Utilisation des Lignes de base

Conservez vos terminaux Windows Desktop configurés conformément aux bonnes pratiques des lignes de base. Workspace ONE UEM combine les paramètres recommandés par l'industrie dans une configuration de ligne de base unique pour simplifier la sécurisation de vos terminaux. Les lignes de base réduisent le temps nécessaire à l'installation et à la configuration des terminaux Windows.

Micro-service Cloud

Les lignes de base utilisent un micro-service basé sur le cloud pour gérer le catalogue de stratégies. Si vous êtes un client sur site, assurez-vous que votre environnement peut communiquer avec le micro-service.

Les Lignes de base nécessitent une connectivité constante aux services du terminal

Tous les terminaux Windows enrôlés qui utilisent des lignes de base nécessitent une connectivité ininterrompue au serveur de services de terminal (DS) Workspace ONE UEM. Les terminaux ont besoin de cette connectivité constante pour que les états des lignes de base restent à jour.

Si vous utilisez une configuration de proxy ou certains paramètres de pare-feu, ces configurations peuvent interrompre la connexion entre vos terminaux Windows et le serveur DS. Par exemple, si des terminaux utilisent un VPN ou un réseau restreint pour accéder aux ressources, cette configuration interrompt la connexion au serveur DS. Sur ces terminaux, les Lignes de base risquent de ne pas être à jour.

Types de Lignes de base

  • Personnalisé
    • Si vous disposez d'un fichier de sauvegarde d'objet de stratégie de groupe (GPO) existant, vous pouvez créer une ligne de base personnalisée avec ces stratégies. Utilisez le processus de modèle pour créer cette ligne de base personnalisée.
    • Vous pouvez également créer une ligne de base personnalisée sans modèle. Workspace ONE UEM propose des stratégies dans le processus Créer la vôtre pour les lignes de base.
  • Évaluations CIS Windows : cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Pour s'assurer que les Lignes de base n'utilisent que les meilleurs paramètres et configurations, le CIS (Center for Internet Security) certifie VMware pour fournir des favoris du secteur, tels que les évaluations CIS pour Windows.
  • Ligne de base de sécurité Windows : cette ligne de base applique les paramètres de configuration proposés par Microsoft.

Les Lignes de base sont basées sur la version du système d'exploitation Windows de vos terminaux. Vous pourrez modifier la version du système d'exploitation de toute ligne de base ultérieurement. Pendant la configuration, vous pouvez choisir la ligne de base à utiliser et personnaliser les stratégies de base. Vous pouvez également ajouter des stratégies Microsoft ADMX supplémentaires dans le cadre du processus de configuration.

Considérations relatives à l'évaluation CIS

CIS signale les évaluations répertoriées pour établir une connexion plus sécurisée entre votre serveur et vos terminaux. Toutefois, ces évaluations ne sont actuellement pas prises en charge par le modèle de ligne de base d'évaluations CIS Windows. Les administrateurs doivent configurer ces évaluations. Pour plus d'informations, reportez-vous au rapport d'évaluation CIS Windows Server applicable.

  • Configurez un titre et un texte d'ouverture de session interactif pour les utilisateurs qui tentent de se connecter.
  • Installez l'extension AdmPwd GPO/CSE LAPS (Local Administrator Password Solution).

Attribution de lignes de base

Après avoir enrôlé un terminal dans Workspace ONE UEM, vous pouvez l'ajouter à un Smart Group et attribuer une ligne de base au groupe. Le terminal reçoit et applique l'ensemble des paramètres et configurations dans la ligne de base après le redémarrage du terminal. Le terminal vérifie les configurations de ligne de base lors de la publication de la ligne de base et selon les intervalles d'enregistrement définis. Lorsque vous transférez une ligne de base vers un terminal, Workspace ONE UEM stocke un snapshot des paramètres du terminal.

Vous pouvez limiter l'attribution de la ligne de base à l'aide de l'onglet Exclusions de la boîte de dialogue Attribution. Vous pouvez également choisir des Smart Groups à exclure de l'attribution.

Gestion des Lignes de base

Vous pouvez gérer vos lignes de base à partir de l'affichage en liste Lignes de base, disponible dans la console sous Ressources > Profils et lignes de base > Lignes de base. Affiche les lignes de base dans UEM Console.

À partir de cette page, vous pouvez modifier, copier et supprimer des lignes de base existantes.

  • Copier : vous pouvez copier des lignes de base et modifier plusieurs politiques dans les onglets Personnaliser et Ajouter une politique pour les adapter à un autre scénario de déploiement. Sélectionnez la ligne de base souhaitée pour afficher l'élément Copier du menu.
    • Le modèle de ligne de base ne peut pas être modifié. Si vous avez besoin d'un modèle différent, il vous faudra créer une nouvelle ligne de base.
    • Workspace ONE UEM enregistre la ligne de base copiée en tant que Copy of <Baseline Name>, mais vous pouvez tout de même modifier le nom.
    • Enregistrez la ligne de base copiée, mais n'attribuez pas de terminaux à celle-ci tant que vous n'avez pas modifié le champ Géré par (groupe organisationnel). Vous ne pouvez pas déplacer des lignes de base copiées pour lesquelles des terminaux sont déjà attribués.
    • Les groupes organisationnels (Géré par) et les lignes de base copiées ont des mises en garde.
      • Pour modifier le groupe organisationnel, modifiez la ligne de base copiée après l'avoir enregistrée.
      • Vous pouvez déplacer la ligne de base copiée vers les groupes d'organisation enfants ou la laisser dans le groupe d'organisation d'origine.
      • En revanche, vous ne pouvez pas déplacer la ligne de base copiée plus haut dans la hiérarchie du groupe d'organisation. Il s'agit d'un comportement similaire à celui des profils.
  • Supprimer : Si vous supprimez une ligne de base qui a été transférée vers des terminaux, les paramètres du terminal reviennent aux paramètres précédents en fonction du snapshot stocké par Workspace ONE UEM.

Vous pouvez voir quelles lignes de base sont appliquées à un terminal sur la page Détails du terminal.

Exemple de copie d'une ligne de base

Voici comment copier une ligne de base existante et mettre à jour le champ Géré par pour déplacer la ligne de base vers un sous-groupe organisationnel.

  1. Dans Workspace ONE UEM Console, accédez au groupe organisationnel applicable.
  2. Accédez à Ressources > Profils et lignes de base > Lignes de base.
    Affiche le chemin de navigation vers les lignes de base
  3. Sélectionnez une ligne de base dans la liste et sélectionnez Copier.
  4. Mettez à jour le nom de la ligne de base dans le champ Nom de la ligne de base. Vous ne pouvez pas mettre à jour le groupe organisationnel pour le moment.
  5. Parcourez l'assistant Lignes de base pour effectuer des mises à jour si nécessaire. Vous n'avez pas à apporter de modifications. Vous pouvez sélectionner Suivant pour n'importe quel onglet.
  6. Dans l'onglet Résumé, cliquez sur Enregistrer et attribuer.
  7. Sur la page Attribuer une ligne de base, cliquez sur Analyse. Cette action annule l'attribution de terminaux à la ligne de base copiée.
    Important : n'attribuez pas de terminaux à votre ligne de base copiée tant que vous n'avez pas modifié le groupe organisationnel.
  8. Sélectionnez la ligne de base copiée dans la liste et cliquez sur Modifier.
  9. Mettez à jour le groupe organisationnel en sélectionnant un sous-groupe organisationnel dans Général > Géré par.
  10. Parcourez l'assistant et cliquez sur Enregistrer et publier.
  11. Sélectionnez la ligne de base copiée et cliquez sur Attribuer lorsque vous êtes prêt à ajouter des terminaux.

Réappliquer des lignes de base

Il existe plusieurs façons d'activer l'application locale des lignes de base. Pour exécuter un script qui ajoute la clé de registre à réappliquer sur un terminal, vous pouvez utiliser des capteurs, un provisionnement de produit, des scripts dans applications et livres, ou créer un profil de paramètres personnalisés. Pour plus d'informations sur l'implémentation de ceci et/ou sur la gestion des lignes de base et des stratégies de groupe, reportez-vous à : Zone technique : Gestion des lignes de base avec des stratégies de groupe.

État de conformité des Lignes de base

Vérifiez que votre terminal respecte les lignes de base à l'aide de l'état de conformité de la ligne de base. Recherchez l'État de la conformité dans la console sous Ressources > Profils et lignes de base > Lignes de base, sélectionnez la ligne de base et consultez la fiche État de conformité. La fiche État de conformité de la ligne de base indique quand les terminaux sont conformes, intermédiaires, non conformes ou non disponibles.

Remarque : L'état de conformité de la ligne de base s'applique uniquement aux lignes de base créées à partir de l'interface utilisateur. Vous ne pouvez pas voir l'état de conformité des lignes de base personnalisées créées à l'aide de fichiers de sauvegarde GPO.

  • L'état Intermédiaire identifie les terminaux de 85 à 99 % conformes. Cet état est un indicateur que la conformité de vos terminaux a été réduite avec les lignes de base attribuées.
  • L'état Non disponible signifie que Workspace ONE UEM Console n'a pas d'échantillon de conformité pour le terminal. Vous pouvez forcer un échantillon en ouvrant simplement la ligne de base et en la publiant de nouveau.

Interrogation des états de conformité des lignes de base

Vous pouvez interroger les terminaux pour obtenir des échantillons de lignes de base afin d'actualiser l'état de conformité. Pour interroger une ligne de base, commencez par la vue Détails du terminal.

Remarque : Vous pouvez interroger l'état de conformité d'un terminal spécifique mais pas de plusieurs terminaux à la fois.

  1. Dans Workspace ONE UEM console, accédez à Terminaux et sélectionnez le terminal Windows Desktop spécifique dans l'Affichage en liste des terminaux.
  2. Sélectionnez Plus d'actions > Requête > Lignes de base. Ce processus initie la commande de requête.
  3. Pour afficher l'état de conformité mis à jour de la ligne de base, accédez à Ressources > Profils et lignes de base > Lignes de base, sélectionnez la ligne de base et consultez la fiche État de conformité.

Vérification de l'état de conformité

Si un paramètre sur le terminal ne correspond pas à la ligne de base, utilisez l'onglet Dépannage dans Détails du terminal pour vérifier que Workspace ONE UEM a reçu l'échantillon du terminal.

  1. Dans Workspace ONE UEM console, accédez à Terminaux et sélectionnez le terminal Windows Desktop spécifique.
  2. Sélectionnez l'onglet Dépannage dans la vue Détails du terminal pour afficher le Journal des événements et l'onglet Commandes.
  3. Dans l'onglet Commandes, reportez-vous à la liste des commandes de requête de ligne de base. Vous pouvez voir les états répertoriés.
    • Mise en file d'attente : le système a entré la commande dans la base de données du serveur.
    • En attente : Le terminal a reçu la demande mais n'a pas répondu.
    • Traité : Le terminal a envoyé un échantillon ou l'échantillon est mis en file d'attente pour la prochaine session utilisateur.
  4. Dans l'onglet Journal des événements, recherchez un Événement qui confirme Réponse d'échantillon de ligne de base reçue.

Création d'une ligne de base

Créez une ligne de base avec ou sans modèle pour configurer vos terminaux conformément aux paramètres et configurations recommandés par l'industrie. Workspace ONE UEM organise les lignes de base en fonction des favoris du secteur, y compris les évaluations du CIS et les lignes de base de sécurité Windows de Microsoft.

Conditions prérequises

Vos terminaux doivent être enrôlés dans Workspace ONE UEM et Workspace ONE Intelligent Hub doit être installé.

Si vous publiez une ligne de base personnalisée en utilisant un fichier de sauvegarde GPO, vous devez ajouter le fichier LGPO.exe à tous les terminaux auxquels vous souhaitez attribuer une ligne de base. Vous devez installer le fichier EXE sur C:\ProgramData\Airwatch\LGPO\LGPO.exe. Si vous utilisez le modèle d'évaluation CIS, le modèle de sécurité Windows ou l'assistant Créer la vôtre, vous n'avez pas besoin d'ajouter ce fichier.

Création de lignes de base avec un modèle

Si vous souhaitez utiliser un fichier de sauvegarde GPO pour créer vos lignes de base, utilisez un modèle.

  1. Accédez à Ressources > Profils et lignes de base > Lignes de base et sélectionnez Nouveau.
    Affiche le chemin de navigation vers les lignes de base
  2. Sélectionner Utiliser un modèle.
  3. Entrez un Nom de ligne de base, une Description et sélectionnez le Smart Group par lequel la ligne de base est gérée. Sélectionnez ensuite Suivant.
  4. Sélectionnez une ligne de base.

    Affiche la sélection d'une plate-forme et d'une version dans la liste déroulante du modèle de ligne de base de sécurité Windows

    Paramètre Description
    Ligne de base de sécurité Windows Cette ligne de base applique les paramètres de configuration proposés par Microsoft. Sélectionnez la plateforme et la version du système d'exploitation à appliquer.
    Évaluations CIS Windows Cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Sélectionnez la plateforme du système d'exploitation, la version et le niveau d'évaluation à appliquer.
    Ligne de base personnalisée Téléchargez un fichier ZIP avec une sauvegarde GPO. Vous devez créer cette ligne de base à l'extérieur de Workspace ONE UEM. La sauvegarde doit être inférieure à 5 Mo et contenir au moins un dossier GPO.
  5. Sélectionnez Suivant.

  6. Personnalisez la ligne de base en fonction des besoins. Vous pouvez modifier n'importe quelle stratégie ADMX existante configurée dans la ligne de base. Lorsque vous créez une ligne de base personnalisée à partir d'une ligne de base GPO, vous ne pouvez pas personnaliser les stratégies ADMX existantes.

    Veillez à utiliser des SID lors de la création de stratégies ADMX de droits d'utilisateur. Pour plus d'informations, reportez-vous à Identificateurs de sécurité connus dans les systèmes d'exploitation Windows.
  7. Sélectionnez Suivant.
  8. Ajoutez des stratégies supplémentaires à la ligne de base. Ces stratégies proviennent de fichiers Microsoft ADMX. Recherchez une stratégie à ajouter et configurez-la.
  9. Sélectionnez Suivant.
  10. Examinez le résumé et sélectionnez Enregistrer et attribuer. Le résumé inclut toutes les stratégies personnalisées ou ajoutées.
  11. Lors de l'attribution, entrez le Smart Group contenant les terminaux Windows auxquels vous souhaitez attribuer la ligne de base. Vous pouvez redéfinir quels terminaux obtiennent la ligne de base à l'aide de l'onglet Exclusions. Entrez les Smart Groups que vous souhaitez exclure de l'attribution.
    Les exclusions remplacent les attributions. Si un terminal se trouve dans un Smart Group exclu, ce terminal ne reçoit pas la ligne de base. Si ce terminal disposait déjà de la ligne de base issue d'une attribution précédente, la ligne de base est supprimée du terminal.
  12. Redémarrez les terminaux pour déployer des lignes de base.

Création de lignes de base personnalisées

Si vous ne souhaitez pas utiliser un modèle pour créer vos lignes de base, suivez ces étapes pour créer la vôtre.

  1. Accédez à Ressources > Profils et lignes de base > Lignes de base et sélectionnez Nouveau.
  2. Sélectionnez Créer la vôtre.
  3. Entrez un Nom de ligne de base, une Description et sélectionnez le Smart Group par lequel la ligne de base est gérée. Sélectionnez ensuite Suivant.
  4. Dans la fenêtre Ajouter une stratégie, sélectionnez la version du système d'exploitation Windows, puis commencez à entrer un nom de stratégie.
    Par exemple, entrez User ou Computer Configuration, puis sélectionnez la stratégie souhaitée dans la liste.
  5. Ajoutez des stratégies supplémentaires à la ligne de base.
    Ces stratégies proviennent de fichiers Microsoft ADMX. Recherchez une stratégie à ajouter et configurez-la. Ces stratégies sont les mêmes que celles disponibles avec les modèles, mais elles s'affichent comme Non configurées. Vous devez activer et configurer la stratégie ou la désactiver.
  6. Sélectionnez l'état Activée, Désactivée ou Non configurée pour la stratégie sur les terminaux.
  7. Examinez le résumé et sélectionnez Enregistrer et attribuer. Le résumé inclut toutes les stratégies.
  8. Lors de l'attribution, entrez le Smart Group contenant les terminaux Windows auxquels vous souhaitez attribuer la ligne de base. Vous pouvez redéfinir quels terminaux obtiennent la ligne de base à l'aide de l'onglet Exclusions. Entrez les Smart Groups que vous souhaitez exclure de l'attribution.
    Les exclusions remplacent les attributions. Si un terminal se trouve dans un Smart Group exclu, ce terminal ne reçoit pas la ligne de base. Si ce terminal disposait déjà de la ligne de base issue d'une attribution précédente, la ligne de base est supprimée du terminal.
  9. Redémarrez les terminaux pour déployer des lignes de base.
check-circle-line exclamation-circle-line close-line
Scroll to top icon