Comment activer le pare-feu de réseau privé à l'aide de Microsoft Intune

Configurer les stratégies du Pare-feu Windows pour les réseaux privés via le cadre de sécurité des points de terminaison de Microsoft Intune afin d'assurer une protection cohérente sur les appareils gérés.

7 mai 2026 15 min —

hardintune 8 étapes 15 min

Pourquoi configurer le pare-feu de réseau privé via Microsoft Intune ?

Gérer les paramètres du pare-feu Windows sur des centaines ou des milliers d'appareils d'entreprise manuellement est à la fois chronophage et sujet aux erreurs. Le cadre de sécurité des points de terminaison de Microsoft Intune offre une gestion centralisée des politiques de pare-feu qui assure une posture de sécurité cohérente sur l'ensemble de votre flotte d'appareils Windows. Lorsque les appareils se connectent à des réseaux privés—que ce soit dans les bureaux d'entreprise, les succursales ou les sites distants sécurisés—ils ont besoin d'une protection robuste du pare-feu qui bloque les connexions entrantes non autorisées tout en permettant le trafic commercial légitime.

Qu'est-ce qui rend la gestion du pare-feu Intune essentielle pour la sécurité d'entreprise ?

La gestion traditionnelle du pare-feu basée sur les stratégies de groupe est souvent insuffisante dans les environnements de travail hybrides modernes où les appareils se déplacent fréquemment entre les réseaux et peuvent ne pas toujours se connecter aux contrôleurs de domaine. L'approche basée sur le cloud d'Intune garantit que les politiques de pare-feu s'appliquent quel que soit l'emplacement de l'appareil, offrant une protection cohérente que les utilisateurs travaillent depuis les bureaux d'entreprise, les réseaux domestiques ou les points d'accès Wi-Fi publics. Le profil de réseau privé cible spécifiquement les environnements de réseau de confiance où les appareils ont encore besoin de protection contre les attaques de mouvement latéral et les tentatives d'accès non autorisées.

Comment le cadre de pare-feu 2026 de Microsoft Intune améliore-t-il la sécurité ?

La version de service Q2 2026 de Microsoft a introduit des capacités de rapport de pare-feu améliorées et a élargi le catalogue de paramètres avec des contrôles de pare-feu plus granulaires. La plateforme offre désormais trois méthodes distinctes pour le déploiement des politiques de pare-feu : le catalogue de paramètres pour une flexibilité maximale, les politiques de sécurité des points de terminaison pour une gestion de la sécurité simplifiée, et les modèles de protection des points de terminaison traditionnels pour la compatibilité héritée. Ce tutoriel se concentre sur l'approche du catalogue de paramètres, qui offre le contrôle le plus complet sur les paramètres du pare-feu Windows Defender tout en maintenant la compatibilité avec les dernières versions de Windows 11 24H2 et les systèmes Windows 10 exécutant la version 1809 ou ultérieure.

Guide de mise en oeuvre

Procédure complète

Accéder à Microsoft Endpoint Manager et créer une nouvelle stratégie

Commencez par naviguer vers le centre d'administration Microsoft Endpoint Manager et créez une nouvelle stratégie de configuration en utilisant la méthode du catalogue de paramètres, qui offre le contrôle le plus granulaire sur les paramètres du pare-feu.

https://endpoint.microsoft.com

Connectez-vous avec vos identifiants d'administrateur Intune. Une fois connecté, accédez à Appareils > Configuration > Créer > Nouvelle stratégie. Sélectionnez Windows 10 et versions ultérieures comme plateforme et choisissez Catalogue de paramètres comme type de profil.

Donnez à votre stratégie un nom descriptif comme "Pare-feu Réseau Privé - Activer & Bloquer Entrant" pour identifier clairement son objectif dans votre liste de stratégies.

Astuce pro : Utilisez des conventions de nommage cohérentes pour vos stratégies Intune. Incluez le type de profil réseau et l'action principale dans le nom pour une identification facile.

Vérification : Confirmez que vous êtes sur la page de création du catalogue de paramètres avec la bonne plateforme sélectionnée avant de passer à l'étape suivante.

Configurer les paramètres du pare-feu du réseau privé

Vous allez maintenant configurer les paramètres spécifiques du pare-feu pour le profil de réseau privé. Cliquez sur Ajouter des paramètres et recherchez "Pare-feu" dans le navigateur de paramètres. Développez Pare-feu Windows Defender pour accéder aux options de configuration du pare-feu.

Configurez ces trois paramètres critiques :

Paramètre 1 : Activer le pare-feu du réseau privé

Chemin : Modèles d'administration/Réseau/Pare-feu Windows Defender/Profil privé
Paramètre : Pare-feu du réseau privé
Valeur : Activer

Paramètre 2 : Action par défaut pour les entrées

Chemin : Modèles d'administration/Réseau/Pare-feu Windows Defender/Profil privé
Paramètre : Pare-feu du réseau privé - Action par défaut pour les entrées
Valeur : Bloquer

Paramètre 3 : Action par défaut pour les sorties

Chemin : Modèles d'administration/Réseau/Pare-feu Windows Defender/Profil privé
Paramètre : Pare-feu du réseau privé - Action par défaut pour les sorties
Valeur : Autoriser (Standard) ou Bloquer (Environnements à haute sécurité)

Avertissement : Définir l'action par défaut pour les sorties sur Bloquer nécessitera des règles d'autorisation explicites pour tout le trafic sortant. Utilisez cela uniquement dans des environnements à haute sécurité où vous pouvez gérer toutes les connexions sortantes requises.

Vérification : Assurez-vous que les trois paramètres affichent le statut "Configuré" avec vos valeurs sélectionnées avant de procéder aux affectations.

Attribuer la politique aux groupes cibles

Accédez à l'onglet Affectations pour spécifier quels appareils ou utilisateurs recevront cette politique de pare-feu. Cliquez sur Sélectionner des groupes à inclure et choisissez vos groupes d'appareils cibles ou groupes d'utilisateurs.

Pour l'affectation basée sur les appareils (recommandée pour les politiques de pare-feu) :

Type d'affectation : Groupes d'appareils
Cible : Tous les appareils d'entreprise (ou groupes de sécurité spécifiques)
Filtre : Aucun (sauf si vous utilisez des filtres d'affectation)

Pour l'affectation basée sur les utilisateurs :

Type d'affectation : Groupes d'utilisateurs
Cible : Équipe de sécurité informatique, Travailleurs à distance, etc.
Filtre : Plateforme = Windows

Examinez attentivement vos affectations. Les politiques de pare-feu peuvent affecter la connectivité réseau, donc commencez par un groupe pilote avant de déployer sur tous les appareils.

Astuce pro : Créez d'abord un groupe pilote avec 5 à 10 appareils de test. Surveillez pendant 24 à 48 heures avant d'étendre aux groupes de production.

Cliquez sur Suivant pour passer à l'écran de révision, puis cliquez sur Réviser + créer pour finaliser la politique.

Vérification : Confirmez que la politique affiche le statut "Créé" et apparaît dans votre liste de politiques de configuration sous Appareils > Configuration.

Créer une politique de pare-feu de sécurité des points de terminaison (méthode alternative)

Comme approche alternative ou complémentaire, vous pouvez créer une politique de pare-feu de sécurité des points de terminaison dédiée. Accédez à Endpoint security > Firewall > Create Policy.

Configurez la politique avec ces paramètres :

Plateforme : Windows 10, 11, et Windows Server
Profil : Microsoft Defender Firewall
Nom : Politique de sécurité du réseau privé

Dans les paramètres de configuration, concentrez-vous sur la section Profil privé :

{
  "Activer le pare-feu du réseau privé": "Oui",
  "Action par défaut en entrée": "Bloquer",
  "Action par défaut en sortie": "Autoriser",
  "Notifications": "Bloquer",
  "Réponse unicast au multicast": "Bloquer"
}

Cette méthode offre une interface plus simplifiée spécifiquement conçue pour les politiques de sécurité et s'intègre mieux avec le tableau de bord de rapport de sécurité d'Intune.

Attribuez cette politique aux mêmes groupes que votre politique de configuration, ou utilisez-la comme solution autonome si vous préférez l'approche de sécurité des points de terminaison.

Vérification : Vérifiez que la politique apparaît sous Endpoint security > Firewall et montre le nombre correct d'assignations.

Forcer la synchronisation de la politique sur les appareils cibles

Pour accélérer le déploiement des politiques, forcez une synchronisation sur vos appareils cibles. Vous pouvez le faire via le centre d'administration Intune ou directement sur les appareils.

Méthode 1 : Via le centre d'administration Intune

Accédez à Appareils > Tous les appareils, sélectionnez un appareil cible et cliquez sur Synchroniser. Cela déclenche un rafraîchissement immédiat des politiques.

Méthode 2 : Directement sur l'appareil

Ouvrez les Paramètres sur l'appareil Windows et accédez à Comptes > Accéder au travail ou à l'école. Cliquez sur votre compte professionnel et sélectionnez Synchroniser.

Méthode 3 : Commande PowerShell

# Vérifier l'état d'enregistrement de l'appareil
dsregcmd /status

# Forcer la synchronisation des politiques Intune
Get-ScheduledTask -TaskName "PushLaunch" | Start-ScheduledTask

# Méthode de synchronisation alternative
Invoke-Command -ScriptBlock {Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask}

Attendez 5 à 10 minutes après avoir forcé la synchronisation avant de vérifier l'état d'application des politiques.

Vérification : Exécutez dsregcmd /status et recherchez les entrées récentes "LastSyncTime" pour confirmer que la synchronisation s'est terminée avec succès.

Vérifier la configuration du pare-feu sur les appareils cibles

Une fois que les politiques ont été déployées et synchronisées, vérifiez que la configuration du pare-feu a été appliquée correctement sur vos appareils cibles.

Commandes de vérification PowerShell :

# Vérifier l'état du profil de pare-feu du réseau privé
Get-NetFirewallProfile -Profile Private

# Vérifier les paramètres spécifiques du pare-feu
Get-NetFirewallProfile -Profile Private | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction

# Vérifier l'état du service Pare-feu Windows
Get-Service -Name "MpsSvc" | Select-Object Name, Status, StartType

Sortie attendue pour un pare-feu de réseau privé correctement configuré :

Name                 : Private
Enabled              : True
DefaultInboundAction : Block
DefaultOutboundAction: Allow
LogAllowed           : False
LogBlocked           : False

Vérification du registre :

# Vérifier les entrées de registre de la politique de pare-feu MDM
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM\DMMap\AutoEnroll\Extensions\firewall"

# Vérifier les paramètres de registre du profil privé
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PrivateProfile"

Avertissement : Si le pare-feu apparaît comme désactivé ou non configuré, vérifiez les objets de stratégie de groupe (GPO) conflictuels qui pourraient remplacer les politiques Intune.

Vérification : Confirmez que Enabled apparaît comme True et que DefaultInboundAction apparaît comme Block dans la sortie PowerShell.

Surveiller la conformité des politiques et le reporting

Utilisez les capacités de reporting intégrées d'Intune pour surveiller la conformité des politiques de pare-feu sur vos appareils gérés. Accédez à Rapports > Sécurité des points de terminaison > Pare-feu pour accéder à des rapports complets sur le pare-feu.

