La modernisation de l’architecture de gestion des terminaux moderne répond à l’évolution des usages : mobilité accrue, télétravail généralisé et exigence de sécurité renforcée. En combinant ConfigMgr, éprouvé pour gérer les infrastructures on-premises, et Intune, conçu pour le cloud, les organisations bénéficient du meilleur des deux mondes. Microsoft Entra ID joue un rôle central en assurant l’authentification unique, l’accès conditionnel et la synchronisation des identités dans un environnement hybride. Intune deploiement s’inscrit dans cette logique de convergence entre gestion traditionnelle et cloud.
Cette introduction pose les fondations d’une mise en place de la cogestion Intune structurée, pensée pour limiter les risques et maximiser la valeur métier. La suite de l’article détaille la migration SCCM vers Intune pas à pas, de l’audit des prérequis jusqu’au pilotage opérationnel des charges de travail.
À retenir :
- Le co-management SCCM Intune permet une gestion hybride des postes, alliant ConfigMgr et Intune pour une transition optimale.
- Microsoft Entra ID unifie les identités et offre une sécurité accrue par des stratégies d’accès conditionnel.
- Les prérequis incluent des versions spécifiques de Windows et ConfigMgr pour activer l’enrôlement MDM.
- Les méthodologies d’enrôlement varient entre Autopilot, GPO et scripts PowerShell, selon l’environnement existant.
- La gouvernance claire est cruciale, avec le rôle des DSI et la définition précise des responsabilités facilitant la coordination.
- Le déploiement progressif est clé, permettant une validation étape par étape et un ajustement des stratégies selon les retours d’expérience.
Comprendre les principes du co-management entre SCCM et Intune
Le co-management permet la gestion simultanée des appareils Windows via Configuration Manager et Microsoft Intune (Source : Microsoft — 2024-12-04). Cette approche hybride constitue le pont entre la gestion traditionnelle sur site et la modernisation de la gestion du poste de travail dans le cloud.
Définir le co-management et ses principaux composants
Le co-management s’appuie sur deux piliers technologiques : le client ConfigMgr, historiquement utilisé pour administrer les postes de travail en entreprise, et la gestion MDM Intune, qui offre des capacités natives de gestion cloud. Cette coexistence SCCM et Intune permet aux organisations de maintenir leurs investissements existants tout en adoptant progressivement les services cloud de Microsoft Endpoint Manager. Le dispositif s’articule autour de charges de travail configurables que l’on peut basculer sélectivement entre Configuration Manager et Intune, offrant ainsi une flexibilité dans la migration MECM vers Intune.
Limites de la gestion traditionnelle et ouverture vers le cloud
La gestion traditionnelle SCCM présente des contraintes importantes pour les environnements modernes : dépendance au réseau d’entreprise, complexité de maintenance des infrastructures sur site, et difficultés à gérer les appareils distants ou mobiles. L’ouverture vers le cloud via Intune répond à ces limitations en proposant une gestion unifiée des terminaux accessible depuis n’importe où, une intégration native avec MDM et MAM Microsoft 365, et des mises à jour automatiques sans infrastructure lourde à maintenir.
Microsoft Entra ID comme clé de l’identité
Microsoft Entra ID constitue la pierre angulaire du co-management en tant que service d’identité cloud unifié. Il garantit l’authentification des utilisateurs et des appareils, notamment via Microsoft Entra ID hybrid join qui permet aux postes de travail d’être joints simultanément à Active Directory local et à Entra ID. Cette double appartenance active les mécanismes de Conditional Access, autorisant des stratégies d’accès conditionnel sophistiquées basées sur l’identité, l’état de conformité de l’appareil et le contexte de connexion.
Différencier co-management, tenant attach et modern management
| Approche | Description | Usage principal |
|---|---|---|
| Co-management | Gestion simultanée via ConfigMgr et Intune avec charges de travail partagées | Transition progressive vers le cloud |
| Tenant attach | Connexion de Configuration Manager à Intune sans basculer les charges de travail | Visibilité cloud sans migration immédiate |
| Modern management | Gestion 100 % cloud via Intune uniquement | Nouveaux appareils et scénarios cloud-first |
Chaque organisation choisira son parcours selon sa maturité cloud et ses contraintes opérationnelles. Le chapitre suivant détaillera les prérequis techniques nécessaires pour déployer efficacement cette architecture, notamment en explorant le plan de migration SCCM vers Microsoft Intune.
Prérequis techniques et intégration avec Microsoft Entra ID
Pour activer la cogestion entre SCCM et Intune, l’environnement doit répondre à des exigences précises en termes de versions logicielles, de configuration cloud et de licences. D’après Microsoft, les appareils doivent exécuter Windows 10 version 1803 ou ultérieure pour un enrôlement automatique dans la cogestion (Source : Microsoft — 2026-02-19). Cette exigence garantit la compatibilité avec les mécanismes d’enrôlement MDM modernes et la jointure hybride Entra ID.
Versions supportées de Windows et Configuration Manager
La mise en place de la cogestion Intune nécessite Windows 10 (build 1803 minimum) ou Windows 11 sur les postes clients. Côté serveur, Configuration Manager doit être en version 1810 ou supérieure pour bénéficier du support complet de la cogestion et des fonctionnalités de tenant attach SCCM Intune. Les versions antérieures ne permettent pas d’activer l’enrôlement automatique ni d’exploiter les rapports consolidés dans le portail Microsoft Endpoint Manager. Il est recommandé de maintenir Configuration Manager à jour via la branche Current Branch pour profiter des dernières améliorations de la migration ConfigMgr vers Intune.
Configuration préalable de Microsoft Entra ID hybride
L’intégration repose sur la synchronisation entre Active Directory local et Microsoft Entra ID. Il convient de déployer Azure AD Connect (ou Entra Connect) pour répliquer les identités utilisateurs et ordinateurs vers le tenant cloud. La jointure hybride Entra ID permet aux machines de rester jointes au domaine Active Directory tout en s’enregistrant automatiquement dans le cloud. Cette configuration garantit que les stratégies de conformité et de sécurité puissent être appliquées de manière cohérente, quelle que soit la localisation des appareils. Un audit SCCM avant migration Microsoft Intune permet de vérifier la compatibilité des objets et des GPO avant d’activer Hybrid Join.
Autorisations MDM et jointure hybride
Dans le portail Microsoft Entra ID, l’administrateur doit autoriser l’enrôlement automatique des appareils dans Intune en configurant l’étendue utilisateur MDM. Cette étape active la connexion au cloud pour les postes Windows rejoints en mode hybride. Les prérequis co-management incluent également la création d’un certificat de confiance entre Configuration Manager et le tenant Intune, via l’assistant de configuration de la cogestion. Le tableau ci-dessous synthétise les étapes clés de la configuration :
| Étape | Action | Portail |
|---|---|---|
| 1 | Activer l’étendue utilisateur MDM | Microsoft Entra ID |
| 2 | Configurer Hybrid Join via Azure AD Connect | Azure AD Connect / Entra Connect |
| 3 | Lancer l’assistant de co-management | Console Configuration Manager |
| 4 | Vérifier l’enrôlement automatique | Microsoft Endpoint Manager |
Droits d’administration et licences Microsoft 365
Les administrateurs doivent disposer du rôle Administrateur Intune et Administrateur de point de terminaison dans Microsoft Entra ID. Du côté de Configuration Manager, le compte de service nécessite les autorisations Full Administrator ou Infrastructure Administrator. Côté licences, chaque utilisateur concerné doit posséder au minimum une licence Microsoft 365 E3 ou EMS E3 incluant Intune. Ces prérequis co-management garantissent que les stratégies de conformité, de mise à jour et de sécurité puissent être déployées sans interruption. Pour approfondir la planification de cette transition, consultez notre guide pour intégrer Microsoft Entra ID Intune migration SCCM, qui détaille les phases d’authentification et de synchronisation des identités. En veillant à remplir ces conditions, les organisations posent les fondations d’une gouvernance unifiée qui facilite le passage progressif vers une gestion cloud native.
