Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

le combo idéal pour automatiser la gestion des applications

robopack un indispensable pour Intune
  • 11 juin 2026
  • ComputaSYS
  • Blog
  • 0


La gestion et la mise à jour régulières des applications tierces au sein d’un parc informatique constituent l’un des défis opérationnels les plus exigeants pour les administrateurs système. En cause : les mises à jour fréquentes des applications et la nécessité d’être réactif afin de patcher les dernières failles de sécurité.

Pour répondre à cette problématique à l’aide des outils Microsoft, les équipes techniques peuvent s’appuyer sur des solutions comme Intune et MECM (anciennement SCCM). Intune est d’ailleurs la solution privilégiée dans les entreprises équipées de Microsoft 365. Elle permet une gestion complète des terminaux et cela pour plusieurs plateformes (Windows, macOS, Android, etc.), en plus de permettre le déploiement d’applications.

Cependant, lorsqu’il s’agit de gérer le cycle de vie des logiciels, on est susceptible de rencontrer rapidement des limitations techniques. En effet, si vous avez l’habitude de packager des applications pour Intune, vous savez qu’il est souvent nécessaire d’effectuer la conversion manuelle des fichiers d’installation au format .intunewin via l’utilitaire Microsoft Win32 Content Prep Tool. Un processus fastidieux puisque l’étape de packaging dans ce format n’est pas la seule. Il est nécessaire d’identifier les arguments valides pour l’installation silencieuse (tels que /silent, /q ou /norestart), d’écrire des règles ou des scripts de détection PowerShell, puis d’enregistrer l’application sur le portail Microsoft Intune.

L’histoire se répète à chaque nouvelle version d’une application : télécharger le nouvel installeur, le packager, mettre à jour la logique de détection et configurer les règles de substitution dans Intune. Le travail de packager représente des heures et des heures par semaine dans certaines entreprises. Du temps est utilisé pour accomplir cette tâche, et en plus de cela, il y a un risque d’erreurs humaines (mauvais paramètres, déploiement accidentel, etc.).

C’est précisément pour combler les lacunes de Microsoft Intune et pour venir en aide aux packagers que la solution Robopack a été développée. Cette solution développée depuis le Danemark a été pensée pour se greffer sur Intune, et surtout, elle permet d’automatiser complètement la gestion des applications.

Cet article inclut une communication commerciale pour Robopack.

Le concept et l’architecture de Robopack

Robopack se présente comme une plateforme Cloud de type SaaS conçue spécifiquement pour orchestrer et automatiser la gestion des applications directement au sein de Microsoft Intune. L’intégration est simple puisqu’elle vient se greffer à Microsoft Intune en enregistrant une application sur votre tenant Microsoft 365. Toute l’orchestration de Robopack sera donc visible côté Intune et Entra ID, où la solution va venir piloter la gestion des applications à votre place.

Surtout, vous n’avez rien à prévoir sur vos appareils : elle ne repose pas sur l’utilisation d’un agent, donc elle n’impacte pas les performances des terminaux. Elle exploite les mécanismes déjà disponibles dans Intune et Entra ID pour mettre en œuvre les actions configurées depuis son portail.

La solution Robopack est adaptée pour les entreprises avec un seul site, celles dotées de plusieurs filiales et même pour les fournisseurs de services MSP. En effet, elle peut superviser des milliers de postes de travail et un grand nombre d’applications, que ce soit sur un tenant ou plusieurs tenants Microsoft 365.

Enfin, sachez que l’infrastructure de Robopack est hébergée au Danemark, au sein de l’Union européenne. Un point important vis-à-vis du RGPD et de la souveraineté numérique des entreprises.

La fonctionnalité Radar : cartographie applicative

Le premier pilier de RoboPack, c’est son module baptisé Radar. Il est impossible de sécuriser ce que l’on ne voit pas, Robopack va donc vous aider à avoir une vue exhaustive de votre parc applicatif. Pour cela, Robopack va scanner l’intégralité de votre tenant Intune afin de collecter les informations à deux endroits :

Il répertorie toutes les applications configurées et déployées via Intune.

