Le co-management constitue une stratégie de transition progressive entre une infrastructure on-premises traditionnelle et une architecture cloud moderne. Il permet aux équipes IT de définir quels workloads restent gérés par SCCM et lesquels basculent vers Intune, garantissant ainsi une mise en œuvre de la cogestion SCCM Intune adaptée aux contraintes opérationnelles de chaque organisation.
Cette modernisation de la gestion de parc poste de travail apporte des bénéfices concrets : flexibilité accrue pour les utilisateurs nomades, renforcement de la sécurité via Microsoft Entra ID, automatisation des déploiements et mises à jour, et réduction significative des coûts d’infrastructure. L’architecture co-management Microsoft Endpoint Manager répond ainsi aux enjeux de la transformation digitale des entreprises.
Un partenaire expert comme Eliadis accompagne les organisations dans la conception et le déploiement du mode de gestion hybride SCCM–Intune, assurant une conduite de projet structurée et un plan de co-administration des terminaux aligné sur les objectifs métier.
À retenir :
- La migration SCCM vers Intune en co-management modernise la gestion de parc avec une approche hybride
- Cette stratégie permet aux équipes IT de gérer des workloads entre SCCM et Intune, alignés sur les besoins opérationnels
- Flexibilité, sécurité renforcée et réduction des coûts sont les principaux bénéfices de cette transition
- Un partenaire expert comme Eliadis facilite le déploiement et assure un alignement avec les objectifs métier
- Les prérequis techniques incluent des versions spécifiques de SCCM, Windows et des licences Microsoft appropriées
- La gouvernance post-migration nécessite une redéfinition des rôles IT et des politiques de conformité pour optimiser l’efficacité opérationnelle
Comprendre le fonctionnement du co-management SCCM–Intune
Le co-management désigne une architecture de cogestion des postes de travail où un même appareil Windows est administré simultanément par Configuration Manager (SCCM) et Microsoft Intune. D’après Microsoft, le co-management permet de gérer simultanément des appareils Windows depuis SCCM et Microsoft Intune avec un partage de politiques de gestion (Source : Microsoft — 2025-12-15). Cette approche s’inscrit dans une stratégie de gestion unifiée des endpoints Microsoft et offre une transition progressive vers le cloud sans rupture opérationnelle.
Les fondements du co-management dans Microsoft Endpoint Manager
Le co-management s’appuie sur Microsoft Endpoint Manager, qui réunit SCCM et Intune au sein d’une console commune. Il permet aux équipes IT de bénéficier de la puissance de la gestion on-premise historique tout en adoptant progressivement les capacités cloud d’Intune. Cette coexistence SCCM et Intune pendant la migration facilite l’intégration des innovations Microsoft (accès conditionnel, déploiement zero-touch) sans nécessiter une refonte immédiate de l’infrastructure existante. Le co-management constitue ainsi un levier stratégique pour moderniser la gestion du parc de postes tout en préservant les investissements déjà réalisés dans SCCM.
Répartition des workloads entre SCCM et Intune
Le modèle de co-management repose sur une répartition flexible de sept workloads majeurs entre les deux plateformes. Chaque workload peut être piloté à 100 % par SCCM, à 100 % par Intune, ou partagé selon une activation progressive des workloads co-managed. Le tableau ci-dessous synthétise les principaux workloads et leur autorité de gestion recommandée.
| Workload | Description | Autorité recommandée |
|---|---|---|
| Conformité | Politiques de conformité et accès conditionnel | Intune (priorité cloud) |
| Accès aux ressources | VPN, Wi-Fi, e-mail, certificats | Intune |
| Windows Update | Gestion des mises à jour système | Intune (Windows Update for Business) |
| Applications client | Déploiement et mise à jour des applications | SCCM puis Intune (progressif) |
| Endpoint Protection | Antivirus, pare-feu, protection contre les menaces | Intune (Microsoft Defender for Endpoint) |
Prérequis techniques : versions, licences et intégration avec Entra ID
La préparation de l’infrastructure SCCM à la cogestion exige des prérequis précis. SCCM doit être en version 1810 minimum (version 2103 ou ultérieure vivement recommandée). Les appareils doivent exécuter Windows 10 version 1709 ou supérieure. Côté licences, chaque utilisateur ou appareil requiert une licence Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5 ou Intune autonome. L’intégration avec Microsoft Entra ID Intune migration SCCM est obligatoire : les appareils doivent être joints à Entra ID (Hybrid Azure AD Join ou Azure AD Join) pour recevoir les politiques Intune. Cette synchronisation garantit une identité unifiée et active les scénarios d’accès conditionnel cloud.