Rapports clés à surveiller :

1. Statut du pare-feu MDM - Résumé global de la conformité
2. Conformité de la politique de pare-feu - Détails de conformité au niveau de l'appareil
3. Configuration du pare-feu - Paramètres appliqués par appareil
4. Appareils non conformes - Appareils nécessitant une attention

Accédez au tableau de bord des rapports de pare-feu :

https://endpoint.microsoft.com/#view/Microsoft_Intune_Reporting/FirewallBlade

Configurez une surveillance automatisée de la conformité en créant des rapports personnalisés qui filtrent pour :

Appareils avec pare-feu désactivé
Appareils avec échecs d'application de politique
Appareils ne se connectant pas pour les mises à jour de politique

Script de surveillance PowerShell :

# Créer un script de surveillance pour la conformité du pare-feu
$FirewallStatus = Get-NetFirewallProfile -Profile Private
if ($FirewallStatus.Enabled -eq $false) {
    Write-Output "ALERTE : Le pare-feu du réseau privé est désactivé"
    # Ajouter ici la logique de journalisation ou d'alerte
} else {
    Write-Output "OK : Le pare-feu du réseau privé est activé"
}

Astuce pro : Planifiez des revues hebdomadaires des rapports de conformité du pare-feu pour identifier les tendances et résoudre les problèmes de manière proactive. Exportez les rapports en CSV pour une analyse plus approfondie dans Excel ou Power BI.

Vérification : Confirmez que vos appareils cibles apparaissent dans les rapports de conformité avec le statut "Conforme" dans les 24 heures suivant le déploiement de la politique.

Dépanner les problèmes courants d'application de politique

Abordez les problèmes courants qui peuvent empêcher l'application correcte de la politique de pare-feu. Utilisez ces étapes de dépannage lorsque les appareils n'affichent pas un statut conforme ou que les paramètres de pare-feu ne sont pas appliqués correctement.

Problème 1 : Politique non appliquée

# Vérifier le statut d'enregistrement de l'appareil
dsregcmd /status | findstr "AzureAdJoined\|DomainJoined\|WorkplaceJoined"

# Vérifier l'extension de gestion Intune
Get-Process -Name "Microsoft.Management.Services.IntuneWindowsAgent" -ErrorAction SilentlyContinue

# Vérifier les journaux d'événements pour les erreurs de politique
Get-WinEvent -LogName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin" -MaxEvents 50

Problème 2 : Conflits de stratégie de groupe

# Vérifier les paramètres GPO conflictuels
gpresult /r /scope:computer | findstr "Firewall"

# Voir les stratégies de groupe appliquées
gpresult /h c:\temp\gpresult.html

Problème 3 : Remplacements par l'administrateur local

Empêchez les administrateurs locaux de désactiver le pare-feu en ajoutant ce paramètre à votre politique :

Paramètre : Pare-feu réseau privé - Empêcher les utilisateurs de désactiver le pare-feu
Valeur : Activer

Étapes de résolution courantes :

Forcer la synchronisation de l'appareil : Get-ScheduledTask -TaskName "PushLaunch" | Start-ScheduledTask
Redémarrer le service de pare-feu Windows : Restart-Service -Name "MpsSvc" -Force
Effacer le cache de la politique : Remove-Item "C:\Windows\System32\GroupPolicy\Machine\Registry.pol" -Force
Redémarrer l'appareil si des problèmes persistants surviennent

Avertissement : Testez toujours les étapes de dépannage sur des appareils non en production d'abord. Effacer le cache de la politique ou redémarrer les services peut temporairement perturber la connectivité réseau.

Vérification : Après le dépannage, exécutez Get-NetFirewallProfile -Profile Private à nouveau pour confirmer que le pare-feu est correctement configuré et activé.

