Comment activer la journalisation des connexions réussies dans le pare-feu Windows Defender via Intune

Configurez le Pare-feu Windows Defender via Microsoft Intune pour enregistrer les connexions réseau réussies à des fins de surveillance de la conformité et d'enquêtes judiciaires en utilisant des stratégies de sécurité des points de terminaison.

25 avril 2026 15 min —

hardintune 10 étapes 15 min

Pourquoi activer la journalisation des connexions réussies dans le pare-feu Windows Defender ?

Le pare-feu Windows Defender enregistre traditionnellement uniquement les connexions bloquées et les paquets rejetés, laissant les équipes de sécurité avec une image incomplète de l'activité réseau. En activant la journalisation des connexions réussies via Microsoft Intune, vous obtenez une visibilité sur toutes les connexions réseau autorisées, créant une piste d'audit complète pour les exigences de conformité et les enquêtes judiciaires.

Cette capacité devient essentielle pour les organisations soumises à des cadres de conformité réglementaire tels que SOX, HIPAA ou PCI DSS, où la journalisation détaillée de l'activité réseau est obligatoire. Les équipes de sécurité peuvent analyser les connexions réussies pour identifier des schémas inhabituels, des applications non autorisées ou des mouvements latéraux potentiels lors de la réponse aux incidents.

Qu'est-ce qui rend la configuration basée sur Intune supérieure à la gestion locale ?

La gestion de la journalisation du pare-feu via Microsoft Intune offre un contrôle centralisé sur l'ensemble de votre parc Windows 11, éliminant le besoin de configuration manuelle sur chaque appareil. Le nouveau modèle de profil de pare-feu Microsoft Defender introduit dans Intune inclut des paramètres dédiés pour la journalisation des connexions réussies, la journalisation des paquets rejetés et la journalisation des règles ignorées sur tous les profils de pare-feu.

Contrairement à la stratégie de groupe ou à la configuration locale, Intune fournit une surveillance de la conformité en temps réel, une remédiation automatique et des rapports détaillés sur l'état de déploiement des politiques. Cette approche s'adapte efficacement aux organisations comptant des centaines ou des milliers de points de terminaison tout en maintenant une posture de sécurité cohérente.

Comment cette intégration soutient-elle les opérations de sécurité modernes ?

La combinaison de la journalisation basée sur des fichiers et de l'intégration des événements de sécurité Windows crée plusieurs sources de données pour les systèmes de gestion des informations et des événements de sécurité (SIEM). Les fichiers journaux fournissent des informations détaillées sur les connexions adaptées à l'analyse et au traitement automatisés, tandis que les journaux des événements de sécurité s'intègrent parfaitement à Microsoft Sentinel et à d'autres plateformes SIEM pour des alertes en temps réel et une corrélation avec d'autres événements de sécurité.

Guide de mise en oeuvre

Procédure complète

Accédez au Centre d'administration Microsoft Intune et naviguez vers les politiques de pare-feu

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez la stratégie de pare-feu. C'est ici que toutes les configurations de sécurité des points de terminaison sont gérées.

Ouvrez votre navigateur web et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants administratifs disposant des autorisations d'administrateur de service Intune ou d'administrateur global.

Une fois connecté, accédez à Sécurité des points de terminaison dans le volet de navigation de gauche, puis cliquez sur Pare-feu. Vous verrez ici toutes les stratégies de pare-feu existantes.

Cliquez sur Créer une stratégie pour commencer à créer une nouvelle stratégie de configuration de pare-feu.

Astuce pro : Ajoutez l'URL du centre d'administration Intune à vos favoris pour un accès rapide. L'interface est fréquemment mise à jour, alors familiarisez-vous avec la structure de navigation actuelle.

Vérification : Vous devriez voir la fenêtre "Créer une stratégie" s'ouvrir avec des options de sélection de plateforme et de profil.

Sélectionner la plateforme et le profil pour le pare-feu Windows Defender

Choisissez la plateforme et le modèle de profil corrects pour garantir la compatibilité avec vos appareils cibles. La sélection ici détermine quels paramètres seront disponibles.

Dans la lame "Créer une stratégie" :

Sélectionnez Plateforme : Windows 10, Windows 11, et Windows Server
Sélectionnez Profil : Microsoft Defender Firewall
Cliquez sur Créer

Ce modèle de profil donne accès aux nouveaux paramètres de journalisation introduits pour la gestion de Windows Defender Firewall via Intune.

Avertissement : Ne sélectionnez pas le profil "Windows Firewall" car il ne dispose pas des nouvelles options de configuration de journalisation. Le profil "Microsoft Defender Firewall" est requis pour la journalisation des connexions réussies.

Vérification : L'assistant de création de stratégie devrait avancer à la page de configuration "Basique" avec le profil correct sélectionné.

Configurer les bases et la dénomination des politiques

Fournissez une identification claire pour votre politique de pare-feu afin de la rendre facilement reconnaissable dans votre environnement Intune. De bonnes conventions de nommage aident à la gestion des politiques et au dépannage.

Remplissez les champs suivants :

Nom : Activer la journalisation des connexions réussies du pare-feu
Description : Active la journalisation des connexions réseau réussies sur tous les profils de pare-feu pour la surveillance de la conformité et l'analyse médico-légale

Le nom doit indiquer clairement l'objectif de la politique, surtout si vous avez plusieurs politiques de pare-feu dans votre environnement.

Cliquez sur Suivant pour passer aux paramètres de configuration.

Astuce pro : Incluez la date ou la version dans le nom de votre politique si vous prévoyez de faire évoluer les configurations, comme "Activer la journalisation des succès du pare-feu v2.0 - Avril 2026".

Vérification : Vous devriez maintenant voir la page "Paramètres de configuration" avec des sections extensibles pour le profil de domaine, le profil privé et le profil public.

Configurer les paramètres de journalisation du profil de domaine

Configurez les paramètres de journalisation pour le profil de domaine, qui s'applique lorsque les appareils sont connectés à votre réseau de domaine d'entreprise. Ce profil a généralement les paramètres les plus restrictifs.

Développez la section Profil de domaine et configurez ces paramètres :

Activer la journalisation des connexions réussies : Oui
Chemin du fichier journal : C:\Windows\System32\LogFiles\Firewall\pfirewall.log
Activer la journalisation des paquets rejetés : Oui (recommandé pour une journalisation complète)
Taille maximale du fichier journal (Ko) : 4096
Activer la journalisation des règles ignorées : Oui

Ces paramètres garantissent que toutes les connexions entrantes réussies, les paquets rejetés et les règles ignorées sont enregistrés dans le chemin de fichier spécifié.

Avertissement : La journalisation des connexions réussies peut générer de grands volumes de données. Surveillez l'utilisation de l'espace disque et envisagez des politiques de rotation des journaux pour éviter les problèmes de stockage.

Vérification : Toutes les options de journalisation doivent apparaître comme configurées avec des valeurs "Oui" et le chemin du fichier doit être correctement formaté avec des doubles barres obliques inverses.

Configurer les paramètres de journalisation des profils privés et publics

Appliquez la même configuration de journalisation aux profils Privé et Public pour garantir une journalisation cohérente dans tous les environnements réseau. Ces profils gèrent respectivement les réseaux domestiques et les connexions Wi-Fi publiques.

Développez la section Profil privé et configurez :

Activer la journalisation des connexions réussies : Oui
Chemin du fichier journal : C:\Windows\System32\LogFiles\Firewall\pfirewall.log
Activer la journalisation des paquets rejetés : Oui
Taille maximale du fichier journal (Ko) : 4096
Activer la journalisation des règles ignorées : Oui

Répétez la même configuration pour la section Profil public avec des paramètres identiques.

L'utilisation du même chemin de fichier journal pour tous les profils consolide la journalisation dans un seul fichier, facilitant ainsi l'analyse.

Astuce pro : Envisagez d'utiliser des chemins de fichiers journaux différents pour chaque profil si vous devez analyser les modèles de trafic par type de réseau séparément, par exemple en ajoutant le nom du profil au nom de fichier.

Vérification : Les trois profils (Domaine, Privé, Public) doivent avoir des configurations de journalisation identiques activées.

Configurer les balises de portée et les affectations

Définissez quels appareils recevront cette politique de pare-feu en configurant des balises de portée et des affectations. Un ciblage approprié garantit que la politique s'applique uniquement aux appareils prévus.

Cliquez sur Suivant pour atteindre la page "Balises de portée". Si vous utilisez des balises de portée pour l'administration basée sur les rôles, sélectionnez les balises appropriées. Pour la plupart des environnements, vous pouvez laisser cela par défaut et cliquer sur Suivant.

Sur la page "Affectations" :

Cliquez sur Ajouter des groupes sous "Groupes inclus"
Sélectionnez vos groupes d'appareils cibles (par exemple, "Appareils d'entreprise Windows 11")
Cliquez sur Sélectionner

Évitez d'affecter à "Tous les appareils" initialement. Commencez par un groupe pilote pour tester la configuration.

Avertissement : Cette politique ne fonctionne que sur les appareils Windows 11. Les appareils Windows 10 afficheront le statut "Non applicable". Assurez-vous que vos groupes cibles contiennent uniquement des appareils compatibles.

Vérification : Vos groupes d'appareils sélectionnés devraient apparaître dans la section "Groupes inclus" avec le nombre correct de membres affiché.

