Nom du poste, version de l’OS, constructeur, quelques informations générales : suffisant pour une gestion basique, mais loin du niveau de granularité qu’attendaient les équipes Modern Workplace habituées à des outils comme SCCM. Ces mêmes équipes devaient jusqu’alors développer des solutions sur base d’Azure Log Analytics ou Power BI pour espérer obtenir un semblant d’équivalent.

Avec l’arrivée de l’Enhanced Hardware Inventory puis du nouvel App Inventory, Microsoft change clairement la donne et rapproche encore un peu plus Intune d’un véritable outil d’inventaire avancé moderne, et de SCCM.

La fin de l’inventaire Microsoft Intune « minimaliste »

Historiquement, Intune remontait surtout des informations standards :

• Le modèle du poste
• La version Windows
• Les informations de conformité
• Les applications découvertes, de manière assez limitée et à une fréquence trop faible

Le problème ? Pour les équipes IT, cela ne suffisait plus pour répondre à des besoins concrets :

• Identifier précisément un matériel spécifique
• Vérifier des configurations
• Suivre les architectures CPU
• Récupérer des détails applicatifs avancés
• Obtenir des données exploitables rapidement

C’était d’ailleurs l’un des arguments souvent utilisés pour maintenir une infrastructure SCCM en cogestion avec Microsoft Intune. Mais ça, c’est de l’histoire ancienne

Enhanced Hardware Inventory : Intune franchit un premier cap

Vue d’ensemble

Avec l’Enhanced Hardware Inventory, Microsoft introduit une collecte beaucoup plus riche des informations matérielles directement depuis les appareils gérés.

L’objectif est clair : offrir une visibilité détaillée sans dépendre de scripts PowerShell complexes, d’outils tiers, ou d’une infrastructure MECM complète.

Microsoft a d’abord introduit cette fonctionnalité sur Windows avant de l’étendre progressivement à macOS, iOS, iPadOS et Android.

Ce que l’on peut désormais remonter

Grâce au Properties Catalog d’Intune, il est possible de choisir précisément les informations à inventorier. Exemples de données désormais accessibles :

• Informations TPM
• Détails BIOS / UEFI
• Caractéristiques CPU
• Chiffrement BitLocker

Et surtout : les données sont consultables directement dans le Resource Explorer / Device Inventory d’une fiche appareil.

Activation via le Properties Catalog

L’activation repose sur une logique désormais classique dans Intune :

1. Création d’un profil de configuration
2. Utilisation du Properties Catalog
3. Sélection des propriétés souhaitées
4. Déploiement sur les appareils ciblés

Prérequis Windows

Avant de déployer l’Enhanced Hardware Inventory, assurez-vous que vos appareils répondent aux conditions suivantes :

App Inventory : le vrai changement stratégique

Ce que le nouvel inventaire applicatif apporte réellement

La vraie évolution majeure concerne le nouvel App Inventory pour Windows.

Pendant des années, la fonctionnalité Discovered Apps d’Intune souffrait de plusieurs limites : un rafraîchissement lent et des métadonnées très pauvres. Microsoft vient de lancer son remplaçant.

Le nouvel App Inventory collecte bien plus d’informations que l’ancien système. Par exemple :

Information	Disponibilité
Chemin d’installation
Taille de l’application
Date d’installation
Commande de désinstallation

Le tout avec une logique de collecte incrémentielle, afin de réduire la consommation réseau et améliorer la rapidité des remontées, plusieurs fois par jour.

A lire aussi : « Intune : gérer les mises à jour d’applications Windows »

Activation

La fonctionnalité n’est pas active par défaut. Elle s’active au même endroit que l’Enhanced Hardware Inventory, dans le Properties Catalog, en sélectionnant le champ Application properties.

Prérequis Windows

Avant d’activer le nouvel App Inventory, vérifiez que vos appareils respectent les conditions suivantes, plus restrictives que pour l’Enhanced Hardware Inventory :

Pourquoi c’est important pour les équipes IT

Sécurité

• Meilleure visibilité sur les logiciels installés
• Détection plus rapide des applications non autorisées
• Suivi plus précis des versions vulnérables

Gouvernance

• Meilleure connaissance du parc
• Rationalisation des licences
• Suivi des usages

Support

• Diagnostic plus rapide
• Informations centralisées

Intune se rapproche progressivement de MECM

Microsoft ne cache plus vraiment sa stratégie : faire d’Intune une plateforme de gestion moderne capable de couvrir progressivement les usages historiquement réservés à Microsoft Configuration Manager.

Même si certaines limites existent encore :

• Peu de filtrage avancé dans les rapports
• Groupes dynamiques Entra non exploitables avec ces données
• APIs encore incomplètes
• Absence de collecte registre / WMI avancée

La direction prise est néanmoins très claire.

Pour aller plus loin : Passez de SCCM à Intune sans rupture

Conclusion

Avec l’Enhanced Hardware Inventory et le nouvel App Inventory, Microsoft Intune franchit une étape importante dans sa maturité. On passe progressivement d’un inventaire « cloud basique » à une vraie plateforme d’observabilité du poste de travail.

Et surtout, Microsoft répond enfin à un besoin historique des équipes IT : avoir une visibilité détaillée, rapide et centralisée sur leurs appareils… sans dépendre systématiquement d’une infrastructure SCCM complète.

Pour beaucoup d’organisations, cela pourrait devenir un argument supplémentaire pour accélérer la transition vers un modèle full Intune. En tout cas, on l’espère fortement !

Vos questions sur l’inventaire Microsoft Intune

L’App Inventory Intune fonctionne-t-il sur Windows 10 ?

Non. Le nouvel App Inventory est réservé aux appareils Windows 11 joints à Entra ID. Les appareils Windows 10 ne sont pas pris en charge pour cette fonctionnalité.

L’Enhanced Hardware Inventory est-il disponible sur iOS et Android ?

Oui. Microsoft a progressivement étendu l’Enhanced Hardware Inventory à macOS, iOS, iPadOS et Android, après son lancement initial sur Windows.

Ces fonctionnalités nécessitent-elles une licence Intune spécifique ?

Elles sont disponibles dans le cadre des licences Intune standard (Plan 1). Vérifiez toutefois les conditions exactes dans la documentation Microsoft, qui peut évoluer.

Deadline juin 2026 : pourquoi il faut agir immédiatement

Les premiers certificats arrivent à expiration en juin 2026 et d’autres phases d’expiration sont prévues jusqu’en octobre 2026. La mise à jour des certificats Secure Boot peut nécessiter plusieurs redémarrages, ajouté à cela, le redémarrage pour la mise à jour BIOS, c’est donc maintenant qu’il faut agir.

Risques en cas d’inaction sur les certificats Secure Boot

L’absence de mise à jour n’entraîne pas une panne immédiate, mais place les postes dans un état de sécurité dégradé : incapacité d’accepter les futures mises à jour de SecureBoot, incompatibilité progressive avec les mises à jour Windows et exposition accrue aux attaques ciblant la phase de démarrage.

Prérequis incontournable : la mise à jour du BIOS avant les certificats Secure Boot

La mise à jour des certificats Secure Boot nécessite un firmware UEFI compatible. Les constructeurs ont publié les BIOS requis pour la majorité des modèles 2018–2025. La mise à jour BIOS est donc un prérequis incontournable mais souvent sous-estimé. Nous verrons plus bas comment automatiser cette partie.

Les recommandations de Microsoft sur ce sujet « Certificat Secure Boot » sont claires : traitez cela comme un mini projet.

Sur le papier, cela semble assez simple. En pratique ? C’est loin d’être le cas.

Vous ne pouvez pas déployer les nouveaux certificats de démarrage sécurisé tant que votre parc poste de travail n’est pas réellement prêt à les accepter.

C’est là que les problèmes commencent. Car pour cela :

• Vous avez besoin de visibilité sur votre parc d’appareils.
• Vous avez besoin de signaux précis, de remontées d’inventaire.

Inventaire du parc : les questions clés auxquelles vous devez répondre

• Combien d’ordinateurs ont le démarrage sécurisé activé ?
• Combien d’ordinateurs utilisent UEFI mais ont désactivé le démarrage sécurisé ?
• Combien d’entre eux utilisent encore un BIOS non UEFI ?
• Quels appareils utilisent déjà les CA 2023 par rapport à ceux qui utilisent encore celles de 2011 ?
• Quels modèles/gammes d’ordinateurs nécessitent une mise à jour BIOS pour fonctionner correctement avec la chaîne 2023 ?

Sur cette dernière question, les constructeurs ont publié des pages avec des informations utiles :

• LENOVO : https://support.lenovo.com/us/en/solutions/ht518129
• HP : https://support.hp.com/us-en/document/ish_13070353-13070429-16
• DELL : https://www.dell.com/support/kbdoc/en-us/000390990/secure-boot-transition-faq

Option 1 : Inventaire et remédiation des certificats Secure Boot avec Microsoft Intune

Inventaire Secure Boot avec Intune

Le rapport Secure Boot Status dans Intune

Un rapport nommé « Secure Boot Status » est disponible dans le portail Intune : Reports > Windows quality updates > Reports > Secure Boot status

Il offre une vue rapide au niveau de l’appareil, indiquant si le démarrage sécurisé est activé et si les certificats de démarrage sécurisé de l’appareil sont à jour, aidant ainsi les administrateurs informatiques à identifier les machines qui nécessitent la mise à jour du certificat 2023 avant l’expiration des anciens certificats.

Ce rapport permet d’obtenir une vue d’ensemble mais est dépendant notamment des données de télémétrie remontées par les ordinateurs.

Une autre approche est préconisée et Microsoft nous y engage clairement en fournissant les ressources nécessaires : L’utilisation d’un script de remédiation en mode détection pour auditer et répondre à toutes les questions que nous nous sommes posées au début. A ce stade, aucune modification n’est poussée sur les postes.

Vous trouverez le script par ici.

Signaux remontés par le script d’inventaire Secure Boot

Le script remonte notamment les signaux suivants :

• Activation du Secure Boot ou non
• Présence du nouveau certificat Windows UEFI CA 2023
• Version BIOS
• Valeur de la clé UEFICA2023Status : NotStarted / InProgress / Updated qui permet de savoir l’état de la mise à jour de ces certificats.

Les résultats sont exportables en CSV depuis le portail d’administration Intune pour une analyse via Excel ou PowerBI et ainsi faire de jolis tableaux de bord de suivi.

Les données sorties de cet export vous permettront de savoir précisément le pourcentage d’ordinateurs où le démarrage sécurisé est désactivé, ceux qui nécessitent une mise à jour BIOS (même si mon conseil sera de ne pas faire d’exception sur ce point) et ceux où la mise à jour des certificats est déjà faite.

Signaux de conformité : comment savoir si un poste est à jour ?

Les signaux qui montrent qu’un ordinateur est bien conforme vis-à-vis de ces certificats sont :

• Clé de registre UEFICA2023Status = Updated
• Clé de registre UEFICA2023Error = 0
• Event log Event 1808 présent

Remédiation Secure Boot avec Intune

Mise à jour du BIOS via Intune

Vous pouvez utiliser les outils bien connus qui sont pour :

• HP : HP Image Assistant : https://support.hp.com/fr-fr/document/ish_7636715-7671061-16
• Dell : DELL Command Update : https://www.dell.com/support/kbdoc/fr-fr/000177325/dell-command-update

Des outils comme HP Image Assistant permettent la mise à jour du BIOS à distance et gèrent aussi la partie « Bitlocker ». C’est-à-dire que Bitlocker est suspendu automatiquement dans le cadre d’une mise à jour BIOS. Une barrière en moins !

Je vous laisse quelques liens sur cette partie qui peuvent vous être utiles :

• https://developers.hp.com/hp-client-management/blog/using-hp-image-assistant-microsoft-endpoint-manager
• https://scloud.work/hp-driver-intune/
• https://evil365.com/dell/UpdateDriversBIOS-DellCommandUpdate/

Déploiement des certificats Secure Boot 2023 via Intune

Utilisation d’un profil de configuration de type « Settings Catalog »

Le document officiel de Microsoft confirme que le catalogue des paramètres Intune est une méthode entièrement prise en charge pour gérer et contrôler le déploiement du certificat Secure Boot 2023 dans un environnement d’entreprise.

A lire aussi : Configurer la mise à jour des certificats Secure Boot qui expire en 2026 rapidement grâce à Microsoft Intune

Utilisation d’un script ou d’un script de remédiation

Il se peut sur certains environnements que le profil de configuration ci-dessus entre en erreur, dans ce cas, la configuration en utilisant des clés de registre est tout à fait possible.

Je vous invite à jeter un œil à ce repo GitHub qui contient toutes les informations nécessaires.

Comment monitorer la mise à jour des certificats Secure Boot ?

Une fois le paramétrage mis en place, il faut attendre plusieurs redémarrages (2) pour que les certificats soient mis à jour. Vous pouvez monitorer tout cela notamment grâce à des clés de registre ou des événements dans le journal d’événement Windows.

Pour aller plus loin : Evenements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX

Option 2 : Inventaire et remédiation des certificats Secure Boot avec SCCM ou GPO

Inventaire Secure Boot via SCCM

Eh oui, vous qui avez encore du SCCM ou des environnements AD, on ne vous oublie pas

Par contre, pas de rapport magique comme dans Microsoft Intune !

Pour les environnements sans outil de gestion, ça va être compliqué d’avoir un état de parc.

Afin de remonter les ordinateurs où le Secure Boot est actif via SCCM, voici une query :

select SMS_R_System.Name, SMS_G_System_FIRMWARE.SecureBoot, SMS_R_System.SystemOUName from SMS_R_System inner join SMS_G_System_FIRMWARE on SMS_G_System_FIRMWARE.ResourceID = SMS_R_System.ResourceId where SMS_G_System_FIRMWARE.SecureBoot = 1 order by SMS_R_System.Name

Pour remonter les ordinateurs avec la version de BIOS, voici une query :

select SMS_R_System.Name, SMS_G_System_PC_BIOS.Manufacturer, SMS_G_System_PC_BIOS.SMBIOSBIOSVersion, SMS_GH_System_PC_BIOS.BIOSVersion from SMS_R_System inner join SMS_G_System_PC_BIOS on SMS_G_System_PC_BIOS.ResourceID = SMS_R_System.ResourceId inner join SMS_GH_System_PC_BIOS on SMS_GH_System_PC_BIOS.ResourceId = SMS_R_System.ResourceId

Auditer le statut UEFICA2023Status avec SCCM

Pour avoir un statut sur la mise à jour des certificats, vous allez pouvoir vous baser sur l’état de la clé de registre « UEFICA2023Status ».

Vous allez pouvoir faire une extension d’inventaire pour la faire remonter via l’inventaire matériel de SCCM ou utiliser une configuration baseline pour aller auditer la valeur de celle-ci.

Si vous utilisez une configuration baseline, voici un exemple de script PowerShell que vous pouvez utiliser en détection :

$UEFICAStatus = (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name UEFICA2023Status -ErrorAction SilentlyContinue).UEFICA2023Status

Write-Output $UEFICAStatus

Mise à jour du BIOS via SCCM

Pour effectuer la mise à jour BIOS, vous pouvez utiliser les mêmes outils cités au-dessus.

Remédiation Secure Boot via SCCM et GPO

Déclencher la mise à jour des certificats via SCCM

Pour lancer la mise à jour des certificats, vous pouvez utiliser dans SCCM la même configuration baseline qu’au-dessus en y ajoutant en remédiation ces actions :

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Cela permettra de déclencher la mise à jour des certificats si le statut n’est pas conforme à l’attendu.

Déployer la mise à jour des certificats Secure Boot via GPO

C’est possible aussi d’activer la mise à jour des certificats via GPO, je vous invite à suivre ce lien qui vous expliquera la marche à suivre.

Points de vigilance communs à Intune et SCCM

Mettre à jour vos ISO bootables avant juin 2026

Pensez à mettre à jour vos ISO bootables sous peine de ne plus pouvoir les utiliser.

Pour aller plus loin : Mettre à jour les supports d’amorçage Windows pour utiliser le gestionnaire de démarrage signé par le certificat PCA2023

Bitlocker et mise à jour BIOS : rester vigilant

Même si les outils de déploiement, notamment HP, gèrent nativement la partie Bitlocker lors de la mise à jour du BIOS, une vigilance reste de mise.

Activer le Secure Boot sur les postes non conformes

Si des ordinateurs n’ont pas le Secure Boot actif, c’est le moment de mener les actions pour les faire rentrer en conformité.

Expiration des certificats Secure Boot : les dernières informations à retenir

À partir d’avril 2026, l’application « Sécurité Windows » affichera des informations supplémentaires sur l’état des mises à jour des certificats Secure Boot sur les appareils Windows. Cette nouvelle fonctionnalité se trouvera dans Sécurité de l’appareil > Démarrage sécurisé.

Le déploiement de cette information s’effectuera en deux temps et vous retrouverez toutes les informations ici.

Dans ce contexte, Microsoft Intune s’impose comme un outil central du Modern Management. Il permet non seulement de déployer des applications, mais aussi de structurer et automatiser leur mise à jour, à condition d’adopter une stratégie adaptée aux différents types d’applications et aux contraintes de l’organisation.

Les types d’applications Windows gérées dans Microsoft Intune

Applications Microsoft Store (nouvelle version)

Les applications issues du Microsoft Store (nouvelle expérience) constituent le mode de gestion le plus simple dans Intune. Dans ce modèle, Microsoft délègue une grande partie de la maintenance au Store lui-même. Les mises à jour sont téléchargées et installées automatiquement, sans intervention de l’administrateur.

Cette approche présente un avantage évident : elle réduit fortement la charge opérationnelle des équipes IT. En revanche, elle offre peu de contrôle sur la version exacte déployée ou sur le calendrier de mise à jour. Les applications sont mises à jour dès que Microsoft publie une nouvelle version, ce qui peut parfois poser des contraintes de compatibilité dans certains environnements.

Ce type de gestion est particulièrement adapté aux applications standards, largement utilisées, et pour lesquelles les risques liés aux mises à jour automatiques sont faibles.

Applications Win32 (.exe / .msi)

Les applications Win32 représentent la majorité des logiciels utilisés en entreprise : applications métiers, outils tiers, logiciels historiques ou éditeurs spécialisés. Contrairement aux applications du Microsoft Store, ces applications ne disposent d’aucun mécanisme de mise à jour automatique natif dans Intune.

Chaque mise à jour nécessite donc une action volontaire de l’administrateur, qu’il s’agisse de re-packager l’application ou de mettre en place une logique de mise à jour spécifique. C’est précisément sur ce périmètre que se concentrent la plupart des enjeux et des difficultés liés à la mise à jour applicative dans Intune.

Microsoft 365 Apps

Les Microsoft 365 Apps (Word, Excel, Outlook, Teams, etc.) bénéficient d’un modèle de mise à jour bien plus structuré. Intune permet de contrôler finement leur évolution grâce aux Update Channels. Ces canaux définissent la fréquence de mise à jour et le niveau de stabilité attendu.

Ce mécanisme permet aux équipes IT de trouver un équilibre entre innovation, sécurité et compatibilité applicative, en fonction des profils utilisateurs et des contraintes métiers. La gestion des mises à jour des Microsoft 365 Apps est généralement considérée comme mature et fiable lorsqu’elle est correctement configurée.

Gérer les mises à jour des applications Win32 avec Microsoft Intune

L’importance d’un packaging Win32 standardisé

Un packaging Win32 standardisé constitue la base d’une stratégie de mise à jour fiable. L’utilisation de scripts PowerShell permet d’uniformiser les installations, de gérer les prérequis et de produire des logs exploitables en cas d’incident.

Un bon package Win32 doit notamment :

• intégrer une nomenclature claire (éditeur, application, version),
• inclure des métadonnées complètes facilitant le suivi,
• reposer sur une règle de détection robuste.

La règle de détection est un point critique. Une détection basée sur une version « supérieure ou égale » ou sur un ProductCode MSI fiable permet à Intune de déterminer précisément si une mise à jour est nécessaire.

La mise à jour manuelle des applications Win32

La méthode la plus répandue reste la mise à jour manuelle. Elle consiste à télécharger la nouvelle version de l’application, créer un nouveau package Win32 (.intunewin) puis déployer cette version via Intune.

Cette approche présente des avantages clairs :

• un contrôle total sur le contenu et le calendrier de déploiement,
• une forte maîtrise des applications critiques ou sensibles.

En contrepartie, elle montre rapidement ses limites :

• processus chronophage,
• risque d’erreurs humaines,
• difficulté à cibler précisément les postes disposant d’une version donnée, notamment pour les applications déployées en mode « Disponible ».

La supersedence : gérer le remplacement des versions

La fonctionnalité de supersedence permet d’indiquer qu’une application doit en remplacer une autre. Lors du déploiement, Intune peut alors installer la nouvelle version et, si nécessaire, désinstaller automatiquement l’ancienne.

Elle est particulièrement utile dans des scénarios tels que :

• une montée de version majeure,
• un changement de technologie ou de méthode d’installation,
• une standardisation applicative progressive.

Cependant, la supersedence présente plusieurs limites qu’il est important d’anticiper :

• elle ne cible que les applications installées via Intune,
• elle est peu adaptée aux applications proposées en mode « Disponible »,
• elle impose de conserver les anciennes versions tant que la migration n’est pas complète.

Automatiser la mise à jour des applications Windows avec Intune

Utiliser WinGet pour automatiser les mises à jour

WinGet (Windows Package Manager) est l’outil natif de gestion de paquets de Windows. Il permet d’installer, de mettre à jour et de supprimer des applications à partir d’un catalogue maintenu par Microsoft et par des éditeurs partenaires.

Dans Intune, WinGet est généralement utilisé pour maintenir à jour un socle d’applications standards, via des scripts PowerShell ou des applications Win32 encapsulant des commandes WinGet. Le fonctionnement est simple : Intune déclenche le script, WinGet compare les versions installées et applique les mises à jour nécessaires.

WinGet présente plusieurs atouts :

• solution native et gratuite,
• réduction du besoin en packaging manuel,
• catalogue applicatif en évolution constante,
• possibilité de créer des repositories privés.

Il convient néanmoins de garder à l’esprit certaines limites :

• absence de véritables rings de déploiement,
• reporting limité dans Intune,
• incompatibilité avec le déploiement applicatif durant la phase Autopilot.

A lire aussi : Autopilot : Sécurisez vos postes de travail Windows dès la phase OOBE

Automatiser les mises à jour avec Patch My PC et Intune

Pour les environnements plus complexes, Patch My PC s’impose comme une solution d’automatisation avancée. Elle s’intègre nativement avec Microsoft Intune, Configuration Manager et Windows Autopatch.

Patch My PC prend en charge plusieurs milliers d’applications tierces et automatise l’ensemble du cycle de vie applicatif, depuis la détection des nouvelles versions jusqu’à leur déploiement dans Intune.

Son fonctionnement repose sur :

• un connecteur sécurisé vers Intune,
• un catalogue applicatif maintenu par l’éditeur,
• des règles de déploiement définies par l’administrateur.

Contrairement à WinGet, Patch My PC offre un contrôle très fin sur les mises à jour :

• paramètres d’installation silencieuse,
• scripts de pré et post-installation,
• notifications utilisateur personnalisées,
• gestion des redémarrages et des fenêtres de maintenance,
• reporting détaillé et alertes en cas d’échec.

Cette richesse fonctionnelle en fait une solution particulièrement adaptée aux environnements d’entreprise exigeants, au prix d’une dépendance à un éditeur tiers et d’un coût de licence.

Conclusion

Microsoft Intune offre de nombreuses possibilités pour gérer efficacement la mise à jour des applications Windows, à condition de choisir les bons leviers. Les approches manuelles restent pertinentes pour des applications critiques, mais montrent rapidement leurs limites à grande échelle.

En combinant un packaging Win32 rigoureux, des règles de détection fiables et des solutions d’automatisation comme WinGet ou Patch My PC, les organisations peuvent renforcer la sécurité de leur parc, améliorer la stabilité des postes de travail et réduire durablement la charge opérationnelle des équipes IT.

La gestion des postes de travail Windows connaît une transformation profonde. Télétravail, mobilité, exigences de sécurité accrues et pression réglementaire imposent aux équipes IT une maîtrise fine et continue de leur parc. Dans ce contexte, Intune s’impose comme un socle incontournable du Modern Workplace.

Pourtant, disposer d’un outil de gestion ne suffit plus. Les organisations ont désormais besoin de visibilité, de pilotage et de capacité d’anticipation. Autrement dit, elles ont besoin d’un reporting Microsoft Intune fiable, automatisé et orienté décision.

C’est précisément à ce niveau qu’interviennent Microsoft Graph API et Power BI, en apportant une approche structurée, automatisée et évolutive du reporting Microsoft Intune.

Pour aller plus loin : « 45 minutes pour voir comment unifier son pilotage avec Intune & Power BI »

Les limites des reporting natifs dans Intune

Les environnements de travail modernes sont devenus distribués par nature. Les équipes IT doivent gérer simultanément :

• des postes Windows distants et mobiles,
• des politiques de conformité évolutives,
• des mises à jour fréquentes,
• des exigences fortes en matière de sécurité et de traçabilité.

Sans reporting structuré, cette complexité rend le pilotage du parc approximatif et réactif, là où il devrait être proactif et prédictif.

Microsoft Intune fournit des rapports intégrés, mais ceux-ci sont principalement orientés vers une consultation opérationnelle dans la console. Ils offrent peu de possibilités de personnalisation avancée, d’agrégation transverse ou d’analyse historique.

Dans de nombreux contextes, cela oblige encore les équipes à accéder directement à la console Intune pour obtenir des informations, ce qui limite la diffusion de la donnée et complique la prise de décision à des niveaux non techniques.

Objectifs d’un reporting Intune efficace

Un reporting Microsoft Intune efficace ne doit pas se contenter de restituer des données brutes. Il doit avant tout servir les enjeux opérationnels et décisionnels de l’entreprise.

L’objectif est de centraliser l’information, de la rendre lisible et exploitable, tout en garantissant un haut niveau de sécurité. Un bon reporting doit permettre d’avoir une vision globale de l’état du parc, tout en offrant la possibilité de zoomer sur des indicateurs précis selon les profils utilisateurs.

En effet, un bon dispositif de reporting doit notamment permettre de :

• centraliser les données Intune dans un référentiel unique,
• offrir une vision consolidée et historisée du parc,
• produire des indicateurs lisibles pour différents niveaux de décision,
• limiter l’accès direct à la console d’administration,
• renforcer la gouvernance et la sécurité des accès.

C’est dans cette optique qu’une approche basée sur Power BI et Microsoft Graph API prend tout son sens.

Aller plus loin : Formation de 2 jours sur la gestion avancée d’Intune avec Microsoft Graph API

Architecture de référence pour un reporting Intune automatisé

Pour répondre à ces enjeux, une architecture basée sur les services Azure s’impose naturellement. Elle permet de construire un pipeline de données robuste, sécurisé et maintenable dans le temps.

Chaque composant joue un rôle précis dans la chaîne de valeur du reporting :

• Microsoft Graph API pour l’accès aux données Intune,
• Azure Automation pour orchestrer les extractions,
• Azure Blob Storage pour stocker les données brutes,
• Azure Key Vault pour sécuriser les secrets,
• Managed Identity pour l’authentification sans mot de passe,
• Power BI pour la visualisation et l’analyse.

Cette combinaison permet de bâtir une solution 100 % automatisée, sans dépendance à des comptes techniques exposés.

L’automatisation complète du processus garantit la fiabilité des données dans le temps, tandis que l’utilisation des services natifs Azure permet de s’aligner sur les bonnes pratiques de sécurité cloud, notamment le principe du moindre privilège.

Comprendre Azure Automation, le moteur d’extraction des données Intune

Une fois l’architecture définie, Azure Automation devient le cœur opérationnel du reporting.

Azure Automation exécute des runbooks PowerShell planifiés qui interrogent Microsoft Graph API à intervalles réguliers. Ces scripts récupèrent les données nécessaires, les structurent et les exportent dans des formats exploitables.

Azure Automation est principalement utilisé pour :

• interroger Graph API sur les objets Intune ciblés,
• structurer les données (terminaux, conformité, applications),
• générer des fichiers CSV,
• déposer automatiquement les exports dans Azure Blob Storage.

La planification des runbooks permet de garantir une mise à jour régulière des indicateurs. Les logs d’exécution facilitent le suivi, le diagnostic et l’amélioration continue des scripts.

Microsoft Graph API pour exploiter les données Intune

Accéder à des données détaillées et exploitables

Microsoft Graph API est le point d’entrée unifié vers l’écosystème Microsoft. Dans le cadre du reporting Intune, son usage est incontournable.

Graph API permet d’extraire des informations fines sur :

• les appareils gérés,
• leur état de conformité,
• les politiques MDM appliquées,
• les applications déployées,
• les niveaux de mise à jour Windows.

Cette granularité permet de dépasser largement les capacités de reporting offertes par la console Intune.

Adapter les permissions aux besoins réels

Les permissions Graph API doivent être soigneusement sélectionnées en fonction des données à collecter. L’utilisation de permissions applicatives, associées à une Managed Identity, permet d’appliquer strictement le principe du moindre privilège.

Sécuriser l’architecture avec Managed Identity et Azure Key Vault

Authentification sans secrets grâce aux Managed Identities

La sécurité est un pilier fondamental de toute architecture de reporting, en particulier lorsque des données liées aux postes de travail sont manipulées.

La Managed Identity permet à Azure Automation de s’authentifier automatiquement auprès de Microsoft Graph et des ressources Azure, sans stocker de mot de passe ni de secret applicatif. Cette approche réduit fortement les risques de compromission.

Gestion centralisée des secrets avec Azure Key Vault

Lorsque certaines clés sont nécessaires, notamment pour l’accès au stockage depuis Power BI, Azure Key Vault permet de centraliser les secrets, contrôler finement les accès et d’appliquer des politiques de rotation.

Stocker et organiser les données Intune dans Azure Blob Storage

Une fois extraites, les données doivent être stockées de manière structurée pour être exploitées efficacement dans Power BI.

Azure Blob Storage offre une solution économique, hautement disponible et parfaitement intégrée à l’écosystème Azure. Il permet également de conserver un historique des données, indispensable pour l’analyse dans le temps.

Pour garantir la lisibilité et la maintenabilité du reporting, il est recommandé de :

• adopter un nommage horodaté des fichiers,
• séparer les données par type (devices, apps, conformité),
• mettre en place des règles de rétention,
• activer le Soft Delete pour prévenir les suppressions accidentelles.

Connecter les données à Power BI

C’est dans Power BI que les données prennent réellement de la valeur pour les équipes IT et les décideurs.

Power BI Desktop se connecte directement à Azure Blob Storage pour importer les fichiers CSV. Les données sont ensuite nettoyées, transformées et enrichies via Power Query afin d’obtenir un modèle cohérent et fiable.

Les tableaux de bord Power BI permettent de restituer les indicateurs sous forme visuelle, claire et interactive, facilitant la lecture et la prise de décision, même pour des profils non techniques.

Modéliser les données Intune

Avant de produire des visualisations, la modélisation des données joue un rôle déterminant.

La séparation entre tables de faits et tables de dimensions permet :

• d’améliorer les performances des rapports,
• de simplifier la création des visuels,
• de faciliter l’évolution du modèle dans le temps.

Une modélisation propre et cohérente réduit la dette technique et permet d’adapter le reporting à de nouveaux besoins sans refonte complète.

Choisir ses KPI

Un reporting Intune pertinent repose sur des indicateurs alignés avec les enjeux IT et métiers.

Parmi les indicateurs les plus fréquemment suivis, on retrouve :

• le taux de conformité des terminaux,
• le niveau de mise à jour Windows,
• la répartition par OS et par version,
• le taux de succès des déploiements applicatifs,
• le nombre d’appareils inactifs.

Ces KPI offrent une vision synthétique de l’état du parc et permettent d’anticiper les risques avant qu’ils n’impactent les utilisateurs ou la sécurité.

Gouverner l’accès aux rapports Power BI

La diffusion des rapports Power BI constitue une étape sensible du reporting Microsoft Intune. Les tableaux de bord contiennent souvent des informations critiques sur l’état de sécurité, la conformité ou l’exposition du parc, et doivent donc être accessibles uniquement aux personnes habilitées.

Power BI propose des mécanismes de gouvernance adaptés à ces enjeux, notamment à travers le Row-Level Security (RLS). Cette fonctionnalité permet de restreindre dynamiquement l’accès aux données en fonction du profil de l’utilisateur. Un responsable de service peut, par exemple, n’accéder qu’aux terminaux de son périmètre, tandis qu’une équipe centrale conserve une vision globale.

Cette approche évite la multiplication des rapports par population ou par entité, tout en garantissant un cloisonnement strict de la donnée. Elle s’inscrit pleinement dans une logique de gouvernance moderne, où la donnée est partagée de manière contrôlée, cohérente et sécurisée, sans compromettre la lisibilité ni la performance des rapports.

Industrialiser le reporting avec un pipeline Power BI

Pour qu’un reporting Intune soit réellement pérenne, il doit dépasser le cadre d’un tableau de bord isolé ou ponctuel. L’industrialisation du reporting passe par l’adoption d’une démarche structurée, inspirée des pratiques DevOps, appliquée aux rapports Power BI.

Les pipelines de déploiement Power BI permettent de gérer le cycle de vie complet des rapports à travers différents environnements, généralement développement, test et production. Cette organisation garantit que les évolutions sont testées, validées et maîtrisées avant d’être mises à disposition des utilisateurs finaux.

Au-delà de la simple mise en production, cette approche apporte de la traçabilité, réduit les risques d’erreur et facilite la collaboration entre équipes IT et métiers. Elle permet également d’aligner le reporting sur les standards de qualité et de gouvernance attendus dans des environnements IT matures, où la donnée devient un actif stratégique à part entière.

Conclusion sur les reporting Power BI dans Intune

Mettre en place un reporting Microsoft Intune automatisé avec Power BI et Microsoft Graph API permet de transformer des données techniques en véritables outils de pilotage. Cette démarche apporte une visibilité accrue, renforce la gouvernance et améliore la capacité des équipes IT à anticiper les risques.

Au-delà du reporting, il s’agit d’un levier de maturité pour le Modern Workplace, aligné avec les exigences actuelles de sécurité, de performance et de décision.

Microsoft vient d’annoncer un changement majeur dans la gestion de Configuration Manager (SCCM) : à partir de septembre 2026, une seule version principale sera publiée chaque année, contre deux actuellement. Cette mise à jour sera essentiellement liée à la sécurité et la stabilité du produit : aucune innovation n’est à attendre sur SCCM. 

Ce n’est donc pas juste un ajustement, c’est un signal fort envoyé à tous.  

Le modèle traditionnel de gestion des postes (AD / SCCM) n’est clairement plus à privilégier, tandis que le modern management, porté par Intune et Entra ID, devient le cœur des investissements et des innovations pour les années à venir !  

Intune n’est plus l’alternative, c’est désormais la trajectoire à privilégier pour vos projets liés à la gestion des terminaux et cela vous aidera à répondre aux enjeux forts de sécurité et de mobilité. Le modern management n’est plus une tendance mais doit devenir la norme. 

Retour vers l’annonce de Microsoft à ce sujet : Announcing the Annual Release Cadence for Microsoft Configuration Manager | Microsoft Community Hub 

Pourquoi migrer vers une gestion moderne avec Microsoft Intune ?

La gestion des postes de travail a profondément évolué ces dernières années. 
Entre le travail hybride, la montée du cloud, la sécurité désormais devenue obligatoire et la diversité des appareils (Windows, macOS, mobiles…), les méthodes traditionnelles comme les GPO et SCCM montrent clairement leurs limites. 

C’est là qu’intervient Microsoft Intune, la brique centrale de la gestion moderne des postes de travail (Modern Management) couplé à Microsoft Entra ID. Mais qu’est-ce que cela change vraiment, et pourquoi tant d’entreprises franchissent aujourd’hui le pas ?

Microsoft investit massivement dans Intune, et cela se reflète dans :

• L’innovation continue : mises à jour mensuelles, intégration de Copilot for Security, automatisation via Graph API. 
• La gestion multiplateforme : Windows, macOS, iOS, Android, un peu de Linux… tout est couvert. 
• La simplification de l’infrastructure : plus besoin de serveurs locaux, de VPN ou de GPO complexes. C’est donc aussi une source d’économie. 
• La sécurité intégrée : hardening, conformité, protection des données, accès conditionnel, Defender for Endpoint. 
• L’expérience utilisateur moderne : déploiement zero touch (Autopilot), support à distance. 

La gestion moderne, une gestion centrée sur l’utilisateur et le cloud

La gestion moderne repose sur une logique inverse à la gestion traditionnelle (AD/SCCM) :

• On ne gère plus un poste à travers le réseau interne, mais à travers l’identité et le cloud.
• L’authentification passe par Entra ID.
• La gestion des appareils et des applications se fait via Microsoft Intune.
• Le déploiement initial est automatisé via Windows Autopilot.
• Les politiques de sécurité sont dynamiques et s’appliquent quel que soit l’endroit où se trouve l’utilisateur et à un rythme régulier.

Exemple :

Un nouvel employé reçoit un ordinateur neuf.
Dès qu’il le démarre et se connecte avec son compte Microsoft 365, le PC s’enrôle automatiquement dans Intune, récupère la configuration, les applications et les politiques de sécurité.
Aucune image, aucun VPN, aucun passage par le service IT.

C’est ce qu’on appelle le Modern Workplace.

Les avantages concrets d’une gestion moderne avec Intune

Adopter Microsoft Intune, ce n’est pas seulement changer d’outil : c’est transformer en profondeur la façon dont les postes sont déployés, sécurisés et administrés. Voici les principaux atouts du modern management :

Simplification du déploiement

La première étape vers une gestion moderne, c’est la simplification du déploiement des postes. Microsoft Intune et Windows Autopilot transforment complètement cette phase souvent chronophage pour les équipes IT :

• Windows Autopilot remplace l’imaging traditionnel.
• Plus besoin de maintenir des images customisées, drivers packs etc.
• Les paramètres, applications et politiques sont appliqués dynamiquement à l’enrôlement.
• Les nouveaux employés peuvent recevoir un PC directement chez eux, prêt à l’emploi. Plus besoin de l’IT.
• Gain de temps avec la réduction du délai de mise en service de plusieurs jours à quelques heures.

Sécurité renforcée

La sécurité est au cœur du modern management. Intune permet d’appliquer automatiquement des politiques de protection et de conformité, garantissant un niveau de sécurité homogène sur l’ensemble du parc :

• Intune applique automatiquement des politiques de sécurité et de mise à jour.  
• Chiffrement des données avec BitLocker et Personnal Data Encryption.
• Activation de LAPS pour protéger et sécuriser le compte administrateur local.
• Activation de Windows Hello pour protéger l’identité de l’utilisateur sur son poste.
• Gestion des mises à jour avec Windows Update for Business voire Autopatch.
• Mise en place du hardening en conformité avec le CIS en utilisant les security baseline intégrés.
• Mise en place de règles d’accès conditionnel pour contrôler l’accès au SI selon : l’identité de l’utilisateur, l’état de l’appareil ou son niveau de risque. 
• Si vous avez les licences > Intégration native avec Microsoft Defender for Endpoint : l’appareil non conforme peut être isolé ou bloqué automatiquement. 

C’est la mise en œuvre concrète du modèle Zero Trust.

Flexibilité et mobilité

La gestion moderne s’adapte aux nouveaux modes de travail hybrides. Avec Intune, les collaborateurs peuvent travailler en toute sécurité, où qu’ils soient et depuis n’importe quel appareil :

• Gestion unifiée de tous les appareils : Windows, macOS, iOS, Android. 
• Support des appareils BYOD (personnels) via des politiques MAM (Mobile Application Management). 
• Les collaborateurs peuvent travailler depuis n’importe où, avec un accès sécurisé et fluide. 

L’IT devient facilitateur plutôt que gendarme.

Réduction des coûts et de la complexité

Au-delà des aspects techniques, la gestion moderne a un impact direct sur les coûts et l’efficacité opérationnelle. En centralisant la gestion dans le cloud, Intune réduit considérablement la complexité de l’infrastructure :

• Moins de serveurs locaux à entretenir (SCCM, WSUS, AD). 
• Moins de scripts et d’interventions manuelles. 
• Une seule console cloud pour gérer tout le parc. 
• Administration plus rapide, reporting intégré avec possibilité de l’améliorer grâce à Graph API et PowerBI.

Intune et Entra ID apportent une vision centralisée, sécurisée et évolutive du parc.

Comment préparer la migration vers Intune

Migrer vers Intune, c’est un projet à part entière avec des étapes à ne pas négliger. En voici un résumé :

Evaluer l’existant

Avant toute migration vers Intune, il est indispensable de réaliser un état des lieux complet de votre environnement actuel pour identifier les dépendances et les points de vigilance :

• Inventaire complet des appareils et de leurs dépendances : OS, applis et GPO. 
• Analyse des dépendances à l’environnement PDT : AD, VPN, scripts, outils internes. 
• Cartographie des utilisateurs et de leurs usages (fixes, mobiles, hybrides). 
• Vérification de l’intégration actuelle avec Entra ID pour la partie identité. 

Objectif : identifier ce qui peut être migré, remplacé ou supprimé.

Choisir le mode de transition

Une fois l’analyse réalisée, il est temps de définir la stratégie de bascule vers la gestion moderne. Deux approches principales s’offrent à vous, selon votre niveau de maturité et votre contexte technique :

Co-management (SCCM + Intune)

Le mode co-management permet de faire coexister SCCM et Intune sur une même période. C’est une approche progressive qui offre le temps de tester, d’ajuster et de transférer les charges de travail vers Intune sans perturber la production :

• Les appareils restent gérés par SCCM, mais certaines charges (mises à jour, déploiement d’applications, conformité) peuvent être basculées progressivement vers Intune.
• Ce modèle facilite la transition tout en limitant les risques liés à un changement brutal.
• Il nécessite toutefois une configuration hybride (Hybrid Azure AD Join) et une synchronisation entre les environnements locaux et cloud.

Le co-management peut sembler une passerelle idéale vers Microsoft Intune pour les utilisateurs venant de SCCM mais apporte un niveau de complexité liés notamment à l’hybridation qu’il ne faut pas négliger. Il faut retenir que c’est un chemin vers le modern management et pas une finalité.

Cloud native

L’approche cloud-native s’adresse aux environnements modernes souhaitant se libérer totalement de l’infrastructure locale. Elle offre une gestion simplifiée, agile et parfaitement intégrée à l’écosystème Microsoft 365 :

• Pour les nouveaux appareils ou lors d’un replace / refresh 
• Azure AD Join + Intune direct via Autopilot. 
• Moins d’infrastructure, plus d’agilité.

Pourquoi pas profiter d’un changement de parc, d’un remplacement de poste ou d’une remasterisation pour le basculer à la cible cloud-native ?

Intune et Entra ID : préparer l’environnement et bâtir le socle

Avant de déployer massivement, il est essentiel de poser des fondations solides. La préparation de l’environnement Intune et Entra ID permet d’assurer la cohérence, la sécurité et la fiabilité de votre dispositif :

• Acheter et configurer les licences adéquates : Intune Plan 1/2 ou Microsoft 365 E3/E5. Il y a plusieurs plans de licences qui intègrent Intune.  
• Créer des groupes dynamiques (appareils Windows 11, utilisateurs Finance…). 
• Packager vos applicatifs 
• Mettre en place les profils de configuration (Hardening, sécurité paramètres Windows, Wi-Fi, VPN, restrictions) et configurer Windows Update for Business.  
• Activer et configurer Autopilot pour automatiser le déploiement. 
• Définir les politiques de conformité : OS à jour, BitLocker, antivirus, etc 
• Configurer les accès conditionnels pour lier sécurité et conformité. 

Lancement d’un pilote

Une phase pilote bien menée est la clé d’une migration réussie. Elle permet de tester en conditions réelles, de recueillir les retours des utilisateurs et d’ajuster les paramètres avant le déploiement global :

• Sélectionner un groupe pilote (10 à 50 utilisateurs). 
• Tester les configurations, le déploiement d’applications et la conformité. 
• Collecter les retours via un canal Teams ou un formulaire. 
• Ajuster les politiques et la documentation avant le grand déploiement global. 

Un pilote réussi = une migration sans problème.

Ensuite on étend le déploiement progressivement, tout en ne négligeant pas les aspects communication et accompagnement aux changements auprès des équipes IT notamment. Une migration bien planifiée peut s’étaler sur plusieurs mois selon la taille de votre parc. Les KPI présentes dans le portail Intune vous permettront de suivre ce déploiement.

Optimisation et maintien en conditions opérationnelles

Une fois la migration déployée, le travail ne s’arrête pas. L’optimisation continue et le maintien en conditions opérationnelles garantissent la performance, la conformité et la pérennité de l’environnement :

• Suivre la conformité de votre parc en continu. 
• Automatiser le nettoyage des appareils inactifs. (Penser à mettre en place des actions d’automatisation pour nettoyer aussi Entra ID) 
• Mettre à jour régulièrement les profils et politiques selon vos besoins.
• Former les équipes IT et le support à ces nouveaux outils, nouvelles méthodes.

Réussir sa migration vers Intune : évitez ces erreurs courantes

Pour protéger vos utilisateurs et sécuriser votre parc, il est important de connaître les erreurs fréquentes qui peuvent survenir lors d’un projet de migration vers Intune, à savoir :

• Négliger l’analyse initiale : les dépendances non identifiées (scripts, GPO, applis locales) bloquent souvent la migration. 
• Vouloir tout migrer d’un coup : mieux vaut un déploiement progressif  
• Oublier la communication interne : tout le monde doit comprendre les bénéfices de cette gestion moderne 
• Sous-estimer la sécurité : c’est primordial  ! 
• Ignorer la formation des équipes : une équipe non formée limitera le succès de la modernisation.

Conclusion

Migrer vers une gestion moderne avec Intune et Entra ID, c’est bien plus qu’un simple projet technique. C’est une évolution stratégique vers une IT plus agile, sécurisée et centrée sur l’expérience utilisateur. 

La question n’est plus “Faut-il migrer vers Intune ?” mais “Quand et comment bien le faire ? ». Vous avez toutes les clés pour bien réussir votre projet 

Pensée pour renforcer le contrôle des actions sensibles comme le déploiement d’applications, de scripts, voire le lancement d’action critiques comme un remote wipe, cette approche impose une validation croisée entre administrateurs avant toute modification critique.

Cette fonctionnalité existe déjà depuis quelques temps dans Intune mais a évolué dernièrement. Le moment idéal pour refaire un tour d’horizon du MMA au travers d’un article 

Quels sont les objectifs du Multi Admin Approval dans Intune ?

Le Multi Admin Approval dans Intune apporte plusieurs bénéfices pour renforcer la sécurité et le pilotage des environnements IT.

Parmi les principaux avantages :

• Prévenir les erreurs humaines : Un administrateur peut, par inadvertance, déployer une application défaillante ou un script mal configuré. Grâce à MAA, vous imposez une validation par un pair avant le lancement du déploiement.
• Limiter les risques en cas de compromission : Si un compte admin est compromis, l’attaquant ne pourra pas déployer un ransomware ou désactiver une protection sans approbation d’un autre administrateur.
• Renforcer la gouvernance : Grâce aux journaux d’audit, MAA permet de tracer les décisions critiques, ce qui peut être essentiel en cas d’audit.
• Encourager la collaboration : Les équipes IT doivent se coordonner pour valider ensemble les actions sensibles, ce qui améliore la communication entre elles et la transparence.

Lire aussi : Zero Trust : comment sécuriser les appareils avec Intune ?

Multi Admin Approval : quelles actions peuvent être protégées dans Intune ?

Les politiques MAA permettent aujourd’hui de sécuriser plusieurs types d’actions :

• Le déploiement d’applications,
• Le déploiement de scripts PowerShell,
• Les actions sur l’appareil comme un effacement ou une suppression de la console,
• La création de politiques d’accès MAA,
• La gestion des rôles via RBAC.

Les stratégies de configuration et de conformité ne sont pas encore prises en charge mais on peut penser que cela sera le cas dans un futur proche (je l’espère et cela serait logique ).

Les bonnes pratiques avant la mise en place d’Intune Multi Admin Approval

Avant de voir comment mettre en place cette fonctionnalité, quelques tips à savoir :

• Intune n’envoie pas d’alertes lorsqu’une nouvelle demande est créée ou lorsqu’une demande existante change de statut. Par conséquent, si vous soumettez une demande urgente, il est préférable d’en informer directement un approbateur.
• Vous pouvez toujours suivre vos demandes dans le centre d’administration Intune.
• S’il existe déjà une approbation en attente pour un objet, vous ne pouvez pas soumettre une autre demande tant que celle-ci n’est pas résolue.
• Chaque étape du processus de demande et d’approbation est enregistrée dans les journaux d’audit Intune.

Comment fonctionne le processus d’approbation ?

Lorsqu’un administrateur modifie ou crée un objet protégé par une politique MAA, une justification (la raison de la modification) lui est demandée lors de la création de celui-ci. Cette justification est incluse dans la demande d’approbation.

Pour les demandeurs

Après avoir soumis une demande, vous pouvez la suivre dans le centre d’administration Intune sous Administration des locataires > Approbation multi-administrateurs > Mes demandes.

Pour les approbateurs

Ils accèdent à la page Demandes reçues, où ils voient les demandes en attente, ainsi que des détails tels qui les a soumises, quand et de quel type de modification il s’agit.

À partir de là, l’approbateur :

• Clique sur le lien Justification pour voir les détails indiqués par le demandeur,
• Peut ajouter des notes,
• Choisit d’approuver ou de rejeter la demande.

En cas de rejet, la justification est partagée avec le demandeur afin qu’il en connaisse les raisons.

Quand le demandeur est aussi approbateur

Si une personne est à la fois demandeur et approbateur, elle verra toujours sa demande dans la section « Demandes reçues », mais ne pourra pas approuver ses propres modifications.

Processus post-approbation

Lorsqu’une modification est approuvée, Intune la traite et met à jour l’objet. Pendant le traitement, le statut est « Approuvé ». Le demandeur initial doit ensuite cliquer sur « Terminer » pour lancer la modification. Une fois la modification effectuée, le statut passe à « Terminé ».

Les statuts restent actifs pendant 30 jours. Si rien ne se passe pendant ce temps, la demande expire et doit être soumise à nouveau.

Comment mettre en place la politique Multi Admin Approval dans Intune ?

Prérequis pour la configuration

Pour utiliser l’approbation multi-administrateur, vous devez posséder au moins deux comptes d’administrateur. Un compte est utilisé pour créer les stratégies, le deuxième pour les approuver.

Pour créer une access policy, vous devez posséder le rôle « Intune Administrator » ou avoir le rôle approprié avec les permissions « Multi Admin Approval ».

Le compte de l’administrateur doit faire partie du groupe d’approbation pour être en mesure d’approuver la stratégie ciblée.  Ce même groupe d’approbation doit aussi être membre d’un ou plusieurs rôles Intune.

Mise en place d’une access policy en quelques clics

Voilà c’est prêt  C’est cette policy qui permettra de placer le mécanisme d’approbation.

Les actions liées aux objets ciblés dans cette politique sont désormais sécurisées au sein de votre tenant Intune.

Process de justification et d’approbation d’une demande de modification d’un objet sécurisé

Bon à savoir et rappel : Intune n’envoie pas de notifications aux approbateurs lorsque de nouvelles demandes sont créées, ni au demandeur lorsque le statut d’une demande existante change.

Conclusion : pourquoi adopter le Multi Admin Approval dans Intune ?

La fonctionnalité Multi-Admin Approval marque une avancée majeure dans la sécurisation des actions effectuées dans Microsoft Intune. En imposant une validation croisée entre administrateurs, elle réduit considérablement les risques liés aux erreurs humaines ou aux actions malveillantes.

Adopter cette fonctionnalité, c’est faire le choix d’un pilotage plus rigoureux et collaboratif de son infrastructure Intune.

L’absence d’alerte lorsqu’une demande est en attente peut être un frein à sa mise en place, mais elle peut probablement être automatisée ; une piste à explorer prochainement ! (Peut-être même que Microsoft l’a en visu )

Pour plus d’infos, lien vers la documentation Microsoft : https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/multi-admin-approval

Cette nouveauté dans l’expérience OOBE avait été évoquée il y a quelques mois mais reportée à la suite de retours d’ingénieurs Modern Workplace, qui demandaient plus de contrôle sur le paramétrage (auparavant limité à un simple ON/OFF).

Nouveauté avec Autopilot : installation des mises à jour dès l’OOBE

C’est désormais chose faite : la fonctionnalité est activable ou non, et la prise en charge de vos rings de mise à jour est possible. Il suffira pour cela d’assigner, sur votre groupe Entra ID contenant vos postes Autopilot, le profil Windows Update for Business adéquat.

Le paramétrage de l’expérience OOBE sera disponible à partir de la mise à jour Windows de septembre 2025. Il faudra peut-être patienter quelques jours au au moment où vous lisez cet article !

L’activation de cette nouvelle fonctionnalité permettra de :

• Renforcer la sécurité dès la livraison du poste de travail à l’utilisateur en lui fournissant un poste sans retard de mise à jour.
• Améliorer l’expérience utilisateur, l’utilisateur n’aura pas un redémarrage supplémentaire pour l’application des mises à jour après la livraison de son poste.

Quels sont les prérequis pour utiliser cette fonctionnalité OOBE ?

Pour activer cette nouveauté, vous devez :

• Disposer de Windows 11 version 22H2 ou ultérieure avec les éditions Pro, Enterprise ou Education.
• Utiliser Microsoft Intune pour gérer les mises à jour de qualité Windows.
• Utiliser Windows Autopilot avec un profil ESP (Enrollment Status Page).
• Installer l’une des mises à jour requises suivantes :
  • Mise à jour OOBE zero-day patch (ZDP) d’août 2025.
  • Mise à jour non liée à la sécurité de juin 2025 ou ultérieure.

Comment configurer Windows Autopilot dans Microsoft Intune ?

La configuration est simple :

• Rendez-vous dans votre profil ESP
• Vous trouverez le paramétrage « Install Windows Quality updates »…

• Sur les profils existants, le paramétrage sera mis à « NO »
• Si vous voulez que les mises à jour s’installent automatiquement, basculez sur « YES » et sauvegardez le profil.

Comme indiqué plus haut, si vous avez des contraintes particulières au niveau paramétrage Windows Update (Par exemple une deferral period), n’oubliez pas d’affecter le même groupe Entra ID des deux cotés (ESP et Ring Windows Update), celui-ci sera pris en compte.

Windows Autopilot : quels impacts sur l’expérience utilisateur ?

L’appareil va lancer une analyse Windows update au niveau de la dernière page de l’OOBE et installer toutes les mises à jour disponibles en prenant en compte vos paramétrages Windows Update for Business.

L’utilisateur aura donc un poste sécurisé dès son premier login et c’est là tout l’intérêt de cette fonctionnalité 

Conclusion : Windows Autopilot, un atout sécurité pour vos environnements IT

Même si le temps de préparation est légèrement plus long, l’activation de cette fonctionnalité dans la phase OOBE dans Windows Autopilot est un choix stratégique dans un contexte où la sécurité est primordiale.

En livrant des postes déjà à jour et sécurisés, vos équipes IT gagnent en efficacité et vos utilisateurs profitent d’une expérience fluide dès leur première connexion.

Retour sur l’annonce officielle de Microsoft : Get ready for Windows quality updates out of the box – Windows IT Pro Blog

Apple a récemment annoncé une mise à jour majeure lors de sa Worldwide Developers Conference 2025 qui résout l’un des plus gros maux de tête des administrateurs : la migration des appareils macOS et iOS/iPadOS d’une solution de gestion des appareils mobiles (MDM) à une autre sans réinitialisation d’usine, sans réinscription manuelle ou perte de configuration.

A savoir sur cette nouvelle fonctionnalité :

• Elle est directement intégrée à Apple Business Manager sans surcoût.
• La migration de MDM est pratiquement transparente pour l’utilisateur, nous le verrons plus bas.
• Elle est parfaite pour les organisations souhaitant unifier leur environnement au sein d’un même MDM et ainsi réduire la charge opérationnelle de leur équipe.

Nous allons voir dans cet article comment utiliser cette fonctionnalité pour migrer d’un MDM vers Microsoft Intune.

Avant de commencer, il est à noter que cette fonctionnalité n’est disponible qu’avec MacOS26 / iOS-iPadOS26. Pour MacOS, une solution manuelle à base de script existe pour les appareils ne disposant pas de cette version.

Etape 1 : Phase de pré-migration

Inventaire matériel

Tout d’abord, il faut créer un inventaire détaillé de tous les appareils de votre organisation.

Une attention particulière doit être portée sur l’OS qu’il exécute. Comme évoqué plus haut, il faut un OS en version 26 mini.

Documenter les configurations du MDM actuel

Dans un second temps, il est important d’auditer et documenter toutes les configurations existantes : profil de configurations / scripts / applications déployées… Considérez que c’est le bon moment pour faire un tri.

Configurer les services Apple dans Microsoft Intune

Puis, vous pouvez ajouter le certificat push Apple nécessaire à la bonne communication entre le MDM et les appareils. Cela permet d’établir la relation de confiance entre Apple Business Manager et Microsoft Intune.

Configurer Microsoft Intune

Enfin, à l’aide des configurations documentées dans l’étape 2, vous pouvez répliquer les configurations existantes dans Microsoft Intune (profils / scripts / apps). Il est important de tester ces configurations sur un appareil de test avant de les déployer sur vos appareils cibles.

Etape 2 : Phase de migration – Flux Admin

Migration via Apple Business Manager

Voici les différentes actions à mettre en place :

• Sélectionnez les appareils concernés.
• Sélectionnez le serveur vers lequel vous souhaitez migrer l’appareil. Dans notre cas, il s’agit d’Intune.
• Définissez une date limite de migration et validez.
• Laissez la magie faire le reste !

Etape 3 : Phase de migration – Flux End-user

Migration sur l’appareil

Voici les différentes étapes qui vont se dérouleront du côté de l’utilisateur :

• L’utilisateur reçoit une notification lui indiquant un changement de configuration prévu.
• Il suit le processus d’inscription : il faudra prévoir sans doute un petit accompagnement au changement.
• Si l’utilisateur ne tient pas compte de la notification et si la date limite fixée par l’administrateur est dépassée, la migration s’effectue automatiquement en plein écran.
• L’appareil est automatiquement enrôlé dans Microsoft Intune et reçoit ses nouvelles configurations et cela sans nécessité de redémarrage.

Quelques screens de l’expérience utilisateur. Ultra simple comme vous pouvez le voir 

Etape 4 : Vérification post-migration

Vérification

Voici quelques conseils :

• Vérifiez dans le centre d’administration Intune que les appareils sont bien enrôlés et qu’ils appliquent les configurations attendues par vos équipes.
• Pour le déploiement il est toujours plus prudent de commencer par un lot pilote pour identifier les éventuels impacts et ainsi, les corriger.

Conclusion

Cette fonctionnalité / évolution est un vrai game changer pour nos projets de migration de MDM vers Microsoft Intune. Elle simplifie grandement les choses et simplifie l’expérience utilisateur au maximum. Plus besoin de reset, de backup manuel, ou d’intervention utilisateur lourde.

Bravo Apple 

Si vous voulez en savoir plus sur les possibilités de gestion Apple avec Microsoft Intune, vous pouvez consulter notre guide Gérer ses appareils Apple dans Intune.

Microsoft Intune, en tant qu’outil de gestion moderne, permet aujourd’hui d’implémenter une stratégie de hardening robuste, pilotée de façon centralisée et évolutive.

Hardening Windows avec Microsoft Intune : un cadre centralisé et dynamique

L’approche moderne de la sécurité des postes repose sur des configurations cohérentes, auditables et réversibles. Microsoft Intune s’impose comme une solution adaptée à cette logique, en offrant un ensemble d’outils pour appliquer des politiques de sécurité normalisées : profils de configuration, security baselines, scripts de remédiation, et contrôles de conformité.

Contrairement à l’ancienne approche via GPO, la gestion moderne permet une supervision en temps réel, une scalabilité adaptée aux environnements multi-sites, et une meilleure capacité d’audit.

Intégrer le Hardening Windows dans les profils de configuration

Les profils de configuration permettent d’appliquer des centaines de paramètres de sécurité à travers le Settings Catalog d’Intune. Il est recommandé de commencer par l’étude des GPO existantes pour évaluer leur pertinence dans un contexte moderne, avant de les transposer dans Intune via des profils de configuration personnalisés.

Des paramètres critiques comme la désactivation des périphériques USB, le blocage de l’installation de logiciels non signés ou encore la désactivation de PowerShell pour les utilisateurs standards peuvent être directement configurés via cette méthode.

Lire aussi : Zero Trust : comment sécuriser les appareils avec Intune ?

Hardening Windows : l’apport des Security Baselines

Les Security Baselines constituent un point de départ stratégique pour tout déploiement de politique de sécurité. En effet, Microsoft fournit des baselines pour Windows 10/11, Microsoft Edge, Defender, etc., préconfigurées selon les recommandations du CIS (Center for Internet Security) et de l’ANSSI.

Ces baselines sont régulièrement mises à jour et permettent un déploiement rapide de configurations sécurisées, avec une granularité suffisante pour les adapter à des groupes spécifiques d’utilisateurs (utilisateurs standards, populations sensibles, environnements industriels).

A noter : Il est fortement recommandé de ne pas tenter de répliquer l’environnement GPO historique “à l’identique” dans un contexte moderne. Cette approche peut réintroduire des failles obsolètes et nuire à la maintenabilité du parc.

Scripts de remédiation et monitoring des écarts de configuration

Les Remediation Scripts, disponibles dans Intune, offrent une capacité avancée de contrôle permanent. Contrairement à un simple script PowerShell exécuté une seule fois, ces scripts peuvent être planifiés pour s’exécuter de manière récurrente (toutes les heures ou tous les jours).

Ils permettent notamment de maintenir des paramètres critiques en l’état, comme l’image de fond d’écran corporative, la configuration du pare-feu, ou encore le paramétrage du proxy. Toutefois, en cas de modification manuelle par l’utilisateur, le script de remédiation restaure automatiquement la configuration souhaitée.

Hardening Windows : contrôle de conformité et réponses automatisées

Au-delà de l’application des paramètres, le hardening Windows implique une vérification continue de leur respect. Intune permet de définir des règles de conformité conditionnant l’accès aux ressources d’entreprise.

Exemples concrets de règles de conformité :

• Blocage de l’accès si BitLocker n’est pas activé ;
• Interdiction d’accès si une application non autorisée (ex. : Zoom) est détectée ;
• Vérification de l’état de mise à jour du système.

Ces règles peuvent déclencher des actions automatiques comme :

• La suppression de l’appareil d’Intune ;
• L’envoi d’un mail à l’utilisateur avec explication et procédure de correction ;
• Le déclenchement d’un ticket vers l’équipe support.

Hardening Windows et audit de conformité via les outils CIS

Pour auditer objectivement le niveau de conformité de vos machines, vous pouvez utiliser plusieurs outils. Parmi eux :

• Qualys, qui permet de comparer les configurations aux benchmarks CIS directement depuis une console centralisée.
• CIS-CAT Pro / CIS WorkBench / CIS Controls Assessment Tool : outils fournis par le CIS pour scanner localement les systèmes et générer un rapport détaillé sur le respect des bonnes pratiques.
• CIS Configuration Assessment Tool (CIS-CAT Lite) : une version gratuite permettant une évaluation immédiate du poste contre les benchmarks Windows 10/11, macOS ou Linux.

Ces rapports mettent en évidence les écarts de conformité et proposent des recommandations concrètes, classées par criticité.

Gestion des comptes administrateurs et principe du moindre privilège

Un des axes clés du hardening Windows concerne la gestion des droits locaux. Vous pouvez :

• Supprimer les comptes administrateurs locaux non nécessaires ;
• Utiliser LAPS (Local Administrator Password Solution) pour gérer dynamiquement les mots de passe des comptes locaux ;
• Déléguer les privilèges temporaires via l’EPM (Endpoint Privilege Management), qui permet d’accorder des droits ponctuels à une application précise sans élever l’utilisateur.

Objectif : supprimer tout compte “permanent” disposant de privilèges élevés, au profit d’une gestion contextuelle, auditable et automatisée.

Hardening Windows : bonnes pratiques pour un déploiement efficace

Voici les principaux conseils à suivre pour garantir l’efficacité de votre démarche :

Eviter le copier-coller d’un environnement legacy

Le passage à Intune est une opportunité pour repartir sur une base saine. Ne copiez pas toutes vos GPO à l’identique. Réévaluez leur pertinence à l’aune du cloud, des nouveaux usages, et du modèle Zero Trust.

Déployer toujours de manière progressive

Même une simple configuration clavier peut avoir des effets inattendus. Testez chaque configuration :

1. sur un environnement IT ;
2. sur un groupe pilote ;
3. puis sur le parc complet.

Combiner baseline et profils de configuration

Une seule baseline, c’est l’idéal. Mais dans la réalité, prévoir :

• une baseline principale ;
• des profils additionnels pour cas spécifiques (sites sensibles, restrictions locales…) ;
• voire des scripts ciblés pour petits groupes.

Maintenir une veille active

Vous le savez, Intune évolue très vite. Nouvelles baselines, nouvelles options (comme le Vulnerability Remediation Agent), nouvelles restrictions… Restez à l’affût pour :

• éviter les conflits ou obsolescences ;
• exploiter rapidement les dernières protections disponibles.

Conclusion : Hardening Windows, un enjeu central de la sécurité moderne

En raison de menaces croissantes et d’usage hybride, le hardening Windows n’est plus une option mais un prérequis. L’association d’Intune, des baselines de sécurité, des scripts de remédiation et d’outils d’audit permet aux entreprises de bâtir une stratégie proactive, évolutive et industrialisée.

Mettre en œuvre ces pratiques demande rigueur, expertise et veille continue. Mais les bénéfices sont majeurs car ils permettent une sécurité renforcée, une conformité réglementaire, une fiabilité du parc informatique, et une capacité de réaction rapide en cas d’écart ou de faille.

Le modèle Zero Trust s’impose aujourd’hui comme incontournable face à la montée en puissance et à la sophistication des cybermenaces.

Les entreprises doivent adopter une approche qui considère que tout accès, qu’il soit interne ou externe, peut potentiellement représenter un risque pour son SI. Cela exige une validation systématique de chaque demande d’accès au SI, indépendamment de son origine et de son contexte.

Le modèle Zero Trust repose sur une approche de sécurité qui remet en question le principe traditionnel de confiance implicite envers l’utilisateur. Plutôt que de supposer qu’un utilisateur ou un appareil au sein du réseau est fiable, il applique systématiquement le principe « never trust, always verify ».

Chaque demande d’accès est soumise à une authentification et à une inspection afin de détecter toute anomalie avant d’accorder l’accès. Cela permet aussi de sécuriser l’accès aux ressources de l’entreprise via des appareils personnels (BYOD).

Au cœur de cette stratégie, Microsoft Intune se distingue comme un outil essentiel et incontournable pour une gestion optimale des postes de travail ou des terminaux mobiles. Il facilite l’adoption de ce modèle et renforce ainsi la protection des données de l’entreprise.

À travers cet article, découvrons comment Microsoft Intune peut vous aider à adopter le modèle Zero Trust et ainsi prévenir les menaces.

Gestion des politiques de conformité dans Intune

Une des briques à implémenter sera l’utilisation des politiques de conformité.

En définissant et intégrant celles-ci, vous vous assurerez que les périphériques qui doivent accéder aux ressources de votre entreprise répondent aux critères de sécurité établis.

Microsoft Intune permet de mettre en place des règles de conformité « by-design » qui permettent de contrôler notamment l’état de l’antivirus Windows Defender, du firewall Windows, du chiffrement Bitlocker, voire de positionner une exigence sur la version minimale du système d’exploitation.

Petit exemple des règles disponibles par défaut :

Il est également possible de mettre en place des politiques de conformité « Custom » qui iront contrôler des paramétrages propres à votre contexte et qui ne sont pas disponibles par défaut. On peut penser à une vérification de la présence d’un mot de passe BIOS ou à la présence d’un EDR tiers.

Pour plus d’infos : https://learn.microsoft.com/en-us/intune/intune-service/protect/compliance-use-custom-settings

Lors de la création d’une politique de conformité, deux actions seront nécessaires de votre côté :

• La définition des règles à intégrer dans ces politiques.
• Les actions à réaliser en cas de non-conformité > Il est possible d’envoyer un mail à l’utilisateur pour l’informer, par exemple.

Lire aussi : Endpoint Security : comment gérer la sécurité dans Intune ?

Stratégie d’accès conditionnel avec Intune

Microsoft Intune fonctionne main dans la main avec Entra ID pour appliquer ces stratégies d’accès conditionnel. L’accès conditionnel est un des piliers du Zero Trust, car il garantit que les utilisateurs et les appareils remplissent des conditions spécifiques avant d’accéder aux ressources.

Les politiques de conformité vues un peu plus haut entrent en jeu à ce moment précis, car un des critères possibles pour l’accès aux ressources de l’entreprise est la conformité du poste. Si le poste n’est pas conforme, il se voit refuser l’accès.

D’autres critères importants sont à prendre en compte, comme l’exigence d’une authentification multifacteur pour vérifier l’identité de l’utilisateur ou l’accès basé sur la localisation, ou là vous pouvez limiter l’accès en fonction des régions géographiques.

Lire aussi : MDM Intune : top 8 des règles d’accès conditionnel

Sécurisation des appareils avec Intune

Grâce à Microsoft Intune, vous pouvez gérer directement la sécurisation de vos appareils :

• Déployer directement les security baselines liées à Windows, Office 365, Microsoft Edge. Les security baselines sont des profils préconfigurés par Microsoft et regroupant les bonnes pratiques au niveau sécurité, elles sont bien sûr adaptables à votre environnement.
• Vous pouvez aussi déployer vos propres paramètres de hardening directement grâce à des profils de configuration ou des scripts PowerShell.
• Vous pouvez également intégrer l’EDR Microsoft Defender for Endpoint directement à Microsoft Intune pour onboarder les postes dans cette solution et ainsi avoir une console centralisée (dans ce cas, Microsoft Intune) qui permet de pousser le paramétrage de l’EDR. Selon le niveau de licence (P1 ou P2), vous pourrez aussi gérer les remontées et vulnérabilités.

Protection des applications et des données

Les stratégies de protection des applications dans Intune permettent de protéger les données d’entreprise au niveau de l’application, sans nécessiter d’inscription de l’appareil. Ceci est particulièrement utile dans les scénarios BYOD (Bring Your Own Device).

Les principales stratégies configurables sont les suivantes :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile personnel
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées (Exemple : Messagerie d’entreprise uniquement sur Outlook)

Pour plus d’informations, rendez-vous ici : App protection policies overview – Microsoft Intune | Microsoft Learn

Moindre privilège et RBAC (contrôle d’accès en fonction du rôle)

Un autre des principes clés du modèle Zero Trust est d’accorder aux utilisateurs uniquement l’accès dont ils ont besoin pour effectuer leur tâche.

Microsoft Intune prend en charge cela avec le contrôle d’accès en fonction du rôle (RBAC).

• Rôles personnalisés : Les administrateurs peuvent créer des rôles avec des autorisations spécifiques, en veillant à ce que les utilisateurs n’accèdent qu’aux parties d’Intune (ou d’autres ressources d’entreprise) qui sont pertinentes pour leur rôle.

(Exemple : Un technicien de support informatique peut avoir accès à la gestion des appareils dans Intune mais uniquement sur certaines fonctionnalités ou certains devices.)

De manière plus globale, il est possible de faire du RBAC sous Entra ID pour déléguer l’accès aux services M365 par exemple. Il y a des tas de rôles prédéfinis et vous pouvez créer vos propres rôles personnalisés.

Pour plus d’informations liées au RBAC : Documentation Microsoft Entra RBAC – Microsoft Entra ID | Microsoft Learn

Si vous avez le niveau de licence nécessaire, je vous conseille aussi d’utiliser PIM. Privileged Identity Management assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes sur les ressources qui vous intéressent.

Pour plus d’informations sur PIM : What is Privileged Identity Management? – Microsoft Entra ID Governance | Microsoft Learn

Pour finir, sur la partie Poste de travail et la gestion des administrateurs, je vous conseille la mise en place d’une fonctionnalité désormais bien connue et qui s’appelle LAPS. Une autre fonctionnalité nommée EPM est aussi intéressante pour certains cas d’usages.

Surveillance et reporting

Le Zero Trust nécessite une surveillance continue pour détecter les menaces en temps réel. Microsoft Intune s’intègre à des outils tels que Microsoft Defender et Azure Sentinel pour fournir une surveillance complète de l’ensemble du parc informatique.

• L’intégration avec Azure Sentinel fournit une vue centralisée des événements et des incidents de sécurité, ce qui permet aux équipes de détecter, d’examiner et de répondre plus efficacement aux menaces.
• Les fonctionnalités de reporting intégrées d’Intune donnent aux administrateurs des informations détaillées sur la conformité des appareils, ce qui leur permet de prendre des décisions éclairées sur les politiques de sécurité.
• L’intégration avec Defender for Endpoint permet d’identifier les vulnérabilités et d’effectuer les actions en conséquence dans le but de les résoudre.

Vous pouvez aussi, grâce au Secure Score mesurer la posture de sécurité de votre entreprise et ainsi voir les actions recommandées pour l’améliorer.

Conclusion et recommandations

La mise en place du modèle Zero Trust avec Microsoft Intune représente une étape cruciale vers une sécurité renforcée et une gestion moderne des appareils.

Vous avez ci-dessus une bonne partie des fonctionnalités à mettre en place pour tendre vers ce modèle.

En adoptant cette approche, les entreprises peuvent minimiser les risques liés aux accès non autorisés et aux menaces internes.

Microsoft Intune, par ses capacités de gestion unifiée, facilite cette transition en offrant des contrôles granulaires et une intégration fluide avec d’autres solutions de sécurité Microsoft comme Defender ou Sentinel.

Mais, réussir cette implémentation demande une stratégie bien pensée, une adoption progressive et une sensibilisation des utilisateurs.

Le Zero Trust nécessite d’être constamment ajusté aux besoins et aux menaces émergentes.

Grâce à lui, les entreprises s’assurent une résilience accrue face aux cyberattaques de plus en plus courantes.

L’usage des appareils mobiles Apple (iPhone et iPad) en entreprise s’est largement démocratisé ces dernières années. Que ce soit pour la communication, la gestion de tâches ou l’accès aux applications métiers, ces appareils Apple sont devenus des outils incontournables dans de nombreux secteurs.

L’adoption croissante des iPhones et iPad dans les environnements professionnels s’explique par plusieurs facteurs :

• Un écosystème fluide et sécurisé, avec des fonctionnalités comme Face ID, le chiffrement matériel et l’authentification forte via Apple ID et iCloud.
• Un déploiement et une gestion simplifiés grâce à des solutions MDM comme Microsoft Intune, permettant une configuration sans intervention utilisateur via Apple Business Manager et l’Enrôlement Automatique des Appareils.
• Une expérience utilisateur homogène, avec une interface intuitive, des mises à jour régulières et une compatibilité optimisée entre les applications et services cloud.
• Une productivité accrue, notamment avec l’iPad qui devient une véritable alternative aux ordinateurs portables grâce à des accessoires comme l’Apple Pencil et le Magic Keyboard.
• Un matériel fiable et durable, garantissant un bon retour sur investissement et une adoption large par les collaborateurs.

De grandes entreprises comme Delta Airlines, IBM ou encore la SNCF exploitent les appareils mobiles Apple pour améliorer la mobilité et la réactivité de leurs équipes, que ce soit pour la relation client, la gestion des stocks ou le suivi de projet.

Dans cet article, nous verrons comment Intune permet d’administrer efficacement une flotte Apple d’iPhone et d’iPad en entreprise, en assurant à la fois sécurité, conformité et flexibilité d’usage.

Prérequis à la gestion d’une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d’assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c’est un portail Web qui permet entre autres de faire l’inscription automatisée de l’appareil lors de sa mise en route et de déployer des applications venant de l’Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les méthodes d’enrôlement des iPad et BYOD avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique Apple (iPhone ou iPad) dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du périphérique. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela 2 solutions :

• Demandez à votre revendeur
• Utiliser l’application Apple Configurator for MacOS

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le mobile est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode.

Mais si vous voulez enrôler un iPhone/iPad existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier ». Le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » .

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : l’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.

Concernant la dernière méthode dite « BYOD – Web Based Device Enrollment », des détails arrivent ci-après.

Apple : gestion des iPad partagés avec Intune

Le provisionnement d’un iPad en tant qu’iPad partagé fait en sorte qu’il puisse être utilisé et partagé entre plusieurs employés de votre organisation. Les iPad inscrits dans Intune à l’aide de l’inscription automatisée des appareils, et sans affinité utilisateur, peuvent être provisionnés en tant qu’iPad partagés.

L’iPad partagé crée un nombre prédéfini de partitions utilisateur sur l’appareil. Les partitions utilisateur garantissent que les applications, données et préférences de chaque utilisateur sont stockées séparément sur l’iPad. Si vous l’autorisez, ces partitions peuvent être sauvegardées sur iCloud pour une transition transparente entre d’autres iPad partagés.

Lorsque vous fédérer votre tenant Entra ID avec Apple Business Manager, un utilisateur peut se connecter à un iPad partagé à l’aide de son nom d’utilisateur et de son mot de passe Microsoft Entra.

Les avantages sont multiples :

• Idéal dans l’utilisation d’un iPad partagé devant accéder aux services Microsoft 365.
• Réduction des coûts (plusieurs utilisateurs peuvent utiliser le même appareil).
• Sécurité de l’identité et des données.
• Expérience utilisateur personnalisé. (SSO)

La mise en place de ce mode de gestion implique quelques pré requis :

• iPad OS 13.4 mini avec 32 Go de stockage
• Fédération Apple Business Manager <-> Entra ID (attention aux impacts possibles)
• Déploiement uniquement via la méthode « Automated Device Enrollment without user affinity »

En ce qui concerne l’impact possible sur la fédération Entra ID <> Apple Business Manager >

• La fédération est possible avec Entra ID, Google Workspace…
• Utilisation du compte Entra ID en tant qu’Apple ID pour se connecter à un iPad partagé
• Fédération activée = Apple reprend possession du nom de domaine
• Si des utilisateurs ont créer un Apple ID personnel avec leur adresse mail professionnel, Apple leur enverra un mail pour demander le changement de celui-ci dans un délai imparti.

Pour en savoir plus sur ce mode de gestion, suivez ce guide : https://www.cloudtekspace.com/post/configure-shared-ipad-using-microsoft-intune

Apple : gestion du BYOD avec Intune

La gestion des appareils personnels (BYOD) dans un environnement professionnel soulève des enjeux majeurs en matière de sécurité et d’expérience utilisateur. Avec Microsoft Intune, il existe plusieurs approches pour sécuriser les iPhone et iPad sans compromettre la productivité des employés, notamment les App Protection Policies et l’inscription Web Based.

App Protection Policy dans Intune

Son rôle :

• Garantir que les données de l’organisation restent sécurisées ou contenues dans une application managée.
• Contrôler la façon dont les données sont consultées et partagées.
• Pas besoin d’inscrire son terminal dans le MDM. Les stratégies ne s’appliquent pas dans un contexte perso.

Quelques exemples d’utilisation de stratégies de protection des applications avec Microsoft Intune :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées

Web Based Enrôlement dans Intune

L’inscription « Web Based Enrôlement » est l’une des deux méthodes d’inscription des appareils disponibles pour les appareils iOS/iPadOS dit personnels. L’autre méthode étant l’inscription à partir du portail d’entreprise.

Le principal facteur de différenciation est que l’inscription « Web based » offre une expérience d’inscription plus rapide et plus conviviale. Il n’est plus nécessaire de télécharger d’abord l’application Portail d’entreprise. Au lieu de cela, l’utilisateur peut simplement se rendre sur le site Web Company Portal.

Nous pouvons voir sur le tableau ci-dessus les différences entre l’inscription « Web based » et l’inscription via « Portail d’entreprise ».

Microsoft Intune prend en charge ce nouveau type d’inscription sur les appareils exécutant iOS/iPadOS version 15 ou ultérieure.

En ce qui concerne le BYOD, ma préférence se dirige plutôt sur l’application de stratégie « App Protection Policy » qui pour moi offre le niveau de sécurité le plus haut et ne s’applique uniquement que sur les applications de l’entreprise. (Exemple : Office 365) contrairement à une inscription « Web Based » qui elle concerne l’appareil.

Tout dépend du niveau de contrôle que vous souhaitez.

Apple : conclusion sur la gestion des iPhone et iPad dans Intune

L’intégration des appareils mobiles Apple (iPhone et iPad) dans un environnement d’entreprise avec Microsoft Intune permet une gestion flexible et sécurisée des appareils, qu’ils soient corporate ou BYOD. Grâce aux différentes méthodes d’enrôlement, les administrateurs peuvent choisir la meilleure approche selon les besoins de l’organisation : Automated Device Enrollment pour un contrôle total, Company Portal Enrollment pour un enrôlement simplifié, ou encore Web-Based Enrollment pour une expérience utilisateur optimisée.

L’ajout de fonctionnalités comme Shared iPad for Business offre une solution efficace pour les environnements où plusieurs utilisateurs partagent le même appareil, tandis que les App Protection Policies permettent de sécuriser les données sans imposer une gestion intrusive des périphériques personnels.

À l’heure où la frontière entre usage professionnel et personnel devient de plus en plus floue, Intune apporte les outils nécessaires pour assurer sécurité, conformité et expérience utilisateur fluide dans un écosystème Apple en entreprise.

Cette solution offre une meilleure visibilité et facilite la gestion logistique ainsi que le diagnostic des incidents auprès des équipes en charge de la gestion du parc informatique. Cet article vous guide pas à pas dans la configuration du Device Hardware Inventory.

Présentation de Device Hardware Inventory dans Intune

La gestion moderne des appareils enrollés dans les tenants Intune propose de nombreuses informations relatives à ces machines, parmi lesquelles on retrouve depuis peu le Device Inventory ou Resource Explorer depuis la console :

Cette fonctionnalité, qui s’active via un profil de configuration (Configuration Profiles), permet de récolter et d’analyser des informations plus exactes sur l’état du parc informatique matériel, telles que la batterie, le BIOS, le CPU, les TPM, etc. 

Certaines informations pouvaient être disponibles dans la partie « Hardware » des appareils. 

Toutefois, le Device Inventory propose la collecte d’informations plus précises.

Ces informations peuvent être utilisées par les gestionnaires de parc à des fins de gestion logistique. Elles pourront aussi apporter certaines informations à distance afin d’isoler les causes d’incidents redondants sur certains modèles pour la population plus technique. 

Configuration du Device Hardware Inventory dans Intune

Avant de s’intéresser à la consultation de ces informations, elles doivent être collectées.

Pour ce faire, il faut préparer un profil de configuration avec un compte disposant des droits. Connectez-vous à Intune : 

• Rendez-vous dans Devices  :

• Puis Windows (accessible aussi depuis Configuration directement dans Devices) :

• Cliquez sur Configuration :

• Cliquez sur Create :

• New policy :

• Depuis le panneau latéral droit, sélectionnez « Windows 10 and later » et « Properties Catalog » :

• Confirmez avec le bouton « Create » :

• Nommez votre profil et renseignez la description (note : le profil est nommé Resource Explorer, à l’instar du nom de la fonctionnalité sur les appareils) :

• Cliquez sur « Next », puis sur l’écran « Configuration Properties » cliquez sur :

• Le panneau latéral droit qui s’affiche vous propose alors de sélectionner les informations matérielles que vous souhaitez voir récoltées :

• Chacune de ces catégories comporte des sous-catégories apportant plus de détails.
• Lorsque vous sélectionnez une catégorie, l’ensemble de ses sous-catégories est alors sélectionné :

Quelques précisions sur cette sélection : 

• En sélectionnant une catégorie, tout est sélectionné. 
• Certaines catégories sont sélectionnées et grisées. 
• Celles en bleu peuvent être décochées. 
• Celles en gris dépendent d’autres sous-catégories. 
• Il est possible de déployer une catégorie et de sélectionner uniquement celles qui sont nécessaires dans cette catégorie. 

Attention toutefois : dans l’exemple ci-dessus, si l’on décoche l’ensemble de la catégorie, puis que l’on sélectionne « Target Operating System » : 

• Les catégories liées sont automatiquement sélectionnées à leur tour :

• Décocher une de ces catégories décoche les 4 à la fois. 

• Sélectionner SM BIOS version bloque les catégories qui sont indispensables pour la récolte de cette information :

• Sélectionnez les catégories voulues.
• Chacune des propriétés sélectionnées est alors visible dans le panneau latéral droit :

• Une fois validées, vos catégories et propriétés sont affichées comme ci-dessous, avec leur fréquence :

• Validez les Scope tags  
• Assignez au groupe Device cible  

Consulter les résultats de la configuration Device Hardware Inventory avec Intune

Votre configuration profile étant en place dans Intune, vous pouvez consulter les informations de vos appareils (comptez néanmoins 24H avant que les premières informations remontent).

Pour consulter les informations  :  

• Rendez-vous dans Devices

• Puis Windows :

•  Cherchez alors l’appareil que vous souhaitez.
• Depuis la partie latérale gauche, cliquez dans Monitor → Resource Explorer :

•  Vous retrouvez ici l’ensemble des catégories, y compris celles non sélectionnées.
• Par exemple, si aucune policy n’est en place, alors toutes les catégories apparaîtront, mais aucun résultat ne sera affiché lors de la sélection d’une catégorie :

Pour aller plus loin avec Intune :

Article – Intune Mobile Device Management : les changements à anticiper en 2025 

Article – Qu’est-ce que l’App Protection Policy dans Intune et comment la mettre en place ? 

Avant d’aborder en détail la gestion des macOS en entreprise avec Microsoft Intune, commençons par quelques chiffres et un peu de contexte.

En 2023, Apple, avec macOS, détenait environ 19 % du marché mondial des systèmes d’exploitation. Si Windows reste dominant, l’adoption des MacBook en entreprise ne cesse de croître.

Pourquoi cet engouement ? Plusieurs facteurs expliquent cette montée en puissance du Mac dans les environnements professionnels :

• Une intégration fluide avec les solutions de gestion modernes comme Microsoft Intune, facilitant l’administration et la sécurisation des appareils.
• Une sécurité avancée avec des technologies natives comme FileVault, Gatekeeper et l’architecture Apple Silicon.
• Une expérience utilisateur optimisée, favorisant la productivité avec une interface fluide et un écosystème harmonisé avec les autres appareils Apple.
• Une longévité et une fiabilité reconnues, avec des machines performantes et une excellente gestion de l’autonomie.
• Un coût total de possession (TCO) souvent optimisé grâce à une maintenance réduite et une valeur de revente élevée.

De grandes entreprises comme IBM, Salesforce ou encore SAP ont adopté le Mac à grande échelle, témoignant de son potentiel dans le monde professionnel.

Dans cet article, nous verrons comment Microsoft Intune permet de gérer efficacement une flotte de Mac en entreprise, en alliant simplicité et sécurité.

Prérequis à la gestion d’une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d’assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c’est un portail Web qui permet entre autres de faire l’inscription automatisée de l’appareil lors de sa mise en route et de déployer des applications venant de l’Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les différentes méthodes d’enrôlement macOs avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique macOS dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du MacBook. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela, deux solutions :

• Demander à votre revendeur
• Utiliser l’application Apple Configurator for Iphone. Pour plus d’informations, cliquez ici.

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le MacBook est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode. 

Mais si vous voulez enrôler un MacBook existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier », le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » . 

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.  

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : L’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.   

La dernière méthode dites « Direct Enrôlement » est à éviter car trop chronophage.

Apple : configurer ses MacBook dans Intune

Microsoft offre de multiples façons de configurer l’environnement MacOS.

Les settings Catalog

Les settings Catalog sont la façon la plus courante et là où vous retrouverez la plus grande quantité de paramétrages.

Microsoft complète ce catalogue mensuellement pour répondre aux différents besoins, les derniers en date concernent par exemple Apple Intelligence.

Les templates

Les templates sont à utiliser pour des besoins spécifiques tel que le déploiement de certificat approuvé ou la configuration des connexions Wifi / Ethernet.

Les scripts

Les scripts sont à utiliser pour des besoins customisés et qui ne sont pas disponibles dans les deux options ci-dessus.

Profils de configuration custom

Il est également possible de créer des profils de configuration custom (plist) pour des logiciels comme Google Chrome avec l’utilitaire « Imazing Profile Editor ».
Ces profils sont à intégrer en profile type « Templates » puis « Custom ».

Les règles de hardening pour Mac

Si vous souhaitez mettre en place des règles de hardening, sachez que des référentiels sont disponibles au niveau du CIS et du NIST.

Vous retrouverez toutes les informations en consultant les liens suivants :

• https://www.cisecurity.org/benchmark/apple_os
• https://github.com/usnistgov/macos_security

Quelques exemples de règles de hardening pour les MacBook :

• Activation des mises à jour automatique
• Désactiver le sharing
• Activation de Gatekeeper et du firewall natif.

Mac Evaluation Utility

Pour finir sur la partie configuration, Apple met à disposition un utilitaire nommé « Mac Evaluation Utility » qui permettra d’auditer une partie de la configuration en place et vous indiquer si vous êtes conforme vis-à-vis des préconisations Apple sur différentes thématiques.

Pour télécharger cet utilitaire, rendez vous sur ce lien https://beta.apple.com/for-it

Apple : gérer les mises à jour de l’OS dans Intune

Sous MacOS, il existe 2 types de mises à jour :

• Minor (update) : plusieurs fois par an (on peut comparer cela à une mise à jour cumulative sous Windows) > Exemple : Passage de MacOS 15.1 à 15.2
• Major (upgrade) : une fois par an (on peut comparer cela à une mise à jour de fonctionnalité sous Windows) > Exemple : Passage de MacOS 15 à 16.
  Vous avez la possibilité de reporter l’installation de ces mises à jour jusqu’à 90 jours.

Sur la base de ces paramétrages dans Intune, vous pouvez donc créer vos rings de mise à jour qui permettront de diffuser les mises à jour selon vos besoins. (Exemple : Déploiement des mises à jour à J+0 sur une population pilote / Déploiement des mises à jour à J+5 sur une autre population etc…)

Vous voulez améliorer l’expérience utilisateur sur cette partie ? Pensez à l’outil Nudge.

Nudge est une petite application qui permet de personnaliser l’expérience utilisateur en offrant des reports et un peu plus de visibilité sur l’installation des mises à jours.

C’est un outil développé par la communauté et supporté par Microsoft qui explique même comment le configurer dans ces documentations 

Pour plus d’infos sur Nudge, c’est par ici : https://github.com/macadmins/nudge

MacOS Intune : gérer la partie « Administrateur local »

A ce jour, il n’existe pas d’équivalent à Microsoft LAPS pour l’environnement MacOS .

Mais Microsoft met une bibliothèque de scripts Bash qui vous permettra de :

• Créer un compte administrateur local
• Downgrader un compte administrateur en compte standard
• Supprimer un compte administrateur local
• Déchiffrer le mot de passe du compte administrateur local pour l’utilisation sur un périphérique (un mot de passe généré par périphérique).

Vous trouverez toutes ces ressources en suivant ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Config/Manage%20Accounts

MacOS Intune : déployer les applications

Il existe différents types d’applications que vous pouvez utiliser en fonction de vos cas d’usage.

• Line of Business App :

Application custom ou développé par l’entreprise : elle doit être signé par un certificat développeur Apple pour des questions de sécurité et d’intégrité

• macOS app (DMG) :

Image disque > Peux être utiliser pour des installations simples pour lesquelles il n’y a pas besoin de customisation

• macOS app (PKG) :

Format d’installation natif MacOS > Possibilité d’utiliser des scripts de pre-install ou de post-install pour les installations complexes.

• AppStore :

Application venant de l’app Store et synchronisé avec le jeton VPP

Infos utiles :

• La taille maximale pour un PKG ou un DMG est de 8 Go
• La taille maximale pour une LOB apps est de 2 Go.

MacOS Intune : étendre l’inventaire grâce aux custom attributes

Créer des custom attributes vous permettra de collecter des propriétés personnalisées à partir d’un appareil macOS géré par Intune à l’aide de scripts shell.