Questions Fréquentes

Quelle est la différence entre le catalogue de paramètres et les stratégies de pare-feu de sécurité des points de terminaison dans Microsoft Intune ?+

Le catalogue des paramètres offre le contrôle le plus granulaire sur les paramètres du pare-feu Windows Defender avec accès à tous les équivalents de la stratégie de groupe disponibles, tandis que les politiques de sécurité des points de terminaison offrent une interface simplifiée axée sur les scénarios de sécurité courants. Le catalogue des paramètres prend en charge jusqu'à 150 règles de pare-feu personnalisées par profil et inclut des options avancées comme l'intégration WDAC, tandis que les politiques de sécurité des points de terminaison sont conçues pour des configurations de pare-feu d'entreprise standard avec une gestion simplifiée des règles.

Combien de temps faut-il pour que les politiques de pare-feu Intune s'appliquent aux appareils Windows ?+

Les stratégies de pare-feu Intune s'appliquent généralement dans un délai de 8 à 24 heures lors des cycles de synchronisation normaux, mais vous pouvez forcer une application immédiate en utilisant des commandes de synchronisation de l'appareil. Le temps d'application de la stratégie dépend de la fréquence de vérification de l'appareil, de la connectivité réseau et de la connexion active de l'appareil à Internet. Pour les mises à jour de sécurité critiques, utilisez l'option de synchronisation manuelle dans Endpoint Manager ou exécutez 'Get-ScheduledTask -TaskName PushLaunch | Start-ScheduledTask' sur les appareils cibles.

Les objets de stratégie de groupe peuvent-ils remplacer les paramètres de pare-feu de Microsoft Intune ?+

Oui, les objets de stratégie de groupe peuvent remplacer les paramètres de pare-feu d'Intune si l'appareil est joint au domaine et reçoit des stratégies GPO conflictuelles. Les GPO ont généralement une priorité plus élevée que les stratégies MDM pour les paramètres de pare-feu. Pour résoudre les conflits, supprimez les paramètres GPO conflictuels, définissez les stratégies Intune en mode 'Bloquer' pour une priorité plus élevée, ou utilisez le paramètre de registre 'La stratégie MDM l'emporte sur GP'. Vérifiez toujours la priorité des stratégies en utilisant la commande 'gpresult /r' sur les appareils concernés.

Que se passe-t-il si les utilisateurs essaient de désactiver le pare-feu Windows sur des appareils gérés par Intune ?+

Lorsqu'elles sont correctement configurées, les stratégies de pare-feu Intune empêchent les utilisateurs standard de désactiver le Pare-feu Windows via le Panneau de configuration ou l'application Paramètres. Cependant, les administrateurs locaux peuvent toujours contourner ces paramètres à moins que vous n'activiez le paramètre 'Empêcher les utilisateurs de désactiver le pare-feu' dans votre stratégie Intune. Pour une sécurité maximale, combinez les stratégies de pare-feu avec des stratégies de modèle administratif qui restreignent les droits d'administrateur local et implémentez le contrôle des applications Windows Defender (WDAC) pour empêcher les modifications non autorisées du pare-feu.

Comment dépanner les stratégies de pare-feu Intune qui apparaissent comme 'Non configuré' dans les rapports ?+

Le statut 'Non configuré' indique généralement que la politique n'a pas atteint l'appareil ou qu'elle est en conflit avec les paramètres existants. Tout d'abord, vérifiez le statut d'inscription de l'appareil en utilisant 'dsregcmd /status' et vérifiez l'heure de la dernière synchronisation. Forcez une synchronisation de la politique, puis examinez les journaux d'événements Windows sous 'Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin' pour des messages d'erreur spécifiques. Les causes courantes incluent des problèmes de connectivité réseau, des problèmes de certificat ou des paramètres de stratégie de groupe conflictuels qui doivent être résolus au niveau du domaine.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

tutorial

Windows

Comment mettre à niveau vers Windows Server 2025 en utilisant Windows Update sans perte de données

Explorer

Comment supprimer des applications à l'aide du centre d'administration Microsoft Intune

tutorial

Cloud Computing

Comment supprimer des applications à l'aide du centre d'administration Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecter Créer un compte