Contrôle d’appareil dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Les fonctionnalités de contrôle des appareils dans Microsoft Defender pour point de terminaison permettent à votre équipe de sécurité de contrôler si les utilisateurs peuvent installer et utiliser des périphériques, tels que le stockage amovible (clés USB, DISQUES, disques, etc.), les imprimantes, les périphériques Bluetooth ou d’autres appareils avec leurs ordinateurs. Votre équipe de sécurité peut configurer des stratégies de contrôle d’appareil pour configurer des règles comme celles-ci :

• Empêcher les utilisateurs d’installer et d’utiliser certains appareils (comme les lecteurs USB)
• Empêcher les utilisateurs d’installer et d’utiliser des appareils externes avec des exceptions spécifiques
• Autoriser les utilisateurs à installer et à utiliser des appareils spécifiques
• Autoriser les utilisateurs à installer et utiliser uniquement des appareils chiffrés par BitLocker avec des ordinateurs Windows

Cette liste est destinée à fournir quelques exemples. Il ne s’agit pas d’une liste exhaustive ; il existe d’autres exemples à prendre en compte (consultez la section Contrôle d’appareil dans Windows de cet article).

Le contrôle d’appareil permet de protéger vos organization contre les pertes de données potentielles, les programmes malveillants ou d’autres cybermenaces en autorisant ou en empêchant la connexion de certains appareils aux ordinateurs des utilisateurs. Avec le contrôle d’appareil, votre équipe de sécurité peut déterminer si et quels appareils périphériques les utilisateurs peuvent installer et utiliser sur leurs ordinateurs.

Contrôle d’appareil dans Windows

Cette section répertorie les scénarios de contrôle d’appareil dans Windows.

Conseil

Si vous utilisez Mac, le contrôle d’appareil peut contrôler l’accès à Bluetooth, aux appareils iOS, aux appareils portables tels que les caméras et aux supports amovibles tels que les périphériques USB. Consultez Contrôle d’appareil pour macOS.

Sélectionnez un onglet, passez en revue les scénarios, puis identifiez le type de stratégie de contrôle d’appareil à créer.

Stockage amovible

Scénario	Stratégie de contrôle d’appareil
Empêcher l’installation d’un périphérique USB spécifique	Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil.
Empêcher l’installation de tous les périphériques USB tout en autorisant l’installation d’un port USB autorisé uniquement	Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil.
Empêcher l’accès d’écriture et d’exécution à tous les utilisateurs, mais autoriser des bases de données utilisateur approuvées spécifiques	Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil.
Auditer l’accès écriture et exécution pour tous les objets usB bloqués, sauf bloquer	Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil.
Bloquer l’accès en lecture et exécution à une extension de fichier spécifique	Contrôle d’appareil dans Microsoft Defender. Consultez Stratégies de contrôle d’appareil.
Empêcher les utilisateurs d’accéder au stockage amovible lorsque la machine ne se connecte pas au réseau d’entreprise	Contrôle d’appareil dans Microsoft Defender. Consultez Stratégies de contrôle d’appareil.
Bloquer l’accès en écriture aux lecteurs de données amovibles non protégés par BitLocker	Contrôle d’appareil dans Windows. Consultez BitLocker.
Bloquer l’accès en écriture aux appareils configurés dans un autre organization	Contrôle d’appareil dans Windows. Consultez BitLocker.
Empêcher la copie de fichiers sensibles vers USB	DLP du point de terminaison

Imprimantes

Scénario	Stratégie de contrôle d’appareil
Empêcher les utilisateurs d’imprimer via des imprimantes non incorporées	Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil.
Autoriser uniquement une ou plusieurs imprimantes USB spécifiques par VID/PID	Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil.
Empêcher l’installation de toutes les imprimantes	Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil.
Empêcher l’installation d’une imprimante spécifique	Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil.
Empêcher l’installation de toutes les imprimantes tout en autorisant l’installation d’une imprimante spécifique	Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil.
Bloquer l’impression de documents sensibles sur n’importe quelle imprimante	DLP du point de terminaison

Bluetooth

Scénario	Stratégie de contrôle d’appareil
Bloquer la copie d’un document sensible sur n’importe quel appareil Bluetooth	DLP du point de terminaison

Appareils pris en charge

Le contrôle d’appareil prend en charge les périphériques Bluetooth, les CD/ROM et les périphériques DVD, les imprimantes, les périphériques USB et d’autres types d’appareils portables. Sur un appareil Windows, en fonction du pilote, certains périphériques sont marqués comme amovibles. Le tableau suivant répertorie des exemples d’appareils pris en charge par le contrôle d’appareil avec leurs primary_id valeurs et noms de classes multimédias :

Type d’appareil	PrimaryId dans Windows	primary_id dans macOS	Nom de la classe media
Appareils Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVDs	CdRomDevices		CD-Roms
Périphériques iOS		appleDevice
Appareils portables (tels que des caméras)		portableDevice
Imprimantes	PrinterDevices		Printers
Périphériques USB (support amovible)	RemovableMediaDevices	removableMedia	USB
Appareils portables Windows	WpdDevices		Windows Portable Devices (WPD)

Catégories de fonctionnalités de contrôle d’appareil Microsoft

Les fonctionnalités de contrôle d’appareil de Microsoft peuvent être organisées en trois catégories main : contrôle d’appareil dans Windows, contrôle d’appareil dans Defender pour point de terminaison et protection contre la perte de données de point de terminaison (DLP de point de terminaison).