Il interroge l’inventaire des applications découvertes remonté par Microsoft 365 pour chaque appareil.

Grâce à cette analyse, vous savez exactement quelles sont les applications déployées sur vos appareils, quelles sont les versions installées (il n’est pas rare de constater une fragmentation) et sur quels appareils sont installées les différentes applications.

Une fois cette vue d’ensemble entre vos mains grâce à Robopack Radar, vous pouvez basculer vers la remédiation en initiant un flux pour le patching. Deux approches sont offertes :

Patch Flow : un workflow pour automatiser le patching d’une application spécifique.

Patch Groups : un workflow pour automatiser le patching d’un ensemble d’applications (par exemple : les applications bureautiques).

Une fois qu’une application est associée à un workflow Robopack, son cycle de vie ne sera plus jamais statique. Surtout, l’administrateur n’a plus à se soucier de la publication des futures versions : dès qu’une mise à jour disponible est validée par RoboPack, elle est injectée automatiquement dans le workflow et déployée sur vos appareils.

À ce propos, Robopack offre beaucoup plus de souplesse que Microsoft Intune et propose une orchestration basée sur des vagues. Autrement dit, Robopack peut gérer le déploiement progressif de chaque application. C’est un principe essentiel pour éviter qu’une mise à jour foireuse paralyse l’activité de votre entreprise.

Ainsi, il est assez fréquent d’imaginer un déploiement en trois vagues :

Vague 1 : le groupe pilote informatique. L’équipe technique reçoit la mise à jour en premier.

Vague 2 : le groupe des utilisateurs pilotes. Cette étape élargit le test à un panel restreint d’utilisateurs (volontaires), permettant de valider le comportement du logiciel en conditions réelles.

Vague 3 : le déploiement général. Une fois les étapes précédentes validées, le logiciel est déployé sur l’intégralité des postes de travail de l’entreprise. Libre à vous de restreindre cette vague, d’ajouter des filtres et même une vague supplémentaire.

Chaque vague est personnalisable selon un ensemble de critères permettant d’avoir un contrôle précis. Il y a notamment deux critères clés qui vont déterminer si Robopack doit passer ou non à la vague suivante :

Le taux de réponse : quel est le pourcentage de machines qui doit avoir tenté l’installation de cette version.

Le taux de réussite : parmi ces machines ayant tenté l’installation, quel est le pourcentage de réussite ? C’est le minimum requis pour considérer que l’on peut passer à la vague suivante.

Si ces seuils sont atteints, Robopack valide automatiquement le passage à la vague suivante (sauf si vous configurez la vague pour que ce ne soit pas le cas). À l’inverse, le déploiement se bloque, préservant le reste du parc.

Note : pour les MSP, il est envisageable d’appliquer un workflow sur un ensemble de tenants Microsoft 365.

Le Radar Tracking : luttez contre le Shadow IT

Il est essentiel de faire la différence entre les personnes qui ont besoin d’une application et celles qui ont une application. Ce que nous venons de voir précédemment répond à la première condition.

Autrement dit, si un utilisateur est parvenu à installer une application par ses propres moyens et que sa machine n’est pas dans le périmètre du workflow mis au point précédemment, alors il est considéré hors périmètre. Ainsi, il a l’application sur sa machine, mais elle ne sera jamais mise à jour.

Même s’il s’agit d’une mise à jour de sécurité, cette machine ne recevra pas la mise à jour : c’est un angle mort majeur pour la sécurité globale du système d’information.

En réponse à cette problématique de non-conformité, Robopack propose une fonctionnalité nommée Radar Tracking. Lorsqu’elle est activée sur un workflow, elle va scruter l’ensemble des rapports d’inventaire du tenant. Dès qu’elle détecte qu’un ordinateur possède l’application à laquelle s’applique le Patch Flow, elle l’identifie immédiatement comme devant faire partie du périmètre de gestion.

Ainsi, l’application sera mise à jour sur cet appareil également, bien qu’il ne soit pas dans le périmètre initial.

Note : côté Microsoft Entra ID, Roboback va créer un groupe de sécurité pour y injecter l’objet ordinateur détecté. Ce groupe généré est ensuite rattaché par Robopack aux vagues de déploiement de l’application au sein de Microsoft Intune.

