Intune : gestion des vulnérabilités et mises à jour des apps, découvrez les nouveautés de juin 2026
Le 25 juin 2026, Microsoft a dévoilé les dernières nouveautés Intune, placées sous le signe de l’IA et de la réduction des vulnérabilités. Au menu : un agent IA capable de hiérarchiser les CVE sur les postes Windows, des mises à jour applicatives automatiques qui passent en disponibilité générale, un Endpoint Privilege Management étendu aux postes partagés, et une bascule de licences à anticiper avant le 1er juillet 2026. Voici l’essentiel à savoir.
Microsoft Intune renforce sa lutte contre les failles de sécurité
Premier chantier auquel s’est attaqué Microsoft en juin 2026 : réduire la fenêtre d’exposition aux failles. La fonctionnalité de mises à jour automatiques d’Enterprise Application Management (EAM) passe en disponibilité générale. Elle maintient les applications gérées sur la dernière version mineure disponible (par exemple pour passer automatiquement de vers ), sans repackaging ni intervention de l’administrateur.
Selon la documentation Microsoft, cela concerne les applications de l’Enterprise App Catalog affectées en mode « Requis », sur Windows 10 et Windows 11. Même si l’on est encore loin de l’approche offerte par Robopack, c’est un premier pas en avant appréciable.

Reste le risque qui surgit entre deux cycles de mises à jour. C’est là qu’intervient un agent IA nommé Vulnerability Remediation Agent, désormais accessible en préversion publique. Opérant au sein de Microsoft Security Copilot, il s’appuie sur Microsoft Defender Vulnerability Management pour hiérarchiser les CVE sur les appareils Windows gérés par Intune, selon plusieurs critères :
- Le score CVSS de la vulnérabilité,
- L’impact en matière d’exposition,
- Le nombre d’appareils concernés.
Les recommandations s’affichent dans le centre d’administration Intune, avec résumé d’impact assisté par Copilot, systèmes exposés et guide de remédiation, puis peuvent être marquées comme traitées. Deux limites à connaître : en préversion, l’agent ne couvre que les éditions Windows client (pas Windows Server) et ne propose aucune remédiation automatique. C’est bien à l’administrateur de passer à l’action !
Autre nouveauté de juin 2026 : l’agent s’exécute désormais sous une identité d’agent Microsoft Entra dédiée, et non sous un compte utilisateur associé à un humain, ce qui borne son périmètre et offre un journal d’audit clair.
Privilèges étendus, inscription Apple et M365 E5
Le risque vient aussi de qui obtient des droits, et comment. Deux capacités d’Endpoint Privilege Management (EPM) passent en disponibilité générale, pour les environnements qui ne suivent pas le modèle “un seul utilisateur par appareil” (autrement dit avec des postes partagés) :
- Les demandes d’approbation pour les utilisateurs non propriétaires, qui étendent les demandes d’élévation à n’importe quel utilisateur d’un poste (utile sur les postes partagés entre équipes).
- La configuration réseau au niveau système, qui autorise des utilisateurs standards à modifier certains paramètres réseau (adresse IP, passerelle, DNS) sans droits d’administrateur local, là où il fallait auparavant un appel au support ou des droits admin temporaires.
“Désormais, les administrateurs peuvent préautoriser certaines modifications du réseau via des règles et n’ont plus à choisir entre productivité et contrôle.”, précise Microsoft.
Côté Apple, Microsoft revoit l’inscription automatisée des appareils (Automated Device Enrollment, ADE), le mécanisme qui enrôle iPhone, iPad et Mac d’entreprise sans manipulation, dès le premier démarrage. Les profils iOS/iPadOS et macOS basculent sur une nouvelle infrastructure, avec une expérience repensée et des réglages plus fins.
Mais le vrai gain pour les DSI, c’est l’enrollment time grouping (ETG), désormais en disponibilité générale sur toutes les plateformes. Jusqu’ici, un Mac ou un iPhone fraîchement inscrit arrivait entre les mains du collaborateur avant que toutes les stratégies de sécurité et applications métier ne soient appliquées : l’utilisateur patientait, le poste restait partiellement exposé et le support récoltait les tickets « où sont mes applications ? ». Avec l’ETG, l’appareil est rattaché à son groupe dès l’inscription : conformité et applications attendues sont déjà en place quand l’employé déverrouille l’écran pour la première fois. Apple rejoint ainsi le provisionnement Zero Touch que les administrateurs connaissent sur Windows avec Autopilot.
Dernier point à noter : EPM et EAM rejoignent l’offre Microsoft 365 E5 à compter du 1er juillet 2026, dans la continuité des changements de fonctionnalités et de tarifs Microsoft 365 annoncés en décembre 2025. Des fonctionnalités en plus dans une licence, c’est toujours bon à prendre !
Retrouvez toutes les informations dans cet article publié par Microsoft.