Activé, BloquerEnabled, Block

Emplacement de la stratégie : \Windows\Antivirus Microsoft Defender\MAPSPolicy location: \Windows Components\Microsoft Defender Antivirus\MAPS

StratégiePolicy ParamètreSetting
Rejoindre Microsoft MAPSJoin Microsoft MAPS Enabled, Advanced MAPSEnabled, Advanced MAPS
Envoyer des exemples de fichiers lorsque des analyses plus approfondies sont requisesSend file samples when further analysis is required Activé, Envoyer des exemples sûrsEnabled, Send safe samples

Emplacement de la stratégie : \Windows\Antivirus Microsoft Defender\Protection en temps réelPolicy location: \Windows Components\Microsoft Defender Antivirus\Real-time Protection

StratégiePolicy ParamètreSetting
Désactiver la protection en temps réelTurn off real-time protection DésactivéDisabled
Activer l’analyse du comportementTurn on behavior monitoring ActivéEnabled
Analyser tous les fichiers et pièces jointes téléchargésScan all downloaded files and attachments ActivéEnabled
Surveiller l’activité des fichiers et des programmes sur votre ordinateurMonitor file and program activity on your computer ActivéEnabled

Emplacement de la stratégie : \Windows\Antivirus Microsoft DefenderPolicy location: \Windows Components\Microsoft Defender AntivirusScan

Ces paramètres configurent des analyses périodiques du point de terminaison.These settings configure periodic scans of the endpoint. Nous vous recommandons d’effectuer une analyse rapide hebdomadaire, autorisant les performances.We recommend performing a weekly quick scan, performance permitting.

StratégiePolicy ParamètreSetting
Recherchez les dernières informations sur la sécurité des virus et logiciels espions avant d’exécution d’une analyse programméeCheck for the latest virus and spyware security intelligence before running a scheduled scan ActivéEnabled

Emplacement de la stratégie : \Windows\Antivirus Microsoft Defender\Protection contre les attaques Microsoft Defender\Réduction de la surface d’attaquePolicy location: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Obtenir la liste actuelle des GUID de réduction de la surface d’attaque à partir des règles de personnalisation de la réduction de la surface d’attaqueGet the current list of attack surface reduction GUIDs from Customize attack surface reduction rules

  1. Ouvrez la stratégie Configurer la Réduction de la surface d’attaque.Open the Configure Attack Surface Reduction policy.

  2. Sélectionnez Activé.Select Enabled.

  3. Sélectionnez le bouton Afficher.Select the Show button.

  4. Ajoutez chaque GUID dans le champ Nom de la valeur avec la valeur 2.Add each GUID in the Value Name field with a Value of 2.

    Chacun d’eux est alors uniquement mis en place pour l’audit.This will set each up for audit only.

    Image de la configuration de réduction de la surface d’attaque

StratégiePolicy ParamètreSetting
Configurer l’accès contrôlé aux dossiersConfigure Controlled folder access Activé, mode auditEnabled, Audit Mode

Appareils de tableau de bord à l’aide de la stratégie de groupeOffboard devices using Group Policy

Pour des raisons de sécurité, le package utilisé pour la sortie des appareils expirera 30 jours après la date de téléchargement.For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. Les packages deboarding expirés envoyés à un appareil seront rejetés.Expired offboarding packages sent to a device will be rejected. Lorsque vous téléchargez un package de déclassage, vous êtes informé de la date d’expiration des packages et il est également inclus dans le nom du package.When downloading an offboarding package you will be notified of the packages expiry date and it will also be included in the package name.

Notes

Les stratégies d’intégration et deboarding ne doivent pas être déployées sur le même appareil en même temps, sinon cela provoquera des collisions imprévisibles.Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

  1. Obtenez le package deboarding à partir de Centre de sécurité Microsoft Defender:Get the offboarding package from Microsoft Defender Security Center:

    1. Dans le volet de navigation, sélectionnez Paramètres > de l’appareil.In the navigation pane, select Settings > Offboarding.

    2. Sélectionnez Windows 10 comme système d’exploitation.Select Windows 10 as the operating system.

    3. Dans le champ Méthode de déploiement, sélectionnez Stratégie de groupe.In the Deployment method field, select Group policy.

    4. Cliquez sur Télécharger le package et enregistrez .zip fichier.Click Download package and save the .zip file.

  2. Extrayez le contenu du .zip vers un emplacement partagé en lecture seule accessible par l’appareil.Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. Vous devez avoir un fichier nommé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.You should have a file named WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Ouvrez la Console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe à configurer, puis cliquez sur Modifier.Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. Dans l’Éditeur de gestion des stratégies de groupe, allez à Configuration ordinateur, puis Préférences, puis paramètres du panneau de configuration.In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. Cliquez avec le bouton droit sur Tâches programmées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.Right-click Scheduled tasks, point to New, and then click Immediate task.

  6. Dans la fenêtre Tâche qui s’ouvre, allez dans l’onglet Général. Choisissez le compte d’utilisateur SYSTÈME local (BUILTIN\SYSTEM) sous Options de sécurité.In the Task window that opens, go to the General tab. Choose the local SYSTEM user account (BUILTIN\SYSTEM) under Security options.

  7. Sélectionnez Exécuter, que l’utilisateur soit connecté ou non et cochez la case Exécuter avec les privilèges les plus élevés.Select Run whether user is logged on or not and check the Run with highest privileges check-box.

  8. Go to the Actions tab and click New.... Assurez-vous que démarrer un programme est sélectionné dans le champ Action.Go to the Actions tab and click New.... Ensure that Start a program is selected in the Action field. Entrez le nom de fichier et l’emplacement du fichier WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.Enter the file name and location of the shared WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd file.

  9. Cliquez sur OK et fermez toutes les fenêtres GPMC ouvertes.Click OK and close any open GPMC windows.

Important

Laboarding empêche l’appareil d’envoyer des données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois.Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

Surveiller la configuration de l’appareilMonitor device configuration

Avec la stratégie de groupe, il n’existe pas d’option pour surveiller le déploiement des stratégies sur les appareils.With Group Policy there isn’t an option to monitor deployment of policies on the devices. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.Monitoring can be done directly on the portal, or by using the different deployment tools.

Surveiller les appareils à l’aide du portailMonitor devices using the portal

  1. Go to Centre de sécurité Microsoft Defender.Go to Microsoft Defender Security Center.
  2. Cliquez sur La liste Appareils.Click Devices list.
  3. Vérifiez que les appareils apparaissent.Verify that devices are appearing.

Notes

L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours.It can take several days for devices to start showing on the Devices list. Cela inclut le temps qu’il faut pour que les stratégies soient distribuées à l’appareil, le temps qu’il faut avant que l’utilisateur se connecte et le temps qu’il faut au point de terminaison pour commencer à créer des rapports.This includes the time it takes for the policies to be distributed to the device, the time it takes before the user logs on, and the time it takes for the endpoint to start reporting.