C'est quoi Microsoft Intune et comment ça aide les équipes TI?

Quand une entreprise a cinq employés, gérer les appareils c'est donner un laptop à quelqu'un et lui montrer comment se connecter au Wi-Fi. Quand t'en as 35 répartis entre deux bureaux et quelques télétravailleurs — certains sur des appareils d'entreprise, d'autres sur leurs téléphones personnels — cette approche tient plus la route. Des appareils se perdent, des employés partent sans retourner leur matériel, quelqu'un a le courriel de l'entreprise sur son iPhone personnel sans code d'accès. Microsoft Intune, c'est comment les équipes TI gèrent cette complexité-là sans se déplacer à chaque bureau.

Ce qu'Intune fait concrètement

Intune est une plateforme de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM). Ces deux fonctions sont distinctes et les deux comptent.

Le MDM signifie gérer l'appareil en entier. Quand un laptop Windows ou un iPhone est inscrit dans Intune MDM, l'équipe TI peut pousser des profils de configuration, appliquer des politiques de sécurité, déployer des applications, et effacer l'appareil à distance s'il est perdu ou volé. L'utilisateur a pas besoin d'appeler le TI pour installer un logiciel — il apparaît automatiquement. Les politiques de conformité peuvent vérifier si le chiffrement de disque est activé, si le système d'exploitation est à jour, si un code PIN ou un mot de passe est défini — et signaler ou bloquer les appareils qui respectent pas la norme.

Le MAM signifie gérer les applications sans contrôler l'appareil en entier. C'est là que ça devient important pour le BYOD (Bring Your Own Device). Un employé qui utilise son iPhone personnel pour le courriel de l'entreprise voudra pas nécessairement que son employeur puisse effacer tout son téléphone. Avec le MAM, Intune peut protéger et gérer les données d'entreprise à l'intérieur d'applications spécifiques — Outlook, Teams, OneDrive — sans toucher aux photos personnelles, aux messages ou aux autres applications. Les données d'entreprise restent dans un conteneur géré. Si l'employé quitte, l'équipe TI peut effacer les données d'entreprise des applications sans affecter l'appareil personnel.

Ce qu'Intune a remplacé

L'outil de gestion d'appareils Microsoft de la génération précédente, c'est System Center Configuration Manager (SCCM), maintenant rebaptisé Microsoft Endpoint Configuration Manager. SCCM est un outil puissant en local, la colonne vertébrale de la gestion Windows en entreprise depuis plus de 20 ans. Il demande des serveurs sur place, un investissement en infrastructure significatif, et une expertise spécialisée pour opérer.

Intune est natif dans le cloud. Y'a pas de serveur local à maintenir. La console de gestion vit dans le portail Intune (intune.microsoft.com), les appareils s'inscrivent via Azure AD, et les politiques sont poussées par internet. Pour les PME qui ont pas le personnel TI ou l'infrastructure pour faire tourner SCCM correctement, Intune c'est pas juste un remplacement — c'est une vraie amélioration en termes d'accessibilité.

La plupart des PME qui partent de zéro devraient aller directement avec Intune seulement.

La licence

Intune est inclus dans Microsoft 365 Business Premium à 22 $ US/utilisateur/mois. Il est aussi disponible comme add-on à environ 8 $ US/utilisateur/mois, ou inclus dans le bundle Enterprise Mobility + Security E3.

Pour la plupart des PME déjà dans l'écosystème Microsoft 365, la différence entre Business Standard et Business Premium se justifie en grande partie par Intune. L'alternative — visiter manuellement chaque appareil pour configurer les paramètres de sécurité, sans capacité d'effacement à distance et sans mécanisme d'application des politiques — a son propre coût en heures TI et en risque de brèche.

Des cas d'utilisation concrets

Appliquer le chiffrement de disque automatiquement. BitLocker sur Windows et FileVault sur macOS peuvent être activés via une politique Intune, avec la clé de récupération stockée dans Azure AD. Plus besoin de se demander si on a bien activé le chiffrement avant de remettre le laptop au nouvel employé.

Effacer un appareil perdu à distance. Un employé perd un laptop d'entreprise à l'aéroport. Depuis la console Intune, l'équipe TI peut lancer un effacement à distance en quelques minutes. Pour les appareils personnels avec MAM, l'effacement peut être sélectif — seulement les données d'applications d'entreprise, sans toucher au contenu personnel.

Déployer des logiciels sans toucher à l'appareil. Applications d'affaires, Microsoft 365, Chrome, clients VPN — tout peut être déployé depuis la console Intune vers les appareils inscrits, silencieusement en arrière-plan. Un nouvel employé allume son laptop pour la première fois, et tout ce dont il a besoin est déjà là.

L'accès conditionnel. Combiné avec les politiques d'accès conditionnel d'Azure AD, Intune permet une règle comme : "Tu peux accéder au courriel de l'entreprise et à SharePoint seulement depuis un appareil inscrit dans Intune qui respecte les exigences de conformité." Un laptop personnel non inscrit reçoit une page qui dit à l'utilisateur qu'il doit s'inscrire avant d'accéder aux données de l'entreprise. Ça ferme un des vecteurs d'attaque les plus courants — le vol d'identifiants depuis un appareil non géré.

Les politiques BYOD. Avec le MAM, les employés peuvent inscrire leurs appareils personnels pour accéder au courriel et à Teams sans un enrollment MDM complet. Les données d'entreprise dans les applications gérées sont protégées. L'équipe TI a de la visibilité sur quels appareils personnels accèdent aux données de l'entreprise. Les employés gardent leur vie privée du côté personnel.

Pour qui ça a du sens

Intune commence à offrir une valeur claire autour de 20 employés. En dessous, l'investissement de configuration relative à la taille du parc est plus difficile à justifier. Au-dessus — surtout si t'as des télétravailleurs, des employés qui utilisent leurs appareils personnels pour le courriel de l'entreprise, ou du roulement qui demande de provisionner régulièrement des appareils — les économies de temps et l'amélioration de sécurité sont significatives.

Les industries où la conformité des appareils compte pour des audits de sécurité — services professionnels, santé, services financiers — en bénéficient même avec un plus petit nombre d'employés, parce qu'Intune te donne un dossier documenté de conformité des appareils que tu peux référencer lors d'évaluations de fournisseurs ou de conversations d'audit.

Le plus grand malentendu sur Intune, c'est qu'il est trop complexe pour une entreprise de 40 personnes. L'expérience d'administration s'est beaucoup améliorée au cours des dernières années, et un environnement Intune bien configuré pour une PME peut être géré en quelques heures par mois plutôt que de nécessiter une ressource dédiée. C'est le déploiement initial qui demande le plus de travail — inscrire les appareils, configurer les politiques, définir les règles d'accès conditionnel. Une fois que c'est fait, ça roule essentiellement tout seul.