0%

📌 Progression restaurée, tu reprends où tu t'es arrêté(e).

← Accueil
· 🔄 Windows Update for Business 📱 Mobile Security (MAM)

Updates Windows + Sécurité Mobile via Intune

Admin IT : Update rings Windows 11, Feature/Quality updates et App Protection Policies iOS/Android

⏱ 25–30 min 📊 Intermédiaire → Avancé 🎯 Modules 10 + 11 🔢 Lab 9 / 15
🕐 Contenu vérifié le 21 juin 2026 Update rings · App Protection Policies
0
Contexte : Deux enjeux, une même console
🔄

Problème 1 : Windows Update

Depuis que l'équipe RH d'Argos a forcé l'installation d'une mise à jour KB qui a cassé une intégration métier, le DSI exige un déploiement contrôlé en 3 phases : Pilote (IT, 5 postes) → Broad (30 postes) → Production (tous).

Solution : Windows Update Rings
📱

Problème 2 : iPhones non gérés

Plusieurs consultants Argos accèdent aux emails Exchange et OneDrive depuis leurs iPhones personnels non-enrolled dans Intune. Risque de fuite de données si l'appareil est compromis ou vendu.

Solution : App Protection Policies (MAM)
🔄 MODULE 10 : WINDOWS UPDATE FOR BUSINESS
1
Stratégie Update Rings : Déploiement en 3 phases chez Argos

Un Update Ring définit quand et comment les mises à jour Windows s'installent. Argos utilise 3 rings avec des délais de déferral croissants :

Ring Pilote

IT : 5 appareils

Quality deferral0 jour
Feature deferral0 jour
Deadline quality2 jours
Grace period0 jour
Active hours8h → 18h
GroupeArgos-IT-Pilot

Ring Broad

Bureaux : 30 appareils

Quality deferral7 jours
Feature deferral30 jours
Deadline quality5 jours
Grace period2 jours
Active hours8h → 18h
GroupeArgos-Broad

Ring Production

Tous : 80 appareils

Quality deferral14 jours
Feature deferral60 jours
Deadline quality7 jours
Grace period3 jours
Active hours8h → 18h
GroupeArgos-All-Devices
💡 Quality updates (correctifs mensuels, sécurité) vs Feature updates (nouvelles versions Windows, ex : 24H2). Les deux types sont contrôlables indépendamment. Deferral = délai avant que l'appareil télécharge la mise à jour. Deadline = délai max avant installation forcée.
⚠️ Windows Enterprise LTSC ne supporte pas les Feature Update deferrals. Pour les LTSC : Quality updates uniquement. Service wlidsvc (Microsoft Account Sign-In Assistant) doit être actif pour recevoir les Feature updates.
2
Ring Builder : Configure ton ring de production

Ajuste les paramètres et observe l'estimation du planning de déploiement pour le Ring Production d'Argos.

Quality Update deferral
14 j
Feature Update deferral
60 j
Quality Deadline
7 j
Grace period (redémarrage)
3 j
Active hours
Automatic update behavior
📅 Planning estimé : Ring Production Argos
3
Créer un Update Ring dans Intune : Stepper

Étape 1 : Basics

Devices → By platform → Windows → Manage updates → Windows updates → Update rings → Create profile

Name : WUfB-Argos-Production
Description : Ring production : tous les postes Argos
💡 Nommer avec le format WUfB-[Tenant]-[Ring] pour retrouver facilement dans la console. Ajouter une description pour l'équipe de support.
Étape 1 / 5

Étape 2 : Update settings

Quality Updates
Microsoft product updates : Allow
Windows drivers : Allow
Quality update deferral : 14 days
Quality update deadline : 7 days
Feature Updates
Servicing channel : General Availability
Feature update deferral : 60 days
Feature uninstall period : 20 days
Pre-release builds : Not configured
💡 Deferral = combien de jours après la publication Microsoft avant que l'appareil télécharge la mise à jour. Deadline = délai max avant installation forcée (depuis le moment où elle est disponible sur l'appareil).
Étape 2 / 5

Étape 3 : User experience settings

Automatic update behavior Auto install : deadline decides restart
Active hours start / end 8:00 → 18:00
Restart grace period 3 days
Snooze restart notifications (user) Not configured
User notifications Use default Windows Update notifications
⚠️ Les Active hours empêchent Windows de redémarrer pendant les heures de travail. Max 18h de plage autorisée. En dehors des Active hours, Windows peut redémarrer automatiquement pour finir l'installation.
Étape 3 / 5

Étape 4 : Assignments

Assigner à des groupes d'appareils (recommandé) plutôt qu'à des utilisateurs : les politiques s'appliquent même si personne n'est connecté.

Include groups Argos-All-Devices
Exclude groups Argos-IT-Pilot · Argos-Broad
💡 Exclure les groupes Pilot et Broad pour éviter qu'un appareil reçoive plusieurs rings. Un appareil dans plusieurs rings = conflits de paramètres (le plus restrictif gagne, mais le comportement peut être imprévisible).
Étape 4 / 5

Étape 5 : Actions post-déploiement

Pause Si une KB pose problème en Pilote, pausez le ring immédiatement. Max 35 jours. S'applique aux Feature ou Quality updates séparément. Les appareils reçoivent la commande au prochain check-in.
Uninstall (Rollback) Revenir à la version précédente. Pour les Feature updates : rollback possible dans la fenêtre de 2–60 jours configurée (uninstall period). Impossible au-delà.
Resume Réactive le ring après une pause. La période de pause repart à 35 jours si vous re-pausez ensuite. Extend prolonge la pause existante à 35 jours.
🎉 Ring WUfB-Argos-Production configuré ! Les 80 postes recevront les Quality updates avec 14j de deferral + 7j deadline. Les Feature updates seront différées de 60 jours pour validation en Pilote d'abord.
Étape 5 / 5 ✓
📱 MODULE 11 : MOBILE SECURITY (APP PROTECTION POLICIES)
4
Scénarios MAM : Protection selon le contexte de l'appareil

Les App Protection Policies (APP) s'appliquent aux apps, pas aux appareils. Elles fonctionnent avec ou sans enrollment MDM. Clique sur un scénario pour voir ce qui est protégé.

🏢
iPhone pro (MDM enrolled)
Argos Corp Device : inscrit Intune
👤
iPhone perso (BYOD)
MAM-WE : sans enrollment
🤖
Android perso (BYOD)
MAM-WE + Company Portal requis
💡 Multi-identity : les APP s'appliquent uniquement dans le contexte "corporate" (compte professionnel). Si l'utilisateur ouvre Word avec son compte perso, aucune restriction. Même application, deux contextes distincts.
5
Configurer une App Protection Policy iOS : Argos Consultants

Apps → App protection policies → Create policy → iOS/iPadOS

Backup org data to iTunes / iCloudBlock
Send org data to other appsPolicy managed apps
Receive data from other appsPolicy managed apps
Save copies of org dataBlock
Allow user to save copies toOneDrive for Business
Restrict cut, copy, pastePolicy managed apps with paste in
Encrypt org dataRequire
Sync policy managed app data with native appsBlock
Org data notificationsBlock org data
PIN for accessRequire
PIN typeNumeric
Minimum PIN length6
Allow fingerprint / Face ID instead of PINAllow
Work or school account credentials for accessNot required
Recheck access requirements after (min)30 min
Max PIN attempts5 → Wipe data
Offline grace period720 min → Block access
Jailbroken/rooted devicesBlock access
Disabled accountWipe data
Min OS version16.0 → Warn
Min app versionConfigurable → Warn
⚠️ Sur Android, le Company Portal doit être installé (pas forcément ouvert) pour que les APP s'appliquent. Sur iOS, aucun prérequis app : les APP fonctionnent directement via le Intune MAM SDK intégré dans les apps Microsoft.
6
Wipe sélectif MAM vs Effacement complet

Clique sur une carte pour voir ce qui est supprimé dans chaque cas et quand l'utiliser.

🧹 Selective wipe (MAM)

Données d'entreprise dans l'app (emails, fichiers)
Cache de l'app géré par Intune
Tokens d'authentification corporate
Données perso dans l'app
L'app elle-même (reste installée)
Les photos/contacts/autres apps
L'appareil lui-même
Usage recommandé : Consultant qui quitte Argos, iPhone perso (BYOD) à protéger sans toucher au perso. Lancé depuis Apps → App protection policies → [policy] → Selective wipe. Délai : Intune SDK vérifie la demande toutes les 30 min (ou au prochain lancement de l'app).

💥 Full wipe (MDM)

TOUTES les données (perso + corporate)
Toutes les apps et configurations
Retour à la configuration usine
L'appareil est retiré d'Intune
⚠️ Requiert enrollment MDM : impossible sur BYOD non enrolled
Usage recommandé : Appareil corporate perdu ou volé. Requiert que l'appareil soit enrolled dans Intune (MDM). Lancé depuis Devices → [device] → Wipe. Irréversible : toutes les données personnelles seront perdues. Toujours confirmer avec l'utilisateur avant sur un BYOD enrolled.
💡 Le Selective wipe MAM est la seule option possible sur les iPhones BYOD non-enrolled d'Argos. Il respecte la vie privée de l'utilisateur tout en protégeant les données Argos. Sur les appareils corporate enrolled, le Full wipe reste l'option en cas de perte/vol.
7
Quiz de validation : Windows Update + Mobile Security
⭐ FondamentaleDans un Update Ring Intune, que signifie un "Quality Update deferral" de 14 jours ?
⭐ FondamentaleQuel est le délai maximum pendant lequel on peut "Pauser" un Update Ring dans Intune ?
⭐ FondamentaleUne App Protection Policy (MAM) Intune peut-elle protéger les données d'entreprise sur un iPhone personnel non-enrolled dans Intune ?
⭐ FondamentaleQuelle est la différence entre un Selective wipe MAM et un Full wipe MDM ?
⭐⭐ AvancéeChez Argos, une KB de sécurité critique est publiée un lundi. Le Ring Pilote a deferral=0j/deadline=2j, le Ring Broad a deferral=7j/deadline=5j, et le Ring Production a deferral=14j/deadline=7j. Un poste du Ring Production est en déplacement sans connexion jusqu'au vendredi. Que se passe-t-il ?
⭐⭐ AvancéeUn consultant Argos quitte l'entreprise. Il utilisait son iPhone perso (BYOD, non-enrolled) avec Outlook et Teams pour accéder aux données Argos via MAM. Quelle action l'admin doit-il prendre, et quelle en est la limite ?

Sources : Update rings Intune · App Protection Policies

Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.