Microsoft renforce les exigences de sécurité pour Intune

L'éditeur applique des exigences de sécurité plus strictes à Intune MAM, son gestionnaire d'applications et des terminaux mobiles. Les entreprises qui n'ont pas effectué la mise à jour verront le lancement des applications bloqué.

Depuis le début de la semaine, Microsoft a commencé à mettre à jour Intune MAM (mobile application management) afin de prendre en charge les nouvelles exigences de sécurité. Cela signifie que toutes les applications iOS, les applications intégrées à iOS SDK et le portail d'entreprise Intune pour Android doivent être mis à jour vers les dernières versions du gestionnaire pour garantir leur sécurité et leur bon fonctionnement. Les entreprises qui n'auront pas effectué la mise à jour vers les dernières versions ne pourront plus lancer leurs applications. Cela peut concerner non seulement les applications personnalisées intégrées à Intune MAM, mais aussi d'autres programmes fréquemment utilisées telles qu'Outlook et Teams. En termes simples, « pour que ces applications fonctionnent, il est impératif de les mettre à jour », a expliqué David Shipley de Beauceron Security.

Détail des mises à jour sur iOS et Android

Intune est un composant essentiel du Modern Workplace. Ses fonctionnalités MAM aident les entreprises à sécuriser leurs données sur les appareils professionnels et personnels. Grâce à ce composant, les équipes IT peuvent gérer les applications d'entreprise telles qu'Outlook ou Teams sans avoir à gérer l'ensemble du terminal. Ce type de gestion unifiée des terminaux (Unified Endpoint Management, UEM) prend en charge le déploiement de fonctionnalités, les mises à jour et le retrait d'applications, tout en protégeant les données d'entreprise et en empêchant les fuites de données, avec (idéalement) un minimum de perturbations pour l'utilisateur. Avec la date limite ferme de lundi, Microsoft appliquera des exigences de sécurité plus strictes au sein de l'UEM, mais uniquement pour les utilisateurs approuvés. Ceux qui ne disposent pas de la dernière protection d'application prise en charge par le fournisseur ou des applications tierces « ne pourront pas lancer leurs applications », a averti l’entreprise. Toutes les mises à jour requises ont été annoncées il y a plusieurs mois par Microsoft dans le Centre d'administration Microsoft 365.

Pour les utilisateurs Apple, l'arrêt complet de lundi signifie que :

• Les applications métier (Line-of-Business, LOB) iOS et les applications iOS personnalisées utilisant le SDK Intune App doivent être mises à jour vers la version 20.8.0 ou ultérieure du SDK pour les applications compilées avec Xcode 16, et vers la version 21.1.0 ou ultérieure pour les applications compilées avec Xcode 26.

• Les applications utilisant le wrapper doivent être mises à jour vers la nouvelle version de l'outil Intune App Wrapping Tool pour iOS : vers la version 20.8.1 ou ultérieure pour les applications créées avec XCode 16 ; et vers la version 21.1.0 ou ultérieure pour les applications créées avec XCode 26.

C'est un peu plus simple pour les utilisateurs Android : dès qu'une application Microsoft avec un SDK mis à jour est installée sur l'appareil et que le portail de l'entreprise est mis à jour vers la version 5.0.6726.0 ou ultérieure, les autres applications Android seront mises à jour. « Les locataires dont les politiques ciblent à la fois les applications iOS et Android doivent informer leurs utilisateurs qu'ils doivent effectuer une mise à jour et s'assurer que les applications Microsoft comme Teams et Outlook sont à jour », a conseillé Microsoft.

Les administrateurs peuvent également activer des paramètres de lancement conditionnel pour bloquer les applications utilisant des versions plus anciennes du SDK ou pour avertir les utilisateurs s'ils utilisent des versions plus anciennes des applications. Les administrateurs peuvent aussi s'assurer de manière proactive que les utilisateurs ne sont pas bloqués lorsqu'ils travaillent sur leur téléphone. Dans le centre d'administration Intune, ils peuvent accéder à « Applis > Suivi > État de la protection de l’appli » pour vérifier les versions des applications et du SDK utilisées par les utilisateurs. « Nous recommandons de toujours mettre à jour les applications Android et iOS vers le dernier SDK ou wrapper d'application afin de garantir le bon fonctionnement de l’application », a souligné Microsoft. Dans l'ensemble, le fournisseur a conseillé aux entreprises d'utiliser des politiques d'accès conditionnel afin que seules les applications pour lesquelles des politiques de protection des applications sont activées puissent accéder aux ressources de l'entreprise.

Prise en charge de nouveaux outils de sécurité

« Avec ses nouvelles mises à jour de sécurité, Microsoft a intégré des contrôles aux applications personnalisées existantes développées par les entreprises », a expliqué M. Shipley de Beauceron. Ces contrôles permettent notamment d'exiger un code PIN ou une authentification biométrique dans l'application, de restreindre le partage de données avec d'autres applications gérées et d'effacer de manière sélective les données d'entreprise des applications. « Cette mise à jour est peut-être due au fait que les anciennes versions ne remplissaient pas correctement leur rôle de protection », a fait remarquer M. Shipley. Ce dernier rappelle que Microsoft avait annoncé cette mise à jour depuis 2025 et que l’entreprise avait déjà repoussé sa mise en œuvre de la mi-décembre 2025 à cette semaine. Il est également intéressant de noter que ce changement pourrait avoir un impact non seulement sur les applications personnalisées intégrées à Intune MAM, mais aussi sur Outlook, Teams et d'autres applications. « En résumé, en appliquant strictement cette décision, l’entreprise de Redmont finit par obtenir ce qu’elle voulait », a ajouté M. Shipley.

« Cette échéance ne devrait pas surprendre les équipes IT qui ont suivi l'évolution de la situation », a fait remarquer Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group. Microsoft déprécie depuis un certain temps déjà diverses parties d'Intune, ainsi que la manière dont il se connecte d'un point de vue infrastructurel. « Comme pour beaucoup d'autres choses, si l’on ne gère pas activement avec la diligence requise, on en subit les conséquences », a mis en garde M. Jean-Louis, soulignant que les employés qui effectuent des tâches professionnelles sur leur téléphone (à distance ou sur site) subiront des interruptions si les mises à jour ne sont pas effectives. « Cela aura un impact sérieux sur les utilisateurs si ce problème n'est pas traité de manière adéquate. » Du point de vue informatique, si les administrateurs ne sont pas prêts à installer la dernière version, ils doivent contacter Microsoft dès que possible et déterminer si des mesures d'atténuation peuvent être mises en place jusqu'à ce que leur équipe soit prête. « Si les utilisateurs rencontrent des problèmes, ils doivent contacter leur service d'assistance informatique officiel », a encore conseillé M. Jean-Louis. « Ils ne doivent pas essayer de résoudre eux-mêmes le problème, en se rendant par exemple sur un site au hasard et en saisissant aveuglément un identifiant et un mot de passe pour recevoir les mises à jour. Des acteurs malveillants pourraient être à l'affût, profitant de ce type d'occasion pour déployer des « correctifs » malveillants. « Les acteurs malveillants sont toujours à l'affût de ce genre de changement majeur pour en tirer profit », a-t-il déclaré.