Microsoft 365 est consulté chaque jour depuis plusieurs appareils dans une PME : PC portables, Mac, smartphones personnels, tablettes, postes à distance ou ordinateurs partagés.
Ces appareils donnent accès aux mails Outlook, aux fichiers SharePoint, aux documents OneDrive, aux équipes Teams et parfois à des données sensibles.
Sans gestion des appareils, il devient difficile de répondre à une question simple : quels appareils accèdent réellement aux données de l’entreprise ?
C’est là qu’intervient Intune Microsoft 365 Business Premium.
Intune permet de suivre, sécuriser et gérer les appareils qui accèdent à Microsoft 365. L’objectif n’est pas de transformer une PME en grande DSI, mais de reprendre le contrôle sur les accès, les appareils conformes, les données professionnelles et les preuves de suivi.
C’est une brique importante de la cybersécurité Microsoft 365, surtout quand les équipes travaillent à distance ou utilisent des téléphones personnels.
Votre PME utilise Microsoft 365 Business Premium, mais vous ne savez pas quels appareils accèdent réellement aux données ? Axorys peut auditer, cadrer et suivre Microsoft Intune dans votre environnement Microsoft 365.
Microsoft Intune est l’outil Microsoft qui sert à gérer les appareils et certaines applications professionnelles.
Il peut concerner :
Dans Microsoft 365 Business Premium, Intune sert à inscrire, surveiller et gérer les appareils qui accèdent aux données de l’entreprise.
Microsoft indique que Microsoft 365 Business Premium inclut Microsoft Intune Plan 1, une solution de gestion permettant d’inscrire, surveiller et gérer les appareils utilisés pour accéder aux données de l’entreprise. (Microsoft Learn)
En pratique, Intune aide une PME à répondre à des questions très concrètes :
Pour replacer Intune dans l’univers Microsoft 365, consultez le guide principal Microsoft 365 pour PME et les autres ressources sur Microsoft 365 en PME.
Il y a quelques années, les données de l’entreprise restaient surtout sur les postes du bureau.
Aujourd’hui, c’est différent.
Un salarié lit ses mails depuis son téléphone. Un commercial synchronise OneDrive sur son portable. Un dirigeant ouvre SharePoint depuis un Mac personnel. Un ancien appareil continue parfois d’accéder à Microsoft 365 après un départ.
Le risque ne vient pas seulement du compte utilisateur. Il vient aussi de l’appareil utilisé.
Exemples fréquents :
Intune sert à remettre de la visibilité.
Il permet de savoir quels appareils sont connus, quelles règles ils respectent, lesquels sont non conformes et quelles actions ont été réalisées.
C’est aussi un bon point à vérifier dans un audit Microsoft 365 PME, surtout si l’entreprise utilise Microsoft 365 Business Premium sans savoir si Intune est réellement configuré.
Intune peut sembler technique au départ. En réalité, quelques notions suffisent pour comprendre son rôle.
| Notion | Définition simple | Exemple PME | Limite | Page Axorys liée |
|---|---|---|---|---|
| MDM | Gestion de l’appareil complet | Gérer un PC professionnel fourni par l’entreprise | Peut être trop intrusif pour un téléphone personnel | Administration tenant Microsoft 365 |
| MAM | Gestion de l’application | Protéger Outlook mobile sans gérer tout le téléphone | Ne contrôle pas tout l’appareil | DLP Microsoft 365 |
| Appareil inscrit | Appareil enregistré dans Intune | PC Windows ajouté au parc Microsoft 365 | Être inscrit ne veut pas dire être sécurisé | |
| Appareil conforme | Appareil qui respecte les règles définies | PC chiffré, à jour, protégé par antivirus | Dépend des règles configurées | |
| Accès conditionnel | Décision d’accès selon le contexte | Bloquer SharePoint si l’appareil n’est pas conforme | Doit être testé avant activation | Accès conditionnel Entra ID |
| Effacement sélectif | Retrait des données professionnelles uniquement | Retirer Outlook pro d’un smartphone personnel | Ne supprime pas les données personnelles | |
| Politique de protection d’application | Règle appliquée à une application | Empêcher la copie de données Outlook vers une app personnelle | Demande un cadrage des usages |
MDM signifie Mobile Device Management. Le nom parle de mobile, mais le principe concerne aussi les ordinateurs : l’entreprise gère l’appareil.
