Gérer le processus de déploiement progressif des mises à jour Microsoft Defender
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
Plateformes
- Windows
Il est important de s’assurer que les composants clients sont à jour pour fournir des fonctionnalités de protection critiques et empêcher les attaques.
Les fonctionnalités sont fournies par le biais de plusieurs composants :
- Détection de point de terminaison & réponse
- Protection nouvelle génération avec protection fournie par le cloud
- Réduction de la surface d’attaque
Mises à jour sont publiées mensuellement à l’aide d’un processus de mise en production progressive. Ce processus permet d’activer la détection précoce des défaillances afin d’identifier les problèmes à mesure qu’ils se produisent et de les résoudre rapidement avant un déploiement plus important.
Remarque
Pour plus d’informations sur la façon de contrôler les mises à jour quotidiennes de security intelligence, consultez Planifier Microsoft Defender mises à jour de protection antivirus. Mises à jour garantir que la protection de nouvelle génération peut se défendre contre les nouvelles menaces, même si la protection fournie par le cloud n’est pas disponible pour le point de terminaison.
Modèle de déploiement progressif Microsoft
Le modèle de déploiement progressif suivant est suivi pour les mises à jour defender mensuelles :
La première version est envoyée aux abonnés du canal bêta.
Après validation, commentaires et correctifs, nous commençons le processus de déploiement progressif de manière limitée et nous commençons par afficher un aperçu des abonnés du canal.
Nous procédons ensuite à la publication de la mise à jour pour le reste de la population mondiale, en passant de 10 à 100 %.
Nos ingénieurs surveillent en permanence l’impact et réaffectent les problèmes pour créer un correctif en fonction des besoins.
Comment personnaliser votre processus de déploiement interne
Si vos machines reçoivent des mises à jour Defender de Windows Update, le processus de déploiement progressif peut faire en sorte que certains de vos appareils reçoivent des mises à jour Defender plus tôt que d’autres. La section suivante explique comment définir une stratégie qui permet aux mises à jour automatiques de circuler différemment vers des groupes spécifiques d’appareils à l’aide de la configuration du canal de mise à jour.
Remarque
Lorsque vous planifiez votre propre mise en production progressive, veillez à toujours disposer d’une sélection d’appareils abonnés aux canaux préversion et intermédiaires. Cela permet à vos organization ainsi qu’à Microsoft d’empêcher ou de rechercher et de résoudre les problèmes spécifiques à votre environnement.
Pour les machines recevant des mises à jour via, par exemple, Windows Server Update Services (WSUS) ou Microsoft Configuration Manager, d’autres options sont disponibles pour toutes les mises à jour Windows, y compris les options pour Microsoft Defender pour point de terminaison.
- Pour en savoir plus sur l’utilisation de solutions telles que WSUS et MECM pour gérer la distribution et l’application des mises à jour, consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence - Sécurité Windows.
Canaux de mise à jour pour les mises à jour mensuelles
Vous pouvez affecter une machine à un canal de mise à jour pour définir la cadence à laquelle un ordinateur reçoit les mises à jour mensuelles du moteur et de la plateforme.
Pour plus d’informations sur la configuration des mises à jour, consultez Create un processus de déploiement progressif personnalisé pour les mises à jour Microsoft Defender.
Les canaux de mise à jour suivants sont disponibles :
| Nom du canal | Description | Application |
|---|---|---|
| Canal bêta - Préversion | Tester les mises à jour avant les autres | Les appareils définis sur ce canal sont les premiers à recevoir de nouvelles mises à jour mensuelles. Sélectionnez Canal bêta pour participer à l’identification et au signalement des problèmes à Microsoft. Les appareils du programme Windows Insider sont abonnés à ce canal par défaut. À utiliser uniquement dans les environnements de test. |
| Canal actuel (préversion) | Obtenir les mises à jour du canal actuel plus tôt lors de la mise en production progressive | Les appareils définis sur ce canal reçoivent les mises à jour proposées le plus tôt possible pendant le cycle de mise en production progressive. Suggéré pour les environnements de préproduction/validation. |
| Canal actuel (intermédiaire) | Obtenir les mises à jour du canal actuel ultérieurement lors de la mise en production progressive | Des mises à jour sont proposées aux appareils ultérieurement pendant le cycle de mise en production progressive. Il est recommandé de s’appliquer à une petite partie représentative de votre population d’appareils (environ 10 %). |
| Canal actuel (large) | Obtenir les mises à jour à la fin de la mise en production progressive | Les mises à jour ne seront proposées aux appareils qu’une fois le cycle de mise en production progressive terminé. S’applique à un large éventail d’appareils de votre population de production (~10-100 %). |
| Critique : Délai | Retarder les mises à jour de Defender | Des mises à jour sont proposées aux appareils avec un délai de 48 heures. Idéal pour les machines de centre de données qui ne reçoivent que des mises à jour limitées. Suggéré pour les environnements critiques uniquement. |
| (par défaut) | Si vous désactivez ou ne configurez pas cette stratégie, l’appareil reste dans le canal actuel (par défaut) : restez à jour automatiquement pendant le cycle de mise en production progressive. Cela signifie que Microsoft affecte un canal à l’appareil. Le canal sélectionné par Microsoft peut être celui qui reçoit les mises à jour au début du cycle de publication progressive, ce qui n’est pas adapté aux appareils dans un environnement de production ou critique. |
Canaux de mise à jour pour les mises à jour du renseignement de sécurité
Vous pouvez également affecter une machine à un canal pour définir la cadence dans laquelle elle reçoit des unités d’identification utilisateur (anciennement appelées signature, définition ou mises à jour quotidiennes). Contrairement au processus mensuel, il n’existe aucun canal bêta et ce cycle de mise en production progressive se produit plusieurs fois par jour.
| Nom du canal | Description | Application |
|---|---|---|
| Canal actuel (intermédiaire) | Obtenir les mises à jour du canal actuel ultérieurement lors de la mise en production progressive | Des mises à jour sont proposées aux appareils ultérieurement pendant le cycle de mise en production progressive. Il est recommandé de s’appliquer à une petite partie représentative de votre population d’appareils (environ 10 %). |
| Canal actuel (large) | Obtenir les mises à jour à la fin de la mise en production progressive | Des mises à jour seront proposées aux appareils après le cycle de mise en production progressive. Idéal pour les machines de centre de données qui ne reçoivent que des mises à jour limitées. Remarque : ce paramètre s’applique à toutes les mises à jour Defender. |
| (par défaut) | Si vous désactivez ou ne configurez pas cette stratégie, l’appareil reste dans le canal actuel (par défaut) : restez à jour automatiquement pendant le cycle de mise en production progressive. Cela signifie que Microsoft affecte un canal à l’appareil. Le canal sélectionné par Microsoft peut être celui qui reçoit les mises à jour au début du cycle de publication progressive, ce qui n’est pas adapté aux appareils dans un environnement de production ou critique. |
Remarque
Si vous souhaitez forcer une mise à jour de la signature la plus récente au lieu de tirer parti du délai, vous devez d’abord supprimer cette stratégie.
Conseils de mise à jour
Dans la plupart des cas, la configuration recommandée lors de l’utilisation de Windows Update consiste à autoriser les points de terminaison à recevoir et à appliquer des mises à jour Defender mensuelles à mesure qu’elles arrivent. Cette option offre le meilleur équilibre entre la protection et l’impact possible associé aux modifications qu’elle peut introduire.
Pour les environnements où un déploiement progressif plus contrôlé des mises à jour automatiques de Defender est nécessaire, envisagez une approche avec des groupes de déploiement :
Participez au programme Windows Insider ou affectez un groupe d’appareils au canal bêta.
Désignez un groupe pilote qui opte pour le canal en préversion, généralement des environnements de validation, pour recevoir les nouvelles mises à jour plus tôt.
Désignez un groupe de machines qui reçoivent des mises à jour ultérieurement pendant le déploiement progressif à partir du canal intermédiaire. En règle générale, ce groupe représenterait environ 10 % de la population.
Désignez un groupe de machines qui reçoivent des mises à jour une fois le cycle de mise en production progressive terminé. Il s’agit généralement de systèmes de production importants.
Pour le reste des appareils, le paramètre par défaut est de recevoir les nouvelles mises à jour à mesure qu’elles arrivent pendant le processus de déploiement progressif de Microsoft et aucune autre configuration n’est requise.
Adoption de ce modèle :
- Vous permet de tester les versions préliminaires avant qu’elles n’atteignent un environnement de production
- Assurez-vous que l’environnement de production reçoit toujours des mises à jour régulières et garantissez une protection contre les menaces critiques.
Outils de gestion
Pour créer votre propre processus de déploiement progressif personnalisé pour les mises à jour mensuelles, vous pouvez utiliser les outils suivants :
- Stratégie de groupe
- Microsoft Intune
- PowerShell
Pour plus d’informations sur l’utilisation de ces outils, consultez Create un processus de déploiement progressif personnalisé pour les mises à jour Microsoft Defender.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour