Intégration d'Intune Suite dans Microsoft 365 E3 et E5

Intune Suite dans Microsoft 365 E3 et E5 : ce qui change en juillet 2026

Auteur : Jonathan Fievet, Ingénieur Modern Workplace
Jonathan Fievet Ingénieur Modern Workplace
26 mins
1 juillet 2026
Dans cet article :
  1. Intune Suite dans Microsoft 365 : ce qui change en juillet 2026
  2. Ce que votre licence M365 E3 ou E5 inclut avec Intune Suite
  3. Remote Help : la prise en main à distance native d'Intune
  4. Advanced Analytics : surveiller et diagnostiquer son parc
  5. Microsoft Tunnel for MAM : sécuriser l'accès BYOD aux ressources internes
  6. Specialty Device Management : gérer les appareils spécialisés
  7. FOTA Updates : déployer les mises à jour firmware sur Android
  8. Endpoint Privilege Management : gérer les droits admin sans risque
  9. Enterprise Application Management : automatiser les mises à jour d'applications tierces
  10. Microsoft Cloud PKI : une autorité de certification managée dans le cloud
  11. Intune Suite dans Microsoft 365 E3 E5 : faut-il encore l'acheter séparément ?

Intune Suite dans Microsoft 365 : ce qui change en juillet 2026

Jusqu’à présent, beaucoup d’entreprises regardaient Intune Suite avec intérêt… avant de refermer rapidement la page à la vue des tarifs. Pour bénéficier de fonctionnalités comme Remote Help, Endpoint Privilege Management ou Cloud PKI, il fallait souscrire une licence supplémentaire qui n’était pas toujours facile à justifier auprès d’un DSI. 

Avec l’intégration en cours d’Intune Suite dans Microsoft 365 E3 et E5 (au 1er Juillet 2026), la donne change complètement. Certaines fonctionnalités autrefois réservées à une licence additionnelle deviennent accessibles sans achat supplémentaire. 

La vraie question n’est donc plus « Faut-il acheter Intune Suite ? », mais « Qu’est-ce que ma licence me donne déjà aujourd’hui ? ».

Cet article détaille donc les fonctionnalités incluses, leur valeur concrète, et vous aide à déterminer si elles peuvent simplifier votre environnement ou si des solutions tierces restent nécessaires. 

Ce que votre licence M365 E3 ou E5 inclut avec Intune Suite

Microsoft 365 E3

Les fonctionnalités Intune Suite suivantes sont incluses dans Microsoft 365 E3 :

  • Remote Help
  • Advanced Analytics
  • Microsoft Tunnel for MAM
  • Specialty Device Management
  • FOTA Updates

Microsoft 365 E5

En complément de toutes les fonctionnalités E3, Microsoft 365 E5 intègre les briques Intune Suite supplémentaires suivantes :

  • Endpoint Privilege Management (EPM)
  • Enterprise Application Management (EAM)
  • Microsoft Cloud PKI

L’E5 apporte bien d’autres avantages en dehors de la Intune Suite (Defender for Endpoint P2, Entra ID P2, Purview, etc.). 

Vous bénéficierez aussi de SCU pour utiliser Copilot for Security dans Entra ID et Intune notamment. À aujourd’hui, ces SCU sont toujours en cours de déploiement, soyez patient.

Remote Help : la prise en main à distance native d’Intune

Qu’est-ce que Remote Help ?

Incluse dans Microsoft 365 E3 et E5, Remote Help est la réponse de Microsoft aux organisations demandant un outil de prise en main à distance dans un contexte Intune natif.

Il s’intègre directement dans le portail d’administration, nécessite l’installation d’une simple application, et résout quatre problèmes concrets : le support limité sur les travailleurs distants, les risques de sécurité des outils de prise en main classiques, le manque de visibilité pour les admins, et l’expérience de support hétérogène selon la plateforme.

VF

Plateformes supportées

Remote Help est compatible avec les plateformes suivantes :

  • Windows,
  • macOS,
  • Android,
  • Web.

Note : iOS n’est pas supporté à ce jour.

Prérequis de déploiement

La mise en place de Remote Help requiert les étapes d’activation et de configuration suivantes :

  • Activation simple depuis le portail Intune (Tenant Admin > Remote Help),
  • Déploiement de l’application Remote Help via Intune sur Windows, macOS et Android. Mise à jour automatique de celle-ci possible,
  • Configuration des rôles RBAC et, optionnellement, des politiques de Conditional Access (MFA, conformité de l’appareil), car oui, les actions de prise en main à distance via Remote Help peuvent être sécurisées via ces politiques. Le RBAC vous permettra de donner accès ou non à certaines fonctionnalités de l’outil. (Élévation UAC notamment).  

Ce que Remote Help fait techniquement

Sur Windows

Sur Windows, Remote Help propose un ensemble complet de fonctionnalités de prise en main à distance :

  • Partage d’écran assisté (attended) avec prise de contrôle complète, ou mode visualisation seule,
  • Support possible des appareils non enrôlés (l’utilisateur reçoit un code de session unique),
  • Élévation de session UAC : le technicien peut saisir des credentials administrateur pour passer les prompts UAC sans donner les droits admins à l’utilisateur,
  • Unattended access : disponible prochainement sur Windows (livraison prévue en août 2026), pour les interventions sans présence de l’utilisateur,
  • Avertissement de non-conformité affiché avant le début de session si le poste cible ne respecte pas les politiques de conformité Intune,
  • Le technicien initie la session depuis la fiche appareil Intune → notification push envoyée à l’utilisateur → l’utilisateur accepte ou refuse,
  • Gestion du multi-écran, tchat intégré et annotations.

Sur Android

Sur Android, Remote Help cible les appareils en mode dédié et offre les capacités suivantes :

  • Cible Android Enterprise Dedicated Mode,
  • Mode unattended sur Zebra MX 8.3+,
  • Appareils enrôlés uniquement (pas de support unenrolled sur Android).

Sur macOS

Sur macOS, deux modes d’accès sont disponibles selon les contraintes d’installation :

  • Via application native : contrôle complet et visualisation,
  • Via web app (remotehelp.microsoft.com) : sans installation côté utilisateur, en mode visualisation uniquement,
  • Supporte les appareils enrôlés et non enrôlés.

Sécurité et traçabilité

Le dispositif de sécurité et de traçabilité de Remote Help repose sur plusieurs mécanismes complémentaires :

  • Authentification Entra ID obligatoire pour le technicien et l’utilisateur avant toute session,
  • RBAC granulaire : les rôles Intune définissent précisément qui peut faire quoi (visualisation seule, contrôle complet, élévation UAC, unattended),
  • Logs de session (30 jours) : identité du technicien et de l’utilisateur, nom et ID de l’appareil, horodatage, type de session (attended/unattended, view/full control),
  • Microsoft ne stocke aucun contenu de session (écran, frappes clavier, transcription de chat, audio),
  • Les logs sont exportables depuis le portail Intune.

Documentation : learn.microsoft.com/intune/remote-help

Mon avis sur Remote Help

Pour les organisations déjà clientes Microsoft 365 E3, Remote Help peut suffire à remplacer TeamViewer ou d’autres solutions de PMAD dans de nombreux scénarios de support utilisateur.

Il ne couvre pas encore tous les cas d’usage avancés, notamment sur iOS, mais pour un support quotidien et sécurisé, il répond déjà aux besoins de nombreuses équipes.

Advanced Analytics : surveiller et diagnostiquer son parc

Qu’est-ce qu’Advanced Analytics ?

Incluse dans Microsoft 365 E3 et E5, Advanced Analytics est l’une des fonctionnalités les plus utiles de la suite pour les équipes IT opérationnelles.

Elle s’articule autour de trois objectifs : obtenir une vision globale de la santé de votre parc, diagnostiquer rapidement un appareil pour lequel un utilisateur a déclaré un incident, et analyser à grande échelle les problèmes.

Advanded Analytics Intune M365 E3

Trois rapports pour surveiller la santé du parc

Battery Health Report

Le Battery Health Report fournit les informations suivantes sur l’état des batteries de votre flotte :

  • Santé de la batterie par appareil : capacité résiduelle, runtime moyen, nombre de cycles de charge,
  • Identification des batteries sous seuil de remplacement avant expiration de garantie,
  • Identification des applications les plus consommatrices (par fenêtre de 14 jours).

Resource Performance Report

Le Resource Performance Report expose plusieurs indicateurs de performance matérielle pour piloter votre parc :

  • Scores CPU et RAM par appareil et par modèle,
  • Score de spike CPU et spike RAM : détection des appareils dont la sollicitation processeur ou mémoire dépasse les seuils normaux lors des pics d’activité,
  • Recommandations automatiques,
  • Tendances sur 30 jours pour identifier les dégradations progressives.

Anomaly Detection

L’Anomaly Detection permet d’identifier automatiquement les comportements anormaux selon les axes suivants :

  • Identification des hausses de crashs, d’utilisation ressource ou de performances suite à un changement de configuration ou un déploiement applicatif,
  • Corrélation des anomalies avec les propriétés des appareils : version OS, version application/driver, modèle matériel,
  • Cas d’usage typique : après un déploiement applicatif, un pic de crashs sur un modèle de laptop spécifique est détecté et corrélé à la version du driver graphique avant que les tickets arrivent.

Deux outils pour investiguer un incident utilisateur

Enhanced Device Timeline

La Enhanced Device Timeline expose l’historique chronologique des événements d’un appareil pour faciliter le diagnostic :

  • Historique chronologique des événements sur un appareil spécifique : crashes applicatifs, applications défaillantes…,
  • Latence inférieure à 24h entre l’événement et son apparition dans la timeline dans Intune,
  • Permet de corréler visuellement un incident utilisateur avec un événement précis.

Device Query : appareil individuel

Device Query permet d’interroger un appareil Windows en temps réel, avec les capacités suivantes :

  • Requêtes KQL en temps réel sur un appareil Windows cloud only online,
  • Chiffrement de bout en bout de la requête et des résultats,
  • Device Actions depuis les résultats : après une query, l’admin peut déclencher des actions directement (redémarrage, sync, collecte de logs) sans quitter le contexte.

Analyse et actions à grande échelle

Device Query : multi-appareils (Windows)

Sur la flotte Windows, le Device Query multi-appareils offre les possibilités suivantes :

  • Interface KQL sur données en cache de l’ensemble de la flotte Windows, 
  • Résultats agrégés,
  • Exemple : identifier tous les appareils enrôlés depuis plus d’un an avec une version Windows non conforme.

Device Query : multi-appareils Cross-Platform

Cette même capacité est étendue à Windows, iOS/macOS et Android dans une vue unifiée, permettant des analyses transversales de l’ensemble du parc, toutes plateformes confondues.

Device Actions en masse

Les Device Actions en masse permettent de déclencher des opérations de remédiation directement depuis les résultats d’une requête multi-appareils :

  • Actions de remédiation bulk déclenchées depuis les résultats d’une requête multi-appareils,
  • Particulièrement efficace pour les corrections de conformité à grande échelle.

Cas d’usage concrets

Voici trois exemples représentatifs de l’apport concret d’Advanced Analytics au quotidien :

  • Un utilisateur se plaint que son PC est lent au démarrage → la timeline révèle que le temps de boot est passé de 45 à 180 secondes il y a 3 semaines, corrélé à l’installation d’un driver, avec un pic RAM systématique au logon.
  • Vous identifiez proactivement 30 appareils dont la batterie est sous les 40% de capacité nominale → remplacement planifié avant la panne terrain, dans la fenêtre de garantie.
  • Une mise à jour applicative déclenche une vague de crashs sur un modèle précis → l’Anomaly Detection le remonte. 

Documentation : Endpoint Analytics – learn.microsoft.com et Advanced Analytics & Device Query – learn.microsoft.com

Mon avis sur Advanced Analytics

C’est probablement l’une des fonctionnalités les plus intéressantes. Beaucoup d’équipes IT travaillent encore de manière réactive en attendant que les utilisateurs ouvrent des tickets.

Advanced Analytics permet au contraire d’identifier les dégradations avant qu’elles ne deviennent un problème, tout en offrant des outils de diagnostic particulièrement efficaces. C’est l’une des fonctionnalités qui apporte le plus de valeur au quotidien.

Microsoft Tunnel for MAM : sécuriser l’accès BYOD aux ressources internes

Qu’est-ce que Microsoft Tunnel for MAM ?

Incluse dans Microsoft 365 E3 et E5, cette fonctionnalité permet à des applications mobiles d’accéder à des ressources on-premises depuis des appareils non managés (BYOD), sans nécessiter d’enrôlement MDM complet de l’appareil.

Ce que Microsoft Tunnel for MAM fait techniquement

Microsoft Tunnel for MAM s’appuie sur les mécanismes techniques suivants :

  • Tunnel VPN applicatif (per-app VPN) qui ne couvre que les applications MAM-enrôlées, pas l’ensemble du trafic de l’appareil,
  • Le flux de données transite par le Microsoft Tunnel Gateway, déployé on-prem ou dans Azure, qui fait le pont vers les ressources internes,
  • Compatible avec les politiques Intune App Protection (APP) pour imposer des contraintes de données (no-copy, PIN, effacement sélectif) sans toucher aux données personnelles de l’appareil,
  • Supporte Microsoft Edge, Outlook, Teams et les applications tierces intégrant le SDK Intune. 

Pour qui

Microsoft Tunnel for MAM s’adresse aux organisations qui ont des utilisateurs BYOD devant accéder à des ressources internes depuis des apps mobiles, sans vouloir ou pouvoir enrôler les appareils en MDM.

Cas typique : applications métier exposées uniquement en interne.

Documentation : learn.microsoft.com/intune/microsoft-tunnel

Mon avis sur Microsoft Tunnel for MAM

Cette fonctionnalité s’adresse à un besoin bien précis : sécuriser les accès aux ressources internes depuis des appareils personnels sans imposer un enrôlement MDM complet.

Toutes les organisations n’en auront pas l’utilité, mais dans un contexte BYOD, elle permet de trouver un bon équilibre entre sécurité et respect de la vie privée des utilisateurs.

Specialty Device Management : gérer les appareils spécialisés

Qu’est-ce que Speciality Device Management ?

Incluse dans Microsoft 365 E3 et E5, cette brique étend la gestion Intune à des catégories d’appareils spécialisés qui ne rentrent pas dans le MDM Windows classique.

Appareils couverts

Specialty Device Management prend en charge les catégories d’appareils suivantes :

  • Microsoft HoloLens 2 : gestion des politiques, applications, mises à jour et configurations de l’environnement Mixed Reality via Intune (utilise le canal MDM standard mais nécessite cette licence),
  • Microsoft Surface Hub (Surface Hub 2S et 3) : gestion centralisée des paramètres Teams Rooms, politiques de sécurité, déploiement d’applications et mises à jour firmware depuis le portail Intune,
  • Appareils RealWear : casques industriels Android pour les scénarios de travail mains libres en atelier ou sur le terrain.

Documentation : learn.microsoft.com/intune/specialty-devices

Mon avis sur Specialty Device Management

Cette brique cible des équipements spécifiques comme les Surface Hub, HoloLens ou certains appareils industriels.

Pour les entreprises concernées, elle permet enfin de gérer ces terminaux depuis Microsoft Intune, sans multiplier les outils d’administration.

FOTA Updates : déployer les mises à jour firmware sur Android

Qu’est-ce que FOTA Updates ?

Incluse dans Microsoft 365 E3 et E5, cette fonctionnalité permet de pousser des mises à jour firmware sur des appareils Android dédiés de manière centralisée depuis Intune.

Ce que FOTA Updates (Firmware Over-The-Air) fait techniquement

FOTA Updates s’appuie sur les capacités techniques suivantes :

  • Gestion des mises à jour firmware pour les appareils Samsung (via Knox Mobile Enrollment et l’API Samsung E-FOTA) et Zebra (via Zebra LifeGuard Over-the-Air)
  • Permet de définir des plages de maintenance pour les mises à jour, de bloquer certaines versions firmware, et d’avoir un inventaire de la version firmware de chaque appareil 
  • Conçu pour les scénarios kiosque / terrain : caisse, scanners d’entrepôt, tablettes médicales… 

Documentation : learn.microsoft.com/intune/manage-fota

Mon avis sur FOTA Updates

Si votre parc Android comprend des terminaux durcis comme des Zebra, FOTA simplifie considérablement la gestion des mises à jour firmware.

En revanche, pour un parc composé principalement de smartphones Android classiques, cette fonctionnalité aura un intérêt beaucoup plus limité.

Endpoint Privilege Management : gérer les droits admin sans risque

Qu’est-ce qu’Endpoint Privilege Management ?

Réservé à Microsoft 365 E5, Endpoint Privilege Management (EPM) résout l’un des problèmes les plus classiques en entreprise : des applications qui nécessitent des droits administrateurs locaux pour fonctionner (mises à jour intégrées, installeurs d’outils métier).

Sans EPM, la tentation est de donner les droits admins à l’utilisateur, ce qui élargit drastiquement la surface d’attaque. En 2026, ce modèle ne peut plus être d’actualité. Le modèle d’EPM est clairement orienté « least privilege ».

Le Cycle De Mise En œuvre Epm Schéma

Ce qu’EPM fait techniquement

Endpoint Privilege Management s’articule autour des mécanismes techniques suivants :

  • Élévation de processus spécifiques en contexte administrateur sans donner les droits admins permanents à l’utilisateur,
  • Les règles d’élévation sont définies par politique Intune : hash du fichier, éditeur (certificat), chemin d’accès, ou combinaisons de ces critères,
  • Intégration dans le menu contextuel Windows (clic droit → « Exécuter avec accès élevé »),
  • Les événements d’élévation sont loggés et remontés dans le portail Intune pour l’audit.

Modes d’opération EPM

Trois modes d’élévation sont disponibles selon le niveau de contrôle souhaité :

  • Auto-approved : l’élévation est accordée automatiquement si la règle correspond,
  • User-confirmed : l’utilisateur doit confirmer avant l’élévation (avec affichage de la justification métier),
  • Support-approved : l’utilisateur soumet une demande, le technicien l’approuve depuis le portail Intune (pas de notification mail native sur ce point).

Limite principale d’EPM

EPM est Windows uniquement. Il n’y a pas de support macOS natif à ce jour.

Documentation : learn.microsoft.com/intune/epm

Mon avis sur EPM

C’est certainement l’une des fonctionnalités les plus stratégiques d’Intune Suite.

De nombreuses entreprises continuent encore aujourd’hui à accorder des droits administrateurs locaux, alors que cela représente un risque important. EPM permet de conserver un modèle de moindre privilège sans pénaliser les utilisateurs.

C’est une fonctionnalité qui devrait rapidement devenir un standard dans les environnements Windows modernes.

Enterprise Application Management : automatiser les mises à jour d’applications tierces

Qu’est-ce qu’Enterprise Application Management ?

Réservée à Microsoft 365 E5, Enterprise Application Management (EAM) a pour ambition de résoudre la gestion des mises à jour d’applications tierces sur Windows, un sujet chronophage dans les équipes IT.

Enterprise Application Management (EAM)

Ce qu’EAM fait techniquement

Enterprise Application Management propose les fonctionnalités suivantes :

  • Fourniture d’un catalogue d’applications préconfigurées depuis le portail Intune (Win32 Apps packagées par Microsoft, avec métadonnées et icônes),
  • Détection automatique des nouvelles versions et possibilité de pousser les mises à jour via Intune,
  • Intégration native dans le workflow de déploiement Win32 App d’Intune : pas besoin de re-packager manuellement,
  • Utilisation possible dans Autopilot.

Documentation : learn.microsoft.com/intune/enterprise-app-management

Mon avis sur EAM

EAM simplifie clairement la gestion des applications tierces, mais son catalogue reste encore limité. Les entreprises qui recherchent une couverture logicielle très large continueront souvent à utiliser Patch My PC ou une solution équivalente.

Microsoft Cloud PKI : une autorité de certification managée dans le cloud

Qu’est-ce que Microsoft Cloud PKI ?

Réservée à Microsoft 365 E5, Cloud PKI déplace l’autorité de certification (CA) on-prem directement dans Intune, sous forme de service managé. C’est une réponse directe à la dette technique accumulée par les PKI on-prem, et une alternative pour éviter de déployer une infrastructure SCEP/NDES complète.

VF

Ce que Microsoft Cloud PKI fait techniquement

Microsoft Cloud PKI repose sur les capacités techniques suivantes :

  • Root CA et Issuing CA entièrement managés dans le cloud Microsoft, sans serveur on-prem à maintenir,
  • Délivre des certificats via le protocole SCEP (Simple Certificate Enrollment Protocol), natif dans Intune,
  • Compatible avec les profils certificats Intune pour Windows, iOS, Android et macOS,
  • Intégration native avec les profils Wi-Fi et VPN Intune pour l’authentification basée sur certificat,
  • Révocation des certificats gérée via CRL hébergée par Microsoft,
  • Dashboard de suivi des certificats émis, expirés, révoqués.

Documentation : learn.microsoft.com/intune/cloud-pki

Mon avis sur Microsoft Cloud PKI

C’est probablement l’une des fonctionnalités les plus sous-estimées. Beaucoup d’entreprises conservent aujourd’hui une PKI on-prem uniquement pour délivrer des certificats Wi-Fi ou VPN. Cloud PKI permet de simplifier fortement cette architecture. Une PKI opérationnelle en 3 clics !

Intune Suite dans Microsoft 365 E3 E5 : faut-il encore l’acheter séparément ?

Après plusieurs années où Intune Suite était proposée comme une licence additionnelle et où l’adaptation était compliquée à la vue des tarifs pratiqués, Microsoft change progressivement son approche en intégrant plusieurs de ses composants directement dans Microsoft 365 E3 et E5. 

Plans Microsoft 365Fonctionnalités incluses
Microsoft Enterprise Mobility and Security E3 (EMS E3)
(inclus dans Microsoft 365 E3)
– Intune Remote Help
– Intune Advanced Analytics
– Intune Plan 2
Microsoft 365 E5Toutes les fonctionnalités de Microsoft 365 E3, ainsi que :
– Intune Endpoint Privilege Management
– Microsoft Cloud KPI
– Intune Enterprise App Management
Microsoft 365 E5– Microsoft Security Copilot
Windows Enterprise E3
(inclus dans Microsoft 365 E3)
– Quick Machine Recovery (QMR)
– Cloud rebuild for Windows 11
– Point-in-time restore for desktop
– Post-quantum security APIs
– Autopatch update readiness
Windows Enterprise per-device license– Basic resiliency features (QMR, point-in-time restore)
– Software Assurance

Pour les organisations déjà clientes Microsoft 365, cette évolution représente une opportunité d’exploiter des fonctionnalités souvent méconnues, sans coût supplémentaire.

Assistance à distance sécurisée, analyses avancées du parc, gestion des privilèges, PKI cloud ou encore gestion simplifiée des applications : ces briques permettent de renforcer la sécurité tout en réduisant la complexité opérationnelle. 

Il est probable que certaines organisations découvrent qu’elles disposeront donc, via leurs licences Microsoft 365, de capacités suffisantes pour remplacer une partie de leur existant. 

Avant de renouveler une solution ou d’investir dans un nouvel outil, prenez le temps de comparer vos besoins réels avec ce qui est désormais inclus dans vos licences.  

Pour finir, l’intégration de ces features va engendrer une légère hausse des tarifs (de l’ordre de 3 $) des bundles.

Microsoft 365 SuitePrix catalogue actuelPrix catalogue au 1er juillet 2026
Business Basic$6$7
Business Standard$12.50$14
Business Premium$22$22
Office 365 E1$10$10
Office 365 E3$23$26
Microsoft 365 E3$36$39
Microsoft 365 E5$57$60
Microsoft 365 F1$2.25$3
Microsoft 365 F3$8$10

Articles similaires

Intune

Inventaire Microsoft Intune : Enhanced Hardware Inventory et App Inventory expliqués

Pendant longtemps, la gestion de l'inventaire Microsoft Intune était considérée comme fonctionnelle… mais trop limitée.

Intune

Comment créer des reporting Intune avec Power BI et Graph API ?

La gestion des postes de travail Windows connaît une transformation profonde. Télétravail, mobilité, exigences de sécurité accrues et pression réglementaire...

Intune

Intune Multi Admin Approval : comment sécuriser les actions critiques ?

Intune MAA (Multi-Admin Approval) renforce la sécurité des actions critiques en imposant une validation croisée entre administrateurs. Le guide détaille...