Examiner et créer la politique de pare-feu

Examinez tous les paramètres de configuration avant de créer la politique pour vous assurer que tout est configuré correctement. Une fois créée, la politique commencera à se déployer sur les appareils assignés.

Cliquez sur Suivant pour atteindre la page "Vérifier + créer". Examinez attentivement :

Nom et description de la politique
Les trois profils de pare-feu ont la journalisation activée
Les groupes d'appareils corrects sont assignés
Les chemins des fichiers journaux sont correctement formatés

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique apparaîtra dans votre liste de politiques de pare-feu avec un statut "Déploiement" initialement.

Astuce pro : Prenez une capture d'écran de vos paramètres de configuration avant de créer la politique. Cela sert de documentation et aide à résoudre les problèmes si des problèmes surviennent.

Vérification : Revenez à Sécurité des points de terminaison > Pare-feu et confirmez que votre nouvelle politique apparaît dans la liste avec le statut "Déploiement" ou "Réussi".

Surveiller le déploiement et la conformité des politiques

Suivez la progression du déploiement et vérifiez que les appareils cibles reçoivent et appliquent correctement la politique de pare-feu. Cette étape est cruciale pour s'assurer que la configuration de journalisation est active.

Dans le centre d'administration Intune, accédez à Sécurité des points de terminaison > Pare-feu et cliquez sur votre politique nouvellement créée.

Examinez le statut du déploiement :

Statut de l'appareil : Indique combien d'appareils ont appliqué la politique avec succès
Statut de l'utilisateur : Montre les résultats du déploiement au niveau de l'utilisateur
Cliquez sur les appareils individuels pour voir des informations détaillées sur la conformité

Laissez 15 à 30 minutes pour que le déploiement initial soit terminé. Les appareils se connectent à Intune à intervalles réguliers.

Astuce pro : Utilisez l'option "Générer un rapport" pour exporter le statut du déploiement à des fins de documentation ou de dépannage.

Vérification : Le statut de l'appareil devrait indiquer "Réussi" pour les appareils cibles. Si vous voyez des statuts "Erreur" ou "Non applicable", examinez les détails spécifiques de l'appareil.

Vérifier la configuration des journaux sur les appareils cibles

Connectez-vous à un appareil cible pour confirmer que les paramètres de journalisation du pare-feu ont été appliqués correctement et que les fichiers journaux sont générés comme prévu.

Sur un appareil Windows 11 cible, ouvrez PowerShell en tant qu'administrateur et exécutez ces commandes de vérification :

# Vérifier les paramètres de journalisation actuels du pare-feu
netsh advfirewall show allprofiles

# Vérifier les paramètres de journalisation spécifiques
netsh advfirewall show domainprofile logging
netsh advfirewall show privateprofile logging
netsh advfirewall show publicprofile logging

# Vérifier si le fichier journal existe et contient des entrées récentes
Get-Item "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" -ErrorAction SilentlyContinue
Get-Content "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" -Tail 10

La sortie devrait montrer que la journalisation est activée pour les connexions réussies sur tous les profils, et le fichier journal devrait contenir des entrées récentes.

Avertissement : Si le fichier journal n'existe pas, vérifiez que le répertoire LogFiles\Firewall existe et que le compte SYSTEM dispose des autorisations d'écriture à cet emplacement.

Vérification : Vous devriez voir "AllowedConnections" défini sur "Enable" pour tous les profils et des entrées récentes dans le fichier pfirewall.log.

Configurer une audit supplémentaire pour les journaux d'événements (facultatif)

Activez la journalisation des événements de sécurité Windows pour les connexions de pare-feu afin de compléter la journalisation basée sur les fichiers. Cela fournit des capacités d'analyse supplémentaires via le système de journal des événements Windows.

Sur les appareils cibles, exécutez ces commandes en tant qu'administrateur pour activer les politiques d'audit :

# Activer l'audit pour les paquets de pare-feu abandonnés et les connexions
auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
auditpol /set /category:"System" /SubCategory:"Filtering Platform Connection" /success:enable /failure:enable

# Vérifier les paramètres d'audit
auditpol /get /category:"System"

Vous pouvez également déployer ces commandes via Intune en utilisant une politique de script PowerShell pour une configuration automatisée sur tous les appareils.

Après avoir activé l'audit, les événements de pare-feu apparaîtront dans le journal des événements de sécurité avec des ID d'événement comme 5152 (connexion bloquée), 5156 (connexion autorisée) et 5157 (connexion bloquée).

Astuce pro : Créez une vue personnalisée du journal des événements dans l'Observateur d'événements en filtrant les ID d'événement 5152, 5156 et 5157 pour surveiller facilement l'activité du pare-feu.

Vérification : Ouvrez l'Observateur d'événements > Journaux Windows > Sécurité et recherchez les événements récents liés au pare-feu avec les ID mentionnés ci-dessus.

