Durcir Windows Server avec Intune et Microsoft Defender for Endpoint : baselines, ASR, antivirus et licences

Objectif : durcir des serveurs Windows en production avec Microsoft Defender for Endpoint et Intune, sans enrôlement MDM, tout en clarifiant l’impact licence et en fournissant un plan d’exécution concret et vérifiable.

Sommaire

Problématique

Vous souhaitez :

Durcir des serveurs Windows (plusieurs rôles en production) au moyen des Security Baselines d’Intune.
Enrôler ces serveurs dans Azure AD/Intune et connaître l’impact licence.
Appliquer, le cas échéant, d’autres stratégies (Attack Surface Reduction, Defender Antivirus, etc.).

Réponses et solutions

Sujet	Ce qu’il faut retenir
Prise en charge Intune	Intune ne gère pas les éditions Windows Server via l’enrôlement MDM : l’enrôlement natif est prévu pour Windows 10/11 et autres clients. Les Security Baselines d’Intune ciblent donc les postes clients, pas les serveurs.
Durcissement des serveurs	Utilisez Microsoft Defender for Endpoint (MDE). Une fois le serveur onboardé dans MDE, la fonction Security Settings Management permet d’imposer depuis Intune (ou le portail Defender) des stratégies Antivirus, ASR, Firewall, EDR, etc., sans enrôlement MDM.
Licence	Pas de licence Intune « par serveur ». Il faut une couverture MDE pour serveurs (SKU dédié serveur ou via les offres Defender for Servers). Les licences Intune utilisateur n’autorisent pas, à elles seules, la gestion de serveurs.
Étapes de mise en œuvre	1) Onboarder les serveurs dans MDE (script, GPO, SCCM, Azure Arc). 2) Activer le connecteur MDE dans Intune et la gestion Security Settings Management. 3) Créer/assigner des stratégies dans Endpoint security (Antivirus, ASR, EDR, Firewall) ou depuis le portail Defender. 4) Contrôler la conformité avec les rapports de Security Settings Management.
Autres approches	• Security Compliance Toolkit / modèles CIS (GPO) pour un durcissement local. • Azure Policy ou Defender for Cloud pour les VM Azure. • Co‑management SCCM/Intune si vous disposez déjà de Configuration Manager.
Limitations	• Pas d’Autopilot ni de Company Portal sur Windows Server. • Windows Server 2019/2022 bénéficient du pipeline MDE le plus abouti ; les versions antérieures restent plus limitées. • Les Security Baselines Intune ne s’appliquent pas aux serveurs, même si ceux‑ci reçoivent des stratégies Defender via MDE.

Pourquoi Intune ne gère pas Windows Server en MDM

Le modèle d’enrôlement MDM d’Intune est historiquement pensé pour les terminaux utilisateurs (PC Windows 10/11, appareils mobiles, etc.). Les Security Baselines Intune encapsulent des recommandations Microsoft pour ces terminaux, avec un ensemble d’ADMX-backed policies et de CSP Windows compatibles client. Sur Windows Server, ce modèle n’est ni supporté ni fiable pour des raisons techniques (rôles serveur, compatibilités pilotes/EDR, scénarios RDS, etc.).

En revanche, la pile Microsoft Defender for Endpoint apporte un agent de sécurité unifié, un inventaire, un moteur de remédiation et une capacité de pilotage des paramètres de sécurité qui s’étend aux serveurs. C’est précisément ce socle qui permet à Intune de pousser des configurations sur des serveurs non‑enrôlés MDM via la gestion par MDE.

Architecture recommandée avec Microsoft Defender for Endpoint

Le schéma logique ci‑dessous résume la solution :

Serveur Windows → Onboard MDE → l’agent MDE s’enregistre dans le tenant.
Intune → activation du connecteur MDE et de la Security Settings Management.
Stratégies créées dans Endpoint security (Antivirus, ASR, EDR, Firewall) → ciblage des serveurs (groupes Azure AD / balises MDE).
Application par l’agent MDE sur les serveurs → états de conformité remontés dans Intune et Defender.

Avantages clés : zéro enrôlement MDM, gouvernance centralisée, convergence poste/serveur sur les contrôles de sécurité, déploiement par vagues, possibilité de coexister avec des GPO ou un SCCM existant.

Licences et modèles d’acquisition

Pour les serveurs, la question n’est pas « Intune », mais « MDE est‑il licencié ? ». En pratique :

Pas de licence Intune par serveur. Intune sert de plan de contrôle pour pousser des paramètres via MDE, mais ne licencie pas la sécurité du serveur.
Licence MDE pour serveurs requise, obtenue via un SKU serveur dédié ou via les offres Defender for Servers (intégrées à Defender for Cloud). Les bundles Microsoft 365 orientés utilisateurs peuvent inclure MDE pour postes, mais valider séparément la couverture des serveurs selon votre contrat.

Recommandation : dressez un inventaire des serveurs à couvrir (par rôle, criticité, exposition), cartographiez‑les à vos contrats actuels, puis sélectionnez le modèle licence le plus simple à opérer. L’objectif est d’éviter les zones grises de conformité et de facturation.

Étapes de mise en œuvre détaillées

Pré‑requis techniques

Serveurs Windows supportés par MDE (idéalement Windows Server 2019/2022 pour la meilleure expérience).
Connectivité sortante vers les services Defender et Intune (proxy/SSL inspectés pris en compte).
Antivirus Microsoft Defender ou solution tierce supportée. En cas d’AV tiers, activez EDR en mode blocage côté MDE pour bénéficier de la remédiation.

Onboarding MDE des serveurs

Plusieurs méthodes : script local, GPO, SCCM/Configuration Manager, ou Azure Arc (pratique multi‑cloud/on‑prem). L’onboarding installe et enregistre l’agent MDE (Sense).

Vérifications techniques côté serveur :

sc query sense
Get-MpComputerStatus | Select AMServiceEnabled,AntispywareEnabled,RealTimeProtectionEnabled
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 20

Activation du connecteur MDE dans Intune

Dans Intune, ouvrez Connecteurs et jetons > Microsoft Defender for Endpoint.
Activez l’intégration et cochez la gestion Security Settings Management pour que les serveurs onboardés apparaissent comme gérables.
Contrôlez que les serveurs MDE remontent bien comme gérés par Defender.

Création des stratégies de sécurité dans Intune

Allez dans Endpoint security et créez des stratégies adaptées serveurs :

Antivirus : moteur Defender, mise à jour planifiée, actions sur détection, exclusions maîtrisées.
Attack Surface Reduction (ASR) : commencez en mode Audit sur les règles sensibles (Office, scripts, WMI) puis passez en blocage par vagues.
EDR & EDR en mode blocage : activez la remédiation automatique.
Firewall : profils domaine/privé/public, règles durs & exceptions nominatives.
Exploit Protection si nécessaire (profils mitigations).

Ciblage et groupes

Deux approches qui se complètent :

Groupes d’appareils Azure AD : créez des groupes « Serveurs‑Prod », « Serveurs‑Pilote », etc., avec appartenance assignée.
Balises MDE : apposez des tags (ex. Segment=PCI, Rôle=SQL) pour faciliter les affectations ciblées. Vous pouvez définir ces balises côté agent MDE.

Contrôle et conformité

Dans Intune, utilisez les rapports Security Settings Management pour suivre la distribution, l’état d’application et la conformité des stratégies. Dans Defender, suivez les alertes, la surface d’attaque et les expositions résiduelles.

Exemples de stratégies prêtes à l’emploi

Antivirus Microsoft Defender : recommandations serveur

Paramètre	Recommandation	Remarques
Mises à jour	Plusieurs fenêtres/jour	Planifiez sur des créneaux décalés pour éviter les pics CPU/IO.
Analyse planifiée	Hebdomadaire, quick scan	Évitez les full scans en journée sur serveurs chargés.
Actions sur détection	Quarantaine/Remédiation auto	Couplée à EDR en mode blocage pour maximiser la couverture.
Exclusions	Minimales et justifiées	Spécifiez chemins/process/services précis, auditez régulièrement.
Tamper Protection	Activée	Empêche les désactivations non autorisées des protections.

ASR : durcissement progressif

Recommandation de parcours :

Vague Pilote (audit) : activer en mode Audit les règles Office/script, collecter les événements dans Defender pendant 2 semaines.
Blocage ciblé : basculer en blocage les règles non bruyantes (ex. création de processus enfant par Office), traiter les exceptions légitimes.
Généralisation : déployer par segments (non‑prod, puis prod) et surveiller.

Pour vérifier l’état côté serveur :

Get-MpPreference | Select AttackSurfaceReductionRules_Actions, AttackSurfaceReductionOnlyExclusions

EDR : détection et remédiation

EDR en mode blocage : à activer si un AV tiers est présent ou pour renforcer la posture.
Remédiation automatique : configurez un niveau adapté au contexte (ex. « Semi‑Automatique » en prod critique).

Firewall Windows

Activez les trois profils (Domaine/Privé/Public).
Bloquez par défaut, puis autorisez explicitement les services nécessaires (RDP, SQL, LDAP, etc.).
Documentez les exceptions « temporaire » avec une date d’expiration.

Scénarios de déploiement par environnement

Environnement	Méthode recommandée	Notes opérationnelles
On‑premises	MDE via script/GPO/SCCM + Intune SSM	Soignez la connectivité proxy et la latence vers les services Defender.
Azure IaaS	MDE + Defender for Cloud + Intune SSM	Profitez d’Azure Policy pour l’auto‑déploiement et la conformité.
Multi‑cloud	Azure Arc + MDE + Intune SSM	Arc simplifie l’onboarding et l’inventaire cross‑cloud.
RDS / Citrix	MDE + stratégies dédiées	Tester les règles ASR pouvant impacter les profils utilisateurs/App layering.

Coexistence avec GPO, SCCM et baselines locales

GPO : continuez d’appliquer les paramètres OS/cœur système via GPO (SCT/CIS) si déjà en place.
Intune via MDE : concentrez‑vous sur les couches sécurité (AV/ASR/EDR/Firewall) et les capacités posture.
SCCM/ConfigMgr : possible en co‑management pour le patching, les déploiements d’agents, etc.

Bonnes pratiques :

Éviter les conflits : un même paramètre ne doit pas être piloté par deux autorités.
Documenter la source d’autorité par domaine technique (OS durcissement : GPO, Sécurité active : MDE/Intune).

Plan d’action synthétique

Licences : vérifier la couverture MDE (SKU serveur ou Defender for Servers).
Onboarding MDE : déployer l’agent sur chaque serveur (script, GPO, SCCM, Azure Arc).
Intégration Intune↔︎MDE : activer le connecteur, synchroniser les groupes Azure AD contenant les serveurs.
Déployer les stratégies : créer dans Intune (Endpoint security) ou dans le portail Defender les politiques Antivirus/ASR/EDR/Firewall et les assigner aux groupes ciblant les serveurs.
Supervision : suivre l’état de conformité dans les rapports Security settings management.

Résultat : vous obtenez un niveau de configuration équivalent à une baseline – mais via Defender for Endpoint – sans enrôlement MDM ni coût licence supplémentaire côté Intune.

Checklist projet

Inventaire des serveurs et rôles.
Validation des fenêtres de maintenance et exigences performance.
Tests d’onboarding MDE sur un échantillon.
Activation du connecteur MDE et de SSM dans Intune.
Création de groupes pilotes et de politiques initiales.
Déploiement vague pilote → analyse → ajustements.
Généralisation progressive par segment ou critère métier.
Opérations courantes : revue mensuelle des alertes, des exceptions et du drift.

Détails pratiques et scripts utiles

Validation de l’agent MDE

sc query sense
# Service STATE should be RUNNING

État antivirus et protection en temps réel

Get-MpComputerStatus | Select AMServiceEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,IoavProtectionEnabled

Journal utile pour ASR/Antivirus

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Select -First 50 | Format-Table TimeCreated,Id,Message -Wrap

Exclusions maîtrisées (exemple)

# À appliquer via Intune &gt; Endpoint security &gt; Antivirus (préférable)
# Exemple PowerShell local pour diagnostic/labo :
Add-MpPreference -ExclusionPath "D:\Data\ServiceX\Cache"
Add-MpPreference -ExclusionProcess "C:\Program Files\ServiceX\bin\ServiceX.exe"

Passage d’ASR en Audit puis en Blocage

Dans Intune, créez une politique Attack surface reduction dédiée : d’abord Audit sur l’ensemble des règles impactantes, observez les événements et logiciels affectés, puis basculez au cas par cas en Blocage avec des exceptions minimales.

Gouvernance, risques et pièges à éviter

Changer tout d’un coup : préférez une vague pilote et l’audit sur ASR.
Exclusions volumiques : chaque exclusion est un risque. Documentez‑les et fixez une date de fin.
Conflits GPO/Intune : décidez d’une source d’autorité par paramètre. Évitez les doubles configurations.
Rôles sensibles : testez séparément les contrôleurs de domaine, serveurs SQL, serveurs de fichiers très chargés, hôtes RDS/Citrix.
Vieillissement OS : privilégiez Windows Server 2019/2022. Les versions plus anciennes peuvent avoir des capacités MDE réduites.

FAQ express

Peut‑on appliquer une Security Baseline Intune directement à un serveur ?
Non. Les Security Baselines Intune sont prévues pour Windows 10/11 et non pour Windows Server. Utilisez la Security Settings Management de MDE pour imposer des paramètres de sécurité équivalents.

Peut‑on enrôler un serveur dans Intune via MDM ?
Non. Le serveur ne s’enrôle pas en MDM. Il est géré par MDE une fois onboardé et apparaît dans Intune à travers ce connecteur.

De quelles licences ai‑je besoin ?
Une licence de sécurité serveur (MDE pour serveurs ou Defender for Servers). Intune ne facture pas par serveur pour cette gestion.

Comment cibler seulement certains serveurs ?
Créez des groupes d’appareils Azure AD dédiés (pilote, prod, par rôle) et/ou utilisez des balises MDE (ex. Rôle, Zone, Sensibilité) pour assigner finement les politiques.

Comment démarrer sans impacter la production ?
Déployez d’abord MDE et mettez ASR en Audit. Surveillez, ajustez, puis passez en blocage par vagues.

Modèle de déploiement progressif recommandé

Semaines 1–2 : Onboarding MDE, activation connecteur Intune, collecte d’inventaire et de télémétrie.
Semaines 3–4 : Politiques Antivirus/Firewall déployées en pilote, ASR en Audit.
Semaines 5–6 : Passage progressif d’ASR en Blocage sur segments à faible risque.
Semaines 7–8 : Généralisation, revue des exceptions, documentation et transfert aux opérations.

Modèle de gouvernance et exploitation continue

RACI clair entre équipes Système, Sécurité, Réseau.
Revue mensuelle des alertes et des politiques (ajustement des exclusions et des règles ASR).
Tableau de bord de conformité Security Settings Management & Defender.
Gestion du changement pour toute évolution (nouvelles règles, durcissement additionnel, mise à niveau OS).

Conclusion

Pour durcir des serveurs Windows en production, le chemin le plus sûr et supporté consiste à onboarder MDE, à activer la Security Settings Management et à déployer des politiques de sécurité via Intune ou le portail Defender. Vous obtenez une couverture équivalente à une baseline sans enrôlement MDM, avec une gestion centralisée, des rapports de conformité et une adoption progressive adaptée aux contraintes de production.

Récapitulatif actionnable

Confirmer la licence MDE serveur.
Onboarder 2–3 serveurs pilotes et valider télémétrie/performances.
Activer le connecteur MDE dans Intune et Security Settings Management.
Déployer Antivirus/Firewall puis ASR en Audit, basculer en blocage par vagues.
Industrialiser : groupes par rôle, étiquettes MDE, revue mensuelle des exceptions.