Calipia : le blog

Microsoft vient de publier une recommandation claire à destination des administrateurs : il est temps de confier à Microsoft Intune le pilotage du comportement de Windows Update. Ce n’est pas une révolution en soi, mais le fait que Redmond pousse aussi franchement dans cette direction mérite qu’on s’y arrête, surtout pour les DSI qui n’ont pas encore entamé la migration.

Le modèle push de SCCM : une époque révolue

Pendant des années, les administrateurs ont fonctionné selon un modèle « push » via System Center Configuration Manager (SCCM) : construction manuelle des packages de mises à jour, sélection des machines cibles, configuration d’un créneau de déploiement, toute une époque diront certains… et chasse aux appareils récalcitrants qui n’avaient pas appliqué la mise à jour, bien entendu. Un processus artisanal, certes maîtrisé, mais chronophage et difficile à passer à l’échelle dans un parc hétérogène.

Microsoft opère aujourd’hui un virage assumé. L’entreprise indique que les choses ont considérablement évolué ces dernières années et que les équipes IT n’ont plus besoin de s’appuyer sur ce modèle push, mais peuvent désormais bénéficier d’un contrôle (devenu au fils des ans) bien plus granulaire via Intune. 

Intune ne vous enlève pas le contrôle, il le redistribue

L’argument principal de Microsoft est subtil mais important. Intune permet de définir des résultats minimaux mesurables pour que l’ensemble du parc reste en conformité, ce qui offre en réalité davantage de contrôle que la configuration manuelle de packages spécifiques sous SCCM. Autrement dit : on passe d’une logique de « je décide exactement quoi déployer à qui et quand » à une logique de « je définis mes seuils de conformité, et le service s’en assure ». Ce changement de paradigme peut déstabiliser les équipes habituées à tout piloter à la main, mais il correspond mieux à la réalité d’un parc distribué, avec des appareils parfois en télétravail, parfois hors VPN. Et avec des postes qui ne sont pas toujours qui plus est des PC ! Cela peut-être des Mac ou encore des mobiles. Nous aborderons se point en parlant de l’intégration des Mac en entreprise avec Intune en particulier lors du prochain Briefing Calipia.

Techniquement, Intune ne stocke que les assignations de politiques, pas les mises à jour elles-mêmes. Lorsqu’une politique est sauvegardée, Intune envoie les détails de configuration à Windows Update, qui détermine quelles mises à jour proposer. Les appareils téléchargent ensuite directement depuis Windows Update. (tous les détails sont sur le site de référence : Microsoft Learn)

Quatre types de politiques à maîtriser

La gestion des mises à jour Windows dans Intune repose sur plusieurs types de politiques complémentaires : les update rings, qui contrôlent les délais de déferral, les deadlines et le comportement au redémarrage ; les feature update policies, pour verrouiller ou cibler une version Windows précise ; les quality update policies, pour les mises à jour cumulatives mensuelles ; et enfin les driver update policies, qui assurent la compatibilité et la stabilité matérielle.

Les update rings permettent de créer des phases de déploiement classiques (test, pilote, production) en appliquant des paramètres différents à des groupes d’appareils distincts. C’est la brique de base, et elle est souvent sous-utilisée dans les organisations qui ont migré vers Intune sans vraiment repenser leur stratégie de patch management.

Windows Autopatch : la couche de service au-dessus

Windows Autopatch est un service cloud managé, intégré à Microsoft Intune, qui automatise la mise à jour des appareils Windows et maintient à jour les applications Microsoft 365. Il utilise les mêmes types de politiques que ceux disponibles manuellement dans Intune, en y ajoutant des capacités propres au service : regroupement dynamique des appareils, déploiements progressifs, supervision de la santé du parc et reporting. Microsoft Learn

Et sur ce sujet, une actualité concrète : Microsoft modifie le comportement par défaut de Windows Autopatch pour que les mises à jour de sécurité en mode « hotpatch » soient activées automatiquement pour les appareils éligibles gérés via Intune ou l’API Microsoft Graph, à partir de la mise à jour de sécurité Windows de mai 2026. Help Net Security

Le hotpatch mérite une explication. Ce mécanisme permet aux correctifs de sécurité de prendre effet immédiatement, sans nécessiter de redémarrage. Selon Microsoft, supprimer les délais liés aux redémarrages permettrait d’atteindre 90 % de conformité du parc en deux fois moins de temps. Help Net Security Ce n’est pas anodin pour les équipes IT qui luttent chaque mois contre le « patch Tuesday chaos ».

Les recommandations concrètes de Microsoft pour les non-utilisateurs d’Intune

Pour les organisations qui n’ont pas encore adopté Intune, Microsoft les invite à démarrer en définissant leur posture de sécurité, en configurant le comportement des mises à jour, en fixant des minimums de déploiement basés sur des politiques de conformité, en activant le Conditional Access si nécessaire, et en se concentrant uniquement sur la gestion des exceptions et la remédiation des problèmes de manière « délibérée ». 

Ce dernier point est peut-être le plus révélateur du changement de philosophie : on ne gère plus chaque mise à jour, on surveille les anomalies. C’est une approche plus mature, mais elle suppose que l’organisation soit à l’aise avec un certain niveau de délégation à Microsoft. Pour certaines DSI, c’est encore une ligne rouge.

Ce que cela implique

La migration vers ce modèle Intune-natif n’est pas qu’un changement d’outil, c’est une transformation de posture opérationnelle. Il faut auditer les licences (certaines fonctionnalités Autopatch nécessitent Windows Enterprise E3 ou E5), revoir la segmentation des groupes d’appareils, s’assurer de la couverture MDM du parc, et former les équipes à raisonner en termes de conformité plutôt qu’en termes de packages déployés.

Microsoft enrichit également les possibilités de granularité avec l’arrivée de politiques de gestion des quality updates individuelles dans Intune, permettant aux administrateurs d’approuver ou de rejeter des mises à jour spécifiques, y compris les previews hors bande, avec des options de déploiement progressif. 

En résumé : Microsoft ne demande pas aux DSI de « faire confiance et lâcher prise », mais de reconfigurer leur niveau d’intervention. Moins de gestion manuelle, plus de gouvernance par les politiques. La nuance est importante, même si elle n’est pas toujours bien perçue par les équipes habituées à toucher chaque package.