Comment configurer le blocage des fichiers suspects dans Microsoft Defender à l'aide d'Intune

Apprenez à créer et déployer des stratégies Microsoft Defender Antivirus dans Intune pour contrôler les niveaux de blocage des fichiers suspects, allant d'une protection équilibrée à une tolérance zéro, pour une sécurité renforcée des points de terminaison.

16 avril 2026 15 min —

mediummicrosoft-defender 9 étapes 15 min

Pourquoi configurer le blocage des fichiers suspects dans Microsoft Defender ?

Les menaces cybernétiques modernes reposent de plus en plus sur des fichiers inconnus ou suspects que la détection traditionnelle basée sur les signatures ne peut pas identifier. La capacité de blocage des fichiers suspects de Microsoft Defender utilise l'apprentissage automatique basé sur le cloud et l'analyse comportementale pour identifier et bloquer les fichiers potentiellement malveillants avant qu'ils ne puissent s'exécuter sur vos points de terminaison.

La fonctionnalité de niveau de blocage cloud dans Microsoft Defender Antivirus offre un contrôle granulaire sur la manière dont le système bloque agressivement les fichiers inconnus. En configurant cela via Microsoft Intune, vous pouvez gérer centralement les niveaux de protection sur l'ensemble de votre flotte Windows, allant d'une protection équilibrée qui minimise les faux positifs à un blocage de tolérance zéro qui arrête tous les exécutables inconnus.

Qu'est-ce qui rend le blocage des fichiers basé sur le cloud efficace ?

Contrairement aux antivirus traditionnels qui reposent uniquement sur les signatures de logiciels malveillants connus, le blocage des fichiers suspects basé sur le cloud analyse le comportement des fichiers, leur réputation et leurs métadonnées en temps réel. Lorsqu'un utilisateur tente d'exécuter un fichier inconnu, Defender interroge la plateforme d'intelligence cloud de Microsoft, qui traite des millions d'échantillons quotidiennement pour prendre des décisions de blocage éclairées en quelques secondes.

Cette approche est particulièrement efficace contre les menaces de type zero-day, les malwares sans fichier et les techniques d'attaque sophistiquées qui tentent d'échapper aux méthodes de détection traditionnelles. L'intégration avec Microsoft Defender for Endpoint améliore encore cette capacité en fournissant un contexte supplémentaire et des actions de réponse automatisées.

Comment Intune simplifie-t-il la gestion de Defender ?

Gérer les paramètres de Microsoft Defender sur des centaines ou des milliers de points de terminaison nécessitait traditionnellement des configurations complexes de stratégie de groupe ou des interventions manuelles. Les politiques de sécurité des points de terminaison d'Intune simplifient ce processus en fournissant une plateforme de gestion centralisée basée sur le cloud qui peut déployer des configurations de sécurité cohérentes, quel que soit l'emplacement de l'appareil ou l'appartenance au domaine.

L'intégration entre Intune et Microsoft Defender for Endpoint crée une expérience de gestion de la sécurité unifiée où le déploiement des politiques, la surveillance de la conformité et la réponse aux menaces peuvent tous être gérés depuis une console unique. Ce tutoriel vous guidera à travers le processus complet de mise en œuvre du blocage des fichiers suspects de niveau entreprise en utilisant ces outils de sécurité Microsoft intégrés.

Guide de mise en oeuvre

Procédure complète

Accédez au Centre d'administration Microsoft Intune et naviguez vers Sécurité des points de terminaison

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez et gérerez vos politiques Defender.

Ouvrez votre navigateur web et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants d'administrateur disposant des autorisations d'administrateur Intune ou d'administrateur global.

Une fois connecté, localisez le panneau de navigation à gauche et cliquez sur Sécurité des points de terminaison. Cette section contient toutes les politiques liées à la sécurité, y compris les configurations antivirus.

Sous la section Gérer, cliquez sur Antivirus. C'est ici que vous créerez votre politique de blocage de fichiers suspects.

Astuce pro : Ajoutez le centre d'administration Intune à vos favoris pour un accès rapide. Vous l'utiliserez fréquemment pour la gestion et la surveillance des politiques.

Vérification : Vous devriez voir la page d'aperçu des politiques Antivirus avec des options pour créer de nouvelles politiques et voir celles existantes.

Créer une nouvelle stratégie Microsoft Defender Antivirus

Vous allez maintenant créer une nouvelle politique antivirus spécifiquement pour configurer les paramètres de blocage des fichiers suspects.

Cliquez sur le bouton Créer une politique en haut de la page des politiques Antivirus.

Dans l'assistant de création de politique :

Sélectionnez Plateforme : Windows 10 et versions ultérieures
Choisissez Profil : Microsoft Defender Antivirus
Cliquez sur Créer

Sur la page de base, entrez les informations suivantes :

Nom : Blocage de fichiers suspects - Protection de haut niveau
Description : Configure Microsoft Defender pour bloquer de manière agressive les fichiers suspects en utilisant la détection basée sur le cloud avec un niveau de blocage élevé (0x2)

Cliquez sur Suivant pour passer aux paramètres de configuration.

Avertissement : Choisissez des noms descriptifs pour vos politiques. Vous aurez probablement plusieurs politiques Defender, et des noms clairs aident à la gestion et au dépannage.

Vérification : Vous devriez maintenant être sur la page des paramètres de configuration avec diverses options Microsoft Defender disponibles.

Configurer les paramètres de niveau de bloc Cloud

C'est l'étape principale où vous configurerez le comportement de blocage des fichiers suspects. Le niveau de blocage Cloud détermine à quel point Defender bloque de manière agressive les fichiers inconnus ou suspects.

Faites défiler les paramètres de configuration pour localiser l'option Niveau de blocage Cloud. Ce paramètre contrôle la valeur CSP (CloudBlockLevel) qui détermine l'agressivité du blocage.

Configurez les paramètres essentiels suivants :

Niveau de blocage Cloud : Élevé (0x2)
Autoriser la protection cloud : Oui
Délai d'attente prolongé du cloud : 10 secondes

Voici ce que signifie chaque niveau de blocage Cloud :

Niveau	Valeur	Description	Cas d'utilisation
Non configuré	0x0	Défaut du système, blocage minimal	Protection de base
Élevé	0x2	Blocage agressif, performance optimisée	Recommandé pour la plupart des environnements
Élevé Plus	0x4	Plus agressif, peut impacter la performance	Environnements à haute sécurité
Tolérance Zéro	0x6	Bloque tous les exécutables inconnus	Sécurité maximale, nombreux faux positifs

Pour la plupart des organisations, Élevé (0x2) offre le meilleur équilibre entre sécurité et convivialité.

Astuce pro : Commencez avec le niveau Élevé et surveillez les faux positifs avant d'envisager Élevé Plus ou Tolérance Zéro. Vous pouvez toujours augmenter le niveau de sécurité plus tard.

Vérification : Assurez-vous que le niveau de blocage Cloud est réglé sur Élevé et que la protection cloud est activée avant de continuer.

Configurer les paramètres de protection supplémentaires

Au-delà du niveau de base du Cloud Block, configurez des paramètres supplémentaires qui améliorent les capacités de détection et de blocage des fichiers suspects.

Localisez et configurez ces paramètres supplémentaires dans la même politique :

Bloquer à la première vue : Oui
Consentement pour soumettre des échantillons : Envoyer tous les échantillons automatiquement
Délai prolongé du cloud : 10 secondes
Protection contre les applications potentiellement indésirables : Activée

Ces paramètres fonctionnent ensemble pour offrir une protection complète :

Bloquer à la première vue : Bloque immédiatement les fichiers jamais vus auparavant pendant que l'analyse cloud a lieu
Consentement pour soumettre des échantillons : Permet la soumission automatique d'échantillons pour une meilleure intelligence des menaces
Délai prolongé du cloud : Donne plus de temps à l'analyse cloud pour un balayage approfondi (10-50 secondes recommandées)
Protection contre les PUA : Bloque les applications potentiellement indésirables comme les adwares et les pirates de navigateur

Avertissement : Si la protection contre les altérations est activée sur les appareils cibles, ces modifications de politique peuvent ne pas s'appliquer. Vous devrez d'abord désactiver la protection contre les altérations ou la configurer également via Intune.

Vérification : Passez en revue tous les paramètres configurés pour vous assurer qu'ils correspondent à vos exigences de sécurité avant de procéder aux affectations.

Attribuer la politique aux groupes cibles

Vous allez maintenant attribuer votre politique de blocage de fichiers suspects à des groupes d'appareils ou d'utilisateurs spécifiques pour contrôler quels points de terminaison reçoivent ces paramètres.

Cliquez sur Suivant pour atteindre la page des Attributions.

Choisissez votre stratégie d'attribution :

Inclure des groupes : Sélectionnez des groupes cibles
- Tous les appareils Windows (pour un déploiement à l'échelle de l'organisation)
- Groupe pilote - Test de sécurité (pour les tests initiaux)
- Stations de travail haute sécurité (pour les environnements sensibles)

Exclure des groupes : (Optionnel)
- Stations de travail des développeurs (s'ils ont besoin de paramètres différents)
- Systèmes hérités (si des problèmes de compatibilité existent)

Cliquez sur Sélectionner les groupes à inclure et choisissez vos groupes cibles. Pour un déploiement initial, envisagez de commencer avec un groupe pilote :

Recherchez et sélectionnez votre groupe pilote (par exemple, "Équipe de sécurité informatique")
Cliquez sur Sélectionner pour confirmer

Si vous devez exclure des groupes spécifiques, cliquez sur Sélectionner les groupes à exclure et suivez le même processus.

Astuce pro : Testez toujours les nouvelles politiques de sécurité avec un petit groupe pilote d'abord. Cela aide à identifier les problèmes potentiels avant un déploiement à l'échelle de l'organisation.

Vérification : Confirmez que vos groupes sélectionnés apparaissent dans le résumé des attributions avant de continuer.

Examiner et déployer la politique

Avant de déployer votre politique de blocage de fichiers suspects, examinez toutes les configurations pour vous assurer qu'elles répondent à vos exigences de sécurité.

Cliquez sur Suivant pour atteindre la page Révision + création.

Examinez attentivement le résumé de la politique :

Détails de la politique :
- Nom : Blocage de fichiers suspects - Protection de haut niveau
- Plateforme : Windows 10 et versions ultérieures
- Profil : Microsoft Defender Antivirus
- Niveau de blocage cloud : Élevé (0x2)
- Groupes cibles : [Vos groupes sélectionnés]
- Paramètres supplémentaires : Blocage à première vue, Protection PUA activée

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique sera maintenant créée et commencera à se déployer sur les appareils assignés. Ce processus prend généralement 15 à 60 minutes selon la fréquence de vérification des appareils.

Avertissement : Une fois déployée, cette politique commencera immédiatement à bloquer les fichiers suspects sur les appareils cibles. Assurez-vous que votre service d'assistance est prêt pour d'éventuels rapports d'utilisateurs concernant le blocage de logiciels légitimes.

Vérification : Vous devriez voir un message de confirmation indiquant que la politique a été créée avec succès, et elle apparaîtra dans votre liste de politiques Antivirus.

Configurer l'intégration de Microsoft Defender pour Endpoint (optionnel mais recommandé)

Pour une protection renforcée et une meilleure visibilité, intégrez votre blocage de fichiers suspects avec Microsoft Defender for Endpoint (MDE) si vous disposez de la licence appropriée.

Accédez à Sécurité des points de terminaison > Détection et réponse des points de terminaison dans le centre d'administration Intune.

Cliquez sur l'onglet Statut d'intégration EDR, puis sélectionnez Déployer la stratégie préconfigurée.

Configurez la stratégie d'intégration EDR :

Plateforme : Windows 10 et versions ultérieures
Profil : Détection et réponse des points de terminaison
Méthode de configuration : Automatique depuis le connecteur
Partage d'échantillons : Tous
Niveau de blocage : Bas (approche équilibrée)
Fréquence de rapport de télémétrie : Normal

Cette intégration offre plusieurs avantages :

Capacités améliorées de détection et de réponse aux menaces
Surveillance centralisée des événements de sécurité
Enquête et remédiation automatisées
Meilleur contexte pour les décisions de blocage de fichiers suspects

Assignez cette stratégie aux mêmes groupes que votre stratégie antivirus pour une couverture cohérente.

Astuce pro : L'intégration MDE améliore considérablement votre posture de sécurité. La télémétrie supplémentaire aide à affiner vos politiques de blocage de fichiers suspects en fonction de données réelles sur les menaces.

Vérification : Vérifiez le statut d'intégration EDR pour confirmer que les appareils sont correctement intégrés à Defender for Endpoint.

Surveiller le déploiement et la conformité des politiques

Après avoir déployé votre politique de blocage de fichiers suspects, surveillez son statut de déploiement et la conformité des appareils pour garantir une mise en œuvre correcte.

Retournez à Sécurité des points de terminaison > Antivirus et cliquez sur votre nouvelle politique créée.

Examinez le tableau de bord de vue d'ensemble de la politique qui montre :

Statut de déploiement :
- Attribution réussie : X appareils
- Attribution en attente : Y appareils
- Attribution échouée : Z appareils
- Non applicable : N appareils

Statut de conformité :
- Conformes : Appareils correctement configurés
- Non conformes : Appareils avec des problèmes de configuration
- Erreur : Appareils avec des erreurs de déploiement

Cliquez sur Statut de l'appareil pour voir des informations détaillées par appareil. Recherchez :

Appareils affichant le statut "Succès"
Tous les appareils avec le statut "Erreur" ou "Conflit" nécessitant une attention
Heures de dernière connexion pour s'assurer que les appareils sont activement gérés

Pour les appareils affichant des erreurs, les problèmes courants incluent :

Protection contre les altérations bloquant l'application de la politique
Paramètres de stratégie de groupe conflictuels
Appareil non correctement inscrit dans Intune

Avertissement : Les appareils non conformes peuvent ne pas avoir une protection adéquate contre le blocage de fichiers suspects. Traitez rapidement les problèmes de conformité pour maintenir la couverture de sécurité.

Vérification : Exécutez cette commande PowerShell sur un appareil cible pour confirmer l'application de la politique :

Get-MpPreference | Select-Object CloudBlockLevel, MAPSReporting, SubmitSamplesConsent

Tester et valider le blocage des fichiers suspects

Validez que votre politique de blocage de fichiers suspects fonctionne correctement en testant avec des méthodes sûres et en surveillant les événements de sécurité.

Utilisez le fichier de test EICAR pour vérifier la fonctionnalité de l'antivirus (il s'agit d'un fichier de test inoffensif reconnu par toutes les solutions antivirus) :

# Télécharger le fichier de test EICAR (test sûr)
Invoke-WebRequest -Uri "https://secure.eicar.org/eicar.com.txt" -OutFile "C:\temp\eicar.txt"

Cela devrait être immédiatement bloqué et mis en quarantaine par Defender.

Surveillez les événements de blocage de fichiers suspects via plusieurs canaux :

Observateur d'événements Windows :

Journal des événements : Journaux des applications et services > Microsoft > Windows > Windows Defender > Opérationnel
ID d'événements à surveiller :
- 1116 : Malware détecté
- 1117 : Action prise sur le malware
- 2001 : Configuration de la protection en temps réel modifiée

Portail Microsoft 365 Defender :

Accédez à https://security.microsoft.com
Allez à Incidents & alertes > Alertes
Filtrez pour les alertes Microsoft Defender Antivirus
Examinez les événements de fichiers bloqués et leurs détails

Rapports Intune :

Vérifiez Rapports > Sécurité des points de terminaison > Antivirus
Examinez les menaces détectées et la conformité des politiques

Conseil pro : Configurez des alertes automatiques dans le portail Microsoft 365 Defender pour notifier votre équipe de sécurité lorsque des fichiers suspects sont bloqués. Cela aide à la réponse aux incidents et à l'ajustement des politiques.

Vérification : Confirmez que les fichiers de test sont bloqués et que vous pouvez voir les événements à la fois dans l'Observateur d'événements Windows et le portail Microsoft 365 Defender.

Questions Fréquentes

Quelle est la différence entre les niveaux de blocage cloud Haute Tolérance et Tolérance Zéro dans Microsoft Defender ?+

Niveau de blocage élevé (0x2) offre un blocage agressif des fichiers suspects tout en maintenant des performances optimisées et des taux de faux positifs raisonnables. Tolérance zéro (0x6) bloque tous les exécutables inconnus indépendamment de leur réputation, offrant une sécurité maximale mais des taux de faux positifs significativement plus élevés. Le niveau élevé est recommandé pour la plupart des organisations car il équilibre efficacement la sécurité et l'utilisabilité.

Pourquoi ma politique de blocage des fichiers suspects de Microsoft Defender pourrait-elle ne pas s'appliquer à certains appareils ?+

La raison la plus courante est l'activation de la protection contre les altérations sur les appareils cibles, ce qui empêche les modifications de politique provenant de sources externes. D'autres causes incluent des paramètres de stratégie de groupe conflictuels, des appareils non correctement inscrits dans Intune, ou la protection cloud désactivée. Vérifiez le statut de conformité de l'appareil dans Intune et vérifiez les paramètres de protection contre les altérations via le portail Microsoft 365 Defender.

Combien de temps faut-il pour que les politiques de blocage de fichiers suspects s'appliquent après le déploiement dans Intune ?+

Les stratégies Intune s'appliquent généralement dans les 15 à 60 minutes après le déploiement, selon la fréquence de vérification des appareils. Par défaut, les appareils vérifient les mises à jour de stratégie toutes les 8 heures, mais vous pouvez forcer une synchronisation immédiate via le centre d'administration Intune ou en exécutant 'Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask' sur l'appareil cible.

Puis-je exclure des fichiers ou des applications spécifiques du blocage de fichiers suspects dans Microsoft Defender ?+

Oui, vous pouvez créer des politiques d'exclusion distinctes pour Microsoft Defender Antivirus dans Intune afin d'exclure des processus, des extensions de fichiers ou des chemins spécifiques. Configurez les exclusions pour ExcludedProcesses, ExcludedExtensions (comme .lib ou .obj), ou ExcludedPaths. Cependant, utilisez les exclusions avec parcimonie car elles peuvent créer des failles de sécurité. Documentez toujours les exclusions et examinez-les régulièrement.

Quelles licences Microsoft sont nécessaires pour le blocage de fichiers suspects avec Intune et Defender ?+

Vous avez besoin d'une licence Microsoft Intune (incluse dans Microsoft 365 E3/E5 ou autonome) pour la gestion et le déploiement des politiques. Microsoft Defender Antivirus est inclus avec Windows 10/11 sans coût supplémentaire. Pour des fonctionnalités avancées comme l'intégration EDR et la chasse aux menaces avancées, une licence Microsoft Defender for Endpoint P1 ou P2 est requise. Microsoft 365 E5 inclut tous les composants nécessaires.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

tutorial

Cybersecurity