MAM signifie Mobile Application Management. Ici, l’entreprise protège surtout les applications professionnelles, sans forcément gérer tout l’appareil.
Sur un téléphone personnel, le MAM peut être plus adapté. Sur un PC professionnel, le MDM est souvent plus logique.
L’accès conditionnel complète Intune. Il peut décider d’autoriser, limiter ou bloquer l’accès selon l’état de l’appareil. Pour les connexions sensibles, le MFA Microsoft 365 PME reste aussi une protection importante.
Une PME n’a pas besoin de tout traiter d’un coup.
Il faut commencer par les appareils qui accèdent aux données importantes.
| Appareil | Usage fréquent | Risque | Règle Intune utile | Preuve à conserver |
|---|---|---|---|---|
| PC Windows professionnel | Travail quotidien, Outlook, OneDrive, Teams | Fichiers synchronisés sur un poste non protégé | Chiffrement, antivirus actif, mises à jour | Liste des PC conformes |
| Mac professionnel | Direction, création, conseil, métiers spécifiques | Accès aux fichiers sans règles communes | Version minimale d’OS, chiffrement, code requis | Statut de conformité |
| Smartphone iOS | Outlook mobile, Teams, calendrier | Mail pro accessible sur téléphone perdu | Code obligatoire, protection application | Politique appliquée |
| Smartphone Android | Outlook mobile, Teams, accès distant | Appareil rooté ou non mis à jour | Appareil non rooté, OS minimum | Rapport de conformité |
| Tablette | Consultation de documents, réunions | Téléchargement local de fichiers sensibles | Code, chiffrement, application gérée | Liste des tablettes inscrites |
| Poste personnel autorisé | Télétravail ou usage ponctuel | Données pro sur appareil non maîtrisé | MAM, limitation des copies | Exceptions validées |
| Ancien appareil | Ancien salarié, ancien PC, mobile remplacé | Accès oublié à Microsoft 365 | Retrait ou blocage | Action tracée |
| Appareil perdu ou volé | PC ou smartphone disparu | Accès aux mails et fichiers | Blocage, effacement sélectif | Ticket et action réalisée |
Microsoft explique que les politiques de conformité Intune évaluent les appareils gérés selon des règles et conditions définies, puis indiquent s’ils sont conformes ou non. (Microsoft Learn)
Les règles utiles peuvent inclure :
L’idée n’est pas d’imposer un niveau irréaliste. L’idée est de définir un minimum acceptable pour les appareils qui accèdent aux données Microsoft 365.
Un appareil conforme n’est pas seulement un appareil connu.
Un appareil conforme n’est pas seulement un appareil connu. C’est un appareil qui respecte les règles de sécurité définies par l’entreprise.
Exemple simple : un PC peut être inscrit dans Intune, mais non conforme si le chiffrement est désactivé, si l’antivirus ne fonctionne pas ou si le système n’est pas à jour.
Une politique de conformité peut vérifier plusieurs points :
Microsoft précise que les politiques de conformité Intune peuvent être combinées à l’accès conditionnel afin que seuls les appareils conformes accèdent aux ressources de l’entreprise. (Microsoft Learn)
Dans une PME, cela permet d’appliquer une règle claire : les données sensibles ne doivent pas être accessibles depuis n’importe quel appareil.
Pour aller plus loin, consultez la page sur la manière d’exiger un appareil conforme avec l’accès conditionnel.
Intune et Entra ID ne font pas exactement le même travail.
Intune vérifie l’état de l’appareil.
Entra ID prend la décision d’accès avec l’accès conditionnel.
Intune vérifie l’état de l’appareil. L’accès conditionnel utilise ce statut pour autoriser, limiter ou bloquer l’accès aux ressources Microsoft 365.
Exemple concret :
Microsoft explique que l’intégration entre Intune et l’accès conditionnel permet de contrôler les appareils et applications qui peuvent se connecter aux emails et aux ressources de l’entreprise. (Microsoft Learn)
Microsoft indique aussi qu’une politique d’accès conditionnel peut exiger qu’un appareil soit marqué comme conforme par les politiques Intune avant d’accéder aux ressources. (Microsoft Learn)
Dans une PME, cela peut servir à protéger :
Attention toutefois : une règle trop stricte peut bloquer les utilisateurs si les appareils ne sont pas prêts.