• Vous voulez connaitre l’état de la batterie ?
• Vous voulez savoir qui est administrateur de son Mac ?
• Ou encore si Gatekeeper est actif ?

Les Custom attributes sont faits pour vous

Une bibliothèque de Custom Attributes assez complète est disponible via ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Custom%20Attributes

MacOS Intune : Declarative Device Management

Passer d’une gestion réactive à une gestion proactive ! Le futur de la gestion Apple !

Protocole MDM (actuel)

Protocole DDM

A la différence du protocole MDM, le protocole DDM fait que la machine garde en mémoire le paramétrage souhaité et que si celle-ci change d’état, le paramètre est réappliqué sans nécessité que la machine recontacte son serveur MDM pour connaitre le paramétrage a appliqué.

Les deux protocoles peuvent être utilisés conjointement.

La gestion « Declarative Device Management » permet aux organisations dʼêtre plus sûres que les périphériques sont dans l’état désiré et que les données essentielles sont en sécurité, même sans connexion à Internet.

Voici pour le moment les paramétrages disponibles en gestion « DDM », d’autres sont sans doute à venir.

MacOS Intune : Platform SSO for macOS

Microsoft a annoncé le 6 mai 2024 la sortie en public preview de la fonctionnalité « Platform SSO for macOS » intégré à Microsoft Entra ID et configurable avec Microsoft Intune. 

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité.

La fonctionnalité Platform SSO for macOS offre de nombreux avantages 

Aux administrateurs :

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser. 
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage

Aux utilisateurs :

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir. 
• Possibilité d’utiliser une authentification « password less ».
• Expérience de connexion plus sécurisée.

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix :

La méthode « Secure Enclave » est celle qui est préconisée par Microsoft et qui offre le plus haut niveau de sécurité.

Des prérequis sont nécessaires pour la configuration et l’utilisation :

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple)
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO)
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé )
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On »
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience.

Pour plus d’infos, retrouvez notre article sur le sujet : https://synapsys-groupe.com/blog/platform-sso-mac-microsoft-intune/

Conclusion sur la gestion des macOS dans Intune

La gestion d’un environnement macOS en entreprise avec Microsoft Intune offre une approche complète et sécurisée pour l’administration des périphériques macOS. Grâce aux différentes méthodes d’enrôlement, aux paramètres avancés de configuration et aux outils comme Nudge ou Platform SSO, les équipes IT peuvent optimiser l’expérience utilisateur tout en garantissant la conformité et la sécurité des appareils.

L’évolution vers des technologies comme le Declarative Device Management annonce une gestion encore plus proactive et fluide des MacBook, réduisant la dépendance aux connexions MDM classiques. De plus, avec l’intégration croissante de macOS dans l’écosystème Microsoft, les entreprises disposent désormais de solutions robustes pour unifier la gestion de leurs appareils, quel que soit leur OS.

En adoptant les bonnes pratiques et en tirant parti des outils disponibles, il devient possible d’offrir un environnement de travail performant, sécurisé et aligné sur les exigences modernes de mobilité et de flexibilité.

Elle permet de sécuriser les données présentes dans les applications Microsoft (Teams, Outlook, Sharepoint…) et les applications métiers sur l’ensemble des appareils mobiles (BYOD et appareils d’entreprise).

App Protection Policy dans Intune : comment fonctionne ?

Fonctionnement sans politique MAM

Lorsque aucune restriction d’App Protection Policy n’est mise en place dans Intune, les données de l’entreprise peuvent être transférées et utilisées dans un environnement personnel et non managé. Cela peut causer une fuite de données, de façon volontaire ou non.

Fonctionnement avec politique MAM

En combinant le MAM et une règle d’App Protection Policy dans Intune, il est possible de restreindre l’utilisation des données de l’entreprise. Seules les applications approuvées et managées par l’entreprise peuvent accéder aux données de l’entreprise.

Quelques exemples de ce qu’il est possible de faire avec une App Protection Policy dans Intune :  

• Exiger un code PIN ou une empreinte digitale pour accéder à toutes les applications managées par l’entreprise.
• Empêcher les utilisateurs de copier/coller des données de l’entreprise dans des applications personnelles.
• Restreindre l’accès aux données de l’entreprise aux seules applications approuvées.

Pour les appareils BYOD qui ne sont pas enrôlés dans Intune, il y a certaines limitations à connaître : 

• Il n’est pas possible de déployer des applications sur l’appareil. L’utilisateur doit les télécharger de lui-même depuis le Play Store ou l’Apple Store.
• Il n’est pas possible de déployer des certificats sur ces appareils.
• Il n’est pas possible de déployer les paramètres Wi-Fi et VPN de l’entreprise sur ces appareils. 

Avec cette méthode, il n’y a que les applications et les données qu’elles contiennent qui seront protégées et managées.  

À lire aussi : MAM vs BYOD : quelles différences ?

Liste des prérequis pour mettre en place une App Protection Policy dans Intune

Avant de commencer avec les explications techniques, voici la liste des prérequis : 

• L’utilisateur doit avoir un compte Microsoft Entra de l’entreprise.
• L’utilisateur doit avoir une licence Microsoft Intune attribuée à son compte.
• L’utilisateur doit appartenir à un groupe d’utilisateurs ciblé par une politique d’App Protection Policy (nous verrons les assignations un peu plus loin).
• L’utilisateur doit se connecter à l’application à l’aide de son compte Microsoft.

Exemple de mise en place d’une App Protection Policy dans Intune

Comment créer une App Protection Policy dans Intune​ ?

Rendez-vous dans votre tenant Intune, puis dans Apps > Policy > App Protection Policy cliquez ensuite sur « Create Policy ».

Choisissez ensuite pour quel type d’appareils vous voulez créer et déployer votre App Protection Policy, dans notre exemple, nous choisirons Android. 

Dans la partie Name, assurez-vous d’utiliser la nomenclature qui est propre à votre organisation. Dans la partie description, n’hésitez pas à expliquer ce que fait votre APP. 

Dans notre exemple, nous ciblerons uniquement des applications publiques Microsoft. Mais si vous souhaitez cibler vos applications métiers, assurez-vous que le SDK de Microsoft est bien injecté dans vos applications.

Vous trouverez ici tout ce dont vous avez besoin pour utiliser les App Protection Policy avec vos applications. 

Comment protéger les données avec App Protection Policy ?

Voici comment procéder pour sécuriser ses données avec APP dans Intune :

1. Sélectionnez Bloquer pour empêcher la sauvegarde des données de l’entreprise vers les services de sauvegarde Android. 

2. Policy managed apps : Autorisez le transfert de données vers d’autres applications gérées par l’entreprise (par exemple, copier un paragraphe d’un document Word rattaché au compte Microsoft pro d’un salarié vers son application Outlook ou Teams gérées par une politique MAM).

3. Sélectionnez Bloquer pour empêcher la sauvegarde d’une copie des données vers un nouvel emplacement. Nous autorisons cependant la sauvegarde vers OneDrive for Business et vers SharePoint, tous deux étant des applications professionnelles, gérées. 

1. Transfer messaging data > Any policy-managed messaging app : Pour forcer l’utilisation d’une application gérée lors de l’ouverture d’un lien dans une application de messagerie. 

2. Receive data from other apps > Policy managed apps : Pour autoriser des données personnelles dans des applications professionnelles. Nous autoriserons uniquement OneDrive for Business et SharePoint comme cibles de cette autorisation. 

3. Restrict cut, copy, and paste between other apps > Policy managed apps with paste in : Cela permet d’autoriser du contenu entrant collé à partir d’une autre application. Elle empêche, malgré tout, les utilisateurs de partager du contenu vers l’extérieur, à moins de le faire avec une application gérée. 

4. Sélectionnez Bloquer pour le Screen capture and Google Assistant. En cas de blocage, les fonctionnalités de capture d’écran seront bloquées lors de l’utilisation des applications protégées par l’App Protection Policy. 

5. Bloquer les claviers alternatifs. 

1. Demandez le chiffrement partout

2. Bloquez la possibilité d’imprimer les données de l’entreprise 

3. Laissez le reste par défaut. 

Comment gérer les Access requirements dans App Protection Policy Intune ?

PIN for access > Required : Cela permet de forcer la mise en place d’un code PIN lors de l’ouverture de l’application. Ce code est créé lors de la première utilisation de l’application avec son compte d’entreprise. On gère la complexité de ce code via plusieurs paramètres  : numérique ou alphanumérique, l’autorisation ou non d’un code PIN simple (0000, 1234, etc.) et la longueur du code : de 4 à 16 caractères. 

On peut également autoriser la biométrie pour permettre aux utilisateurs d’accéder aux applications avec leurs empreintes. 

Il est également possible de demander le renouvellement de ce code PIN régulièrement. Tous les 60-90 jours est une valeur qui permet un changement fréquent tout en permettant aux utilisateurs de ne pas être noyés sous les demandes répétées de changement de code PIN. Un historique de 5 mots de passe (cette valeur peut être modifiée) permet d’empêcher la répétition des mêmes codes PIN, pour plus de sécurité. 

Nous pouvons également demander à l’utilisateur de se réauthentifier avec son compte utilisateur, pour un niveau de sécurité encore accru. Attention cependant à ce que vos utilisateurs ne se sentent pas sur-sollicités par toutes ces couches de sécurité, afin de ne pas les décourager à utiliser vos applications. 

L’authentification sera redemandée après 30 minutes d’inactivité.  

Cette année encore, l’événement a été riche en annonces dans tous les domaines (Cloud, IA, Modern Work…). Nous allons, à travers cet article, faire un tour d’horizon sur les différentes annonces qui ont été réalisées autour du Modern Workplace et plus particulièrement autour de Microsoft Intune, Windows…  

Microsoft Ignite 2024 : les annonces sur Intune

Enhanced Hardware Inventory for Windows  

Annoncée en septembre et fortement attendue, cette fonctionnalité permettra d’étendre l’inventaire matériel des postes gérés par Intune. Simplement grâce à la création d’un profil de configuration, il sera possible de choisir les éléments que vous souhaitez collecter. Ces données seront ensuite lisibles depuis une nouvelle catégorie nommée « Ressource Explorer ».

Lire notre dernier article : Comment configurer Device Hardware Inventory dans Intune ?

Il sera ainsi possible de répondre à des questions du type : « Mon périphérique a-t-il une puce TPM 2.0 ? » ou encore « la batterie est-elle en fin de vie ? ».  

De plus, la création de groupes Entra ID dynamiques basés sur ces données collectées est en cours de développement.  

Il sera possible de faire des requêtes sur ces données (en KQL) grâce à Microsoft Intune Advanced Analytics D (disponible dans la Microsoft Intune Suite).  

Pour plus d’infos : Device hardware inventory is coming soon to Microsoft Intune – Microsoft Intune Blog 

Pour finir, cette fonctionnalité sera portée également sur les environnements Apple et Android courant 2025. 

Advanced Analytics extension 

Trouver les informations dont vous avez besoin quand vous en avez besoin ! C’est ce que Microsoft promet avec les nouveautés ajoutées à Advanced Analytics qui est disponible dans la Microsoft Intune Suite. 

Il sera possible de requêter un poste via Device Query en temps réel et de réaliser des actions directement depuis la même fenêtre (exemple : lancer un scan antivirus ou planifier un redémarrage).  

La grosse avancée reste sur le fait de pouvoir requêter l’entièreté des postes afin, par exemple, d’identifier une problématique globale. Il sera aussi possible dans un futur proche d’exécuter des actions sur un groupe de périphériques (multi-devices). 

Vous ajoutez à cela une dose de Microsoft Copilot, et vous obtenez un allié qui vous permettra de gagner du temps et d’être plus efficace lors de vos sessions de troubleshooting. 

Copilot pourra aussi vous servir dans l’analyse d’impacts et de risques lors de la mise en place de configuration.  

Pour plus d’infos : Transforming endpoint management with Copilot in Intune | Microsoft Community Hub 

Extension du support des périphériques Apple  

Microsoft continue ses investissements massifs sur Microsoft Intune avec le support des périphériques VisionOS et tvOS en ce début d’année 2025. 

Cela marque un tournant dans la gestion de l’environnement Apple par Microsoft Intune qui, par ses nombreuses évolutions ces derniers mois, rattrape le retard qu’il peut avoir face à ses concurrents sur cette partie.  

Microsoft montre aussi qu’Intune est prêt à s’adapter aux besoins de toutes les entreprises en matière de gestion de périphériques.  

À noter également, la prise en charge des stratégies de protection d’applications (pour Teams à partir de novembre 2024, la suite Microsoft 365 à partir de début 2025) sur les appareils VisionOS. Cela permet de garantir la conformité et la sécurité de ces appareils pour que les utilisateurs puissent en exploiter tout leur potentiel sans craindre pour la sécurité des données de leur organisation.  

Windows 365 Link 

Microsoft a annoncé l’arrivée de Windows 365 Link, un boitier permettant de se connecter simplement à son environnement de travail Windows 365.  

Ce petit boitier est entièrement sécurisé et permet d’optimiser la connexion à son environnement 365. Aucune donnée utilisateur ni donnée d’identification ne sont stockées.  

L’authentification MFA et/ou passwordless est prise en charge. 

Le tout est gérable bien entendu par Microsoft Intune.  

Le lancement est prévu pour avril 2025 à un prix de 349$. 

Pour plus d’infos : Windows 365 Link—the first Cloud PC device – Windows IT Pro Blog 

Autres nouveautés 

Au rayon des autres nouveautés, on peut noter : 

• Le déploiement des certificats sur MacOS directement dans le trousseau utilisateur  
• Le support des OS ARM64 par EPM (Endpoint Privilege Management)

Pour retrouver un récapitulatif global des annonces liées à Microsoft Intune, suivez ce guide : Microsoft Intune news at Microsoft Ignite 2024 | Microsoft Community Hub 

Microsoft Ignite 2024 : annonces autour de Windows

Windows Hotpatching 

Microsoft a annoncé une évolution importante apportée uniquement aux possesseurs de Windows 11 Entreprise (à partir de 24H2).

Vous en avez assez d’entendre vos utilisateurs se plaindre des redémarrages parfois longs pour appliquer les mises à jour de sécurité ? Cette évolution est pour vous. 

Disponible en préversion publique, la fonction « Hotpatching » va permettre d’installer les mises à jour de sécurité à chaud, c’est-à-dire qu’il ne sera pas nécessaire de redémarrer la machine après l’installation de celle-ci. 

Déjà annoncée et disponible pour Windows Server 2025, cette fonctionnalité est une petite révolution pour le monde du Modern Workplace.  

Comment est-ce que cela fonctionne ? Un redémarrage sera uniquement demandé après l’installation des mises à jour du premier mois de chaque trimestre qui contiendront les dernières corrections de sécurité notamment.  

Cette fonctionnalité permettra d’améliorer la posture sécurité du poste de travail et la productivité des utilisateurs.  

Pour en savoir plus : Hotpatch for client comes to Windows 11 – Windows IT Pro Blog 

Administrator Protection 

Avec « Administrator Protection » sous Windows 11, Microsoft applique le principe du « least privilege » déjà bien connu. L’importance de maintenir une posture sécurité importante ne peut plus être sous-estimée dans notre monde IT actuel. Les privilèges administrateurs représentent un vecteur d’attaque important et Microsoft apporte une réponse grâce à cette fonctionnalité.  

Avec Administrator Protection, Microsoft engage une transformation du rôle « Administrateur » du poste de travail. Cette fonctionnalité vise avant tout à protéger les utilisateurs. 

Elle repose sur les principes suivants : 

•  « Just in Time elevation » pour que cette élévation soit temporaire le temps d’effectuer une opération nécessitant ce type de privilège (installation d’applications par exemple)
• Séparation des profils (conteneurisation)
• Pas d’élévation automatique (intégration de Windows Hello)
• Flexibilité (limiter l’accès de manière granulaire aux applications autorisées)

Cette fonctionnalité est pour l’instant uniquement disponible en test via le canal Insider. Le tout sera configurable par Microsoft Intune. 

Pour plus d’infos : Administrator protection on Windows 11 | Microsoft Community Hub 

Quick Machine Recovery 

Le 19 juillet dernier et suite à une mise à jour défaillante de la solution de sécurité CrowdStrike, des millions de PC dans le monde entier ont été victimes d’une panne.  

Microsoft va mettre en place début 2025 via le canal Insider une fonctionnalité nommée « Quick Machine Recovery » qui permettra à nous, administrateurs, d’appliquer des mises à jour (sur site ou à distance) Windows Update sur des machines même si elles ne sont plus en capacité de démarrer. 

Rendez-vous en 2025 pour connaitre plus de détails sur ce qui s’annonce prometteur. 

Du nouveau sur Universal Print 

Universal Print, l’outil cloud de gestion d’impression, continue son évolution et poursuit sa route avec deux nouvelles fonctionnalités : 

• La disponibilité générale sous MacOS à partir de décembre 2024
• La fonctionnalité « pull printing » en public preview (file d’attente d’impression que l’utilisateur peut libérer depuis n’importe quelle imprimante en scannant un QR code avec son application Microsoft 365 de manière sécurisée)
• Il sera également possible pour un administrateur de choisir les propriétés de cette file d’impression, par exemple imprimer uniquement en noir et blanc, etc… 

Windows Backup  

Windows Backup est un outil sorti pour le grand public courant 2024. Une version « Windows Backup for Organisations » va sortir prochainement et permettra de sauvegarder/restaurer les paramètres Windows pour les postes de travail Windows 10/11 Hybrid ou Entra ID joined.  

Cela pourrait améliorer les processus de remplacement des postes de travail au sein des organisations.  

Pour plus d’infos sur toutes ces annonces, rendez-vous ici : Windows news from Microsoft Ignite 2024 – Windows IT Pro Blog 

Conclusion sur les annonces de la Microsoft Ignite 2024

Toutes ces annonces réalisées par Microsoft pour Microsoft Intune ou Windows sont prometteuses et vont permettre aux administrateurs et aux utilisateurs de gagner en productivité sans négliger la sécurité qui fait partie des enjeux de ces prochains mois. En effet, le risque cyber pèse de plus en plus lourd et nul doute que des fonctionnalités comme Administrator Protection ou Hot Patching auront un rôle à jouer dans tout ça.  

Si vous êtes curieux comme moi, retrouvez le « Book of News » du Microsoft Ignite qui regroupe toutes les annonces faites également dans les autres domaines et notamment autour de l’IA (Copilot). Ce dernier est concerné également par quelques nouveautés que je vous laisse découvrir par ici : Microsoft Ignite 2024 Book of News 

Certains types de contenu comme les mises à jour de sécurité ou de fonctionnalités Windows, les mises à jour de la suite Microsoft 365, les applications du store Microsoft ou encore les applications Win32 déployées par Intune peuvent parfois contenir des fichiers volumineux. 

Le téléchargement de ces contenus peut consommer de la bande passante réseau sur les appareils qui les reçoivent, provoquer des congestions sur les sites/pays où la bande passante Internet peut être faible et ainsi dégrader le service aux utilisateurs finaux. 

Pour répondre à ces besoins, Microsoft a sorti avec Windows 10, en 2015 une fonctionnalité appelée Delivery Optimization. Une fonctionnalité qui vient un peu en remplacement de Branchcache que l’on a pu connaitre à l’époque de Windows 7 / Windows 8.1. 

L’objectif principal de cette fonctionnalité est de garantir que les déploiements en cours n’aient pas d’impact sur le réseau de l’entreprise pour garantir un niveau de service optimal à d’autres services comme Microsoft Teams ou autres solutions de visioconférence, par exemple en utilisant un mécanisme de type P2P local. 

Nous allons vous donner dans cet article quelques éléments qui vous permettront de définir la meilleure stratégie à adopter. 

En parallèle, Microsoft a annoncé ces derniers jours la sortie de « Microsoft Connected Cache » qui vient en complément de Delivery Optimization. 

A lire également : Fin de Windows Server Update Services : quelles sont les alternatives ?

Découverte rapide de Microsoft Connected Cache 

Auparavant réservé aux utilisateurs de SCCM (System Center Configuration Manager), Microsoft a annoncé fin octobre une preview publique de Microsoft Connected Cache pour les entreprises utilisant Intune.  

La mise en place d’un serveur Microsoft Connected Cache vient en complément de Delivery Optimization et permet de répondre aux demandes de contenu via Delivery Optimization via celui-ci, plutôt que de passer par le cloud en sollicitant les serveurs Microsoft.  

La fonctionnalité peut être gérée à partir du portail d’administration Azure ou via Azure CLI. Il n’y a aucun surcoût à prévoir pour la partie Azure, le coût viendra juste des ressources matérielles dédiées à vos serveurs.  

Elle peut être déployée sur autant de machines virtuelles que nécessaire sur les systèmes d’exploitation suivants : Windows, Windows Server, Linux (Ubuntu ou Red Hat Entreprise) dans votre environnement. C’est vous qui choisissez l’emplacement en fonction du trafic et de la localisation de vos postes de travail. L’idée est qu’il soit proche de la zone à cibler. Le déploiement peut se faire en mono ou multi site.  

Microsoft Connected Cache pour entreprise est disponible pour tous les clients Windows Entreprise E3 ou E5. 

Vous retrouverez ci-dessous les scénarios et contenus pris en charge par un serveur « Connected Cache ». 

On peut remarquer la partie configuration et gestion du serveur « Connected Cache » sur la droite avec une gestion totale via le portail de gestion Azure.  

Sur la gauche, la partie « poste de travail » où on peut voir (numéro 5), le poste qui va requêter le serveur Connected Cache pour récupérer son contenu : s’il n’est pas disponible, il ira le chercher sur le CDN Microsoft (numéro 6).

Pour indiquer à vos postes de travail de se référer à un serveur Connected Cache, vous avez juste à indiquer son IP/Nom DNS dans la stratégie Delivery Optimization.  

Pour en savoir plus sur l’installation et la configuration d’un serveur « Microsoft Connected Cache », je vous conseille de suivre ce lien.

Pour finir, les clients Microsoft qui utilisent cette solution ont pu réaliser des économies de plus de 90% de la bande passante sur des scénarios comme une migration vers Windows 11 ou le déploiement des mises à jour de sécurité Windows.  

Vous pouvez suivre assez simplement les métriques et les performances de Connected Cache depuis le portail Azure. 

La sortie de cette fonctionnalité pourrait permettre à certaines organisations d’entamer la transition vers le modern management et ainsi penser à décommissionner, par exemple, leur infrastructure SCCM. 

Découverte rapide de Delivery Optimization

Delivery Optimization est une fonctionnalité de base de Windows 10 et Windows 11 conçue notamment pour améliorer l’efficacité du téléchargement de contenu comme les mises à jour Windows qui peuvent être parfois volumineuses, même si Microsoft a travaillé ces dernières années pour en réduire le poids. 

Comme annoncé un peu plus haut, l’objectif principal de cette fonctionnalité est de réduire la consommation de bande passante en permettant aux postes de travail présents au sein de votre réseau d’entreprise de télécharger le contenu Microsoft à partir d’autres sources qu’Internet : les postes de travail du même réseau local ou via un serveur « Microsoft Connected Cache » dédié comme annoncé plus haut. 

Il permet également d’accroitre la vitesse de téléchargement en téléchargeant le contenu depuis plusieurs sources en simultané (exemple : plusieurs postes de travail). Le tout dans un environnement sécurisé (vérification de l’authenticité / utilisation de hash), l’authenticité est vérifiée lors du téléchargement et juste avant l’installation.

Delivery Optimization ne peut pas être utilisée pour télécharger ou envoyer du contenu personnel. Aussi, aucun accès aux fichiers ou dossiers personnels des utilisateurs n’est possible. 

Pour finir, la configuration de cette fonctionnalité se fait de manière simple et reste flexible pour répondre aux besoins de votre environnement. Il existe également de nombreux moyens pour monitorer l’économie de bande passante réalisée suite à la mise en place de Delivery Optimization. 

Eléments à prendre en compte lors de l’élaboration d’une stratégie Delivery Optimization

1. Réseau

Selon votre environnement réseau (proxy / firewall), des ajustements seront nécessaires afin d’autoriser le service à fonctionner de manière optimale.  

• Côté Firewall : Des ouvertures de flux vers les URL du service sont nécessaires, notamment vers ces URL 

• Delivery Optimization utilise le port 7680 pour la communication, il faudra s’assurer que ce port ne soit pas bloqué sur le firewall de vos postes de travail. 

• Coté proxy : Si votre organisation utilise un proxy Cloud (Type Zscaler), il est recommandé de mettre un bypass au moins sur l’URL * .prod.do.dsp.mp.microsoft.com (Par exemple dans un proxy pac Zscaler, ajouter ceci pour le bypass : shExpMatch(host, « *.prod.do.dsp.mp.microsoft.com »)).

2. Topologie

Selon votre environnement, il vous faudra définir la meilleure configuration à appliquer. Notamment au niveau du « Download Mode » (cela sert à déterminer la méthode de téléchargement que les clients sont autorisés à utiliser). 

Les deux modes les plus couramment utilisés sont le 1 et 2, si vous utilisez le mode 2 (Peering http across private group), il vous faudra définir un « Group ID Source », c’est ce qui permettra de grouper vos périphériques par un critère qui peut être un site AD ou une option DHCP. Les postes téléchargeront leurs sources dans ce groupe spécifique.  

Par exemple, pour utiliser les options DHCP, sur un site spécifique, il vous faudra créer un GUID et distribuer ce GUID via l’option 234 de votre serveur DHCP. On pourrait donc imaginer la création d’un GUID pour chaque site et donc répartir les groupes ainsi. 

La configuration de votre profil ressemblerait donc à ceci : 

À savoir que, par défaut et recommandé par Microsoft, Delivery Optimization est désactivée lorsqu’un utilisateur se connecte à travers un réseau VPN. Il est possible au travers de la configuration de forcer la désactivation ou de l’activer malgré tout si nécessaire. 

3. Performances du système

D’autres critères sont également à prendre en compte comme :  

• Le minimum d’espace disque disponible pour utiliser Delivery Optimization 
• Le minimum de mémoire RAM disponible 
• La taille du cache réservé à Delivery Optimization  
• Définir une stratégie d’optimization de la bande passante (en % ou en vitesse)  

Vous retrouverez dans ce lien Microsoft, un guide de référence sur tout le paramétrage disponible sur cette fonctionnalité.  

Surveillance et monitoring

La mise en place des rapports Windows Update for Business vous permet d’avoir une vision complète sur l’efficacité de Delivery Optimization.  

Il existe aussi quelques cmdlet Powershell comme Get-DeliveryOptimizationStatus qui vous permettent sur un poste de monitorer en temps réel le nombre de données envoyées et reçues. 

Pourquoi combiner Microsoft Connected Cache et Delivery Optimization ?

La mise en place conjointe de Microsoft Connected Cache et de Delivery Optimization peut permettre à une organisation d’économiser une énorme partie de bande passante (les premiers retours vont de l’ordre de 90 à 95%). Imaginez cela à une plus large échelle, cela peut changer la donne.

Selon les besoins, la mise en place uniquement de Delivery Optimization peut couvrir une bonne partie des besoins et ainsi permettre d’optimiser les performances de votre réseau. 

La gestion et la mise en place de l’une et/ou l’autre des fonctionnalités se fait assez rapidement pour des résultats immédiats. On ne peut pas imaginer le volume de données qui transitent par nos postes de travail entre les déploiements applicatifs, les mises à jour des applications Windows ou autres.

Intune : mise à jour des SDK pour les applications métiers Android et iOS

Avec l’arrivée d’Android 15 et d’iOS 18, il est important de mettre à jour le SDK Intune ainsi que l’outil de wrapping, pour les deux OS. 

En matière de Mobile Device Management, il est fortement recommandé de mettre à jour vos applications métiers sur la dernière version du SDK et/ou de l’outil de wrapping pour assurer leur bon fonctionnement avec les nouvelles versions d’iOS et d’Android. Cela vous permettra de cibler ces versions dans vos applications métiers et de suivre l’évolution de votre parc mobile.

Google a également annoncé sur son blog qu’il allait augmenter le rythme de parution des kits de développement pour Android. 

Liens pour Android : Kit de développement SDK et l’outil de wrapping 
Liens pour iOS : SDK et l’outil de wrapping

Intune : fin de support pour les anciennes versions d’iOS 

Intune ne supportera bientôt que les versions d’iOS 16 et supérieures. Le portail d’entreprise, le MAM, ainsi que les applications Microsoft 365 ne supporteront plus les versions en dessous. 

Pour les iOS qui sont enrôlés en userless, la situation est différente car la dépréciation ne concerne que les versions en dessous d’iOS 13. 

Vous trouverez ici la liste de tous les modèles encore supportés : 

Intune : changement de méthode d’enrôlement pour iOS 

Web based device enrollement va devenir la nouvelle méthode d’enrôlement par défaut pour les iOS. 

Aujourd’hui, la méthode de Mobile Device Management par défaut consiste à utiliser le portail d’entreprise Device enrollment with company portal. Lors d’une prochaine service release d’Intune (pas plus d’informations à ce sujet), Microsoft prévoit de changer cela par le Web based device enrollement lors de la création de nouveaux profils. Pour les nouveaux tenants sans profil d’enrôlement, les utilisateurs devront donc passer par le Web based device enrollement.  
 
Microsoft recommande de déployer Just in Time et de mettre à jour les documentations pour l’IT et les utilisateurs afin d’anticiper le changement : Mettre en place Web based device enrollement sur Intune 

Intune : fin de support pour Android Device Administrator

Android device administrator ne sera plus supporté sur Intune à partir du 31 décembre 2024 pour les appareils avec GMS (Google Mobile Services). Google abordait déjà le sujet en 2017 et encourageait les entreprises à migrer vers Android Enterprise. 

La fin de support implique : 

• Intune n’apportera pas de modifications ou de mises à jour à la gestion des appareils Android. Cela inclut les corrections de bugs, les correctifs de sécurité ou les corrections liées aux changements des nouvelles versions d’Android. 
• Le support technique d’Intune ne prendra plus en charge ces appareils. Vous pouvez consulter la liste des appareils concernés en vous connectant sur votre plateforme Intune et en allant dans Appareils > Tous les appareils et filtrer la colonne OS sur Android (administrateur de l’appareil). 

Vous trouverez dans la documentation de Microsoft toutes les alternatives d’enrôlement à Android device administrator ainsi que les étapes et prérequis pour les mettre en place dans votre plateforme. 

Google a également mis en ligne son Android Enterprise Migration Bluebook pour parler de la migration de Android device administrator vers Android Enterprise. 

Intune : fin de support pour les custom profiles des Android personnally owned 

A partir du 1^er avril 2025, Microsoft va mettre fin au support de ces profils. Pour rappel, les custom profils pour Android permettent aux administrateurs de configurer des paramètres qui n’ont pas été intégrés dans Intune. Microsoft explique que les custom profiles sont plus difficiles à configurer et à troubleshooter. 