Déploiement progressif et scénarios techniques de co-management
Le déploiement Microsoft Intune en environnement hybride repose sur une approche progressive qui minimise les risques et permet une validation par étape. La bascule des workloads vers Intune s’effectue de manière contrôlée, en commençant par des groupes pilotes avant une généralisation à l’ensemble du parc.
Configuration de la bascule progressive des workloads
La migration progressive workloads s’organise autour de sept charges principales dans le Microsoft Endpoint Manager : les stratégies de conformité (Compliance policies), les stratégies de configuration des appareils, la gestion des applications, Windows Update, Endpoint Protection, les stratégies d’accès aux ressources et Office Click-to-Run. D’après Microsoft, l’enrôlement automatique dans Intune doit être activé pendant l’activation de la cogestion pour un déploiement progressif (Source : Microsoft — 2026-02-19). Chaque workload peut être basculée indépendamment vers Intune via un curseur dans la console Configuration Manager, offrant ainsi une flexibilité totale. La stratégie recommandée consiste à démarrer avec les stratégies de conformité, puis de poursuivre avec les applications métier avant d’attaquer les mises à jour.
Méthodes d’enrôlement des appareils dans le co-management
Trois approches principales permettent d’enrôler les postes dans Intune. Autopilot constitue la méthode moderne privilégiée pour les nouveaux appareils : elle permet un provisionnement automatisé directement depuis le cloud, sans intervention manuelle. Pour les environnements Active Directory existants, l’enrôlement via GPO (Group Policy Object) reste la solution la plus rapide pour déployer massivement l’agent de co-management. Enfin, un script PowerShell peut être exécuté localement ou via SCCM pour forcer l’inscription, offrant une alternative flexible aux organisations ayant des contraintes spécifiques. Le choix dépend de la maturité cloud de l’organisation et de l’état du parc existant.
Scénarios Tenant Attach et Cloud Management Gateway
Le tenant attach SCCM Intune connecte l’infrastructure Configuration Manager au cloud Microsoft, permettant de visualiser et gérer les appareils SCCM directement depuis l’Intune admin center. Cette fonctionnalité offre une console unifiée pour les administrateurs, facilitant la transition vers une architecture hybride co-management SCCM Intune. Le Cloud Management Gateway (CMG) constitue quant à lui une passerelle sécurisée hébergée dans Azure, qui autorise les appareils nomades à recevoir des stratégies et des mises à jour SCCM sans VPN. Ces deux composants forment le socle technique de la migration de la gestion des endpoints vers Microsoft 365.
Exemple de plan pilote avant déploiement global
| Phase | Population cible | Workloads activés | Durée |
|---|---|---|---|
| Pilote 1 | Équipe IT (20 postes) | Compliance policies | 2 semaines |
| Pilote 2 | Département Finance (50 postes) | Compliance + Applications | 3 semaines |
| Pilote 3 | Directions métier (150 postes) | Compliance + Apps + Updates | 4 semaines |
| Production | Ensemble du parc | Tous workloads | Progressif sur 3 mois |
Ce plan pilote permet d’identifier les blocages techniques, de former les équipes et d’ajuster les stratégies avant la généralisation. Une fois le pilote validé, la migration progressive workloads SCCM vers Intune peut être orchestrée par vagues successives, en s’appuyant sur les enseignements du pilote. La phase suivante abordera la sécurisation et la gouvernance de cet environnement hybride.
Gouvernance, supervision et conduite du changement
La réussite d’un projet de modernisation poste de travail repose sur une gouvernance claire et des mécanismes de supervision robustes. D’après Microsoft, la mise en place de la co-gestion nécessite une version de Configuration Manager « current branch » supportée (Source : Microsoft — 2024-12-04). Cette exigence technique doit être intégrée dès la phase de cadrage pour garantir la compatibilité et la sécurité de l’environnement.
