Conservez vos terminaux Windows Desktop (Windows 10) configurés conformément aux bonnes pratiques des lignes de base. Workspace ONE UEM regroupe les paramètres recommandés par l'industrie dans une configuration de ligne de base unique pour simplifier la sécurisation de vos terminaux. Les lignes de base réduisent le temps nécessaire à l'installation et à la configuration des terminaux Windows.

Micro-service Cloud

Les lignes de base utilisent un micro-service Cloud qui gère le catalogue de stratégies. Si vous êtes un client sur site, assurez-vous que votre environnement peut communiquer avec le micro-service.

Les Lignes de base nécessitent une connectivité constante aux services du terminal

Tous les terminaux Windows 10 enrôlés qui utilisent des lignes de base nécessitent une connectivité ininterrompue au serveur de services de terminal (DS) Workspace ONE UEM. Les terminaux ont besoin de cette connectivité constante pour que les états des lignes de base restent à jour.

Si vous utilisez une configuration de proxy ou certains paramètres de pare-feu, ces configurations peuvent interrompre la connexion entre vos terminaux Windows 10 et le serveur DS. Par exemple, si les terminaux utilisent un VPN ou un réseau restreint pour accéder aux ressources, cette configuration interrompt la connexion au serveur DS. Sur ces terminaux, les Lignes de base risquent de ne pas être à jour.

Types de Lignes de base

  • Personnalisé
    • Si vous disposez d'un fichier de sauvegarde d'objet de stratégie de groupe (GPO) existant, vous pouvez créer une ligne de base personnalisée avec ces stratégies. Utilisez le processus de modèle pour créer cette ligne de base personnalisée.
    • Vous pouvez également créer une ligne de base personnalisée sans modèle. Workspace ONE UEM propose des stratégies dans le processus Créer la vôtre pour les lignes de base.
  • Évaluations CIS Windows 10 : cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Pour s'assurer que les Lignes de base n'utilisent que les meilleurs paramètres et configurations, le CIS (Center for Internet Security) certifie VMware pour fournir des favoris du secteur, tels que les évaluations CIS pour Windows 10.
  • Ligne de base de sécurité Windows 10 : cette ligne de base applique les paramètres de configuration proposés par Microsoft.

Les Lignes de base sont basées sur la version du système d'exploitation Windows de vos terminaux. Vous pourrez modifier la version du système d'exploitation de toute ligne de base ultérieurement. Pendant la configuration, vous pouvez choisir la ligne de base à utiliser et personnaliser les stratégies de base. Vous pouvez également ajouter des stratégies Microsoft ADMX supplémentaires dans le cadre du processus de configuration.

Considérations relatives à l'évaluation CIS

CIS signale les évaluations répertoriées pour établir une connexion plus sécurisée entre votre serveur et vos terminaux. Toutefois, ces évaluations ne sont actuellement pas prises en charge par le modèle de ligne de base d'évaluations CIS Windows 10. Les administrateurs doivent configurer ces évaluations. Pour plus d'informations, reportez-vous au rapport d'évaluation CIS Windows Server applicable.

  • Configurez un titre et un texte d'ouverture de session interactif pour les utilisateurs qui tentent de se connecter.
  • Installez l'extension AdmPwd GPO/CSE LAPS (Local Administrator Password Solution).

Que se passe-t-il après l'attribution des Lignes de base ?

Après avoir enrôlé un terminal dans Workspace ONE UEM, vous pouvez l'ajouter à un Smart Group et attribuer une ligne de base au groupe. Le terminal reçoit et applique l'ensemble des paramètres et configurations dans la ligne de base après le redémarrage du terminal. Le terminal vérifie les configurations de ligne de base lors de la publication de la ligne de base et selon les intervalles d'enregistrement définis. Lorsque vous transférez une ligne de base vers un terminal, Workspace ONE UEM stocke un snapshot des paramètres du terminal.

Comment contrôler l'attribution des lignes de base ?

Vous pouvez limiter l'attribution de la ligne de base à l'aide de l'onglet Exclusions de la boîte de dialogue Attribution. Vous pouvez désigner des Smart Groups à exclure de l'attribution.

