Comment configurer l'action par défaut pour le profil public dans Windows Defender

Configurez les paramètres du profil public de Windows Defender Firewall via Microsoft Intune pour bloquer le trafic entrant non sollicité sur les réseaux publics, renforçant ainsi la sécurité des appareils distants et mobiles.

28 avril 2026 15 min —

hardintune 10 étapes 15 min

Pourquoi configurer les paramètres de profil public du pare-feu Windows Defender ?

Lorsque les employés travaillent à distance ou voyagent avec des appareils de l'entreprise, ils se connectent fréquemment à des réseaux publics non fiables dans les cafés, les aéroports, les hôtels et les espaces de coworking. Ces réseaux présentent des risques de sécurité importants car d'autres utilisateurs sur le même réseau peuvent potentiellement accéder à vos appareils via des connexions entrantes non sollicitées.

La configuration du pare-feu Windows Defender de Microsoft Intune offre un contrôle centralisé sur la manière dont vos appareils gérés gèrent le trafic réseau en fonction du profil de localisation du réseau. Le profil public s'active spécifiquement lorsque les appareils détectent qu'ils sont connectés à des réseaux publics, appliquant automatiquement des politiques de sécurité plus restrictives.

Que contrôle l'action par défaut pour les connexions entrantes ?

Le paramètre d'action par défaut pour les connexions entrantes détermine comment Windows gère les connexions réseau entrantes qui ne correspondent à aucune règle de pare-feu spécifique. Lorsqu'il est réglé sur "Bloquer" pour les profils publics, il crée une posture de sécurité par défaut de refus où tout le trafic entrant non sollicité est rejeté sauf s'il est explicitement autorisé par une règle de pare-feu.

Cette configuration est essentielle pour les appareils mobiles et distants car elle empêche les attaques basées sur le réseau telles que le balayage de ports, les tentatives de mouvement latéral et l'exploitation de services vulnérables exécutés sur l'appareil. Combiné à la gestion centralisée d'Intune, vous pouvez garantir des politiques de sécurité cohérentes sur l'ensemble de votre flotte d'appareils, quel que soit l'endroit où les employés se connectent.

Comment cela s'intègre-t-il à l'architecture moderne de Zero Trust ?

La configuration de politiques de pare-feu restrictives via Intune s'aligne sur les principes de sécurité Zero Trust en traitant tous les réseaux comme non fiables par défaut. Cette approche complète d'autres fonctionnalités de sécurité d'Intune telles que l'accès conditionnel, les politiques de conformité des appareils et l'intégration de Microsoft Defender pour Endpoint pour créer une protection complète des points de terminaison.

Guide de mise en oeuvre

Procédure complète

Accéder à la configuration du pare-feu Microsoft Intune

Ouvrez votre navigateur et accédez au centre d'administration Microsoft Intune. Connectez-vous avec vos identifiants d'administrateur disposant des autorisations de sécurité des points de terminaison.

Accédez à Sécurité des points de terminaison dans le volet de navigation de gauche, puis sélectionnez Pare-feu. Vous verrez la page de résumé du pare-feu affichant les politiques existantes et leur statut de déploiement.

Cliquez sur Résumé pour voir l'aperçu actuel de la politique de pare-feu. Cette page affiche toutes les politiques de pare-feu actives, leur statut d'affectation et les métriques de conformité des appareils.

Astuce pro : Ajoutez la page Sécurité des points de terminaison > Pare-feu aux favoris pour un accès rapide lors des tâches de gestion des politiques.

Vérification : Confirmez que vous pouvez voir le tableau de bord des politiques de pare-feu avec des options pour créer de nouvelles politiques et voir celles existantes.

Créer une nouvelle stratégie de pare-feu Microsoft Defender

Depuis la page de résumé du pare-feu, cliquez sur Créer une stratégie pour démarrer l'assistant de création de stratégie.

Dans la boîte de dialogue de création de stratégie, sélectionnez les options suivantes :

Plateforme : Windows 10, Windows 11, et Windows Server
Profil : Microsoft Defender Firewall

Cliquez sur Créer pour passer à l'assistant de configuration de la stratégie.

Dans l'onglet Informations de base, fournissez les informations suivantes :

Nom : Pare-feu réseau public - Bloquer les entrées
Description : Bloque les connexions entrantes non sollicitées sur les réseaux publics pour une sécurité renforcée
Plateforme : Windows 10, Windows 11, et Windows Server

Cliquez sur Suivant pour passer aux paramètres de configuration.

Vérification : Assurez-vous que le nom de la stratégie apparaît dans l'en-tête de l'assistant et que la plateforme est indiquée comme "Windows 10, Windows 11, et Windows Server".

Configurer les paramètres du pare-feu du profil public

Dans l'onglet Paramètres de configuration, localisez la section Profil public. Cette section contrôle le comportement du pare-feu lorsque les appareils se connectent à des réseaux publics comme les cafés, les aéroports ou les hôtels.

Configurez les paramètres critiques suivants :

Activer le pare-feu réseau public (Appareil) : Vrai
Action par défaut pour les connexions entrantes du profil public (Appareil) : Bloquer
Action par défaut pour les connexions sortantes (Appareil) : Autoriser
Protégé : Vrai

Voici ce que fait chaque paramètre :

Activer le pare-feu réseau public : Active le pare-feu lors de la connexion à des réseaux publics
Action par défaut pour les connexions entrantes - Bloquer : Refuse toutes les connexions entrantes non sollicitées (recommandé pour la sécurité)
Action par défaut pour les connexions sortantes - Autoriser : Permet le trafic sortant pour le bon fonctionnement des applications
Protégé - Vrai : Empêche les utilisateurs finaux de modifier ces paramètres de pare-feu

Avertissement : Définir l'action par défaut pour les connexions entrantes sur "Autoriser" sur les réseaux publics crée des risques de sécurité importants. Utilisez toujours "Bloquer" pour les profils publics.

Vérification : Vérifiez que "Bloquer" est sélectionné pour l'action par défaut pour les connexions entrantes et que "Vrai" est sélectionné pour Activer le pare-feu réseau public et Protégé.

Configurer les paramètres de domaine et de profil privé

Pour une protection complète, configurez également les profils Domaine et Privé. Faites défiler jusqu'à la section Profil de domaine et définissez :

Activer le pare-feu du réseau de domaine (Appareil) : Vrai
Action par défaut pour les entrées du profil de domaine (Appareil) : Autoriser
Action par défaut pour les sorties (Appareil) : Autoriser
Protégé : Vrai

Important : Gardez l'action d'entrée du profil de domaine sur "Autoriser" pour éviter les échecs de tâches à distance depuis le portail Intune. Le définir sur "Bloquer" cassera les capacités de gestion à distance.

Ensuite, configurez la section Profil privé :

Activer le pare-feu du réseau privé (Appareil) : Vrai
Action par défaut pour les entrées du profil privé (Appareil) : Bloquer
Action par défaut pour les sorties (Appareil) : Autoriser
Protégé : Vrai

Les réseaux privés incluent les réseaux domestiques et professionnels où vous avez plus de contrôle sur l'infrastructure réseau.

Astuce pro : Documentez votre stratégie de profil de pare-feu. Public = Bloquer toutes les entrées, Privé = Bloquer avec exceptions, Domaine = Autoriser pour la gestion.

Vérification : Confirmez que le profil de domaine a "Autoriser" pour l'action d'entrée tandis que les profils privé et public ont "Bloquer" sélectionné.

Activer l'audit et la journalisation du pare-feu

Faites défiler jusqu'à la section Audit pour activer la journalisation complète pour le dépannage et la surveillance de la sécurité.

Configurez les paramètres d'audit suivants :

Audit des paquets rejetés : Succès + Échec
Audit des connexions réussies : Succès + Échec

Ces paramètres permettent une journalisation détaillée des connexions réussies et des tentatives de trafic bloquées. Les journaux seront disponibles dans le Visualiseur d'événements Windows sous :

Journaux des applications et des services > Microsoft > Windows > Pare-feu Windows avec sécurité avancée > Pare-feu

La journalisation aide à :

Identifier les applications légitimes bloquées
Détecter les menaces potentielles pour la sécurité
Résoudre les problèmes de connectivité
Rapports de conformité

Vérification : Assurez-vous que les deux options d'audit affichent "Succès + Échec" dans les sélections déroulantes.

Configurer les balises de portée et les affectations

Cliquez sur Suivant pour passer à la section Balises de portée. Si votre organisation utilise des balises de portée pour le contrôle d'accès basé sur les rôles, sélectionnez les balises appropriées. Pour la plupart des déploiements, vous pouvez laisser cela par défaut et cliquer sur Suivant.

Dans l'onglet Affectations, cliquez sur Ajouter des groupes pour spécifier quels groupes d'appareils recevront cette politique de pare-feu.

Sélectionnez Inclure et choisissez vos groupes cibles. Les sélections de groupes courantes incluent :

Tous les appareils Windows
Groupe de travailleurs à distance
Utilisateurs d'appareils mobiles
Groupes de départements spécifiques

Exemple de configuration d'affectation :

Type d'affectation : Inclure
Groupes sélectionnés : 
  - Tous les appareils Windows 10/11
  - Travailleurs à distance
  - Appareils mobiles exécutifs

Avertissement : Testez les politiques de pare-feu sur un petit groupe pilote avant de les déployer sur tous les appareils. Des paramètres incorrects peuvent bloquer le trafic réseau légitime.

Vérification : Confirmez que vos groupes sélectionnés apparaissent dans la section "Groupes inclus" avec le nombre correct de membres affiché.

Examiner et déployer la politique de pare-feu

Cliquez sur Suivant pour atteindre l'onglet Révision + création. Examinez attentivement tous les paramètres configurés :

Résumé de la politique :
✓ Profil public : Bloquer entrant, Autoriser sortant
✓ Profil de domaine : Autoriser entrant, Autoriser sortant  
✓ Profil privé : Bloquer entrant, Autoriser sortant
✓ Audit : Activé pour les succès et les échecs
✓ Protégé : Vrai (empêche la modification par l'utilisateur)
✓ Groupes cibles : [Vos groupes sélectionnés]

Vérifiez que la configuration de la politique correspond à vos exigences de sécurité. Portez une attention particulière à :

Le profil public a "Bloquer" pour l'action entrante
Le profil de domaine a "Autoriser" pour l'action entrante (critique pour la gestion Intune)
Les groupes d'appareils corrects sont assignés
Protégé est activé pour empêcher la manipulation par l'utilisateur

Cliquez sur Créer pour déployer la politique. La politique commencera à se déployer sur les appareils assignés immédiatement.

Vérification : Après la création, vous verrez la nouvelle politique dans la liste des politiques de pare-feu avec le statut de déploiement "En cours de déploiement" ou "Réussi".

Surveiller le déploiement et la conformité des politiques

Naviguez vers Sécurité des points de terminaison > Pare-feu pour surveiller le déploiement de votre stratégie. Cliquez sur votre nouvelle stratégie pour voir le statut détaillé du déploiement.

La vue d'ensemble de la stratégie montre :

Statut du déploiement :
- Réussi : [nombre] appareils
- En cours : [nombre] appareils  
- Échoué : [nombre] appareils
- Non applicable : [nombre] appareils

Cliquez sur Statut de l'appareil pour voir les résultats de déploiement par appareil. Recherchez les appareils affichant "Non applicable" - ceux-ci peuvent utiliser la Gestion de la sécurité pour Microsoft Defender pour Endpoint, ce qui est un comportement attendu.

Statuts de déploiement courants :

Réussi : Stratégie appliquée avec succès
En cours : Déploiement de la stratégie en cours
Échoué : Vérifiez la connectivité et les autorisations de l'appareil
Non applicable : L'appareil ne prend pas en charge le paramètre ou utilise une gestion alternative

Astuce pro : Configurez des rapports automatisés pour surveiller la conformité de la stratégie de pare-feu sur votre parc d'appareils en utilisant les capacités de rapport d'Intune.

Vérification : Confirmez qu'au moins 80 % des appareils cibles affichent le statut "Réussi" dans les 24 heures suivant le déploiement de la stratégie.

Tester et valider la configuration du pare-feu

Connectez un appareil de test à un réseau public (café, point d'accès mobile ou réseau invité) pour vérifier que la politique de pare-feu fonctionne correctement.

Sur l'appareil de test, ouvrez l'invite de commande en tant qu'administrateur et exécutez :

netsh advfirewall show allprofiles state

La sortie attendue devrait montrer :

Paramètres du profil public :
État : ACTIVÉ
Politique de pare-feu : BloquerEntrant,AutoriserSortant

Paramètres du profil de domaine :
État : ACTIVÉ  
Politique de pare-feu : AutoriserEntrant,AutoriserSortant

Paramètres du profil privé :
État : ACTIVÉ
Politique de pare-feu : BloquerEntrant,AutoriserSortant

Testez le blocage entrant en essayant de vous connecter à l'appareil depuis une autre machine sur le même réseau public. La connexion devrait être bloquée.

Vérifiez que la connectivité sortante fonctionne en naviguant sur des sites Web ou en accédant à des services cloud.

Vérifiez les journaux de pare-feu dans le Visualiseur d'événements Windows :

eventvwr.msc

Accédez à : Journaux des applications et services > Microsoft > Windows > Pare-feu Windows avec sécurité avancée > Pare-feu

Vérification : Confirmez que les tentatives entrantes bloquées apparaissent dans les journaux de pare-feu et que le trafic sortant légitime circule normalement.

Créer des règles d'exception pour les applications requises

Après avoir déployé la politique de pare-feu restrictive, vous devrez probablement créer des règles d'exception pour les applications légitimes nécessitant des connexions entrantes.

Retournez à Sécurité des points de terminaison > Pare-feu et cliquez sur Créer une politique. Sélectionnez :

Plateforme : Windows 10, Windows 11 et Windows Server
Profil : Règles du pare-feu Microsoft Defender

Configurez des règles spécifiques à l'application :

Nom de la règle : Autoriser le Bureau à distance - Réseaux publics
Action : Autoriser
Direction : Entrante
Protocole : TCP
Port local : 3389
Profil : Public
Chemin du programme : %SystemRoot%\system32\svchost.exe
Nom du service : TermService

Applications courantes nécessitant des exceptions entrantes :

Bureau à distance (TCP 3389)
Partage de fichiers (TCP 445, 139)
Clients VPN (ports divers)
Applications professionnelles avec fonctionnalités peer-to-peer

Avertissement : Ne créez des exceptions entrantes que pour les applications absolument nécessaires. Chaque exception réduit la posture de sécurité sur les réseaux publics.

Assignez les règles d'exception aux mêmes groupes d'appareils que votre politique de pare-feu principale.

Vérification : Testez que l'application spécifique fonctionne sur les réseaux publics tandis que les autres trafics entrants restent bloqués.

Questions Fréquentes

Que se passe-t-il si je définis l'Action Entrante par Défaut sur Bloquer pour le Profil de Domaine dans Intune ?+

Définir l'action par défaut du profil de domaine sur Bloquer empêchera l'exécution de tâches à distance depuis le portail Intune et perturbera les capacités de gestion. Microsoft recommande de garder l'action entrante du profil de domaine sur Autoriser ou Non configuré pour maintenir une fonctionnalité de gestion Intune appropriée. Utilisez Bloquer uniquement pour les profils Public et Privé où une sécurité renforcée est nécessaire.

Combien de temps faut-il pour que les politiques du pare-feu Windows Defender soient déployées via Intune ?+

Les stratégies de pare-feu sont généralement déployées en 15 à 30 minutes sur les appareils en ligne, mais peuvent prendre jusqu'à 8 heures pour les appareils qui se connectent moins fréquemment. La vitesse de déploiement dépend de la connectivité des appareils, de la charge du service Intune et de la fréquence à laquelle les appareils vérifient les mises à jour des stratégies. Vous pouvez forcer un rafraîchissement immédiat des stratégies en utilisant l'action Synchroniser dans le portail Intune.

Les utilisateurs peuvent-ils remplacer les paramètres du pare-feu Windows Defender configurés via Intune ?+

Lorsque vous définissez le paramètre Protégé sur True dans votre stratégie de pare-feu Intune, les utilisateurs finaux ne peuvent pas modifier les paramètres du pare-feu via Sécurité Windows ou le Panneau de configuration. Ils verront un message indiquant 'Pour votre sécurité, certains paramètres sont contrôlés par la stratégie de groupe.' Cela empêche les utilisateurs d'affaiblir accidentellement ou intentionnellement les politiques de sécurité sur les appareils gérés.

Pourquoi certains appareils affichent-ils le statut 'Non applicable' pour les politiques de pare-feu dans Intune ?+

Les appareils affichant le statut 'Non applicable' utilisent généralement la solution d'attachement de la gestion de la sécurité pour Microsoft Defender pour Endpoint, qui gère les paramètres du pare-feu par un mécanisme différent. Il s'agit d'un comportement attendu et cela n'indique pas un problème. Ces appareils reçoivent la configuration du pare-feu via Defender pour Endpoint au lieu des politiques standard d'Intune.

Comment dépanner les applications bloquées par les paramètres du profil public de Windows Defender Firewall ?+

Activez l'audit du pare-feu dans votre politique Intune pour enregistrer à la fois les connexions réussies et bloquées. Vérifiez le Visualiseur d'événements Windows sous Journaux des applications et des services > Microsoft > Windows > Pare-feu Windows avec sécurité avancée > Pare-feu pour les tentatives de connexion bloquées. Créez des règles d'autorisation entrantes spécifiques pour les applications légitimes qui nécessitent un accès réseau, mais évitez les exceptions larges qui affaiblissent la sécurité sur les réseaux publics.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

Comment déployer des emplacements réseau via la stratégie de groupe dans Windows Server 2025

tutorial

Networking

Comment déployer des emplacements réseau via la stratégie de groupe dans Windows Server 2025

Explorer

tutorial

Cybersecurity

Comment configurer l'action par défaut pour le profil public dans Windows Defender

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecter Créer un compte