Microsoft Entra ID (anciennement Azure AD) et Microsoft Intune jouent un rôle central dans la modernisation de la gestion des postes. Entra ID assure l’authentification unique et le contrôle d’accès conditionnel, tandis qu’Intune déploie les configurations, applications et politiques de sécurité sur tous les appareils, sans dépendance à l’infrastructure on-premise. Cette architecture UEM Microsoft remplace progressivement les workflows traditionnels de Microsoft Endpoint Configuration Manager (SCCM).
La migration SCCM vers Intune présente toutefois des défis : préparation tenant Microsoft 365, synchronisation des identités, réécriture des politiques de groupe, et gestion du changement auprès des équipes IT. Une bonne intégration Entra ID avec Intune simplifie ces étapes et accélère l’adoption du modèle cloud. Les bénéfices business incluent une réduction des coûts d’infrastructure, une agilité renforcée pour le travail hybride, et une visibilité unifiée sur l’ensemble du parc.
À retenir :
- L’intégration de Microsoft Entra ID et Intune est essentielle pour migrer de SCCM vers une gestion moderne des postes
- Microsoft Entra ID assure l’authentification et le contrôle d’accès, Intune gère les configurations et applications sans dépendance locale
- Les défis de la migration incluent la préparation du tenant Microsoft 365 et la synchronisation des identités
- Les appareils doivent être correctement enregistrés à Entra ID et Intune pour une gestion optimisée
- La cogestion SCCM et Intune facilite une transition maîtrisée vers le cloud, assurant la continuité opérationnelle
- Le modèle Zero Trust est crucial, combinant des politiques de conformité et d’accès conditionnel pour sécuriser les identités
Préparer le tenant Microsoft Entra ID pour l’intégration avec Intune
La configuration du tenant Microsoft Entra ID constitue la première étape technique indispensable avant toute migration depuis SCCM vers Intune. Cette préparation garantit que les identités, les licences et les paramètres de domaine sont correctement définis pour assurer une synchronisation fluide et une gestion unifiée des appareils dans un environnement cloud moderne.
Mettre en place les domaines personnalisés et paramètres UPN
La configuration initiale du tenant Microsoft Entra ID passe par l’ajout et la validation de domaines personnalisés. Cette étape permet d’aligner les suffixes UPN (User Principal Name) des comptes utilisateurs avec les domaines réels de l’entreprise, ce qui facilite l’authentification et la cohérence des identités entre l’environnement local et le cloud. Dans le portail Microsoft Entra ID, il est nécessaire d’ajouter les enregistrements DNS TXT ou MX pour vérifier la propriété du domaine. Une fois validés, ces domaines personnalisés remplacent le domaine par défaut « onmicrosoft.com » et permettent une préparation du tenant Entra ID conforme aux standards de l’entreprise.
Configurer Microsoft Entra Connect ou Cloud Sync pour synchroniser les identités AD locales
D’après une publication de Microsoft Tech Community, les identités doivent être synchronisées via Microsoft Entra Connect pour la migration vers Intune (Source : Microsoft Tech Community — 2025-07-28). La synchronisation des identités constitue le pilier de l’intégration des identités Microsoft 365. Microsoft Entra Connect assure la réplication des objets utilisateurs, groupes et appareils depuis l’Active Directory local vers le tenant cloud. Pour les environnements hybrides, l’outil offre plusieurs modes de synchronisation : synchronisation de hachage de mot de passe, authentification directe ou fédération avec ADFS. L’ architecture hybride co-management repose sur cette synchronisation pour garantir une expérience utilisateur homogène durant la transition.
Vérifier les licences Intune et Microsoft 365 nécessaires à la gestion des appareils
La configuration Azure AD pour Intune nécessite l’attribution de licences appropriées aux utilisateurs et aux appareils. Les licences Microsoft 365 E3/E5 incluent Intune et offrent des fonctionnalités avancées de gestion, de sécurité et de conformité. Il est essentiel de vérifier dans le centre d’administration Microsoft 365 que les abonnements sont actifs et que les licences sont attribuées aux comptes qui piloteront ou utiliseront les appareils gérés. Un audit des licences disponibles permet d’anticiper les besoins en volume et d’éviter les interruptions lors du déploiement des stratégies de gestion.
| Étape | Action clé | Outil/Service |
|---|---|---|
| Domaines personnalisés | Ajouter et valider les domaines via DNS | Portail Microsoft Entra ID |
| Synchronisation des identités | Installer et configurer la synchronisation AD | Microsoft Entra Connect / Cloud Sync |
| Licences | Vérifier et attribuer les licences Intune | Centre d’administration Microsoft 365 |
Une fois le tenant Microsoft Entra ID correctement préparé avec les domaines, la synchronisation des identités et les licences en place, l’organisation peut passer à la configuration initiale d’Intune et à la définition des premières stratégies de gestion des appareils.
Enregistrer et joindre les appareils à Microsoft Entra ID et Intune
Pour assurer la continuité opérationnelle lors de la migration depuis SCCM, il est essentiel de joindre correctement les appareils Windows 10 et Windows 11 à Microsoft Entra ID et de les enregistrer dans Microsoft Intune. Cette étape détermine le mode d’authentification moderne et la stratégie de gestion des postes Windows.
Comparer Azure AD Join et Hybrid Azure AD Join selon les scénarios
Le choix entre Azure AD Join et Hybrid Azure AD Join dépend directement de votre infrastructure Active Directory existante et de votre stratégie cloud. Azure AD Join convient aux organisations pleinement cloud, où les appareils sont directement joints à Microsoft Entra ID sans dépendance à un domaine Active Directory local. Ce mode simplifie la jointure hybride Azure AD en éliminant les composants sur site. À l’inverse, Hybrid Azure AD Join s’impose dans les environnements hybrides où les postes restent membres d’un domaine Active Directory classique tout en bénéficiant des services cloud. Cette approche garantit la compatibilité avec les applications internes exigeant une authentification Kerberos ou NTLM, tout en permettant l’enregistrement des appareils dans Intune pour une gestion unifiée.
| Critère | Azure AD Join | Hybrid Azure AD Join |
|---|---|---|
| Infrastructure locale | Non requise | Active Directory obligatoire |
| Authentification | 100 % cloud (Entra ID) | Hybride (AD + Entra ID) |
| Applications legacy | Support limité | Compatibilité totale |
| Complexité de mise en œuvre | Faible | Moyenne à élevée |
Activer l’enregistrement automatique dans Intune
L’activation de l’enrolment des postes dans Intune repose sur la configuration de stratégies MDM automatiques dans Microsoft Entra ID. Une fois Azure AD Join ou Hybrid Azure AD Join déployé, l’enregistrement des appareils dans Intune se déclenche automatiquement dès la première connexion utilisateur ou au prochain redémarrage. D’après Microsoft, il est possible de configurer Microsoft Entra hybrid join via l’assistant Microsoft Entra Connect version 1.1.819.0 ou ultérieure (Source : Microsoft — 2026-02-19). Cette automatisation réduit significativement la charge de travail des équipes IT en éliminant les processus manuels de migration des postes Windows.
Prendre en compte les limitations techniques sur les certificats et profils VPN
Lors de la migration depuis SCCM, certaines configurations avancées nécessitent une attention particulière. Les profils VPN basés sur des certificats d’authentification déployés via SCCM doivent être recréés dans Intune en veillant à la continuité des autorités de certification et des modèles de certificats. Les postes en Hybrid Azure AD Join peuvent rencontrer des délais de synchronisation entre Active Directory et Microsoft Entra ID, impactant temporairement l’accès aux ressources cloud. Il est recommandé de valider les scénarios d’authentification moderne et migration SCCM en environnement pilote avant le déploiement général. Les contraintes liées aux GPO locales doivent également être mappées vers des stratégies de configuration Intune pour garantir la cohérence de la gouvernance.
Une fois les appareils correctement enregistrés, l’étape suivante consiste à orchestrer la cogestion entre SCCM et Intune pour transférer progressivement les charges de travail et minimiser les risques opérationnels.
Mettre en place la cogestion entre SCCM et Intune
La cogestion constitue une approche hybride qui permet de gérer simultanément les terminaux Windows depuis Microsoft Endpoint Configuration Manager (SCCM) et Microsoft Intune, offrant ainsi une transition maîtrisée vers le cloud. D’après Microsoft, la cogestion permet la gestion simultanée des appareils Windows via SCCM et Intune (Source : Microsoft — 2024-12-04). Cette architecture co-management Microsoft représente un levier stratégique pour orchestrer une migration progressive vers Intune sans compromettre la continuité opérationnelle du parc d’appareils.
Activer le co-management dans SCCM pour une gestion unifiée des terminaux
L’implémentation de la cogestion SCCM Intune débute par l’activation co-management SCCM dans la console Configuration Manager. Il convient d’abord de vérifier que les prérequis techniques sont satisfaits : une version SCCM supportée, une licence Intune active, et une infrastructure Microsoft Entra ID correctement configurée. L’assistant d’activation, accessible depuis les propriétés de la hiérarchie SCCM, guide l’administrateur à travers les étapes de connexion au tenant Intune, d’inscription automatique des clients dans Azure AD, et d’activation des stratégies de gestion hybride. Une fois le co-management activé, les appareils Windows bénéficient d’une double visibilité et peuvent recevoir des instructions aussi bien depuis SCCM que depuis Intune, selon les charges de travail définies.
Définir les charges de travail à transférer progressivement vers le cloud
La configuration du co-management s’articule autour de la répartition des charges de travail entre SCCM et Intune. Microsoft propose sept catégories principales : stratégies de conformité, accès aux ressources (Conditional Access), stratégies Windows Update, stratégies de protection des points de terminaison, configuration des appareils, applications Office en un clic et applications clientes. Chaque charge peut être pilotée soit par SCCM, soit par Intune, soit par un groupe pilote défini dans SCCM. Une approche recommandée consiste à basculer d’abord les stratégies de conformité et l’accès conditionnel vers Intune, car ces dernières s’intègrent nativement avec Microsoft Entra ID et favorisent l’application de contrôles RBAC granulaires. Les charges critiques comme les mises à jour système peuvent rester sous SCCM tant que la confiance opérationnelle dans Intune n’est pas totalement établie.
Suivre les indicateurs de bascule et de conformité des appareils
Le pilotage d’une migration progressive vers Intune exige un suivi rigoureux des métriques de bascule et de conformité. La console SCCM expose un tableau de bord dédié au co-management, affichant le nombre d’appareils en cogestion, leur statut d’inscription Intune, et la répartition des charges de travail actives. Côté Intune, le portail Endpoint Manager offre des rapports de conformité en temps réel, permettant de détecter les écarts de configuration et les appareils non conformes aux règles de Conditional Access. Le tableau ci-dessous synthétise les indicateurs clés à surveiller pour garantir une transition fluide.
| Indicateur | Source | Objectif |
|---|---|---|
| Taux d’appareils en cogestion | Console SCCM | Mesurer l’adoption initiale |
| Charges de travail basculées | Console SCCM | Suivre la progression du transfert |
| Conformité aux stratégies Intune | Endpoint Manager | Valider l’application des règles |
| Événements d’erreur d’inscription | Endpoint Manager | Identifier les blocages techniques |
| Accès conditionnel refusé | Azure AD / Entra ID | Détecter les problèmes de conformité |
En consolidant ces indicateurs dans un tableau de bord unifié, les équipes IT peuvent ajuster finement les paramètres de cogestion, anticiper les résistances techniques et piloter la montée en charge vers une gestion unifiée des terminaux entièrement cloud. Cette démarche structurée prépare le terrain pour une automatisation accrue des déploiements et une intégration renforcée avec les services Microsoft 365.
Sécuriser et gouverner les identités dans un modèle Zero Trust
Le modèle Zero Trust repose sur un principe clé : ne jamais faire confiance par défaut, toujours vérifier. Pour une migration réussie depuis SCCM, il est essentiel de combiner Microsoft Entra ID et Intune afin de protéger les accès et renforcer la sécurité via des stratégies de conformité et d’accès conditionnel.
Configurer les stratégies de conformité et Conditional Access
Les stratégies de conformité Intune définissent les exigences minimales que doivent respecter les appareils pour accéder aux ressources d’entreprise : version du système d’exploitation, chiffrement BitLocker, absence de jailbreak, niveau de menace acceptable. Une fois configurées, ces règles alimentent les politiques Conditional Access de Microsoft Entra ID, qui conditionnent l’accès aux applications cloud Microsoft 365 en fonction du niveau de conformité de l’appareil et du profil de risque de l’utilisateur.
Cette approche garantit que seuls les terminaux sains et gérés peuvent se connecter aux données sensibles. D’après Microsoft Tech Community, les appareils co-gérés accélèrent la migration si moins de 10 % restent hybrides selon les benchmarks (Source : Microsoft Tech Community — 2025-07-28). En limitant le périmètre hybride, les équipes IT simplifient la gouvernance des identités Microsoft Entra et accélèrent le passage vers un modèle cloud natif.
Mettre en œuvre MFA et Entra ID Protection
L’authentification multifacteur (MFA) constitue le premier rempart contre les attaques par hameçonnage et la compromission de comptes. Intégré nativement à Conditional Access, le MFA doit être imposé pour tous les accès à risque ou sensibles : connexions depuis des emplacements inhabituels, appareils non conformes, ou utilisateurs à privilèges élevés. Microsoft Entra ID Protection complète ce dispositif en détectant en temps réel les comportements anormaux (connexions impossibles, fuites d’identifiants dans le Dark Web, modifications suspectes de mots de passe) et en déclenchant automatiquement des mesures correctives : demande de réauthentification, blocage temporaire, ou escalade vers les équipes SOC.
Cette combinaison accès conditionnel et MFA renforce la stratégie Zero Trust avec Intune en vérifiant continuellement l’identité et le contexte de chaque requête, réduisant ainsi la surface d’attaque dans les environnements de sécurisation des accès cloud Microsoft 365.
Structurer les rôles RBAC et dynamiques M365 pour la gouvernance
Microsoft Entra ID Governance permet de gérer finement qui a accès à quoi, pour combien de temps et pourquoi. Les groupes dynamiques, basés sur des attributs (département, localisation, type d’appareil), automatisent l’attribution des licences, des stratégies de conformité et des rôles RBAC. Les révisions d’accès périodiques garantissent que les permissions restent alignées avec les responsabilités actuelles, limitant ainsi les comptes dormants ou sur-privilégiés.
| Fonction | Outil Entra ID / Intune | Objectif gouvernance |
|---|---|---|
| Conformité des appareils | Stratégies de conformité Intune | Bloquer les terminaux non conformes |
| Contrôle d’accès contextuel | Conditional Access | Autoriser selon risque, lieu, appareil |
| Détection menaces identités | Microsoft Entra ID Protection | Réagir aux anomalies en temps réel |
| Gestion des droits | Entra ID Governance (RBAC, révisions) | Minimiser privilèges, auditer accès |
En structurant ainsi les rôles et en automatisant la gouvernance, les organisations gagnent en agilité et en visibilité, tout en préparant le terrain pour une adoption durable de la protection des identités Entra ID. La prochaine étape consiste à déployer progressivement les workloads critiques et à former les équipes aux nouveaux processus.
Conclusion
Une migration complète SCCM vers cloud réussie repose sur une planification rigoureuse et une intégration optimale avec Microsoft Entra ID. D’après Microsoft, un tenant Microsoft Entra ID représente l’environnement organisationnel utilisé par Intune pour identifier utilisateurs et appareils (Source : Microsoft — 2025-12-15), ce qui souligne l’importance d’une gouvernance et d’une sécurité solides dès le démarrage du projet.
Le co-management constitue un levier stratégique essentiel dans toute transition cloud Microsoft 365, permettant de réduire progressivement la dépendance à l’infrastructure on-premise tout en maintenant la continuité opérationnelle. Cette approche hybride facilite la modernisation de la gestion des appareils sans rupture brutale.
Pour limiter les risques techniques et organisationnels, l’accompagnement d’un partenaire expert comme Eliadis garantit une migration SCCM Intune assistée, structurée et alignée sur vos objectifs métier, tout en assurant une connexion Intune Entra ID réussie et pérenne.
FAQ
