Contrôle d’appareil dans Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
Les fonctionnalités de contrôle des appareils dans Microsoft Defender pour point de terminaison permettent à votre équipe de sécurité de contrôler si les utilisateurs peuvent installer et utiliser des périphériques, tels que le stockage amovible (clés USB, DISQUES, disques, etc.), les imprimantes, les périphériques Bluetooth ou d’autres appareils avec leurs ordinateurs. Votre équipe de sécurité peut configurer des stratégies de contrôle d’appareil pour configurer des règles comme celles-ci :
- Empêcher les utilisateurs d’installer et d’utiliser certains appareils (comme les lecteurs USB)
- Empêcher les utilisateurs d’installer et d’utiliser des appareils externes avec des exceptions spécifiques
- Autoriser les utilisateurs à installer et à utiliser des appareils spécifiques
- Autoriser les utilisateurs à installer et utiliser uniquement des appareils chiffrés par BitLocker avec des ordinateurs Windows
Cette liste est destinée à fournir quelques exemples. Il ne s’agit pas d’une liste exhaustive ; il existe d’autres exemples à prendre en compte (consultez la section Contrôle d’appareil dans Windows de cet article).
Le contrôle d’appareil permet de protéger vos organization contre les pertes de données potentielles, les programmes malveillants ou d’autres cybermenaces en autorisant ou en empêchant la connexion de certains appareils aux ordinateurs des utilisateurs. Avec le contrôle d’appareil, votre équipe de sécurité peut déterminer si et quels appareils périphériques les utilisateurs peuvent installer et utiliser sur leurs ordinateurs.
Contrôle d’appareil dans Windows
Cette section répertorie les scénarios de contrôle d’appareil dans Windows.
Conseil
Si vous utilisez Mac, le contrôle d’appareil peut contrôler l’accès à Bluetooth, aux appareils iOS, aux appareils portables tels que les caméras et aux supports amovibles tels que les périphériques USB. Consultez Contrôle d’appareil pour macOS.
Sélectionnez un onglet, passez en revue les scénarios, puis identifiez le type de stratégie de contrôle d’appareil à créer.
Scénario | Stratégie de contrôle d’appareil |
---|---|
Empêcher l’installation d’un périphérique USB spécifique | Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil. |
Empêcher l’installation de tous les périphériques USB tout en autorisant l’installation d’un port USB autorisé uniquement | Contrôle d’appareil dans Windows. Consultez Stratégies de contrôle d’appareil. |
Empêcher l’accès d’écriture et d’exécution à tous les utilisateurs, mais autoriser des bases de données utilisateur approuvées spécifiques | Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil. |
Auditer l’accès écriture et exécution pour tous les objets usB bloqués, sauf bloquer | Contrôle d’appareil dans Defender pour point de terminaison. Consultez Stratégies de contrôle d’appareil. |
Bloquer l’accès en lecture et exécution à une extension de fichier spécifique | Contrôle d’appareil dans Microsoft Defender. Consultez Stratégies de contrôle d’appareil. |
Empêcher les utilisateurs d’accéder au stockage amovible lorsque la machine ne se connecte pas au réseau d’entreprise | Contrôle d’appareil dans Microsoft Defender. Consultez Stratégies de contrôle d’appareil. |
Bloquer l’accès en écriture aux lecteurs de données amovibles non protégés par BitLocker | Contrôle d’appareil dans Windows. Consultez BitLocker. |
Bloquer l’accès en écriture aux appareils configurés dans un autre organization | Contrôle d’appareil dans Windows. Consultez BitLocker. |
Empêcher la copie de fichiers sensibles vers USB | DLP du point de terminaison |
Appareils pris en charge
Le contrôle d’appareil prend en charge les périphériques Bluetooth, les CD/ROM et les périphériques DVD, les imprimantes, les périphériques USB et d’autres types d’appareils portables. Sur un appareil Windows, en fonction du pilote, certains périphériques sont marqués comme amovibles. Le tableau suivant répertorie des exemples d’appareils pris en charge par le contrôle d’appareil avec leurs primary_id
valeurs et noms de classes multimédias :
Type d’appareil | PrimaryId dans Windows |
primary_id dans macOS |
Nom de la classe media |
---|---|---|---|
Appareils Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVDs | CdRomDevices |
CD-Roms |
|
Périphériques iOS | appleDevice |
||
Appareils portables (tels que des caméras) | portableDevice |
||
Imprimantes | PrinterDevices |
Printers |
|
Périphériques USB (support amovible) | RemovableMediaDevices |
removableMedia |
USB |
Appareils portables Windows | WpdDevices |
Windows Portable Devices (WPD) |
Catégories de fonctionnalités de contrôle d’appareil Microsoft
Les fonctionnalités de contrôle d’appareil de Microsoft peuvent être organisées en trois catégories main : contrôle d’appareil dans Windows, contrôle d’appareil dans Defender pour point de terminaison et protection contre la perte de données de point de terminaison (DLP de point de terminaison).
Contrôle d’appareil dans Windows. Le système d’exploitation Windows dispose de fonctionnalités de contrôle d’appareil intégrées. Votre équipe de sécurité peut configurer les paramètres d’installation des appareils pour empêcher (ou autoriser) les utilisateurs à installer certains appareils sur leurs ordinateurs. Les stratégies sont appliquées au niveau de l’appareil et utilisent différentes propriétés de l’appareil pour déterminer si un utilisateur peut ou non installer/utiliser un appareil. Le contrôle d’appareil dans Windows fonctionne avec les modèles BitLocker et ADMX, et peut être géré à l’aide d’Intune.
BitLocker et Intune. BitLocker est une fonctionnalité de sécurité Windows qui fournit un chiffrement pour des volumes entiers. Avec Intune, les stratégies peuvent être configurées pour appliquer le chiffrement sur les appareils à l’aide de BitLocker pour Windows (et FileVault pour Mac). Pour plus d’informations, consultez Paramètres de stratégie de chiffrement de disque pour la sécurité des points de terminaison dans Intune.
Modèles d’administration (ADMX) et Intune. Vous pouvez utiliser des modèles ADMX pour créer des stratégies qui limitent ou autorisent l’utilisation de types spécifiques de périphériques USB avec des ordinateurs. Pour plus d’informations, consultez Restreindre les périphériques USB et autoriser des périphériques USB spécifiques à l’aide de modèles ADMX dans Intune.
Contrôle d’appareil dans Defender pour point de terminaison. Le contrôle d’appareil dans Defender pour point de terminaison fournit des fonctionnalités plus avancées et est multiplateforme. Vous pouvez configurer les paramètres de contrôle d’appareil pour empêcher (ou autoriser) les utilisateurs à accéder en lecture, en écriture ou en exécution au contenu sur des périphériques de stockage amovibles. Vous pouvez définir des exceptions et choisir d’utiliser des stratégies d’audit qui détectent mais n’empêchent pas les utilisateurs d’accéder à leurs appareils de stockage amovibles. Les stratégies sont appliquées au niveau de l’appareil, de l’utilisateur ou des deux. Le contrôle d’appareil dans Microsoft Defender peut être géré à l’aide d’Intune.
- Contrôle d’appareil dans Microsoft Defender et Intune. Intune offre une expérience enrichie pour la gestion des stratégies de contrôle d’appareil complexes pour les organisations. Vous pouvez configurer et déployer des paramètres de restriction d’appareil dans Defender pour point de terminaison, par exemple. Consultez Configurer les paramètres de restriction d’appareil dans Microsoft Intune.
Protection contre la perte de données de point de terminaison (Endpoint DLP). DLP de point de terminaison surveille les informations sensibles sur les appareils intégrés aux solutions Microsoft Purview. Les stratégies DLP peuvent appliquer des actions de protection sur les informations sensibles et leur emplacement de stockage ou d’utilisation. En savoir plus sur endpoint DLP.
Pour plus d’informations sur ces fonctionnalités, consultez la section Scénarios de contrôle d’appareil (dans cet article).
Exemples et scénarios de contrôle d’appareil
Le contrôle d’appareil dans Defender pour point de terminaison fournit à votre équipe de sécurité un modèle de contrôle d’accès robuste qui permet un large éventail de scénarios (voir Stratégies de contrôle d’appareil). Nous avons créé un dépôt GitHub qui contient des exemples et des scénarios que vous pouvez explorer. Consultez les ressources suivantes :
- Fichier LISEZ-MOI des exemples de contrôle d’appareil
- Prise en main des exemples de contrôle d’appareil sur les appareils Windows
- Exemples de contrôle d’appareil pour macOS
Si vous débutez avec le contrôle d’appareil, consultez Procédures pas à pas de contrôle d’appareil.
Prerequisites
Le contrôle d’appareil dans Defender pour point de terminaison peut être appliqué aux appareils exécutant Windows 10 ou Windows 11 qui ont la version du client anti-programme malveillant ou une version 4.18.2103.3
ultérieure. (Actuellement, les serveurs ne sont pas pris en charge.)
4.18.2104
ou version ultérieure : ajoutezSerialNumberId
,VID_PID
, la prise en charge des objets de stratégie de groupe basés sur le chemin de fichier, etComputerSid
4.18.2105
ou version ultérieure : ajout de la prise en charge des caractères génériques pourHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, la combinaison d’un utilisateur spécifique sur un ordinateur spécifique, ssd amovible (un disque SSD SanDisk Extreme)/USB Attached SCSI (UAS)4.18.2107
ou version ultérieure : ajout de la prise en charge des appareils portables Windows (WPD) (pour les appareils mobiles, tels que les tablettes) ; ajouterAccountName
à la chasse avancée4.18.2205
ou version ultérieure : développez l’application par défaut sur Imprimante. Si vous le définissez sur Refuser, il bloque également l’imprimante. Par conséquent, si vous souhaitez uniquement gérer le stockage, veillez à créer une stratégie personnalisée pour autoriser l’imprimante4.18.2207
ou version ultérieure : ajouter la prise en charge des fichiers ; Le cas d’usage courant peut être : bloquer l’accès en lecture/écriture/exécution à un fichier spécifique sur le stockage amovible. Ajouter la prise en charge des connexions réseau et VPN ; Le cas d’usage courant peut être : empêcher les utilisateurs d’accéder au stockage amovible lorsque l’ordinateur ne se connecte pas au réseau d’entreprise.
Pour Mac, consultez Contrôle d’appareil pour macOS.
Actuellement, le contrôle d’appareil n’est pas pris en charge sur les serveurs.
Prochaines étapes
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour