Parmi les nombreuses annonces surtout orientées Dev et IA, trois sujets retiennent particulièrement mon attention en tant qu’ingénieur / Architecte Modern Workplace : Windows 365 Developer, Microsoft Scout et les nouvelles innovations matérielles Surface. 

Je vais donc vous donner dans cet article quelques infos sur ces nouveautés.

Windows 365 Developer Configuration : le cloud PC pour les développeurs

Un environnement de développement prêt en quelques minutes

L’une des annonces les plus remarquées est l’arrivée de Windows 365 Developer Configuration, actuellement disponible en préversion publique. Microsoft souhaite simplifier la mise à disposition d’environnements de développement complets directement dans le cloud via un cloud PC Windows 365. 

L’objectif principal est clair : permettre aux développeurs de disposer en quelques minutes d’un environnement de développement prêt à l’emploi, géré par Intune et sécurisé sans dépendre du poste physique utilisé. 

Actuellement, les organisations mettent à disposition un poste physique avec des capacités élevées pour répondre aux besoins des développeurs, Windows 365 Developer Configuration pourra donc permettre aux organisations de leur mettre un cloud PC Windows 365 avec le SKU adéquat à disposition pour leur développement et un PC physique à configuration standard.

Parmi les bénéfices annoncés :

• Provisionnement rapide d’environnements de développement standardisés avec un socle applicatif intégré (VsCode, Git, NodeJS) et custom avec l’intégration d’Autopilot Device Preparation
• Intégration native avec GitHub, Azure et les outils Microsoft Developer
• Isolation complète des environnements de travail
• Plus besoin de passer des heures à préparer un environnement de développement

Gouvernance et gestion centralisée

Pour les organisations, cette approche ouvre la voie à une meilleure gouvernance des environnements de développement Windows 365, tout en réduisant les contraintes liées à la gestion des postes locaux. Grâce à l’intégration native avec Microsoft Intune, les équipes IT conservent un contrôle total sur les politiques de sécurité, les applications déployées et la conformité des environnements.

Microsoft confirme ainsi que Windows 365 ne se limite plus au simple poste de travail virtuel : il devient une véritable plateforme cloud pour le développement.

Microsoft Scout : le premier agent Autopilot autonome de Microsoft 365

Un agent autonome qui agit sans être sollicité

Scout est sans doute l’annonce la plus inattendue côté productivité de Microsoft Build 2026. Microsoft a introduit une nouvelle catégorie d’agents qu’il appelle les agents Autopilot : des agents toujours actifs, dotés d’une identité Entra ID propre à eux, capables d’agir en votre nom sans attendre d’être invoqués explicitement.

Scout est le premier agent Autopilot conçu par Microsoft. Contrairement à Copilot qui répond à vos questions, Scout est autonome : il surveille, anticipe et agit en arrière-plan dans l’ensemble des applications Microsoft 365 : Outlook, Teams, OneDrive…

Il pourra par exemple :

• Préparer des réunions
• Générer des synthèses de conversation
• Rechercher des informations dispersées dans plusieurs outils
• Effectuer certaines actions sans intervention humaine

Scout repose sur OpenClaw, le runtime agent open source, et s’intègre avec les politiques Microsoft Purview et Microsoft Intune.

Scout est déjà accessible aujourd’hui via le programme Frontier avec une licence GitHub Copilot. Aucune information n’a été communiquée sur le futur mode de licensing de cet agent, à suivre.

Une configuration est nécessaire pour activer la fonctionnalité via Intune : Configuration de Microsoft Scout via Intune

Gouvernance et contrôle IT : ce que ça implique pour vos équipes

Pour les équipes IT, l’arrivée d’un agent autonome comme Scout soulève des enjeux concrets de gouvernance, de sécurité et de contrôle des données — un sujet déjà abordé dans le cadre du déploiement de Microsoft Copilot. Il sera notamment nécessaire de définir les périmètres d’action de l’agent, les données auxquelles il peut accéder et les actions qu’il est autorisé à effectuer. Les politiques Microsoft Purview et Intune seront vos principaux leviers de contrôle.

Pour en savoir plus : Introducing Microsoft Scout – Blog Microsoft 365

Surface Laptop Ultra et RTX Spark Dev Box : le nouveau hardware IA de Microsoft

Surface Laptop Ultra

Microsoft a dévoilé le nouveau Surface Laptop Ultra, un appareil haut de gamme conçu pour les développeurs, créateurs et utilisateurs intensifs de l’IA. C’est le premier laptop Surface à cibler les développeurs et créateurs qui cherchent une alternative portable Windows au MacBook Pro.

Parmi les caractéristiques marquantes :

• Jusqu’à 128 Go de mémoire RAM unifiée
• Nouvelle puce RTX Spark développée avec NVIDIA
• Écran Mini-LED haute luminosité
• Capacités avancées de traitement IA local
• Optimisation pour les modèles d’IA exécutés directement sur le poste

>> Découvrir le Surface Laptop Ultra

Surface RTX Spark Dev Box

Microsoft a également présenté la Surface RTX Spark Dev Box, une station de travail compacte dédiée aux développeurs IA.

Cette machine cible particulièrement :

• Le développement d’agents IA
• Le prototypage rapide de solutions IA

La Dev Box s’oppose directement au Mac Studio d’Apple sur le marché des workstations compactes hautes performances pour développeurs.

>> Découvrir la Surface RTX Spark Dev Box

Microsoft Build 2026 : ce qu’il faut retenir

Les annonces de Microsoft Build 2026 montrent une stratégie cohérente : permettre aux développeurs de créer des agents IA plus facilement, aux entreprises de les gouverner via Intune et Microsoft Purview, et aux utilisateurs de déléguer une partie croissante de leurs tâches quotidiennes à des agents autonomes comme Scout.

Pour les équipes IT et Modern Workplace, une question se pose désormais : comment préparer dès aujourd’hui son environnement Windows, Intune et Microsoft 365 à accueillir cette nouvelle génération d’agents autonomes ?

Nom du poste, version de l’OS, constructeur, quelques informations générales : suffisant pour une gestion basique, mais loin du niveau de granularité qu’attendaient les équipes Modern Workplace habituées à des outils comme SCCM. Ces mêmes équipes devaient jusqu’alors développer des solutions sur base d’Azure Log Analytics ou Power BI pour espérer obtenir un semblant d’équivalent.

Avec l’arrivée de l’Enhanced Hardware Inventory puis du nouvel App Inventory, Microsoft change clairement la donne et rapproche encore un peu plus Intune d’un véritable outil d’inventaire avancé moderne, et de SCCM.

La fin de l’inventaire Microsoft Intune « minimaliste »

Historiquement, Intune remontait surtout des informations standards :

• Le modèle du poste
• La version Windows
• Les informations de conformité
• Les applications découvertes, de manière assez limitée et à une fréquence trop faible

Le problème ? Pour les équipes IT, cela ne suffisait plus pour répondre à des besoins concrets :

• Identifier précisément un matériel spécifique
• Vérifier des configurations
• Suivre les architectures CPU
• Récupérer des détails applicatifs avancés
• Obtenir des données exploitables rapidement

C’était d’ailleurs l’un des arguments souvent utilisés pour maintenir une infrastructure SCCM en cogestion avec Microsoft Intune. Mais ça, c’est de l’histoire ancienne

Enhanced Hardware Inventory : Intune franchit un premier cap

Vue d’ensemble

Avec l’Enhanced Hardware Inventory, Microsoft introduit une collecte beaucoup plus riche des informations matérielles directement depuis les appareils gérés.

L’objectif est clair : offrir une visibilité détaillée sans dépendre de scripts PowerShell complexes, d’outils tiers, ou d’une infrastructure MECM complète.

Microsoft a d’abord introduit cette fonctionnalité sur Windows avant de l’étendre progressivement à macOS, iOS, iPadOS et Android.

Ce que l’on peut désormais remonter

Grâce au Properties Catalog d’Intune, il est possible de choisir précisément les informations à inventorier. Exemples de données désormais accessibles :

• Informations TPM
• Détails BIOS / UEFI
• Caractéristiques CPU
• Chiffrement BitLocker

Et surtout : les données sont consultables directement dans le Resource Explorer / Device Inventory d’une fiche appareil.

Activation via le Properties Catalog

L’activation repose sur une logique désormais classique dans Intune :

1. Création d’un profil de configuration
2. Utilisation du Properties Catalog
3. Sélection des propriétés souhaitées
4. Déploiement sur les appareils ciblés

Prérequis Windows

Avant de déployer l’Enhanced Hardware Inventory, assurez-vous que vos appareils répondent aux conditions suivantes :

App Inventory : le vrai changement stratégique

Ce que le nouvel inventaire applicatif apporte réellement

La vraie évolution majeure concerne le nouvel App Inventory pour Windows.

Pendant des années, la fonctionnalité Discovered Apps d’Intune souffrait de plusieurs limites : un rafraîchissement lent et des métadonnées très pauvres. Microsoft vient de lancer son remplaçant.

Le nouvel App Inventory collecte bien plus d’informations que l’ancien système. Par exemple :

Information	Disponibilité
Chemin d’installation
Taille de l’application
Date d’installation
Commande de désinstallation

Le tout avec une logique de collecte incrémentielle, afin de réduire la consommation réseau et améliorer la rapidité des remontées, plusieurs fois par jour.

A lire aussi : « Intune : gérer les mises à jour d’applications Windows »

Activation

La fonctionnalité n’est pas active par défaut. Elle s’active au même endroit que l’Enhanced Hardware Inventory, dans le Properties Catalog, en sélectionnant le champ Application properties.

Prérequis Windows

Avant d’activer le nouvel App Inventory, vérifiez que vos appareils respectent les conditions suivantes, plus restrictives que pour l’Enhanced Hardware Inventory :

Pourquoi c’est important pour les équipes IT

Sécurité

• Meilleure visibilité sur les logiciels installés
• Détection plus rapide des applications non autorisées
• Suivi plus précis des versions vulnérables

Gouvernance

• Meilleure connaissance du parc
• Rationalisation des licences
• Suivi des usages

Support

• Diagnostic plus rapide
• Informations centralisées

Intune se rapproche progressivement de MECM

Microsoft ne cache plus vraiment sa stratégie : faire d’Intune une plateforme de gestion moderne capable de couvrir progressivement les usages historiquement réservés à Microsoft Configuration Manager.

Même si certaines limites existent encore :

• Peu de filtrage avancé dans les rapports
• Groupes dynamiques Entra non exploitables avec ces données
• APIs encore incomplètes
• Absence de collecte registre / WMI avancée

La direction prise est néanmoins très claire.

Pour aller plus loin : Passez de SCCM à Intune sans rupture

Conclusion

Avec l’Enhanced Hardware Inventory et le nouvel App Inventory, Microsoft Intune franchit une étape importante dans sa maturité. On passe progressivement d’un inventaire « cloud basique » à une vraie plateforme d’observabilité du poste de travail.

Et surtout, Microsoft répond enfin à un besoin historique des équipes IT : avoir une visibilité détaillée, rapide et centralisée sur leurs appareils… sans dépendre systématiquement d’une infrastructure SCCM complète.

Pour beaucoup d’organisations, cela pourrait devenir un argument supplémentaire pour accélérer la transition vers un modèle full Intune. En tout cas, on l’espère fortement !

Vos questions sur l’inventaire Microsoft Intune

L’App Inventory Intune fonctionne-t-il sur Windows 10 ?

Non. Le nouvel App Inventory est réservé aux appareils Windows 11 joints à Entra ID. Les appareils Windows 10 ne sont pas pris en charge pour cette fonctionnalité.

L’Enhanced Hardware Inventory est-il disponible sur iOS et Android ?

Oui. Microsoft a progressivement étendu l’Enhanced Hardware Inventory à macOS, iOS, iPadOS et Android, après son lancement initial sur Windows.

Ces fonctionnalités nécessitent-elles une licence Intune spécifique ?

Elles sont disponibles dans le cadre des licences Intune standard (Plan 1). Vérifiez toutefois les conditions exactes dans la documentation Microsoft, qui peut évoluer.

Deadline juin 2026 : pourquoi il faut agir immédiatement

Les premiers certificats arrivent à expiration en juin 2026 et d’autres phases d’expiration sont prévues jusqu’en octobre 2026. La mise à jour des certificats Secure Boot peut nécessiter plusieurs redémarrages, ajouté à cela, le redémarrage pour la mise à jour BIOS, c’est donc maintenant qu’il faut agir.

Risques en cas d’inaction sur les certificats Secure Boot

L’absence de mise à jour n’entraîne pas une panne immédiate, mais place les postes dans un état de sécurité dégradé : incapacité d’accepter les futures mises à jour de SecureBoot, incompatibilité progressive avec les mises à jour Windows et exposition accrue aux attaques ciblant la phase de démarrage.

Prérequis incontournable : la mise à jour du BIOS avant les certificats Secure Boot

La mise à jour des certificats Secure Boot nécessite un firmware UEFI compatible. Les constructeurs ont publié les BIOS requis pour la majorité des modèles 2018–2025. La mise à jour BIOS est donc un prérequis incontournable mais souvent sous-estimé. Nous verrons plus bas comment automatiser cette partie.

Les recommandations de Microsoft sur ce sujet « Certificat Secure Boot » sont claires : traitez cela comme un mini projet.

Sur le papier, cela semble assez simple. En pratique ? C’est loin d’être le cas.

Vous ne pouvez pas déployer les nouveaux certificats de démarrage sécurisé tant que votre parc poste de travail n’est pas réellement prêt à les accepter.

C’est là que les problèmes commencent. Car pour cela :

• Vous avez besoin de visibilité sur votre parc d’appareils.
• Vous avez besoin de signaux précis, de remontées d’inventaire.

Inventaire du parc : les questions clés auxquelles vous devez répondre

• Combien d’ordinateurs ont le démarrage sécurisé activé ?
• Combien d’ordinateurs utilisent UEFI mais ont désactivé le démarrage sécurisé ?
• Combien d’entre eux utilisent encore un BIOS non UEFI ?
• Quels appareils utilisent déjà les CA 2023 par rapport à ceux qui utilisent encore celles de 2011 ?
• Quels modèles/gammes d’ordinateurs nécessitent une mise à jour BIOS pour fonctionner correctement avec la chaîne 2023 ?

Sur cette dernière question, les constructeurs ont publié des pages avec des informations utiles :

• LENOVO : https://support.lenovo.com/us/en/solutions/ht518129
• HP : https://support.hp.com/us-en/document/ish_13070353-13070429-16
• DELL : https://www.dell.com/support/kbdoc/en-us/000390990/secure-boot-transition-faq

Option 1 : Inventaire et remédiation des certificats Secure Boot avec Microsoft Intune

Inventaire Secure Boot avec Intune

Le rapport Secure Boot Status dans Intune

Un rapport nommé « Secure Boot Status » est disponible dans le portail Intune : Reports > Windows quality updates > Reports > Secure Boot status

Il offre une vue rapide au niveau de l’appareil, indiquant si le démarrage sécurisé est activé et si les certificats de démarrage sécurisé de l’appareil sont à jour, aidant ainsi les administrateurs informatiques à identifier les machines qui nécessitent la mise à jour du certificat 2023 avant l’expiration des anciens certificats.

Ce rapport permet d’obtenir une vue d’ensemble mais est dépendant notamment des données de télémétrie remontées par les ordinateurs.

Une autre approche est préconisée et Microsoft nous y engage clairement en fournissant les ressources nécessaires : L’utilisation d’un script de remédiation en mode détection pour auditer et répondre à toutes les questions que nous nous sommes posées au début. A ce stade, aucune modification n’est poussée sur les postes.

Vous trouverez le script par ici.

Signaux remontés par le script d’inventaire Secure Boot

Le script remonte notamment les signaux suivants :

• Activation du Secure Boot ou non
• Présence du nouveau certificat Windows UEFI CA 2023
• Version BIOS
• Valeur de la clé UEFICA2023Status : NotStarted / InProgress / Updated qui permet de savoir l’état de la mise à jour de ces certificats.

Les résultats sont exportables en CSV depuis le portail d’administration Intune pour une analyse via Excel ou PowerBI et ainsi faire de jolis tableaux de bord de suivi.

Les données sorties de cet export vous permettront de savoir précisément le pourcentage d’ordinateurs où le démarrage sécurisé est désactivé, ceux qui nécessitent une mise à jour BIOS (même si mon conseil sera de ne pas faire d’exception sur ce point) et ceux où la mise à jour des certificats est déjà faite.

Signaux de conformité : comment savoir si un poste est à jour ?

Les signaux qui montrent qu’un ordinateur est bien conforme vis-à-vis de ces certificats sont :

• Clé de registre UEFICA2023Status = Updated
• Clé de registre UEFICA2023Error = 0
• Event log Event 1808 présent

Remédiation Secure Boot avec Intune

Mise à jour du BIOS via Intune

Vous pouvez utiliser les outils bien connus qui sont pour :

• HP : HP Image Assistant : https://support.hp.com/fr-fr/document/ish_7636715-7671061-16
• Dell : DELL Command Update : https://www.dell.com/support/kbdoc/fr-fr/000177325/dell-command-update

Des outils comme HP Image Assistant permettent la mise à jour du BIOS à distance et gèrent aussi la partie « Bitlocker ». C’est-à-dire que Bitlocker est suspendu automatiquement dans le cadre d’une mise à jour BIOS. Une barrière en moins !

Je vous laisse quelques liens sur cette partie qui peuvent vous être utiles :

• https://developers.hp.com/hp-client-management/blog/using-hp-image-assistant-microsoft-endpoint-manager
• https://scloud.work/hp-driver-intune/
• https://evil365.com/dell/UpdateDriversBIOS-DellCommandUpdate/

Déploiement des certificats Secure Boot 2023 via Intune

Utilisation d’un profil de configuration de type « Settings Catalog »

Le document officiel de Microsoft confirme que le catalogue des paramètres Intune est une méthode entièrement prise en charge pour gérer et contrôler le déploiement du certificat Secure Boot 2023 dans un environnement d’entreprise.

A lire aussi : Configurer la mise à jour des certificats Secure Boot qui expire en 2026 rapidement grâce à Microsoft Intune

Utilisation d’un script ou d’un script de remédiation

Il se peut sur certains environnements que le profil de configuration ci-dessus entre en erreur, dans ce cas, la configuration en utilisant des clés de registre est tout à fait possible.

Je vous invite à jeter un œil à ce repo GitHub qui contient toutes les informations nécessaires.

Comment monitorer la mise à jour des certificats Secure Boot ?

Une fois le paramétrage mis en place, il faut attendre plusieurs redémarrages (2) pour que les certificats soient mis à jour. Vous pouvez monitorer tout cela notamment grâce à des clés de registre ou des événements dans le journal d’événement Windows.

Pour aller plus loin : Evenements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX

Option 2 : Inventaire et remédiation des certificats Secure Boot avec SCCM ou GPO

Inventaire Secure Boot via SCCM

Eh oui, vous qui avez encore du SCCM ou des environnements AD, on ne vous oublie pas

Par contre, pas de rapport magique comme dans Microsoft Intune !

Pour les environnements sans outil de gestion, ça va être compliqué d’avoir un état de parc.

Afin de remonter les ordinateurs où le Secure Boot est actif via SCCM, voici une query :

select SMS_R_System.Name, SMS_G_System_FIRMWARE.SecureBoot, SMS_R_System.SystemOUName from SMS_R_System inner join SMS_G_System_FIRMWARE on SMS_G_System_FIRMWARE.ResourceID = SMS_R_System.ResourceId where SMS_G_System_FIRMWARE.SecureBoot = 1 order by SMS_R_System.Name

Pour remonter les ordinateurs avec la version de BIOS, voici une query :

select SMS_R_System.Name, SMS_G_System_PC_BIOS.Manufacturer, SMS_G_System_PC_BIOS.SMBIOSBIOSVersion, SMS_GH_System_PC_BIOS.BIOSVersion from SMS_R_System inner join SMS_G_System_PC_BIOS on SMS_G_System_PC_BIOS.ResourceID = SMS_R_System.ResourceId inner join SMS_GH_System_PC_BIOS on SMS_GH_System_PC_BIOS.ResourceId = SMS_R_System.ResourceId

Auditer le statut UEFICA2023Status avec SCCM

Pour avoir un statut sur la mise à jour des certificats, vous allez pouvoir vous baser sur l’état de la clé de registre « UEFICA2023Status ».

Vous allez pouvoir faire une extension d’inventaire pour la faire remonter via l’inventaire matériel de SCCM ou utiliser une configuration baseline pour aller auditer la valeur de celle-ci.

Si vous utilisez une configuration baseline, voici un exemple de script PowerShell que vous pouvez utiliser en détection :

$UEFICAStatus = (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name UEFICA2023Status -ErrorAction SilentlyContinue).UEFICA2023Status

Write-Output $UEFICAStatus

Mise à jour du BIOS via SCCM

Pour effectuer la mise à jour BIOS, vous pouvez utiliser les mêmes outils cités au-dessus.

Remédiation Secure Boot via SCCM et GPO

Déclencher la mise à jour des certificats via SCCM

Pour lancer la mise à jour des certificats, vous pouvez utiliser dans SCCM la même configuration baseline qu’au-dessus en y ajoutant en remédiation ces actions :

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Cela permettra de déclencher la mise à jour des certificats si le statut n’est pas conforme à l’attendu.

Déployer la mise à jour des certificats Secure Boot via GPO

C’est possible aussi d’activer la mise à jour des certificats via GPO, je vous invite à suivre ce lien qui vous expliquera la marche à suivre.

Points de vigilance communs à Intune et SCCM

Mettre à jour vos ISO bootables avant juin 2026

Pensez à mettre à jour vos ISO bootables sous peine de ne plus pouvoir les utiliser.

Pour aller plus loin : Mettre à jour les supports d’amorçage Windows pour utiliser le gestionnaire de démarrage signé par le certificat PCA2023

Bitlocker et mise à jour BIOS : rester vigilant

Même si les outils de déploiement, notamment HP, gèrent nativement la partie Bitlocker lors de la mise à jour du BIOS, une vigilance reste de mise.

Activer le Secure Boot sur les postes non conformes

Si des ordinateurs n’ont pas le Secure Boot actif, c’est le moment de mener les actions pour les faire rentrer en conformité.

Expiration des certificats Secure Boot : les dernières informations à retenir

À partir d’avril 2026, l’application « Sécurité Windows » affichera des informations supplémentaires sur l’état des mises à jour des certificats Secure Boot sur les appareils Windows. Cette nouvelle fonctionnalité se trouvera dans Sécurité de l’appareil > Démarrage sécurisé.

Le déploiement de cette information s’effectuera en deux temps et vous retrouverez toutes les informations ici.

Le sujet Windows 365 vs AVD revient systématiquement dans les projets de modernisation du poste de travail. Faut-il choisir Windows 365 ou Azure Virtual Desktop ?

Derrière cette question se cache un enjeu stratégique : comment déployer un pc cloud sécurisé, flexible et économiquement viable pour l’entreprise ?

Travail hybride, prestataires externes, cybermenaces, continuité d’activité… Les organisations ont besoin d’un poste de travail accessible partout, sans compromis sur la sécurité.

Dans cet article complet, nous analysons en profondeur le comparatif entre Windows 365 et AVD, leurs différences, leurs avantages, leurs limites et les clés pour réussir votre projet de PC cloud.

Qu’est-ce qu’un PC cloud ?

Un pc cloud (ou Cloud PC) est un poste de travail Windows entièrement hébergé dans le cloud et accessible via Internet.

Contrairement à un PC physique traditionnel :

• Les ressources (CPU, RAM, stockage) sont exécutées dans un datacenter.
• Les données restent dans le cloud.
• L’utilisateur peut se connecter depuis n’importe quel terminal.

Le pc cloud devient ainsi un levier majeur de sécurisation et de flexibilité.

Pourquoi le PC cloud s’impose dans les entreprises ?

Les entreprises adoptent le pc cloud pour plusieurs raisons :

• Sécuriser l’accès des prestataires
• Standardiser les environnements utilisateurs
• Réduire la dépendance au matériel
• Faciliter le télétravail
• Améliorer la résilience en cas d’incident

C’est dans ce contexte que la comparaison entre Windows 365 et AVD prend tout son sens.

Windows 365 : le PC cloud en mode SaaS

Définition de Windows 365

Windows 365 est une solution SaaS qui fournit un pc cloud personnel dédié à chaque utilisateur.

