# Configuration EDR : MS Defender
{% hint style="warning" %}
La gestion de MS Defender EDR est actuellement en bêta. Faites-nous savoir si vous avez des retours ou si vous rencontrez des problèmes.
{% endhint %}
Dans le cadre de son offre MDR (détection et réponse gérées), Stoïk gère la configuration Microsoft EDR/XDR. Contrairement à CrowdStrike ou SentinelOne, Stoïk ne vend pas de licences Microsoft Defender, nous nous contentons de les gérer. Les licences restent les vôtres et vous gardez le contrôle de votre tenant Microsoft. Pour que Stoïk puisse fournir le service MDR sur Microsoft Defender, votre console doit être connectée à Stoïk afin que :
* Les hôtes surveillés et les alertes remontent vers les systèmes de Stoïk et sont pris en charge par l'équipe Stoïk CERT 24 h/24, 7 j/7
* Vous disposez d'une visibilité complète sur votre activité MDR (hôtes, alertes, investigations) directement dans Stoïk Protect
{% stepper %}
{% step %}
### Mettre à jour vos licences
Cela doit être fait lors de la discussion avec votre représentant commercial Stoïk, dans le cadre de l'achat du MDR Stoïk. Stoïk n'achète pas les licences pour votre compte pour Microsoft MDR.
{% endstep %}
{% step %}
### Déployer vos licences
* **Points de terminaison (postes de travail) :** aucun déploiement n'est nécessaire, les licences sont appliquées automatiquement dès qu'elles sont attribuées.
* **Serveurs :** une licence dédiée est requise. Souscrivez-la d'abord via [Mettre à jour vos licences](#update-your-licences), puis déployez-la à l'aide de l' `.exe` installateur fourni par Microsoft.
{% endstep %}
{% step %}
### Connectez votre tenant Microsoft à Stoïk
C'est l'étape qui relie votre console Microsoft Defender à Stoïk, afin que les alertes et les hôtes remontent vers la plateforme d'investigation de Stoïk et dans Stoïk Protect. La configuration comporte trois parties :
* **Partie A**: effectuée en un seul clic depuis Stoïk Protect (cela autorise Stoïk à lire les alertes et les hôtes de votre tenant Defender).
* **Partie B.1**: invitez un utilisateur externe dédié afin de donner à l'équipe Stoïk CERT l'accès au portail Microsoft Defender.
* **Partie B.2**: ajoutez les autorisations Defender XDR (nécessaire si le RBAC Defender est activé sur votre tenant).
#### Partie A : autoriser Stoïk depuis Stoïk Protect
{% hint style="info" %}
Prérequis : vous devez être connecté à Microsoft avec un compte administrateur disposant des **administrateur global** droits.
{% endhint %}
{% stepper %}
{% step %}
Connectez-vous à [Stoïk Protect](https://app.stoik.io) avec votre compte Stoïk.
{% endstep %}
{% step %}
Accédez à `MDR` > `Paramètres`.
{% endstep %}
{% step %}
Cliquez sur **Connectez votre compte Microsoft**.
{% endstep %}
{% step %}
Vous êtes redirigé vers Microsoft. Vérifiez les autorisations demandées par l'application Stoïk MDR et cliquez sur **Accepter**.
{% endstep %}
{% step %}
Vous êtes renvoyé vers Stoïk Protect. La **Paramètres** page affichera la connexion comme **Connecté**, ainsi que l'ID de tenant Microsoft détecté. Une fois la partie A terminée, vos alertes Microsoft Defender commenceront à remonter dans Stoïk. Vous pouvez déjà voir les hôtes et les alertes surveillés dans `Stoïk Protect` > `MDR`.
{% endstep %}
{% endstepper %}
#### Partie B.1 : inviter l'utilisateur Stoïk MDR
Pour permettre à l'équipe Stoïk CERT d'utiliser la console d'investigation Microsoft et de mener des investigations à grande échelle sur votre tenant, vous devez inviter un utilisateur externe dédié.
{% stepper %}
{% step %}
Accédez à [portal.azure.com](https://portal.azure.com) avec un compte disposant de **administrateur global** droits.
{% endstep %}
{% step %}
Dans la barre de recherche en haut, saisissez **Utilisateurs** et ouvrez la section de gestion des utilisateurs.
{% endstep %}
{% step %}
Cliquez sur **Tous les utilisateurs**, puis **Inviter un utilisateur externe**.
{% endstep %}
{% step %}
Renseignez :
* **Adresse e-mail :** `mdr_api@stoikcert.onmicrosoft.com`
* **Nom d'affichage :** `Stoik_Mdr_Api`
Copiez votre **ID de tenant** (affiché à l'étape 3 du formulaire d'invitation), vous en aurez besoin plus tard.
{% endstep %}
{% step %}
Accédez au **Attributions** onglet, cliquez sur **Ajouter un rôle**, recherchez et sélectionnez **Opérateur de sécurité**, puis cliquez sur **Sélectionner**.
{% endstep %}
{% step %}
Cliquez sur **Vérifier + inviter**, puis **Inviter** pour finaliser.
{% endstep %}
{% endstepper %}
#### Partie B.2 : ajouter les autorisations Defender XDR (si le RBAC Defender est activé)
{% hint style="info" %}
La gestion des rôles Defender XDR via RBAC est activée par défaut sur la plupart des tenants. Si elle est active sur le vôtre, suivez les étapes ci-dessous. Sinon, vous pouvez ignorer cette section.
{% endhint %}
{% stepper %}
{% step %}
Accédez à [security.microsoft.com](https://security.microsoft.com) avec un compte disposant de **administrateur global** droits.
{% endstep %}
{% step %}
Développer `Système`, cliquez sur `Autorisations`, puis sous `Microsoft Defender XDR`, sélectionnez `Rôles`.
{% endstep %}
{% step %}
Cliquez sur **Créer un rôle personnalisé** et renseignez **Nom du rôle** avec `stoik_mdr_role`.
{% endstep %}
{% step %}
Accorder les autorisations : pour chacun des trois groupes d'autorisations, sélectionnez **Toutes les autorisations de lecture et de gestion**, cliquez sur **Appliquer**, puis **Suivant**.
{% endstep %}
{% step %}
Ajoutez l'attribution :
* Cliquez sur **Ajouter une attribution**.
* Nom : `stoik_mdr_assignment`.
* Employés : tapez `mdr_api@stoikcert.onmicrosoft.com` et cliquez sur l'icône de l'utilisateur qui apparaît pour valider.
* Sélectionner **Toutes les sources de données**.
* Cochez **Inclure automatiquement toutes les futures sources de données**.
* Cliquez sur **Ajouter**, puis **Suivant**.
{% endstep %}
{% step %}
Cliquez sur **Soumettre** pour finaliser.
{% endstep %}
{% endstepper %}
#### Informer Stoïk
Une fois la partie B terminée, envoyez un e-mail à avec votre **ID de tenant Microsoft** (copié à l'étape 4 de la section précédente). L'équipe Stoïk CERT finalisera l'activation de notre côté.
{% endstep %}
{% endstepper %}
## Dépannage
**Le bouton « Connectez votre compte Microsoft » dans Stoïk Protect renvoie une erreur.**\
Assurez-vous d'être connecté à Microsoft avec un compte **administrateur global** administrateur.
**La connexion apparaît comme « Connecté » dans Stoïk Protect, mais je ne vois aucun hôte ni aucune alerte.**\
La première synchronisation des données peut prendre jusqu'à quelques heures.
Pour tout problème non résolu ou pour révoquer l'accès de Stoïk à votre tenant Microsoft Defender, contactez .
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.stoik.io/help/help-center-fr/stoik-mdr/edr-setup-ms-defender.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.