Microsoft Intune Suite : pricing et fonctionnalités

Sortie en mars 2023 dans sa version initiale et disponible depuis février 2024 dans sa version finale, il est temps de faire un premier bilan et de comprendre ce que Microsoft Intune Suite peut vous apporter au quotidien dans la gestion de vos périphériques. 

Qu’est-ce que Microsoft Intune Suite ?  

Microsoft Intune Suite offre un ensemble de solutions avancées dans Microsoft Intune qui permet de simplifier la gestion et la sécurisation des périphériques. 

Elle se présente sous un nouveau plan de licence (facturé par utilisateur et par mois). Nous y reviendrons un peu plus bas dans l’article. 

Ces fonctionnalités sont disponibles pour les périphériques en mode de gestion « Intune seul » ou en « Cogestion » avec Microsoft Configuration Manager. 

Nous allons désormais faire le point sur cinq des fonctionnalités majeures de cette suite. 

Quelles fonctionnalités et pourquoi ?  

Microsoft Cloud PKI 

La PKI Cloud de Microsoft est un service cloud qui simplifie et automatise la gestion du cycle de vie des certificats (distribution, révocation) pour les périphériques gérés par Intune (Windows / Mac OS / iOS / iPadOS / Android). 

Il fournit une infrastructure à clé publique (PKI) à deux niveaux (Racine / Intermédiaire) dédiée pour votre organisation qui gère l’émission, le renouvellement et la révocation des certificats automatiquement. 

Deux scénarios sont disponibles : 

• Provisionnement d’une PKI « full Cloud » géré par Microsoft (Racine et Intermédiaire) 
• Provisionnement d’une autorité de certificat intermédiaire dans Microsoft Intune tout en utilisant sa propre autorité racine locale, on parlera de « Bring Your Own Root CA » 

Les avantages sont multiples : 

• Provisionnement d’une PKI cloud en mode SAAS en quelques clics. 
• Réduction des coûts d’infrastructure et de maintenance (plus de nécessité d’avoir une PKI locale pour ces besoins, et pas besoin non plus de connecteurs). 
• Plus besoin d’infrastructure SCEP (Simple Certificate Enrollment Protocol) pour effectuer la distribution de certificats sur les périphériques gérés par Intune. 
• Gestion du cycle de vie complet du certificat. 
• Réalisation de l’authentification par certificat notamment pour accéder au réseau d’entreprise ou encore au VPN.  
• Reporting complet (Certificats actifs / expirés / révoqués / distribués) 

Un rapide coup d’œil sur un schéma d’architecture proposé par Microsoft. 

Microsoft Intune Advanced Analytics 

Microsoft Intune Advanced Analytics offre une visibilité complète sur l’expérience de l’utilisateur final et vous offre la possibilité de l’optimiser grâce à des informations basées sur les données remontées notamment par la télémétrie. 

Il est donc possible de détecter et résoudre de manière proactive les problèmes et améliorer ainsi l’expérience de vos utilisateurs et réduire également l’empreinte sur votre support informatique local. 

Grâce à cela, vous pourrez : 

• Obtenir des données en temps réel sur vos périphériques grâce à Device Query : 

Vous pourrez avoir en quelques clics et en temps réel sur un périphérique : l’état d’une clé de registre / les processus en cours d’exécution ou l’état d’un service Windows. 

• Un rapport sur l’état des batteries de votre parc informatique 

Vous pourrez notamment identifier les périphériques qui présentent des problèmes de batterie / autonomie et ainsi agir en conséquence. 

• Pour aider à résoudre un incident, une timeline détaillée de votre périphérique. 

Vous pourrez voir les derniers événements qui se sont passés tels que le démarrage et sa raison ainsi que le temps associé ou encore un écran bleu. 

• Une détection des anomalies pour aider à identifier les problématiques qui surviennent sur l’ensemble de vos périphériques. 

Vous pourrez voir les anomalies classées par sévérité comme un processus qui échoue de trop nombreuses fois sur un certains nombres de périphériques et prendre les mesures adéquates de manière proactive, comme par exemple, mettre à jour le logiciel en question ou analyser la cause. 

Vous pouvez mettre en place des règles de remédiation pro-active sur aider à la résolution des soucis remontés. 

Microsoft Intune Enterprise Application Management 

Il s’agit d’un catalogue d’applications au format « Win32 » fourni et maintenu par Microsoft et facilement accessible dans Intune.  

Lorsque vous ajoutez une application, les paramètres d’installation, de configuration et de détection sont automatiquement pré remplis. Vous pouvez modifier ces paramètres si besoin. Les sources de ces applications sont stockées dans le cloud Microsoft directement.  

Vous pouvez y trouver des applications telles que : Google Chrome / Citrix Workspace / Firefox ou encore Python. 

Les avantages sont multiples : 

• Gestion simplifiée des applications : vous pouvez gagner du temps et réduire la complexité en rationalisant le processus de gestion des applications. Cela implique aussi une baisse du coût du packaging (temps humain notamment). 
• Restez à jour : vous gardez le contrôle sur la version déployée. Lorsqu’une nouvelle version est disponible, vous pouvez l’ajouter et la déployer. 
• Liste tenue à jour par Microsoft, un formulaire de demande d’intégration d’une app est disponible.  
• Réduction des risques de sécurité et des vulnérabilités, en gardant vos applications à jour le plus possible.  
• Mettre à disposition des utilisateurs un catalogue applicatif, via le portail Entreprise Microsoft Intune et les rendre autonomes dans l’installation. 

Microsoft Intune Endpoint Privilège Management 

Endpoint privilège Management autorise un utilisateur cible à exécuter une application avec des privilèges administrateurs sans avoir le besoin d’être administrateur local de son périphérique.  

Les tâches qui nécessitent couramment des privilèges d’administration sont par exemple les installations ou mises à jour d’applications tierces qui ne rentre pas dans le cadre d’une gestion par l’entreprise. 

Les utilisateurs qui possèdent initialement des privilèges standards peuvent être temporairement promus au statut d’administrateur pour des tâches spécifiques et approuvées par l’administrateur, conformément aux politiques de l’entreprise. Cette approche vise à améliorer la productivité tout en renforçant la sécurité. 

Il s’agit là d’une formidable avancée au niveau sécurité du Poste de Travail. 

Comment cela fonctionne ? L’administrateur créé une règle en définissant notamment les informations de l’exécutable autorisé à être exécuté avec des privilèges administrateurs. (L’exécutable est identifié grâce à son nom et son hash, il est donc impossible de tricher 😊).  

Le mode d’élévation doit également être précisé, c’est-à-dire qu’une justification « business » ou une demande d’authentification sera requise pour chaque exécution avec des privilèges élevés. 

Dernièrement un workflow « Exiger l’approbation du support » est venue compléter l’offre.  

Les avantages sont multiples : 

• Sécurisation et entrée dans une démarche « Zero Trust » du poste de travail.  
• L’utilisateur n’est plus administrateur de son poste.  
• Les droits d’administration sont délégués sur un exécutable défini et identifié par l’administrateur. 
• Une intégration totale dans Windows. 
• Un reporting complet sur la fonctionnalité. 

Remote Help 

Remote Help est une solution cloud de prise en main à distance sécurisée et intégrée nativement à Microsoft Intune. Il est possible de prendre la main sur un périphérique enrôlé (ou non).

Cette solution est disponible (pour le moment) sur les environnements Windows / MacOs et Android en mode « Appareil dédié ». 

Elle offre notamment : 

• Le contrôle d’accès basé sur les rôles (RBAC) pour la gestion d’accès à la solution (possibilité de ne pas autoriser l’UAC pour un certain type de techniciens par exemple).
• La gestion de l’élévation des privilèges (UAC) lors de la prise en main à distance (tous les outils ne le font pas).
• L’intégration avec la gestion de conformité Microsoft Intune (savoir à travers cet outil et lors de la prise en main si le poste est conforme ou non).

Les avantages sont multiples : 

• Outil intégré directement dans la console de gestion Microsoft Intune. 

• Intégration SSO avec Entra ID pour la connexion à l’outil Remote Help sur un périphérique. 
• Gestion de la conformité, affichage d’un avertissement lorsque le technicien se connecte sur un poste non-conforme. 
• Support de l’UAC, messagerie instantanée, pointeur laser. 
• Reporting complet (qui a pris la main sur quoi et à quel moment par exemple) 

Nous avons désormais fait le tour sur les 5 fonctionnalités majeures de la Microsoft Intune Suite. 
À savoir que d’autres fonctionnalités sont disponibles comme : 

• Microsoft Intune Firmware-Over-The-Air (FOTA) updates : gestion des mises à jour des firmwares des appareils pris en charge comme Zebra. 
• Microsoft Intune Tunnel for Mobile Application Management : intégration de Microsoft Tunnel (VPN) pour des périphériques Android et iOS non inscrits (à travers le MAM).
• Microsoft Intune Management of Specialty Devices : la gestion spécialisée des appareils est un ensemble de fonctionnalités de gestion, de configuration et de protection des appareils spécifiques, tels que les casques AR/VR ou les appareils de salle de réunion. 

Microsoft Intune Suite : quels coûts ?  

Microsoft Intune Suite est disponible en tant que module complémentaire payant pour les clients qui ont notamment les licences suivantes : Microsoft 365 E3, E5 ou Enterprise Mobility + Security E3 et E5. 

Plans d’abonnement Intune 

Microsoft Intune Plan 1 : les principales fonctionnalités de Microsoft Intune sont incluses dans les abonnements Microsoft 365 E3, E5, ou Enterprise Mobility + Security E3 et E5 et les plans Business Premium. 

Vous pouvez étendre les fonctionnalités de votre plan Microsoft Intune P1 à l’aide des modules complémentaires suivants : 

Microsoft Intune Plan 2 : un module complémentaire de Microsoft Intune Plan 1 avec des fonctionnalités avancées de gestion des périphériques. Microsoft Intune Plan 2 fait partie de Microsoft Intune Suite. 

Microsoft Intune Suite : comprends Microsoft Cloud PKI, Microsoft Intune Remote Help, Microsoft Intune Endpoint Privilège Management, Microsoft Intune Tunnel for Mobile Application Management, Microsoft Intune management of Specialty Devices et Microsoft Intune Advanced Endpoint Analytics dans Microsoft Intune. Un abonnement à Microsoft Intune Plan 1 est nécessaire. 

Voici un tableau récapitulatif regroupant les coûts par plan de licence : 

Il s’agit là d’un prix public par mois et par utilisateur. 

Les modules tels que Remote Help ou Cloud PKI sont disponibles en « module complémentaire » au plan 1 aux prix respectifs de 3,30€HT et 1,87€HT.

Pour en savoir plus : Offres et prix de Microsoft Intune 

En résumé

Microsoft Intune Suite est une solution complète qui vient étoffer et compléter Microsoft Intune. 

Les différents modules disponibles permettent entre autres d’améliorer la gestion des périphériques, d’accroître leur sécurisation et d’avoir une visualisation complète de l’état de santé de son parc informatique. 

Pour les organisations ayant une optique « cloud first », elle permet aussi de poursuivre cette transformation grâce à la fonctionnalité « Cloud PKI » qui peut venir en remplacement (ou en partie) d’une infrastructure PKI interne. 

Nul doute que Microsoft continuera à faire évoluer cette suite dans les mois à venir et ainsi conforter sa place de leader dans la gestion des périphériques. 

Microsoft Intune Suite est un investissement dans l’avenir de la gestion et de la sécurité des périphériques de votre organisation. 

Pour aller plus loin

Article – MDM : pourquoi choisir Microsoft Intune ?

Article – Windows Autopilot et Microsoft Intune : une gestion moderne des appareils

Article – Microsoft Intune : convention de nommage des objets

Article – MAM ou MDM : comment gérer les mobiles d’entreprise ?