Introduction
La gestion des mises à jour des applications Microsoft 365 Apps représente un enjeu critique pour la sécurité et la productivité en entreprise. Chaque mois, Microsoft publie des correctifs de sécurité essentiels pour Outlook, Word, Excel, PowerPoint et Teams. L'absence de stratégie de mise à jour expose votre organisation à des vulnérabilités connues et exploitables.
Important
Ne pas maintenir vos applications Microsoft 365 à jour transforme votre suite de productivité en vecteur de risque majeur pour votre organisation.
Les canaux de mise à jour Microsoft 365 Apps
Microsoft 365 Apps utilise un modèle de distribution par canaux de mise à jour qui détermine la fréquence et le contenu des mises à jour reçues. Cette approche diffère radicalement de l'ancien modèle MSI où une version spécifique était déployée puis maintenue indéfiniment.
Vue d'ensemble des canaux disponibles
| Canal | Fréquence | Cas d'usage |
|---|---|---|
| Current Channel | Plusieurs fois par mois | Non recommandé en production |
| Monthly Enterprise Channel (MEC) | Une fois par mois | Environnements modernes |
| Semi-Annual Enterprise Channel (SAEC) | Janvier et juillet | Industries réglementées |
| SAEC Preview | Mars et septembre | Tests de compatibilité |
| Beta Channel | Continue | Réservé aux tests |
Comparaison MEC vs SAEC
Pour la majorité des entreprises, le choix se limite à deux options principales :
| Critère | Monthly Enterprise Channel | Semi-Annual Enterprise Channel |
|---|---|---|
| Nouvelles fonctionnalités | Chaque mois | Tous les 6 mois |
| Correctifs de sécurité | Inclus mensuellement | Mensuels entre les releases |
| Stabilité | Bonne | Excellente |
| Support Microsoft | 12 mois par version | 24 mois par version |
| Fenêtre de test | 1 mois | 6 mois |
Astuce
Choisissez MEC pour bénéficier rapidement des nouvelles fonctionnalités. Optez pour SAEC si la stabilité prime sur l'innovation.
Configuration des canaux via Intune Settings Catalog
Le Settings Catalog d'Intune remplace avantageusement les anciennes stratégies ADMX. Cette approche moderne offre une interface intuitive et s'aligne sur les recommandations actuelles de Microsoft.
Création du profil de configuration
Accès au centre d'administration
Connectez-vous au portail Intune : https://intune.microsoft.com Naviguez vers Devices > Configuration
Création du profil
Cliquez sur Create > New Policy Sélectionnez :
- Plateforme : Windows 10 and later
- Type de profil : Settings catalog
Nommage du profil
Attribuez un nom explicite :
- "M365 Apps - MEC - Production"
- "M365 Apps - SAEC - Finance"
Configuration des paramètres
Dans l'onglet Configuration settings, ajoutez les paramètres suivants :
1# Paramètres recommandés2$settings = @{3 "Channel Name (Device)" = "Monthly Enterprise Channel"4 "Enable Automatic Updates" = "Enabled"5 "Hide Update Notifications" = "Enabled"6 "Hide option to enable or disable updates" = "Enabled"7 "Delay downloading and installing updates" = "5"8}
Attribution des groupes
Assignez le profil aux groupes appropriés :
- Groupes pilotes pour les tests
- Groupes de production après validation
Finalisation
Cliquez sur Create pour activer la politique
Stratégie de déploiement progressif
Architecture de déploiement recommandée
Une approche par phases minimise les risques et garantit la stabilité :
Bon à savoir
Un déploiement progressif permet de détecter les problèmes de compatibilité avant un déploiement généralisé.
Pour Monthly Enterprise Channel (MEC)
- Phase 1 : Groupe IT (0 jour de délai)
- Phase 2 : Utilisateurs pilotes (5 jours de délai)
- Phase 3 : Déploiement général (5-7 jours de délai)
Pour Semi-Annual Enterprise Channel (SAEC)
- Phase 1 : Groupe pilote 50-100 utilisateurs (0 jour de délai)
- Phase 2 : Déploiement production (5 jours de délai)
Script PowerShell de vérification
1# Vérifier le canal actuel sur un poste2$officeConfig = Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" -Name "CDNBaseUrl" -ErrorAction SilentlyContinue3 4if ($officeConfig) {5 $channel = switch -Wildcard ($officeConfig.CDNBaseUrl) {6 "*492350f6-3a01-4f97-b9c0-c7c6ddf67d60*" { "Current Channel" }7 "*55336b82-a18d-4dd6-b5f6-9e5095c314a6*" { "Monthly Enterprise Channel" }8 "*b8f9b850-328d-4355-9145-c59439a0c4cf*" { "Semi-Annual Enterprise Channel" }9 default { "Unknown Channel" }10 }11 Write-Host "Canal actuel : $channel" -ForegroundColor Green12} else {13 Write-Host "Configuration Office non trouvée" -ForegroundColor Red14}Monitoring et validation
Via le centre d'administration Microsoft 365 Apps
Accédez au portail : https://config.office.com
Dans la section Inventory, consultez :
- Distribution des versions par canal
- État de support des builds
- Conformité des déploiements
Script de rapport PowerShell
1# Générer un rapport de conformité2Connect-MgGraph -Scopes "Directory.Read.All"3 4$devices = Get-MgDevice -Filter "operatingSystem eq 'Windows'" -All5$report = @()6 7foreach ($device in $devices) {8 # Récupérer les infos Office via l'API Graph9 $officeInfo = Get-MgDeviceRegisteredOwner -DeviceId $device.Id10 11 $report += [PSCustomObject]@{12 DeviceName = $device.DisplayName13 LastSync = $device.ApproximateLastSignInDateTime14 ComplianceState = $device.ComplianceState15 }16}17 18$report | Export-Csv -Path "Office365_Compliance_Report.csv" -NoTypeInformationAttention
Assurez-vous de disposer des permissions Graph API nécessaires avant d'exécuter ces scripts.
Glossaire des termes
- CDN (Content Delivery Network) : Infrastructure de distribution des mises à jour Microsoft
- CVE (Common Vulnerabilities and Exposures) : Identifiants standardisés des vulnérabilités
- ADMX : Fichiers de modèles administratifs pour les stratégies de groupe
- Settings Catalog : Interface moderne de configuration des politiques dans Intune
- Build : Version spécifique d'une application Microsoft 365