Comment activer Defender EDR en "Block Mode"
- Maxime Hiez
- Defender , Tutoriel
- 12 Nov, 2025
Introduction
Dans un contexte où les menaces informatiques évoluent constamment, les solutions antivirus ne suffisent plus à protéger efficacement les postes de travail. Le Block Mode de Microsoft Defender for Endpoint est une fonctionnalité souvent méconnue, mais pourtant essentielle pour renforcer la protection des postes dans un environnement Microsoft 365. Elle permet à l’EDR (Endpoint Detection and Response) d’intervenir même sur les appareils qui utilisent un antivirus tiers, en bloquant activement les menaces détectées au lieu de simplement les signaler. En activant le Block Mode, vous donnez à Defender la capacité d’agir comme une couche de protection complémentaire, capable d’arrêter un exécutable malveillant ou une activité post-exploitation dès son identification.
Prérequis
Un PC Windows 10/11
- Un PC Windows 10/11 inscrit dans Intune.
Un groupe Entra ID
- Un groupe de sécurité Entra ID qui contient les PC concernés.
Licences nécessaires
- Microsoft 365 Business Premium, Microsoft 365 E5.
- Microsoft Defender for Endpoint Plan 2 en complément avec une licence autre (E3, …).
Rôles d’administrateur
- Un compte avec le rôle Administrateur Global ou Administrateur Intune pour accéder au Microsoft Intune Admin Center.
- Un compte avec le rôle Administrateur Global ou Administrateur Sécurité pour accéder au Microsoft Defender Portal.
Étape 1 : Se connecter au Microsoft Defender Portal
Connectez vous au Microsoft Defender Portal en ouvrant votre navigateur web sur https://security.microsoft.com.
Étape 2 : Activer le Block Mode
Dans le menu de gauche, cliquez sur System, puis sur sur Settings.
Cliquez sur Endpoints, puis sur General, et sur Advanced features.
Activez l’interrupteur Enable EDR in block mode.
Étape 3 : Se connecter au Microsoft Intune Admin Center
Connectez vous au Microsoft Intune Admin Center en ouvrant votre navigateur web sur https://intune.microsoft.com.
Étape 4 : Activer la règle Endpoint Detection and Response
Dans le menu de gauche, cliquez sur Endpoint security, puis sur Endpoint detection and response .
Cliquez sur Deploy preconfigured policy, et créez une règle pour la plateforme Windows en gardant toutes les options par défaut.
Après quelques minutes, la règle est déployée sur l’appareil.
Étape 5 : Valider le Block Mode
Dans le menu de gauche, cliquez sur Assests, puis sur sur Devices.
Le poste est maintenant visible dans la console Defender.
Il est possible aussi de vérifier le bon déploiement via la commande PowerShell suivante :
Get-MpComputerStatus
On peut voir ici sur mon poste que l’attribut AMRunningMode retourne la valeur EDR Block Mode. On constate aussi dans ma barre des tâches que j’ai 2 antivirus, Avast et Defender.
Conclusion
Vous savez maintenant comment activer Defender EDR en Block Mode.
Sources
Microsoft Learn - Détection de point de terminaison et réponse en Block Mode
Avez-vous apprécié cet article ? Vous avez des questions, commentaires ou suggestions, n’hésitez pas à m’envoyer un message depuis le formulaire de contact.
N’oubliez pas de nous suivre et de partager cet article.
