Sécurisez vos terminaux Windows Desktop avec les Lignes de base. Workspace ONE UEM regroupe les paramètres recommandés par l'industrie dans une configuration unique pour simplifier la sécurisation de vos terminaux.

La sécurisation de la configuration de vos terminaux selon les meilleures pratiques est un processus chronophage. Workspace ONE UEM organise les meilleures pratiques et les paramètres recommandés par le secteur dans des configurations appelées Lignes de base. Ces configurations réduisent considérablement le temps nécessaire à l'installation et à la configuration des terminaux Windows.

Micro-service Cloud

Les Lignes de base utilisent un micro-service Cloud qui gère le catalogue de stratégies. Si vous êtes un client sur site, assurez-vous que votre environnement peut communiquer avec le micro-service.

Les Lignes de base nécessitent une connectivité constante aux services du terminal

Tous les terminaux Windows Desktop enrôlés qui utilisent des Lignes de base nécessitent une connectivité ininterrompue au serveur de services de terminal (DS) Workspace ONE UEM. Les terminaux ont besoin de cette connectivité constante pour que les états des lignes de base restent à jour.

Si vous utilisez une configuration de proxy ou certains paramètres de pare-feu, ces configurations peuvent interrompre la connexion entre vos terminaux Windows 10 et le serveur DS. Par exemple, si les terminaux utilisent un VPN ou un réseau restreint pour accéder aux ressources, cette configuration interrompt la connexion au serveur DS. Sur ces terminaux, les Lignes de base risquent de ne pas être à jour.

Types de Lignes de base

  • Personnalisée : si vous disposez d'un fichier de sauvegarde d'objet de stratégie de groupe (GPO) existant, vous pouvez créer une ligne de base personnalisée avec ces stratégies. Des stratégies supplémentaires sont ajoutées à votre GPO existant lorsque vous créez une ligne de base personnalisée.
  • Évaluations CIS Windows 10 : cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Pour s'assurer que les Lignes de base n'utilisent que les meilleurs paramètres et configurations, le CIS (Center for Internet Security) certifie VMware pour fournir des favoris du secteur, tels que les évaluations CIS pour Windows 10.
  • Ligne de base de sécurité Windows 10 : cette ligne de base applique les paramètres de configuration proposés par Microsoft.

Les Lignes de base sont basées sur la version du système d'exploitation Windows de vos terminaux. Vous pouvez modifier la version du système d'exploitation de toute ligne de base ultérieurement lors de la modification. Pendant la configuration, vous pouvez choisir la ligne de base à utiliser et personnaliser les stratégies de base. Vous pouvez également ajouter toute stratégie supplémentaire dont vous avez besoin dans le cadre du processus de configuration. Ces stratégies sont les stratégies Microsoft ADMX.

Que se passe-t-il après l'attribution des Lignes de base ?

Après avoir enrôlé un terminal dans Workspace ONE UEM, vous pouvez l'ajouter à un Smart Group et attribuer une ligne de base au groupe. Le terminal reçoit et applique tous les paramètres et configurations dans la ligne de base après le redémarrage du terminal. Le terminal vérifie les configurations de ligne de base lors de la publication de la ligne de base et selon les intervalles de check-in définis. Lorsque vous transférez une ligne de base vers un terminal, Workspace ONE UEM stocke un snapshot des paramètres du terminal. Vous pouvez limiter l'attribution de la ligne de base à l'aide de l'onglet Exclusions de la boîte de dialogue Attribution. Vous pouvez désigner des Smart Groups à exclure de l'attribution.

Gestion des Lignes de base

Vous pouvez gérer vos lignes de base à partir de l'affichage en liste Lignes de base. À partir de cette page, vous pouvez modifier, copier et supprimer des lignes de base existantes.

  • Copier : Vous pouvez copier des lignes de base et modifier plusieurs politiques dans les onglets Personnaliser et Ajouter une politique pour les adapter à un autre scénario de déploiement. Sélectionnez la ligne de base souhaitée pour afficher l'élément Copier du menu.
    • Workspace ONE UEM enregistre la ligne de base copiée en tant que Copy of <Baseline Name>, mais vous pouvez tout de même modifier le nom. Une fois que vous avez fini de modifier la ligne de base copiée, sélectionnez Enregistrer et attribuer pour assigner la ligne de base copiée aux groupes concernés.
    • Le modèle de ligne de base ne peut pas être modifié. Si vous avez besoin d'un modèle différent, il vous faudra créer une nouvelle ligne de base.
    • Vous pouvez déplacer la ligne de base copiée vers les groupes d'organisation enfants ou la laisser dans le groupe d'organisation d'origine. En revanche, vous ne pouvez pas déplacer la ligne de base copiée plus haut dans la hiérarchie du groupe d'organisation. Il s'agit d'un comportement similaire à celui des profils.
  • Supprimer: Si vous supprimez une ligne de base qui a été transférée vers des terminaux, les paramètres du terminal reviennent aux paramètres avant la publication de la ligne de base en fonction du snapshot stocké par Workspace ONE UEM.

Vous pouvez voir quelles lignes de base sont appliquées à un terminal sur la page Détails du terminal.

État de conformité des Lignes de base

Vérifiez que votre terminal respecte les lignes de base à l'aide de l'état de conformité de la ligne de base. Disponible sur la page Détails de la ligne de base, l'état de conformité de la ligne de base s'affiche lorsque les terminaux sont conformes, intermédiaires, non conformes ou non disponibles. L'état de conformité de la ligne de base s'applique uniquement aux lignes de base créées avec l'interface utilisateur.

Remarque : Vous ne pouvez pas voir l'état de conformité des lignes de base personnalisées créées à l'aide de packages ZIP.

Les terminaux intermédiaires ont une conformité de 85 à 99 %. Utilisez cette valeur pour déterminer à quel moment la conformité de vos terminaux est insuffisante. L'état Non disponible signifie que Workspace ONE UEM Console n'a pas d'échantillon de conformité pour le terminal. Vous pouvez forcer un échantillon en ouvrant simplement la ligne de base et en la publiant de nouveau.

Créer une ligne de base

Créez une ligne de base qui configure vos terminaux avec les paramètres et les configurations recommandés par le secteur. Workspace ONE UEM organise les Lignes de base en fonction des favoris du secteur, y compris les évaluations du CIS et les lignes de base de sécurité Windows 10 de Microsoft.

Conditions prérequises

Les Lignes de base nécessitent que les terminaux soient enrôlés dans Workspace ONE UEM et que Workspace ONE Intelligent Hub soit installé.

Si vous publiez une ligne de base personnalisée, vous devez ajouter le fichier LGPO.exe à tous les terminaux auxquels vous souhaitez attribuer une ligne de base. Vous devez installer le fichier EXE dans C:\\ProgramData\\Airwatch\\LGPO\\LGPO.exe. Si vous utilisez l'évaluation CIS ou les lignes de base de sécurité Windows 10, vous n'avez pas besoin d'ajouter ce fichier.

Procédure

  1. Accédez à Ressources > Profils et lignes de base > Lignes de base et sélectionnez Nouveau.

  2. Entrez un Nom de ligne de base, une Description et sélectionnez le Smart Group par lequel la ligne de base est gérée. Sélectionnez ensuite Suivant.

  3. Sélectionnez une ligne de base.

    Paramètre Description
    Évaluations CIS Windows 10 Cette ligne de base applique les paramètres de configuration proposés par les évaluations CIS. Sélectionnez la version du système d'exploitation et le niveau d'évaluation à appliquer.
    Ligne de base de sécurité Windows 10 Cette ligne de base applique les paramètres de configuration proposés par Microsoft. Sélectionnez la version du système d'exploitation et le niveau d'évaluation à appliquer.
    Ligne de base personnalisée Téléchargez un fichier ZIP avec une sauvegarde GPO. Vous devez créer cette ligne de base à l'extérieur de Workspace ONE UEM. La sauvegarde doit être inférieure à 5 Mo et contenir au moins un dossier GPO.
  4. Sélectionnez Suivant.

  5. Personnalisez la ligne de base en fonction des besoins. Vous pouvez modifier n'importe quelle stratégie ADMX existante configurée dans la ligne de base. Lorsque vous créez une ligne de base personnalisée à partir d'une ligne de base GPO, vous ne pouvez pas personnaliser les stratégies ADMX existantes.

    Veillez à utiliser des SID lors de la création de stratégies ADMX de droits d'utilisateur. Pour plus d'informations, reportez-vous à Identificateurs de sécurité connus dans les systèmes d'exploitation Windows.

  6. Sélectionnez Suivant.

  7. Ajoutez des stratégies supplémentaires à la ligne de base. Ces stratégies proviennent de fichiers Microsoft ADMX. Recherchez une stratégie à ajouter et configurez-la.

  8. Sélectionnez Suivant.

  9. Examinez le résumé et sélectionnez Enregistrer et attribuer. Le résumé inclut toutes les stratégies personnalisées ou ajoutées.

  10. Lors de l'attribution, entrez le Smart Group contenant les terminaux Windows 10 auxquels vous souhaitez attribuer la ligne de base. Vous pouvez redéfinir quels terminaux obtiennent la ligne de base à l'aide de l'onglet Exclusions. Entrez les Smart Groups que vous souhaitez exclure de l'attribution.

    Les exclusions remplacent les attributions. Si un terminal se trouve dans un Smart Group exclu, ce terminal ne reçoit pas la ligne de base. Si ce terminal disposait déjà de la ligne de base d'une attribution précédente, la ligne de base est supprimée du terminal.

Résultats

Workspace ONE UEM attribue la ligne de base à tous les terminaux du Smart Group (outre ces terminaux dans les Smart Groups exclus).

Étapes suivantes

Vous devez redémarrer le terminal pour que la ligne de base prenne effet.

check-circle-line exclamation-circle-line close-line
Scroll to top icon