Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le ciblage d’appareil dans Microsoft Defender pour point de terminaison suit deux étapes : vous créez d’abord des étiquettes pour étiqueter les appareils avec le contexte métier, puis vous formez des groupes d’appareils basés sur ces étiquettes pour cibler les opérations de sécurité à grande échelle, telles que l’accès en fonction du rôle, la collecte de données personnalisées, les règles d’automatisation et les stratégies de réduction de la surface d’attaque.
Configuration requise
Avant de créer des étiquettes et des appareils cibles, passez en revue les exigences suivantes.
Autorisations
- Balises dynamiques : nécessite des autorisations appropriées dans Gestion des règles de ressources.
- Balises manuelles : nécessite des autorisations au niveau de l’appareil dans le portail Defender.
- Règles d’automatisation : nécessite des autorisations de création de règle.
- Groupes d’appareils : nécessite le rôle Administrateur de la sécurité pour créer et gérer des groupes.
Systèmes d’exploitation pris en charge
Le balisage des appareils est pris en charge sur :
- Windows 11, Windows 10 (version 1709 ou ultérieure), Windows 8.1, Windows 7 SP1
- Windows Server (version 1803 ou ultérieure), Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2 SP1
- macOS, Linux, iOS, Android
Notes sur les performances
- Chaque appareil peut avoir plusieurs étiquettes.
- Les balises dynamiques sont mises à jour environ toutes les heures.
- Il peut y avoir une certaine latence entre le moment où une balise est ajoutée à un appareil et sa disponibilité dans la liste des appareils et la page de l’appareil.
- Un grand nombre d’étiquettes n’affecte pas de manière significative les performances.
- Les règles de collecte de données personnalisées peuvent cibler plusieurs combinaisons d’étiquettes.
Pour plus d’informations sur les balises et les groupes, les balises dynamiques et manuelles et les scénarios de ciblage, consultez Ciblage d’appareil.
Créer des étiquettes
Vous pouvez ajouter des balises à des appareils à l’aide des méthodes suivantes. Chaque méthode est adaptée à différents scénarios et plateformes d’appareils.
| Méthode | Plateforme | Étapes |
|---|---|---|
| Portail | Toutes les plateformes prises en charge | Ajoutez manuellement des étiquettes à des appareils individuels ou à de petits groupes. Consultez Ajouter des étiquettes d’appareil à l’aide du portail. |
| Règles dynamiques | Toutes les plateformes prises en charge | Créez des règles dans le portail Defender qui attribuent et suppriment automatiquement des balises en fonction des propriétés de l’appareil. Consultez Gestion des règles de ressources - Règles dynamiques pour les appareils. |
| Clé de Registre | Windows | Définissez la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Protection avancée contre les menaces\DeviceTagging\ de Registre avec REG_SZ valeur Group contenant le nom de la balise (200 caractères maximum). Les étiquettes sont synchronisées une fois par jour ; redémarrez l’appareil pour une synchronisation immédiate. Pour supprimer une balise, effacez les données de valeur au lieu de supprimer la Group clé. |
| Gestion des paramètres de sécurité | macOS, Linux | Créez une stratégie de sécurité de détection de point de terminaison et de réponse. Consultez Gérer les stratégies de sécurité de point de terminaison sur les appareils MDE intégrés et Gérer les stratégies de sécurité des points de terminaison dans Defender pour point de terminaison. |
| Profil de configuration | macOS, Linux |
macOS : créez un .plist profil de configuration et déployez-le manuellement ou via un outil de gestion. Consultez Définir les préférences pour MDE sur macOS et Paramètres personnalisés pour macOS dans Intune.
Linux : créer un .json profil de configuration. Consultez Définir des préférences pour MDE sur Linux. |
| Profil Intune personnalisé | Windows 10 ou version ultérieure | Créez un profil de configuration d’appareil avec des paramètres personnalisés dans Intune. Utilisez OMA-URI ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group avec le type de données String. Consultez Créer un profil avec des paramètres personnalisés dans Intune. |
| Stratégie de configuration d’application dans Intune | iOS, Android | Créez un profil de configuration d’application dans Intune pour définir et appliquer des étiquettes pour les appareils mobiles. Pour iOS, consultez Configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS. Pour Android, consultez Configurer Defender pour point de terminaison sur les fonctionnalités Android. Pour plus d’informations, consultez Étiqueter des appareils mobiles avec Microsoft Defender pour point de terminaison. |
Remarque
La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.
Pour ajouter des balises d’appareil à l’aide de l’API, consultez Ajouter ou supprimer des balises d’appareil API.
Ajouter des étiquettes d’appareil à l’aide du portail
Sélectionnez l’appareil sur lequel vous souhaitez gérer les balises. Vous pouvez sélectionner ou rechercher un appareil à partir de l’une des vues suivantes :
File d’attente des alertes : sélectionnez le nom de l’appareil en regard de l’icône de l’appareil dans la file d’attente des alertes.
Inventaire des appareils : sélectionnez le nom de l’appareil dans la liste des appareils.
Zone de recherche : sélectionnez Appareil dans le menu déroulant et entrez le nom de l’appareil.
Vous pouvez également accéder à la page d’alerte via les Affichages de fichier et d’adresse IP.
Sélectionnez Gérer les balises dans la ligne Actions de réponse.
Taper pour rechercher ou créer des balises.
Les étiquettes sont ajoutées à l’affichage de l’appareil et sont également reflétées dans la vue d’inventaire des appareils . Vous pouvez ensuite utiliser le filtre Étiquettes pour afficher la liste appropriée des appareils.
Remarque
Le filtrage peut ne pas fonctionner sur les noms de balises qui contiennent des parenthèses ou des virgules.
Lorsque vous créez une balise, une liste d’étiquettes existantes s’affiche. La liste affiche uniquement les étiquettes créées via le portail. Les étiquettes existantes créées à partir d’appareils clients ne s’affichent pas.
Vous pouvez également supprimer des balises de cette vue.
Créer des groupes d’appareils
Après avoir étiqueté les appareils, utilisez des groupes d’appareils pour contrôler les équipes de sécurité qui peuvent accéder et gérer des ensembles d’appareils spécifiques. Les groupes d’appareils utilisent des règles de correspondance( souvent basées sur des étiquettes) pour déterminer l’appartenance, et ils permettent un contrôle d’accès en fonction du rôle, des niveaux de correction automatisés et des stratégies de sécurité étendues.
Pour obtenir des instructions pas à pas sur la création, le classement et la gestion des groupes d’appareils, consultez Créer et gérer des groupes d’appareils.
Appliquer des actions de sécurité
Une fois que vos appareils sont organisés avec des étiquettes et des groupes, vous pouvez cibler des opérations de sécurité à grande échelle. Les groupes d’appareils et les étiquettes alimentent les fonctionnalités, notamment les investigations et la chasse aux menaces, la collecte de données personnalisées, les règles d’automatisation, l’accès basé sur les rôles, les règles de réduction de la surface d’attaque et les stratégies d’accès conditionnel.
Pour obtenir la liste complète des actions de sécurité que vous pouvez cibler sur des groupes d’appareils, y compris des scénarios et des liens, consultez Actions de sécurité optimisées par le ciblage.