La bibliothèque d’applications Robopack

Robopack propose “Instant Apps”, un catalogue qui rassemble plus de 46 000 applications prépackagées et documentées. Ce catalogue très complet couvre de nombreux besoins, et surtout, il va grandement aider le déploiement d’une nouvelle application.

Oubliez le processus habituel (et fastidieux) qui consiste à créer une application dans Intune en recherchant en amont les bons commutateurs pour l’installation silencieuse et tout ce qui s’ensuit. Robopack élimine cette étape.

Le catalogue de Robopack est constitué d’applications testées, vérifiées, documentées et prêtes pour le déploiement. Même si tout est prêt, vous pouvez voir les détails associés à chaque paquet (dont les commandes utilisées). Dans tous les cas, un simple clic sur l’option d’importation suffit pour importer l’application dans votre espace Robopack ou directement dans votre bibliothèque Intune.

Bien que Robopack effectue toutes les étapes de packaging à votre place, vous gardez le contrôle. Nous le verrons par la suite avec le déploiement d’une application sur-mesure, mais concrètement Robopack permet différentes actions :

Altération des lignes de commande : l’administrateur peut modifier la commande d’installation, par exemple en y ajoutant des paramètres spécifiques pour empêcher le redémarrage automatique du poste.

Injection de valeurs dans le registre : l’interface permet de définir des clés et des valeurs de registre (chaînes, DWORD, etc.),ce qui peut permettre de préconfigurer l’application.

Déploiement de fichiers locaux : pour la configuration d’une application, vous pouvez aussi demander à Robopack de téléverser des fichiers de configuration spécifiques (fichiers .ini, .xml ou même un fichier de licence).

Intégration de scripts PowerShell : pour aller encore plus loin et répondre à certains scénarios complexes, Robopack permet d’insérer des blocs de code PowerShell à exécuter à des moments précis (en post-installation, par exemple).

Les applications personnalisées : automatiser le sur-mesure

Si le catalogue Instant Apps de Robopack couvre une majorité des besoins, chaque organisation possède des applications métiers spécifiques. De ce fait, elles ne sont pas forcément disponibles dans les catalogues publics (comme WinGet et le Microsoft Store). Pour répondre à ce besoin, Robopack a aussi une solution : le module “Custom Apps”.

Son objectif : industrialiser la création de packages sur-mesure. En effet, même si c’est une application spécifique, Robopack est là pour vous aider.

Le principe est le suivant :

L’administrateur dépose un fichier d’installation (exécutable, MSI) sur Robopack.

La plateforme prend le délai afin de déclencher un processus en 8 étapes qui va commencer par un scan de sécurité pour vérifier que l’installeur est sain. Ensuite, Robopack va s’occuper de comprendre comment fonctionne l’installation de cette application afin d’en créer un paquet prêt à l’emploi grâce au PowerShell App Deployment Toolkit (PSADT).

Tout ce travail s’effectue en arrière-plan sur les serveurs de Robopack, au Danemark. Même si cette recette est comme tenue secrète, ce que je sais, c’est que Robopack provisionne une machine virtuelle éphémère pour effectuer les tests associés à votre package. Il va notamment détecter les modifications apportées au système, voir quelles sont les entrées créées dans le Registre Windows, etc…. Afin de déterminer comment installer cette application de façon silencieuse et automatique.

Environ trois minutes plus tard, le paquet prêt à l’emploi sortira de l’usine Robopack : c’est à ce moment que le nom de la solution prend tout son sens. Surtout, vous venez de gagner plusieurs heures de travail (et parfois des heures de frustration). Dans le cas où cela ne fonctionne pas, car oui cela peut arriver : le support Robopack est là pour prendre le relais afin de trouver une solution.

Conclusion

Robopack est une solution avec une forte valeur ajoutée pour les entreprises qui ont la volonté de gérer correctement le cycle de vie des applications au niveau des appareils de l’entreprise. Même si Robopack est actuellement limité à la prise en charge de Windows pour le moment, la compatibilité avec macOS est en cours de développement et elle est prévue pour 2026.

La solution Robopack est proposée selon deux formules :

Gratuite jusqu’à 100 appareils et 1 tenant.

Payant pour éliminer les différentes limites, avec un coût de 900 euros par an de 101 à 256 appareils. Au-delà, comptez entre 3 euros et 3,50 euros par an/par appareil.

Quand on voit le bénéfice de cette solution, l’investissement sera sans aucun doute très rapidement rentabilisé. Il y a des bénéfices à plusieurs niveaux, notamment côté sécurité et administration des appareils. Surtout, votre équipe technique n’effectue plus de packaging manuel des applications : c’est donc du temps gagné au quotidien. Ces heures économisées pourront permettre de passer du temps sur des tâches avec une valeur ajoutée plus importante.

Envie de tester ? Suivez ce lien ! Si vous demandez une démo, sachez qu’elle sera assurée en français.

FAQ – Robopack

Qu’est-ce que Robopack ?

Robopack est une plateforme SaaS cloud centralisée conçue pour automatiser le cycle de vie et le déploiement des applications au sein de Microsoft Intune. Son intégration s’effectue de manière native via les API sécurisées de Microsoft Graph, ce qui lui permet de synchroniser le catalogue applicatif et d’orchestrer les déploiements directement sur le tenant Intune de l’organisation sans intermédiaire lourd.

La solution Robopack nécessite-t-elle l’installation d’un agent sur les postes clients ?

Non, la solution Robopack est agentless. Elle n’impose l’installation d’aucun service ou logiciel sur les postes de travail des utilisateurs finaux. Toutes les actions de déploiement, de mise à jour et d’inventaire s’appuient sur les mécanismes natifs de Microsoft Intune.

Où sont hébergées les données de Robopack ?

Toutes les infrastructures, les serveurs et les dépôts de données de Robopack sont localisés et hébergés au Danemark, un pays membre de l’Union européenne. Cette implantation géographique assure une conformité avec le Règlement général sur la protection des données (RGPD).

Quelle est la différence entre le module Radar et le Radar Tracking ?

Le module Radar est un outil d’inventaire et de cartographie globale qui scanne le tenant Intune pour lister les applications installées (qu’elles soient issues d’Intune ou découvertes sur les machines) avec leurs versions respectives.

Le Radar Tracking est une fonctionnalité qui crée automatiquement des groupes de sécurité dans Microsoft Entra ID pour y inclure dynamiquement tous les postes où une application spécifique a été détectée (y compris hors des canaux officiels), afin de les forcer à intégrer le flux de mise à jour.

Comment fonctionnent les vagues de déploiement dans Robopack ?

Les vagues de déploiement permettent de planifier un déploiement applicatif progressif sur les appareils. Au lieu de cibler tout le parc d’un coup, Robopack orchestre le déploiement de façon à distribuer l’application par vagues successives. Par exemple en commençant par un groupe pilote informatique (Wave 1), puis un groupe d’utilisateurs testeurs métiers (Wave 2), avant d’étendre le déploiement à l’ensemble des postes de travail (Wave 3).

Qu’est-ce que le framework PSADT utilisé par Robopack ?

PSADT (PowerShell App Deployment Toolkit) est un framework open source qui fournit un ensemble de fonctions et une structure robuste pour automatiser le déploiement d’applications en entreprise. Robopack utilise ce framework pour envelopper les applications personnalisées et en faire des paquets prêts à l’emploi. L’utilisation de ce framework est essentielle pour garantir une gestion normalisée des codes d’erreur, des installations silencieuses et des journaux uniformes.

Qu’est-ce qu’un groupe de correctifs (Patch Group) ?

Un groupe de correctifs est un modèle logique permettant d’appliquer une même politique de vagues de déploiement à plusieurs applications simultanément. Autrement dit, au lieu de devoir configurer un Patch Flow individuel pour chaque logiciel, vous utilisez une approche par groupe. En complément, pour un fournisseur de services en mode MSP, cela permet d’industrialiser la maintenance de dizaines d’applications à travers de multiples tenants clients en une seule opération standardisée.

Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *