0%

📌 Progression restaurée, tu reprends où tu t'es arrêté(e).

← Accueil
🛡️ Microsoft Defender for Endpoint · MDE

Defender for Endpoint + Intune Protection et réponse aux menaces

Admin IT / Ingénieur sécurité : Onboarding, détection des menaces, machine risk score et conformité automatisée

⏱ 25–30 min 📊 Intermédiaire → Avancé 🎯 security.microsoft.com 🔢 Lab 8 / 15
🕐 Contenu vérifié le 21 juin 2026 documentation officielle Microsoft Defender
0
Contexte : La menace évolue, la réponse aussi
🦠

L'incident

Un ransomware se propage sur 3 postes Argos. L'antivirus a bloqué le payload mais le mouvement latéral n'a pas été détecté. Aucune visibilité sur les IoC (indicateurs de compromission).

🎯

L'objectif

Déployer MDE sur tous les postes Windows 11 via Intune. Corréler le risque machine avec la conformité Intune. Bloquer l'accès aux ressources si le risque dépasse le seuil "Low".

🏗️

L'architecture

MDE = Microsoft Defender for Endpoint (portal : security.microsoft.com). Intune déploie l'agent MDE via une politique EDR. MDE remonte le risk score → Intune → Conformité → Conditional Access.

📋

Les licences

MDE Plan 1 : inclus dans M365 E3, Microsoft 365 Business Premium. MDE Plan 2 : inclus dans M365 E5, MDE add-on. Plan 2 ajoute EDR, AIR, TVM, Threat Analytics.

1
MDE Plan 1 vs Plan 2 : Comparatif des fonctionnalités

MDE Plan 1

Protection de base des endpoints
Inclus : M365 E3 · M365 Business Premium
Antivirus nouvelle génération protection comportementale, heuristique, temps réel, cloud
Attack Surface Reduction (ASR) 15+ règles (macro Office, scripts obfusqués, processus enfants)
Device control contrôle des médias amovibles (USB, Bluetooth)
Web & Network protection blocage phishing, sites malveillants, filtrage de contenu
Firewall réseau règles de pare-feu avancées
Réponses manuelles isoler l'appareil, lancer scan AV, quarantaine fichier
Portail centralisé security.microsoft.com, RBAC, APIs
EDR (Endpoint Detection & Response)
Investigation et remédiation automatisées (AIR)
Threat & Vulnerability Management (TVM)
Threat Analytics · Détonation sandbox

MDE Plan 2

Protection avancée : ancienn. Defender for Endpoint
Inclus : M365 E5 · MDE add-on
Tout Plan 1, plus :
EDR : Endpoint Detection & Response détection comportementale avancée, timelines d'attaque
AIR : Automated Investigation & Remediation investigation automatique + correction des menaces
TVM : Threat & Vulnerability Management inventaire vulnérabilités, score d'exposition, recommandations
Threat Analytics rapports d'analystes sur les menaces actives
Sandbox / Détonation exécution de fichiers suspects en environnement isolé
Machine Risk Score score de risque temps réel remontant dans Intune pour la conformité
Advanced Hunting requêtes KQL sur 30 jours d'événements
💡 Pour Argos Consulting (M365 E3), MDE Plan 1 est inclus. Pour activer l'EDR et le Risk Score dans la conformité Intune, l'upgrade vers M365 E5 ou un add-on MDE P2 est nécessaire. Ce lab suppose MDE Plan 2 pour couvrir toutes les fonctionnalités.
2
Architecture d'intégration : le flux MDE → Intune → CA
🛡️
MDE Portal
security.microsoft.com
Activer Intune connection
Settings → Endpoints →
Advanced features
🔗
Connecteur
Intune admin center
Endpoint security →
Defender for Endpoint
Connection: Enabled
💻
Onboarding EDR
Endpoint security →
EDR → Create Policy
Package: Auto from
connector
Risk Score
MDE évalue la menace
Machine risk :
Clear / Low /
Medium / High
Conformité
Intune Compliance
Require ≤ Low
Non-conforme si
risque > seuil
🔐
CA Block
Entra CA :
Require compliant
→ Bloque l'accès
Exchange / SharePoint
⚠️ Ce flux nécessite MDE Plan 2 pour le Machine Risk Score. Plan 1 ne remonte pas de risk score à Intune. Validation onboarding : Defender portal → Endpoints → Device inventory (délai 15-30 min après déploiement).
3
Configurer l'intégration MDE + Intune : Stepper

Étape 1 : Activer la connexion Intune dans MDE

1
Ouvrir security.microsoft.comSystem → Settings → Endpoints → General → Advanced features
2
Localiser "Microsoft Intune connection" → basculer sur On → Save preferences
3
Retour dans Intune admin center → Endpoint security → Defender for Endpoint → vérifier Connection status : Enabled (délai jusqu'à 15 min)
💡 Opération unique par tenant (one-time setup). Si Connection status = Unavailable, relancer le toggle depuis le portail MDE.
Étape 1 / 5

Étape 2 : Configurer les plateformes connectées

Dans Intune admin center → Endpoint security → Defender for Endpoint :

Connect Windows devices to Defender for Endpoint
Compliance policy evaluation : Windows 10/11
On ✓
Connect iOS/iPadOS devices to Defender for Endpoint
Compliance + App protection policy evaluation
On ✓
Connect Android devices to Defender for Endpoint
Compliance + App protection policy evaluation
On ✓
Étape 2 / 5

Étape 3 : Créer la politique EDR (onboarding)

Endpoint security → Endpoint detection and response → Create Policy

Basics
Platform : Windows 10, 11 and Windows Server
Profile : Endpoint detection and response
Name : MDE-EDR-Argos-Windows-All
Configuration
Package type : Auto from connector ✓
Sample sharing : All
Assign to : All Devices
🎉 Avec "Auto from connector", le blob d'onboarding est généré automatiquement par MDE et transféré à Intune. Pas de fichier WindowsDefenderATP.onboarding à télécharger manuellement.
Étape 3 / 5

Étape 4 : Politique de conformité avec Machine Risk Score

Devices → Compliance → Create policy → Windows 10 and later → section "Microsoft Defender for Endpoint"

Require the device to be at or under the machine risk score
Si l'appareil dépasse le seuil sélectionné → Intune le marque NonCompliant → CA bloque l'accès aux ressources.
⚠️ "High" signifie que toutes les menaces sont autorisées (reporting uniquement, aucun blocage). Ne jamais utiliser "High" en production.
Étape 4 / 5

Étape 5 : Valider l'onboarding

1
Intune admin center → Endpoint security → Endpoint detection and response → EDR Onboarding Status → vérifier le statut "Successfully onboarded" par appareil
2
MDE Portalsecurity.microsoft.com → Endpoints → Device inventory → les appareils apparaissent après 15-30 min
3
Conformité → Devices → Compliance → vérifier que le Risk Level de MDE est visible dans le rapport de conformité Intune
🎉 Intégration MDE + Intune complète ! Les 80 postes Argos sont maintenant surveillés. Toute menace détectée au-delà du niveau "Low" marquera l'appareil NonCompliant et le Conditional Access bloquera l'accès automatiquement.
Étape 5 / 5 ✓
4
Machine Risk Score : Niveaux et impact conformité

Niveaux de risque MDE : Clique pour voir les détails

Clear
Aucune menace
Aucune menace détectée sur l'appareil. Appareil conforme si le seuil CA est ≤ Low. Score le plus sécurisé : idéal pour les postes d'administrateurs et accès données sensibles.
Low
Faible risque
Menaces de faible gravité détectées. Recommandé comme seuil de conformité Intune pour les postes standard. Équilibre optimal sécurité/productivité selon Microsoft.
Medium
Risque moyen
Menaces de gravité moyenne détectées (ex : fichier suspect, processus anormal). L'appareil sera NonCompliant si le seuil Intune est réglé sur "Low". Investigation recommandée.
High
Menace active
Menace sévère détectée : possiblement actif/spreading. L'appareil doit être isolé immédiatement. NonCompliant quel que soit le seuil (sauf "High" déconseillé). Action manuelle requise.

Device Inventory : Argos Consulting

Appareil Risk Conforme Accès
ARGOS-PC-001 Clear ✓ Oui Accordé
ARGOS-PC-012 Low ✓ Oui Accordé
ARGOS-PC-034 Medium ✗ Non Bloqué
ARGOS-PC-055 High ✗ Non Isolé 🔒
ARGOS-PC-067 Clear ✓ Oui Accordé
Seuil conformité configuré : Low Medium et High → NonCompliant
5
Actions de réponse & Alertes MDE

Clique sur une action pour voir ce qu'elle fait et dans quel plan elle est disponible. Puis explore les alertes actives de la flotte Argos.

🔒
Isolate device
Plan 1 + Plan 2
🔍
Run antivirus scan
Plan 1 + Plan 2
🗑️
Send file to quarantine
Plan 1 + Plan 2
🔬
Automated investigation
Plan 2 (AIR)
📊
Vulnerability report (TVM)
Plan 2 (TVM)
🎯
Advanced Hunting (KQL)
Plan 2
↑ Sélectionne une action pour voir sa description et son impact.

Alertes actives : Argos Consulting (security.microsoft.com)

⚠️ Suspicious process injection detected : ARGOS-PC-055
High 21/06 14:23
Processus : powershell.exe injecté dans svchost.exe
Technique : T1055 : Process Injection (MITRE ATT&CK)
Action recommandée : Isoler l'appareil immédiatement
Risk score : High → appareil NonCompliant → CA bloqué
🌐 Suspicious network connection to known C2 : ARGOS-PC-034
Medium 21/06 11:47
IP destination : 185.220.101.47 (Tor exit node)
Technique : T1071 : Application Layer Protocol
Network protection : Connexion bloquée automatiquement
Risk score : Medium → NonCompliant → CA bloqué
🔍 Potentially unwanted application (PUA) detected : ARGOS-PC-078
Low 21/06 09:12
Fichier : CCleaner_v6_installer.exe
Catégorie : PUA:Win32/CCleaner
Action : Mis en quarantaine automatiquement
Risk score : Low → Conforme (seuil ≤ Low) → Accès maintenu
6
Quiz de validation
⭐ FondamentaleOù active-t-on la connexion Intune dans le portail Microsoft Defender for Endpoint ?
⭐ FondamentaleQuel type de package faut-il sélectionner lors de la création d'une politique EDR pour l'onboarding Windows, quand la connexion MDE-Intune est établie ?
⭐ FondamentaleQuel est le niveau de risque MDE recommandé par Microsoft comme seuil de conformité Intune pour les postes standard ?
⭐ FondamentaleQuelle fonctionnalité MDE permet de déconnecter un appareil compromis du réseau tout en maintenant la connectivité avec le portail de sécurité ?
⭐⭐ AvancéeArgos Consulting a M365 E3. Le DSI veut corréler le Machine Risk Score MDE avec la conformité Intune pour bloquer automatiquement les appareils compromis. Quel est le blocage principal ?
⭐⭐ AvancéeUn poste Windows 11 est onboardé dans MDE. Le score est "Medium". La politique de conformité Intune a le seuil à "Low". Décris le flux complet jusqu'au blocage utilisateur.

Sources : MDE Plan 1 · Configurer l'intégration MDE+Intune

Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.