Rôles et responsabilités dans la gestion unifiée des terminaux
La définition précise des rôles et responsabilités constitue le socle de la gouvernance IT cloud. Les DSI pilotent la stratégie globale et arbitrent les priorités, tandis que les chefs de projet orchestrent la planification, les jalons et la communication transverse. Les techniciens assurent quant à eux le déploiement opérationnel, la résolution des incidents et la documentation technique. Cette répartition claire facilite la coordination entre les équipes infrastructure, sécurité et support, en garantissant que chaque acteur maîtrise son périmètre d’intervention tout au long du cycle de migration.
Supervision co-management via Endpoint Analytics et reporting Intune SCCM
Microsoft Endpoint Analytics offre une visibilité en temps réel sur la santé des terminaux, les temps de démarrage, les défaillances applicatives et l’expérience utilisateur. Couplé à Intune reporting, cet outil permet de mesurer la progression de la co-gestion, d’identifier les appareils non conformes et de prioriser les actions correctives. Les rapports de conformité centralisés dans le portail Microsoft Entra ID facilitent l’audit et le suivi des politiques de sécurité M365 endpoints, en consolidant les données issues de Microsoft Defender et des Group Policy Objects encore actives en période de transition.
Coexistence GPO et stratégies Intune : gestion des collections et scopes
Durant la phase de co-management, les Group Policy Objects coexistent avec les stratégies Intune, nécessitant une gestion rigoureuse des collections SCCM et des scopes Intune. Le tableau suivant synthétise les principes de répartition :
| Paramètre | GPO (Active Directory) | Stratégie Intune |
|---|---|---|
| Périmètre | Collections SCCM locales | Groupes Microsoft Entra ID |
| Priorité | Héritée de l’unité organisationnelle | Définie par ordre d’application |
| Supervision | Rapports SCCM classiques | Endpoint Analytics + Intune reporting |
| Cas d’usage | Paramètres legacy à maintenir temporairement | Nouvelles configurations cloud-native |
Cette cohabitation exige une documentation exhaustive des règles de précédence et des exclusions, afin d’éviter les conflits de configuration et de garantir une transition fluide.
Transfert de compétences et conduite du changement
Le transfert de compétences s’organise autour d’ateliers pratiques, de sessions de co-pilotage et de la rédaction de guides opérationnels dédiés. Eliadis accompagne ses clients dans la montée en compétence des équipes IT, en structurant des parcours de formation adaptés aux profils (architectes, administrateurs, helpdesk). La conduite du changement intègre également la communication auprès des utilisateurs finaux, la gestion des résistances et l’animation de communautés internes. Une fois la migration achevée, le pilotage et l’optimisation post-migration assurent l’amélioration continue et l’adoption durable des nouvelles pratiques de gouvernance.
Conclusion
Le plan de co-management SCCM Intune constitue une stratégie éprouvée pour moderniser votre infrastructure IT en combinant la puissance de Microsoft Intune et Microsoft Entra ID. Cette approche garantit une transition progressive, sécurisée et maîtrisée vers le modern management Windows 11.
Les étapes clés de cette transformation reposent sur une compréhension approfondie de vos environnements existants, une préparation rigoureuse incluant la configuration de Microsoft Entra ID hybride, un déploiement progressif des charges de travail, et une gouvernance continue. Selon Microsoft, avant d’activer la co-gestion pour les appareils joints au domaine, il faut configurer Microsoft Entra ID hybride (Source : Microsoft — 2024-12-12).
Les avantages sont tangibles : simplification des processus IT, flexibilité accrue pour gérer les environnements hybrides, et sécurité renforcée grâce à l’intégration native avec Microsoft 365. Le pilotage post-migration via Endpoint Analytics permet d’optimiser dans le temps vos investissements et d’ajuster votre stratégie selon les usages réels. Eliadis vous accompagne dans cette migration ConfigMgr vers Intune et dans l’adoption globale de votre Digital Workplace Microsoft 365.
FAQ
