Microsoft Intune · Fondamentaux et Architecture : Lab Interactif C365

🗂️ Scénario terrain

Tu es le nouvel administrateur IT d'Argos Consulting, une PME de 80 employés (72 postes Windows 11, quelques iPhones). Ton DSI vient de te confier la mission de migrer la gestion des postes de l'ancienne infrastructure GPO vers Microsoft Intune. Avant de toucher la moindre configuration, tu dois maîtriser les bases : qu'est-ce qu'Intune exactement, quelle licence acheter, comment il s'intègre à l'écosystème M365 : et qui a le droit de faire quoi dans la console.

💡 Ce lab couvre les Modules 1 et 2 de la formation. Aucune souscription Intune n'est requise pour le suivre : tout se passe dans ce simulateur.

1

GPO vs MDM : pourquoi migrer ?

Les GPO (Group Policy Objects) ont été le standard de gestion pendant 20 ans. Mais le monde a changé : télétravail, BYOD, appareils mobiles, cloud. Compare les deux approches.

🏢 GPO classique

Requiert une connexion au domaine AD on-premise
Ne fonctionne pas hors réseau d'entreprise sans VPN
Limité aux appareils Windows joints au domaine
Pas de support natif iOS/Android/macOS
Gestion des apps complexe (SCCM/WSUS requis)
Aucune visibilité sur les appareils personnels (BYOD)

☁️ MDM avec Intune

100% cloud : fonctionne n'importe où, sans VPN
Multi-plateforme : Windows, iOS, Android, macOS, Linux
Gestion unifiée : apps + config + sécurité en un seul portail
Support BYOD via MAM (protection des apps, pas du device)
Déploiement Zero Touch via Windows Autopilot
Intégration native avec Entra ID et Microsoft Defender

⚠️ La migration GPO → MDM n'est pas binaire. Beaucoup d'organisations passent par une phase de co-management (SCCM + Intune en parallèle) avant de basculer totalement. Le Lab 14 couvrira ce scénario en détail.

MDM vs MAM : quelle différence ? Clique sur chaque carte pour comprendre.

📱 MDM : Mobile Device Management

Gestion complète de l'appareil. Clique pour en savoir plus →

🔐 MAM : Mobile Application Management

Gestion des apps seulement. Clique pour en savoir plus →

🎯 À toi de jouer : GPO, MDM ou MAM ?

Pour chaque situation terrain, choisis la bonne approche de gestion.

📍 Cas 1 : PC Windows 11 d'entreprise utilisé en télétravail sans VPN

L'employé travaille depuis chez lui. Il n'est pas sur le réseau d'entreprise.

📍 Cas 2 : iPhone personnel d'un employé pour accéder à Outlook

L'employé utilise son propre téléphone (BYOD). Il ne veut pas que l'entreprise gère son appareil.

📍 Cas 3 : Borne kiosque à la réception, sans utilisateur nominatif

Appareil partagé, toujours dans les locaux, géré en mode "device-only" avec Intune Plan 1.

📍 Cas 4 : iPad fourni par l'entreprise, partagé entre plusieurs employés

Tablette corporate, plusieurs utilisateurs tournants, apps métier déployées par l'entreprise.

2

Choisir la bonne licence

Pour Argos Consulting (80 postes PME), ton DSI te pose la question fatidique : "Quelle licence acheter ?" Clique sur chaque plan pour découvrir ce qu'il inclut.

Intune Plan 1

✓

Plan 1 : Base

La fondation. Inclus dans la plupart des licences M365.

Intune Plan 2

✓

Plan 2 : Avancé

Ajoute Remote Help et Advanced Analytics au Plan 1.

Intune Suite

✓

Suite : Expert

Inclut Plan 2 + EPM, Cloud PKI, Enterprise App Mgmt.

Plan 1 Device

✓

Plan 1 Device

Licence par appareil pour kiosks, IoT, appareils partagés.

Sélectionne un plan ci-dessus

📦 Quelles licences M365 incluent Intune Plan 1 ?

✅ Microsoft 365 Business Premium idéal pour les PME jusqu'à 300 utilisateurs.

Inclut : Intune Plan 1 + Entra ID P1 + Defender for Business + Azure Information Protection P1. C'est la recommandation pour Argos Consulting à 80 postes.

✅ Microsoft 365 E3 pour les grandes entreprises.

Inclut : Intune Plan 1 + Entra ID P1. Depuis juillet 2025, E3 inclut également Intune Plan 2, Remote Help et Advanced Analytics.

✅ Microsoft 365 E5 niveau enterprise avec sécurité maximale.

Inclut : Intune Plan 1 + Entra ID P2 + Defender for Endpoint P2. Depuis juillet 2025, E5 inclut Intune Plan 2 + EPM + Cloud PKI + Enterprise Application Management.

✅ Enterprise Mobility + Security (EMS) E3/E5 bundle historique.

EMS E3 : Intune Plan 1 + Entra ID P1 + Azure Information Protection P1.
EMS E5 : ajoute Entra ID P2 + Microsoft Defender for Identity + Cloud App Security.

⚠️ Règle clé : Plan 2 et Intune Suite ne sont à licencier que pour les utilisateurs qui ont réellement besoin des fonctionnalités avancées (Remote Help, EPM, Advanced Analytics). Pas besoin de les acheter pour tous.

3

Architecture : les 3 piliers d'Intune

Intune est bâti autour de 3 piliers orchestrés par Entra ID. Clique sur chaque élément du schéma pour en savoir plus.

💡 Entra ID est le socle de tout. Intune n'a pas sa propre base d'utilisateurs : il utilise Entra ID pour les comptes, les groupes, l'authentification et le Conditional Access. Pas d'Entra ID = pas d'Intune.

🌐 Les portails administrateurs

🖥️ Portail Intune

intune.microsoft.com

Gérer appareils, apps, politiques de conformité, profils de configuration, scripts, rapports. C'est ta console principale.

🔐 Portail Entra ID

entra.microsoft.com

Gérer les utilisateurs, groupes, Conditional Access, inscriptions d'appareils Entra Join. Complémentaire à Intune.

4

Rôles RBAC : qui peut faire quoi ?

Intune dispose de rôles built-in pour déléguer l'administration sans tout donner à tout le monde. Clique sur un rôle pour voir ses permissions.

👑 Intune Administrator

Accès complet à toutes les ressources Intune (rôle Entra).

👁️ Read Only Operator

Visualisation uniquement : aucune modification possible.

🛠️ Help Desk Operator

Actions à distance sur devices et users, sans modifier les politiques.

📦 Application Manager

Gère les apps et leur déploiement. Lecture seule sur les devices.

⚙️ Policy & Profile Manager

Crée et gère les profils de config et politiques de conformité.

🔑 Intune Role Administrator

Le seul rôle pouvant assigner des permissions aux autres admins.

Sélectionne un rôle ci-dessus

⚠️ Principe de moindre privilège : Microsoft recommande de ne pas utiliser le rôle Intune Administrator (rôle Entra, très large) pour les tâches quotidiennes. Préfère les rôles built-in Intune qui scopent les permissions aux seules tâches nécessaires.

5

Prérequis réseau : checklist pare-feu

Avant de déployer Intune chez Argos Consulting, vérifie que les flux réseau sont ouverts. Coche chaque prérequis validé.

0 / 7 prérequis validés

Port HTTPS 443 sortant ouvert Communication principale entre appareils et service Intune
Port HTTP 80 sortant ouvert Révocation CRL (certificats) et redirections
*.manage.microsoft.com autorisé Endpoints principaux du service Intune
*.microsoftonline.com autorisé Authentification Entra ID (Azure AD)
Delivery Optimization port 7680 (TCP) Téléchargement peer-to-peer des mises à jour Windows
Proxy configuré pour passer les endpoints MS Si proxy présent : autoriser les FQDNs Microsoft sans inspection SSL
Liste FQDNs consolidée vérifiée Consulter learn.microsoft.com/intune/fundamentals/intune-endpoints pour la liste complète

💡 La liste exacte des FQDNs et plages IP évolue régulièrement. Consulte toujours la documentation officielle avant de configurer ton pare-feu en production.

6

Quiz de validation

⭐ Question 1 : Fondamentale

Chez Argos Consulting (80 postes PME), quelle licence Microsoft 365 est la plus adaptée pour inclure Intune Plan 1 ?