• Contrôle d’appareil dans Windows. Le système d’exploitation Windows dispose de fonctionnalités de contrôle d’appareil intégrées. Votre équipe de sécurité peut configurer les paramètres d’installation des appareils pour empêcher (ou autoriser) les utilisateurs à installer certains appareils sur leurs ordinateurs. Les stratégies sont appliquées au niveau de l’appareil et utilisent différentes propriétés de l’appareil pour déterminer si un utilisateur peut ou non installer/utiliser un appareil. Le contrôle d’appareil dans Windows fonctionne avec les modèles BitLocker et ADMX, et peut être géré à l’aide d’Intune.

  • BitLocker et Intune. BitLocker est une fonctionnalité de sécurité Windows qui fournit un chiffrement pour des volumes entiers. Avec Intune, les stratégies peuvent être configurées pour appliquer le chiffrement sur les appareils à l’aide de BitLocker pour Windows (et FileVault pour Mac). Pour plus d’informations, consultez Paramètres de stratégie de chiffrement de disque pour la sécurité des points de terminaison dans Intune.

  • Modèles d’administration (ADMX) et Intune. Vous pouvez utiliser des modèles ADMX pour créer des stratégies qui limitent ou autorisent l’utilisation de types spécifiques de périphériques USB avec des ordinateurs. Pour plus d’informations, consultez Restreindre les périphériques USB et autoriser des périphériques USB spécifiques à l’aide de modèles ADMX dans Intune.

• Contrôle d’appareil dans Defender pour point de terminaison. Le contrôle d’appareil dans Defender pour point de terminaison fournit des fonctionnalités plus avancées et est multiplateforme. Vous pouvez configurer les paramètres de contrôle d’appareil pour empêcher (ou autoriser) les utilisateurs à accéder en lecture, en écriture ou en exécution au contenu sur des périphériques de stockage amovibles. Vous pouvez définir des exceptions et choisir d’utiliser des stratégies d’audit qui détectent mais n’empêchent pas les utilisateurs d’accéder à leurs appareils de stockage amovibles. Les stratégies sont appliquées au niveau de l’appareil, de l’utilisateur ou des deux. Le contrôle d’appareil dans Microsoft Defender peut être géré à l’aide d’Intune.

  • Contrôle d’appareil dans Microsoft Defender et Intune. Intune offre une expérience enrichie pour la gestion des stratégies de contrôle d’appareil complexes pour les organisations. Vous pouvez configurer et déployer des paramètres de restriction d’appareil dans Defender pour point de terminaison, par exemple. Consultez Configurer les paramètres de restriction d’appareil dans Microsoft Intune.

• Protection contre la perte de données de point de terminaison (Endpoint DLP). DLP de point de terminaison surveille les informations sensibles sur les appareils intégrés aux solutions Microsoft Purview. Les stratégies DLP peuvent appliquer des actions de protection sur les informations sensibles et leur emplacement de stockage ou d’utilisation. En savoir plus sur endpoint DLP.

Pour plus d’informations sur ces fonctionnalités, consultez la section Scénarios de contrôle d’appareil (dans cet article).

Exemples et scénarios de contrôle d’appareil

Le contrôle d’appareil dans Defender pour point de terminaison fournit à votre équipe de sécurité un modèle de contrôle d’accès robuste qui permet un large éventail de scénarios (voir Stratégies de contrôle d’appareil). Nous avons créé un dépôt GitHub qui contient des exemples et des scénarios que vous pouvez explorer. Consultez les ressources suivantes :

• Fichier LISEZ-MOI des exemples de contrôle d’appareil
• Prise en main des exemples de contrôle d’appareil sur les appareils Windows
• Exemples de contrôle d’appareil pour macOS

Si vous débutez avec le contrôle d’appareil, consultez Procédures pas à pas de contrôle d’appareil.

Prerequisites

Le contrôle d’appareil dans Defender pour point de terminaison peut être appliqué aux appareils exécutant Windows 10 ou Windows 11 qui ont la version du client anti-programme malveillant ou une version 4.18.2103.3 ultérieure. (Actuellement, les serveurs ne sont pas pris en charge.)

• 4.18.2104 ou version ultérieure : ajoutez SerialNumberId, VID_PID, la prise en charge des objets de stratégie de groupe basés sur le chemin de fichier, et ComputerSid
• 4.18.2105 ou version ultérieure : ajout de la prise en charge des caractères génériques pour HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, la combinaison d’un utilisateur spécifique sur un ordinateur spécifique, ssd amovible (un disque SSD SanDisk Extreme)/USB Attached SCSI (UAS)
• 4.18.2107 ou version ultérieure : ajout de la prise en charge des appareils portables Windows (WPD) (pour les appareils mobiles, tels que les tablettes) ; ajouter AccountName à la chasse avancée
• 4.18.2205 ou version ultérieure : développez l’application par défaut sur Imprimante. Si vous le définissez sur Refuser, il bloque également l’imprimante. Par conséquent, si vous souhaitez uniquement gérer le stockage, veillez à créer une stratégie personnalisée pour autoriser l’imprimante
• 4.18.2207 ou version ultérieure : ajouter la prise en charge des fichiers ; Le cas d’usage courant peut être : bloquer l’accès en lecture/écriture/exécution à un fichier spécifique sur le stockage amovible. Ajouter la prise en charge des connexions réseau et VPN ; Le cas d’usage courant peut être : empêcher les utilisateurs d’accéder au stockage amovible lorsque l’ordinateur ne se connecte pas au réseau d’entreprise.

Pour Mac, consultez Contrôle d’appareil pour macOS.

Actuellement, le contrôle d’appareil n’est pas pris en charge sur les serveurs.

Prochaines étapes

• Procédures pas à pas de contrôle d’appareil
• En savoir plus sur les stratégies de contrôle d’appareil
• Afficher les rapports de contrôle d’appareil