Gestion des Lignes de base

Vous pouvez gérer vos lignes de base à partir de l'affichage en liste Lignes de base. À partir de cette page, vous pouvez modifier, copier et supprimer des lignes de base existantes.

  • Copier : vous pouvez copier des lignes de base et modifier plusieurs politiques dans les onglets Personnaliser et Ajouter une politique pour les adapter à un autre scénario de déploiement. Sélectionnez la ligne de base souhaitée pour afficher l'élément Copier du menu.
    • Workspace ONE UEM enregistre la ligne de base copiée en tant que Copy of <Baseline Name>, mais vous pouvez tout de même modifier le nom. Une fois que vous avez fini de modifier la ligne de base copiée, sélectionnez Enregistrer et attribuer pour attribuer la ligne de base copiée aux groupes concernés.
    • Le modèle de ligne de base ne peut pas être modifié. Si vous avez besoin d'un modèle différent, il vous faudra créer une nouvelle ligne de base.
    • Vous pouvez déplacer la ligne de base copiée vers les groupes d'organisation enfants ou la laisser dans le groupe d'organisation d'origine. En revanche, vous ne pouvez pas déplacer la ligne de base copiée plus haut dans la hiérarchie du groupe d'organisation. Il s'agit d'un comportement similaire à celui des profils.
  • Supprimer: Si vous supprimez une ligne de base qui a été transférée vers des terminaux, les paramètres du terminal reviennent aux paramètres précédents en fonction du snapshot stocké par Workspace ONE UEM.

Vous pouvez voir quelles lignes de base sont appliquées à un terminal sur la page Détails du terminal.

État de conformité des Lignes de base

Vérifiez que votre terminal respecte les lignes de base à l'aide de l'état de conformité de la ligne de base. Disponible sur la page Détails de la ligne de base, l'état de conformité de la ligne de base indique si les terminaux sont conformes, intermédiaires, non conformes ou non disponibles. L'état de conformité de la ligne de base s'applique uniquement aux lignes de base créées à partir de l'interface utilisateur.

Remarque : Vous ne pouvez pas voir l'état de conformité des lignes de base personnalisées créées à l'aide de packages ZIP (fichiers de sauvegarde GPO).

Les terminaux intermédiaires ont une conformité de 85 à 99 %. Utilisez cette valeur pour déterminer à quel moment la conformité de vos terminaux est insuffisante. L'état Non disponible signifie que Workspace ONE UEM Console n'a pas d'échantillon de conformité pour le terminal. Vous pouvez forcer un échantillon en ouvrant simplement la ligne de base et en la publiant de nouveau.

Création d'une ligne de base

Créez une ligne de base avec ou sans modèle pour configurer vos terminaux conformément aux paramètres et configurations recommandés par l'industrie. Workspace ONE UEM organise les lignes de base en fonction des favoris du secteur, y compris les évaluations du CIS et les lignes de base de sécurité Windows 10 de Microsoft.

Conditions prérequises

Vos terminaux doivent être enrôlés dans Workspace ONE UEM et Workspace ONE Intelligent Hub doit être installé.

Si vous publiez une ligne de base personnalisée en utilisant un fichier de sauvegarde GPO, vous devez ajouter le fichier LGPO.exe à tous les terminaux auxquels vous souhaitez attribuer une ligne de base. Vous devez installer le fichier EXE dans C:\ProgramData\Airwatch\LGPO\LGPO.exe. Si vous utilisez le modèle d'évaluation CIS, le modèle de sécurité Windows 10 ou l'assistant Créer la vôtre, vous n'avez pas besoin d'ajouter ce fichier.

Création à partir de modèles

Si vous souhaitez utiliser un fichier de sauvegarde GPO pour créer vos lignes de base, utilisez un modèle.

  1. Accédez à Ressources > Profils et lignes de base > Lignes de base et sélectionnez Nouveau.

  2. Sélectionner Utiliser un modèle.

  3. Entrez un Nom de ligne de base, une Description et sélectionnez le Smart Group par lequel la ligne de base est gérée. Sélectionnez ensuite Suivant.

  4. Sélectionnez une ligne de base.

    Paramètre Description
    Évaluations CIS Windows 10 Cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Sélectionnez la version du système d'exploitation et le niveau d'évaluation à appliquer.
    Ligne de base de sécurité Windows 10 Cette ligne de base applique les paramètres de configuration proposés par Microsoft. Sélectionnez la version du système d'exploitation et le niveau d'évaluation à appliquer.
    Ligne de base personnalisée Téléchargez un fichier ZIP avec une sauvegarde GPO. Vous devez créer cette ligne de base à l'extérieur de Workspace ONE UEM. La sauvegarde doit être inférieure à 5 Mo et contenir au moins un dossier GPO.
  5. Sélectionnez Suivant.

  6. Personnalisez la ligne de base en fonction des besoins. Vous pouvez modifier n'importe quelle stratégie ADMX existante configurée dans la ligne de base. Lorsque vous créez une ligne de base personnalisée à partir d'une ligne de base GPO, vous ne pouvez pas personnaliser les stratégies ADMX existantes.

    Veillez à utiliser des SID lors de la création de stratégies ADMX de droits d'utilisateur. Pour plus d'informations, reportez-vous à Identificateurs de sécurité connus dans les systèmes d'exploitation Windows.

  7. Sélectionnez Suivant.

  8. Ajoutez des stratégies supplémentaires à la ligne de base. Ces stratégies proviennent de fichiers Microsoft ADMX. Recherchez une stratégie à ajouter et configurez-la.

  9. Sélectionnez Suivant.

  10. Examinez le résumé et sélectionnez Enregistrer et attribuer. Le résumé inclut toutes les stratégies personnalisées ou ajoutées.

  11. Lors de l'attribution, entrez le Smart Group contenant les terminaux Windows 10 auxquels vous souhaitez attribuer la ligne de base. Vous pouvez redéfinir quels terminaux obtiennent la ligne de base à l'aide de l'onglet Exclusions. Entrez les Smart Groups que vous souhaitez exclure de l'attribution.
    Les exclusions remplacent les attributions. Si un terminal se trouve dans un Smart Group exclu, ce terminal ne reçoit pas la ligne de base. Si ce terminal disposait déjà de la ligne de base issue d'une attribution précédente, la ligne de base est supprimée du terminal.

  12. Redémarrez les terminaux pour déployer des lignes de base.

Création de votre propre ligne de base

Si vous ne souhaitez pas utiliser de modèle, créez vos propres lignes de base sans modèle.

  1. Accédez à Ressources > Profils et lignes de base > Lignes de base et sélectionnez Nouveau.
  2. Sélectionnez Créer la vôtre.
  3. Entrez un Nom de ligne de base, une Description et sélectionnez le Smart Group par lequel la ligne de base est gérée. Sélectionnez ensuite Suivant.
  4. Dans la fenêtre Ajouter une stratégie, sélectionnez la version du système d'exploitation Windows, puis commencez à entrer un nom de stratégie.
    Par exemple, entrez User ou Computer Configuration, puis sélectionnez la stratégie souhaitée dans la liste.
  5. Ajoutez des stratégies supplémentaires à la ligne de base.
    Ces stratégies proviennent de fichiers Microsoft ADMX. Recherchez une stratégie à ajouter et configurez-la. Ces stratégies sont les mêmes que celles disponibles avec les modèles, mais elles s'affichent comme Non configurées. Vous devez activer et configurer la stratégie ou la désactiver.
  6. Sélectionnez l'état Activée, Désactivée ou Non configurée pour la stratégie sur les terminaux.
  7. Examinez le résumé et sélectionnez Enregistrer et attribuer. Le résumé inclut toutes les stratégies.
  8. Lors de l'attribution, entrez le Smart Group contenant les terminaux Windows 10 auxquels vous souhaitez attribuer la ligne de base. Vous pouvez redéfinir quels terminaux obtiennent la ligne de base à l'aide de l'onglet Exclusions. Entrez les Smart Groups que vous souhaitez exclure de l'attribution.
    Les exclusions remplacent les attributions. Si un terminal se trouve dans un Smart Group exclu, ce terminal ne reçoit pas la ligne de base. Si ce terminal disposait déjà de la ligne de base issue d'une attribution précédente, la ligne de base est supprimée du terminal.
  9. Redémarrez les terminaux pour déployer des lignes de base.
check-circle-line exclamation-circle-line close-line
Scroll to top icon