Configuration de Microsoft Intune pour la gestion des correctifs de sécurité et des mises à jour

Configuration de Microsoft Intune pour la gestion des correctifs de sécurité et des mises à jour

02/08/2025

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et l'utilisation de Microsoft Intune pour gérer efficacement les correctifs de sécurité et les mises à jour sur les appareils Windows. Dans un paysage de cybermenaces en constante évolution, la mise à jour des systèmes d’exploitation et des applications est l’une des pratiques de sécurité les plus critiques pour atténuer les vulnérabilités et protéger l’organisation contre les attaques. Microsoft Intune, en tant que solution de gestion unifiée des points de terminaison (UEM), propose des outils robustes pour automatiser et contrôler le processus de mise à jour [1].

Présentation

Le manque de correctifs et de mises à jour de sécurité est l’une des principales causes de failles de sécurité. Les vulnérabilités connues des systèmes d'exploitation et des logiciels sont fréquemment exploitées par des attaquants, ce qui rend essentiel un processus de gestion des correctifs efficace et automatisé. Dans les environnements d'entreprise modernes, avec une main-d'œuvre dispersée et une variété d'appareils, la gestion manuelle des mises à jour devient peu pratique et sujette aux erreurs. C'est là que Microsoft Intune brille, en fournissant une plate-forme centralisée pour gérer et déployer les mises à jour sur les appareils Windows, garantissant qu'ils restent sécurisés et conformes [2].

Microsoft Intune vous permet de gérer différents types de mises à jour Windows, notamment les Mises à jour de qualité, qui fournissent des correctifs de sécurité et non liés à la sécurité, et les Mises à jour de fonctionnalités, qui offrent de nouvelles fonctionnalités et améliorations. Grâce aux politiques des anneaux de mise à jour et aux profils de mise à jour des fonctionnalités, les administrateurs peuvent contrôler quand et comment les mises à jour sont déployées, permettant ainsi un déploiement progressif pour minimiser les risques et garantir la compatibilité. De plus, Intune fournit des fonctionnalités pour surveiller l'état de conformité des mises à jour et résoudre les problèmes [3].

Ce guide pratique couvrira la configuration des profils d’anneaux de mise à jour et de mises à jour de fonctionnalités dans Intune, le déploiement de mises à jour sur les appareils Windows, la surveillance de la conformité des mises à jour et l’utilisation de rapports pour identifier et résoudre les problèmes. Des instructions étape par étape, des exemples pratiques et des explications concises seront fournis afin que le lecteur puisse implémenter, tester et valider ces fonctionnalités. De plus, des conseils de sécurité, des contrôles de conformité et des bonnes pratiques seront abordés pour garantir une gestion efficace, autonome, professionnelle et fiable des correctifs et des mises à jour de sécurité.

Pourquoi Microsoft Intune est-il crucial pour la gestion des correctifs ?

  • Automation et efficacité : automatise la livraison des mises à jour, réduisant ainsi la charge administrative et garantissant que les appareils sont toujours à jour.
  • Contrôle granulaire : permet aux administrateurs de définir des politiques détaillées sur quand, comment et sur quels appareils les mises à jour sont appliquées, prenant en charge des déploiements progressifs.
  • Sécurité améliorée : garantit que les derniers correctifs de sécurité sont appliqués rapidement, atténuant les vulnérabilités et protégeant contre les exploits connus.
  • Conformité : permet de maintenir les appareils conformes aux politiques de sécurité internes et aux exigences réglementaires.
  • Visibilité et rapports : fournit des tableaux de bord et des rapports pour surveiller l'état des mises à jour, identifier les appareils non conformes et résoudre les problèmes.
  • Expérience utilisateur : vous permet de configurer des fenêtres de temps actives et des délais de redémarrage pour minimiser l'impact des mises à jour sur la productivité des utilisateurs.

Prérequis

Pour configurer Microsoft Intune pour la gestion des correctifs de sécurité et des mises à jour, vous aurez besoin des éléments suivants :

  1. Licence : Une licence Microsoft Intune (généralement incluse avec les abonnements Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5) [4].
  2. Accès administratif : Un compte avec le rôle d'« Administrateur global » ou d'« Administrateur de service Intune » dans le centre d'administration Microsoft Intune (https://intune.microsoft.com).
  3. Appareils Windows enregistrés : appareils Windows 10/11 enregistréscréé dans Microsoft Intune. Les appareils doivent être configurés pour recevoir les mises à jour de Windows Update (Windows Update for Business) [5].

Étape par étape : configuration de Microsoft Intune pour la gestion des correctifs

Configurons les politiques de mise à jour pour les appareils Windows.

1. Création d'anneaux de mise à jour pour Windows

Les anneaux de mise à jour sont des politiques qui gèrent comment et quand les mises à jour de qualité et non liées à la sécurité sont appliquées aux appareils.

  1. Ouvrez votre navigateur et accédez au centre d'administration Microsoft Intune : « https://intune.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Périphériques > Par plate-forme > Windows.
  4. Sous « Gérer les mises à jour », sélectionnez Anneaux de mise à jour Windows.

  5. Cliquez sur + Créer un profil.

  6. Bases :

    • Nom : Donnez un nom significatif (ex : Anel_Atualizacao_Piloto_Windows).
    • Description : fournissez une description claire (par exemple « Anneau de mise à jour pour le groupe pilote, avec un délai minimum. »).

  7. Cliquez sur « Suivant ».

  8. Mettre à jour les paramètres de la sonnerie :

    • Paramètres de mise à jour de la qualité :
      • Niveau de maintenance des mises à jour de qualité : « Canal de disponibilité générale ».
      • Période de report des mises à jour qualité (jours) : 0 (pour le groupe pilote, pour recevoir les mises à jour le plus rapidement possible). Pour les groupes plus importants, vous pouvez définir de « 3 » à « 7 » jours.
      • Période de report de la mise à jour des pilotes (jours) : 0 (ou une valeur plus élevée pour tester les pilotes).
    • Paramètres des mises à jour des fonctionnalités :
      • Niveau de maintenance des mises à jour des fonctionnalités : « Canal de disponibilité générale ».
      • Période de report de la mise à jour des fonctionnalités (jours) : 0 (pour le groupe pilote). Pour les groupes plus importants, vous pouvez définir entre « 30 » et « 60 » jours.
    • Paramètres de l'expérience de l'utilisateur final :
      • Comportement de mise à jour automatique : Installer et redémarrer automatiquement au moment de la maintenance.
      • Redémarrage après l'installation : Redémarrage automatique au moment de la maintenance.
      • Heures actives : « Heures actives contrôlées par l'utilisateur ».
      • Date limite de redémarrage (jours) : 2 (pour le groupe pilote). Pour les grands groupes, de « 5 » à « 7 » jours.

  9. Cliquez sur « Suivant ».

  10. Balises de portée : ajoutez éventuellement des balises de portée. Cliquez sur « Suivant ».

  11. Affectations : attribuez cet anneau de mise à jour à un groupe de périphériques Azure AD (par exemple Pilot_Device_Group).

  12. Cliquez sur « Suivant ».

  13. Vérifier + créer : Vérifiez les paramètres et cliquez sur Créer.

    • Explication : Vous devez créer plusieurs anneaux de mise à jour (par exemple, Pilote, Rapide, Lent) avec différentes périodes de report pour permettre un déploiement progressif des mises à jour, minimisant ainsi le risque de problèmes de compatibilité.

2. Création de profils de mises à jour de fonctionnalités pour Windows (mises à jour de fonctionnalités pour Windows 10 et versions ultérieures)

Les profils de mise à jour des fonctionnalités vous permettent de cibler les appareils sur une version spécifique de Windows (par exemple Windows 11 22H2).

  1. Dans le volet de navigation de gauche du centre d'administration Microsoft Intune, sélectionnez Appareils > Par plateforme > Windows.
  2. Sous « Gérer les mises à jour », sélectionnez Mises à jour des fonctionnalités de Windows 10 et versions ultérieures.

  3. Cliquez sur + Créer un profil.

  4. Bases :

    • Nom : Donnez un nom significatif (ex : Atualizacao_Recurso_Windows11_23H2).
    • Description : fournissez une description claire (par exemple, « Déploiement de Windows 11 23H2 sur les appareils éligibles. »).

  5. Cliquez sur « Suivant ».

  6. Paramètres de mise à jour des fonctionnalités :

    • Version de la ressource à déployer : Sélectionnez la version souhaitée (ex : Windows 11, version 23H2).
    • Date de disponibilité : définissez la date à laquelle la mise à jour sera disponible pour les appareils.
    • Date de fin : vous pouvez éventuellement définir une date de fin pour l'offre de mise à niveau.

  7. Cliquez sur « Suivant ».

  8. Balises de portée : ajoutez éventuellement des balises de portée. Cliquez sur « Suivant ».

  9. Affectations : attribuez ce profil à un groupe de périphériques Azure AD (ex : Windows11_Device_Group).

  10. Cliquez sur « Suivant ».

  11. Réviser + créer :Vérifiez les paramètres et cliquez sur Créer.

    • Explication : Ce profil garantira que les appareils du groupe attribué reçoivent la version spécifique de Windows 11 23H2. Il est important de tester les mises à jour des fonctionnalités en petits groupes avant de les déployer à grande échelle.

3. Surveillance de l'état de la mise à jour

Intune propose des tableaux de bord et des rapports pour surveiller la progression et la conformité des mises à jour.

  1. Dans le volet de navigation de gauche du centre d'administration Microsoft Intune, sélectionnez Appareils > Par plateforme > Windows.
  2. Sous « Gérer les mises à jour », sélectionnez Anneaux de mise à jour Windows.
  3. Cliquez sur l'anneau de mise à jour que vous souhaitez surveiller (ex : Anel_Atualizacao_Piloto_Windows).

  4. Dans l'aperçu de l'anneau de mise à jour, vous pouvez voir le « Statut de déploiement des appareils » et le « Statut de mise à jour utilisateur », qui indiquent combien de périphériques sont conformes, combien ont des erreurs, etc.

  5. Pour des rapports plus détaillés, dans le volet de navigation gauche du centre d'administration Intune, sélectionnez Rapports > Mises à jour Windows.

  6. Vous trouverez ici des rapports tels que « Rapport de conformité Windows Update » et « Rapport sur les mises à jour des fonctionnalités Windows » pour obtenir une vue complète de l'état des mises à jour dans votre organisation.

Validation et tests

Il est essentiel de tester les politiques de mise à jour pour garantir qu'elles fonctionnent comme prévu et que les appareils reçoivent correctement les mises à jour.

1. Test des anneaux de mise à jour (mises à jour de qualité)

  1. Scénario : enregistrez un appareil Windows de test dans Intune et attribuez-le à « Pilot_Device_Group ».
  2. Action attendue : L'appareil doit recevoir et installer des mises à jour de qualité conformément à la politique Anel_Atualizacao_Piloto_Windows (avec un délai de 0 jour, c'est-à-dire rapidement).
  3. Vérification :
    • Sur l'appareil de test, accédez à « Paramètres » > « Windows Update » et vérifiez l'historique des mises à jour.
    • Dans le centre d'administration Intune, vérifiez l'état de déploiement de l'appareil pour Anel_Atualizacao_Piloto_Windows et le rapport de conformité Windows Update pour confirmer que l'appareil est conforme.
    • Commande sur l'appareil (PowerShell en tant qu'administrateur) : powershell Get-WindowsUpdateLog
      • Explication : Cette commande génère un journal détaillé des activités de Windows Update, utile pour le dépannage.

2. Test des profils de mise à jour des ressources

  1. Scénario : enregistrez un appareil Windows de test dans Intune et attribuez-le à « Windows11_Device_Group ».
  2. Action attendue : L'appareil doit recevoir et installer la « Mise à jour des fonctionnalités Windows 11, version 23H2 ».
  3. Vérification :
    • Sur l'appareil de test, allez dans « Paramètres » > « Système » > « À propos » et vérifiez la « Version Windows ».
    • Dans le centre d'administration Intune, vérifiez l'état de déploiement du périphérique pour le profil Atualizacao_Recurso_Windows11_23H2 et le rapport sur les mises à jour des fonctionnalités Windows.

Conseils de sécurité et bonnes pratiques

  • Stratégie d'anneau de mise à jour : mettez en œuvre une stratégie d'anneau de mise à jour par étapes (par exemple, pilote, petite, moyenne, grande) pour tester les mises à jour sur un sous-ensemble d'appareils avant de les déployer à grande échelle. Cela minimise le risque d’interruptions.
  • Fenêtres de maintenance : configurez des fenêtres de maintenance et des délais de redémarrage qui minimisent l'impact sur la productivité des utilisateurs, tout en garantissant que les mises à jour sont appliquées en temps opportun.
  • Surveillance continue : surveillez régulièrement les rapports de conformité des mises à jour dans Intune et configurez des alertes pour les appareils non conformes ou en cas d'erreur de mise à jour.
  • Tests de compatibilité : avant de déployer des mises à jour de fonctionnalités majeures, effectuez des tests de compatibilité avec les applications et le matériel critiques de votre environnement.
  • Optimisation de la livraison : utilisez des fonctionnalités telles que l'optimisation de la livraison pour réduire la consommation de bande passante réseau lors de la distribution des mises à jour au sein de votre organisation.
  • Gestion des pilotes : soyez prudent avec les mises à jour des pilotes. Envisagez de retarder les mises à jour des pilotes ou de les tester de manière approfondie avant un déploiement à grande échelle, car des pilotes problématiques peuvent provoquer des plantages.capacité dans le système.
  • Intégration avec Microsoft Defender for Endpoint : Intune et Defender for Endpoint travaillent ensemble pour garantir la sécurité des points de terminaison. Defender for Endpoint peut fournir des informations sur les vulnérabilités qui peuvent être corrigées avec des correctifs.

Dépannage courant

  • Les appareils ne reçoivent pas de mises à jour :
    • Vérifiez que l'appareil est inscrit dans Intune et que les stratégies d'anneau de mise à jour/fonctionnalité sont attribuées au groupe d'appareils approprié.
    • Sur votre appareil, vérifiez la connectivité à Windows Update. Exécutez « wuauclt.exe /reportnow » (pour Windows 10) ou « usoclient StartScan » (pour Windows 11) à partir de l'invite de commande.
    • Vérifiez les journaux Windows Update sur l'appareil à l'aide de « Get-WindowsUpdateLog » dans PowerShell.
    • Vérifiez les paramètres « Heures d'activité » dans Intune ; Si l'appareil est toujours actif pendant les heures d'activité, il se peut qu'il ne redémarre pas pour installer les mises à jour.
  • Les mises à jour ne parviennent pas à s'installer :
    • Vérifiez les journaux Windows Update sur l'appareil pour connaître les codes d'erreur spécifiques.
    • Assurez-vous que votre appareil dispose de suffisamment d'espace disque.
    • Des problèmes de compatibilité avec les logiciels ou pilotes existants peuvent en être la cause. Testez dans un environnement contrôlé.
    • Vérifiez la connectivité réseau de l'appareil avec les services Windows Update.
  • Les appareils n'apparaissent pas comme conformes dans les rapports Intune :
    • Le retour de l'état de conformité à Intune peut prendre un certain temps. Attendez quelques heures.
    • Assurez-vous que votre appareil est actif et communique avec Intune.
    • Vérifiez que les politiques de conformité sont correctement attribuées à l'appareil.
  • Faux positifs (l'appareil apparaît comme non conforme, mais est à jour) :
    • Vérifiez manuellement l'état des mises à jour sur l'appareil. S’il est à jour, il peut s’agir d’un retard dans les rapports Intune.
    • Redémarrez le service Intune Client Management sur l'appareil (« net stop dmwappushservice && net start dmwappushservice »).

Conclusion

Microsoft Intune est un outil indispensable pour gérer les correctifs de sécurité et les mises à jour dans les environnements Windows. En automatisant le déploiement des mises à jour de qualité et de fonctionnalités et en fournissant un contrôle granulaire sur le processus, Intune permet aux organisations de maintenir leurs appareils sécurisés et conformes aux dernières protections contre les cybermenaces. La mise en œuvre d’une stratégie d’anneau de mise à jour, ainsi qu’une surveillance continue et une résolution proactive des problèmes, sont essentielles pour garantir un environnement informatique résilient. Avec ce guide pratique, les professionnels de la sécurité et les administrateurs informatiques seront bien équipés pour configurer, valider et gérer Microsoft Intune, renforçant ainsi la sécurité de leurs points finaux et protégeant les actifs de leur organisation.

Références :

[1] Microsoft Apprendre. Gérer les mises à jour du logiciel Windows dans Intune. Disponible sur : https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Apprendre. Qu'est-ce que Microsoft Intune ?. Disponible sur : https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Apprendre. Gérez les mises à jour Windows avec Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Apprendre. Licence Microsoft Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Apprendre. Configurez les anneaux de mise à jour Windows dans Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Apprendre. Configurez les mises à jour des fonctionnalités de Windows 10 et versions ultérieures dans Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft Apprendre. Rapports Windows Update dans Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports