MDM : pourquoi choisir Microsoft Intune ?

Temps de lecture : 8 mins
Pourquoi Intune
Tom Machado Expert Technique Modern Workplace
11 février 2023

Quand se pose la question du modern management, Intune de Microsoft semble s’imposer comme LA solution de gestion d’appareils (MDM). Cet article a vocation à exposer un humble point de vue sur les raisons de ce constat. 

À quoi sert Intune ? 

Intune est un outil de MDM (Mobile Device Management). A ce titre, il permet : 

En complément, Intune permet la gestion d’applications mobiles (Mobile Application Management, ou MAM) et ainsi sécuriser les données de l’entreprise.

Gérez l'ensemble de vos appareils mobiles avec Intune

Intune et Azure AD 

Intune s’appuie sur l’Azure Active Directory (AAD). Plus qu’un simple annuaire dans le cloudil centralise la gestion des identités, des applications SaaS ou encore l’accès aux ressources internes/externes, potentiellement sécurisées par des politiques d’accès conditionnel. 

L’appareil quant à lui est joint dans un premier temps dans l’AAD (Azure AD Join ou Hybrid Azure AD Join). L’automatic enrollment se charge de l’enrôler dans Intune. 

Tous les appareils présents dans l’AAD ne sont pas nécessairement gérés par Intune. Ils doivent correspondre aux critères établis par le client (appartenance aux groupes, licences, version d’OS, …) ou même avoir été préinscrits par un constructeur partenaire (fonctionnement d’Autopilot). 

Principe de Windows Autopilot
Principe de Windows Autopilot

Le cloud pour quels avantages ?

Cette relation très étroite entre Intune et Azure AD offre de nombreuses possibilités.

Dans un monde de plus en plus en télétravail, administrer ses appareils depuis une plateforme web est un enjeu fort. Le MPLS et le VPN seront de moins en moins nécessaires à long terme #enfinlibres. Une connexion internet solide suffira aux appareils pour être gérés et utilisés convenablement.

On notera également que les postes en Workgroup (encore extrêmement nombreux)sont ceux qui bénéficieront le plus de ce lien entre Intune et AAD. Pour la plupart gérés localement par l’IT local à l’aide de clés USB ou de PPKG, ils sont souvent utilisés en tant qu’administrateurs locaux. Ces appareils seront maintenant remontés et administrés comme tout autre poste de travail. De quoi contrer le shadow IT, une lutte chère dans le cœur et le portefeuille de beaucoup de clients.

Enfin, ceux qui le désireront pourront également protéger la donnée (Mobile Application Management, ou MAM). Notamment pertinent dans des cas de BYOD mobile, en utilisant « l’App protection policy » l’IT a la possibilité de gérer les données et les applications déployées par l’entreprise.

Et ce, sans se préoccuper de l’appartenance de l’appareil qui ne sera qu’« inscrit » dans l’Azure AD (AAD Register vs. AAD Join). Un sujet à adresser main dans la main entre les équipes légales et techniques.

La cohérence d’Intune

Si Intune permet d’assurer la gestion des appareils, il existe également d’autres solutions MDM sur le marché.

Là où globalement les solutions partagent les mêmes objectifs premiers, Intune permet une cohérence avec l’écosystème Microsoft des clients.

Les postes de travail, puisque c’est autour d’eux que s’anime le débat, sont majoritairement sous Windows 10. Les gérer à travers Intune, c’est pouvoir onboarder les appareils sans avoir à déployer un agent dédié puisque l’agent Intune est de suite intégré à Windows 10.

Echange entre Intune et l'appareil
Échange entre Intune et l’appareil

Notons aussi la possibilité de mettre en place un co-management entre SCCM et Intune. Une stratégie séduisante sur le papier à la vue de l’importance de SCCM chez bon nombre de clients.

C’est également la certitude de pouvoir profiter pleinement du management moderne non seulement du poste, mais aussi du contexte des utilisateurs finaux.

Prenons l’exemple des postes partagés, un cas d’usage omniprésent chez certains clients. Ce scénario est chose impossible à l’heure actuelle avec certains MDM. Même si l’on tend vers une gestion universelle de Windows 10 avec l’OMA-URI, le chemin reste encore long. Intune, quant à lui, tire pleinement partie des possibilités et cas d’usages qu’il s’agisse de PC partagés, de BYOD, de PC Corporate ou même de Kiosque (ex : borne, point de vente).

Autre point à prendre en compte, ce sont les infrastructures existantes. L’Active Directory pour commencer. C’est ici que sont les objets ordinateurs et utilisateurs. Grâce à l’Azure AD Connect, il est possible de basculer ses objets provenant de l’AD vers l’AAD et permettant ainsi une transition toute trouvée vers le Cloud tout en étant relié au domaine ADDS.

AD Connect

Le statut d’appareil « Hybrid Azure AD join » (HAAD) soulève des questions. Où gère-t-on l’identité ? Quid de la délégation sur cette organisation AAD à plat sans hiérarchie ni OU ?

Comment retranscrire les GPO si les appareils ne sont que dans l’AAD ? Et qu’en est-il du sens inverse AAD vers AD ? Et le MFA dans tout ça ?

Des questions qui ne sont pas tant techniques mais bien stratégiques auxquelles chaque client répondra selon son contexte et ses ambitions.

Licences, à quel prix ?

Le licensing peut s’apparenter à un vrai sac de nœuds.

En s’y intéressant de plus près, on s’aperçoit qu’en ayant mis un pied dans les solutions Microsoft comme O365 ou Windows 10 E3, on a déjà peut-être sans le savoir tout ou une partie des moyens pour aller pleinement vers cette transition Intune.

Licences Microsoft 365 E3
Licences Microsoft 365 E5

Oui, les licences ont un coût.

Un coût cependant à mettre en parallèle aux coûts et inconvénients des solutions plus legacy : Maintien des infrastructures, MPLS, Software Assurance, Shadow IT, VPN, délais de déploiement et d’évolution, Suite Office, etc.

Intune, une logique modernité

Les utilisateurs finaux sont habitués aux terminaux. Que ce soit chez nous ou au travail, nous utilisons ces appareils en permanence.

Les utilisateurs évoluent et leurs besoins avec eux. Il est cohérent que la solution permettant de répondre à leurs demandes évolue elle aussi. Avec une force de développement incomparable, Microsoft s’inscrit avec Intune dans cette logique car est au cœur des enjeux modernes derrière ces attentes.

Viendront prochainement plusieurs articles, allant plus en profondeur techniquement, sur le management des postes de travail à travers Intune sous différents aspects.

“Une tradition, ce n’est jamais qu’un progrès qui a réussi.”  –  Druon

Pour aller plus loin

Article – MDM Intune : top 8 des règles d’accès conditionnel

Article – SCCM vs Intune : quel avenir pour la gestion unifiée des appareils ?

Articles similaires

Microsoft Connected Cache & Delivery Optimization : optimiser sa bande passante réseau sous Windows

Les mises à jour Windows, Microsoft 365 ou les applications déployées par Intune peuvent contenir des fichiers volumineux et la...

Windows Autopilot Device Preparation vs Autopilot : quelles différences ?

Autopilot, lancé par Microsoft en 2017 peu de temps après la sortie de Windows 10, avait pour objectif principal de...

Gestion de la flotte mobile Intune : 5 changements à anticiper pour 2025 

Avec l’évolution constante des systèmes d’exploitation mobiles, il est important de rester à jour afin de garantir la performance et...