Ce qui va changer en 2025 en Mobile Device Management :  

• Les administrateurs ne pourront pas créer de nouveaux custom profiles pour les Android personnally owned. Toutefois, les administrateurs peuvent toujours afficher et modifier les profils déjà existants. 
• Les Android personnally owned ayant déjà un custom profile affecté ne seront pas immédiatement impactés. 
• Le support technique d’Intune ne prendra plus en charge les custom profiles pour les Android personnally owned. 

Pour avoir la liste de tous vos custom profiles  :  

• Connectez-vous à votre plateforme Intune
• Sélectionnez Appareils > Android > Configuration.
• Filtrez la colonne Plateforme par Android Enterprise pour obtenir une liste des politiques Android Enterprise. 
• Triez la colonne Type de politique et recherchez toutes les politiques dont le type de politique est personnalisé. 

Rappel : Android 10 n’est plus supporté par Intune

N’oubliez pas que depuis octobre 2024, Intune ne supporte plus Android 10. Ce changement n’affecte pas les appareils enrôlés en userless. Intune n’empêche pas l’enrôlement de ces appareils, mais le bon fonctionnement n’est plus garanti et leur utilisation n’est pas recommandée.

Nous allons voir dans cet article quels peuvent être les usages autour de cette fonctionnalité et comment la mettre en place rapidement pour vos utilisateurs. 

Pour aller plus loin : Gérer la sécurité des accès dans Microsoft Intune

Qu’est-ce que la Platform SSO ?

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité. 

Ce plugin peut fournir également du SSO pour les anciennes applications que votre entreprise pourrait avoir mais qui ne prennent pas encore en charge les derniers protocoles d’identité (Kerberos). 

Microsoft a travaillé en étroite collaboration avec les équipes d’Apple pour développer ces fonctionnalités dans le but d’augmenter la convivialité et d’améliorer l’expérience utilisateur autour de cet environnement tout en gardant une approche « sécurité ». 

Généralités, avantages et prérequis de Platform SSO pour macOS

Vous l’aurez compris « Entreprise SSO » se concentre plus sur l’aspect « Applications », la où « Platform SSO » se situe plus sur l’aspect « Identification ».  

Aujourd’hui, sur les périphériques macOS, les utilisateurs se connectent avec un compte local. Ensuite, ils se connectent aux applications et aux sites web avec leur compte Microsoft Entra ID. 

Platform SSO va permettre d’aller plus loin dans l’intégration d’Entra ID au sein de l’environnement Apple macOS qui commence à prendre un peu d’ampleur au sein des parcs informatiques. 

Cela permettra aux utilisateurs de se connecter directement à leur périphérique macOS grâce à leurs informations d’identifications Microsoft Entra ID et bénéficier ainsi du SSO sur toutes les applications supportant cette méthode d’authentification.

Cette fonctionnalité offre de nombreux avantages  

Aux administrateurs : 

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser.  
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage basées sur la technologie Windows Hello Entreprise. 

Aux utilisateurs : 

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir.  
• Possibilité d’utiliser une authentification « password less ». 
• Expérience de connexion plus sécurisée 

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix : 

• SecureEnclave : Utilisation d’une clé de chiffrement liée au matériel avec Secure Enclave (Se rapproche de Windows Hello For Business). Exemple : Utilisation de TouchID. 

Secure Enclave est un sous système sécurisé disponible sur les puces Apple T1 et T2 et processeurs Apple.  

• Carte à puce : Utilisation d’une carte à puce externe ou d’un jeton matériel compatible (par exemple, Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID 
• Mot de passe : Utilisation du mot de passe Entra ID. L’utilisateur n’a plus besoin de se souvenir de différents mots de passe, et toute modification du mot de passe Entra ID sera synchronisée avec la machine locale. 

La méthode « Secure Enclave » est recommandée par Microsoft

Voici un schéma fourni par Microsoft sur les différences entre les méthodes d’authentification.

Des prérequis sont nécessaires pour la configuration et l’utilisation : 

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple) 
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO) 
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé ) 
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On » 
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience. 

Mise en place de Platform SSO avec Microsoft Intune

La mise en place se fait simplement à partir d’un profil de configuration de type « Settings Catalog » sur Microsoft Intune. 

Dans Configuration settings, choisir « Add settings » puis Authentication, et sélectionner Extensible Single Sign On (SSO) : 

Voici un exemple de configuration minimal à appliquer pour que cela fonctionne sous macOS 14:  

Pour en savoir plus sur la configuration, vous pouvez suivre ce lien Microsoft : https://learn.microsoft.com/en-us/mem/intune/configuration/platform-sso-macos 

A savoir : le profil de configuration Platform SSO s’assigne uniquement à un groupe d’utilisateurs et non un groupe de périphériques. 

Une expérience utilisateur simple avec Platform SSO

L’enregistrement à EntraID avec Platform SSO est assez simple, l’utilisateur reçoit une notification de ce type et il suit le parcours d’authentification qui lui est proposé par le portail d’entreprise. 

Si vous voulez en savoir plus, vous pouvez suivre ces vidéos : 

• Mise en place Platform SSO avec SecureEnclave : https://www.youtube.com/watch?v=CRZmH1p89MU&t=1s 
• Mise en place Platform SSO avec password EntraID : https://www.youtube.com/watch?v=yVU6sfSl0dk 

Vous pouvez également voir dans les paramètres utilisateurs du MacBook ce type d’informations qui vous indique que l’enregistrement s’est déroulé avec succès. A savoir que durant le process d’enregistrement, le MacBook se joint à Entra ID, il devient donc Microsoft Entra ID Join. 

Conclusion

Nous avons pu voir dans cet article, quels sont les avantages à mettre en place Platform SSO avec Microsoft Intune pour vos utilisateurs. Cela leur offrira une expérience de connexion simplifiée tout en renforçant la sécurité de votre entreprise.  

Intune Suite : qu’est-ce que c’est ?  

Intune Suite offre un ensemble de solutions avancées dans Microsoft Intune qui permet de simplifier la gestion et la sécurisation des périphériques. 

Elle se présente sous un nouveau plan de licence (facturé par utilisateur et par mois). Nous y reviendrons un peu plus bas dans l’article. 

Ces fonctionnalités sont disponibles pour les périphériques en mode de gestion « Intune seul » ou en « Cogestion » avec Microsoft Configuration Manager. 

Nous allons désormais faire le point sur cinq des fonctionnalités majeures de cette suite. 

Intune Suite : quelles fonctionnalités ?  

Microsoft Cloud PKI 

La PKI Cloud de Microsoft est un service cloud qui simplifie et automatise la gestion du cycle de vie des certificats (distribution, révocation) pour les périphériques gérés par Intune (Windows / Mac OS / iOS / iPadOS / Android). 

Il fournit une infrastructure à clé publique (PKI) à deux niveaux (Racine / Intermédiaire) dédiée pour votre organisation qui gère l’émission, le renouvellement et la révocation des certificats automatiquement. 

Deux scénarios sont disponibles dans Intune Suite : 

• Provisionnement d’une PKI « full Cloud » géré par Microsoft (Racine et Intermédiaire) 
• Provisionnement d’une autorité de certificat intermédiaire dans Microsoft Intune tout en utilisant sa propre autorité racine locale, on parlera de « Bring Your Own Root CA » 

Les avantages sont multiples : 

• Provisionnement d’une PKI cloud en mode SAAS en quelques clics. 
• Réduction des coûts d’infrastructure et de maintenance (plus de nécessité d’avoir une PKI locale pour ces besoins, et pas besoin non plus de connecteurs). 
• Plus besoin d’infrastructure SCEP (Simple Certificate Enrollment Protocol) pour effectuer la distribution de certificats sur les périphériques gérés par Intune. 
• Gestion du cycle de vie complet du certificat. 
• Réalisation de l’authentification par certificat notamment pour accéder au réseau d’entreprise ou encore au VPN.  
• Reporting complet (Certificats actifs / expirés / révoqués / distribués) 

Un rapide coup d’œil sur un schéma d’architecture proposé par Microsoft. 

Microsoft Intune Advanced Analytics 

Microsoft Intune Advanced Analytics offre une visibilité complète sur l’expérience de l’utilisateur final et vous offre la possibilité de l’optimiser grâce à des informations basées sur les données remontées notamment par la télémétrie. 

Il est donc possible de détecter et résoudre de manière proactive les problèmes et améliorer ainsi l’expérience de vos utilisateurs et réduire également l’empreinte sur votre support informatique local. 

Grâce à cela, vous pourrez : 

• Obtenir des données en temps réel sur vos périphériques grâce à Device Query : 

Vous pourrez avoir en quelques clics et en temps réel sur un périphérique : l’état d’une clé de registre / les processus en cours d’exécution ou l’état d’un service Windows. 

• Un rapport sur l’état des batteries de votre parc informatique 

Vous pourrez notamment identifier les périphériques qui présentent des problèmes de batterie / autonomie et ainsi agir en conséquence. 

• Pour aider à résoudre un incident, une timeline détaillée de votre périphérique. 

Vous pourrez voir les derniers événements qui se sont passés tels que le démarrage et sa raison ainsi que le temps associé ou encore un écran bleu. 

• Une détection des anomalies pour aider à identifier les problématiques qui surviennent sur l’ensemble de vos périphériques. 

Vous pourrez voir les anomalies classées par sévérité comme un processus qui échoue de trop nombreuses fois sur un certains nombres de périphériques et prendre les mesures adéquates de manière proactive, comme par exemple, mettre à jour le logiciel en question ou analyser la cause. 

Vous pouvez mettre en place des règles de remédiation pro-active sur aider à la résolution des soucis remontés. 

Microsoft Intune Enterprise Application Management 

Dans Intune Suite, il s’agit d’un catalogue d’applications au format « Win32 » fourni et maintenu par Microsoft et facilement accessible dans Intune.  

Lorsque vous ajoutez une application, les paramètres d’installation, de configuration et de détection sont automatiquement pré remplis. Vous pouvez modifier ces paramètres si besoin. Les sources de ces applications sont stockées dans le cloud Microsoft directement.  

Vous pouvez y trouver des applications telles que : Google Chrome / Citrix Workspace / Firefox ou encore Python. 

Les avantages sont multiples : 

• Gestion simplifiée des applications : vous pouvez gagner du temps et réduire la complexité en rationalisant le processus de gestion des applications. Cela implique aussi une baisse du coût du packaging (temps humain notamment). 
• Restez à jour : vous gardez le contrôle sur la version déployée. Lorsqu’une nouvelle version est disponible, vous pouvez l’ajouter et la déployer. 
• Liste tenue à jour par Microsoft, un formulaire de demande d’intégration d’une app est disponible.  
• Réduction des risques de sécurité et des vulnérabilités, en gardant vos applications à jour le plus possible.  
• Mettre à disposition des utilisateurs un catalogue applicatif, via le portail Entreprise Microsoft Intune et les rendre autonomes dans l’installation. 

Microsoft Intune Endpoint Privilège Management 

Endpoint privilège Management autorise un utilisateur cible à exécuter une application avec des privilèges administrateurs sans avoir le besoin d’être administrateur local de son périphérique.  

Les tâches qui nécessitent couramment des privilèges d’administration sont par exemple les installations ou mises à jour d’applications tierces qui ne rentre pas dans le cadre d’une gestion par l’entreprise. 

Les utilisateurs qui possèdent initialement des privilèges standards peuvent être temporairement promus au statut d’administrateur pour des tâches spécifiques et approuvées par l’administrateur, conformément aux politiques de l’entreprise. Cette approche vise à améliorer la productivité tout en renforçant la sécurité. 

Il s’agit là d’une formidable avancée au niveau sécurité du Poste de Travail. 

Comment cela fonctionne ? L’administrateur créé une règle en définissant notamment les informations de l’exécutable autorisé à être exécuté avec des privilèges administrateurs. (L’exécutable est identifié grâce à son nom et son hash, il est donc impossible de tricher ).  

Le mode d’élévation doit également être précisé, c’est-à-dire qu’une justification « business » ou une demande d’authentification sera requise pour chaque exécution avec des privilèges élevés. 

Dernièrement un workflow « Exiger l’approbation du support » est venue compléter l’offre.  

Les avantages sont multiples : 

• Sécurisation et entrée dans une démarche « Zero Trust » du poste de travail.  
• L’utilisateur n’est plus administrateur de son poste.  
• Les droits d’administration sont délégués sur un exécutable défini et identifié par l’administrateur. 
• Une intégration totale dans Windows. 
• Un reporting complet sur la fonctionnalité. 

Remote Help 

Remote Help est une solution cloud de prise en main à distance sécurisée et intégrée nativement à Microsoft Intune. Il est possible de prendre la main sur un périphérique enrôlé (ou non).

Cette solution est disponible (pour le moment) sur les environnements Windows / MacOs et Android en mode « Appareil dédié ». 

Elle offre notamment : 

• Le contrôle d’accès basé sur les rôles (RBAC) pour la gestion d’accès à la solution (possibilité de ne pas autoriser l’UAC pour un certain type de techniciens par exemple).
• La gestion de l’élévation des privilèges (UAC) lors de la prise en main à distance (tous les outils ne le font pas).
• L’intégration avec la gestion de conformité Microsoft Intune (savoir à travers cet outil et lors de la prise en main si le poste est conforme ou non).

Les avantages sont multiples : 

• Outil intégré directement dans la console de gestion Microsoft Intune. 

• Intégration SSO avec Entra ID pour la connexion à l’outil Remote Help sur un périphérique. 
• Gestion de la conformité, affichage d’un avertissement lorsque le technicien se connecte sur un poste non-conforme. 
• Support de l’UAC, messagerie instantanée, pointeur laser. 
• Reporting complet (qui a pris la main sur quoi et à quel moment par exemple) 

Nous avons désormais fait le tour sur les 5 fonctionnalités majeures de la Microsoft Intune Suite. 
À savoir que d’autres fonctionnalités sont disponibles comme : 

• Microsoft Intune Firmware-Over-The-Air (FOTA) updates : gestion des mises à jour des firmwares des appareils pris en charge comme Zebra. 
• Microsoft Intune Tunnel for Mobile Application Management : intégration de Microsoft Tunnel (VPN) pour des périphériques Android et iOS non inscrits (à travers le MAM).
• Microsoft Intune Management of Specialty Devices : la gestion spécialisée des appareils est un ensemble de fonctionnalités de gestion, de configuration et de protection des appareils spécifiques, tels que les casques AR/VR ou les appareils de salle de réunion. 

Intune Suite : quel pricing ?  

Microsoft Intune Suite est disponible en tant que module complémentaire payant pour les clients qui ont notamment les licences suivantes : Microsoft 365 E3, E5 ou Enterprise Mobility + Security E3 et E5. 

Plans d’abonnement Intune 

Microsoft Intune Plan 1 : les principales fonctionnalités de Microsoft Intune sont incluses dans les abonnements Microsoft 365 E3, E5, ou Enterprise Mobility + Security E3 et E5 et les plans Business Premium. 

Vous pouvez étendre les fonctionnalités de votre plan Microsoft Intune P1 à l’aide des modules complémentaires suivants : 

Microsoft Intune Plan 2 : un module complémentaire de Microsoft Intune Plan 1 avec des fonctionnalités avancées de gestion des périphériques. Microsoft Intune Plan 2 fait partie de Microsoft Intune Suite. 

Microsoft Intune Suite : comprends Microsoft Cloud PKI, Microsoft Intune Remote Help, Microsoft Intune Endpoint Privilège Management, Microsoft Intune Tunnel for Mobile Application Management, Microsoft Intune management of Specialty Devices et Microsoft Intune Advanced Endpoint Analytics dans Microsoft Intune. Un abonnement à Microsoft Intune Plan 1 est nécessaire. 

Voici un tableau récapitulatif regroupant les coûts par plan de licence : 

Il s’agit là d’un prix public par mois et par utilisateur. 

Les modules tels que Remote Help ou Cloud PKI sont disponibles en « module complémentaire » au plan 1 aux prix respectifs de 3,30€HT et 1,87€HT.

Pour en savoir plus : Offres et prix de Microsoft Intune 

Conclusion sur Intune Suite

Intune Suite est une solution complète qui vient étoffer et compléter Microsoft Intune. 

Les différents modules disponibles permettent entre autres d’améliorer la gestion des périphériques, d’accroître leur sécurisation et d’avoir une visualisation complète de l’état de santé de son parc informatique. 

Pour les organisations ayant une optique « cloud first », elle permet aussi de poursuivre cette transformation grâce à la fonctionnalité « Cloud PKI » qui peut venir en remplacement (ou en partie) d’une infrastructure PKI interne. 

Nul doute que Microsoft continuera à faire évoluer cette suite dans les mois à venir et ainsi conforter sa place de leader dans la gestion des périphériques. 

Microsoft Intune Suite est un investissement dans l’avenir de la gestion et de la sécurité des périphériques de votre organisation. 

Pour aller plus loin dans Intune

Article – MDM : pourquoi choisir Microsoft Intune ?

Article – Windows Autopilot et Microsoft Intune : une gestion moderne des appareils

Article – Microsoft Intune : convention de nommage des objets

Article – MAM ou MDM : comment gérer les mobiles d’entreprise ?

La complexité du co-management

Les limites du co-management SCCM et Intune

Le co-management permet de fusionner les capacités de gestion d’Intune avec les compétences robustes de SCCM. Cette synergie offre aux entreprises une plus grande souplesse et une gestion unifiée des appareils, exploitant les forces de chaque système pour une gestion plus globale et efficace.

Bien que le concept de co-management semble simple, sa mise en œuvre peut être complexe. En effet, cette stratégie ne consiste pas simplement à basculer d’un système à l’autre, mais plutôt à les utiliser conjointement selon les besoins spécifiques. Par exemple, la gestion des mises à jour, habituellement effectuée via SCCM, peut s’avérer complexe lorsqu’on tente de l’intégrer à la philosophie d’Intune.

Le co-management présente également des limitations, notamment en termes de coût et de duplication des efforts. L’utilisation parallèle de SCCM et d’Intune peut entraîner des coûts supplémentaires liés à la gestion des deux infrastructures et à la création de doublons dans les packages applicatifs.

Pourquoi migrer de SCCM vers Intune ?

La question se pose alors : le co-management est-il une bonne alternative pour une transition progressive vers une gestion complète via Intune ? La réponse n’est pas si simple. Initialement, le co-management est envisagé comme un curseur entre SCCM et Intune, débutant près de SCCM et se déplaçant progressivement vers Intune. Cependant, dans la pratique, on constate souvent que ce curseur reste figé à mi-chemin.

Une réflexion stratégique s’impose avant de mettre en place le co-management. Plutôt que de le voir comme une solution permanente, il pourrait être plus judicieux d’envisager une migration directe vers Intune pour certaines populations d’utilisateurs, tout en maintenant d’autres dans un environnement SCCM traditionnel.

Le co-management doit être utilisé avec discernement, en gardant à l’esprit qu’il n’a jamais été conçu comme une solution à long terme par Microsoft. Si votre entreprise est prête à adopter Intune pour la gestion des appareils, il serait préférable de s’orienter directement vers cette solution plutôt que de mettre en place une infrastructure de co-management complexe.

De plus, il est important de prendre en compte les aspects techniques tels que la nécessité de VPN pour l’accès à distance à SCCM, contrairement à Intune qui est accessible en mode cloud.

En résumé, bien que le co-management puisse sembler une solution intermédiaire pratique, il convient de l’utiliser avec prudence, en privilégiant une migration stratégique vers Intune lorsque cela est possible.

Les 5 raisons de migrer de SCCM vers Intune

1. Modernisation de la gestion des postes : Intune permet une gestion cloud-native, adaptée aux environnements hybrides et aux besoins de mobilité.
2. Réduction de la complexité : Fini les serveurs sur site dédiés à SCCM, la gestion passe par le cloud avec des mises à jour automatiques.
3. Amélioration de l’expérience utilisateur : Une meilleure flexibilité pour les utilisateurs nomades, avec une configuration rapide des appareils dès la première connexion.
4. Sécurité renforcée : Intune s’intègre nativement avec Microsoft Defender, Azure AD et les politiques de sécurité Zero Trust.
5. Gain de temps pour les équipes IT : Moins de maintenance, une gestion centralisée et une automatisation accrue.

Migration de SCCM vers Intune : quand franchir le cap ?

Lorsqu’il s’agit de gérer les postes de travail, la migration vers Intune est généralement préférable. Le co-management devrait être envisagé seulement si c’est absolument nécessaire, car il peut s’avérer être un processus complexe et coûteux. Il est donc recommandé de commencer la migration lors du renouvellement du parc informatique ou lors d’une mise à jour majeure du système, par exemple.

La transition de Windows 10 à Windows 11 offre une excellente occasion de migrer vers Intune. Les applications supportées sous Windows 10 devraient être compatibles avec Windows 11, ce qui facilite leur gestion via Intune et permet de s’éloigner progressivement de l’environnement Active Directory.

Bien que le co-management ait été une option viable il y a quelques années, aujourd’hui, il n’y a plus de véritables raisons de maintenir cette approche. Il est important de se rappeler que le co-management n’est pas une solution à long terme, mais plutôt une étape transitoire vers un environnement cloud plus intégré.

Si votre organisation possède déjà une infrastructure SCCM, celle-ci devrait être conservée pour un périmètre limité, comme la gestion de postes spécifiques ou de serveurs. Le reste du parc devrait progressivement migrer vers Intune, avec l’objectif à long terme d’éliminer complètement la dépendance à SCCM.

Un autre point crucial concerne l’accumulation de l’historique de gestion des politiques de groupe (GPO). La migration est l’occasion de rationaliser ces politiques et de les convertir en settings Intune. Ce processus peut être long, mais il est essentiel pour réussir la transition.

Si votre organisation utilise actuellement SCCM sans plans de licence Microsoft 365, il serait judicieux de considérer Intune, car cela impliquerait l’adoption d’un nouveau plan de licence. Pour les entreprises ayant déjà un autre système de MDM et des licences Microsoft 365, il serait pertinent d’envisager la migration vers Intune.

Le futur de SCCM à l’ère d’Intune

SCCM reste un acteur clé dans le paysage de la gestion des postes de travail et conservera son importance pour quelques années encore. Sa robustesse dans la gestion des postes de travail spécifiques est incontestable. Toutefois, l’ascension d’Intune, marquée par l’intégration progressive de fonctionnalités avancées, redéfinit les contours de la gestion des devices.

Intune, bien qu’innovant, doit encore progresser sur certains aspects, notamment en termes d’ergonomie et de facilité d’utilisation. Le reporting, par exemple, avec l’utilisation de l’API Graph, requiert une certaine expertise et connaissance en scripting pour être pleinement exploité.

Le futur de SCCM s’oriente vers la gestion de composants plus traditionnels, ou « legacy », tandis que des solutions comme Copilot, enrichies par l’intelligence artificielle, commencent à s’intégrer avec Intune pour automatiser et simplifier les tâches administratives. Cela annonce une ère où l’IA pourrait potentiellement prendre en charge la génération de rapports de manière autonome au sein d’Intune.

La transition vers Intune implique de la part des utilisateurs une capacité à s’intéresser aux technologies modernes et avant-gardistes, similaires à l’expertise requise pour SCCM dans les domaines des réseaux, SQL, scripting, et autres. Nous nous dirigeons vers un écosystème technologique plus moderne, marquant la transition du Legacy vers le Modern Workplace. Toutefois, tant que les serveurs physiques existeront, SCCM conservera sa place.

Intune se positionne comme un outil d’avenir avec sa capacité accrue à gérer efficacement tous les types d’appareils, notamment grâce à des fonctionnalités comme Autopilot pour la préparation et la configuration des systèmes d’exploitation. Cependant, SCCM maintient sa présence et son importance pour de nombreux clients, notamment pour la gestion des serveurs et dans des domaines où Intune n’est pas encore pleinement opérationnel. L’adoption d’Intune représente un changement de paradigme et une nouvelle approche dans la gestion des devices, illustrant la diversité et la complémentarité des fonctionnalités entre SCCM et Intune.

SCCM ou Intune : faut-il choisir ?

La bonne nouvelle, c’est que vous n’êtes pas obligé de faire un choix brutal. Microsoft propose un mode co-management (co-gestion), permettant de piloter certaines charges de travail via Intune tout en conservant SCCM pour d’autres.

Étapes clés pour réussir la migration SCCM vers Intune

1. Évaluer votre environnement existant : parc, versions Windows, configurations, dépendances applicatives.
2. Définir votre stratégie de co-management ou de bascule complète.
3. Préparer l’infrastructure cloud : Intune, Azure AD, Microsoft Endpoint Manager.
4. Former les équipes IT aux nouveaux outils et processus.
5. Migrer progressivement les charges de travail : mises à jour, applications, politiques de sécurité.
6. Accompagner les utilisateurs finaux pour garantir une transition fluide.

Questions fréquentes

• Combien de temps faut-il pour migrer de SCCM vers Intune ? Cela dépend du nombre de postes, de la complexité du SI et de la stratégie adoptée.
• Peut-on utiliser SCCM et Intune en même temps ? Oui, grâce au mode co-management.
• Quels sont les coûts de migration vers Intune ? Intune est inclus dans certaines licences Microsoft 365, mais des coûts d’accompagnement ou de montée en compétences peuvent s’ajouter.

Conclusion

Migrer de SCCM vers Intune, c’est faire un pas vers une gestion plus agile, moderne et sécurisée des environnements de travail. En s’appuyant sur une stratégie bien définie, des outils performants et un accompagnement adapté, cette transition devient une véritable opportunité pour l’IT et les utilisateurs.

Vous souhaitez être accompagné dans cette migration ? Contactez nos experts pour un diagnostic personnalisé de votre environnement SCCM.

A l’origine, il y avait le « SMS » (Systems Management Server) de Microsoft, un outil destiné à la gestion de grands parcs d’ordinateurs sur systèmes Windows. Il permettait de déployer des applications, de réaliser des inventaires logiciels et matériels, et offrait quelques capacités de reporting.

Avec le temps, SMS a évolué pour devenir SCCM. Cette évolution a apporté des fonctionnalités supplémentaires, comme la gestion des mises à jour, une capacité de reporting accrue et des options avancées pour le déploiement et le développement de « masters » via les séquences de tâches. Jusqu’en 2010, SCCM a continué à évoluer et à s’améliorer, devenant un outil de gestion de référence.

Vers 2010, Microsoft a introduit Microsoft Intune, une solution cloud destinée à la gestion des appareils Windows, Android et Apple. Malgré des débuts difficiles, Intune a connu une évolution constante, avec des mises à jour très fréquentes. Au fil des années, Intune est devenu une solution de gestion de dispositifs mobiles (MDM) de premier plan, offrant de nombreuses fonctionnalités pour divers appareils y compris Windows, Linux, Chromebook, Android et iOS.

Analyse des fonctionnalités : SCCM vs Intune

Bien que SCCM présente toujours quelques atouts non négligeables pour les entreprises, Intune connait de fortes évolutions ces dernières années :

• Accessibilité et mobilité : Étant une solution cloud, Intune permet aux administrateurs de gérer les appareils de n’importe où, à condition d’avoir une connexion Internet. Cela offre une grande flexibilité, surtout pour les organisations avec un grand nombre d’employés en télétravail ou en déplacement. Par ailleurs, les mises à jour se font automatiquement via le cloud, ce qui réduit la charge de travail des administrateurs IT pour maintenir le système à jour.

• Gestion de divers types d’appareils : Intune permet de gérer une large gamme d’appareils, y compris les appareils mobiles sous iOS, Android, Windows, ainsi que les ordinateurs sous Windows et macOS. Cette polyvalence est particulièrement avantageuse dans un environnement de travail où la diversité des appareils est importante.

• Sécurité améliorée : Intune offre des fonctionnalités de sécurité avancées, telles que la gestion des applications mobiles (MAM) et la gestion des identités et des accès. Il permet également d’appliquer des politiques de sécurité de manière plus granulaire sur les appareils et les applications.

• Intégration avec l’écosystème Microsoft 365 : Intune s’intègre étroitement avec d’autres services Microsoft, notamment Azure Active Directory et Microsoft 365. Cette intégration permet une gestion unifiée des utilisateurs, des appareils et des applications. Par ailleurs, l’intégration d’Autopilot permet une configuration et un déploiement automatiques des appareils Windows, ce qui peut considérablement accélérer le processus d’intégration de nouveaux utilisateurs et de nouveaux équipements.

• Facilité de déploiement des applications : Intune simplifie le déploiement et la gestion des applications sur les appareils gérés, y compris les applications d’entreprise personnalisées et les applications du Microsoft Store.

En conclusion, Intune est particulièrement adapté aux organisations qui cherchent une solution de gestion des appareils moderne, flexible et intégrée avec le cloud, et qui ont besoin de gérer un large éventail d’appareils et de systèmes d’exploitation. En revanche, SCCM est à privilégier pour la gestion des appareils sans accès Internet ou à faible débit dans des contextes spécifiques (comme les sites miniers ou les plateformes pétrolières offshore par exemple).

SCCM peut se distinguer par ses capacités avancées en matière de reporting (une fonctionnalité moins accessible dans Intune). Néanmoins, avec l’utilisation de PowerBI et l’adoption croissance de GraphAPI, il est possible de concevoir des rapports avancés, bien que cela nécessite une réflexion et une approche différente.

Un des changements majeurs avec Intune a été l’introduction de la possibilité de créer des fichiers de configuration personnalisés. Alors que les applications disponibles dans le store Microsoft peuvent être limitées, cette flexibilité permet une meilleure adaptation aux besoins spécifiques des entreprises.

Dans SCCM, la gestion des dépendances et des exigences logicielles est relativement simple à configurer. Des fonctionnalités comme la remédiation sont également disponibles. Intune a évolué pour offrir des capacités similaires, notamment grâce à l’utilisation de scripts permettant de détecter et de déployer automatiquement les versions nécessaires sur les appareils.

De SCCM à Intune : quels coûts à prévoir ?

Coûts des licences

Intune, intégré dans le plan de licence Microsoft Office 365, offre un modèle économique avantageux pour les utilisateurs qui possèdent la licence E3. À l’inverse, SCCM requiert des achats de licences additionnelles ainsi que de nombreux coûts annexes (ressources matériels) ce qui peut s’avérer coûteux surtout dans des architectures informatiques complexes.

Pour les organisations possédant déjà des licences SCCM, il est intéressant de noter que l’accès à Intune est automatiquement inclus, ce qui facilite la transition et la gestion des deux systèmes.

Gestion de projets et temps de développement

Dans le cas d’une migration complète de SCCM vers Microsoft Intune, des gains de temps significatifs sont observés, notamment dans la création de nouveaux environnements de travail. Avec SCCM, la construction d’un « master » peut prendre environ un mois, tests inclus. Avec Intune, ce processus est accéléré, les étapes de configuration étant simplifiées et les tests plus rapides, en particulier dans un environnement full cloud.