L’objectif est simple : offrir une expérience Windows persistante, sécurisée et prévisible, sans gestion d’infrastructure complexe.

Chaque utilisateur dispose :

• D’un Cloud PC 1:1
• D’une expérience persistante
• D’un abonnement mensuel fixe

Comment fonctionne Windows 365 ?

Windows 365 repose sur une architecture entièrement gérée par Microsoft :

• Aucun host pool à configurer
• Pas de VM Azure à maintenir
• Provisioning automatisé via Microsoft Intune
• Intégration avec Microsoft Entra ID
• Sécurité Zero Trust intégrée

L’entreprise choisit simplement :

• La taille du Cloud PC (CPU / RAM / stockage)
• Le type de licence
• La stratégie de gestion

Les licences Windows 365

• Windows 365 Business : pour PME (≤300 utilisateurs), déploiement rapide.
• Windows 365 Enterprise : gestion avancée via Intune et Entra ID.
• Windows 365 Frontline Dedidated : optimisé pour équipes en rotation avec Cloud PC dédié mais usage intermittent.
• Windows 365 Frontline Shared : Cloud PC partagé, réinitialisé entre sessions.

Cas d’usage typiques

Dans un comparatif Windows 365 vs AVD, Windows 365 est souvent privilégié pour :

• Prestataires externes sans matériel d’entreprise
• Télétravail sécurisé
• Remplacement rapide en cas de panne
• Environnements de formation
• Déploiements rapides sans équipe Azure experte

Azure Virtual Desktop : la flexibilité avancée

Définition d’Azure Virtual Desktop

Azure Virtual Desktop (AVD) est une plateforme de virtualisation complète dans Microsoft Azure.

Contrairement à Windows 365, AVD donne un contrôle total sur :

• Les machines virtuelles
• Le réseau
• Le stockage
• Les images
• Le multi-session

AVD n’est pas un simple abonnement : c’est une architecture.

Comment fonctionne Azure Virtual Desktop ?

AVD repose sur :

• Host Pools
• Session Hosts (VM Azure)
• Profils utilisateurs via FSLogix
• Infrastructure réseau personnalisable

L’entreprise conserve la responsabilité du dimensionnement, des optimisations et du contrôle des coûts.

Dans le débat Windows 365 vs AVD, Azure Virtual Desktop est la solution la plus flexible.

Le modèle économique d’AVD

Contrairement à Windows 365 (abonnement fixe), AVD fonctionne en consommation Azure :

Les coûts dépendent :

• De la taille des VM
• Du nombre d’heures d’utilisation
• Du stockage
• De la région
• Du mode mono ou multi-session

Sans oublier les optimisations indispensables :

• Autoscaling dynamique
• Multi-session quand possible
• Reserved Instances
• Monitoring continu

AVD est peut-être plus rentable… mais mal optimisé, il peut devenir coûteux.

Quelles différences entre Windows 365 et AVD ?

Voici un comparatif clair pour vous aider à choisir votre pc cloud :

Quand choisir Windows 365 ?

Choisir Windows 365 est particulièrement pertinent lorsque la priorité de l’entreprise est la simplicité de déploiement et la prévisibilité budgétaire.

Windows 365 s’adresse aux organisations qui souhaitent fournir rapidement un pc cloud dédié 1:1, sans avoir à concevoir et maintenir une infrastructure Azure complète. Le modèle SaaS permet un provisionnement rapide, une gestion centralisée via Intune et une expérience utilisateur persistante sans complexité technique avancée.

Cette solution est idéale lorsque :

• Les besoins utilisateurs sont relativement stables dans le temps
• L’entreprise ne dispose pas d’une équipe Azure experte
• La priorité est de maîtriser les coûts grâce à un abonnement fixe
• Il faut équiper rapidement des prestataires, consultants ou filiales
• Le projet nécessite une mise en œuvre rapide avec peu de dépendances techniques

Windows 365 est souvent retenu dans des contextes de télétravail structuré, d’externalisation ou de modernisation progressive du poste de travail.

En résumé, dans le comparatif Windows 365 vs AVD, Windows 365 s’impose lorsqu’on recherche la simplicité, la rapidité et la prévisibilité.

Quand choisir AVD ?

À l’inverse, Azure Virtual Desktop est recommandé lorsque l’organisation a besoin de flexibilité avancée, d’optimisation fine des coûts ou d’architectures spécifiques.

AVD permet de concevoir un environnement totalement personnalisé : choix des machines virtuelles, réseau, stockage, images système, multi-session… Cette granularité offre un contrôle très poussé sur la performance et les dépenses.

Azure Virtual Desktop devient particulièrement pertinent lorsque :

• Les volumes d’utilisateurs fluctuent fortement
• Le multi-session est nécessaire (centres d’appel, équipes support)
• Des applications lourdes ou métiers spécifiques doivent être hébergées
• L’entreprise souhaite optimiser les coûts via autoscaling et consommation réelle
• Une équipe IT Azure est disponible pour piloter l’environnement

AVD est également adapté aux grandes entreprises ayant déjà une stratégie Azure mature et souhaitant intégrer le pc cloud dans une architecture globale (réseau hybride, ExpressRoute, gouvernance avancée).

Dans le duel Windows 365 vs AVD, AVD l’emporte lorsqu’on privilégie la flexibilité, la personnalisation et l’optimisation technique avancée.

Les moyens d’accès au PC cloud

Un avantage majeur du modèle Windows 365 et AVD est l’accessibilité universelle du pc cloud. Les utilisateurs peuvent se connecter depuis presque n’importe quel appareil.

Voici les principaux moyens d’accès :

• Windows App : client moderne multi-plateforme permettant d’accéder aux Cloud PC Windows 365 et aux environnements Azure Virtual Desktop depuis Windows, macOS, iOS, Android ou navigateur web. Il prend en charge l’authentification via Entra ID et les politiques d’accès conditionnel.
• Windows 365 Boot : fonctionnalité de Windows 11 permettant à un appareil de démarrer directement dans son Cloud PC, sans passer par une session Windows locale.
• Windows 365 Switch : intégré à Windows 11, il permet de basculer instantanément entre le poste local et le Cloud PC comme on change de bureau virtuel.
• Windows 365 Link : terminal léger dédié, conçu pour offrir un accès rapide et sécurisé à un Cloud PC Windows 365, sans stockage local ni données persistantes sur l’appareil.

Cette diversité de modes d’accès renforce l’agilité et permet d’adapter le pc cloud aux différents profils utilisateurs : salariés nomades, prestataires, environnements industriels ou postes partagés.

Les dernières évolutions de Windows 365

Ces derniers mois, Windows 365 a fortement évolué pour répondre aux enjeux de sécurité, de continuité d’activité et de flexibilité des entreprises.

Ces nouveautés renforcent encore la pertinence du pc cloud dans les stratégies de modern workplace et viennent compléter les scénarios couverts par Azure Virtual Desktop.

Parmi les évolutions majeures :

• Windows 365 Cloud Apps : possibilité de publier des applications hébergées sur un Cloud PC sans attribuer un PC cloud dédié à chaque utilisateur.
• Support des external identities : accès sécurisé pour des utilisateurs externes sans création systématique de comptes internes temporaires.
• Windows 365 Reserve : mise à disposition d’un Cloud PC temporaire en cas de panne, vol ou cyberattaque.
• Intégration étendue d’Autopilot Device Preparation : amélioration du provisioning pour garantir un environnement prêt et sécurisé dès la première connexion.

Ces évolutions confirment la volonté de Microsoft de faire de Windows 365 une solution mature et stratégique dans les projets de virtualisation du poste de travail.

Comment réussir votre projet de PC cloud avec Windows 365 ou Azure Virtual Desktop ?

Analyser les profils utilisateurs

Le succès d’un projet Windows 365 ou AVD ne dépend pas uniquement du choix entre Windows 365 et Azure Virtual Desktop.

Un projet de pc cloud est avant tout un projet de transformation du poste de travail. Il doit être structuré, piloté et aligné avec les usages réels des collaborateurs.

Voici les étapes clés pour sécuriser votre déploiement.

Tous les utilisateurs n’ont pas les mêmes besoins. Une erreur fréquente consiste à déployer un modèle unique pour toute l’organisation.

Segmentez vos populations :

• Utilisateurs bureautiques standards
• Utilisateurs intensifs (BI, data, CAO)
• Travailleurs en rotation (équipes terrain, retail, industrie)
• Prestataires ou consultants externes
• Développeurs nécessitant des environnements spécifiques

Cette analyse conditionne :

• Le choix entre Windows 365 ou AVD
• Le dimensionnement des ressources
• Le modèle de licence (Business, Enterprise, Frontline)
• L’utilisation éventuelle du multi-session (AVD)

Un bon cadrage évite le surdimensionnement… et les surcoûts.

Lancer un POC représentatif

Avant un déploiement massif, testez votre stratégie que vous choisissiez Windows 365 ou AVD sur un échantillon représentatif :

• Différents métiers
• Différentes contraintes réseau
• Différents niveaux d’exigence applicative

Le PoC permet de valider :

• Les performances perçues
• La latence
• L’expérience utilisateur
• La compatibilité applicative
• Les scénarios d’impression ou d’accès périphérique

Un pilote bien mené réduit drastiquement les risques en production.

Maîtriser et optimiser les coûts dès le départ

Pour AVD :

• Activer l’autoscaling dynamique
• Favoriser le multi-session lorsque pertinent
• Utiliser des Reserved Instances pour les environnements stables
• Surveiller les VM sous-utilisées
• Adapter la taille des machines aux usages réels

Pour Windows 365 :

• Choisir précisément le bon gabarit (CPU / RAM / stockage)
• Exploiter le modèle Frontline pour les équipes en rotation
• Éviter le surdimensionnement systématique

La gouvernance financière doit être intégrée dès la phase de conception.

Anticiper les enjeux réseau et performance

La performance d’un pc cloud dépend fortement :

• De la bande passante
• De la latence
• De la qualité du réseau local
• De la connectivité VPN ou ExpressRoute

Il est essentiel de :

• Tester la latence vers les régions Azure ciblées
• Adapter la localisation des ressources
• Vérifier la capacité des sites distants
• Prioriser le trafic critique

Une mauvaise préparation réseau peut dégrader l’expérience utilisateur.

Sécuriser les accès avec une approche Zero Trust

Un projet pc cloud est aussi un projet de sécurité.

Mettez en place :

• Authentification multifacteur (MFA)
• Accès conditionnel basé sur le contexte
• Restriction par type d’appareil
• Monitoring des connexions suspectes
• Segmentation réseau adaptée (notamment avec AVD)

Le pc cloud doit renforcer votre posture de sécurité, pas l’affaiblir.

Accompagner les utilisateurs au changement

Même si l’expérience reste proche d’un PC traditionnel, certaines habitudes évoluent :

• Sauvegarde native dans le cloud
• Gestion des impressions à distance
• Accès aux périphériques
• Dépendance à la connectivité

Une communication claire et des sessions de formation courtes permettent :

• D’éviter les frustrations
• De limiter les tickets support
• D’améliorer l’adoption

L’expérience utilisateur est un facteur clé de succès.

Mettre en place une gouvernance solide

Un projet Windows 365 AVD ne peut être pérenne sans un cadre de gouvernance clair, permettant de sécuriser les accès, maîtriser les coûts et garantir la stabilité opérationnelle du pc cloud dans le temps. Il faut tenir compte des éléments suivants :

• Gestion des accès conditionnels
• Supervision continue
• Gestion centralisée des mises à jour
• Support IT réactif

Conclusion entre AVD et Windows 365

Le débat entre Windows 365 et AVD ne se résume pas à un simple choix technologique. Il reflète deux approches complémentaires du poste de travail moderne : l’une orientée simplicité et prévisibilité avec Windows 365, l’autre tournée vers la flexibilité et l’optimisation avancée avec Azure Virtual Desktop.

Le pc cloud s’impose aujourd’hui comme un pilier stratégique des environnements IT. Il répond aux enjeux de travail hybride, de sécurisation des accès externes, de continuité d’activité et de résilience face aux incidents. Mais sa réussite ne dépend pas uniquement de la solution choisie. Elle repose sur une analyse fine des usages, une architecture adaptée, une gouvernance solide et une capacité d’optimisation continue.

Windows 365 conviendra aux organisations qui recherchent un déploiement rapide, une gestion simplifiée et une maîtrise budgétaire claire. Azure Virtual Desktop s’adressera davantage aux entreprises souhaitant exploiter toute la puissance et la flexibilité d’Azure pour concevoir des environnements sur mesure.

Dans tous les cas, un projet pc cloud bien structuré devient un véritable accélérateur de transformation : il modernise le poste de travail, renforce la sécurité et offre aux collaborateurs une expérience fluide, accessible partout et cohérente.

Le pc cloud n’est plus une alternative au poste traditionnel ; il en devient l’évolution naturelle.

La gestion des postes de travail Windows connaît une transformation profonde. Télétravail, mobilité, exigences de sécurité accrues et pression réglementaire imposent aux équipes IT une maîtrise fine et continue de leur parc. Dans ce contexte, Intune s’impose comme un socle incontournable du Modern Workplace.

Pourtant, disposer d’un outil de gestion ne suffit plus. Les organisations ont désormais besoin de visibilité, de pilotage et de capacité d’anticipation. Autrement dit, elles ont besoin d’un reporting Microsoft Intune fiable, automatisé et orienté décision.

C’est précisément à ce niveau qu’interviennent Microsoft Graph API et Power BI, en apportant une approche structurée, automatisée et évolutive du reporting Microsoft Intune.

Pour aller plus loin : « 45 minutes pour voir comment unifier son pilotage avec Intune & Power BI »

Les limites des reporting natifs dans Intune

Les environnements de travail modernes sont devenus distribués par nature. Les équipes IT doivent gérer simultanément :

• des postes Windows distants et mobiles,
• des politiques de conformité évolutives,
• des mises à jour fréquentes,
• des exigences fortes en matière de sécurité et de traçabilité.

Sans reporting structuré, cette complexité rend le pilotage du parc approximatif et réactif, là où il devrait être proactif et prédictif.

Microsoft Intune fournit des rapports intégrés, mais ceux-ci sont principalement orientés vers une consultation opérationnelle dans la console. Ils offrent peu de possibilités de personnalisation avancée, d’agrégation transverse ou d’analyse historique.

Dans de nombreux contextes, cela oblige encore les équipes à accéder directement à la console Intune pour obtenir des informations, ce qui limite la diffusion de la donnée et complique la prise de décision à des niveaux non techniques.

Objectifs d’un reporting Intune efficace

Un reporting Microsoft Intune efficace ne doit pas se contenter de restituer des données brutes. Il doit avant tout servir les enjeux opérationnels et décisionnels de l’entreprise.

L’objectif est de centraliser l’information, de la rendre lisible et exploitable, tout en garantissant un haut niveau de sécurité. Un bon reporting doit permettre d’avoir une vision globale de l’état du parc, tout en offrant la possibilité de zoomer sur des indicateurs précis selon les profils utilisateurs.

En effet, un bon dispositif de reporting doit notamment permettre de :

• centraliser les données Intune dans un référentiel unique,
• offrir une vision consolidée et historisée du parc,
• produire des indicateurs lisibles pour différents niveaux de décision,
• limiter l’accès direct à la console d’administration,
• renforcer la gouvernance et la sécurité des accès.

C’est dans cette optique qu’une approche basée sur Power BI et Microsoft Graph API prend tout son sens.

Aller plus loin : Formation de 2 jours sur la gestion avancée d’Intune avec Microsoft Graph API

Architecture de référence pour un reporting Intune automatisé

Pour répondre à ces enjeux, une architecture basée sur les services Azure s’impose naturellement. Elle permet de construire un pipeline de données robuste, sécurisé et maintenable dans le temps.

Chaque composant joue un rôle précis dans la chaîne de valeur du reporting :

• Microsoft Graph API pour l’accès aux données Intune,
• Azure Automation pour orchestrer les extractions,
• Azure Blob Storage pour stocker les données brutes,
• Azure Key Vault pour sécuriser les secrets,
• Managed Identity pour l’authentification sans mot de passe,
• Power BI pour la visualisation et l’analyse.

Cette combinaison permet de bâtir une solution 100 % automatisée, sans dépendance à des comptes techniques exposés.

L’automatisation complète du processus garantit la fiabilité des données dans le temps, tandis que l’utilisation des services natifs Azure permet de s’aligner sur les bonnes pratiques de sécurité cloud, notamment le principe du moindre privilège.

Comprendre Azure Automation, le moteur d’extraction des données Intune

Une fois l’architecture définie, Azure Automation devient le cœur opérationnel du reporting.

Azure Automation exécute des runbooks PowerShell planifiés qui interrogent Microsoft Graph API à intervalles réguliers. Ces scripts récupèrent les données nécessaires, les structurent et les exportent dans des formats exploitables.

Azure Automation est principalement utilisé pour :

• interroger Graph API sur les objets Intune ciblés,
• structurer les données (terminaux, conformité, applications),
• générer des fichiers CSV,
• déposer automatiquement les exports dans Azure Blob Storage.

La planification des runbooks permet de garantir une mise à jour régulière des indicateurs. Les logs d’exécution facilitent le suivi, le diagnostic et l’amélioration continue des scripts.

Microsoft Graph API pour exploiter les données Intune

Accéder à des données détaillées et exploitables

Microsoft Graph API est le point d’entrée unifié vers l’écosystème Microsoft. Dans le cadre du reporting Intune, son usage est incontournable.

Graph API permet d’extraire des informations fines sur :

• les appareils gérés,
• leur état de conformité,
• les politiques MDM appliquées,
• les applications déployées,
• les niveaux de mise à jour Windows.

Cette granularité permet de dépasser largement les capacités de reporting offertes par la console Intune.

Adapter les permissions aux besoins réels

Les permissions Graph API doivent être soigneusement sélectionnées en fonction des données à collecter. L’utilisation de permissions applicatives, associées à une Managed Identity, permet d’appliquer strictement le principe du moindre privilège.

Sécuriser l’architecture avec Managed Identity et Azure Key Vault

Authentification sans secrets grâce aux Managed Identities

La sécurité est un pilier fondamental de toute architecture de reporting, en particulier lorsque des données liées aux postes de travail sont manipulées.

La Managed Identity permet à Azure Automation de s’authentifier automatiquement auprès de Microsoft Graph et des ressources Azure, sans stocker de mot de passe ni de secret applicatif. Cette approche réduit fortement les risques de compromission.

Gestion centralisée des secrets avec Azure Key Vault

Lorsque certaines clés sont nécessaires, notamment pour l’accès au stockage depuis Power BI, Azure Key Vault permet de centraliser les secrets, contrôler finement les accès et d’appliquer des politiques de rotation.

Stocker et organiser les données Intune dans Azure Blob Storage

Une fois extraites, les données doivent être stockées de manière structurée pour être exploitées efficacement dans Power BI.

Azure Blob Storage offre une solution économique, hautement disponible et parfaitement intégrée à l’écosystème Azure. Il permet également de conserver un historique des données, indispensable pour l’analyse dans le temps.

Pour garantir la lisibilité et la maintenabilité du reporting, il est recommandé de :

• adopter un nommage horodaté des fichiers,
• séparer les données par type (devices, apps, conformité),
• mettre en place des règles de rétention,
• activer le Soft Delete pour prévenir les suppressions accidentelles.

Connecter les données à Power BI

C’est dans Power BI que les données prennent réellement de la valeur pour les équipes IT et les décideurs.

Power BI Desktop se connecte directement à Azure Blob Storage pour importer les fichiers CSV. Les données sont ensuite nettoyées, transformées et enrichies via Power Query afin d’obtenir un modèle cohérent et fiable.

Les tableaux de bord Power BI permettent de restituer les indicateurs sous forme visuelle, claire et interactive, facilitant la lecture et la prise de décision, même pour des profils non techniques.

Modéliser les données Intune

Avant de produire des visualisations, la modélisation des données joue un rôle déterminant.

La séparation entre tables de faits et tables de dimensions permet :

• d’améliorer les performances des rapports,
• de simplifier la création des visuels,
• de faciliter l’évolution du modèle dans le temps.

Une modélisation propre et cohérente réduit la dette technique et permet d’adapter le reporting à de nouveaux besoins sans refonte complète.

Choisir ses KPI

Un reporting Intune pertinent repose sur des indicateurs alignés avec les enjeux IT et métiers.

Parmi les indicateurs les plus fréquemment suivis, on retrouve :

• le taux de conformité des terminaux,
• le niveau de mise à jour Windows,
• la répartition par OS et par version,
• le taux de succès des déploiements applicatifs,
• le nombre d’appareils inactifs.

Ces KPI offrent une vision synthétique de l’état du parc et permettent d’anticiper les risques avant qu’ils n’impactent les utilisateurs ou la sécurité.

Gouverner l’accès aux rapports Power BI

La diffusion des rapports Power BI constitue une étape sensible du reporting Microsoft Intune. Les tableaux de bord contiennent souvent des informations critiques sur l’état de sécurité, la conformité ou l’exposition du parc, et doivent donc être accessibles uniquement aux personnes habilitées.

Power BI propose des mécanismes de gouvernance adaptés à ces enjeux, notamment à travers le Row-Level Security (RLS). Cette fonctionnalité permet de restreindre dynamiquement l’accès aux données en fonction du profil de l’utilisateur. Un responsable de service peut, par exemple, n’accéder qu’aux terminaux de son périmètre, tandis qu’une équipe centrale conserve une vision globale.

Cette approche évite la multiplication des rapports par population ou par entité, tout en garantissant un cloisonnement strict de la donnée. Elle s’inscrit pleinement dans une logique de gouvernance moderne, où la donnée est partagée de manière contrôlée, cohérente et sécurisée, sans compromettre la lisibilité ni la performance des rapports.

Industrialiser le reporting avec un pipeline Power BI

Pour qu’un reporting Intune soit réellement pérenne, il doit dépasser le cadre d’un tableau de bord isolé ou ponctuel. L’industrialisation du reporting passe par l’adoption d’une démarche structurée, inspirée des pratiques DevOps, appliquée aux rapports Power BI.

Les pipelines de déploiement Power BI permettent de gérer le cycle de vie complet des rapports à travers différents environnements, généralement développement, test et production. Cette organisation garantit que les évolutions sont testées, validées et maîtrisées avant d’être mises à disposition des utilisateurs finaux.

Au-delà de la simple mise en production, cette approche apporte de la traçabilité, réduit les risques d’erreur et facilite la collaboration entre équipes IT et métiers. Elle permet également d’aligner le reporting sur les standards de qualité et de gouvernance attendus dans des environnements IT matures, où la donnée devient un actif stratégique à part entière.

Conclusion sur les reporting Power BI dans Intune

Mettre en place un reporting Microsoft Intune automatisé avec Power BI et Microsoft Graph API permet de transformer des données techniques en véritables outils de pilotage. Cette démarche apporte une visibilité accrue, renforce la gouvernance et améliore la capacité des équipes IT à anticiper les risques.

Au-delà du reporting, il s’agit d’un levier de maturité pour le Modern Workplace, aligné avec les exigences actuelles de sécurité, de performance et de décision.

Cette année, une tendance majeure se confirme, l’IA ne se limite plus à Copilot, elle devient agentique. Autrement dit, ce sont des agents Copilot qui automatiseront et sécuriseront nos environnements Microsoft 365, Intune ou encore Entra ID.

L’événement a encore été riche en annonces dans tous les domaines mais nous allons nous concentrer sur les annonces majeures liées au domaine du Modern Workplace en débordant un peu sur Windows et M365.

Microsoft Ignite 2025 : l’intelligence artificielle arrive dans Microsoft Intune

Microsoft a profité d’Ignite 2025 pour dévoiler une nouvelle vision d’Intune : l’IA et les agents Copilot deviennent des piliers de cet outil de gestion.

Quels sont les objectifs de cette nouveauté liée à l’IA ?

Les objectifs sont simples :

• Simplifier la vie des administrateurs
• Renforcer la sécurité
• Automatiser les tâches les plus chronophages

Qui aura accès à cette fonctionnalité ?

Ces expériences d’IA seront accessibles à encore plus de professionnels avec l’annonce de l’intégration de Security Copilot dans le bundle Microsoft 365 E5. C’est une des grosses annonces de cet événement !

Cela va permettre de démocratiser l’accès à Security Copilot pour les organisations qui utilisent ce bundle et elles sont nombreuses.

Le déploiement de Security Copilot a commencé pour les clients disposant du bundle E5 et se poursuivra dans les mois à venir, vous serez averti 30 jours avant activation.

Plus d’infos sur cette annonce : https://www.microsoft.com/en-us/security/blog/2025/11/18/agents-built-into-your-workflow-get-security-copilot-with-microsoft-365-e5/

Les 3 agents Copilot qui vont faire leur apparition dans Microsoft Intune

Microsoft enrichit Intune avec trois nouveaux agents Copilot conçus pour automatiser les tâches récurrentes, renforcer la conformité et optimiser la sécurité opérationnelle. Ces agents agissent directement au cœur des processus d’administration pour rendre chaque action plus fiable, plus rapide et plus simple.

Vous pouvez les retrouver (sous réserve d’avoir la licence adéquate) en version preview dans la partie « Agents » sur le côté gauche de votre console d’administration Intune.

Aussi, le chat Copilot facilite le travail au quotidien en vous donnant des conseils et des recommandations exploitables, simplement en utilisant un langage naturel. Vous pouvez gérer tous les terminaux, y compris les PC Cloud Windows 365, directement depuis le chat.

Il est possible d’interroger les données venant d’Intune avec des requêtes simples et de les visualiser. Les types de données analysés par Copilot évoluent sans cesse avec dernièrement l’arrivée des données venant notamment d’Autopilot ou de EPM.

Plus d’infos en suivant ce lien : https://techcommunity.microsoft.com/blog/microsoftintuneblog/whats-new-in-microsoft-intune-at-ignite/4471043

Microsoft Ignite 2025 : les évolutions majeures de Windows 11

Nouvelles options de récupération pour Windows 11

Microsoft a fait un énorme travail sur les fonctionnalités de récupération des postes de travail Windows en les rendant plus disponibles et exploitable que ce soit sur site, au bureau ou à distance, par exemple au domicile d’un collaborateur.

On va parler ici de 4 fonctionnalités :

Toutes ces options permettront forcément aux équipes IT de gagner en agilité et efficacité en cas d’incident impactant les postes des utilisateurs.

Quelques infos sur cette partie : Windows Recovery and Remediation for Quick Machine Recovery

Nouveautés Windows 11 (IA et sécurité)

Windows 11 poursuit son évolution en intégrant nativement davantage de capacités d’IA et de sécurité.

Pour les bénéficiaires de PC Copilot +, on retiendra notamment :

On va terminer en faisant un tour coté virtualisation des postes de travail.

Microsoft Ignite 2025 : les nouveautés pour AVD et Windows 365

Microsoft Ignite 2025 apporte plusieurs évolutions majeures pour AVD et Windows 365, avec un objectif commun : renforcer la flexibilité d’accès, améliorer la sécurité et simplifier la gestion des environnements de travail virtuels. Ces nouveautés étendent les usages possibles, facilitent l’accueil d’utilisateurs externes et offrent de nouvelles garanties en matière de protection et de continuité d’activité.

Conclusion sur les annonces de la Microsoft Ignite 2025

Comme vous pouvez le voir, ces 3 jours ont été riches en annonces et ceux sur tous les domaines.

Si vous êtes curieux de découvrir les autres nouveautés, Microsoft a condensé le tout dans le Book Of News que vous pouvez trouver ici : Microsoft Ignite 2025 Book of News

De mon côté, j’ai hâte de pouvoir découvrir d’un peu plus près les nouveautés liées à Intune et Windows que j’ai pu vous exposé juste au-dessus et on vous en parlera sans doute sur des webinars prévus sur l’année 2026. Stay tuned 

Microsoft vient d’annoncer un changement majeur dans la gestion de Configuration Manager (SCCM) : à partir de septembre 2026, une seule version principale sera publiée chaque année, contre deux actuellement. Cette mise à jour sera essentiellement liée à la sécurité et la stabilité du produit : aucune innovation n’est à attendre sur SCCM. 

Ce n’est donc pas juste un ajustement, c’est un signal fort envoyé à tous.  

Le modèle traditionnel de gestion des postes (AD / SCCM) n’est clairement plus à privilégier, tandis que le modern management, porté par Intune et Entra ID, devient le cœur des investissements et des innovations pour les années à venir !  

Intune n’est plus l’alternative, c’est désormais la trajectoire à privilégier pour vos projets liés à la gestion des terminaux et cela vous aidera à répondre aux enjeux forts de sécurité et de mobilité. Le modern management n’est plus une tendance mais doit devenir la norme. 

Retour vers l’annonce de Microsoft à ce sujet : Announcing the Annual Release Cadence for Microsoft Configuration Manager | Microsoft Community Hub 

Pourquoi migrer vers une gestion moderne avec Microsoft Intune ?

La gestion des postes de travail a profondément évolué ces dernières années. 
Entre le travail hybride, la montée du cloud, la sécurité désormais devenue obligatoire et la diversité des appareils (Windows, macOS, mobiles…), les méthodes traditionnelles comme les GPO et SCCM montrent clairement leurs limites. 

C’est là qu’intervient Microsoft Intune, la brique centrale de la gestion moderne des postes de travail (Modern Management) couplé à Microsoft Entra ID. Mais qu’est-ce que cela change vraiment, et pourquoi tant d’entreprises franchissent aujourd’hui le pas ?

Microsoft investit massivement dans Intune, et cela se reflète dans :

• L’innovation continue : mises à jour mensuelles, intégration de Copilot for Security, automatisation via Graph API. 
• La gestion multiplateforme : Windows, macOS, iOS, Android, un peu de Linux… tout est couvert. 
• La simplification de l’infrastructure : plus besoin de serveurs locaux, de VPN ou de GPO complexes. C’est donc aussi une source d’économie. 
• La sécurité intégrée : hardening, conformité, protection des données, accès conditionnel, Defender for Endpoint. 
• L’expérience utilisateur moderne : déploiement zero touch (Autopilot), support à distance. 

La gestion moderne, une gestion centrée sur l’utilisateur et le cloud

La gestion moderne repose sur une logique inverse à la gestion traditionnelle (AD/SCCM) :

• On ne gère plus un poste à travers le réseau interne, mais à travers l’identité et le cloud.
• L’authentification passe par Entra ID.
• La gestion des appareils et des applications se fait via Microsoft Intune.
• Le déploiement initial est automatisé via Windows Autopilot.
• Les politiques de sécurité sont dynamiques et s’appliquent quel que soit l’endroit où se trouve l’utilisateur et à un rythme régulier.

Exemple :

Un nouvel employé reçoit un ordinateur neuf.
Dès qu’il le démarre et se connecte avec son compte Microsoft 365, le PC s’enrôle automatiquement dans Intune, récupère la configuration, les applications et les politiques de sécurité.
Aucune image, aucun VPN, aucun passage par le service IT.

C’est ce qu’on appelle le Modern Workplace.

Les avantages concrets d’une gestion moderne avec Intune

Adopter Microsoft Intune, ce n’est pas seulement changer d’outil : c’est transformer en profondeur la façon dont les postes sont déployés, sécurisés et administrés. Voici les principaux atouts du modern management :

Simplification du déploiement

La première étape vers une gestion moderne, c’est la simplification du déploiement des postes. Microsoft Intune et Windows Autopilot transforment complètement cette phase souvent chronophage pour les équipes IT :

• Windows Autopilot remplace l’imaging traditionnel.
• Plus besoin de maintenir des images customisées, drivers packs etc.
• Les paramètres, applications et politiques sont appliqués dynamiquement à l’enrôlement.
• Les nouveaux employés peuvent recevoir un PC directement chez eux, prêt à l’emploi. Plus besoin de l’IT.
• Gain de temps avec la réduction du délai de mise en service de plusieurs jours à quelques heures.

Sécurité renforcée

La sécurité est au cœur du modern management. Intune permet d’appliquer automatiquement des politiques de protection et de conformité, garantissant un niveau de sécurité homogène sur l’ensemble du parc :

• Intune applique automatiquement des politiques de sécurité et de mise à jour.  
• Chiffrement des données avec BitLocker et Personnal Data Encryption.
• Activation de LAPS pour protéger et sécuriser le compte administrateur local.
• Activation de Windows Hello pour protéger l’identité de l’utilisateur sur son poste.
• Gestion des mises à jour avec Windows Update for Business voire Autopatch.
• Mise en place du hardening en conformité avec le CIS en utilisant les security baseline intégrés.
• Mise en place de règles d’accès conditionnel pour contrôler l’accès au SI selon : l’identité de l’utilisateur, l’état de l’appareil ou son niveau de risque. 
• Si vous avez les licences > Intégration native avec Microsoft Defender for Endpoint : l’appareil non conforme peut être isolé ou bloqué automatiquement. 

C’est la mise en œuvre concrète du modèle Zero Trust.

Flexibilité et mobilité

La gestion moderne s’adapte aux nouveaux modes de travail hybrides. Avec Intune, les collaborateurs peuvent travailler en toute sécurité, où qu’ils soient et depuis n’importe quel appareil :

• Gestion unifiée de tous les appareils : Windows, macOS, iOS, Android. 
• Support des appareils BYOD (personnels) via des politiques MAM (Mobile Application Management). 
• Les collaborateurs peuvent travailler depuis n’importe où, avec un accès sécurisé et fluide. 

L’IT devient facilitateur plutôt que gendarme.

Réduction des coûts et de la complexité

Au-delà des aspects techniques, la gestion moderne a un impact direct sur les coûts et l’efficacité opérationnelle. En centralisant la gestion dans le cloud, Intune réduit considérablement la complexité de l’infrastructure :

• Moins de serveurs locaux à entretenir (SCCM, WSUS, AD). 
• Moins de scripts et d’interventions manuelles. 
• Une seule console cloud pour gérer tout le parc. 
• Administration plus rapide, reporting intégré avec possibilité de l’améliorer grâce à Graph API et PowerBI.

Intune et Entra ID apportent une vision centralisée, sécurisée et évolutive du parc.

Comment préparer la migration vers Intune

Migrer vers Intune, c’est un projet à part entière avec des étapes à ne pas négliger. En voici un résumé :

Evaluer l’existant

Avant toute migration vers Intune, il est indispensable de réaliser un état des lieux complet de votre environnement actuel pour identifier les dépendances et les points de vigilance :

• Inventaire complet des appareils et de leurs dépendances : OS, applis et GPO. 
• Analyse des dépendances à l’environnement PDT : AD, VPN, scripts, outils internes. 
• Cartographie des utilisateurs et de leurs usages (fixes, mobiles, hybrides). 
• Vérification de l’intégration actuelle avec Entra ID pour la partie identité. 

Objectif : identifier ce qui peut être migré, remplacé ou supprimé.

Choisir le mode de transition

Une fois l’analyse réalisée, il est temps de définir la stratégie de bascule vers la gestion moderne. Deux approches principales s’offrent à vous, selon votre niveau de maturité et votre contexte technique :

Co-management (SCCM + Intune)

Le mode co-management permet de faire coexister SCCM et Intune sur une même période. C’est une approche progressive qui offre le temps de tester, d’ajuster et de transférer les charges de travail vers Intune sans perturber la production :

• Les appareils restent gérés par SCCM, mais certaines charges (mises à jour, déploiement d’applications, conformité) peuvent être basculées progressivement vers Intune.
• Ce modèle facilite la transition tout en limitant les risques liés à un changement brutal.
• Il nécessite toutefois une configuration hybride (Hybrid Azure AD Join) et une synchronisation entre les environnements locaux et cloud.

Le co-management peut sembler une passerelle idéale vers Microsoft Intune pour les utilisateurs venant de SCCM mais apporte un niveau de complexité liés notamment à l’hybridation qu’il ne faut pas négliger. Il faut retenir que c’est un chemin vers le modern management et pas une finalité.

Cloud native

L’approche cloud-native s’adresse aux environnements modernes souhaitant se libérer totalement de l’infrastructure locale. Elle offre une gestion simplifiée, agile et parfaitement intégrée à l’écosystème Microsoft 365 :

• Pour les nouveaux appareils ou lors d’un replace / refresh 
• Azure AD Join + Intune direct via Autopilot. 
• Moins d’infrastructure, plus d’agilité.

Pourquoi pas profiter d’un changement de parc, d’un remplacement de poste ou d’une remasterisation pour le basculer à la cible cloud-native ?

Intune et Entra ID : préparer l’environnement et bâtir le socle

Avant de déployer massivement, il est essentiel de poser des fondations solides. La préparation de l’environnement Intune et Entra ID permet d’assurer la cohérence, la sécurité et la fiabilité de votre dispositif :

• Acheter et configurer les licences adéquates : Intune Plan 1/2 ou Microsoft 365 E3/E5. Il y a plusieurs plans de licences qui intègrent Intune.  
• Créer des groupes dynamiques (appareils Windows 11, utilisateurs Finance…). 
• Packager vos applicatifs 
• Mettre en place les profils de configuration (Hardening, sécurité paramètres Windows, Wi-Fi, VPN, restrictions) et configurer Windows Update for Business.  
• Activer et configurer Autopilot pour automatiser le déploiement. 
• Définir les politiques de conformité : OS à jour, BitLocker, antivirus, etc 
• Configurer les accès conditionnels pour lier sécurité et conformité. 

Lancement d’un pilote

Une phase pilote bien menée est la clé d’une migration réussie. Elle permet de tester en conditions réelles, de recueillir les retours des utilisateurs et d’ajuster les paramètres avant le déploiement global :

• Sélectionner un groupe pilote (10 à 50 utilisateurs). 
• Tester les configurations, le déploiement d’applications et la conformité. 
• Collecter les retours via un canal Teams ou un formulaire. 
• Ajuster les politiques et la documentation avant le grand déploiement global. 

Un pilote réussi = une migration sans problème.

Ensuite on étend le déploiement progressivement, tout en ne négligeant pas les aspects communication et accompagnement aux changements auprès des équipes IT notamment. Une migration bien planifiée peut s’étaler sur plusieurs mois selon la taille de votre parc. Les KPI présentes dans le portail Intune vous permettront de suivre ce déploiement.

Optimisation et maintien en conditions opérationnelles

Une fois la migration déployée, le travail ne s’arrête pas. L’optimisation continue et le maintien en conditions opérationnelles garantissent la performance, la conformité et la pérennité de l’environnement :

• Suivre la conformité de votre parc en continu. 
• Automatiser le nettoyage des appareils inactifs. (Penser à mettre en place des actions d’automatisation pour nettoyer aussi Entra ID) 
• Mettre à jour régulièrement les profils et politiques selon vos besoins.
• Former les équipes IT et le support à ces nouveaux outils, nouvelles méthodes.

Réussir sa migration vers Intune : évitez ces erreurs courantes

Pour protéger vos utilisateurs et sécuriser votre parc, il est important de connaître les erreurs fréquentes qui peuvent survenir lors d’un projet de migration vers Intune, à savoir :

• Négliger l’analyse initiale : les dépendances non identifiées (scripts, GPO, applis locales) bloquent souvent la migration. 
• Vouloir tout migrer d’un coup : mieux vaut un déploiement progressif  
• Oublier la communication interne : tout le monde doit comprendre les bénéfices de cette gestion moderne 
• Sous-estimer la sécurité : c’est primordial  ! 
• Ignorer la formation des équipes : une équipe non formée limitera le succès de la modernisation.

Conclusion

Migrer vers une gestion moderne avec Intune et Entra ID, c’est bien plus qu’un simple projet technique. C’est une évolution stratégique vers une IT plus agile, sécurisée et centrée sur l’expérience utilisateur. 

La question n’est plus “Faut-il migrer vers Intune ?” mais “Quand et comment bien le faire ? ». Vous avez toutes les clés pour bien réussir votre projet 

Pensée pour renforcer le contrôle des actions sensibles comme le déploiement d’applications, de scripts, voire le lancement d’action critiques comme un remote wipe, cette approche impose une validation croisée entre administrateurs avant toute modification critique.

Cette fonctionnalité existe déjà depuis quelques temps dans Intune mais a évolué dernièrement. Le moment idéal pour refaire un tour d’horizon du MMA au travers d’un article 

Quels sont les objectifs du Multi Admin Approval dans Intune ?

Le Multi Admin Approval dans Intune apporte plusieurs bénéfices pour renforcer la sécurité et le pilotage des environnements IT.

Parmi les principaux avantages :

• Prévenir les erreurs humaines : Un administrateur peut, par inadvertance, déployer une application défaillante ou un script mal configuré. Grâce à MAA, vous imposez une validation par un pair avant le lancement du déploiement.
• Limiter les risques en cas de compromission : Si un compte admin est compromis, l’attaquant ne pourra pas déployer un ransomware ou désactiver une protection sans approbation d’un autre administrateur.
• Renforcer la gouvernance : Grâce aux journaux d’audit, MAA permet de tracer les décisions critiques, ce qui peut être essentiel en cas d’audit.
• Encourager la collaboration : Les équipes IT doivent se coordonner pour valider ensemble les actions sensibles, ce qui améliore la communication entre elles et la transparence.

Lire aussi : Zero Trust : comment sécuriser les appareils avec Intune ?

Multi Admin Approval : quelles actions peuvent être protégées dans Intune ?

Les politiques MAA permettent aujourd’hui de sécuriser plusieurs types d’actions :

• Le déploiement d’applications,
• Le déploiement de scripts PowerShell,
• Les actions sur l’appareil comme un effacement ou une suppression de la console,
• La création de politiques d’accès MAA,
• La gestion des rôles via RBAC.

Les stratégies de configuration et de conformité ne sont pas encore prises en charge mais on peut penser que cela sera le cas dans un futur proche (je l’espère et cela serait logique ).

Les bonnes pratiques avant la mise en place d’Intune Multi Admin Approval

Avant de voir comment mettre en place cette fonctionnalité, quelques tips à savoir :

• Intune n’envoie pas d’alertes lorsqu’une nouvelle demande est créée ou lorsqu’une demande existante change de statut. Par conséquent, si vous soumettez une demande urgente, il est préférable d’en informer directement un approbateur.
• Vous pouvez toujours suivre vos demandes dans le centre d’administration Intune.
• S’il existe déjà une approbation en attente pour un objet, vous ne pouvez pas soumettre une autre demande tant que celle-ci n’est pas résolue.
• Chaque étape du processus de demande et d’approbation est enregistrée dans les journaux d’audit Intune.

Comment fonctionne le processus d’approbation ?

Lorsqu’un administrateur modifie ou crée un objet protégé par une politique MAA, une justification (la raison de la modification) lui est demandée lors de la création de celui-ci. Cette justification est incluse dans la demande d’approbation.

Pour les demandeurs

Après avoir soumis une demande, vous pouvez la suivre dans le centre d’administration Intune sous Administration des locataires > Approbation multi-administrateurs > Mes demandes.

Pour les approbateurs

Ils accèdent à la page Demandes reçues, où ils voient les demandes en attente, ainsi que des détails tels qui les a soumises, quand et de quel type de modification il s’agit.

À partir de là, l’approbateur :

• Clique sur le lien Justification pour voir les détails indiqués par le demandeur,
• Peut ajouter des notes,
• Choisit d’approuver ou de rejeter la demande.

En cas de rejet, la justification est partagée avec le demandeur afin qu’il en connaisse les raisons.

Quand le demandeur est aussi approbateur

Si une personne est à la fois demandeur et approbateur, elle verra toujours sa demande dans la section « Demandes reçues », mais ne pourra pas approuver ses propres modifications.

Processus post-approbation

Lorsqu’une modification est approuvée, Intune la traite et met à jour l’objet. Pendant le traitement, le statut est « Approuvé ». Le demandeur initial doit ensuite cliquer sur « Terminer » pour lancer la modification. Une fois la modification effectuée, le statut passe à « Terminé ».

Les statuts restent actifs pendant 30 jours. Si rien ne se passe pendant ce temps, la demande expire et doit être soumise à nouveau.

Comment mettre en place la politique Multi Admin Approval dans Intune ?

Prérequis pour la configuration

Pour utiliser l’approbation multi-administrateur, vous devez posséder au moins deux comptes d’administrateur. Un compte est utilisé pour créer les stratégies, le deuxième pour les approuver.

Pour créer une access policy, vous devez posséder le rôle « Intune Administrator » ou avoir le rôle approprié avec les permissions « Multi Admin Approval ».

Le compte de l’administrateur doit faire partie du groupe d’approbation pour être en mesure d’approuver la stratégie ciblée.  Ce même groupe d’approbation doit aussi être membre d’un ou plusieurs rôles Intune.

Mise en place d’une access policy en quelques clics

Voilà c’est prêt  C’est cette policy qui permettra de placer le mécanisme d’approbation.

Les actions liées aux objets ciblés dans cette politique sont désormais sécurisées au sein de votre tenant Intune.

Process de justification et d’approbation d’une demande de modification d’un objet sécurisé

Bon à savoir et rappel : Intune n’envoie pas de notifications aux approbateurs lorsque de nouvelles demandes sont créées, ni au demandeur lorsque le statut d’une demande existante change.

Conclusion : pourquoi adopter le Multi Admin Approval dans Intune ?

La fonctionnalité Multi-Admin Approval marque une avancée majeure dans la sécurisation des actions effectuées dans Microsoft Intune. En imposant une validation croisée entre administrateurs, elle réduit considérablement les risques liés aux erreurs humaines ou aux actions malveillantes.

Adopter cette fonctionnalité, c’est faire le choix d’un pilotage plus rigoureux et collaboratif de son infrastructure Intune.

L’absence d’alerte lorsqu’une demande est en attente peut être un frein à sa mise en place, mais elle peut probablement être automatisée ; une piste à explorer prochainement ! (Peut-être même que Microsoft l’a en visu )

Pour plus d’infos, lien vers la documentation Microsoft : https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/multi-admin-approval

Cette nouveauté dans l’expérience OOBE avait été évoquée il y a quelques mois mais reportée à la suite de retours d’ingénieurs Modern Workplace, qui demandaient plus de contrôle sur le paramétrage (auparavant limité à un simple ON/OFF).

Nouveauté avec Autopilot : installation des mises à jour dès l’OOBE

C’est désormais chose faite : la fonctionnalité est activable ou non, et la prise en charge de vos rings de mise à jour est possible. Il suffira pour cela d’assigner, sur votre groupe Entra ID contenant vos postes Autopilot, le profil Windows Update for Business adéquat.

Le paramétrage de l’expérience OOBE sera disponible à partir de la mise à jour Windows de septembre 2025. Il faudra peut-être patienter quelques jours au au moment où vous lisez cet article !

L’activation de cette nouvelle fonctionnalité permettra de :

• Renforcer la sécurité dès la livraison du poste de travail à l’utilisateur en lui fournissant un poste sans retard de mise à jour.
• Améliorer l’expérience utilisateur, l’utilisateur n’aura pas un redémarrage supplémentaire pour l’application des mises à jour après la livraison de son poste.

Quels sont les prérequis pour utiliser cette fonctionnalité OOBE ?

Pour activer cette nouveauté, vous devez :

• Disposer de Windows 11 version 22H2 ou ultérieure avec les éditions Pro, Enterprise ou Education.
• Utiliser Microsoft Intune pour gérer les mises à jour de qualité Windows.
• Utiliser Windows Autopilot avec un profil ESP (Enrollment Status Page).
• Installer l’une des mises à jour requises suivantes :
  • Mise à jour OOBE zero-day patch (ZDP) d’août 2025.
  • Mise à jour non liée à la sécurité de juin 2025 ou ultérieure.

Comment configurer Windows Autopilot dans Microsoft Intune ?

La configuration est simple :

• Rendez-vous dans votre profil ESP
• Vous trouverez le paramétrage « Install Windows Quality updates »…

• Sur les profils existants, le paramétrage sera mis à « NO »
• Si vous voulez que les mises à jour s’installent automatiquement, basculez sur « YES » et sauvegardez le profil.

Comme indiqué plus haut, si vous avez des contraintes particulières au niveau paramétrage Windows Update (Par exemple une deferral period), n’oubliez pas d’affecter le même groupe Entra ID des deux cotés (ESP et Ring Windows Update), celui-ci sera pris en compte.

Windows Autopilot : quels impacts sur l’expérience utilisateur ?

L’appareil va lancer une analyse Windows update au niveau de la dernière page de l’OOBE et installer toutes les mises à jour disponibles en prenant en compte vos paramétrages Windows Update for Business.

L’utilisateur aura donc un poste sécurisé dès son premier login et c’est là tout l’intérêt de cette fonctionnalité 

Conclusion : Windows Autopilot, un atout sécurité pour vos environnements IT

Même si le temps de préparation est légèrement plus long, l’activation de cette fonctionnalité dans la phase OOBE dans Windows Autopilot est un choix stratégique dans un contexte où la sécurité est primordiale.

En livrant des postes déjà à jour et sécurisés, vos équipes IT gagnent en efficacité et vos utilisateurs profitent d’une expérience fluide dès leur première connexion.

Retour sur l’annonce officielle de Microsoft : Get ready for Windows quality updates out of the box – Windows IT Pro Blog

Apple a récemment annoncé une mise à jour majeure lors de sa Worldwide Developers Conference 2025 qui résout l’un des plus gros maux de tête des administrateurs : la migration des appareils macOS et iOS/iPadOS d’une solution de gestion des appareils mobiles (MDM) à une autre sans réinitialisation d’usine, sans réinscription manuelle ou perte de configuration.

A savoir sur cette nouvelle fonctionnalité :

• Elle est directement intégrée à Apple Business Manager sans surcoût.
• La migration de MDM est pratiquement transparente pour l’utilisateur, nous le verrons plus bas.
• Elle est parfaite pour les organisations souhaitant unifier leur environnement au sein d’un même MDM et ainsi réduire la charge opérationnelle de leur équipe.

Nous allons voir dans cet article comment utiliser cette fonctionnalité pour migrer d’un MDM vers Microsoft Intune.

Avant de commencer, il est à noter que cette fonctionnalité n’est disponible qu’avec MacOS26 / iOS-iPadOS26. Pour MacOS, une solution manuelle à base de script existe pour les appareils ne disposant pas de cette version.

Etape 1 : Phase de pré-migration

Inventaire matériel

Tout d’abord, il faut créer un inventaire détaillé de tous les appareils de votre organisation.

Une attention particulière doit être portée sur l’OS qu’il exécute. Comme évoqué plus haut, il faut un OS en version 26 mini.

Documenter les configurations du MDM actuel

Dans un second temps, il est important d’auditer et documenter toutes les configurations existantes : profil de configurations / scripts / applications déployées… Considérez que c’est le bon moment pour faire un tri.

Configurer les services Apple dans Microsoft Intune

Puis, vous pouvez ajouter le certificat push Apple nécessaire à la bonne communication entre le MDM et les appareils. Cela permet d’établir la relation de confiance entre Apple Business Manager et Microsoft Intune.

Configurer Microsoft Intune

Enfin, à l’aide des configurations documentées dans l’étape 2, vous pouvez répliquer les configurations existantes dans Microsoft Intune (profils / scripts / apps). Il est important de tester ces configurations sur un appareil de test avant de les déployer sur vos appareils cibles.

Etape 2 : Phase de migration – Flux Admin

Migration via Apple Business Manager

Voici les différentes actions à mettre en place :

• Sélectionnez les appareils concernés.
• Sélectionnez le serveur vers lequel vous souhaitez migrer l’appareil. Dans notre cas, il s’agit d’Intune.
• Définissez une date limite de migration et validez.
• Laissez la magie faire le reste !

Etape 3 : Phase de migration – Flux End-user

Migration sur l’appareil

Voici les différentes étapes qui vont se dérouleront du côté de l’utilisateur :

• L’utilisateur reçoit une notification lui indiquant un changement de configuration prévu.
• Il suit le processus d’inscription : il faudra prévoir sans doute un petit accompagnement au changement.
• Si l’utilisateur ne tient pas compte de la notification et si la date limite fixée par l’administrateur est dépassée, la migration s’effectue automatiquement en plein écran.
• L’appareil est automatiquement enrôlé dans Microsoft Intune et reçoit ses nouvelles configurations et cela sans nécessité de redémarrage.

Quelques screens de l’expérience utilisateur. Ultra simple comme vous pouvez le voir 

Etape 4 : Vérification post-migration

Vérification

Voici quelques conseils :

• Vérifiez dans le centre d’administration Intune que les appareils sont bien enrôlés et qu’ils appliquent les configurations attendues par vos équipes.
• Pour le déploiement il est toujours plus prudent de commencer par un lot pilote pour identifier les éventuels impacts et ainsi, les corriger.

Conclusion

Cette fonctionnalité / évolution est un vrai game changer pour nos projets de migration de MDM vers Microsoft Intune. Elle simplifie grandement les choses et simplifie l’expérience utilisateur au maximum. Plus besoin de reset, de backup manuel, ou d’intervention utilisateur lourde.

Bravo Apple 

Si vous voulez en savoir plus sur les possibilités de gestion Apple avec Microsoft Intune, vous pouvez consulter notre guide Gérer ses appareils Apple dans Intune.

Dans un monde où les outils collaboratifs sont devenus la norme, Microsoft Teams et One Drive sont au cœur de la productivité de nombreuses organisations disposant de licences Microsoft 365.

Que se passe-t-il quand des problèmes de synchronisation OneDrive apparaissent ou que Microsoft Teams devient lent sans vraie raison apparente ?

Pour les utilisateurs finaux, c’est souvent un irritant. Pour les équipes du support informatique, assurer une qualité de service liée aux outils collaboratifs est un défi permanent.

C’est là qu’entre en jeu deux dashboards mis à disposition par Microsoft pour surveiller et anticiper les problématiques liées à OneDrive et à Teams :

• Teams Client Health Dashboard
• OneDrive Sync Health Report

Ces tableaux de bord permettent d’avoir une vue d’ensemble sur l’état de santé de OneDrive et Teams sur les postes de travail des utilisateurs. Ils offrent des indicateurs clairs, des rapports détaillés et aident à cibler rapidement les actions nécessaires à mener pour rendre le service rapidement.

Dans cet article, nous allons découvrir comment ces outils fonctionnent, comment les mettre en place et ce qu’ils peuvent vous apporter dans votre quotidien.

Pourquoi surveiller la santé de vos applications Microsoft 365 ?

Les outils collaboratifs sont au cœur de la productivité et de la communication interne. Un ralentissement de Teams ou une erreur de synchronisation OneDrive peut vite avoir un impact sur l’activité.

Grâce aux données de télémétrie Windows, les dashboards intégrés permettent de :

• améliorer l’expérience utilisateur au quotidien,
• détecter rapidement les incidents,
• identifier les causes récurrentes,
• intervenir sans attendre l’ouverture d’un ticket.

Présentation de Teams Client Health Dashboard

Commençons tout d’abord par le dernier né et qui a été publié il y a de çà quelques semaines, Teams Client Health Dashboard.

Il s’agit d’un tableau de bord mis à disposition par Microsoft dans le Microsoft 365 Admin Center. Celui-ci se concentre exclusivement sur l’état de santé du client Teams installé sur les postes de travail. On parlera ici des versions intégrées dans les M365 Apps ou encore la version MSI machine-wide.

L’objectif est simple :

• Permettre aux équipes supports ou administrateurs de visualiser très simplement et rapidement les problèmes que rencontrent les utilisateurs finaux lorsqu’ils utilisent l’application Teams (plantages, problèmes d’exécution, obsolescence des versions…)
• Améliorer la réactivité des équipes supports grâce à ces insights et de manière proactive.
• Standardiser les versions de Teams sur votre parc.

Les données projetées dans ce dashboard sont directement recueillies grâce à la télémétrie intégrée de Microsoft Windows, lorsque celle-ci est activée. Le niveau doit être paramétré sur « Requis ».

Voici un aperçu du dashboard disponible, vous pourrez trouver en quelques clics des informations comme :

• Les clients Teams en bon état de fonctionnement, ceux rencontrant des erreurs, et ceux qui posent problème.
• Il est possible d’apposer des filtres pour cibler un problème (Version de Teams / Version de Windows / Typologie d’erreur ou encore région Entra ID)
• Pour chaque erreur, des informations précises sont disponibles : messages d’erreur, codes, fréquence d’occurrence, nombre d’utilisateurs impactés, etc.
• Le tout avec 28 jours d’historique et une possibilité d’extraire ces données pour les exploiter dans PowerBI par exemple.

Bien que le Teams Client Health Dashboard soit un outil précieux pour superviser vos outils collaboratifs, il présente quelques limitations techniques à prendre en compte pour bien calibrer son usage :

• La non prise en charge de la version Web ou mobile.
• Les postes doivent être joints à Entra ID ou Hybrid Entra ID.
• Les données ne sont pas en temps réel, prévoir jusqu’à 24h de latence
• Pas de remontée sur la qualité du réseau.

Pour en savoir plus sur l’annonce, cliquez ici.

Introduction OneDrive Sync Reports

Maintenant parlons du 2^e dashboard : OneDrive Sync Reports.

Comme Teams Client Health Dashboard, le OneDrive Sync Report est un tableau de bord intégré à Microsoft 365 Admin Center. Celui-ci se concentre exclusivement sur la synchronisation des clients OneDrive Windows et MacOS.

Il va vous permettre notamment de :

• surveiller les erreurs de synchronisation sur les clients OneDrive.
• Identifier les utilisateurs impactés par ces erreurs.
• Connaitre l’état de déploiement des Known Folders OneDrive.
• Connaitre l’état des versions OneDrive sur le parc.

Voici un aperçu du dashboard disponible, vous pourrez trouver en quelques clics des informations comme le nombre d’appareils présentant des erreurs de synchronisation ou non.

Vous pouvez aussi avoir du détail et regrouper les erreurs par type d’erreur, région Entra ID ou version d’application.

Vous disposez d’un historique de 30 jours et comme pour Teams, le tout est exportable pour un rendu via PowerBI.

Contrairement au Teams Health Dashboard, la mise en place du dashboard OneDrive nécessite le déploiement d’un profil de configuration sur les postes de travail pour les liés au tenant.

Cela peut être fait avec notre MDM favori Microsoft Intune ou via GPO pour les plus anciens 

Pour plus d’infos sur la configuration à appliquer, suivre ce lien : OneDrive sync reports in the Apps Admin Center – SharePoint in Microsoft 365 | Microsoft Learn

Quelques limitations à noter tout de même comme :

• La non prise en charge de la version Web
• Les données ne sont pas en temps réel, prévoir jusque 24h de latence
• L’appareil doit être en ligne au minimum 5 heures pour que ces données remontent.

Conclusion

Dans un environnement IT où les outils collaboratifs prennent de plus en plus de place, les équipes informatiques doivent garantir à la fois leur fiabilité et garantir une expérience utilisateur irréprochable.

Les outils Teams Client Health Dashboard et OneDrive Sync Health Report répondent aux besoins de visibilité voulus.

En centralisant les données issues de la télémétrie Windows, ils permettent aux administrateurs de :

• détecter plus rapidement les incidents côté client,
• analyser les causes récurrentes de dysfonctionnement,
• intervenir de manière ciblée auprès des utilisateurs concernés,
• améliorer la qualité de service globale sans attendre une alerte ou un ticket.

Ces dashboards apportent une brique essentielle et utile pour aider les équipes support dans leur diagnostic.

Le modèle Zero Trust s’impose aujourd’hui comme incontournable face à la montée en puissance et à la sophistication des cybermenaces.

Les entreprises doivent adopter une approche qui considère que tout accès, qu’il soit interne ou externe, peut potentiellement représenter un risque pour son SI. Cela exige une validation systématique de chaque demande d’accès au SI, indépendamment de son origine et de son contexte.

Le modèle Zero Trust repose sur une approche de sécurité qui remet en question le principe traditionnel de confiance implicite envers l’utilisateur. Plutôt que de supposer qu’un utilisateur ou un appareil au sein du réseau est fiable, il applique systématiquement le principe « never trust, always verify ».

Chaque demande d’accès est soumise à une authentification et à une inspection afin de détecter toute anomalie avant d’accorder l’accès. Cela permet aussi de sécuriser l’accès aux ressources de l’entreprise via des appareils personnels (BYOD).

Au cœur de cette stratégie, Microsoft Intune se distingue comme un outil essentiel et incontournable pour une gestion optimale des postes de travail ou des terminaux mobiles. Il facilite l’adoption de ce modèle et renforce ainsi la protection des données de l’entreprise.

À travers cet article, découvrons comment Microsoft Intune peut vous aider à adopter le modèle Zero Trust et ainsi prévenir les menaces.

Gestion des politiques de conformité dans Intune

Une des briques à implémenter sera l’utilisation des politiques de conformité.

En définissant et intégrant celles-ci, vous vous assurerez que les périphériques qui doivent accéder aux ressources de votre entreprise répondent aux critères de sécurité établis.

Microsoft Intune permet de mettre en place des règles de conformité « by-design » qui permettent de contrôler notamment l’état de l’antivirus Windows Defender, du firewall Windows, du chiffrement Bitlocker, voire de positionner une exigence sur la version minimale du système d’exploitation.

Petit exemple des règles disponibles par défaut :

Il est également possible de mettre en place des politiques de conformité « Custom » qui iront contrôler des paramétrages propres à votre contexte et qui ne sont pas disponibles par défaut. On peut penser à une vérification de la présence d’un mot de passe BIOS ou à la présence d’un EDR tiers.

Pour plus d’infos : https://learn.microsoft.com/en-us/intune/intune-service/protect/compliance-use-custom-settings

Lors de la création d’une politique de conformité, deux actions seront nécessaires de votre côté :

• La définition des règles à intégrer dans ces politiques.
• Les actions à réaliser en cas de non-conformité > Il est possible d’envoyer un mail à l’utilisateur pour l’informer, par exemple.

Lire aussi : Endpoint Security : comment gérer la sécurité dans Intune ?

Stratégie d’accès conditionnel avec Intune

Microsoft Intune fonctionne main dans la main avec Entra ID pour appliquer ces stratégies d’accès conditionnel. L’accès conditionnel est un des piliers du Zero Trust, car il garantit que les utilisateurs et les appareils remplissent des conditions spécifiques avant d’accéder aux ressources.

Les politiques de conformité vues un peu plus haut entrent en jeu à ce moment précis, car un des critères possibles pour l’accès aux ressources de l’entreprise est la conformité du poste. Si le poste n’est pas conforme, il se voit refuser l’accès.

D’autres critères importants sont à prendre en compte, comme l’exigence d’une authentification multifacteur pour vérifier l’identité de l’utilisateur ou l’accès basé sur la localisation, ou là vous pouvez limiter l’accès en fonction des régions géographiques.

Lire aussi : MDM Intune : top 8 des règles d’accès conditionnel

Sécurisation des appareils avec Intune

Grâce à Microsoft Intune, vous pouvez gérer directement la sécurisation de vos appareils :

• Déployer directement les security baselines liées à Windows, Office 365, Microsoft Edge. Les security baselines sont des profils préconfigurés par Microsoft et regroupant les bonnes pratiques au niveau sécurité, elles sont bien sûr adaptables à votre environnement.
• Vous pouvez aussi déployer vos propres paramètres de hardening directement grâce à des profils de configuration ou des scripts PowerShell.
• Vous pouvez également intégrer l’EDR Microsoft Defender for Endpoint directement à Microsoft Intune pour onboarder les postes dans cette solution et ainsi avoir une console centralisée (dans ce cas, Microsoft Intune) qui permet de pousser le paramétrage de l’EDR. Selon le niveau de licence (P1 ou P2), vous pourrez aussi gérer les remontées et vulnérabilités.

Protection des applications et des données

Les stratégies de protection des applications dans Intune permettent de protéger les données d’entreprise au niveau de l’application, sans nécessiter d’inscription de l’appareil. Ceci est particulièrement utile dans les scénarios BYOD (Bring Your Own Device).

Les principales stratégies configurables sont les suivantes :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile personnel
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées (Exemple : Messagerie d’entreprise uniquement sur Outlook)

Pour plus d’informations, rendez-vous ici : App protection policies overview – Microsoft Intune | Microsoft Learn

Moindre privilège et RBAC (contrôle d’accès en fonction du rôle)

Un autre des principes clés du modèle Zero Trust est d’accorder aux utilisateurs uniquement l’accès dont ils ont besoin pour effectuer leur tâche.

Microsoft Intune prend en charge cela avec le contrôle d’accès en fonction du rôle (RBAC).

• Rôles personnalisés : Les administrateurs peuvent créer des rôles avec des autorisations spécifiques, en veillant à ce que les utilisateurs n’accèdent qu’aux parties d’Intune (ou d’autres ressources d’entreprise) qui sont pertinentes pour leur rôle.

(Exemple : Un technicien de support informatique peut avoir accès à la gestion des appareils dans Intune mais uniquement sur certaines fonctionnalités ou certains devices.)

De manière plus globale, il est possible de faire du RBAC sous Entra ID pour déléguer l’accès aux services M365 par exemple. Il y a des tas de rôles prédéfinis et vous pouvez créer vos propres rôles personnalisés.

Pour plus d’informations liées au RBAC : Documentation Microsoft Entra RBAC – Microsoft Entra ID | Microsoft Learn

Si vous avez le niveau de licence nécessaire, je vous conseille aussi d’utiliser PIM. Privileged Identity Management assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes sur les ressources qui vous intéressent.

Pour plus d’informations sur PIM : What is Privileged Identity Management? – Microsoft Entra ID Governance | Microsoft Learn

Pour finir, sur la partie Poste de travail et la gestion des administrateurs, je vous conseille la mise en place d’une fonctionnalité désormais bien connue et qui s’appelle LAPS. Une autre fonctionnalité nommée EPM est aussi intéressante pour certains cas d’usages.

Surveillance et reporting

Le Zero Trust nécessite une surveillance continue pour détecter les menaces en temps réel. Microsoft Intune s’intègre à des outils tels que Microsoft Defender et Azure Sentinel pour fournir une surveillance complète de l’ensemble du parc informatique.

• L’intégration avec Azure Sentinel fournit une vue centralisée des événements et des incidents de sécurité, ce qui permet aux équipes de détecter, d’examiner et de répondre plus efficacement aux menaces.
• Les fonctionnalités de reporting intégrées d’Intune donnent aux administrateurs des informations détaillées sur la conformité des appareils, ce qui leur permet de prendre des décisions éclairées sur les politiques de sécurité.
• L’intégration avec Defender for Endpoint permet d’identifier les vulnérabilités et d’effectuer les actions en conséquence dans le but de les résoudre.

Vous pouvez aussi, grâce au Secure Score mesurer la posture de sécurité de votre entreprise et ainsi voir les actions recommandées pour l’améliorer.

Conclusion et recommandations

La mise en place du modèle Zero Trust avec Microsoft Intune représente une étape cruciale vers une sécurité renforcée et une gestion moderne des appareils.

Vous avez ci-dessus une bonne partie des fonctionnalités à mettre en place pour tendre vers ce modèle.

En adoptant cette approche, les entreprises peuvent minimiser les risques liés aux accès non autorisés et aux menaces internes.

Microsoft Intune, par ses capacités de gestion unifiée, facilite cette transition en offrant des contrôles granulaires et une intégration fluide avec d’autres solutions de sécurité Microsoft comme Defender ou Sentinel.

Mais, réussir cette implémentation demande une stratégie bien pensée, une adoption progressive et une sensibilisation des utilisateurs.

Le Zero Trust nécessite d’être constamment ajusté aux besoins et aux menaces émergentes.

Grâce à lui, les entreprises s’assurent une résilience accrue face aux cyberattaques de plus en plus courantes.

Personal Data Encryption est une des dernières fonctionnalités de sécurité publiée par Microsoft et disponible sur Windows 11. 

Personal Data Encryption est une fonctionnalité directement intégrée à Windows 11 qui a pour objectif le chiffrement des données situées dans les répertoires « Bureau », « Documents » et « Images » dans la session de l’utilisateur.  

Avec Personal Data Encryption, ces données sont chiffrées par l’algorithme AES-CBC avec une clé de 256 bits. Il y a une clé de chiffrement spécifique à chaque compte utilisateur. Cette clé est protégée par Windows Hello for Business. 

Nous allons découvrir à travers cet article : 

• Quels sont les avantages de la fonctionnalité Personal Data Encryption de Windows 11 ? 
• Comment la configurer avec Microsoft Intune ? 
• Quelle expérience est proposée du côté des utilisateurs ? 

Différences entre Personal Data Encryption et BitLocker 

La différence entre Personal Data Encryption et BitLocker est que celui-ci chiffre le disque entier, alors que Personal Data Encryption chiffre quant à lui les fichiers. 

Voyons à travers ce tableau les différences entre Personal Data Encryption et BitLocker : 

On peut donc dire que les deux solutions sont complémentaires et leur utilisation simultanée ne fait que renforcer la posture sécurité du poste de travail. 

Contrairement à BitLocker qui libère les clés de chiffrement au démarrage du poste de travail, Personal Data Encryption ne libère pas les clés de chiffrement des données chiffrées tant que l’utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise ce qui offre une protection supplémentaire. 

En effet, avec Personal Data Encryption, un autre utilisateur ou un administrateur qui se connecte sur la machine et souhaite parcourir les données d’un autre utilisateur via l’explorateur de fichiers se verra l’accès refusé purement et simplement ! 

Prérequis pour utiliser Personal Data Encryption dans Windows 11 

Pour utiliser la fonctionnalité Personal Data Encryption, il y a des prérequis à respecter tels que : 

• Windows 11, version 22H2 et ultérieures, 
• Machines jointes à Entra ID ou en mode Entra ID Hybrid Join, 
• Les machines jointes à un domaine Active Directory seul ne sont pas supportées, 
• Utiliser Windows 11 Enterprise ou Education, hélas la version Pro n’est pas supportée , 
• Mise en place de Windows Hello Entreprise.  

Sur ce dernier point, Windows Hello Entreprise fait partie des impondérables du poste de travail niveau sécurité. Vous pouvez en savoir plus via ce lien : Vue d’ensemble de Windows Hello Entreprise | Microsoft Learn 

Microsoft apporte plusieurs recommandations quant à la mise en place de cette fonctionnalité, telles que : 

• Activer BitLocker : Personal Data Encryption fonctionne sans BitLocker mais il est recommandé d’activer BitLocker. Le chiffrement des données personnelles est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement de BitLocker. BitLocker est aujourd’hui une brique de sécurité essentielle. 
• Avoir une solution de sauvegarde type OneDrive : dans certains scénarios comme un reset de la puce TPM, les clés de chiffrement sont perdues et le contenu est inaccessible. Le fait d’avoir une sauvegarde OneDrive permet de restaurer l’accès à ces données. 
• Activation du service « Windows Hello for Business Pin reset” : pour avoir, en cas d’oubli par l’utilisateur, une réinitialisation du code Pin Windows Hello « non destructive ». 
• Activer la connexion renforcée avec Windows Hello for Business : offrir une sécurité supplémentaire via la biométrie par exemple. 

Mettre en place Personal Data Encryption avec Microsoft Intune 

La mise en place de Personal Data Encryption se fait très facilement et rapidement avec le MDM Microsoft Intune. 

Pour cela, il faut se rendre dans la partie « Endpoint Security » / « Disk Encryption » d’Intune : 

Puis de créer un profil de type Personal Data Encryption comme suit : 

Comme vous pouvez le voir dans la copie d’écran, l’activation de Personal Data Encryption dans Intune est assez simple à l’aide de ces 4 paramètres. Libre à vous de ne l’activer que sur Documents ou Desktop, par exemple. 

À noter : il est mentionné « Windows Insiders Only », n’en tenez pas compte, l’UI n’est pas à jour  

Ensuite, sélectionnez le groupe de déploiement dans Intune et let’s go ! 

L’expérience utilisateur dans Personal Data Encryption 

Lorsque la stratégie est appliquée sur le poste de travail, les dossiers où vous avez activé Personal Data Encryptions se verront apposer une icône avec un cadenas jaune, preuve de la sécurisation de leurs données. 

Si un autre utilisateur essaye d’accéder aux données stockées dans un de ces répertoires, il recevra un message lui indiquant qu’il n’a pas les autorisations d’y accéder. 

Preuve que seul l’utilisateur est propriétaire de ces données.  

Conclusion sur Personal Data Encryption dans Windows 11 

Dans un paysage IT où la menace sécurité est de plus en plus présente, Microsoft propose, à travers Personal Data Encryption, une nouvelle fonctionnalité pour sécuriser les données des utilisateurs.  

La mise en place étant assez simple pour un bénéfice immédiat, si votre environnement respecte les prérequis, n’hésitez pas à le faire et à offrir une couche de sécurité supplémentaire à vos utilisateurs et à votre organisation ! 

L’usage des appareils mobiles Apple (iPhone et iPad) en entreprise s’est largement démocratisé ces dernières années. Que ce soit pour la communication, la gestion de tâches ou l’accès aux applications métiers, ces appareils Apple sont devenus des outils incontournables dans de nombreux secteurs.

L’adoption croissante des iPhones et iPad dans les environnements professionnels s’explique par plusieurs facteurs :

• Un écosystème fluide et sécurisé, avec des fonctionnalités comme Face ID, le chiffrement matériel et l’authentification forte via Apple ID et iCloud.
• Un déploiement et une gestion simplifiés grâce à des solutions MDM comme Microsoft Intune, permettant une configuration sans intervention utilisateur via Apple Business Manager et l’Enrôlement Automatique des Appareils.
• Une expérience utilisateur homogène, avec une interface intuitive, des mises à jour régulières et une compatibilité optimisée entre les applications et services cloud.
• Une productivité accrue, notamment avec l’iPad qui devient une véritable alternative aux ordinateurs portables grâce à des accessoires comme l’Apple Pencil et le Magic Keyboard.
• Un matériel fiable et durable, garantissant un bon retour sur investissement et une adoption large par les collaborateurs.

De grandes entreprises comme Delta Airlines, IBM ou encore la SNCF exploitent les appareils mobiles Apple pour améliorer la mobilité et la réactivité de leurs équipes, que ce soit pour la relation client, la gestion des stocks ou le suivi de projet.

Dans cet article, nous verrons comment Intune permet d’administrer efficacement une flotte Apple d’iPhone et d’iPad en entreprise, en assurant à la fois sécurité, conformité et flexibilité d’usage.

Prérequis à la gestion d’une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d’assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c’est un portail Web qui permet entre autres de faire l’inscription automatisée de l’appareil lors de sa mise en route et de déployer des applications venant de l’Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les méthodes d’enrôlement des iPad et BYOD avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique Apple (iPhone ou iPad) dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du périphérique. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela 2 solutions :

• Demandez à votre revendeur
• Utiliser l’application Apple Configurator for MacOS

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le mobile est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode.

Mais si vous voulez enrôler un iPhone/iPad existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier ». Le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » .

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : l’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.

Concernant la dernière méthode dite « BYOD – Web Based Device Enrollment », des détails arrivent ci-après.

Apple : gestion des iPad partagés avec Intune

Le provisionnement d’un iPad en tant qu’iPad partagé fait en sorte qu’il puisse être utilisé et partagé entre plusieurs employés de votre organisation. Les iPad inscrits dans Intune à l’aide de l’inscription automatisée des appareils, et sans affinité utilisateur, peuvent être provisionnés en tant qu’iPad partagés.

L’iPad partagé crée un nombre prédéfini de partitions utilisateur sur l’appareil. Les partitions utilisateur garantissent que les applications, données et préférences de chaque utilisateur sont stockées séparément sur l’iPad. Si vous l’autorisez, ces partitions peuvent être sauvegardées sur iCloud pour une transition transparente entre d’autres iPad partagés.

Lorsque vous fédérer votre tenant Entra ID avec Apple Business Manager, un utilisateur peut se connecter à un iPad partagé à l’aide de son nom d’utilisateur et de son mot de passe Microsoft Entra.

Les avantages sont multiples :

• Idéal dans l’utilisation d’un iPad partagé devant accéder aux services Microsoft 365.
• Réduction des coûts (plusieurs utilisateurs peuvent utiliser le même appareil).
• Sécurité de l’identité et des données.
• Expérience utilisateur personnalisé. (SSO)

La mise en place de ce mode de gestion implique quelques pré requis :

• iPad OS 13.4 mini avec 32 Go de stockage
• Fédération Apple Business Manager <-> Entra ID (attention aux impacts possibles)
• Déploiement uniquement via la méthode « Automated Device Enrollment without user affinity »

En ce qui concerne l’impact possible sur la fédération Entra ID <> Apple Business Manager >

• La fédération est possible avec Entra ID, Google Workspace…
• Utilisation du compte Entra ID en tant qu’Apple ID pour se connecter à un iPad partagé
• Fédération activée = Apple reprend possession du nom de domaine
• Si des utilisateurs ont créer un Apple ID personnel avec leur adresse mail professionnel, Apple leur enverra un mail pour demander le changement de celui-ci dans un délai imparti.

Pour en savoir plus sur ce mode de gestion, suivez ce guide : https://www.cloudtekspace.com/post/configure-shared-ipad-using-microsoft-intune

Apple : gestion du BYOD avec Intune

La gestion des appareils personnels (BYOD) dans un environnement professionnel soulève des enjeux majeurs en matière de sécurité et d’expérience utilisateur. Avec Microsoft Intune, il existe plusieurs approches pour sécuriser les iPhone et iPad sans compromettre la productivité des employés, notamment les App Protection Policies et l’inscription Web Based.

App Protection Policy dans Intune

Son rôle :

• Garantir que les données de l’organisation restent sécurisées ou contenues dans une application managée.
• Contrôler la façon dont les données sont consultées et partagées.
• Pas besoin d’inscrire son terminal dans le MDM. Les stratégies ne s’appliquent pas dans un contexte perso.

Quelques exemples d’utilisation de stratégies de protection des applications avec Microsoft Intune :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées

Web Based Enrôlement dans Intune

L’inscription « Web Based Enrôlement » est l’une des deux méthodes d’inscription des appareils disponibles pour les appareils iOS/iPadOS dit personnels. L’autre méthode étant l’inscription à partir du portail d’entreprise.

Le principal facteur de différenciation est que l’inscription « Web based » offre une expérience d’inscription plus rapide et plus conviviale. Il n’est plus nécessaire de télécharger d’abord l’application Portail d’entreprise. Au lieu de cela, l’utilisateur peut simplement se rendre sur le site Web Company Portal.

Nous pouvons voir sur le tableau ci-dessus les différences entre l’inscription « Web based » et l’inscription via « Portail d’entreprise ».

Microsoft Intune prend en charge ce nouveau type d’inscription sur les appareils exécutant iOS/iPadOS version 15 ou ultérieure.

En ce qui concerne le BYOD, ma préférence se dirige plutôt sur l’application de stratégie « App Protection Policy » qui pour moi offre le niveau de sécurité le plus haut et ne s’applique uniquement que sur les applications de l’entreprise. (Exemple : Office 365) contrairement à une inscription « Web Based » qui elle concerne l’appareil.

Tout dépend du niveau de contrôle que vous souhaitez.

Apple : conclusion sur la gestion des iPhone et iPad dans Intune

L’intégration des appareils mobiles Apple (iPhone et iPad) dans un environnement d’entreprise avec Microsoft Intune permet une gestion flexible et sécurisée des appareils, qu’ils soient corporate ou BYOD. Grâce aux différentes méthodes d’enrôlement, les administrateurs peuvent choisir la meilleure approche selon les besoins de l’organisation : Automated Device Enrollment pour un contrôle total, Company Portal Enrollment pour un enrôlement simplifié, ou encore Web-Based Enrollment pour une expérience utilisateur optimisée.

L’ajout de fonctionnalités comme Shared iPad for Business offre une solution efficace pour les environnements où plusieurs utilisateurs partagent le même appareil, tandis que les App Protection Policies permettent de sécuriser les données sans imposer une gestion intrusive des périphériques personnels.

À l’heure où la frontière entre usage professionnel et personnel devient de plus en plus floue, Intune apporte les outils nécessaires pour assurer sécurité, conformité et expérience utilisateur fluide dans un écosystème Apple en entreprise.

Avant d’aborder en détail la gestion des macOS en entreprise avec Microsoft Intune, commençons par quelques chiffres et un peu de contexte.

En 2023, Apple, avec macOS, détenait environ 19 % du marché mondial des systèmes d’exploitation. Si Windows reste dominant, l’adoption des MacBook en entreprise ne cesse de croître.

Pourquoi cet engouement ? Plusieurs facteurs expliquent cette montée en puissance du Mac dans les environnements professionnels :

• Une intégration fluide avec les solutions de gestion modernes comme Microsoft Intune, facilitant l’administration et la sécurisation des appareils.
• Une sécurité avancée avec des technologies natives comme FileVault, Gatekeeper et l’architecture Apple Silicon.
• Une expérience utilisateur optimisée, favorisant la productivité avec une interface fluide et un écosystème harmonisé avec les autres appareils Apple.
• Une longévité et une fiabilité reconnues, avec des machines performantes et une excellente gestion de l’autonomie.
• Un coût total de possession (TCO) souvent optimisé grâce à une maintenance réduite et une valeur de revente élevée.

De grandes entreprises comme IBM, Salesforce ou encore SAP ont adopté le Mac à grande échelle, témoignant de son potentiel dans le monde professionnel.

Dans cet article, nous verrons comment Microsoft Intune permet de gérer efficacement une flotte de Mac en entreprise, en alliant simplicité et sécurité.

Prérequis à la gestion d’une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d’assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c’est un portail Web qui permet entre autres de faire l’inscription automatisée de l’appareil lors de sa mise en route et de déployer des applications venant de l’Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les différentes méthodes d’enrôlement macOs avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique macOS dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du MacBook. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela, deux solutions :

• Demander à votre revendeur
• Utiliser l’application Apple Configurator for Iphone. Pour plus d’informations, cliquez ici.

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le MacBook est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode. 

Mais si vous voulez enrôler un MacBook existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier », le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » . 

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.  

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : L’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.   

La dernière méthode dites « Direct Enrôlement » est à éviter car trop chronophage.

Apple : configurer ses MacBook dans Intune

Microsoft offre de multiples façons de configurer l’environnement MacOS.

Les settings Catalog

Les settings Catalog sont la façon la plus courante et là où vous retrouverez la plus grande quantité de paramétrages.

Microsoft complète ce catalogue mensuellement pour répondre aux différents besoins, les derniers en date concernent par exemple Apple Intelligence.

Les templates

Les templates sont à utiliser pour des besoins spécifiques tel que le déploiement de certificat approuvé ou la configuration des connexions Wifi / Ethernet.

Les scripts

Les scripts sont à utiliser pour des besoins customisés et qui ne sont pas disponibles dans les deux options ci-dessus.

Profils de configuration custom

Il est également possible de créer des profils de configuration custom (plist) pour des logiciels comme Google Chrome avec l’utilitaire « Imazing Profile Editor ».
Ces profils sont à intégrer en profile type « Templates » puis « Custom ».

Les règles de hardening pour Mac

Si vous souhaitez mettre en place des règles de hardening, sachez que des référentiels sont disponibles au niveau du CIS et du NIST.

Vous retrouverez toutes les informations en consultant les liens suivants :

• https://www.cisecurity.org/benchmark/apple_os
• https://github.com/usnistgov/macos_security

Quelques exemples de règles de hardening pour les MacBook :

• Activation des mises à jour automatique
• Désactiver le sharing
• Activation de Gatekeeper et du firewall natif.

Mac Evaluation Utility

Pour finir sur la partie configuration, Apple met à disposition un utilitaire nommé « Mac Evaluation Utility » qui permettra d’auditer une partie de la configuration en place et vous indiquer si vous êtes conforme vis-à-vis des préconisations Apple sur différentes thématiques.

Pour télécharger cet utilitaire, rendez vous sur ce lien https://beta.apple.com/for-it

Apple : gérer les mises à jour de l’OS dans Intune

Sous MacOS, il existe 2 types de mises à jour :

• Minor (update) : plusieurs fois par an (on peut comparer cela à une mise à jour cumulative sous Windows) > Exemple : Passage de MacOS 15.1 à 15.2
• Major (upgrade) : une fois par an (on peut comparer cela à une mise à jour de fonctionnalité sous Windows) > Exemple : Passage de MacOS 15 à 16.
  Vous avez la possibilité de reporter l’installation de ces mises à jour jusqu’à 90 jours.

Sur la base de ces paramétrages dans Intune, vous pouvez donc créer vos rings de mise à jour qui permettront de diffuser les mises à jour selon vos besoins. (Exemple : Déploiement des mises à jour à J+0 sur une population pilote / Déploiement des mises à jour à J+5 sur une autre population etc…)

Vous voulez améliorer l’expérience utilisateur sur cette partie ? Pensez à l’outil Nudge.

Nudge est une petite application qui permet de personnaliser l’expérience utilisateur en offrant des reports et un peu plus de visibilité sur l’installation des mises à jours.

C’est un outil développé par la communauté et supporté par Microsoft qui explique même comment le configurer dans ces documentations 

Pour plus d’infos sur Nudge, c’est par ici : https://github.com/macadmins/nudge

MacOS Intune : gérer la partie « Administrateur local »

A ce jour, il n’existe pas d’équivalent à Microsoft LAPS pour l’environnement MacOS .

Mais Microsoft met une bibliothèque de scripts Bash qui vous permettra de :

• Créer un compte administrateur local
• Downgrader un compte administrateur en compte standard
• Supprimer un compte administrateur local
• Déchiffrer le mot de passe du compte administrateur local pour l’utilisation sur un périphérique (un mot de passe généré par périphérique).

Vous trouverez toutes ces ressources en suivant ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Config/Manage%20Accounts

MacOS Intune : déployer les applications

Il existe différents types d’applications que vous pouvez utiliser en fonction de vos cas d’usage.

• Line of Business App :

Application custom ou développé par l’entreprise : elle doit être signé par un certificat développeur Apple pour des questions de sécurité et d’intégrité

• macOS app (DMG) :

Image disque > Peux être utiliser pour des installations simples pour lesquelles il n’y a pas besoin de customisation

• macOS app (PKG) :

Format d’installation natif MacOS > Possibilité d’utiliser des scripts de pre-install ou de post-install pour les installations complexes.

• AppStore :

Application venant de l’app Store et synchronisé avec le jeton VPP

Infos utiles :

• La taille maximale pour un PKG ou un DMG est de 8 Go
• La taille maximale pour une LOB apps est de 2 Go.

MacOS Intune : étendre l’inventaire grâce aux custom attributes

Créer des custom attributes vous permettra de collecter des propriétés personnalisées à partir d’un appareil macOS géré par Intune à l’aide de scripts shell.

• Vous voulez connaitre l’état de la batterie ?
• Vous voulez savoir qui est administrateur de son Mac ?
• Ou encore si Gatekeeper est actif ?

Les Custom attributes sont faits pour vous

Une bibliothèque de Custom Attributes assez complète est disponible via ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Custom%20Attributes

MacOS Intune : Declarative Device Management

Passer d’une gestion réactive à une gestion proactive ! Le futur de la gestion Apple !

Protocole MDM (actuel)

Protocole DDM

A la différence du protocole MDM, le protocole DDM fait que la machine garde en mémoire le paramétrage souhaité et que si celle-ci change d’état, le paramètre est réappliqué sans nécessité que la machine recontacte son serveur MDM pour connaitre le paramétrage a appliqué.

Les deux protocoles peuvent être utilisés conjointement.

La gestion « Declarative Device Management » permet aux organisations dʼêtre plus sûres que les périphériques sont dans l’état désiré et que les données essentielles sont en sécurité, même sans connexion à Internet.

Voici pour le moment les paramétrages disponibles en gestion « DDM », d’autres sont sans doute à venir.

MacOS Intune : Platform SSO for macOS

Microsoft a annoncé le 6 mai 2024 la sortie en public preview de la fonctionnalité « Platform SSO for macOS » intégré à Microsoft Entra ID et configurable avec Microsoft Intune. 

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité.

La fonctionnalité Platform SSO for macOS offre de nombreux avantages 

Aux administrateurs :

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser. 
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage

Aux utilisateurs :

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir. 
• Possibilité d’utiliser une authentification « password less ».
• Expérience de connexion plus sécurisée.

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix :

La méthode « Secure Enclave » est celle qui est préconisée par Microsoft et qui offre le plus haut niveau de sécurité.

Des prérequis sont nécessaires pour la configuration et l’utilisation :

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple)
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO)
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé )
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On »
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience.

Pour plus d’infos, retrouvez notre article sur le sujet : https://synapsys-groupe.com/blog/platform-sso-mac-microsoft-intune/

Conclusion sur la gestion des macOS dans Intune

La gestion d’un environnement macOS en entreprise avec Microsoft Intune offre une approche complète et sécurisée pour l’administration des périphériques macOS. Grâce aux différentes méthodes d’enrôlement, aux paramètres avancés de configuration et aux outils comme Nudge ou Platform SSO, les équipes IT peuvent optimiser l’expérience utilisateur tout en garantissant la conformité et la sécurité des appareils.

L’évolution vers des technologies comme le Declarative Device Management annonce une gestion encore plus proactive et fluide des MacBook, réduisant la dépendance aux connexions MDM classiques. De plus, avec l’intégration croissante de macOS dans l’écosystème Microsoft, les entreprises disposent désormais de solutions robustes pour unifier la gestion de leurs appareils, quel que soit leur OS.

En adoptant les bonnes pratiques et en tirant parti des outils disponibles, il devient possible d’offrir un environnement de travail performant, sécurisé et aligné sur les exigences modernes de mobilité et de flexibilité.

Cette année encore, l’événement a été riche en annonces dans tous les domaines (Cloud, IA, Modern Work…). Nous allons, à travers cet article, faire un tour d’horizon sur les différentes annonces qui ont été réalisées autour du Modern Workplace et plus particulièrement autour de Microsoft Intune, Windows…  

Microsoft Ignite 2024 : les annonces sur Intune

Enhanced Hardware Inventory for Windows  

Annoncée en septembre et fortement attendue, cette fonctionnalité permettra d’étendre l’inventaire matériel des postes gérés par Intune. Simplement grâce à la création d’un profil de configuration, il sera possible de choisir les éléments que vous souhaitez collecter. Ces données seront ensuite lisibles depuis une nouvelle catégorie nommée « Ressource Explorer ».

Lire notre dernier article : Comment configurer Device Hardware Inventory dans Intune ?

Il sera ainsi possible de répondre à des questions du type : « Mon périphérique a-t-il une puce TPM 2.0 ? » ou encore « la batterie est-elle en fin de vie ? ».  

De plus, la création de groupes Entra ID dynamiques basés sur ces données collectées est en cours de développement.  

Il sera possible de faire des requêtes sur ces données (en KQL) grâce à Microsoft Intune Advanced Analytics D (disponible dans la Microsoft Intune Suite).  

Pour plus d’infos : Device hardware inventory is coming soon to Microsoft Intune – Microsoft Intune Blog 

Pour finir, cette fonctionnalité sera portée également sur les environnements Apple et Android courant 2025. 

Advanced Analytics extension 

Trouver les informations dont vous avez besoin quand vous en avez besoin ! C’est ce que Microsoft promet avec les nouveautés ajoutées à Advanced Analytics qui est disponible dans la Microsoft Intune Suite. 

Il sera possible de requêter un poste via Device Query en temps réel et de réaliser des actions directement depuis la même fenêtre (exemple : lancer un scan antivirus ou planifier un redémarrage).  

La grosse avancée reste sur le fait de pouvoir requêter l’entièreté des postes afin, par exemple, d’identifier une problématique globale. Il sera aussi possible dans un futur proche d’exécuter des actions sur un groupe de périphériques (multi-devices). 

Vous ajoutez à cela une dose de Microsoft Copilot, et vous obtenez un allié qui vous permettra de gagner du temps et d’être plus efficace lors de vos sessions de troubleshooting. 

Copilot pourra aussi vous servir dans l’analyse d’impacts et de risques lors de la mise en place de configuration.  

Pour plus d’infos : Transforming endpoint management with Copilot in Intune | Microsoft Community Hub 

Extension du support des périphériques Apple  

Microsoft continue ses investissements massifs sur Microsoft Intune avec le support des périphériques VisionOS et tvOS en ce début d’année 2025. 

Cela marque un tournant dans la gestion de l’environnement Apple par Microsoft Intune qui, par ses nombreuses évolutions ces derniers mois, rattrape le retard qu’il peut avoir face à ses concurrents sur cette partie.  

Microsoft montre aussi qu’Intune est prêt à s’adapter aux besoins de toutes les entreprises en matière de gestion de périphériques.  

À noter également, la prise en charge des stratégies de protection d’applications (pour Teams à partir de novembre 2024, la suite Microsoft 365 à partir de début 2025) sur les appareils VisionOS. Cela permet de garantir la conformité et la sécurité de ces appareils pour que les utilisateurs puissent en exploiter tout leur potentiel sans craindre pour la sécurité des données de leur organisation.  

Windows 365 Link 

Microsoft a annoncé l’arrivée de Windows 365 Link, un boitier permettant de se connecter simplement à son environnement de travail Windows 365.  

Ce petit boitier est entièrement sécurisé et permet d’optimiser la connexion à son environnement 365. Aucune donnée utilisateur ni donnée d’identification ne sont stockées.  

L’authentification MFA et/ou passwordless est prise en charge. 

Le tout est gérable bien entendu par Microsoft Intune.  

Le lancement est prévu pour avril 2025 à un prix de 349$. 

Pour plus d’infos : Windows 365 Link—the first Cloud PC device – Windows IT Pro Blog 

Autres nouveautés 

Au rayon des autres nouveautés, on peut noter : 

• Le déploiement des certificats sur MacOS directement dans le trousseau utilisateur  
• Le support des OS ARM64 par EPM (Endpoint Privilege Management)

Pour retrouver un récapitulatif global des annonces liées à Microsoft Intune, suivez ce guide : Microsoft Intune news at Microsoft Ignite 2024 | Microsoft Community Hub 

Microsoft Ignite 2024 : annonces autour de Windows

Windows Hotpatching 

Microsoft a annoncé une évolution importante apportée uniquement aux possesseurs de Windows 11 Entreprise (à partir de 24H2).

Vous en avez assez d’entendre vos utilisateurs se plaindre des redémarrages parfois longs pour appliquer les mises à jour de sécurité ? Cette évolution est pour vous. 

Disponible en préversion publique, la fonction « Hotpatching » va permettre d’installer les mises à jour de sécurité à chaud, c’est-à-dire qu’il ne sera pas nécessaire de redémarrer la machine après l’installation de celle-ci. 

Déjà annoncée et disponible pour Windows Server 2025, cette fonctionnalité est une petite révolution pour le monde du Modern Workplace.  

Comment est-ce que cela fonctionne ? Un redémarrage sera uniquement demandé après l’installation des mises à jour du premier mois de chaque trimestre qui contiendront les dernières corrections de sécurité notamment.  

Cette fonctionnalité permettra d’améliorer la posture sécurité du poste de travail et la productivité des utilisateurs.  

Pour en savoir plus : Hotpatch for client comes to Windows 11 – Windows IT Pro Blog 

Administrator Protection 

Avec « Administrator Protection » sous Windows 11, Microsoft applique le principe du « least privilege » déjà bien connu. L’importance de maintenir une posture sécurité importante ne peut plus être sous-estimée dans notre monde IT actuel. Les privilèges administrateurs représentent un vecteur d’attaque important et Microsoft apporte une réponse grâce à cette fonctionnalité.  

Avec Administrator Protection, Microsoft engage une transformation du rôle « Administrateur » du poste de travail. Cette fonctionnalité vise avant tout à protéger les utilisateurs. 

Elle repose sur les principes suivants : 

•  « Just in Time elevation » pour que cette élévation soit temporaire le temps d’effectuer une opération nécessitant ce type de privilège (installation d’applications par exemple)
• Séparation des profils (conteneurisation)
• Pas d’élévation automatique (intégration de Windows Hello)
• Flexibilité (limiter l’accès de manière granulaire aux applications autorisées)

Cette fonctionnalité est pour l’instant uniquement disponible en test via le canal Insider. Le tout sera configurable par Microsoft Intune. 

Pour plus d’infos : Administrator protection on Windows 11 | Microsoft Community Hub 

Quick Machine Recovery 

Le 19 juillet dernier et suite à une mise à jour défaillante de la solution de sécurité CrowdStrike, des millions de PC dans le monde entier ont été victimes d’une panne.  

Microsoft va mettre en place début 2025 via le canal Insider une fonctionnalité nommée « Quick Machine Recovery » qui permettra à nous, administrateurs, d’appliquer des mises à jour (sur site ou à distance) Windows Update sur des machines même si elles ne sont plus en capacité de démarrer. 

Rendez-vous en 2025 pour connaitre plus de détails sur ce qui s’annonce prometteur. 

Du nouveau sur Universal Print 

Universal Print, l’outil cloud de gestion d’impression, continue son évolution et poursuit sa route avec deux nouvelles fonctionnalités : 

• La disponibilité générale sous MacOS à partir de décembre 2024
• La fonctionnalité « pull printing » en public preview (file d’attente d’impression que l’utilisateur peut libérer depuis n’importe quelle imprimante en scannant un QR code avec son application Microsoft 365 de manière sécurisée)
• Il sera également possible pour un administrateur de choisir les propriétés de cette file d’impression, par exemple imprimer uniquement en noir et blanc, etc… 

Windows Backup  

Windows Backup est un outil sorti pour le grand public courant 2024. Une version « Windows Backup for Organisations » va sortir prochainement et permettra de sauvegarder/restaurer les paramètres Windows pour les postes de travail Windows 10/11 Hybrid ou Entra ID joined.  

Cela pourrait améliorer les processus de remplacement des postes de travail au sein des organisations.  

Pour plus d’infos sur toutes ces annonces, rendez-vous ici : Windows news from Microsoft Ignite 2024 – Windows IT Pro Blog 

Conclusion sur les annonces de la Microsoft Ignite 2024

Toutes ces annonces réalisées par Microsoft pour Microsoft Intune ou Windows sont prometteuses et vont permettre aux administrateurs et aux utilisateurs de gagner en productivité sans négliger la sécurité qui fait partie des enjeux de ces prochains mois. En effet, le risque cyber pèse de plus en plus lourd et nul doute que des fonctionnalités comme Administrator Protection ou Hot Patching auront un rôle à jouer dans tout ça.  

Si vous êtes curieux comme moi, retrouvez le « Book of News » du Microsoft Ignite qui regroupe toutes les annonces faites également dans les autres domaines et notamment autour de l’IA (Copilot). Ce dernier est concerné également par quelques nouveautés que je vous laisse découvrir par ici : Microsoft Ignite 2024 Book of News 

Certains types de contenu comme les mises à jour de sécurité ou de fonctionnalités Windows, les mises à jour de la suite Microsoft 365, les applications du store Microsoft ou encore les applications Win32 déployées par Intune peuvent parfois contenir des fichiers volumineux. 

Le téléchargement de ces contenus peut consommer de la bande passante réseau sur les appareils qui les reçoivent, provoquer des congestions sur les sites/pays où la bande passante Internet peut être faible et ainsi dégrader le service aux utilisateurs finaux. 

Pour répondre à ces besoins, Microsoft a sorti avec Windows 10, en 2015 une fonctionnalité appelée Delivery Optimization. Une fonctionnalité qui vient un peu en remplacement de Branchcache que l’on a pu connaitre à l’époque de Windows 7 / Windows 8.1. 

L’objectif principal de cette fonctionnalité est de garantir que les déploiements en cours n’aient pas d’impact sur le réseau de l’entreprise pour garantir un niveau de service optimal à d’autres services comme Microsoft Teams ou autres solutions de visioconférence, par exemple en utilisant un mécanisme de type P2P local. 

Nous allons vous donner dans cet article quelques éléments qui vous permettront de définir la meilleure stratégie à adopter. 

En parallèle, Microsoft a annoncé ces derniers jours la sortie de « Microsoft Connected Cache » qui vient en complément de Delivery Optimization. 

A lire également : Fin de Windows Server Update Services : quelles sont les alternatives ?

Découverte rapide de Microsoft Connected Cache 

Auparavant réservé aux utilisateurs de SCCM (System Center Configuration Manager), Microsoft a annoncé fin octobre une preview publique de Microsoft Connected Cache pour les entreprises utilisant Intune.  

La mise en place d’un serveur Microsoft Connected Cache vient en complément de Delivery Optimization et permet de répondre aux demandes de contenu via Delivery Optimization via celui-ci, plutôt que de passer par le cloud en sollicitant les serveurs Microsoft.  

La fonctionnalité peut être gérée à partir du portail d’administration Azure ou via Azure CLI. Il n’y a aucun surcoût à prévoir pour la partie Azure, le coût viendra juste des ressources matérielles dédiées à vos serveurs.  

Elle peut être déployée sur autant de machines virtuelles que nécessaire sur les systèmes d’exploitation suivants : Windows, Windows Server, Linux (Ubuntu ou Red Hat Entreprise) dans votre environnement. C’est vous qui choisissez l’emplacement en fonction du trafic et de la localisation de vos postes de travail. L’idée est qu’il soit proche de la zone à cibler. Le déploiement peut se faire en mono ou multi site.  

Microsoft Connected Cache pour entreprise est disponible pour tous les clients Windows Entreprise E3 ou E5. 

Vous retrouverez ci-dessous les scénarios et contenus pris en charge par un serveur « Connected Cache ». 

On peut remarquer la partie configuration et gestion du serveur « Connected Cache » sur la droite avec une gestion totale via le portail de gestion Azure.  

Sur la gauche, la partie « poste de travail » où on peut voir (numéro 5), le poste qui va requêter le serveur Connected Cache pour récupérer son contenu : s’il n’est pas disponible, il ira le chercher sur le CDN Microsoft (numéro 6).

Pour indiquer à vos postes de travail de se référer à un serveur Connected Cache, vous avez juste à indiquer son IP/Nom DNS dans la stratégie Delivery Optimization.  

Pour en savoir plus sur l’installation et la configuration d’un serveur « Microsoft Connected Cache », je vous conseille de suivre ce lien.

Pour finir, les clients Microsoft qui utilisent cette solution ont pu réaliser des économies de plus de 90% de la bande passante sur des scénarios comme une migration vers Windows 11 ou le déploiement des mises à jour de sécurité Windows.  

Vous pouvez suivre assez simplement les métriques et les performances de Connected Cache depuis le portail Azure. 

La sortie de cette fonctionnalité pourrait permettre à certaines organisations d’entamer la transition vers le modern management et ainsi penser à décommissionner, par exemple, leur infrastructure SCCM. 

Découverte rapide de Delivery Optimization

Delivery Optimization est une fonctionnalité de base de Windows 10 et Windows 11 conçue notamment pour améliorer l’efficacité du téléchargement de contenu comme les mises à jour Windows qui peuvent être parfois volumineuses, même si Microsoft a travaillé ces dernières années pour en réduire le poids. 

Comme annoncé un peu plus haut, l’objectif principal de cette fonctionnalité est de réduire la consommation de bande passante en permettant aux postes de travail présents au sein de votre réseau d’entreprise de télécharger le contenu Microsoft à partir d’autres sources qu’Internet : les postes de travail du même réseau local ou via un serveur « Microsoft Connected Cache » dédié comme annoncé plus haut. 

Il permet également d’accroitre la vitesse de téléchargement en téléchargeant le contenu depuis plusieurs sources en simultané (exemple : plusieurs postes de travail). Le tout dans un environnement sécurisé (vérification de l’authenticité / utilisation de hash), l’authenticité est vérifiée lors du téléchargement et juste avant l’installation.

Delivery Optimization ne peut pas être utilisée pour télécharger ou envoyer du contenu personnel. Aussi, aucun accès aux fichiers ou dossiers personnels des utilisateurs n’est possible. 

Pour finir, la configuration de cette fonctionnalité se fait de manière simple et reste flexible pour répondre aux besoins de votre environnement. Il existe également de nombreux moyens pour monitorer l’économie de bande passante réalisée suite à la mise en place de Delivery Optimization. 

Eléments à prendre en compte lors de l’élaboration d’une stratégie Delivery Optimization

1. Réseau

Selon votre environnement réseau (proxy / firewall), des ajustements seront nécessaires afin d’autoriser le service à fonctionner de manière optimale.  

• Côté Firewall : Des ouvertures de flux vers les URL du service sont nécessaires, notamment vers ces URL 

• Delivery Optimization utilise le port 7680 pour la communication, il faudra s’assurer que ce port ne soit pas bloqué sur le firewall de vos postes de travail. 

• Coté proxy : Si votre organisation utilise un proxy Cloud (Type Zscaler), il est recommandé de mettre un bypass au moins sur l’URL * .prod.do.dsp.mp.microsoft.com (Par exemple dans un proxy pac Zscaler, ajouter ceci pour le bypass : shExpMatch(host, « *.prod.do.dsp.mp.microsoft.com »)).

2. Topologie

Selon votre environnement, il vous faudra définir la meilleure configuration à appliquer. Notamment au niveau du « Download Mode » (cela sert à déterminer la méthode de téléchargement que les clients sont autorisés à utiliser). 

Les deux modes les plus couramment utilisés sont le 1 et 2, si vous utilisez le mode 2 (Peering http across private group), il vous faudra définir un « Group ID Source », c’est ce qui permettra de grouper vos périphériques par un critère qui peut être un site AD ou une option DHCP. Les postes téléchargeront leurs sources dans ce groupe spécifique.  

Par exemple, pour utiliser les options DHCP, sur un site spécifique, il vous faudra créer un GUID et distribuer ce GUID via l’option 234 de votre serveur DHCP. On pourrait donc imaginer la création d’un GUID pour chaque site et donc répartir les groupes ainsi. 

La configuration de votre profil ressemblerait donc à ceci : 

À savoir que, par défaut et recommandé par Microsoft, Delivery Optimization est désactivée lorsqu’un utilisateur se connecte à travers un réseau VPN. Il est possible au travers de la configuration de forcer la désactivation ou de l’activer malgré tout si nécessaire. 

3. Performances du système

D’autres critères sont également à prendre en compte comme :  

• Le minimum d’espace disque disponible pour utiliser Delivery Optimization 
• Le minimum de mémoire RAM disponible 
• La taille du cache réservé à Delivery Optimization  
• Définir une stratégie d’optimization de la bande passante (en % ou en vitesse)  

Vous retrouverez dans ce lien Microsoft, un guide de référence sur tout le paramétrage disponible sur cette fonctionnalité.  

Surveillance et monitoring

La mise en place des rapports Windows Update for Business vous permet d’avoir une vision complète sur l’efficacité de Delivery Optimization.  

Il existe aussi quelques cmdlet Powershell comme Get-DeliveryOptimizationStatus qui vous permettent sur un poste de monitorer en temps réel le nombre de données envoyées et reçues. 

Pourquoi combiner Microsoft Connected Cache et Delivery Optimization ?

La mise en place conjointe de Microsoft Connected Cache et de Delivery Optimization peut permettre à une organisation d’économiser une énorme partie de bande passante (les premiers retours vont de l’ordre de 90 à 95%). Imaginez cela à une plus large échelle, cela peut changer la donne.

Selon les besoins, la mise en place uniquement de Delivery Optimization peut couvrir une bonne partie des besoins et ainsi permettre d’optimiser les performances de votre réseau. 

La gestion et la mise en place de l’une et/ou l’autre des fonctionnalités se fait assez rapidement pour des résultats immédiats. On ne peut pas imaginer le volume de données qui transitent par nos postes de travail entre les déploiements applicatifs, les mises à jour des applications Windows ou autres.

Pour être plus précis, Microsoft n’investira plus dans de nouvelles fonctionnalités, ne prendra plus en charge aucune demande d’évolution, mais les fonctionnalités actuelles et la publication des mises à jour de sécurité, quant à elle, sera toujours opérationnelle via ce canal.

Microsoft précise également qu’il n’existe actuellement aucun plan pour supprimer WSUS des versions de Windows Server (y compris Windows Server 2025). Microsoft continuera à s’assurer que la fonctionnalité WSUS telle qu’elle existe aujourd’hui fonctionne et les problèmes qui pourraient arriver seront bien entendus pris en charge.

La vision de Microsoft sur le sujet est très claire et pousse vers l’utilisation des services cloud. Nous allons voir dans cet article les alternatives possibles à WSUS pour le périmètre poste de travail et serveur, mais tout d’abord un peu d’historique sur WSUS.

Qu’est-ce que Windows Server Update Services ?

Windows Server Update Services est un rôle intégré à Windows Server depuis 2005.

Il permet de gérer la distribution des mises à jour des produits Microsoft (Windows, Windows Server, Office) sur différents périmètres (poste de travail, serveur). Il offre un contrôle granulaire sur les mises à jour, permettant d’approuver ou de refuser les mises à jour, de forcer les dates d’installation et de générer des rapports détaillés sur la conformité des mises à jour de votre parc. C’est une fonctionnalité gratuite qui est intégrée à Windows Server qui lui est bien entendu sous licence.

Outre le coût, WSUS permet d’avoir un contrôle granulaire sur l’approbation et la planification de l’installation des mises à jour. Cependant, une infrastructure WSUS réclame beaucoup de maintenance, d’optimisation et est limitée techniquement par rapport aux solutions cloud, notamment en termes d’automatisation.

Quel avenir pour WSUS ?

Comme indiqué un peu plus haut, Microsoft encourage les organisations à entamer une transition vers ses outils de gestion cloud. Généralement, ces outils offrent des fonctionnalités avancées et un meilleur reporting que WSUS.

D’autres aspects sont également à prendre en compte lors du changement d’un outil tel que WSUS :

• Investissement : beaucoup d’organisations ont investi dans une infrastructure WSUS. Un investissement sera sans doute nécessaire pour la transition vers un outil cloud (licences, matériel).
• Coût : Le passage de WSUS vers une nouvelle solution pourrait entraîner une augmentation des coûts, tant en termes d’efforts de migration que de licensing pour les services cloud.
• Sécurité : Il est important de s’assurer que les correctifs de sécurité soient déployés efficacement. Il est aussi crucial de connaître le niveau de conformité de son parc informatique dans le but de voir si les éventuelles failles de sécurité sont bien corrigées.

Alternatives à WSUS pour le périmètre poste de travail

Si vous disposez d’une infrastructure Microsoft Configuration Manager et que vous l’utilisez pour mettre à jour vos postes de travail, pas de panique, vous pouvez toujours passer par ce biais. La dépréciation de WSUS n’aura aucun impact sur ce produit, même si Microsoft recommande une transition vers Windows Update for Business / Windows Autopatch avec Microsoft Intune.

Nous allons faire un zoom rapide sur chacune des fonctionnalités que Microsoft propose en remplacement de WSUS pour ce périmètre.

Zoom sur Windows Update for Business

Windows Update for Business est un service gratuit disponible pour les éditions suivantes de Windows 10 et Windows 11 :

• Pro, y compris Pro pour les stations de travail
• Éducation
• Entreprise

Pour rappel, le 15 octobre 2025, c’est la fin de Windows 10. Pour en savoir plus sur le déploiement vers Windows 11, c’est ici.

Il permet de maintenir les postes de travail Windows à jour avec les dernières mises à jour de sécurité et de fonctionnalités Windows en se connectant directement au service Windows Update.

Les stratégies nécessaires à Windows Update for Business sont configurables via le MDM Intune, par stratégie de groupe ou encore par SCCM.

Grâce à ces stratégies, vous pourrez avoir un contrôle sur le déploiement des mises à jour de sécurité et de fonctionnalités en créant des rings regroupant plusieurs appareils et en décalant l’application des mises à jour sur ceux-ci (voir schéma ci-dessus). Vous bénéficierez également de l’expérience utilisateur « Windows Update » en ce qui concerne les notifications de redémarrage.

Bon à savoir :

• Vous pouvez activer également les mises à jour automatiques pour les drivers Windows et gérer leur approbation grâce à la fonctionnalité « Windows Driver Update Management » (plus d’infos : stratégie de mise à jour des pilotes Windows pour les appareils Windows 10 Windows 11 dans Intune).
• La mise à jour automatique des produits Office est également possible grâce à l’activation du paramètre « Microsoft Product Updates ».
• Si vous découvrez un problème lors du déploiement d’une mise à jour de qualité ou de fonctionnalité, il est possible de suspendre celle-ci pendant 35 jours pour empêcher d’autres appareils de l’installer jusqu’à ce que le problème soit résolu.
• Grâce à l’activation de la fonctionnalité « Windows Update for Business reports », gardez un œil sur la conformité de vos postes de travail. C’est même interconnectable avec PowerBI pour sortir des dashboards pour les équipes sécurité (plus d’infos : Tailor Windows Update for Business reports with Power BI | Windows IT Pro Blog)

Pour en savoir plus globalement sur Windows Update for Business, suivez ce guide : Windows Update for Business | Microsoft Learn.

Zoom sur Windows Autopatch

Windows Autopatch est une sorte de « surcouche » à Windows Update for Business. Il automatise les mises à jour de Windows, des applications Microsoft 365, de Microsoft Edge et de Microsoft Teams dans le but d’améliorer la conformité, la sécurité et la productivité au sein de votre entreprise et libère ainsi du temps à vos équipes informatiques qui peuvent se concentrer sur d’autres tâches à plus hautes valeurs ajoutées.

Windows Autopatch est un service cloud soumis à licence, il n’est disponible entre autre que sur les éditions Windows 10/11 Education A3/A5, Windows 10/11 Entreprise E3/E5.

En fonction du type de licence, vous bénéficierez de plus ou moins de fonctionnalités liés à ce service.

Bon à savoir :

• L’orchestration des mises à jour est déplacée vers Microsoft qui se charge de la planification de l’ensemble du processus de mise à jour.
• Lors de la mise en place d’Autopatch, des rings par défaut sont créés selon la logique suivante :
  • Déploiement ring Test > Gestion manuelle par l’IT (population pilote)
  • Déploiement ring First > Gestion automatique comprenant 1% du parc
  • Déploiement ring Fast > Gestion automatique comprenant 9% du parc
  • Déploiement ring Broad > Gestion automatique comprenant entre 80 et 90% du parc
  • Déploiement ring N/A > Gestion manuelle par l’IT (population VIP ou poste critique par ex).
• Aussi lors de l’activation d’Autopatch, les postes de travail vont s’enregistrer automatiquement auprès du service si les prérequis sont respectés et ils seront assignés automatiquement à un ring. Plus d’infos ici : Device registration overview | Microsoft Learn ou là : Register your devices | Microsoft Learn
• Si Windows Autopatch détecte un problème significatif avec une mise en production, la mise en pause est automatique.

Pour en savoir plus globalement sur Windows Autopatch, suivez ce guide : Windows Autopatch documentation | Microsoft Learn

Autre guide utile : Guide de déploiement de Windows Autopatch | Microsoft Learn qui vous expliquera les différences entre Windows Update for Business et Autopatch et vous guidera aussi pour passer d’une solution à une autre si jamais c’est un projet à venir chez vous.

Depuis septembre 2024, Windows Update for Business et Autopatch sont en cours d’unification sur la partie « Configuration / Stratégie », l’activation des fonctionnalités Autopatch reste soumise à licence Windows Entreprise (par exemple).

Pour finir, un petit comparatif entre ces deux solutions :

Le choix entre ces deux solutions dépendra du niveau de contrôle que vous voulez avoir sur la gestion de vos mises à jour (manuelle ou automatique en laissant la main à Microsoft pour laisser vos équipes IT du temps pour se consacrer à d’autres projets).

Un aspect financier est aussi à prendre en compte, en effet, il faudra prévoir un surcoût supplémentaire pour passer en Windows Entreprise si vous voulez utiliser Windows Autopatch.

Alternative à WSUS pour le périmètre serveur

Comme alternative à WSUS pour la gestion des Windows Serveur, Microsoft recommande l’utilisation d’Azure Update Manager mais il existe d’autres alternatives comme AWS Systems Manager Patch Manager.

Zoom sur Azure Update Manager

Azure Update Manager est un service SAAS centralisé, fourni par Microsoft et qui permet de gérer les mises à jour de vos machines Windows Serveur ou Linux qu’elles soient hébergées dans le cloud Azure, localement dans vos datacenters ou sur d’autres plateformes cloud (via Azure ARC).

Azure Update Manager est disponible sans surcoût pour la gestion des machines virtuelles hébergées dans Azure et les machines virtuelles de type « Azure Stack HCI Arc-Enabled ».

Pour les serveurs gérés via Azure Arc directement, le prix est de 5$ par serveur et par mois.

Concernant la prise en charge des systèmes d’exploitation :

• Pour Microsoft : Windows Server 2022 / Windows Server 2019 / Windows Server 2016 / Windows Server 2012 R2 (ESU)
• Pour Linux : On peut citer des distributeurs comme Ubuntu, Red Hat Entreprise ou encore CentOS.

Azure Update Manager prend aussi en charge les images « custom » avec à peu près les mêmes prises en charge qu’au-dessus.

Pour plus d’infos sur la matrice de support, cliquez ici

Bon à savoir :

• Prise en charge du « hot patching » : Installation des mises à jour à chaud, le redémarrage du système distant n’est plus obligatoire.
• Centralisation : un seul endroit pour gérer le patching de tout type de serveurs.
• Tableau de bord assez complet permettant d’avoir en quelques secondes l’inventaire des machines et l’état des mises à jour.
• Flexibilité (installation, planification, plage de maintenance)
• Rapport, compliance et alerting personnalisables.
• Contrôle d’accès granulaire sur les ressources (RBAC…).

Pour en savoir plus sur Azure Update Manager, suivez ce guide

Zoom sur AWS System Manager Patch Manager

Un petit tour vers la concurrence 

Patch Manager est une fonctionnalité d’AWS Systems Manager, elle permet d’automatiser le processus de gestion des mises à jour, notamment de sécurité. L’utilisation de Patch Manager est possible pour appliquer les mises à jour de sécurité sur les systèmes d’exploitation pris en charge ou les applications publiées par Microsoft.

Vous pouvez patcher, au choix, votre flotte de machines virtuelles AWS EC2, ou des serveurs on-premise.

Outre le coût d’AWS System Manager, (lien vers le calculateur ici) aucun frais supplémentaire n’est facturé pour l’utilisation de Patch Manager pour les systèmes d’exploitation pris en charge ou des applications Linux sur les instances Amazon EC2 ou sur site. Aucun coût supplémentaire non plus pour le patching d’applications Microsoft sur les instances Amazon EC2.

Concernant la prise en charge des systèmes d’exploitation :

• Pour Microsoft : Windows Server 2022 / Windows Server 2019 / Windows Server 2016 / Windows Server 2012 R2  (ESU)
• Pour Linux : On peut citer des distributeurs comme Ubuntu, Red Hat Entreprise ou encore CentOS.
• Pour MacOS : De Big Sur à Sonoma pour les EC2 MacOS hébergés sur AWS.

Plus d’infos sur la matrice de support ici.

Bon à savoir :

• Automatisation des correctifs : Réduction de la charge grâce à l’automatisation du processus
• Centralisation : Un seul endroit pour gérer le patching de tout type de serveurs
• Flexibilité (installation, planification, plage de maintenance)
• Conformité et reporting complet et personnalisable.

Pour en savoir plus sur AWS System Manager Patch Manager, cliquez ici.

Le choix entre ces deux solutions dépendra fortement du cloud provider auquel votre organisation a décidé de faire confiance. Au niveau fonctionnalité, celles-ci se ressemblent fortement et prennent en charge tout type d’hébergement. L’aspect coût a aussi son importance dans ce type de projet.

Conclusion

La dépréciation à venir de WSUS permettra aux organisations de moderniser leur infrastructure de patching OS Client / Serveur et aussi leur process en allant vers beaucoup plus d’automatisation laissant aux équipes IT un temps plus conséquent pour se consacrer, par exemple, à des projets qui ont plus de valeur ajoutée.

Dans cet article, j’ai essayé de comparer deux solutions sur chaque périmètre vous permettant de vous faire votre propre avis sur le sujet en essayant d’être le plus complet possible.

N’hésitez pas à nous contacter si vous avez besoin d’informations supplémentaires 

Nous allons, à travers cet article, faire un tour d’horizon de ce que peut proposer cette solution de sauvegarde, comment la configurer, comment suivre les coûts… 

Overview de Microsoft 365 Backup

Tour d’horizon : pourquoi sauvegarder votre tenant avec Microsoft 365 Backup ?

Les menaces liées à la sécurité et les attaques par ransomware sont en hausse dans le monde entier et peuvent coûter des millions d’euros à une entreprise impactée.  

Microsoft 365 Backup permet de limiter l’impact opérationnel, financier et business de ces cyberattaques en offrant un moyen aux administrateurs de sauvegarder et restaurer les comptes OneDrive, les sites SharePoint ou encore les boîtes aux lettres Microsoft Exchange Online des utilisateurs finaux à un point de recouvrement sain en quelques heures seulement.

Le but de Microsoft 365 Backup est de garantir que les données de votre entreprise soient toujours protégées et récupérables facilement et rapidement dans le cadre, par exemple, d’une reprise d’activité à la suite d’une cyberattaque ou simplement restaurer une donnée qu’un utilisateur aurait supprimée par mégarde. 

Les avantages qu’offrent cette solution sont multiples : 

• Sauvegarde et restauration rapide (Microsoft annonce être 20 fois plus performant que les services traditionnels),
• Restauration granulaire ou complète de boîte aux lettres Exchange Online (restauration granulaire d’éléments à l’aide d’un assistant de recherche), 
• Restauration complète de sites SharePoint et de comptes OneDrive, 
• Sécurité et conformité. 

Microsoft 365 Backup est activable via le Centre d’administration de votre tenant Office 365 (nous le verrons plus bas). 

Vous trouverez ci-dessous un résumé des fonctionnalités avec des informations utiles telles que : 

• La fréquence des points de récupération, 
• Le RTO. 

Et ci-dessous, un tableau illustrant les temps de restauration par volumétrie et par type de service.  

Une « protection units » correspond par exemple à une boite aux lettres ou un compte OneDrive. 

Combien coûte Microsoft 365 Backup ?

Ce service est proposé sous la forme d’un service pay-as-you-go, avec un tarif de 15 centimes de dollars par Go et par mois (soit 150 dollars par mois pour 1 To de données par exemple). 

La facturation se fait en fonction de la taille du contenu pendant 365 jours à compter du moment où il est ajouté dans la sauvegarde. 

Par exemple, si vous avez un site SharePoint qui est actuellement de 1 Go pour le premier mois, vous êtes facturé 1 Go d’utilisation de sauvegarde. Si vous supprimez le contenu de ce site de telle sorte qu’il ne soit plus que de 0,5 Go, la prochaine facture mensuelle sera toujours de 1 Go, car l’outil de sauvegarde conserve ce contenu supprimé pendant un an. Après un an, lorsque la sauvegarde de ce contenu supprimé expire, les 0,5 Go conservés à des fins de sauvegarde ne seront plus facturés. 

Microsoft met à disposition une calculette (disponible via ce lien). 

Pour l’utiliser il faudra passer en revue les rapports d’utilisation Microsoft 365 de votre tenant pour obtenir les informations suivantes dans la période que vous définirez (30 à 180 jours) : 

• Nombre de comptes actifs sur OneDrive dans la période définie et quantité de stockage associé, 
• Nombre de sites SharePoint et quantité de stockage associé, 
• Nombre de boîtes aux lettres Exchange Online et quantité de stockage associé. 

Exemple des rapports pour OneDrive

Vous trouverez les autres rapports en suivant ce lien.

Le calculateur vous donnera ensuite les coûts estimés par mois et par service. 

Pour en savoir plus sur les modèles de tarification, suivez ce lien Modèle de tarification pour sauvegarde Microsoft 365 | Microsoft Learn 

Suivi des coûts

Le suivi des coûts peut se réaliser via Azure Cost Management \ Cost Analysis. 

Azure Cost Management est un outil gratuit inclus dans Entra ID et qui permet d’analyser les coûts des différents composants de votre instance Entra. Il peut aussi s’interfacer avec PowerBI pour produire du reporting enrichi. 

Vous pourrez ainsi voir un suivi détaillé du coût par jour ou sur le mois. 

Microsoft 365 Backup : comment le mettre en fonction ?

La mise en place de Microsoft 365 Backup se veut simple, rapide et efficace et cela se fait en 3 étapes. 

Etape 1 : Setup pay-as-you-go biling. 

Comme annoncé plus haut, Microsoft 365 Backup adopte un mode de licensing « pay as you go ».  

Pour mettre en place cela, rendez-vous dans le portail d’administration Office 365 \ Setup \ Use content Ai with Microsoft Syntex 

Vous aurez besoin de ces éléments lors de la configuration : 

• Une souscription Azure 
• Un ressource group 
• Choisir la région d’hébergement 

Etape 2 : Turn on Microsoft 365 Backup 

Toujours dans le portail d’administration Office 365, rubrique Setup \ Microsoft 365 Backup, activer la fonctionnalité Microsoft 365 Backup. 

Etape 3 : Create backup policies

Après avoir activé le « pay as you go » et Microsoft 365 Backup, il est désormais temps de créer vos stratégies de backup. 

Vous pouvez déléguer la création des backup policies via les rôles suivants : 

A l’avenir Microsoft prévoit un rôle global « Backup Admin ». 

Pour utiliser Microsoft 365 Backup, vous devez donc créer une stratégie de sauvegarde pour chaque produit. Une stratégie représente le plan de sauvegarde défini par les administrateurs pour protéger les données de l’organisation. 

Une stratégie contient des détails sur les données (comptes OneDrive, sites SharePoint et boîtes aux lettres Exchange) à protéger. Vous y verrez également la période de rétention et la fréquence de sauvegarde qui ne sont actuellement pas modifiables.  

Pour en savoir plus sur la création, modification, suppression des policies, suivez ce lien. 

Faut-il utiliser Microsoft 365 Backup ? 

Microsoft 365 Backup vise à simplifier la sauvegarde et restauration des données OneDrive, SharePoint, Exchange et vient un peu bousculer un marché sur lequel des acteurs du marché sont déjà bien présents.   

Nul doute que les atouts exposés (sécurité, rapidité, simplicité) dans cet article peuvent changer les règles dans certaines organisations qui n’ont, jusqu’ici, pas de solution de sauvegarde. 

Il faut garder un œil sur les évolutions à venir sur ce produit, notamment l’intégration de la sauvegarde Teams (2025) ou encore Project/Planner et la mise en place de RBAC plus dédiée. 

Pour finir, si vous n’avez pas confiance en Microsoft pour sauvegarder vos données Microsoft 365 (Team : « On ne met pas tous les œufs dans le même panier » par exemple), Microsoft a sorti également un service appelé Microsoft 365 Backup Storage. Celui-ci permet d’ouvrir l’accès à l’espace de stockage à des solutions tierces. Ceci s’effectue par l’intermédiaire de l’API du service. 

Plusieurs éditeurs comme AvePoint ou Veeam sont capables à l’heure actuelle d’utiliser le service Backup Storage. 

Pour aller plus loin

Article – Microsoft Intune Suite : fonctionnalités et pricing

Article – Cadrez votre migration de Windows 10 vers Windows 11

Article – Microsoft 365 : comment fonctionnent les Organizational Messages ?

La date de fin de support de Windows 10 22H2 fixée à Octobre 2025 par Microsoft arrive à grand pas.

Quel est votre plan pour migrer vos postes de travail vers Windows 11 avant cette date butoir ? Comme tout bon Ingénieur Modern Workplace le sait, les migrations de systèmes d’exploitation Windows, que ce soit à petite ou grande échelle, nécessitent une planification, des tests et un déploiement par phase pour éviter les interruptions d’activité qui pourrait survenir en cas d’incompatibilité par exemple.

De nombreuses DSI considèrent leur migration vers Windows 11 comme une opportunité d’améliorer la sécurité de leur parc informatique et la fiabilité des postes de travail. Contrairement aux anciens systèmes d’exploitation, Windows 11 introduit de nouvelles fonctionnalités avancées de sécurité qui permettent aux services informatiques de mieux sécuriser leur parc informatique.

Nous allons voir dans cet article les bonnes pratiques pour organiser, planifier et suivre la migration Windows 11 de son parc informatique avec notamment Microsoft Intune et/ou SCCM.

Migration vers Windows 11 : évaluez la comptabilité votre environnement

Compatibilité des applications

De manière générale, on dit que les applications qui fonctionnent sous Windows 10 fonctionnent sous Windows 11.

Cependant, il reste judicieux de valider les applications de votre parc informatique sous ce nouvel environnement, en particulier les solutions de sécurité tierces, de gestion des périphériques non Microsoft ou tout simplement vos applications métiers pour garantir qu’elles fonctionnent comme prévu sous Windows 11 ou si des ajustements sont nécessaires et à prévoir.

La recommandation si une de vos applications n’est pas compatible sera de rentrer en contact avec l’éditeur tiers ou votre équipe de développement s’il s’agit d’un développement interne.

Pour compléter, Microsoft via le FastTrack propose un programme appelé « App Assure » qui permet de bénéficier de l’assistance de Microsoft pour gérer la compatibilité applicative.

Plus d’informations ici App Assure with Microsoft FastTrack

Compatibilité du matériel

Les questions principales à se poser sont :

• Quels sont les périphériques en fin de vie ou incompatibles avec Windows 11 et qui ont donc besoin d’être remplacés ?
• Quels sont les périphériques qui ont besoin d’être upgradés (RAM, stockage) pour être compatibles avec Windows 11 ?

Comme pour les applications et, de manière générale, les pilotes et accessoires fonctionnant sous Windows 10 fonctionnent sous Windows 11.

Microsoft a mis à disposition des rapports pour aider les administrateurs à déterminer le taux de compatibilité de leur parc avec Windows 11 et déterminer la cause de non-compatibilité, les aidant à prendre les bonnes décisions sur par exemple le taux de matériel à renouveler.

Sous Intune, rendez-vous dans Endpoint Analytics / Work from Anywhere | Onglet Windows.

Vous y trouverez la liste de vos périphériques et leur statut de compatibilité avec Windows 11. S’il n’est pas compatible, vous trouverez la raison, comme ici dans notre exemple.

Sous SCCM, rendez-vous dans la partie Windows 11 Upgrade Readiness pour retrouver le même type d’information.

Microsoft a également publié un script qui permet de connaître le degré de compatibilité d’un poste avec Windows 11, vous le trouverez à l’adresse suivante : https://aka.ms/HWReadinessScript

Les raisons de non-compatibilité les plus communes peuvent être les suivantes :

Profiter de la migration Windows 11 pour changer les choses

Vous êtes actuellement sur un environnement « on-premise » Active Directory et SCCM ? Pour vos périphériques existants, vous pouvez opter pour l’hybridation Entra ID et la cogestion SCCM / Intune. Vous pouvez basculer vos workloads de gestion SCCM vers Intune par catégorie (mise à jour Windows Update, configuration, conformité). Vous bénéficierez des avantages de la gestion cloud par Intune sans réinitialiser et reprovisionner l’appareil et perturber l’utilisateur.

Il s’agit d’une étape transitoire, pas d’une finalité.

L’hybridation peut parfois complexifier les choses ou apporter des contraintes notamment si vous souhaitez utiliser la solution Autopilot. Les périphériques hybrides disparaîtront alors de votre environnement lorsqu’ils seront remplacés par des appareils « Cloud Native Entra ID » dans des situations comme une remasterisation ou une panne.

Le mode « Cloud Native » doit rester prioritaire si votre environnement le permet ! Privilégiez donc ce mode pour vos nouveaux déploiements de périphériques.

Cela offre de nombreux avantages comme :

• Le déploiement des périphériques de n’importe où, une connexion à Internet suffit. Autopilot sera votre allié .
• Une gestion simplifiée et sécurisée avec Microsoft Intune.
• Un support de l’authentification SSO cloud et locale.
• La sécurisation de l’identification (Hello for Business / PasswordLess)
• Plus d’attachement avec les environnements « on prem ».

Même si cette possibilité existe, de nombreux clients choisissent d’ignorer complètement cette phase de cogestion SCCM/Intune en optant pour la fourniture de nouveaux appareils en mode cloud natif. Ces clients utilisent le cycle de renouvellement de leur matériel comme levier de migration. Les appareils existants restent gérés localement, tandis que les nouveaux appareils sont déployés en tant que cloud natif. Après un cycle complet de renouvellement du matériel sur environ 2 à 3 ans, tous les périphériques seront finalement gérés exclusivement dans le cloud.

Ces points restent à prendre en compte dans votre stratégie si c’est votre besoin.

Plan de déploiement pour la migration vers Windows 11

Après avoir terminé l’analyse de votre environnement applicatif et matériel, éventuellement remis en cause la manière dont vous allez gérer vos postes Windows 11, il est temps d’établir votre plan de déploiement.

Comment migrer vers Windows 11 facilement ?

Sous Intune, vous pouvez utiliser Windows Update for Business avec la création d’un profil « Feature Updates » :

Vous pouvez opter pour un déploiement requis et, petite nouveauté qui est apparue ces derniers jours, l’apparition du mode « optional » qui propose à l’utilisateur l’installation de Windows 11 sans le forcer au niveau du panneau de configuration Windows Update.

Une option assez pratique également est le « Make update available gradually » qui permet (si vous visez un groupe assez conséquent de périphériques) de faire un déploiement gradué automatique et géré par Microsoft. (Exemple, vous visez un groupe de 100 périphériques avec une date cible à J+7, une petite grappe de postes sera migrée chaque jour). Cela peut réduire le degré d’impact de votre déploiement en cas de problématiques liées à celui-ci.

Sous SCCM, si vous utilisez la cogestion et que le workload « Windows Update » est actif, vous pouvez utiliser la méthode ci-dessus. Sinon il reste possible de déployer Windows 11 en utilisant :

• Une feature Update dans la catégorie Software Update
• Une séquence de tâches de migration Windows 11 qui demandera un peu de temps d’ingéniering pour la mise en place et le testing.

Migration Windows 11 : l’importance de l’accompagnement au changement

Les utilisateurs ne sont pas trop friands des changements qui les impactent. Pour les aider le plus possible à l’adopter, voici les principaux conseils à suivre :

• Gardez un message simple, pertinent et utilisez le moins de jargon technique possible.
• Utilisez les formats et les canaux de communication auxquels votre public est le plus réceptif (Push Mail / Intranet…)
• Créez une communauté d’Early Adopters métiers pour faire tester Windows 11 et s’appuyer dessus pour promouvoir le produit aux autres utilisateurs.
• Assurez la formation des utilisateurs si nécessaire, vous pouvez aussi leur mettre à disposition des tutoriels ou autres documentations les informant des changements invoqués par le passage à Windows 11.
• Mettez à jour les documentations utilisateurs existantes afin de refléter les changements.
• Créez (éventuellement) une communauté d’entraide au sein de l’entreprise.

Les équipes IT, notamment le support, devront être capables de répondre aux sollicitations des utilisateurs dans le cadre de leur migration Windows 11. Il faudra veiller à ce que toutes leurs procédures et leurs fiches de résolution soient à jour concernant ce nouvel OS.

Un déploiement par phase

Pour gérer les risques et résoudre les problèmes sans affecter le business, il faudra envisager une migration progressive vers Windows 11.

Par exemple, il est conseillé de débuter par un groupe pilote d’utilisateurs de l’IT et d’utilisateurs finaux « pilotes » pour lesquels l’impact business est moindre. Suivi des services les moins impactants pour le business de l’entreprise. Et pour finir avec les VIPS.

Les commentaires des utilisateurs lors de chaque phase de déploiement doivent être pris en compte pour, éventuellement, ajuster le plan de déploiement, répondre à leurs problématiques et s’assurer que celles-ci soient bien considérées par vos équipes support pour les prochaines phases.

Cette approche permet aux administrateurs de gérer plus efficacement la migration et d’assurer une transition en douceur pour tous les utilisateurs de l’entreprise.

Support fin de migration / Monitoring

Une fois que vous avez réalisé votre migration, il faut maintenir votre parc en condition opérationnelle et s’assurer que tout fonctionne correctement.

Voici quelques actions qui peuvent être mises en place pour faire baisser le taux d’incidentologie de votre parc à la suite de la migration Windows 11 :

• Mettre en place une analyse et mise à jour récurrente des pilotes via HP Image Assistant (si parc HP) ou Dell Command (si parc Dell). Vous pouvez utiliser les scripts de remédiation proactive pour cela.
• Mettre à jour le BIOS (l’utilisation de HP Connect (si parc HP) est facilitatrice dans ce cas)
• D’une manière générale, garder le poste ainsi que ses applications (natives ou tierces) le plus à jour possible.

Vous pouvez aussi utiliser les rapports fournis avec Endpoint Analytics qui peuvent vous donner des métriques sur les performances de vos postes de travail.

Il existe par rapport des dashboards concernant les temps de démarrage de vos postes de travail :

Il existe aussi des dashboards sur la fiabilité applicative qui peuvent vous donner des éléments sur les applications posant le plus de problèmes sur votre parc et ainsi prendre les mesures adéquates (une mise à jour par exemple) :

Voilà, vous avez une bonne partie des clés pour réussir votre migration Windows 11.
En cas de questions, n’hésitez pas à nous contacter, l’équipe Modern Workplace vous fera un plaisir de vous répondre et de vous accompagner si nécessaire !

Pour aller plus loin

Article – Comment utiliser Microsoft Copilot ?

Article – Windows Autopilot Device Preparation, qu’est-ce que c’est ?

Un organizational message, ou message organisationnel en français, se définit par une communication envoyée à tous les membres d’une organisation pour diffuser des annonces importantes, des mises à jour, ou des informations cruciales relatives aux opérations. Les organizational messages permettent de s’assurer que tous les employés reçoivent et prennent connaissance des informations essentielles à l’organisation.

Après avoir déployé les organizational messages dans Intune, Microsoft a décidé de les déplacer dans Microsoft 365 depuis mai 2024. Cette nouvelle fonctionnalité, qui est pour le moment en preview et directement accessible dans le portail d’Administration Microsoft 365 permettra à vos administrateurs de communiquer envers les utilisateurs par le biais d’expériences natives, personnalisées et directement dans les produits Microsoft qu’ils utilisent au quotidien, comme Windows 11.  

Les organizational messages peuvent être utilisés pour communiquer dans des scénarios de travail à distance et hybrides et sont destinés à aider les utilisateurs dans des scénarios comme la prise en main de leur nouveau matériel ou tout simplement les informer d’une mise à jour ou d’un incident technique impactant leur application métier. 

Ces organizational messages apparaissent à des endroits très visibles (au choix) dans Windows 11 : 

• Dans l’application de prise en main de Windows.
• Dans la zone de notification.
• Au-dessus de la barre des tâches.

Nous allons voir dans cet article les prérequis nécessaires pour utiliser les organizational messages dans Microsoft 365, ainsi qu’un tour d’horizon des usages possibles. 

Organizational messages dans Microsoft 365, quels prérequis ? 

La fonctionnalité Organizational Messages est prise en charge sur les postes de travail exécutant Windows 11 version 22H2 ou supérieure. 

Elle nécessite le niveau de licence suivant :

• Microsoft 365 E3 
• Microsoft 365 E5 
• Windows 11 Entreprise E3 avec Microsoft Intune Plan 1 
• Windows 11 Entreprise E5 avec Microsoft Intune Plan 1 

Il est nécessaire également de déployer une stratégie de configuration via Microsoft Intune qui permet l’activation de la fonctionnalité au niveau du poste de travail. 

Et d’autoriser ou non l’envoi des messages par Microsoft au niveau des paramètres d’administration Microsoft Intune. 

Tour d’horizon des organizational messages dans Microsoft 365 

L’envoi des organizational messages se fera à partir d’août 2024 depuis la console d’administration Microsoft 365. D’ici là, vous pouvez planifier un envoi depuis la console d’administration Microsoft 365 ou celle de Microsoft Intune.

Nous pouvons définir en 5 phases distinctes le fonctionnement de l’envoi d’un organizational message :

• Création : Créer le message en choisissant la catégorie, le texte, le logo, etc.
• Ciblage : Choisir un groupe contenant les destinataires du message.
• Planification : Choisir la date à laquelle le message sera envoyé ainsi que sa fréquence. 
• Approbation : Soumettre le message à approbation (le créateur du message ne peut pas être l’approbateur).
• Revue : Monitorer la performance du message (nombre de vue, de clic etc). 

Nous allons voir comment créer un organizational message depuis la console d’administration Microsoft 365 qui est donc la cible.  

Pour cela, rendez-vous dans la partie « Reports » puis « Organizational Messages » 

Vous arriverez sur 3 choix.  

Choix 1 : « Create a message » 

Envoyer un message selon une thématique précise comme prévenir l’utilisateur d’une interruption de service planifiée ou encourager l’adoption d’un produit. 

Ce type de message peut mettre jusqu’à 24h avant d’être distribué sur la totalité des postes de travail de l’organisation. 

Lors de la création du message, il faudra choisir l’objectif du message et sa localisation, à savoir soit un affichage dans la zone de notifications, soit un affichage au niveau de la barre des tâches ou sur l’écran « Windows Spotlight » (écran de verrouillage).

Nous sommes désormais dans la zone de rédaction : 

Vous devrez notamment entrer le titre et le corps du message et choisir un logo qui habillera la notification. Une URL sera également demandée, elle s’ouvrira quand les utilisateurs cliqueront sur le bouton paramétré dans le champ « Button Text ». 

Vous pouvez avoir directement un aperçu de ce que l’utilisateur recevra sur son poste dans la partie « Preview ». 

Il faut désormais choisir le ou les groupes destinataires. 

Vous pouvez choisir « All Company » si votre message cible tous les utilisateurs de votre organisation ou choisir un groupe personnalisé. 
Vous pouvez également exclure un groupe. (exemple : envoyer le message à toute l’organisation sauf aux utilisateurs d’un site en particulier). 

Ensuite nous pouvons planifier le message et choisir sa fréquence d’exécution. 

Il est temps d’envoyer le message pour approbation en cliquant sur « Send for approval ». 

Un message de confirmation vous indiquera que le message est en attente d’approbation pour être envoyée. 

Pour approuver le message, un administrateur ayant le rôle d’approbateur de organizational message doit se rendre dans le portail d’Administration Microsoft 365 au même endroit que ci-dessus, sélectionnez le message, éventuellement mettre un commentaire et approuver le message. 

Le message mettra quelques heures avant de s’afficher sur les postes des utilisateurs ciblés.  

Choix 2 : « Send urgent message »  

Cela reprend le même workflow qu’au-dessus sauf que le délai d’envoi du message sera plus rapide.  

Choix 3 : « Review Activity » 

Cela vous permettra d’avoir des statistiques sur l’envoi des messages. Le nombre de fois que le message a été vu et le nombre de clic effectué par les utilisateurs sur celui-ci. 

Un moyen de voir rapidement le taux d’adhérence à votre communication. 

Expérience utilisateur

Si vous choisissez la localisation « taskbar », le message s’affiche au-dessus de celle-ci. Nous avons un bouton pour ignorer le message « Not Now » ou un autre pour accéder à plus de détails « More Details » qui ouvre le navigateur avec l’URL configuré dans le message. 

Si vous choisissez la localisation « notification area », le message dans la zone de notification. En cliquant dessus, l’URL configuré dans le message s’ouvre. 

Exemple d’Onboarding personnalisé via l’application « prise en main » de Windows 11.

Conclusion sur les organizational messages

Microsoft ajoute là une corde à l’arc des administrateurs informatiques en leur offrant une façon facile et moderne de communiquer envers les utilisateurs finaux. 

Cette fonctionnalité (même si elle n’est qu’en preview pour le moment) a beaucoup de potentiel, reste à voir si elle sera en mesure de remplacer le traditionnel email de communication dans les habitudes des entreprises. 

Il faudra rester attentif sur l’évolution de l’outil et les possibilités qui s’offriront avec celles-ci, notamment en termes de licencing.  

Pour aller plus loin sur Intune

Article – Platform SSO pour macOS avec Microsoft Intune : tour d’horizon

Article – Microsoft Intune Suite : fonctionnalités et pricing

Article – Autopilot V2 : Windows Autopilot Device Preparation, qu’est-ce que c’est ? 

Messages organisationnels dans le Centre d’administration Microsoft 365 – Microsoft 365 admin | Microsoft Learn 

Nous allons voir dans cet article les changements apportés sur cette nouvelle version ainsi que sa mise en place. 

Windows Autopilot : un peu d’histoire 

Pour faire l’historique de Windows Autopilot, c’est une solution intégrée à Microsoft Intune que Microsoft a lancée en 2017 et qui a révolutionné totalement la façon de déployer des postes de travail Windows avec une vision plus « moderne » et « cloud » que ces prédécesseurs comme SCCM ou MDT. Les avantages mis en avant à l’époque étaient :  

• Réduction du temps consacré par le service informatique au déploiement et à la gestion des périphériques (plus de master à gérer, on part du master OEM présent sur la machine ou d’une image ISO Microsoft). 

• Réduction de l’infrastructure nécessaire au déploiement des appareils.  

• Méthode optimisée et simplifiée pour l’IT ou les utilisateurs finaux. 

Il est possible avec Windows Autopilot de préparer des périphériques en mode « Entra ID Join » et « Entra ID Hybrid Join » (la bonne pratique restant le mode Entra ID Join).

On a également pu voir de nouveaux concepts apparaitre tel que « user-driven » qui permet à l’utilisateur final de provisionner son périphérique directement sans action de l’IT, « whiteglove » qui permet à l’IT ou à un partenaire/revendeur de pré-provisionner entièrement le périphérique avant de le mettre à disposition de l’utilisateur final ou « self-deploying » qui permet de provisionner des PC en mode Kiosque. 

Pour avoir une vue d’ensemble sur Windows Autopilot, vous pouvez suivre ce lien vers le site de Microsoft.

Autopilot V2 : introduction à Windows Autopilot Device Preparation

Windows Autopilot Device Preparation vise à simplifier encore plus le déploiement des périphériques, en optimisant le temps global de préparation de celui-ci et en améliorant notamment la résolution des problématiques qui peuvent survenir pendant le déploiement ainsi que le reporting. 

La grosse nouveauté comparée à Windows Autopilot est qu’il n’est plus nécessaire d’importer le hash matériel pour pouvoir bénéficier du service. Autre nouveauté, le profil de déploiement sera à déployer sur un profil utilisateur et non machine. 

D’un point de vue Administrateur 

Les améliorations apportées par Microsoft dans cette nouvelle version se résument en 4 axes majeurs qui sont :  

• La simplicité : un profil de déploiement unique qui simplifie la configuration et qui regroupe les paramètres de déploiement/OOBE et le déploiement des applications / scripts (auparavant Profil de déploiement et profil ESP). Plus de hash matériel à gérer. 
• La rapidité : utilisation du « enrôlement time grouping » (le périphérique est intégré à un groupe de sécurité au moment de son enrôlement et les configurations sont descendues immédiatement). 
• L’observabilité et la fiabilité : Amélioration de la surveillance et de la résolution des problèmes. Supervision et création de rapports prêts à l’emploi avec l’état quasi-en temps réel du déploiement (Temps de déploiement / Etat d’installation des applications ou des scripts Powershell) 

D’un point de vue Utilisateur 

Les améliorations apportées par Microsoft se résume en 2 axes dont 1 majeur que sont : 

• La simplicité : vue simplifiée pendant le déploiement où un pourcentage de progression est affiché. L’utilisateur est informé quand la configuration est terminée. L’expérience est globalement plus cohérente. 
• La supportabilité : si un problème survient, les journaux peuvent être exportés plus facilement et ainsi fournit à l’administrateur 

Windows Autopilot Device Preparation : les prérequis 

Pour déployer un poste de travail avec succès avec cette nouvelle version, il y a un certain nombre de prérequis à respecter notamment : 

Windows Autopilot Device Preparation : la fin des Hardware Hash ? 

Souvenez-vous, la collecte et l’import des hardware hash de votre parc informatique dans Autopilot. Des manipulations qui pouvaient s’avérer longue et fastidieuse, c’est de l’histoire ancienne ! 

En effet, dans cette nouvelle version d’Autopilot, plus forcément besoin d’importer ces informations.  Le déploiement se basant sur un groupe utilisateurs Entra ID. 

Il y a cependant, une petite particularité à savoir, particulièrement si vous utilisez les « Device Platform Restrictions »  

Il faudra ajouter votre poste dans la partie « Corporate Identifiers » sous Intune.  

Pour cela, je vous invite à suivre ce lien qui vous expliquera la démarche. 

Il est recommandé de mettre en place cette restriction et d’ajouter vos périphériques dans les Corporate Identifiers pour faire en sorte que seuls les périphériques de confiance peuvent consommer le service Autopilot. 

Si vous avez mis en place des restrictions et que vous n’avez pas ajouté votre périphérique dans les corporate identifiers, vous aurez une erreur du type « This feature is not supported ». 

Attention, à aujourd’hui, cette partie ne fonctionne pas comme attendu, il est donc préconisé par Microsoft de retirer la restriction pour pouvoir utiliser la nouvelle version Autopilot le temps d’une correction.  Plus d’infos ici.

Windows Autopilot Device Preparation : création des différents groupes 

Cette nouvelle version s’articule autour de 2 groupes qui sont nécessaire à son bon fonctionnement. 

• Un groupe « Entra ID » qui contiendra les utilisateurs qui seront ciblés par le profil de déploiement. (Nous l’appellerons « Autopilot User » dans cet article) 

• Un groupe « Entra ID » qui recevra le poste fraichement enrôlé dans Intune via Autopilot et sur lequel il faudra assigner les applications et configurations que vous souhaitez déployer. (Nous l’appellerons « Autopilot Device Preparation » dans cet article) 

Petite particularité sur ce groupe, il faut lui affecter un propriétaire qui se nomme « Intune Provisionning Client ». Attention dans certains cas, il peut aussi s’appeler « Intune Autopilot ConfidentialClient » (ID : f1346770-5b25-470b-88bd-d5744ab7952c) 

Si jamais vous n’avez ni l’un, ni l’autre : suivez cette page  

Windows Autopilot Device Preparation : création du profil « Device Preparation Policies » 

Nous allons voir ici comment créer un profil. 

Pour cela, rendez-vous dans la rubrique « Enrollment », puis choisir « Device Preparation Policies » puis « Create » 

Après avoir choisi un nom à votre profil, vous arrivez dans la catégorie « Device Group », c’est là que vous devez sélectionner le groupe Entra ID « Device » créer précédemment et sur lequel vous avez assigner vos applications et vos configurations. 

Ensuite, il convient de paramétrer l’expérience de déploiement selon vos besoins, notamment le temps alloué pour l’installation des applications ou le message d’erreur à afficher à l’utilisateur en cas d’échec. 

Il faut choisir ensuite les applications et les scripts qui s’exécuteront lors de la préparation Autopilot (donc avant que l’utilisateur se connecte). 

Pour l’instant, la limite est fixée à 10 applications et 10 scripts. Cette limitation a été fixée par Microsoft à la suite de remontées de télémétrie qui leur ont indiqué qu’environ 90% des déploiements Autopilot sont effectués avec une dizaine d’applications. Petite nouveauté, il est désormais possible de mixer tout type d’application, même si le type WIN32 reste recommandé. 

Dans la rubrique « Assignments », vous pouvez choisir le groupe Entra ID « Utilisateurs » précédemment créer. 

Faite la revue du profil, puis cliquez sur Créer.  Votre profil est prêt, maintenance place au déploiement ! 

Windows Autopilot Device Preparation : expérience de déploiement 

La nouveauté sur cette version est que le profil Autopilot est téléchargé après la connexion de l’utilisateur et non avant comme Autopilot classique. Vous pouvez faire le lien avec l’assignement du profil précédemment créer à un groupe utilisateur. 

L’expérience OOBE peut être différentes selon les versions de Windows 11 (Pro vs Entreprise). Vous aurez beaucoup plus de questions sur un Windows 11 Pro, par exemple : Nom de la machine / Localisation / Données de diagnostic etc… 

Coté Utilisateur, les nouveautés se font notamment à travers ces 2 nouveaux écrans. 

L’utilisateur pourra ainsi mieux voir la progression du déploiement grâce au pourcentage d’avancement. 

Il aura également un écran lui indiquant quand la configuration est terminée, en cliquant sur Next, sa session se lancera automatiquement. (Il peut y avoir quelques questions OOBE selon l’édition). 

Windows Autopilot Device Preparation : gestion du reporting 

Dans cette nouvelle version, vous retrouverez un reporting détaillé et quasi en temps réel. 

Avoir une vue regroupée de tous les déploiements en cours avec leur état et la durée totale passée. 

Avoir un reporting granulaire sur les déploiements en échec avec l’étape concernée (Applications ou scripts en erreur). 

Microsoft a vraiment retravaillé cette partie qui était un peu le point faible de l’ancienne version d’Autopilot. 

Conclusion sur Windows Autopilot Device Preparation 

Windows Autopilot Device Preparation améliore considérablement la manière de déployer un poste de travail Windows 11. L’expérience utilisateur et l’optimisation se sont vus retravaillés et renforcés. Ces améliorations auront sans doute un impact plus que positif sur la productivité des équipes IT et des utilisateurs. 

La solution est encore en cours de développement par les équipes de Microsoft et des nouveautés / évolutions sont également attendues sur ces parties : 

• Customisation OOBE et renommage du périphérique
• Implémentation des modes « pré provisionning » et « self deploying »
• Amélioration de l’expérience d’onboarding à l’aide de l’application Portail d’entreprise 

Si vous voulez en savoir plus voici quelques liens utiles : 

Retour sur l’annonce de Microsoft : Windows deployment with the next generation of Windows Autopilot | Microsoft Intune Blog 

Lien vers les problèmes connues : Windows Autopilot device preparation known issues | Microsoft Learn 

La foire aux questions : Windows Autopilot device preparation FAQ | Microsoft Learn 

La documentation générale : What’s new in Autopilot device preparation | Microsoft Learn 

Nous allons voir dans cet article quels peuvent être les usages autour de cette fonctionnalité et comment la mettre en place rapidement pour vos utilisateurs. 

Pour aller plus loin : Gérer la sécurité des accès dans Microsoft Intune

Qu’est-ce que la Platform SSO ?

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité. 

Ce plugin peut fournir également du SSO pour les anciennes applications que votre entreprise pourrait avoir mais qui ne prennent pas encore en charge les derniers protocoles d’identité (Kerberos). 

Microsoft a travaillé en étroite collaboration avec les équipes d’Apple pour développer ces fonctionnalités dans le but d’augmenter la convivialité et d’améliorer l’expérience utilisateur autour de cet environnement tout en gardant une approche « sécurité ». 

Généralités, avantages et prérequis de Platform SSO pour macOS

Vous l’aurez compris « Entreprise SSO » se concentre plus sur l’aspect « Applications », la où « Platform SSO » se situe plus sur l’aspect « Identification ».  

Aujourd’hui, sur les périphériques macOS, les utilisateurs se connectent avec un compte local. Ensuite, ils se connectent aux applications et aux sites web avec leur compte Microsoft Entra ID. 

Platform SSO va permettre d’aller plus loin dans l’intégration d’Entra ID au sein de l’environnement Apple macOS qui commence à prendre un peu d’ampleur au sein des parcs informatiques. 

Cela permettra aux utilisateurs de se connecter directement à leur périphérique macOS grâce à leurs informations d’identifications Microsoft Entra ID et bénéficier ainsi du SSO sur toutes les applications supportant cette méthode d’authentification.

Cette fonctionnalité offre de nombreux avantages  

Aux administrateurs : 

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser.  
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage basées sur la technologie Windows Hello Entreprise. 

Aux utilisateurs : 

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir.  
• Possibilité d’utiliser une authentification « password less ». 
• Expérience de connexion plus sécurisée 

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix : 

• SecureEnclave : Utilisation d’une clé de chiffrement liée au matériel avec Secure Enclave (Se rapproche de Windows Hello For Business). Exemple : Utilisation de TouchID. 

Secure Enclave est un sous système sécurisé disponible sur les puces Apple T1 et T2 et processeurs Apple.  

• Carte à puce : Utilisation d’une carte à puce externe ou d’un jeton matériel compatible (par exemple, Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID 
• Mot de passe : Utilisation du mot de passe Entra ID. L’utilisateur n’a plus besoin de se souvenir de différents mots de passe, et toute modification du mot de passe Entra ID sera synchronisée avec la machine locale. 

La méthode « Secure Enclave » est recommandée par Microsoft

Voici un schéma fourni par Microsoft sur les différences entre les méthodes d’authentification.

Des prérequis sont nécessaires pour la configuration et l’utilisation : 

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple) 
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO) 
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé ) 
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On » 
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience. 

Mise en place de Platform SSO avec Microsoft Intune

La mise en place se fait simplement à partir d’un profil de configuration de type « Settings Catalog » sur Microsoft Intune. 

Dans Configuration settings, choisir « Add settings » puis Authentication, et sélectionner Extensible Single Sign On (SSO) : 

Voici un exemple de configuration minimal à appliquer pour que cela fonctionne sous macOS 14:  

Pour en savoir plus sur la configuration, vous pouvez suivre ce lien Microsoft : https://learn.microsoft.com/en-us/mem/intune/configuration/platform-sso-macos 

A savoir : le profil de configuration Platform SSO s’assigne uniquement à un groupe d’utilisateurs et non un groupe de périphériques. 

Une expérience utilisateur simple avec Platform SSO

L’enregistrement à EntraID avec Platform SSO est assez simple, l’utilisateur reçoit une notification de ce type et il suit le parcours d’authentification qui lui est proposé par le portail d’entreprise. 

Si vous voulez en savoir plus, vous pouvez suivre ces vidéos : 

• Mise en place Platform SSO avec SecureEnclave : https://www.youtube.com/watch?v=CRZmH1p89MU&t=1s 
• Mise en place Platform SSO avec password EntraID : https://www.youtube.com/watch?v=yVU6sfSl0dk 

Vous pouvez également voir dans les paramètres utilisateurs du MacBook ce type d’informations qui vous indique que l’enregistrement s’est déroulé avec succès. A savoir que durant le process d’enregistrement, le MacBook se joint à Entra ID, il devient donc Microsoft Entra ID Join. 

Conclusion

Nous avons pu voir dans cet article, quels sont les avantages à mettre en place Platform SSO avec Microsoft Intune pour vos utilisateurs. Cela leur offrira une expérience de connexion simplifiée tout en renforçant la sécurité de votre entreprise.  

Intune Suite : qu’est-ce que c’est ?  

Intune Suite offre un ensemble de solutions avancées dans Microsoft Intune qui permet de simplifier la gestion et la sécurisation des périphériques. 

Elle se présente sous un nouveau plan de licence (facturé par utilisateur et par mois). Nous y reviendrons un peu plus bas dans l’article. 

Ces fonctionnalités sont disponibles pour les périphériques en mode de gestion « Intune seul » ou en « Cogestion » avec Microsoft Configuration Manager. 

Nous allons désormais faire le point sur cinq des fonctionnalités majeures de cette suite. 

Intune Suite : quelles fonctionnalités ?  

Microsoft Cloud PKI 

La PKI Cloud de Microsoft est un service cloud qui simplifie et automatise la gestion du cycle de vie des certificats (distribution, révocation) pour les périphériques gérés par Intune (Windows / Mac OS / iOS / iPadOS / Android). 

Il fournit une infrastructure à clé publique (PKI) à deux niveaux (Racine / Intermédiaire) dédiée pour votre organisation qui gère l’émission, le renouvellement et la révocation des certificats automatiquement. 

Deux scénarios sont disponibles dans Intune Suite : 

• Provisionnement d’une PKI « full Cloud » géré par Microsoft (Racine et Intermédiaire) 
• Provisionnement d’une autorité de certificat intermédiaire dans Microsoft Intune tout en utilisant sa propre autorité racine locale, on parlera de « Bring Your Own Root CA » 

Les avantages sont multiples : 

• Provisionnement d’une PKI cloud en mode SAAS en quelques clics. 
• Réduction des coûts d’infrastructure et de maintenance (plus de nécessité d’avoir une PKI locale pour ces besoins, et pas besoin non plus de connecteurs). 
• Plus besoin d’infrastructure SCEP (Simple Certificate Enrollment Protocol) pour effectuer la distribution de certificats sur les périphériques gérés par Intune. 
• Gestion du cycle de vie complet du certificat. 
• Réalisation de l’authentification par certificat notamment pour accéder au réseau d’entreprise ou encore au VPN.  
• Reporting complet (Certificats actifs / expirés / révoqués / distribués) 

Un rapide coup d’œil sur un schéma d’architecture proposé par Microsoft. 

Microsoft Intune Advanced Analytics 

Microsoft Intune Advanced Analytics offre une visibilité complète sur l’expérience de l’utilisateur final et vous offre la possibilité de l’optimiser grâce à des informations basées sur les données remontées notamment par la télémétrie. 

Il est donc possible de détecter et résoudre de manière proactive les problèmes et améliorer ainsi l’expérience de vos utilisateurs et réduire également l’empreinte sur votre support informatique local. 

Grâce à cela, vous pourrez : 

• Obtenir des données en temps réel sur vos périphériques grâce à Device Query : 

Vous pourrez avoir en quelques clics et en temps réel sur un périphérique : l’état d’une clé de registre / les processus en cours d’exécution ou l’état d’un service Windows. 

• Un rapport sur l’état des batteries de votre parc informatique 

Vous pourrez notamment identifier les périphériques qui présentent des problèmes de batterie / autonomie et ainsi agir en conséquence. 

• Pour aider à résoudre un incident, une timeline détaillée de votre périphérique. 

Vous pourrez voir les derniers événements qui se sont passés tels que le démarrage et sa raison ainsi que le temps associé ou encore un écran bleu. 

• Une détection des anomalies pour aider à identifier les problématiques qui surviennent sur l’ensemble de vos périphériques. 

Vous pourrez voir les anomalies classées par sévérité comme un processus qui échoue de trop nombreuses fois sur un certains nombres de périphériques et prendre les mesures adéquates de manière proactive, comme par exemple, mettre à jour le logiciel en question ou analyser la cause. 

Vous pouvez mettre en place des règles de remédiation pro-active sur aider à la résolution des soucis remontés. 

Microsoft Intune Enterprise Application Management 

Dans Intune Suite, il s’agit d’un catalogue d’applications au format « Win32 » fourni et maintenu par Microsoft et facilement accessible dans Intune.  

Lorsque vous ajoutez une application, les paramètres d’installation, de configuration et de détection sont automatiquement pré remplis. Vous pouvez modifier ces paramètres si besoin. Les sources de ces applications sont stockées dans le cloud Microsoft directement.  

Vous pouvez y trouver des applications telles que : Google Chrome / Citrix Workspace / Firefox ou encore Python. 

Les avantages sont multiples : 

• Gestion simplifiée des applications : vous pouvez gagner du temps et réduire la complexité en rationalisant le processus de gestion des applications. Cela implique aussi une baisse du coût du packaging (temps humain notamment). 
• Restez à jour : vous gardez le contrôle sur la version déployée. Lorsqu’une nouvelle version est disponible, vous pouvez l’ajouter et la déployer. 
• Liste tenue à jour par Microsoft, un formulaire de demande d’intégration d’une app est disponible.  
• Réduction des risques de sécurité et des vulnérabilités, en gardant vos applications à jour le plus possible.  
• Mettre à disposition des utilisateurs un catalogue applicatif, via le portail Entreprise Microsoft Intune et les rendre autonomes dans l’installation. 

Microsoft Intune Endpoint Privilège Management 

Endpoint privilège Management autorise un utilisateur cible à exécuter une application avec des privilèges administrateurs sans avoir le besoin d’être administrateur local de son périphérique.  

Les tâches qui nécessitent couramment des privilèges d’administration sont par exemple les installations ou mises à jour d’applications tierces qui ne rentre pas dans le cadre d’une gestion par l’entreprise. 

Les utilisateurs qui possèdent initialement des privilèges standards peuvent être temporairement promus au statut d’administrateur pour des tâches spécifiques et approuvées par l’administrateur, conformément aux politiques de l’entreprise. Cette approche vise à améliorer la productivité tout en renforçant la sécurité. 

Il s’agit là d’une formidable avancée au niveau sécurité du Poste de Travail. 

Comment cela fonctionne ? L’administrateur créé une règle en définissant notamment les informations de l’exécutable autorisé à être exécuté avec des privilèges administrateurs. (L’exécutable est identifié grâce à son nom et son hash, il est donc impossible de tricher ).  

Le mode d’élévation doit également être précisé, c’est-à-dire qu’une justification « business » ou une demande d’authentification sera requise pour chaque exécution avec des privilèges élevés. 

Dernièrement un workflow « Exiger l’approbation du support » est venue compléter l’offre.  

Les avantages sont multiples : 

• Sécurisation et entrée dans une démarche « Zero Trust » du poste de travail.  
• L’utilisateur n’est plus administrateur de son poste.  
• Les droits d’administration sont délégués sur un exécutable défini et identifié par l’administrateur. 
• Une intégration totale dans Windows. 
• Un reporting complet sur la fonctionnalité. 

Remote Help 

Remote Help est une solution cloud de prise en main à distance sécurisée et intégrée nativement à Microsoft Intune. Il est possible de prendre la main sur un périphérique enrôlé (ou non).

Cette solution est disponible (pour le moment) sur les environnements Windows / MacOs et Android en mode « Appareil dédié ». 

Elle offre notamment : 

• Le contrôle d’accès basé sur les rôles (RBAC) pour la gestion d’accès à la solution (possibilité de ne pas autoriser l’UAC pour un certain type de techniciens par exemple).
• La gestion de l’élévation des privilèges (UAC) lors de la prise en main à distance (tous les outils ne le font pas).
• L’intégration avec la gestion de conformité Microsoft Intune (savoir à travers cet outil et lors de la prise en main si le poste est conforme ou non).

Les avantages sont multiples : 

• Outil intégré directement dans la console de gestion Microsoft Intune. 

• Intégration SSO avec Entra ID pour la connexion à l’outil Remote Help sur un périphérique. 
• Gestion de la conformité, affichage d’un avertissement lorsque le technicien se connecte sur un poste non-conforme. 
• Support de l’UAC, messagerie instantanée, pointeur laser. 
• Reporting complet (qui a pris la main sur quoi et à quel moment par exemple) 

Nous avons désormais fait le tour sur les 5 fonctionnalités majeures de la Microsoft Intune Suite. 
À savoir que d’autres fonctionnalités sont disponibles comme : 

• Microsoft Intune Firmware-Over-The-Air (FOTA) updates : gestion des mises à jour des firmwares des appareils pris en charge comme Zebra. 
• Microsoft Intune Tunnel for Mobile Application Management : intégration de Microsoft Tunnel (VPN) pour des périphériques Android et iOS non inscrits (à travers le MAM).
• Microsoft Intune Management of Specialty Devices : la gestion spécialisée des appareils est un ensemble de fonctionnalités de gestion, de configuration et de protection des appareils spécifiques, tels que les casques AR/VR ou les appareils de salle de réunion. 

Intune Suite : quel pricing ?  

Microsoft Intune Suite est disponible en tant que module complémentaire payant pour les clients qui ont notamment les licences suivantes : Microsoft 365 E3, E5 ou Enterprise Mobility + Security E3 et E5. 

Plans d’abonnement Intune 

Microsoft Intune Plan 1 : les principales fonctionnalités de Microsoft Intune sont incluses dans les abonnements Microsoft 365 E3, E5, ou Enterprise Mobility + Security E3 et E5 et les plans Business Premium. 

Vous pouvez étendre les fonctionnalités de votre plan Microsoft Intune P1 à l’aide des modules complémentaires suivants : 

Microsoft Intune Plan 2 : un module complémentaire de Microsoft Intune Plan 1 avec des fonctionnalités avancées de gestion des périphériques. Microsoft Intune Plan 2 fait partie de Microsoft Intune Suite. 

Microsoft Intune Suite : comprends Microsoft Cloud PKI, Microsoft Intune Remote Help, Microsoft Intune Endpoint Privilège Management, Microsoft Intune Tunnel for Mobile Application Management, Microsoft Intune management of Specialty Devices et Microsoft Intune Advanced Endpoint Analytics dans Microsoft Intune. Un abonnement à Microsoft Intune Plan 1 est nécessaire. 

Voici un tableau récapitulatif regroupant les coûts par plan de licence : 

Il s’agit là d’un prix public par mois et par utilisateur. 

Les modules tels que Remote Help ou Cloud PKI sont disponibles en « module complémentaire » au plan 1 aux prix respectifs de 3,30€HT et 1,87€HT.

Pour en savoir plus : Offres et prix de Microsoft Intune 

Conclusion sur Intune Suite

Intune Suite est une solution complète qui vient étoffer et compléter Microsoft Intune. 

Les différents modules disponibles permettent entre autres d’améliorer la gestion des périphériques, d’accroître leur sécurisation et d’avoir une visualisation complète de l’état de santé de son parc informatique. 

Pour les organisations ayant une optique « cloud first », elle permet aussi de poursuivre cette transformation grâce à la fonctionnalité « Cloud PKI » qui peut venir en remplacement (ou en partie) d’une infrastructure PKI interne. 

Nul doute que Microsoft continuera à faire évoluer cette suite dans les mois à venir et ainsi conforter sa place de leader dans la gestion des périphériques. 

Microsoft Intune Suite est un investissement dans l’avenir de la gestion et de la sécurité des périphériques de votre organisation. 

Pour aller plus loin dans Intune

Article – MDM : pourquoi choisir Microsoft Intune ?

Article – Windows Autopilot et Microsoft Intune : une gestion moderne des appareils

Article – Microsoft Intune : convention de nommage des objets

Article – MAM ou MDM : comment gérer les mobiles d’entreprise ?