Le rôle du tenant attach comme alternative d’intégration cloud
Le tenant attach représente une option complémentaire pour les organisations qui souhaitent exploiter certaines fonctionnalités cloud sans activer le co-management complet. Il connecte la hiérarchie SCCM au tenant Microsoft Intune, permettant de consulter l’inventaire SCCM depuis le portail Endpoint Manager et d’exécuter des actions à distance (redémarrage, synchronisation de politiques). Le tenant attach ne transfère pas l’autorité de gestion des workloads, mais offre une première étape vers l’intégration cloud, idéale pour tester la connectivité et évaluer les bénéfices avant d’engager une migration plus poussée. Dans le chapitre suivant, nous détaillerons les étapes concrètes de planification du projet de migration.
Préparer l’infrastructure et les environnements à la migration
La préparation de l’infrastructure SCCM à la cogestion repose sur la validation des prérequis techniques et la configuration du tenant avant toute bascule vers la gestion mixte on-premises et cloud des postes. Cette phase conditionne directement la réussite du déploiement du mode de gestion hybride SCCM–Intune.
Prérequis techniques pour le co-management
Le passage au co-management nécessite que l’ensemble du parc soit équipé de Windows 10 version 1709 minimum, ou idéalement de Windows 11 pour bénéficier des dernières fonctionnalités de sécurité et de gestion cloud. Les licences Microsoft 365 doivent inclure Microsoft Intune ; une souscription E3, E5 ou Business Premium est requise. Sur le plan des rôles administratifs, il est impératif de disposer d’un compte Global Administrator ou Intune Administrator dans Microsoft Entra ID, ainsi que des droits Administrateur complet sur Configuration Manager. Les postes doivent également être en jonction hybride Azure AD pour co-management, garantissant une identité unifiée entre l’annuaire local et le cloud.
Vérification de la santé des appareils avant bascule
Selon une publication de Microsoft Tech Community, avant la migration assistée par co-management, il est recommandé de confirmer que les appareils reportent un statut sain dans SCCM et Intune afin d’éviter toute rupture de service (Source : Microsoft Tech Community — 2025-07-28). Cette vérification porte sur la connectivité réseau, la conformité aux stratégies de sécurité, le bon déploiement de l’agent SCCM et la présence de correctifs récents. Les tableaux de bord Configuration Manager et Intune permettent d’identifier les postes en erreur et de corriger les anomalies avant toute transition de charge de travail.
Configuration de l’inscription automatique et logique des workloads
Dans le portail Microsoft Intune, activez l’inscription automatique MDM dans Microsoft Entra ID pour que les appareils en jonction hybride s’enregistrent automatiquement. Définissez ensuite le périmètre MDM sur un groupe pilote initial, puis étendez progressivement à l’ensemble des utilisateurs. La logique des workloads consiste à transférer une à une les charges applicatives de SCCM vers Intune : stratégies de conformité, accès conditionnel, Windows Update for Business, applications, puis protection des points de terminaison. Chaque workload dispose d’un curseur dans la console SCCM permettant de piloter finement le basculement entre le mode On-Premises (SCCM), Pilote (groupe défini) et Cloud (Intune).
Stratégie de sélection des groupes pilotes
Le choix des groupes pilotes impacte directement la réussite du projet. Il est conseillé de sélectionner des utilisateurs technophiles, représentatifs de différents métiers et localisations, et disposant de matériel récent compatible Windows Autopilot. Un pilote restreint (5 à 10 % du parc) permet de valider les configurations, de collecter les retours terrain et d’ajuster les stratégies avant généralisation. Documentez chaque itération dans un tableau de bord partagé pour garantir la traçabilité et l’engagement des équipes.
| Workload | Périmètre initial | Critère de validation |
|---|---|---|
| Stratégies de conformité | Groupe pilote IT | 100 % des postes conformes sous 72 h |
| Accès conditionnel | Direction métier | Aucun blocage d’accès signalé |
| Windows Update | Sites distants | Taux d’installation > 95 % en 7 jours |
| Applications métier | Pilote multi-métiers | Déploiement réussi sans ticket support |
Une fois la phase pilote validée, planifiez l’élargissement progressif à l’ensemble du parc en tenant compte des cycles métiers et des fenêtres de maintenance, tout en consolidant les retours d’expérience pour affiner les paramètres de migration.
Piloter la migration progressive des workloads et applications
La bascule progressive des workloads vers Microsoft Intune s’opère par l’activation sélective de chaque charge de travail depuis la console Configuration Manager. D’après Microsoft Tech Community, les workloads migrables comprennent les politiques de mise à jour Windows, la configuration des appareils et les applications Office click-to-run (Source : Microsoft Tech Community — 2025-07-28).
Expliquer les workloads de co-management et la gestion de leur bascule
Les co-management workloads permettent de définir quelle autorité – SCCM ou Intune – pilote chaque dimension de la gestion des terminaux. L’activation progressive des workloads co-managed s’effectue via des curseurs dans la console SCCM, chaque curseur autorisant un pourcentage de périphériques à basculer vers Intune pour une charge spécifique. Les principales workloads incluent les stratégies de conformité, l’accès aux ressources d’entreprise, Endpoint Protection, la configuration des appareils, les applications Office et les applications client. Ce plan de co-administration des terminaux garantit une migration assistée par co-management sans rupture de service pour les utilisateurs finaux.
Montrer comment migrer les applications et contrôler leur déploiement
La gestion des applications Win32 et MSIX s’organise en plusieurs étapes : conversion des packages MSI ou EXE en format .intunewin via l’outil Microsoft Win32 Content Prep Tool, téléversement dans la console Intune, configuration des règles de détection et des dépendances, puis attribution aux groupes pilotes. Les scripts PowerShell permettent d’automatiser la conversion et le téléchargement en masse. Une fois Microsoft 365 Apps déployées via Intune, il convient de désactiver le workload correspondant dans SCCM pour éviter toute double gestion. Le contrôle du déploiement passe par l’affectation conditionnelle (requis, disponible, désinstaller) et le suivi du statut d’installation sur chaque terminal.
Détailler les mécanismes de supervision via Endpoint analytics
Endpoint analytics fournit des indicateurs de performance sur le démarrage, la productivité des applications et l’expérience utilisateur. Cet outil collecte automatiquement les données de télémétrie depuis les appareils co-gérés et les agrège dans le portail Microsoft Intune. Les tableaux de bord affichent le score de démarrage, les temps de latence réseau et les applications provoquant des ralentissements. Cette supervision facilite l’optimisation de la gestion des correctifs et mises à jour Windows en identifiant les mises à jour qui dégradent les performances, permettant ainsi d’ajuster les anneaux de déploiement et de prioriser les correctifs critiques.
Illustrer l’usage de scripts PowerShell et runbooks pour automatiser la transition
L’automatisation repose sur des scripts PowerShell invoquant le module Microsoft.Graph.Intune ou les cmdlets Configuration Manager pour synchroniser les collections, créer des groupes dynamiques Azure AD et basculer les workloads. Les runbooks Azure Automation orchestrent ces scripts selon un calendrier défini, en gérant les dépendances entre chaque étape : vérification de l’éligibilité des terminaux, activation du workload, validation du statut de synchronisation et notification des administrateurs en cas d’erreur. Cette approche réduit la charge manuelle, accélère la migration et garantit une traçabilité complète de chaque action effectuée sur le plan de migration SCCM vers Intune.
| Workload | Autorité initiale | Autorité cible | Méthode de bascule |
|---|---|---|---|
| Politiques de conformité | SCCM | Intune | Curseur % dans console SCCM |
| Accès ressources | SCCM | Intune | Curseur % dans console SCCM |
| Configuration appareils | SCCM | Intune | Curseur % dans console SCCM |
| Applications Office | SCCM | Intune | Curseur % dans console SCCM |
| Endpoint Protection | SCCM | Intune | Curseur % dans console SCCM |
Une fois les workloads stratégiques migrés et validés via Endpoint analytics, l’étape suivante consiste à planifier la décommission complète de l’infrastructure SCCM on-premise et à finaliser la gouvernance cloud native des terminaux.
Gouvernance, supervision et optimisation post-migration
La réussite d’un projet de bascule progressive de SCCM vers Intune se mesure par la qualité de la gouvernance mise en place après la transition vers la gestion moderne des terminaux. Un cadre structuré permet d’assurer la conformité, d’optimiser les coûts de gestion des postes et de garantir une supervision proactive du parc.