Questions Fréquentes

Pourquoi Windows 10 affiche-t-il 'Non applicable' pour la journalisation des connexions réussies dans Intune ?+

Les nouveaux paramètres de journalisation des connexions réussies dans le profil de pare-feu Defender de Microsoft Intune sont spécifiquement conçus pour Windows 11 et les systèmes plus récents. Les appareils Windows 10 afficheront le statut 'Non applicable' car ces fonctionnalités avancées de journalisation nécessitent les capacités de gestion de pare-feu mises à jour présentes dans Windows 11. Les organisations disposant d'appareils Windows 10 devraient envisager de passer à Windows 11 ou d'utiliser des méthodes alternatives comme les stratégies de groupe ou les configurations OMA-URI personnalisées pour activer la journalisation de pare-feu de base.

Quelle quantité d'espace disque la journalisation des connexions réussies consomme-t-elle sur les appareils Windows ?+

La journalisation des connexions réussies peut générer des quantités importantes de données, surtout sur des serveurs ou des postes de travail occupés avec de nombreuses connexions réseau. Un poste de travail d'entreprise typique peut générer 10 à 50 Mo de données de journal par jour, tandis que les serveurs peuvent produire plusieurs centaines de Mo quotidiennement. Le paramètre de limite de taille de fichier journal (par défaut 4096 Ko) contrôle la taille individuelle des fichiers journaux, mais Windows crée automatiquement de nouveaux fichiers lorsque les limites sont atteintes. Surveillez de près l'utilisation du disque et mettez en œuvre une rotation des journaux ou une collecte centralisée des journaux pour éviter les problèmes de stockage.

Puis-je configurer différents chemins de fichiers journaux pour les profils de pare-feu Domaine, Privé et Public ?+

Oui, vous pouvez spécifier différents chemins de fichiers journaux pour chaque profil de pare-feu dans la configuration de la politique Intune. Cela vous permet de séparer les journaux par type de réseau pour une analyse plus facile. Par exemple, utilisez 'C:\Windows\System32\LogFiles\Firewall\domain.log' pour le profil Domaine et 'C:\Windows\System32\LogFiles\Firewall\public.log' pour le profil Public. Cependant, l'utilisation d'un fichier journal consolidé unique est souvent plus pratique pour la surveillance centralisée et l'intégration SIEM, car il fournit une chronologie complète de toute l'activité réseau.

Comment dépanner lorsque les journaux de pare-feu ne sont pas générés après le déploiement de la politique ?+

Tout d'abord, vérifiez que la stratégie Intune a été déployée avec succès en vérifiant l'état de conformité de l'appareil dans le centre d'administration. Sur l'appareil cible, utilisez 'netsh advfirewall show allprofiles' pour confirmer que la journalisation est activée. Vérifiez que le répertoire de journaux existe et que le compte SYSTEM dispose des autorisations d'écriture sur 'C:\Windows\System32\LogFiles\Firewall\'. Assurez-vous que le service Pare-feu Windows est en cours d'exécution et n'est pas désactivé par d'autres stratégies. Si vous utilisez les Microsoft Security Baselines, elles peuvent remplacer les paramètres de pare-feu personnalisés, nécessitant des ajustements de priorité de stratégie ou des modifications de base.

Quelle est la différence entre la journalisation basée sur des fichiers et la journalisation des événements de sécurité Windows pour l'activité du pare-feu ?+

La journalisation basée sur des fichiers via pfirewall.log fournit des enregistrements texte détaillés et analysables de toute l'activité du pare-feu, y compris les horodatages, les protocoles, les ports et les adresses IP dans un format structuré idéal pour l'analyse automatisée et l'ingestion SIEM. La journalisation des événements de sécurité Windows (Événements 5152, 5156, 5157) s'intègre au système de journalisation des événements Windows, fournissant des enregistrements d'événements standardisés qui fonctionnent parfaitement avec Microsoft Sentinel, SCCM et d'autres outils de sécurité Microsoft. Les deux méthodes se complètent - utilisez la journalisation des fichiers pour une analyse médico-légale détaillée et la journalisation des événements pour une surveillance et une alerte en temps réel.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

Comment configurer les fenêtres de maintenance dans Microsoft Intune pour le contrôle des mises à jour

tutorial

Cloud Computing

Comment configurer les fenêtres de maintenance dans Microsoft Intune pour le contrôle des mises à jour

Explorer

Comment désactiver l'enregistrement des mots de passe RDP sur tous les points de terminaison à l'aide de Microsoft Intun

tutorial

Cybersecurity

Comment désactiver l'enregistrement des mots de passe RDP sur tous les points de terminaison à l'aide de Microsoft Intun

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecter Créer un compte