Il faut donc tester, prévoir des exceptions et déployer progressivement.
Pour comprendre la logique d’accès, consultez la page dédiée à l’accès conditionnel Microsoft 365.
Une PME de moins de 50 utilisateurs doit éviter le grand projet Intune trop lourd.
Il faut commencer par les usages les plus utiles.
| Cas d’usage | Risque réduit | Réglage Intune ou Microsoft 365 | À traiter en RUN ou en projet | Page liée |
|---|---|---|---|---|
| Inscrire les PC professionnels | Parc inconnu | Enregistrement des appareils | Projet initial | Infogérance Microsoft 365 |
| Vérifier le chiffrement | Données lisibles sur appareil perdu | Politique de conformité | Projet puis RUN | Cybersécurité Microsoft 365 |
| Exiger un mot de passe ou code appareil | Accès facile en cas de perte | Politique de conformité | Projet puis RUN | Accès conditionnel Entra ID |
| Contrôler les smartphones personnels | Données pro sur appareil privé | MAM, protection d’application | Projet cadré | DLP Microsoft 365 |
| Protéger Outlook mobile | Mail pro accessible sans règle | Politique de protection d’application | Projet puis RUN | MFA Microsoft 365 PME |
| Limiter les copies de données professionnelles | Fuite vers applications personnelles | Règles MAM | Projet | DLP Microsoft 365 |
| Bloquer un appareil perdu | Accès non maîtrisé | Retrait, blocage ou effacement sélectif | RUN | Infogérance Microsoft 365 |
| Retirer les données pro après un départ | Ancien accès mobile | Effacement sélectif | RUN | Audit Microsoft 365 PME |
| Empêcher un appareil non conforme d’accéder à SharePoint | Fichiers sensibles exposés | Accès conditionnel + conformité | Projet | Administration SharePoint Microsoft 365 |
| Suivre l’état du parc chaque mois | Appareils oubliés | Rapport conformité | RUN | Preuves et pilotage Microsoft 365 |
Le bon point de départ est souvent très simple : savoir quels appareils accèdent à Microsoft 365, lesquels sont conformes et lesquels doivent être corrigés ou retirés.
Ensuite, Intune peut être intégré dans une infogérance Microsoft 365 avec des actions régulières, des exceptions documentées et un reporting clair.
Les appareils personnels sont fréquents dans les PME.
Un dirigeant consulte Outlook sur son iPhone. Un commercial utilise Teams sur Android. Un collaborateur ouvre un document OneDrive depuis sa tablette personnelle.
C’est pratique, mais cela doit être cadré.
BYOD signifie Bring Your Own Device. En français : l’utilisateur utilise son propre appareil.
Sur un appareil personnel, l’objectif n’est pas de tout contrôler.
Sur un appareil personnel, l’objectif n’est pas de tout contrôler. Il est de protéger les données professionnelles utilisées dans les applications Microsoft 365.
Avec une approche MAM, Intune peut protéger les applications professionnelles sans administrer tout le téléphone.
Exemples :
Microsoft explique que les politiques de protection d’application peuvent empêcher certaines copies de données professionnelles vers des applications personnelles et permettre le retrait des données d’entreprise des applications gérées en cas de besoin. (Microsoft Learn)
La PME doit toutefois définir une règle interne.
Qui peut utiliser un téléphone personnel ? Pour quels usages ? Avec quelles limites ? Que se passe-t-il en cas de départ, de perte ou de refus de l’utilisateur ?
Le sujet doit rester équilibré. Il ne s’agit pas de surveiller les utilisateurs, mais de protéger les données professionnelles.
Pour relier ce sujet aux données sensibles, consultez la page sur la protection des données Microsoft 365.
Intune ne remplace pas SharePoint.
Il ne remplace pas la DLP.
Il ne remplace pas non plus une bonne gestion des droits.
Intune ne remplace pas la gouvernance SharePoint ou la DLP. Il réduit le risque lié aux appareils qui accèdent aux données.
C’est une nuance importante.
SharePoint et OneDrive peuvent être bien organisés, mais rester exposés si les fichiers sont synchronisés sur un appareil non protégé.
Exemples :
Intune aide à réduire ces risques en contrôlant l’appareil ou l’application.
Mais il faut aussi travailler les droits SharePoint, les partages externes et la DLP.
Pour approfondir ces sujets, consultez l’administration SharePoint Microsoft 365, les droits SharePoint et OneDrive et la page DLP Microsoft 365.
Intune doit être cadré.
Certaines actions relèvent du RUN, c’est-à-dire du suivi courant.
D’autres relèvent d’un projet. Elles demandent un cadrage, des tests et une communication.
D’autres sont des options plus avancées.
| Sujet | RUN courant | Projet séparé | Option possible |
|---|---|---|---|
| Suivi des appareils inscrits | Vérifier la liste et les statuts | Reprise complète du parc | Automatisation plus poussée |
| Retrait d’un ancien appareil | Action ponctuelle après départ | Nettoyage global du parc | Procédure de sortie enrichie |
| Revue des appareils non conformes | Suivi mensuel | Correction massive | Alertes spécifiques |
| Inscription initiale du parc | Non | Projet de déploiement | Accompagnement utilisateur |
| Création des politiques de conformité | Ajustements mineurs | Projet de définition des règles | Politiques par population |
| Déploiement sur smartphones | Suivi des appareils existants | Projet BYOD ou mobile | Protection avancée des applications |
| Effacement sélectif | Action après départ ou perte | Procédure complète de départ | Automatisation selon cas |
| Accès conditionnel lié à la conformité | Suivi des règles existantes | Déploiement initial | Scénarios renforcés |
| Autopilot | Non | Projet dédié | Déploiement automatisé de postes |
| Durcissement avancé | Revue de base | Projet de sécurité | Politiques renforcées |
| Gestion Mac avancée | Suivi simple | Projet séparé | Gestion spécialisée |
| Reporting mensuel | Rapport d’état | Création d’un tableau de bord | Reporting dirigeant enrichi |
Cette séparation évite les malentendus.
Inscrire deux nouveaux PC n’est pas la même chose que déployer Intune sur tout le parc.
Bloquer un smartphone perdu n’est pas la même chose que définir une politique BYOD complète.
Mettre à jour une règle existante n’est pas la même chose que construire une stratégie Intune de zéro.
Le périmètre d’infogérance Microsoft 365 doit préciser ce qui est inclus, ce qui relève d’un projet et ce qui reste optionnel.
Un déploiement Intune ne doit pas être invisible.
Il doit produire des preuves lisibles.
Un déploiement Intune ne doit pas être invisible. Il doit produire une liste d’appareils, des statuts de conformité, des exceptions et des actions tracées.
Les preuves utiles sont :
Exemple de preuve utile : une synthèse mensuelle indiquant les appareils inscrits, les appareils non conformes, les corrections réalisées, les exceptions validées et les actions liées aux départs utilisateurs.
C’est simple, traçable et exploitable.
Pour relier ce sujet au pilotage global, consultez les preuves de sécurité de Microsoft 365.
La gestion Intune repose sur une responsabilité partagée.
Microsoft fournit la plateforme Intune.
Le client valide les règles acceptables.
Le prestataire peut cadrer, configurer, suivre, corriger et documenter.
| Sujet | Client | Prestataire | Microsoft |
|---|---|---|---|
| Licences Microsoft 365 Business Premium | Valide les choix de licences | Conseille selon les besoins | Fournit les plans et services |
| Décision de gérer les appareils | Valide le principe et les populations | Propose le périmètre | Fournit la plateforme |
| Définition des règles de conformité | Décide le niveau acceptable | Traduit en politiques Intune | Fournit les réglages possibles |
| Inscription initiale des appareils | Organise les utilisateurs concernés | Déploie et accompagne | Fournit les outils |
| Support utilisateur | Remonte les blocages | Diagnostique et corrige | Fournit la documentation produit |
| Exceptions BYOD | Valide les cas particuliers | Documente les exceptions | Ne décide pas la politique interne |
| Retrait d’un appareil | Donne le contexte métier | Retire ou bloque l’appareil | Fournit les actions techniques |
| Effacement sélectif | Valide la demande | Exécute et trace | Fournit le mécanisme |
| Suivi des appareils non conformes | Décide des suites à donner | Analyse, corrige, alerte | Fournit les statuts |
| Reporting | Lit, décide, priorise | Produit les preuves | Fournit les données techniques |
| Réversibilité | Exige les conditions | Prépare transfert ou sortie | Dépend des services utilisés |
Microsoft Business Premium est conçu pour les petites et moyennes entreprises et inclut des capacités de productivité, de sécurité et de gestion des appareils. Microsoft précise aussi que les bénéfices de sécurité et de gestion sont disponibles pour les utilisateurs dont les appareils sont gérés avec une souscription Business Premium. (Microsoft Learn)
Le point important est simple : personne ne doit supposer que “Microsoft s’en occupe” ou que “le prestataire décide tout”.
Microsoft fournit les outils. Le client décide les règles. Le prestataire met en œuvre et documente selon le périmètre prévu.
Pour un accompagnement local, consultez la page prestataire d’infogérance à Paris.
Intune devient vraiment utile quand il est suivi dans le temps.
Un déploiement initial ne suffit pas.
Les appareils changent. Les salariés partent. Les smartphones sont remplacés. Les PC deviennent non conformes. Les règles doivent évoluer.
Il devient pertinent d’intégrer Intune dans l’infogérance Microsoft 365 quand :
Dans ce cas, Intune doit entrer dans le pilotage Microsoft 365 au même titre que les comptes, licences, droits, alertes, sauvegardes et incidents.
Un audit Microsoft 365 PME peut d’abord permettre de vérifier Intune dans un audit Microsoft 365 : appareils connus, politiques existantes, conformité, exceptions, accès conditionnel et preuves disponibles.
Oui. Microsoft 365 Business Premium inclut Microsoft Intune Plan 1, qui permet d’inscrire, surveiller et gérer les appareils utilisés pour accéder aux données de l’entreprise. Il faut toutefois vérifier que les utilisateurs concernés disposent bien des licences adaptées.
Intune sert à savoir quels appareils accèdent à Microsoft 365, à appliquer des règles de sécurité, à vérifier la conformité des appareils, à protéger les applications professionnelles et à réduire les risques liés aux postes, smartphones et tablettes.
Un appareil conforme est un appareil qui respecte les règles définies par l’entreprise : chiffrement, mot de passe, version minimale du système, antivirus actif, absence de jailbreak ou root, et autres conditions selon le contexte.
Intune vérifie l’état de l’appareil. L’accès conditionnel utilise ce statut pour autoriser, limiter ou bloquer l’accès aux ressources Microsoft 365. Les deux fonctionnent ensemble, mais ne font pas le même travail.
Oui, mais pas forcément en gérant tout l’appareil. Une PME peut utiliser des politiques de protection d’application pour protéger les données professionnelles dans Outlook, Teams ou d’autres applications Microsoft, tout en respectant les données personnelles.
Ce n’est pas obligatoire, mais c’est souvent utile si personne ne maîtrise Intune en interne. Un prestataire peut cadrer les règles, éviter un déploiement trop lourd, documenter les exceptions, suivre la conformité et produire un reporting clair.
Intune est une brique utile pour une PME qui utilise Microsoft 365 Business Premium.
Il permet de savoir quels appareils accèdent aux mails, fichiers SharePoint, documents OneDrive et espaces Teams.
Il aide aussi à définir ce qu’est un appareil conforme, à protéger les applications professionnelles, à retirer les données après un départ et à relier la conformité des appareils à l’accès conditionnel.
Mais Intune ne doit pas devenir un projet trop lourd.
La bonne approche consiste à commencer par les usages les plus utiles : PC professionnels, smartphones avec Outlook, appareils perdus, départs utilisateurs, fichiers sensibles et reporting.
Il faut aussi garder des preuves : appareils inscrits, statuts de conformité, politiques appliquées, exceptions validées et actions réalisées.
Votre PME utilise Microsoft 365 Business Premium, mais vous ne savez pas quels appareils accèdent réellement aux données ? Axorys peut auditer, cadrer et suivre Microsoft Intune dans votre environnement Microsoft 365.