Redéfinir les rôles IT entre administrateurs SCCM, Intune et sécurité
Le passage au co-management impose une clarification des responsabilités entre les équipes techniques. Les administrateurs SCCM conservent généralement la maîtrise des déploiements d’applications lourdes et des mises à jour système, tandis que les spécialistes Intune prennent en charge les stratégies de conformité et de configuration Intune vs GPO, la gestion des appareils mobiles et les politiques de sécurité cloud. Les équipes sécurité interviennent sur Microsoft Defender for Endpoint pour la détection des menaces et la réponse aux incidents. Cette répartition doit être formalisée dans une matrice RACI intégrée aux processus ITSM / ServiceNow, afin d’éviter les zones grises et d’assurer une escalade fluide en cas d’incident. Eliadis recommande d’organiser des ateliers de cadrage post-migration pour aligner les périmètres d’intervention et définir les workflows de validation.
Mettre en place des politiques de conformité et surveillance proactive
Les politiques de conformité constituent le socle de la gouvernance moderne. Elles permettent de vérifier en temps réel que chaque terminal respecte les exigences de sécurité : chiffrement activé, antivirus à jour, système d’exploitation patché. Intune offre des capacités de contrôle d’accès conditionnel couplées à Microsoft 365 E5, bloquant l’accès aux ressources critiques pour tout appareil non conforme. La surveillance proactive s’appuie sur des alertes automatiques et des tableaux de bord consolidés dans Endpoint analytics, qui agrègent les scores de santé, les temps de démarrage et les incidents applicatifs. Cette visibilité permet d’anticiper les dégradations de performance et de réduire les tickets de support de niveau 1.
Optimiser la gouvernance via Endpoint analytics et rapports consolidés
Endpoint analytics transforme les données brutes en indicateurs exploitables pour piloter la gouvernance et rôles IT co-management. L’outil mesure l’expérience utilisateur réelle, identifie les applications sources de lenteur et propose des recommandations d’optimisation basées sur l’intelligence artificielle. Les rapports consolidés centralisent les métriques de conformité, les taux d’adoption des mises à jour et les incidents de sécurité. Ces tableaux de bord doivent être partagés régulièrement avec les parties prenantes pour ajuster les priorités et démontrer la valeur ajoutée du co-management.
Mesurer le ROI et les gains opérationnels du co-management
Le retour sur investissement se calcule à travers plusieurs dimensions : réduction du temps de déploiement des correctifs, diminution des coûts d’infrastructure on-premise, amélioration de la productivité des équipes IT et baisse des incidents de sécurité. Un tableau de suivi trimestriel permet de comparer les indicateurs avant et après migration.
| Indicateur | Avant migration | Après co-management | Gain attendu |
|---|---|---|---|
| Temps moyen de déploiement de patch | 7 jours | 24 heures | -85 % |
| Coûts infrastructure SCCM | 100 % | 30 % | -70 % |
| Taux de conformité des terminaux | 65 % | 92 % | +27 pts |
| Tickets support niveau 1 | 150/mois | 80/mois | -47 % |
Ces éléments de pilotage permettent de valider la stratégie de transition et d’identifier les axes d’amélioration continue pour maximiser l’efficacité opérationnelle sur l’ensemble du cycle de vie des terminaux.
Conclusion
Un plan de migration SCCM vers Intune en co-management réussi repose sur trois piliers : anticipation, progressivité et accompagnement expert. Cette transition permet de moderniser la gestion du parc de postes tout en sécurisant l’accélération de la transformation numérique via Intune.
Les grandes étapes d’un projet de bascule progressive de SCCM vers Intune s’articulent autour de la préparation rigoureuse des prérequis techniques, du déploiement par phases des workloads critiques, puis de la supervision continue des indicateurs de performance. D’après Microsoft, l’approche recommandée consiste à transférer progressivement les workloads de SCCM vers Intune, avant de désinstaller l’agent Configuration Manager (Source : Microsoft — 2025-12-15).
Le pilotage hybride reste indispensable : il offre visibilité et contrôle durant toute la bascule, avant d’évoluer vers une gestion 100 % cloud intégrant Windows Autopilot et Microsoft Endpoint Manager. Faire appel à un partenaire certifié Microsoft comme Eliadis garantit expertise, méthode éprouvée et sécurisation de chaque étape, pour une stratégie de migration Intune alignée sur vos enjeux métier.
FAQ