Cependant, cette efficacité est relative et dépend fortement de la complexité de l’environnement de l’entreprise. Les grandes entreprises avec des applications spécifiques peuvent toujours rencontrer des défis nécessitant des configurations personnalisées, du scripting, et un temps de test comparable à SCCM. Des outils comme Autopilot offrent des avantages différents par rapport aux séquences de tâches SCCM, et l’intégration des applications dans Intune peut parfois exiger plus de temps que dans SCCM, surtout si des scripts personnalisés sont nécessaires.

En résumé, Intune présente un modèle de coût avantageux et une gestion plus simple, mais sa performance optimale est atteinte dans des environnements moins complexes. Les grandes entreprises avec des besoins spécifiques peuvent avoir à investir un temps comparable à SCCM pour configurer et tester leurs systèmes.

Pour aller plus loin : Migration de SCCM vers Intune

Microsoft Endpoint Manager est une plateforme de gestion des terminaux qui combine les capacités de SCCM et d’Intune dans une solution intégrée pour gérer tous les appareils au sein d’une organisation, qu’ils soient sous Windows, macOS, iOS ou Android.

Intune est un service cloud qui se concentre sur la gestion des appareils mobiles (MDM) et la gestion des applications (MAM). Intune permet aux entreprises de simplifier la gestion des PC, des Mac et des devices mobiles (tablettes, téléphones iOS, Android…)

En termes de gestion des applications, Intune propose des fonctionnalités intéressantes :

• Ajout et affectation des applications sur des appareils inscrits ou non.
• Mise à disposition d’un portail d’entreprise dans lequel on retrouve des applications grand public et des applications d’entreprise qu’on peut intégrer.
• Protection des données de l’entreprise, notamment au travers des applications, en utilisant des stratégies de protection des applications.

En termes de gestion de devices, on retrouve deux grands scénarii :

• Un scénario autour du corporate device (appartenant à l’entreprise) avec inscription obligatoire dans Intune et dans lequel on va intégrer des stratégies de configuration, du paramétrage de sécurité, etc.
• Dans le contexte BYOD : possibilité d’accéder aux données et aux applications de l’entreprise sans inscription obligatoire, en sécurisant les accès avec du MFA. Il est donc possible de proposer aux utilisateurs d’enregistrer leur device personnel dans l’organisation afin que ce device soit complètement géré par Intune. On peut par ailleurs mettre en place des stratégies de configuration, de paramétrage, de sécurisation, etc comme si on était sur un mobile corporate.

Comment mettre à profit Intune pour gérer la sécurité avec Endpoint Security ?

En matière de Modern Workplace, la sécurité est un vaste domaine qui impacte le device, les applications et les données d’utilisation. C’est pourquoi, on va s’attacher à comprendre les devices de l’utilisateur et les usages qu’il en fait.

Plusieurs éléments permettent à Intune de gérer la sécurité des devices :

• Compliance Policies : vérifier qu’un device est bien apte et conforme pour se connecter aux informations de l’entreprise.
• Règles d’accès conditionnel : vérifier que l’utilisateur est bien celui qui prétend et que le device utilisé est bien connu et identifié.
• Configurations de profile : définir un ensemble de paramétrages et de configurations pour assurer la compliance des devices.
• Envoyer sur les devices des scripts à exécuter par le biais d’Intune.
• Restrictions d’enrôlement (par exemple : on n’autorise pas les iPhones jailbreakés).

Tous ces aspects seront applicables sur l’ensemble des devices gérés par Intune (PC, Mac, tablettes, smartphones, Surfaces, HoloLens…)

Au niveau de la sécurité des applications, Intune va permettre de :

• Applications Protection Policies : il s’agit de politiques qui permettent de protéger les applications en s’assurant que les applications utilisées sont bien celles mises à disposition par l’entreprise.
• Politiques de configuration des applications : possibilité d’être restrictif sur les applications à utiliser et les paramétrages associés.
• Policies spécifiques pour les applications de la suite Office.
•  « Selective Wipe » dans un contexte BYOD : consiste à effacer les données et les applications liées à l’entreprise sans effacer le reste des données de l’appareil personnel.
• Policies Custom pour les différentes plateformes.

Certaines fonctionnalités dans Intune sont spécifiques aux postes de travail :

• Gestion des mises à jour,
• Implémentation de Windows Hello for Business,
• Intégration encryptions et antivirus,
• Configuration de Firewall,
• Intégration de Microsoft Defender for EndPoint.

La protection des devices et des applications avec Intune

Il est possible de déployer des stratégies de conformité et de configuration des appareils pour répondre à des objectifs de sécurité. Concernant la protection des devices, deux axes sont à anticiper :

• Les profils de paramétrage : configuration de certificats pour l’authentification, définition des comportements de mise à jour des logiciels, etc.
• Les profils de conformité : vérification de la compliance des devices, versions des systèmes d’exploitation, chiffrement des disques, vérification du niveau de menace spécifique, etc.

Pour la protection des applications avec Intune, on va retrouver différents éléments :

• Les applicationsgérées au travers de stratégies de protection des applications sont applicables sur les appareils inscrits ou non (selon le scénario MDM ou MAM).
• Les applications gérées par Intune permettent de travailler avec des données d’entreprise et d’utiliser ses données personnelles.
• L’application qui est gérée est la seule qui peut être utilisée pour accéder aux données d’entreprise.

Dans Microsoft, certaines actions ne sont pas permises techniquement. Par exemple, dans la console d’Intune, en fonction du mode d’enrôlement, certaines options sont grisées comme la possibilité de wipe des appareils personnels qui ont été enrôlés dans Intune. Effectivement, certaines actions peuvent être interdites par Microsoft dans la console elle-même car aucune entreprise a vocation à réinitialiser un appareil qui n’appartient pas à l’entreprise.

Endpoint Security : la gestion des données dans Microsoft EndPoint Manager

Les données professionnelles vont être sécurisées à travers 4 éléments :

• Protection du device, du système et de la donnée lorsque le device est perdu ou volé.
• Séparation de la donnée.
• Leak Protection pour se prémunir d’avoir des utilisateurs non autorisés qui utilisent des applications capables d’accéder à la donnée.
• Sharing protection pour protéger la donnée lorsqu’on la partage avec d’autres personnes, que ce soit au sein de l’entreprise ou en dehors de l’entreprise.

Il est important de se baser sur la Protection des information windows (WIP) d’Intune pour gérer la liste des applications qui vont être protégées, les emplacements réseau de l’entreprise, le niveau de protection attendu et les paramètres de chiffrement.

Avec Windows Information Protection (WIP), on peut créer des stratégies de protection des applications dans Intune, soit avec l’inscription d’appareils (MDM) soit sans inscription de l’appareil (MAM) :

• MAM peut réinitialiser de manière sélective les données d’entreprise à partir de l’appareil personnel d’un utilisateur
• MAM ne prend en charge d’un seul utilisateur par appareil,
• Seul MDM peut utiliser des stratégies CSP BitLocker,
• Si le même utilisateur et le même appareil sont ciblés pour MDM et MAM, la stratégie MDM est appliquée aux appareils joints à Azure AD.

Mobile Threat Defense et Intune

Un Mobile Threat Defense (MTD) est un antivirus qu’on va déployer sur les device des utilisateurs. Le MTD est donc une app qui vient s’associer à Intune. Il existe plusieurs MTD pour Windows, Android ou iOS :

• Active Shield Enterprise,
• Microsoft Defender for EndPoint (version Enterprise)
• Lookout for Work,
• Pradeo Security,
• Harmony Mobile Protect,
• SEP Mobile (Symantec Endpoint Protection),
• Sophos Intercept X for Mobile,
• Wandera,
• Zimperium Mobile IPS (zIPS)

Microsoft Defender for EndPoint offre des fonctionnalités complémentaires assez intéressantes telles que :

• Installation des applications : avertir les utilisateurs lorsque les fichiers APK des applications sont corrompus ou des applications qui ont des comportements un peu détournés.
• Blocages automatiques sur un navigateur, une page web, un lien malveillant, un courrier électronique, etc.

La gestion est basée sur le cloud, ce qui permet d’offrir une vraie expérience SecOps pour les équipes de sécurité qui peuvent centraliser les alertes et de pouvoir investiguer sur les différents incidents et trouver le meilleur moyen d’y répondre.

Windows 365, le service de PC Cloud de Microsoft, représente une avancée majeure dans l’approche du travail à distance et de la virtualisation.

Conçu pour répondre aux besoins croissants de flexibilité, de mobilité et de sécurité, Windows 365 propose une approche novatrice en fournissant des ordinateurs virtuels hébergés dans le cloud, accessibles depuis n’importe quel appareil connecté à Internet.

Windows 365 offre une expérience informatique complète, transférant l’environnement de bureau traditionnel sur le cloud. Plutôt que de dépendre d’une machine physique, les utilisateurs accèdent à leur bureau virtuel à travers un navigateur web, permettant une flexibilité sans précédent.

L’essence de Windows 365 réside dans la délocalisation des ressources matérielles, laissant le traitement et le stockage des données être gérés par les serveurs dans le cloud de Microsoft. 

Les avantages de Windows 365 PC Cloud

Si Windows 365 est à ce point apprécié et ce qui explique le fort développement de Microsoft sur ce produit, c’est parce que cette solution change les règles du poste de travail comme on le connait : 

• Inutile d’avoir des postes de travail physiques performants premièrement. En effet, seule une connexion internet est nécessaire. Le renouvellement de la flotte s’espace dans le temps.
• Pensez à vos externes qui apportent souvent leurs propres postes de travail. Pour des prestations très courtes, délivrer un poste physique n’est plus utile. Donnez un compte possédant la licence Windows 365, il ou elle n’aura qu’à se rendre sur le portail web pour accéder à sa machine ou télécharger l’application Windows 365 sur son propre poste pour se connecter aux ressources de l’entreprise. 
• Une des forces de Windows 365 c’est aussi le management des postes virtuels. En effet, ces derniers sont gérés dans le MDM Intune. Les Cloud PCs sont managés dans Intune, tout comme leur provisioning d’ailleurs. 
• Qui dit dans Intune, dit que ces postes virtuels vont hériter des policies, applications, hardening, LAPS, Antivirus, etc. Vous avez alors un véritable poste virtuel d’entreprise à votre image, au même titre que vos postes physiques. 
• Enfin, l’expérience utilisateur est impressionnante. Microsoft a fait un travail titanesque pour faciliter l’adoption en implémentant des fonctionnalités comme le Switch (changer du poste physique au virtuel en un clic) ou Boot (démarrage automatique sur le Cloud PC). 

Quant au licensing de Windows 365 PC Cloud, tout dépendra du besoin. Plus vous souhaitez une machine virtuelle puissant, plus le coût de la licence sera cher.

Là aussi Microsoft fait fort en mettant en place un système basé sur le partage de licence avec le FrontLine. Utile notamment quand vos PC ne sont pas utilisés en même temps, cela vous permet d’étaler les coûts sur plusieurs utilisateurs. Un autre point pour les externes et les prestations courtes. 

En conclusion, Windows 365 est un produit qui a bénéficié de beaucoup de lumière par Microsoft et on comprend pourquoi en s’intéressant à ce que change la solution. 

Derrière ce produit, c’est à la fois une réponse au BYOD mais aussi de nouvelles portes ouvertes vers un monde moins dépendant des ressources physiques et de renouvellement de parc. Pour autant, la gestion de ces postes virtuels n’en est pas amoindrie avec l’intégration dans le MDM Intune. 

Pour aller plus loin

Article – MAM ou MDM : comment gérer les mobiles d’entreprise ?

Article – Device Management : déployer une politique BYOD

Dans cette quête cruciale de la sécurisation, l’utilisation de règles d’accès conditionnel pertinentes dans Entra, intégrées de manière étroite avec votre MDM Intune, s’avère être une clé maîtresse.

À travers mes expériences et de riches échanges en matière de sécurité, j’ai identifié un top 8 des règles d’accès conditionnel qui, à mes yeux, forment une couche sérieuse de protection. Découvrons ensemble comment ces règles, alliées à la puissance d’Intune, peuvent renforcer la sécurité IT de manière remarquable.

Authentification à deux facteurs (2FA) obligatoire

L’authentification à deux facteurs demeure la première ligne de défense incontournable. Cette règle impose la validation par deux moyens distincts, créant ainsi une barrière robuste contre les accès non autorisés.

Restriction géographique

La restriction géographique limite l’accès en fonction de la localisation de l’utilisateur. En définissant des règles basées sur les plages d’adresses IP, elle renforce la sécurité en restreignant l’accès depuis des zones non autorisées. La cartographie peut être assez complexe à définir mais ça en vaut la chandelle.

Contrôle basé sur la conformité

Les critères de conformité sont définis dans votre MDM Intune. Ce sont des règles de compliance. Selon le résultat de cette compliance, l’utilisateur peut accéder aux ressources ou non. Très pratique, attention toutefois, vous êtes en train de dire que l’appareil sera nécessairement enrôlé dans votre MDM Intune.

Intégration avec Microsoft Defender

L’intégration avec Microsoft Defender constitue un bouclier avancé contre les menaces. En exploitant les fonctionnalités avancées et ce Secure Score depuis la compliance Intune, elle renforce la capacité à identifier et à neutraliser les menaces potentielles en temps réel.

Attention toutefois aux actions d’admins que vous pouvez réaliser sur le poste, Defender peut avoir tendance à monter votre score si vous accédez à des fichiers sensibles ou exécutez des commandes à privilège. 

Acceptation des Conditions d’Utilisation (Terms of Use)

Intégrer la règle d’acceptation des Conditions d’Utilisation (TOU) est une pratique moderne et qui responsabilise. Avant d’accorder l’accès, les utilisateurs doivent explicitement accepter les conditions et les politiques de sécurité, renforçant la conformité et la transparence dans l’utilisation des ressources IT.

Restreindre l’accès aux OS identifiés

Vous n’avez pas d’appareils macOS en entreprise, pourquoi permettre l’accès à vos ressources depuis un mac ? Vous voulez implémenter une règle forçant les appareils mobiles à être conforme ? Ou tout simplement interdire aux mobiles l’accès à des ressources sensibles ? Pensez donc à restreindre l’accès sur les types d’OS que vous avez authentifié.

Bloquer l’Authentification de Base/Legacy

Le blocage de l’authentification de base ou legacy est une mesure cruciale. En éliminant les méthodes d’authentification obsolètes, cette règle renforce la sécurité en réduisant les vulnérabilités potentielles.

Exiger une Politique de Protection des Applications (App Protection Policy)

L’exigence d’une politique de protection des applications implémentée dans Intune ajoute une dimension de sécurité spécifique aux applications. Cette règle garantit que les applications respectent des normes strictes de sécurité, renforçant ainsi la protection des données.

Conclusion sur les règles d’accès conditionnel sous Intune

Ces règles constituent un arsenal solide, mais la véritable force de la sécurité IT réside dans son adaptabilité. Pensez à vous faire un compte qui s’affranchit de ces règles-là. Vous ne voulez pas vous coincer en sciant la branche sur laquelle vous êtes assis. Définissez et créez un compte break-glass en cas de pépin. 

La sécurité est une collaboration constante. Partagez vos réflexions et contribuez à faire évoluer cette liste ! Quelles sont vos règles favorites ?

Le MDM, ou le Mobile Device Management (Gestion des Appareils Mobiles), est une solution utilisée par les entreprises pour administrer, surveiller, et sécuriser les appareils mobiles de leurs employés.

Le MDM est particulièrement pertinent dans les contextes où les employés utilisent des appareils personnels pour accéder aux ressources de l’entreprise (BYOD) ou lorsqu’une entreprise déploie des appareils d’entreprise à son personnel.

Un MDM permet de gérer le cycle de vie complet des appareils mobiles au sein de l’entreprise, de l’enrôlement initial à la révocation des accès, en passant par le maintien en continu.

Une solution de MDM permet de :

• Configurer et déployer à distance des paramètres d’appareils nécessaires à l’environnement informatique de l’entreprise.
• Appliquer des normes et politiques de sécurité aux appareils comme les mots de passe, le cryptage des données, et les pare-feu.
• Installer, mettre à jour et supprimer à distance des applications.
• Gérer et contrôler les droits d’accès aux ressources de l’entreprise et restreindre l’utilisation de certaines applications ou fonctionnalités sur les appareils.
• Capacité à effacer les données de l’appareil à distance en cas de perte ou de vol, pour éviter les fuites d’informations sensibles.
• Collecter des données liées à l’utilisation de l’appareil et générer des rapports pour aider à surveiller la conformité et l’utilisation des appareils.

Une solution MDM est essentielle pour les entreprises qui souhaitent sécuriser et fluidifier le déploiement et l’utilisation des appareils mobiles.

Gestion des applications mobiles avec le MAM (Mobile Application Management)

Le MAM, ou Mobile Application Management (Gestion des Applications Mobiles), est une solution qui permet d’optimiser la gestion et la sécurisation des applications mobiles au sein d’une entreprise.

Contrairement au MDM (Mobile Device Management), qui gère l’ensemble de l’appareil, le MAM se focalise sur les applications elles-mêmes, permettant ainsi une gestion plus flexible et ciblée.

Le MAM permet donc de déployer des applications d’entreprise sur des appareils personnels ou d’entreprise, assurant une intégration transparente dans l’environnement de travail de l’utilisateur. La gestion des versions et des mises à jour grâce au MAM garantit l’intégrité et la sécurité des applications d’entreprise en veillant à ce que toutes disposent des dernières fonctionnalités et correctifs.

Grâce au MAM, il est possible également de paramétrer des règles d’accès conditionnels, souvent en fonction du rôle de l’utilisateur et des politiques de l’entreprise. On peut y appliquer des standards de sécurité spécifiques mais aussi distinguer les données professionnelles des données personnelles. Enfin, il est possible de supprimer à distance les données d’entreprise sur une application sans affecter les données personnelles de l’utilisateur.

Le MAM offre une gestion souple et ciblée des applications mobiles, facilitant l’adoption de stratégies mobiles sécurisées et conformes aux politiques d’entreprise, sans empiéter sur la vie privée des utilisateurs ou nécessiter la gestion complète de leurs appareils personnels.

MAM vs MDM : quelles différences ?

Le MDM est idéal pour gérer l’ensemble de l’appareil mobile : installation et mise à jour d’applications, configuration des paramètres de l’appareil, application des standards de sécurité, verrouillage à distance des appareils… Il s’agit d’une solution qui convient particulièrement aux entreprises qui disposent d’une flotte d’appareils à distribuer aux salariés et qui ont des besoins de contrôles rigoureux.

Le MAM, pour sa part, se concentre sur la gestion des applications elles-mêmes. Il est plus flexible que le MDM car il permet aux employés d’utiliser leurs propres appareils tout en donnant à l’entreprise la capacité de gérer uniquement les applications d’entreprise. Cette approche est moins intrusive et peut être privilégiée dans des environnements où la confidentialité des données personnelles des employés est une préoccupation majeure.

Intune est une partie de la suite de produits Microsoft Endpoint Manager qui permet la gestion à la fois des applications (MAM) et des appareils (MDM). Dans certains cas, une stratégie combinant MDM et MAM peut être la meilleure solution, permettant une gestion complète des appareils et des applications. Cela permet de tirer parti des avantages de chaque méthode pour obtenir un contrôle et une flexibilité optimaux.

Pour aller plus loin : MAM vs BYOD : quelles différences ?

C’est là l’enjeu d’une convention de nommage unique : réussir au premier coup d’œil à reconnaitre le créateur, le type et le but de l’objet Intune. 

La dimension internationale influence le nommage des objets Intune 

C’est un fait que l’on observe de plus en plus, les équipes parlent et documentent essentiellement en anglais. Les consoles d’administration sont rapidement passées en anglais pour éviter des traductions pas évidentes et des interprétations personnelles. 

Dans cette logique d’unifier les appellations, il en va de même pour les objets créés dans Intune. Leurs noms doivent être compréhensibles en anglais. 

Écrire les détails d’une configuration ou d’une compliance en toute lettre peut s’avérer fastidieux. C’est alors qu’on observe des trigrammes universels pour les objets Intune tels que : 

• CFG : Profile de configuration 
• CMP : Compliance 
• RING : Updates Ring 
• ESC : Endpoint Security Configuration 
• AND : Android 
• iOS : iOS 
• WIN : Windows 
• CORP : Corporate 
• PERSO : Personal 

Intégrer le scope de la solution dans la convention de nommage Intune

Au sein des groupes internationaux, les admins des pays créent des objets Intune. L’admin en question peut facilement s’y retrouver puisqu’il ou elle ne verra que les objets de son entité/pays/BU. En revanche, quelqu’un qui possède plusieurs scopes ou une personne possédant le rôle Entra Intune Administrator, s’y retrouvera difficilement. 

Exemple de scope dans Intune (source Microsoft) : 

Les admins avec le rôle Intune Administrator ou un scope multiple sont souvent amenés apporter un support aux admins pays. Pour cela, ils doivent comprendre en un coup d’œil les détails d’une configuration sans avoir à cliquer sur chacune d’entre elle. 

Dans cet objectif, il est utile de renseigner le scope dans le nom même de l’objet Intune. 

Quelques exemples de nommage d’objets Intune 

On constate des objets Intune dont le nom est explicite comme : 

• CFG-FR-PERSO-AND-WORKPROFILE : un profil de configuration qui cible la France et configure les appareils personnels Android pour set le workprofile. 
• CMP-BR-CORP-WIN-PASSWORDCOMPLEXITY : une politique de conformité (compliance) qui cible le Brésil, et configurer la complexité du mot de passe sur les appareils Windows Corporate. 
• RING-NL-CORP-WIN-ALPHA ou RING-NL-CORP-WIN-SHORT : qui applique une stratégie de mise à jour sur les appareils windows corporate avec un délai court de mise à jour. 
• Trigramme GLB (Global) : pour les objets qui ciblent tous les pays. 
• ESC-GLB-CORP-WIN-BITLOCKER : voici une configuration se trouvant dans le menu Endpoint Security qui cible tous les pays, et paramètre le chiffrement bitlocker sur les postes Windows. 

La convention de nommage Intune en fonction des appareils 

Une convention de nommage des appareils peut paraitre tentante parce que c’est souvent un historique de l’on-prem avec un fonctionnement hiérarchique dans l’AD. 

Les questions liées à la nécessité d’une convention de nommage des appareils sont : pourquoi utiliser une convention de nommage pour mes machines ? Est-ce vraiment nécessaire dès lors que je suis dans Entra ? 

Une convention de nommage des appareils n’est plus utile de par l’aspect à plat d’Entra ainsi que le provisionning Autopilot pour les postes qui garantissent la provenance de l’appareil. Les postes sont provisionnés avec un Grouptag. 

Si toutefois il y a des automatisations liées au nom de l’appareil, on peut imaginer une convention de nommage pour les cas d’usage. Par exemple : plutôt qu’un simple WIN-%SERIAL%, il y aura un KIOSK-%RAND5% pour un appareil kiosk. 

A noter qu’il est important de cibler les automatisations sur des objets Intune comme les groupes dynamiques ou des propriétés des appareils/users.  

Si toutefois le renommage des appareils s’impose, un profil de configuration est implémenté sur Intune pour renommer les appareils en masse avec cette CSP : ./Device/Vendor/MSFT/Accounts/Domain/ComputerName  

Conclusion 

Une convention de nommage bien conçue dans Microsoft Intune est la pierre angulaire d’une gestion efficace des appareils. Elle organise non seulement les processus, mais améliore considérablement l’efficacité opérationnelle, favorisant une communication claire et un contrôle précis. Il doit toutefois s’adapter à l’organisation à plat d’Entra et d’Intune, rendant la convention de nommage des appareils moins pertinente. 

Adopter une convention de nommage réfléchie ne se limite pas aux bonnes pratiques ; il s’agit d’optimiser les flux de travail et de transformer votre environnement Intune en un modèle d’efficacité et d’ordre.

Pour aller plus loin

Article – Gestion de la sécurité dans Intune / Microsoft EndPoint Manager

Article – Device Management : déployer une politique BYOD

La gestion du poste de travail est en constante évolution au sein des entreprises, et les nouvelles technologies jouent un rôle crucial dans cette transformation. Deux outils contribuent à réinventer la gestion des appareils informatiques : Windows Autopilot et Microsoft Intune. Explorons ensemble les fonctionnalités, les bénéfices et les défis de ces outils.

Windows Autopilot, disponible depuis Windows 10, version 1703, permet aux administrateurs d’enregistrer des appareils dans un service cloud pour personnaliser et automatiser l’expérience utilisateur.

Microsoft Intune joue un rôle complémentaire en offrant une gestion centralisée des appareils. Ensemble, ces outils visent à faciliter la livraison et la gestion des appareils informatiques, tant pour les équipes IT que pour les utilisateurs finaux.

Processus de configuration et de déploiement

Le processus commence par l’enregistrement de l’appareil dans le service cloud via un script PowerShell. Cette étape, réalisée par l’équipe informatique, permet d’attribuer une étiquette spécifique (par exemple, par pays) à chaque appareil. Une fois l’appareil enregistré, il est automatiquement ajouté à un groupe dynamique dans Azure AD, basé sur cette étiquette.

Pour l’utilisateur final, l’expérience commence par l’authentification sur un appareil neuf ou réinitialisé. L’appareil télécharge et applique automatiquement les configurations et les applications définies par l’IT via Intune. Cette étape, appelée « Enrôlement Status Page » (ESP), peut durer d’une à deux heures, en fonction des applications et configurations à installer.

Personnalisation et sécurité

Les administrateurs ont la possibilité de personnaliser l’expérience utilisateur (par exemple, en affichant le logo de l’entreprise) et de définir des politiques de sécurité, comme l’installation d’un antivirus avant que l’utilisateur ne puisse accéder au bureau.

Le portail d’entreprise Intune permet également de distribuer des applications de manière centralisée, soit en les installant automatiquement, soit en les rendant disponibles pour téléchargement.

Vision à long terme et flexibilité

La vision à long terme de l’utilisation d’Autopilot et Intune est d’automatiser au maximum le déploiement des appareils, avec une possible implication des fabricants dans le processus de provisionnement. L’idée que les fabricants pourraient, à terme, jouer un rôle plus direct dans le provisionnement des appareils représente une évolution significative dans la gestion des appareils en entreprise.

Les entreprises peuvent choisir de personnaliser leur approche en fonction de leurs besoins spécifiques, que ce soit par pays, par département ou par fonction.

Conclusion et perspectives

Les technologies comme Windows Autopilot et Microsoft Intune sont des piliers dans la transformation numérique des entreprises. Leur capacité à simplifier et à sécuriser la gestion des appareils informatiques tout en offrant une expérience utilisateur personnalisée et engageante représente un changement significatif dans le paysage informatique des entreprises.

La réussite dans l’implémentation de ces outils nécessite une compréhension claire de leurs fonctionnalités, une planification stratégique et une collaboration efficace entre les différentes parties prenantes.

Pour aller plus loin

Article – Autopilot V2 : Windows Autopilot Device Preparation, qu’est-ce que c’est ? 

Article – MDM : pourquoi choisir Microsoft Intune ?

Article – SCCM vs Intune : quel avenir pour la gestion unifiée des appareils ?

Au sein de Microsoft Intune et d’Entra ID (Azure AD), la gestion des rôles et des permissions s’implémente à plusieurs échelles.

Quels sont les rôles natifs dans Entra ID ?

Il faut tout d’abord visualiser Intune comme étant une brique d’Entra ID. Plusieurs années auparavant, Intune était même un menu d’Entra ID avant d’avoir son portail dédié. Il existe plusieurs rôles Entra ID qui donnent des permissions dans Intune. Il s’agit de rôles pré-créés sur lesquels il est bon de s’appuyer lors de la mise en œuvre d’un RBAC (Role-Based Access Control). 

Un rôle Entra ID se définit par un ensemble de permissions qui est assigné ensuite sur un groupe contenant des administrateurs. Il existe des rôles donnant des permissions de lecture et d’écriture sur des menus d’Entra ID, d’autres de lecture exclusif sur le portail Defender, d’autres sur Intune, d’autres de lecture sur des logs, etc. Il faut noter que ces rôles sont pilotés au sein d’Entra ID, nerf de l’écosystème Azure.

Les admins s’appuient sur des rôles natifs comme par exemple :  

• Cloud Device Administrator pour les droits sur les appareils,  
• Global Reader pour les droits de lecture sur l’écosystème Azure,  
• Security Administrator pour les droits de lecture et d’écriture sur les fonctionnalités de sécurité, 
• Intune Administrator. 

Le rôle Intune Administrator consiste à donner les pleins pouvoirs à celui ou celle qui le détient sur tout ce qui se trouve dans la console Intune, mais pas que. Cette personne possède également des droits dans Entra ID, notamment sur les groupes et les appareils en lecture mais aussi en écriture. Un droit donc à distribuer avec parcimonie d’autant que, par défaut, il n’est pas “scopable”.

Intune : quelle est l’étendue (scope) d’un rôle Entra ID ?

Un rôle Entra ID non “scopable” signifie que son périmètre s’étend à l’ensemble de l’annuaire. En effet, il faut envisager l’annuaire Azure AD comme étant à plat et non à travers un schéma hiérarchique. 

Dans les grandes organisations, il est difficile d’imaginer la totalité des admins pouvant effectuer des actions de masse sur plusieurs pays ou BU différents. C’est l’une des raisons pour laquelle les Administrative Units (AU) ont vu le jour. Il s’agit d’une fonctionnalité développée par Microsoft dans Entra ID pour limiter un périmètre (groupe d’appareils ou d’utilisateurs) aux admins possédant un rôle Entra ID. 

Administrative Unit : une fonctionnalité appréciée dans la gestion des rôles Intune

En tant qu’expert Intune, la lecture des clés Bitlocker stockées sur Azure AD est un cas d’usage fréquemment rencontré. Pour éviter que TOUTES les clés soient lues par TOUS les admins ayant le rôle dédié, on “scope” le rôle seulement sur les admins FR afin qu’ils puissent faire les actions du rôle (lecture des clés) seulement sur les machines FR.

Lorsqu’il s’agit d’un autre pays, on crée une autre Administrative Unit BE pour la Belgique, par exemple. Puis, on y lie les postes de travail BE pour que seuls les admins BE puissent lire les clés de chiffrement de ces appareils BE, et ainsi de suite.

A noter que les AU ne sont pas des OU. Dans Intune, une Organizational Unit (OU) se définit comme un conteneur dans l’Active Directory on-premise dans lequel on place des stratégies, des groupes, des imbrications, etc. Il faut voir une AU comme une étiquette que l’on place sur les appareils et sur lesquels on lie des permissions précises pour des admins précis.

La gestion des rôles Intune

En marge des rôles Entra ID, il existe aussi des rôles qui sont propres à Intune. Leur gestion ne peut d’ailleurs se faire que dans la console Intune.

Un rôle Intune permet de donner des droits aux administrateurs pour œuvrer seulement dans la console Intune que ce soit sur les appareils mobiles ou les postes. Ainsi, un admin peut très bien avoir les droits pour gérer les applications mobiles et postes de travail sans avoir les droits pour gérer les configurations des appareils.

À noter qu’il n’est pas utile de combiner un rôle Intune au rôle Entra ID « Intune Administrator » puisque ce dernier comprendra implicitement les permissions du rôle Intune.

Les permissions et les scopes dans Microsoft Intune

Un rôle Intune se décompose ainsi :

• Les permissions (role definition) représentent l’ensemble des actions possibles dans Intune comme la lecture sur les applications, l’écriture sur les configurations, la lecture sur les logs de déploiement des compliances, etc
• L’assignement représente les groupes et les scopes sur lesquels le rôle est assigné.

Prenons l’exemple d’un rôle donnant des accès d’écriture sur les types d’objets Intune que sont les applications, les appareils, les configurations, etc. Il s’agit de permissions. Ce rôle doit alors être assigné sur plusieurs groupes pays mais les admins ne doivent pouvoir lire uniquement les objets Intune de leurs pays. Alors, on peut créer au sein du même rôle écriture un assignement par pays (FR, BE, NL, BR, etc) afin que chaque scope soit étanche avec son voisin, sur cette même base de permissions d’écriture.

Les “Role Assignment” dans Microsoft Intune

Un assignement dans Intune est composé de :

• Les admins ciblés (membres).
• Les scopes groups qui représentent les groupes avec lesquels les admins peuvent interagir. Ils ne peuvent assigner ou modifier les configurations/apps uniquement si elles sont assignées sur ces scopes groups.
• Les scopes tags sont des étiquettes placées sur les objets Intune. Ces étiquettes sont assignées automatiquement à la création de l’objet. Un admin ne peut voir que les objets ayant l’étiquette qui lui est attribuée dans son assignement. À noter que les scope tags sont aussi appliqués sur les appareils par script ou à travers des groupes dynamiques.

C’est donc avec cette combinaison de permissions et de scopes que les admins peuvent interagir sur les mêmes outils Cloud.

Pour aller plus loin

Il est important de découper avec attention les périmètres et les équipes correspondantes au préalable. Cette tâche amont permet au mieux de retranscrire le modèle de l’entreprise dans les différents outils et de suivre son évolution.

D’autre part, les accès aux outils Cloud tels qu’Intune se couple à de l’accès conditionnel dans Entra ID. Ainsi, on peut limiter les accès au portail Intune aux machines enrôlées dans le MDM (Mobile Device Management) et respectant les normes de sécurité définies comme l’antivirus, l’EDR, le chiffrement, la complexité mot de passe, le Secure Boot, la double authentification, etc.

Enfin, il est possible de s’appuyer sur des rôles temporaires le temps d’une ou plusieurs actions (Priviliged Identity Management Role). Les permissions prennent fin dès que l’action se termine.

À quoi sert Intune ? 

Intune est un outil de MDM (Mobile Device Management). À ce titre, il permet : 

• D’avoir une visibilité sur les appareils mobiles et postes de travail  
• De déployer des applications, appliquer des configurations, gérer les mises à jour d’OS 
• D’appliquer un statut de non-compliance sur les appareils ne respectant pas des règles établies 

En complément, Intune permet la gestion d’applications mobiles (Mobile Application Management, ou MAM) et ainsi sécuriser les données de l’entreprise.

Intune et Azure AD 

Intune s’appuie sur l’Azure Active Directory (AAD). Plus qu’un simple annuaire dans le cloud, il centralise la gestion des identités, des applications SaaS ou encore l’accès aux ressources internes/externes, potentiellement sécurisées par des politiques d’accès conditionnel. 

L’appareil, quant à lui, est joint dans un premier temps dans l’AAD (Azure AD Join ou Hybrid Azure AD Join). L’automatic enrollment se charge de l’enrôler dans Intune. 

Tous les appareils présents dans l’AAD ne sont pas nécessairement gérés par Intune. Ils doivent correspondre aux critères établis par le client (appartenance aux groupes, licences, version d’OS, …) ou même avoir été préinscrits par un constructeur partenaire (fonctionnement d’Autopilot). 

Le cloud pour quels avantages ?

Cette relation très étroite entre Intune et Azure AD offre de nombreuses possibilités.

Dans un monde de plus en plus en télétravail, administrer ses appareils depuis une plateforme web est un enjeu fort. Le MPLS et le VPN seront de moins en moins nécessaires à long terme #enfinlibres. Une connexion internet solide suffira aux appareils pour être gérés et utilisés convenablement.

On notera également que les postes en Workgroup (encore extrêmement nombreux) sont ceux qui bénéficieront le plus de ce lien entre Intune et AAD. Pour la plupart gérés localement par l’IT local à l’aide de clés USB ou de PPKG, ils sont souvent utilisés en tant qu’administrateurs locaux. Ces appareils seront maintenant remontés et administrés comme tout autre poste de travail. De quoi contrer le shadow IT, une lutte chère dans le cœur et le portefeuille de beaucoup de clients.

Enfin, ceux qui le désireront pourront également protéger la donnée (Mobile Application Management, ou MAM). Notamment pertinent dans des cas de BYOD mobile, en utilisant « l’App protection policy » l’IT a la possibilité de gérer les données et les applications déployées par l’entreprise.

Et ce, sans se préoccuper de l’appartenance de l’appareil qui ne sera qu’« inscrit » dans l’Azure AD (AAD Register vs. AAD Join). Un sujet à adresser main dans la main entre les équipes légales et techniques.

La cohérence d’Intune

Si Intune permet d’assurer la gestion des appareils, il existe également d’autres solutions MDM sur le marché.

Là où globalement les solutions partagent les mêmes objectifs premiers, Intune permet une cohérence avec l’écosystème Microsoft des clients.

Les postes de travail, puisque c’est autour d’eux que s’anime le débat, sont majoritairement sous Windows 10. Les gérer à travers Intune, c’est pouvoir onboarder les appareils sans avoir à déployer un agent dédié puisque l’agent Intune est de suite intégré à Windows 10.

Notons aussi la possibilité de mettre en place un co-management entre SCCM et Intune. Une stratégie séduisante sur le papier à la vue de l’importance de SCCM chez bon nombre de clients.

C’est également la certitude de pouvoir profiter pleinement du management moderne non seulement du poste, mais aussi du contexte des utilisateurs finaux.

Prenons l’exemple des postes partagés, un cas d’usage omniprésent chez certains clients. Ce scénario est chose impossible à l’heure actuelle avec certains MDM. Même si l’on tend vers une gestion universelle de Windows 10 avec l’OMA-URI, le chemin reste encore long. Intune, quant à lui, tire pleinement parti des possibilités et des cas d’usages qu’il s’agisse de PC partagés, de BYOD, de PC Corporate ou même de Kiosque (ex : borne, point de vente).

Autre point à prendre en compte, ce sont les infrastructures existantes. L’Active Directory pour commencer. C’est ici que sont les objets ordinateurs et utilisateurs. Grâce à l’Azure AD Connect, il est possible de basculer ses objets provenant de l’AD vers l’AAD et permettant ainsi une transition toute trouvée vers le Cloud tout en étant relié au domaine ADDS.

Le statut d’appareil « Hybrid Azure AD join » (HAAD) soulève des questions. Où gère-t-on l’identité ? Quid de la délégation sur cette organisation AAD à plat sans hiérarchie ni OU ?

Comment retranscrire les GPO si les appareils ne sont que dans l’AAD ? Et qu’en est-il du sens inverse AAD vers AD ? Et le MFA dans tout ça ?

Des questions qui ne sont pas tant techniques mais bien stratégiques auxquelles chaque client répondra selon son contexte et ses ambitions.

Licences, à quel prix ?

Le licensing peut s’apparenter à un vrai sac de nœuds.

En s’y intéressant de plus près, on s’aperçoit qu’en ayant mis un pied dans les solutions Microsoft comme O365 ou Windows 10 E3, on a déjà peut-être sans le savoir tout ou une partie des moyens pour aller pleinement vers cette transition Intune.

Oui, les licences ont un coût.

Un coût cependant à mettre en parallèle aux coûts et inconvénients des solutions plus legacy : maintien des infrastructures, MPLS, Software Assurance, Shadow IT, VPN, délais de déploiement et d’évolution, Suite Office, etc.

Intune, une logique modernité

Les utilisateurs finaux sont habitués aux terminaux. Que ce soit chez nous ou au travail, nous utilisons ces appareils en permanence.

Les utilisateurs évoluent et leurs besoins avec eux. Il est cohérent que la solution permettant de répondre à leurs demandes évolue elle aussi. Avec une force de développement incomparable, Microsoft s’inscrit avec Intune dans cette logique, car il est au cœur des enjeux modernes derrière ces attentes.

Viendront prochainement plusieurs articles, allant plus en profondeur techniquement, sur le management des postes de travail à travers Intune sous différents aspects.

“Une tradition, ce n’est jamais qu’un progrès qui a réussi.”  –  Druon

Pour aller plus loin

Article – MDM Intune : top 8 des règles d’accès conditionnel

Article – SCCM vs Intune : quel avenir pour la gestion unifiée des appareils ?

En ce début d’année 2022, HP a lancé silencieusement la version Cloud de HP Sure Admin en la rebaptisant HP Connect. Cette solution vous permet de mettre en place du MFA pour l’accès au BIOS (Basic Input Output System) de vos machines.

La sécurité dans le domaine des systèmes d’informations est un enjeu majeur depuis déjà plusieurs décennies. L’objectif est de protéger les données de nos entreprises contre les individus mal intentionnés. Aujourd’hui, tous les acteurs de l’IT ne sont pas sans savoir que le risque le plus important provient de l’utilisateur. C’est pourquoi tous les organismes du secteur poussent les entreprises à impliquer leurs collaborateurs dans ce processus de sécurisation de l’information.

Chaque jour, de nouvelles failles sont découvertes et les équipes IT doivent régulièrement déployer des mises à jour afin d’y remédier rapidement. Le poste de travail reste le premier front que les ingénieurs doivent défendre au quotidien. Toutefois, il reste certaines failles auxquelles nous restons impuissants lorsqu’il s’agit de poste de travail, en particulier des laptops.

L’une d’entre elle est la sécurisation du BIOS. Cela peut s’avérer très problématique pour une entreprise lorsqu’un poste est perdu ou volé. En 2022, toutes les entreprises se doivent d’avoir des solutions en place pour sécuriser leurs postes de travail.

10 outils essentiels à connaître

• Chiffrement des disques du poste de travail : Microsoft BitLocker
• Blocage des périphériques de stockage USB : DLP, FRP
• Sécurisation de l’accès au compte Administrateur local : LAPS
• Présence d’une suite antivirale et antispam sur tout le parc : Defender, McAfee, Symantec
• Déploiement des mises à jour de sécurité sur le parc : WSUS, WUfB
• Gestion du versionning des applications, des drivers : Intune, MECM, WSO
• Backup des données et personnalisations des users : OneDrive, ESR
• Stratégies de contrôle d’accès : profil de configuration, accès conditionnel, GPO
• Vérification de l’identité de l’user : MFA, WHfB, SSPR
• Solution de sécurisation du trafic réseau : Firewall, Proxy, VPN

Chez Synapsys, la mise en place et le maintien en condition de ces outils sont pleinement maitrisés par nos experts Modern Workplace. Il s’agit également des points sur lesquels nous formons nos consultants juniors au sein de la Squad Modern Workplace. La présence de ce type de solutions est indispensable pour assurer la sécurité de votre SI en toute sérénité.

Pourquoi faut-il dissuader ce genre d’attaques ?

Aujourd’hui, lorsqu’un poste disparait, nous pouvons effacer tout le contenu du disque à distance si la machine dispose d’une connexion réseau. Cependant, si la machine reste hors connexion, elle reste utilisable pour l’individu qui l’a récupérée et les données présentes potentiellement exploitables.

On peut se dire que la perte d’un poste de travail n’est pas un grand dommage causé pour une grande entreprise. Pourtant, la disparition d’une machine provoque les situations suivantes :

• L’arrêt de l’avancement des tâches d’un collaborateur et par conséquence d’un service.
• Une tâche supplémentaire pour l’équipe de proximité.
• Un incident supplémentaire à devoir être étudier par l’équipe cybersécurité.
• Des recherches en vains faites par les différentes équipes du support et d’ingénierie système.
• Déclencher des actions pour lutter contre le vol de données (Wipe, déclarations de vol, …).

Accumulées, ces actions engendrent un temps de travail conséquent. Il faut savoir que chacune de ces actions se répète à chaque nouveau cas signalé. Des heures de travail qui auraient pu être consacrées à assurer le run ou l’avancement d’un ou plusieurs projets.

Que peut-on faire pour éviter cela ? Donner un antivol avec chaque machine ?

Les données présentes sur la machine sont censées être sécurisées. Le seul moyen de dissuader ces actes serait d’imiter Apple, c’est-à-dire rendre l’appareil inutilisable pour tout individu, hormis le client. Le système d’exploitation ne permet pas d’implémenter un tel niveau de sécurité. Nous devons descendre jusqu’à la couche firmware pour répondre à ce besoin, plus communément appeler BIOS. Une seule option est possible : sécuriser l’accès au BIOS.

En 2022, tous les postes de travail d’entreprise doivent à minima posséder :

• Un mot de passe pour l’accès au BIOS,
• Être en UEFI (Unified Extensible Firmware Interface),
• Désactiver le mode Legacy,
• Activer le Secure Boot,
• Activé la puce TPM (Trusted Platform Module).

Il s’agit là du minimum syndical. Malheureusement, le mot de passe BIOS est le même pour tout un lot de machines, voire un parc entier. Il suffit donc que le mot de passe fuite une fois pour que cette sécurité devienne inexistante.

Les 3 principaux constructeurs (Lenovo, DELL & HP) proposent des solutions afin d’être en mesure de changer ce mot de passe à distance. Le problème final reste le même, l’accès n’est sécurisé que temporairement.

Voici une liste non-exhaustive des attaques qui peuvent être utilisées par un hacker ayant un accès physique à votre machine et cela même si vous avez entièrement sécurisé votre OS :

• Désactivation du Secure Boot afin d’installer un root kit,
• Désactivation du Direct Memory Access (DMA) pour ensuite lire vos informations,
• Formater le disque de votre machine.

Ce qu’il faut bien comprendre, c’est qu’une fois que l’accès à votre BIOS a été compromis, il n’y a plus de point de retour. Vous aurez beau essayer de réinstaller l’OS de votre machine, mettre à jour et réinitialiser votre BIOS, l’accès du hacker à votre machine persistera. Votre seul recours est de faire appel au constructeur ou bien de flasher vous-même votre BIOS, ce qui entrainera la perte de la garantie.

Le deuxième point qu’il faut savoir est que ce type d’attaque est indétectable par l’utilisateur et aucune solution d’antivirus n’est capable de détecter et d’arrêter ce genre d’attaque avant que les dégâts ne soient commis.

Comment sécuriser son BIOS de façon pérenne ?

Voici ce que HP propose depuis déjà 3 ans :

Un QR code ? Entrez un code ? Et oui ! Il s’agit bien d’une authentification à double facteur.

Du MFA sur le BIOS, il fallait y penser et HP le propose avec HP Sure Admin, disponible sur tous les laptops entreprise sortis depuis 2018. Cette solution est d’ailleurs peu connue du public.

HP Sure Admin offre une sécurité moderne pour la configuration et la gestion du BIOS de vos PC. Moderne puisque les administrateurs seront en mesure de gérer le BIOS des machines à distance sans intervention physique.

Cette solution permet de remplacer l’accès traditionnel basé sur les mots de passe par l’utilisation de certificats. HP Sure Admin est une fonctionnalité que les détenteurs de machines HP récente peuvent installer et personnaliser.

Quels sont les prérequis ?

• Un parc de Laptop HP disposant d’une puce SPM,
• Avoir un BIOS à jour est conseillé,
• Windows 10\11 avec Microsoft .Net version 4.8 ou supérieur,
• Déployer les applications suivantes sur les postes de travail (via MECM) :
  • HP CMSL (HP Client Management Script Library),
  • HP MIK client (Manageability Integration Kit),
  • HP BCU (BIOS Configuration Utility).

Comment HP Sure Admin fonctionne ?

Concrètement, vous devez provisionner la clé publique de 2 certificats différents sur la puce SPM (Secure Plateform Module) de votre machine. Les clés 2 privées de vos certificats doivent rester dans votre coffre-fort virtuel et ne jamais être transmis sous aucun prétexte. Sans ces 2 clés privées, le hacker sera incapable d’accéder à votre BIOS et de le modifier.

1. Utilisation de HP MIK et de HP BCU pour la configuration et la gestion à distance du BIOS.
2. Utilisation d’un smartphone disposant de l’application HP Sure Admin pour un accéder à l’interface. utilisateur du BIOS en cas de besoin seulement, puisque vous êtes en mesure de gérer à distance.
3. Déployer vos fichiers de configuration vos PC cibles à gérer qui disposent d’une puce SPM en charge le mode d’authentification améliorée du BIOS.

Définitions :

EK : Endorsement Key                                  SK : Signing Key

LAK : Local Access Key                                EBAM : Enhanced BIOS Authentication Mode

On considère 2 méthodes de fonctionnement :

Une première que l’on pourrait la considérer comme un mode standalone. Voici les étapes nécessaires :

1. Il faut d’abord compléter les prérequis.
2. Après, vous devez provisionner manuellement les clés publiques de la EK et la SK sur la puce SPM de la machine et activer HP Sure Admin.
3. Ensuite, vous devrez créer un nouveau couple de clé via OpenSSL pour la LAK.
4. Puis, vous devez générer un QR code permettant de provisionner la clé privée de la LAK de la machine en question et activer l’EBAM.
5. Vous devez installer l’application HP Sure Admin (Android \ iOS) sur votre smartphone utilisé pour scanner le QR code précédemment téléchargé.
6. Enfin, vous pouvez redémarrer la machine et essayer d’accéder au BIOS en scannant le QR code et en tapant le code PIN.

Cette méthode peut s’avérer utile pour effectuer un PoC sur les différents modèles de votre parc.

Il s’agit du mode conseiller pour une réelle sécurité dans un environnement de poste de travail en production. HP a pour cela créeé un add-on MECM.

1. Installer le add-on HP MIK MECM serveur sur l’un de vos points de distribution MECM.
2. Packager les applications HP CMSL, BCU, HP client MIK + Maj .NET 4.8 et des BIOS si besoin.
3. Générer un QR code à l’aide la clé publique.
4. Créer 2 autres applications :
   1. La 1^ère pour provisionner les clés publiques de la EK et la SK sur les puces SPM des PC et activer HP sure Admin, la machine doit redémarrer après cette étape.
   2. La 2^nde pour installer OpenSSL, créer un couple de clés, provisionner la clé privée LAK et activer l’EBAM. Et enfin, envoyer la clé publique de la LAK sur votre serveur HP KMS (hébergé) sur Azure. Il s’agit d’un service auquel il faut souscrire au préalable. La machine doit redémarrer pour prendre en compte les changements.
5. Créer une séquence de tâches, rajouter vos applications, les 2 reboot et la déployer sur votre collection ne contenant que des laptops compatibles.
6. Vous devez installer l’application HP Sure Admin (Android \ iOS) sur votre smartphone utilisé pour scanner le QR code précédemment téléchargé.
7. Enfin, vous pouvez redémarrer la machine et essayer d’accéder au BIOS en scannant le QR code et en tapant le code PIN.

Effectivement, la mise en place de HP Sure Admin n’est pas aisée et nécessite des compétences d’ingénieur poste de travail :

• Packager des applications,
• Créer des scripts PowerShell,
• Utilisation de MECM : Création d’applications, de scripts, de séquences de taches…
• Déployer et suivre le déroulement d’une séquence de tâches depuis la console MECM,
• Une connaissance des composants hardware des modèles de votre parc,
• Des connaissances en cryptographie afin de générer des certificats et des clés RSA.

Heureusement, j’ai pu m’appuyer sur notre Squad Cloud chez Synapsys, afin de proposer des solutions à ces problématiques. Une fois que vous aurez déployé HP Sure Admin sur votre parc, vous serez capable de gérer les BIOS vos machines depuis la console SCCM grâce au add-on HP MIK.

Quelles sont les problématiques rencontrées ?

• La gestion des différend modèles,
• Installer OpenSSL sur des postes (Validation équipe cyber sécurité),
• Utilisation de HP KMS via Azure (validation équipe Cloud),
• Code pin de vérification user à retirer,
• Gérer les accès des comptes guest Azure pour le prestataire chargé de la masterisation.

Cette gestion a malheureusement ces limites, puisque vous ne serez pas en mesure de gérer vos devices uniquement s’ils sont connectés à votre SI. Il faudrait disposer d’un CMG (Cloud Management Gateway) sur Azure et par conséquent des coûts supplémentaires qui fluctuent selon votre usage. La solution avait des limites assez problématiques pour les Hybrid Workplaces.

En janvier 2022, HP a sorti HP Connect, il s’agit d’un service SaaS permettant d’utiliser HP Sure Admin et d’autres fonctionnalités connexes à la sécurité via Microsoft Intune. HP a très bien compris la tendance des entreprises qui consiste à passer du on-premise au Cloud. Voici à quoi ressemble le Dashboard sur : admin.hp.com

A quoi sert HP Connect for MEM ?

HP Connect for Microsoft Endpoint Manager vous donne accès aux fonctionnalités suivantes :

• Mise à jour BIOS :
  • Avoir un parc à jour sans installer les drivers dès lors sortie,
  • Choisir d’installer les mises à jour critique seulement,
  • Choisir une version spécifique.
• Configurations du BIOS :
  • Possibilité de configurer votre BIOS.
• Méthode d’authentification du BIOS :
  • HP Sure Admin,
  • Mot de passe classique.

Quels sont les prérequis pour HP Connect ?

Voici la liste des outils dont vous aurez besoin pour la mise en place de HP Connect for MEM :

• Un tenant Azure AD (Active Directory),
• Un tenant Intune Microsoft Endpoint Manager (MEM),
• MEM configure en tant que MDM (Mobile Device Management) pour vos appareils,
• Enrôler vos machines dans l’Azure AD et dans Intune,
• Un abonnement Microsoft 365 E3/A3 ou E5/A5 permettant d’enrôler vos machines Azure,
• Autoriser le service SaaS HP Connect à interagir avec votre Tenant AAD.

Comment fonctionne HP Connect ?

Il vous suffit d’accepter la demande de permissions de HP MEM Connector App lorsque vous créez votre tenant Azure et Intune :

Ensuite, vous aurez accès au Dashboard HP Connect via lequel vous pourrez :

• Créer des policies,
• Editer des policies,
• Mettre à jour le BIOS des devices,
• Appliquer des policies à des groupes de devices Azure AD,
• Avoir un suivie du déploiement des policies.

Quels sont les autres solutions de sécurité pouvant être gérées via HP Connect à l’avenir ?

• HP Sure Start,
• HP Sure Run,
• HP Sure Recover,
• HP Sure Sense,
• HP Sure View,
• HP Sure Click,
• HP Privacy Camera,
• HP Endpoint Security Controller,
• Fonctionnalités liées à la conversion via TPM,
• Amélioration de Microsoft Device Guard.

Conclusion

HP a révolutionné le domaine de la sécurisation des postes de travail avec HP Sure Admin. Aujourd’hui, grâce au couple HP Connect et HP Sure Admin si vous disposez d’un parc de laptops HP vous serez en mesure de pleinement sécuriser leur accès au BIOS.

Si vous êtes intéressé par la mise en place de HP Connect et HP Sure Admin, n’hésitez pas à contacter Synapsys. La mise en place est de HP Connect peut être éligible au programme FastTrack. Pour en savoir plus sur le programme FastTrack, vous pouvez également consulter l’article de Laurent Bigayon, notre Leader Technique Modern Workplace.

Liens vers la documentation HP :

http://hp.com/wolfsecurityforbusiness

http://h10032.www1.hp.com/ctg/Manual/c06529817

https://h20195.www2.hp.com/v2/getpdf.aspx/4AA7-7307ENW.pdf

Parce que ce sujet est géré principalement à travers des GPO, comment les retranscrire au mieux dans Intune ? Comment faire bénéficier d’administrateurs locaux les postes joints à Azure AD et détachés de l’Active Directory ?

Scénario classique d’un poste en version Windows 10 20H2 :

Depuis la mise à jour 20H2 de Windows 10, il est possible de gérer efficacement les administrateurs locaux grâce à une configuration créée dans Intune.

En créant une configuration customisée, voilà à quoi cela ressemble :
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Datatype : String

Value :

<GroupConfiguration>
    <accessgroup desc = « Administrators »>
        <group action = « U » />
        <add member = « S-1-12-1-2467210666-1203319661-2805276081-2339455698″/>
        <add member = « AzureAD\user3@synapsystest.onmicrosoft.com »/>
        <remove member= « Tom »/>
    </accessgroup>
</GroupConfiguration>

Ici l’action “U” signifie que l’on va « Update » le groupe local Administrators en ajoutant et/ou supprimant des membres.

Il est aussi possible d’utiliser l’action R qui va « Remplacer » (Restrict) tous les utilisateurs locaux d’un groupe par ceux que vous allez lister dans la configuration.

On notera que dans cet exemple de configuration, on gère plusieurs types de cibles :

• Un utilisateur Azure AD, user3@synapsystest.onmicrosoft.com. Il est désormais administrateur du poste.
• Un groupe Azure AD dont on récupère le sid à l’aide du script d’Oliver Kieselbach. Tous les membres de ce groupe choisi sont donc désormais administrateurs du poste.

• Et un utilisateur local « Tom » que l’on enlève du groupe administrateur par la même occasion. Ici on l’enlève mais on peut en ajouter de nouveaux également. À noter qu’ils doivent déjà exister sur le poste pour être ajoutés en tant qu’admins.

• On ne peut pas supprimer l’Administrateur Built-In du groupe local. Si l’on essaye, la configuration remontera en erreur dans Intune.

Cette configuration pourra être ciblée sur un groupe d’appareils plus ou moins large.

En effet, dans des contextes internationaux avec une équipe d’admins qui gère un pays, on peut imaginer une configuration par pays qui sera déployée sur le groupe AAD d’appareils du pays.

Une alternative Built-In. Simple mais parfois inadaptée.

Lorsqu’un poste est joint à Azure AD, deux SID sont ajoutés systématiquement dans la base SAM. Il s’agit des SID des deux rôles Azure AD Global Administrator et Device Administrator.

Cela signifie que toute personne ayant ces deux rôles est par défaut administrateur.trice des postes. Une solution peut être d’assigner ces deux rôles aux admins souhaités.

Cette solution, bien que native d’Azure AD, signifie toutefois que les administrateurs assignés au rôle Device Administrator sont administrateurs de TOUTES les machines de l’annuaire. Un modèle qui conviendra aux plus petits contextes mais qui, dès lors que l’on parle d’une réelle délégation détaillée, rencontrera des limites de sécurité notamment.

Si on opte pour la première méthode, supprimer ces deux SID peut s’avérer pertinent.

Conclusion

Que ce soit avec une approche permettant la délégation ou bien une approche native d’Azure AD, la gestion des admins locaux est une question à laquelle le Modern Management peut répondre. Le faire à travers Intune ou Azure AD permet d’enfin adresser cette problématique aux postes en workgroup par exemple qui jusque-là étaient épargnés des GPO. On a désormais un management des admins locaux centralisé pour tous !

Remote Help est une application qui permet de prendre la main sur un poste utilisateur au sein d’une même organisation, qu’il soit enrôlé dans Intune ou non.

Sachez que l’application est actuellement en preview gratuite.

Pour disposer de Remote Help, quelques prérequis sont nécessaires :

• avoir le système d’exploitation Windows 10 ou Windows 11,
• Remote Help doit être installé au préalable sur les deux postes (celui qui requiert l’assistance et celui qui offre son assistance),
• la personne qui prend la main doit être School Administrator, Help Desk Operator, Intune Administrator ou faire partie d’un Custom Intune Role.

Les fonctionnalités de Remote Help sont les suivantes :

• affichage et contrôle à distance,
• accès administrateur avec élévation de privilèges,
• support par Internet,
• création de rapports d’audit.

Mise en place de la fonctionnalité sur un tenant Intune

Se connecter sur Endpoint Manager : Tenant Administration > Connectors and Tokens > Remote Help et sélectionner Enable et Allowed (si vous voulez prendre la main sur des devices non enrôlés dans Intune).

Vérification des rôles :

Allez sur Tenant Administration > Roles

Le rôle Help Desk Operator Built-in octroie par défaut les droits de prise en main à distance aux rôles School Administrator, Help Desk Operator et Intune Administrator.

Pour des raisons de sécurité (d’autres droits que le Remote Help étant octroyés par défaut), il est conseillé de créer un Custom Intune Role spécialement pour la Remote Help App.

Pour cela, il faut créer un groupe Azure AD qui contiendra les users autorisés à utiliser la Remote Help App.

Pour créer le Custom Intune Rôle, allez dans Tenant Administration > Roles et sélectionnez Create :

Dans Permissions :

Dans le nouveau Custom Intune Role, il va falloir assigner le rôle à un groupe AD Azure en sélectionnant Assign :

Ensuite donner un nom à l’assignment :

Puis sélectionner le groupe d’utilisateur assigné à ce rôle :

Et enfin, le scope concerné par la future assistance via Remote help App :

Déploiement de l’application Remote Help App via Intune

Après avoir paramétré les rôles et les assignements dans Intune, il faut déployer l’application Remote Help App sur les postes users.

Télécharger l’application  https://aka.ms/downloadremotehelp

Création du package Windows app (Win32) en utilisant IntuneWinAppUtil.exe

Prise en main à distance via Remote Help App

Lancer l’application Remote Help sur son computer, s’authentifier en faisant Sign In :

Après s’être authentifié, on peut choisir de recevoir de l’aide ou d’en fournir.

Pour fournir de l’aide, il suffit de cliquer sur Get a security code pour ensuite fournir le code à l’utilisateur.

Dès que l’utilisateur rentrera le code, l’administrateur aura le choix de demander à prendre la main ou à voir l’écran de l’utilisateur.

L’utilisateur devra ensuite donner ou non son autorisation.

Le message ci-dessous peut alors apparaitre si le device ne respecte pas les règles de compliance. Cela n’empêche en aucun cas de continuer la prise en main à distance.

Lorsque que la session est établie, plusieurs options sont disponibles pour interagir avec l’utilisateur.

Reporting et audit de Remote Help App

Il est tout à fait de monitorer l’utilisation de Remote Help dans la console Intune.

Vous pouvez également faire des exportations d’audits de session Remote Help.

Comparaison des solutions alternatives à Remote Help d’Intune

Remote Help est actuellement l’outil de prise en main à distance comptant le moins de fonctionnalités, comparé aux outils déjà présents sur le marché. Remote Help étant encore en phase de développement, nous pouvons compter sur Microsoft pour que l’outil puisse s’aligner sur ses concurrents.

Du coté pricing, Remote Help est actuellement accessible pour les détenteurs de licences M365 E3 et E5. Toutefois, Microsoft annonce un coût supplémentaire pour la sortie officielle du produit.

Pour conclure, Remote Help est un outil de prise en main à distance parmi un large panel de solutions équivalentes. Microsoft a su répondre aux besoins de ses clients en proposant une solution simple et efficace. Si vous gérez vos postes de travail via Intune et que vous souhaitez implémenter une solution de téléassistance sur votre parc informatique, Remote Help est une solution à envisager.

Cela vous permettra, une fois de plus, de centraliser la gestion de vos terminaux sur un seul et même portail sécurisé.

En utilisant les attributs customisés (ou custom attributes), les équipes IT vont pouvoir réaliser un inventaire plus approfondi. Les possibilités sont énormes pour ne pas dire infinies.

Qu’est-ce qu’un custom attributes ?

Grossièrement, un custom attribute est le résultat final, l’output, d’un script bash exécuté sur un appareil MacOS. Powershell est reconnu pour être notre meilleur ami, bash a lui aussi de nombreuses forces.

En exécutant une commande bash sur un appareil MacOS, il est possible d’obtenir tout ce dont vous désirez savoir sur le poste. Et c’est cet output qu’est le custom attributes.

Comment ?

La première chose à avoir en tête est: qu’est-ce que vous souhaitez collecter ?

Souhaitez-vous connaître quels sont les admins locaux de vos appareils ? L’état de la batterie ? Qui est actuellement connecté sur la session ? Ou bien lire des fichiers de logs, l’état des pare-feux ? À vous d’en décider.

Les possibilités sont nombreuses. Une fois que l’objectif est dessiné, il suffit maintenant de trouver la ou les commandes bash pour arriver à vos fins.

Dernière étape en fin de script bash, stocker l’output de la commande dans une variable. Il suffira d’« echo » la variable et le tour est joué.

Voilà un exemple simple pour lister les administrateurs locaux avec un peu de formatage d’affichage.

Où dans la console Intune ?

Ici.

Upload et déploiement du script

Cliquez sur le bouton « Add » et donnez un nom à votre custom attribute.

Choisissez le type de variable que vous avez « echo ». C’est un peu plus délicat pour ce qui est des dates, je conseille d’aller voir sur le site de Microsoft leurs recommandations sur le sujet ici.
Libre à vous ensuite de l’assigner à vos users ou à vos appareils.

Résultat

Voici donc l’inventaire des admins locaux d’un des appareils sur lequel le script a été déployé.

Il est évidemment possible de coupler cela avec MS Graph et tout autre process d’automatisation ou dans des reporting custom tiers (validé avec Azure Devops).

Note : j’ai parfois rencontré une erreur « unknown » lors du déploiement, souci répertorié par Microsoft. Une synchronisation manuelle depuis le portail et localement ont résolu l’erreur.

Note Bis : selon la documentation de Microsoft (et ça semble être le cas d’après ce que j’ai observé), les custom attributes s’exécutent automatiquement toutes les 8 heures.

Échantillons de scripts « clés en mains »

Il y a quelques temps, je suis tombé sur un projet Github dans lequel plusieurs scripts bash sont partagés. Il y en a pour divers objectifs et prêts à être déployés.

Il s’agit là d’une bonne base pour commencer, libre à chacun de les améliorer ou de concevoir les siens.

J’ai trouvé d’ailleurs très intéressant d’utiliser la fonctionnalité « Information Système » avec la commande « system_profiler » tel que : system_profiler SPCameraDataType

Que ce soit dans un objectif de maîtrise du parc ou dans un souhait de déployer une application basée sur un critère hardware, l’inventaire est un souhait cher aux entreprises. 
À travers les custom attributes, ces entreprises peuvent désormais avoir un inventaire approfondis de leurs appareils MacOS qui ne sont pas en reste de leurs compagnons Windows.

Bienvenu dans le monde moderne !

Seulement voilà, vous devez tout de même pouvoir imprimer vos documents sur l’imprimante reseau qui trône dans votre service.

Comment faire pour que vos utilisateurs puissent avoir cette imprimante installée sur leur machine en un seul clic, voire automatiquement en arrière-plan ?

La solution importer les Pilotes et un script d’installation dans une Win32App dans Intune et utiliser le « Company Portal » (Portail d’entreprise) pour le mettre à disposition de vos utilisateurs.

Les Pilotes et le script PowerShell

PowerShell va nous aider à installer cette imprimante, mais avant tout il faut récupérer les pilotes que nous souhaitons installer sur nos machines.

Pour cela rien de plus simple, il suffit de les récupérer sur le site de l’éditeur, et d’en retirer les fichiers qui nous intéressent.

Dans notre exemple, nous allons installer une imprimante CANON Image Runner Advance C3520i

Les pilotes sont à télécharger ici.

De ces derniers seuls nous intéresse le pilote PCL destinés aux machines 64 bits

De l’exécutable téléchargé il faut récupérer les fichiers *.cat, *.inf et *.cab qui nous concernent…

…et les disposer dans un répertoire qui contiendra notre package.

C’est dans le Fichier *.INF que vous trouverez le nom du Pilote qu’il faudra renseigner dans votre script :

Passons à présent à notre Script d’installation/Désinstallation.

Ce dernier aura pour fonctions :

• Installation
  • D’importer les Pilotes dans le « driver Store » de Windows grâce à l’outil Pnputil.exe, nativement disponible dans votre système.
  • Installer le pilote d’impression précédemment importé
  • Créer le port IP qui sera utilisé pour communiquer avec l’imprimante
  • Ajouter l’imprimante dans les périphériques de la machine
  • Activer quelques options sur la configuration de l’imprimante.
• Désinstallation
  • Suppression de l’imprimante sur la machine
  • Suppression du port IP
  • Désinstallation des Pilotes

Et bien sûr chaque étape est enregistrée dans un fichier de LOG sur la machine (c:\windows\temp)

Il est à noter que l’utilisation du répertoire virtuel « SYSNATIVE » est indispensable pour que la commande PNPUTIL.EXE s’exécute correctement car le package s’exécutera en 32bits sur les machines 64bits

#—————————————————————————————
## PARAMETER ##
#——————————————————————————————

PARAM (
    [Parameter(Mandatory=$true)][validateset (« Install », »Uninstall »)]$Action= »Install »
)

#—————————————————————————————
## INIT ##
#—————————————————————————————

#Fichier de log.

$global:logfile = $env:SystemRoot+ »\temp »

$DriverName= « Canon Generic Plus PCL6 »

$PrinterName= « Canon C3520i Paris Siege »

$IPPort_address= « XXX.XXX.XXX.XXX »

$IPPort_Name   = « IP_ »+$IPPort_address

#—————————————————————————————
## FUNCTIONS ##
#—————————————————————————————

#region Function

#Supression des caracteres LAtins dans les chaines de caractère

Function Remove-StringLatinCharacters

{
    PARAM ([string]$String)
    [Text.Encoding]::ASCII.GetString([Text.Encoding]::GetEncoding(« Cyrillic »).GetBytes($String))
}

#Creation du fichier de log.

Function new-log

 {

   #Verifier le chemin.
   $logdir = $global:logfile # récupere le chemin où se trouve le script
   $pathr = Test-Path $logdir
   if ($pathr -ne « True ») { $rtn = New-Item -ItemType directory -Path $logdir -Force }

   #Créer le dossier de logs.

   $global:logfile = $logdir + « \ » + [string](Get-Date -UFormat « %Y%m%d ») + « -install-$($PrinterName.replace(‘ ‘,’_’)).log »

   $pathr = Test-Path $global:logfile

   if ($pathr -ne « True »)

     {

       #Créer le fichier de log.

       $rtn = New-Item -ItemType file -Path $global:logfile -Force

       #Ecrire l’évenement dans le log.

       add-log « Script » « INFO » « Creation automatique du fichier de log. »

     }

 }

#Enregistre une information dans le fichier de log.

Function add-log

 {

   [CmdletBinding()]

   PARAM (

           [Parameter(Mandatory=$true)][string] $li_source,

           [Parameter(Mandatory=$true)][string] $li_type,

           [Parameter(Mandatory=$true)][String] $li_message

         )

   #suppression des accents du message

   $li_message = Remove-StringLatinCharacters $li_message

   #Ecriture dans le fichier de log.

   Add-Content -Path $global:logfile -Value ([string](Get-Date -UFormat « %d/%m/%Y-%H:%M:%S ») +  » :  » + $li_source +  » –  » + $li_type+ » –  » + $li_message)

   #Debug.

   #Write_Debug ($li_source +  » –  » + $li_type+ » –  » + $li_message)

 }

#endregion

#—————————————————————————————
## MAIN ##
#—————————————————————————————

new-log

add-log « INIT » « INFO » « !——————————————————-! »

Switch ($Action)

{

« Install »

            {

                    add-log « Install » « INFO » « Import des Drivers: $DriverName dans le store systeme »

                    #region Import Driver

                    try

                    {

                        $pnputilresult=Invoke-Command {& cmd /c ‘C:\Windows\SysNative\pnputil.exe /add-driver x64\*.inf’}

                        add-log « Install » « INFO » « $pnputilresult »

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « PNPUTIL » « ERROR » « Import Driver : $ErrorMessage »

                    }

                    #endregion

                    #region Install Driver

                    try

                    {

                        if (Get-PrinterDriver -Name $DriverName -ErrorAction SilentlyContinue)

                        {

                            add-log « Driver-Check » « WARNING » « Le driver $DriverName existe deja »

                        }

                        else

                        {

                            add-log « Driver-Check » « INFO » « Le driver $DriverName n’existe pas! »

                            add-log « Install » « INFO » « Installation des Drivers: $DriverName »

                            Add-PrinterDriver -Name $DriverName -ErrorAction SilentlyContinue

                        }

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « ADD Printer Driver » « ERROR » « Installation des drivers : $ErrorMessage »

                    }

                    #endregion     

                    #region Printer Port creation

                    try

                    {

                        $GPP=Get-PrinterPort -Name $IPPort_Name -ErrorAction SilentlyContinue

                        if(($GPP.name -eq $IPPort_Name) -and ($GPP.printerHostAddress -eq $IPPort_address))

                        {add-log « Install » « WARNING » « Le port $IPPort_Name existe deja »}

                        if(($GPP.name -eq $IPPort_Name) -and ($GPP.printerHostAddress -ne $IPPort_address))

                        {

                            add-log « Install » « WARNING » « Le port $IPPort_Name existe deja, mais l’adresse $($GPP.printerHostAddress) ne correspond pas à $IPPort_address »

                            add-log « Install » « WARNING » « Suppression du port $IPPort_Name existant »

                            Remove-PrinterPort -Name $IPPort_Name

                            Start-Sleep 10

                            add-log « Install » « INFO » « Creation du port IP: $IPPort_Name »

                            Add-PrinterPort -Name $IPPort_Name -PrinterHostAddress $IPPort_address

                            #Add-PrinterPort -Name $IPPort_Name -PrinterHostAddress $IPPort_address -SNMP 0 -SNMPCommunity « public »

                         }

                        if(!$GPP)

                        {

                            add-log « Install » « INFO » « Creation du port IP: $IPPort_Name »

                            Add-PrinterPort -Name $IPPort_Name -PrinterHostAddress $IPPort_address

                            #Add-PrinterPort -Name $IPPort_Name -PrinterHostAddress $IPPort_address -SNMP 0 -SNMPCommunity « public »

                            Start-Sleep 10

                        }

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « ADD PRINTER PORT » « ERROR »  » $ErrorMessage »

                        break

                    }

                    #endregion

                    #region Add Printer

                    try

                    {

                        $GP=Get-Printer -Name $PrinterName -ErrorAction SilentlyContinue

                        if(($GP.name -eq $PrinterName) -and ($GP.PortName -eq $IPPort_Name) -and ($GP.DriverName -eq $DriverName))

                        {

                            add-log « Install » « Warning » « L’imprimante $PrinterName, sur le port $IPPort_Name, avec le driver $DriverName Existe deja »

                        }

                        else

                        {

                            if($GP)

                            {

                                add-log « Install » « Warning » « L’imprimante $PrinterName existe deja mais avec le mauvais port ou driver »

                                add-log « Install » « Warning » « Suppression de l’imprimante $($GP.name) »

                                Remove-Printer -Name $PrinterName

                                Start-Sleep 10

                            }

                            add-log « Install » « INFO » « Ajout de l’imprimante : $PrinterName »

                            Add-Printer -Name $PrinterName -PortName $IPPort_Name -DriverName $DriverName

                        }

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « ADD PRINTER » « ERROR »  » $ErrorMessage »

                    }

                    #endregion

                    #region Custom Printer

                    try

                    {

                        $wmiprt = Get-CimInstance win32_printer -filter « name=’$PrinterName' » -ErrorAction SilentlyContinue

                        if(!$wmiprt.DoCompleteFirst)

                        {

                            add-log « Install » « INFO » « Ajout paramètre avancé ` »Imprimer d’abord les documents dans le spouleur` » »

                            $wmiprt.DoCompleteFirst = $true

                            Set-CimInstance $wmiprt

                        }

                        else

                        {

                            add-log « Install » « Warning » « L’imprimante $PrinterName, paramètre avancé ` »Imprimer d’abord les documents dans le spouleur` » deja actif »

                        }

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « CUSTOM PRINTER » « ERROR »  » $ErrorMessage »

                    }

                   #endregion

            }

« Uninstall »

            {

                    add-log « Uninstall » « INFO » « suppression de l’imprimante : $PrinterName »

                    #region REMOVE Printer

                    try

                    {

                        Remove-Printer -Name $PrinterName -ErrorAction SilentlyContinue

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « REMOVE PRINTER » « ERROR »  » $ErrorMessage »

                    }

                    #endregion

                    add-log « Uninstall » « INFO » « suppression du port  : $IPPort_Name »

                    #region REMOVE Printer PORT

                    try

                    {

                        Remove-PrinterPort -Name $IPPort_Name -ErrorAction SilentlyContinue

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « REMOVE PRINTER PORT » « ERROR »  » $ErrorMessage »

                    }

                    #endregion

                    add-log « Uninstall » « INFO » « suppression du Driver  : $DriverName »

                    #region REMOVE Printer DRIVER

                    try

                    {

                        Remove-PrinterDriver -Name $DriverName -ErrorAction SilentlyContinue

                    }

                    catch

                    {

                        $ErrorMessage = $_.Exception.Message

                        add-log « REMOVE PRINTER PORT » « ERROR »  » $ErrorMessage »

                    }

                    #endregion

            }

}

add-log « Main » « INFO » « Fin de traitement! » 

Il faut maintenant enregistrer notre script dans le répertoire contenant déjà les fichiers de notre Pilote.

En lui donnant un nom explicite : install-printer.ps1

On peut aussi y ajouter une petite image qui nous servira d’icone dans notre portail d’entreprise.

Reste maintenant à créer notre package Intune.

Création du package pour Intune

Pour cela vous allez avoir besoin de télécharger l’utilitaire qui va vous permettre de transformer votre Répertoire (les sources de votre package) en un fichier exploitable par Intune. Cet utilitaire est IntuneWinAppUtil.exe que vous pourrez trouver ici.

Pour la suite il suffit d’ouvrir une invite de commande (en tant qu’administrateur si possible) et d’exécuter la commande suivante :

IntuneWinAppUtil.exe -c <Chemin complet vers votre répertoire contenant vos sources> -s <Chemin complet vers votre script ou exécutable> -o <Chemin complet vers le répertoire ou sera sauvé votre package>

Voici un exemple de commande :

IntuneWinAppUtil.exe -c C:\TEMPO\intune-pckg\Printer-IRC3520\sources -s C:\TEMPO\intune-pckg\Printer-IRC3520\sources\Install-printer.ps1 -o C:\TEMPO\intune-pckg\Printer-IRC3520

S’il existe déjà un package portant le même nom dans votre répertoire de destination, l’outil vous demandera si vous souhaitez l’écraser ou non.

Et voilà votre package est prêt.

Maintenant il faut l’importer dans Intune et configurer le déploiement.

Import du package dans Intune

Maintenant tout se passe dans votre portail Endpoint manager.

Il faut bien sûr avoir un compte disposant des droits suffisants :

Intune Adminstrator ou Global Administrator

Et suivez les étapes suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\Canon C3520i Paris Siege

value: blank

key exists

La gestion des supersédence est en preview et n’a pas encore été testée.

Cette fonction doit permettre, lors d’une évolution de l’application, de définir l’application qui devra être remplacée par votre application et gérer sa désinstallation avant d’installer votre version.When you supersede an application, you can specify which app will be updated or replaced. To update an app, disable the uninstall previous version option. To replace an app, enable the uninstall previous version option. There is a maximum of 10 updated or replaced apps, including references to other apps. For example, your app references another app. This other app references other apps, and so on. This scenario creates a graph of apps. All apps in the graph count toward the maximum value of 10. Learn more

Votre Application est presque prête.

Il faut à présent gérer les Assignations. C’est-à-dire qui aura le droit d’installer l’application via son « Company Portal », qui verra l’application automatiquement installée sur sa machine en arrière-plan et qui se verra désinstaller l’application.

Pour cela il faudra créer au préalable des groupes contenant les utilisateurs qui seront ciblés par chacune des actions

Ne reste plus qu’à valider et attendre que votre Package soit complétement chargé dans Intune.

Installation via Company Portal

Sur les machines Windows, il suffit de lancer le company portal (ou Portail d’entreprise)

Les Machine jointes à Azure et enrollées dans Intune ont automatiquement cette application installée.

Vous retrouverez votre application dans le portail et ne vous restera plus qu’à cliquer pour l’installer

Voilà votre imprimante est installée

Limitation

Il n’était jusqu’à récemment pas possible de désinstaller une application via le Company Portal. Un UserVoice avait été créé pour demander à Microsoft de corriger ce manque, et les contributions ont porté leurs fruits : depuis la mise à jour de juillet 2023, Microsoft permet désormais aux utilisateurs de désinstaller les applications déployées en mode « available » dans le Company Portal.

Ça y est, la volonté d’aller vers la solution cloud Intune pour gérer l’ensemble des appareils est définie clairement. Se pose alors la question d’où commencer. Pour y voir plus clair, se pencher sur les méthodes de jonction à Azure est une première étape. Puis, il sera ensuite pertinent de s’interroger sur la stratégie long terme de gestion des appareils. 

Dans cet article, sont détaillés les enjeux stratégiques et techniques de la jonction Azure AD. Puis ce sera la jonction Hybrid Azure AD qui sera analysée permettant d’être à mi-chemin entre Active Directory et Azure. 

La jonction à Azure, qu’elle soit Azure pure ou Hybride, est la manière par laquelle les appareils (et utilisateurs) vont arriver dans le tenant et par conséquent dans Intune. Cela est déterminant dans la future gestion des machines. 

L’Azure AD Connect

Avant de réaliser une jonction d’appareils à Azure, c’est bien les équipes Identité qui vont se charger de configurer le connecteur Azure AD Connect. 

Le connecteur va permettre de basculer les objets machines et/ou utilisateurs de l’AD vers Azure. Voici un zoom sur le fonctionnement du connecteur. 

Quelque soit la stratégie adoptée de jointure à Azure, le prérequis est bien d’avoir l’ensemble de ses objets Active Directory sur Azure. Ceci afin qu’utilisateurs, groupes, ou machines, puissent interagir les uns avec les autres. 

Concrètement, une fois Intune mis en place, il ne sera possible de déployer une application ou des configurations à l’utilisateur seulement si ce dernier et son appareil sont tous deux dans Azure. 

Les options de configuration du connecteur sont nombreuses. Aussi, il est bon d’avoir une idée claire de quelle jonction d’appareils choisir. 

La jonction Azure AD de l’appareil

Dans un contexte d’un domaine on-premise, la jonction au domaine est réalisée généralement lors de la masterisation du poste. Que cela se réalise dans une séquence de tâches ou autre, il faut nécessairement être en contact avec le contrôleur de domaine (DC) et dans le réseau d’entreprise. Une fois son poste reçu, l’utilisateur final se connecte pour la première fois avec son compte AD, recevant ainsi ses GPO, souvent nombreuses. 

L’Azure AD (AAD Join) peut lui se réaliser avec une simple connexion internet. En effet, il n’est pas nécessaire d’être dans le réseau d’entreprise permettant plus de souplesse pour l’utilisateur final et l’IT locale. 

L’AAD join peut se réaliser de plusieurs manières : 

• À travers l’OOBE Windows 10 (Out of the box expérience) 
• « Add a work or school account » dans les paramètres 
• Enrôlement de masse par PPKG 

• Autopilot 

L’OOBE reste la meilleure méthode de jonction pour les nouveaux postes puisque permet de partir d’une base vierge. 

C’est lors de l’étape ci-dessus que l’utilisateur finale va renseigner son compte d’entreprise. Cela nécessite que son compte AD ait été préalablement synchronisé sur Azure grâce à l’Azure AD Connect. Son poste quant à lui n’est à ce moment-là pas connu ni par l’AD, ni par Azure. 

Et oui, c’est bien l’utilisateur final qui réalise la jonction. C’est parce que le poste a été joint par ce dernier qu’il va lui être associé et pourra récupérer plus tard ses applications ou profils de configurations Intune. 

« Et si je n’ai pas d’Active Directory On Premise? »

Eh bien c’est encore plus simple, il suffit que l’utilisateur ait une identité dans Azure (c’est à dire un compte office 365 généralement) et cela lui permettra de joindre son appareil en fonction de la méthode retenue. 

Cela présente aussi l’avantage de ne pas avoir à se préoccuper de la transition entre mode on Prem/hybride et full cloud. 

Ce scenario peut sembler rare mais c’est le cas de beaucoup d’entreprises de petite taille ou taille moyenne qui n’avaient jusque-là pas d’environnement centralisé. On pense aussi aux cas de filiales de grandes entreprises qui vivaient dans un écosystème à part en mode Workgroups. 

« Mais alors, est-ce que tous nos utilisateurs peuvent réaliser un AAD Join ? Sur n’importe quelle machine ? « 

Oui ou non. 

C’est l’entreprise qui décidera quels sont les utilisateurs ou groupes pouvant réaliser un Azure AD Join dans les paramètres du tenant Azure : 

On peut aussi ajouter au processus de jonction Azure du MFA (Multi-Factor Authentication). Que ce soit celui de Microsoft ou celui d’un autre éditeur, cela ajoute une couche de sécurité supplémentaire obligeant l’utilisateur à avoir son téléphone auprès de lui pour valider l’opération. 

Une limite d’appareils par utilisateur peut elle aussi être mise en place pour éviter un flood potentiel de jonction de machines. 
 

Quant à l’autorisation de l’appareil en lui-même, il est possible mais pas obligatoire, de combiner l’AAD Join, l’enrôlement dans Intune et l’Autopilot. Ceci afin d’ajouter un « trust » sur l’appareil en l’autorisant spécifiquement à se joindre à Azure (grâce à son hardware hash). Un procédé impliquant davantage de changement, puisqu’il nécessite de revoir toute la chaine d’approvisionnement des appareils avec le constructeur qui autorisera lui-même au préalable les appareils. 

Le poste est maintenant joint à Azure. L’enrôlement dans Intune arrive lui dans un second temps et est détaillé dans le prochain article qui suivra. 

Cet état d’Azure joined pur va permettre aux utilisateurs de bénéficier du SSO « seulement » sur les applications fédérées sur Azure ainsi que d’être gérés pleinement et exclusivement sur Intune. Et cela, sans avoir contacté une fois le DC ou même avoir été sur le réseau d’entreprise. 

Une stratégie apportant du changement il est vrai, mais aussi une souplesse non négligeable au management par les équipes IT mais aussi à l’utilisateur, surtout dans la période de télétravail actuelle. 

Hybrid Azure AD

L’Hybrid Azure AD (HAAD) est une autre méthode de jonction à Azure. Cela permet au poste d’être à la fois présent dans l’AD, de bénéficier des GPO et autres mécanismes AD tout en étant sur Azure. Une stratégie séduisante permettant d’avoir le meilleur des deux mondes mais aussi le pire. 

Cet état d’entre-deux permet de bénéficier des bons côtés du domaine tels que les imprimantes, les partages réseaux, le SSO sur certaines applications legacy, les points de distribution, etc. 

Toutefois il y a aussi des aspects dont l’entreprise pourrait aimer se passer. On pense aux lourdes GPO obscures, la nécessité du VPN, les applications vieillissantes, les serveurs WSUS, le coûteux MPLS, les partages réseaux pas encore sur Sharepoint, et d’autres encore. 

Il est aussi important de noter que pour que la jonction Hybrid puisse se finaliser, l’utilisateur finale doit se loguer sur sa session Windows avec son compte AD en étant en contact avec le DC, sans quoi l’appareil ne pourra être associé à l’utilisateur. Oublions donc la migration des postes existant s’ils ne sont pas sur site en contact avec le DC. 
 

En Somme

La jonction HAAD permet de migrer les postes existants de manière transparente pour l’utilisateur final puisqu’une simple connexion à sa session suffira à terminer l’opération. 

 Toutefois le HAAD n’est pas nécessairement obligatoire si la majorité de l’environnement est déjà ouvert sur le cloud (O365 suite, Windows Updates, OneDrive, imprimantes cloud, applications pouvant être fédérées, télétravail important, etc). L’AAD peut répondre pleinement aux besoins des entreprises. 

La jonction AAD implique plus de changement il est vrai. Elle offre une approche plus moderne mais aussi plus franche.  

Certains y verront en cette transition une opportunité de se renouveler pleinement en joignant par exemple exclusivement les nouveaux postes en AAD Join et c’est au fil du renouvellement du parc que toutes les machines passeront sur Azure.  

Ou bien il est aussi envisageable de réserver l’AAD Join pour les postes en workgroup, de mettre en œuvre le HAAD pour les postes existants du domaine si la transition doit se faire plus en douceur. 

La jonction de l’appareil dans Azure étant présentée, l’enrôlement dans Intune sera détaillé dans le prochain article. 

De plus trouver rapidement la tâche qui s’est exécuté en erreur n’est pas toujours chose aisée.

Toutefois il existe une fonctionnalité, native de la console, qui est souvent sous-exploitée et pourtant bien utile : Les « Status Message queries »

Vous les trouvez dans la zone « Monitoring » de votre console dans la section « System Status »

La console embarque nativement toute une série de requêtes prédéfinies, mais il est aussi tout à fait possible de créer ses propres requêtes pour nous permettre de suivre le statut des tâches sur un poste client, connaitre les postes qui ont commencé une TS, connaitre les postes qui ont terminé une TS.

Connaitre les postes qui ont commencé une séquence de tâche

Pourquoi cette requête, me direz-vous ?

Tout simplement parce que lorsque vous exécutez une TS  d’installation de système et que celle-ci est déployée pour s’exécuter sur les postes inconnus, vous ne connaissez justement pas le nom du poste pour lequel vous souhaitez avoir le détail de l’exécution de la TS. Le système génère un nom de machine aléatoire de la forme : MININT-XXXXXXX

Cette requête vous permet donc de connaitre ces noms de machine.

Pour cela vous allez créer une nouvelle « Status message Query » que vous nommerez selon vos règles de nommage en vigueur.

Puis vous afficherez l’éditeur de requêtes : « Edit Query Statement…»

En préférant l’interface WQL : « Show Query Language »

Et c’est là que vous allez renseigner votre formule magique, sous la forme :

select
stat.*,
ins.*,
att1.*,
att1.AttributeTime
from  SMS_StatusMessage as stat
left join SMS_StatMsgInsStrings as ins on ins.RecordID = stat.RecordID
left join SMS_StatMsgAttributes as att1 on att1.RecordID = stat.RecordID
inner join SMS_StatMsgAttributes as att2 on att2.RecordID = stat.RecordID where att2.AttributeID = 400 and stat.MessageID = 11140
and att2.AttributeValue in ("<taskSequenceID1>","<tasksequenceID2>",…,"<tasksequenceIDn>")
and stat.SiteCode = "ABC"
and att2.AttributeTime >= ##PRM:SMS_StatMsgAttributes.AttributeTime##
order by att1.AttributeTime DESC

Bien évidemment vous remplacerez le siteCode par le vôtre et compléterez la liste des séquences de tâches que vous souhaitez cibler par les PackageID de vos TS (sous forme ABC00000)

Lorsque vous exécuterez votre Status message query (SMQ) il vous suffira de renseigner la période sur laquelle vous souhaitez collecter les informations.

Cette requête vous est utile pour récupérer le nom de la machine que vous souhaitez monitorer.

Suivre le statut des tâches d’une TS pour une machine

De la même façon que pour la requête précédente, vous allez pouvoir créer une nouvelle SMQ afin de lister le statut de chacune des étapes d’une TS d’installation système pour une machine donnée.

Cette fois-ci la requête aura la forme :

select
stat.*,
ins.*,
att1.*,
att1.AttributeTime
from  SMS_StatusMessage as stat
left join SMS_StatMsgInsStrings as ins on ins.RecordID = stat.RecordID
left join SMS_StatMsgAttributes as att1 on att1.RecordID = stat.RecordID
inner join SMS_StatMsgAttributes as att2 on att2.RecordID = stat.RecordID
where att2.AttributeID = 400
and stat.MachineName = ##PRM:SMS_StatusMessage.MachineName##
and att2.AttributeValue in ("<taskSequenceID1>","<tasksequenceID2>",…,"<tasksequenceIDn>")
and stat.SiteCode = " ABC "
and att2.AttributeTime >= ##PRM:SMS_StatMsgAttributes.AttributeTime##
order by att1.AttributeTime DESC

Bien évidemment vous remplacerez le siteCode par le vôtre et compléterez la liste des séquences de tâches que vous souhaitez cibler par les PackageID de vos TS (sous forme ABC00000)

Lorsque vous exécuterez votre Status message query (SMQ) il vous suffira de renseigner la période sur laquelle vous souhaitez collecter les informations et le nom de la machine que vous souhaitez monitorer.

Vous constaterez que les étapes en erreur sont rapidement identifiables grâce à l’icone  

Il ne vous reste plus qu’à regarder le détail de ce statut pour commencer à résoudre l’erreur.

Connaitre les postes qui ont terminé une TS

Cette requête vous permettra d’avoir la liste des machines qui ont terminé les TS que vous souhaitez monitorer sur une période de temps.

Assez utile pour avoir un aperçu de l’activité.

select
stat.*,
ins.*,
att1.*,
att1.AttributeTime
from  SMS_StatusMessage as stat
left join SMS_StatMsgInsStrings as ins on ins.RecordID = stat.RecordID
left join SMS_StatMsgAttributes as att1 on att1.RecordID = stat.RecordID
inner join SMS_StatMsgAttributes as att2 on att2.RecordID = stat.RecordID
where att2.AttributeID = 400
and stat.MessageID = 11171
and att2.AttributeValue in ("<taskSequenceID1>","<tasksequenceID2>",…,"<tasksequenceIDn>")
and stat.SiteCode = " ABC "
and att2.AttributeTime >= ##PRM:SMS_StatMsgAttributes.AttributeTime##
order by att1.AttributeTime DESC

Je suis certain que ces nouvelles SMQ vous seront très utiles pour rapidement résoudre les incidents de TS.