Le passage d’une infrastructure de gestion on-prem à un modèle hybride représente un défi stratégique majeur pour les DSI. Face à la multiplication des terminaux mobiles et au besoin croissant de flexibilité, la gestion unifiée des terminaux (UEM) s’impose comme une réponse incontournable. La migration progressive des workloads SCCM vers Intune offre une trajectoire contrôlée, limitant les risques tout en capitalisant sur les fonctionnalités avancées de Microsoft 365 et Microsoft Entra ID.
Les bénéfices business du co-management sont tangibles : renforcement de la sécurité grâce à l’intégration native avec Microsoft Entra ID, agilité accrue dans le déploiement des mises à jour, et réduction des coûts d’infrastructure. En tant qu’ESN spécialisée et Partenaire Microsoft, Eliadis accompagne les organisations dans la conception d’une architecture hybride adaptée à leurs enjeux métiers et techniques
À retenir :
- Le co-management SCCM/Intune facilite la transition vers le cloud tout en préservant les investissements on-premise
- Une approche hybride répond aux défis des DSI face à la diversité des terminaux et aux besoins de flexibilité
- Les bénéfices incluent une sécurité renforcée, un déploiement agile et une réduction des coûts d’infrastructure
- La migration vers Intune doit suivre un plan structuré pour limiter les risques et garantir la conformité
- Une gouvernance renforcée et une sécurité des endpoints sont essentielles dans un contexte hybride cloud-first
- Eliadis propose un accompagnement pour optimiser l’architecture hybride en fonction des enjeux métiers
Comprendre les principes de l’architecture hybride SCCM / Intune
L’architecture hybride SCCM / Intune repose sur un modèle de cogestion des appareils qui permet aux organisations de gérer simultanément leurs terminaux Windows via deux plateformes complémentaires. Selon Microsoft, le co-management permet la gestion simultanée des appareils Windows par Configuration Manager et Intune (Source : Microsoft — 2024-12-04). Cette approche offre aux équipes IT une transition progressive vers une architecture de gestion moderne des terminaux, tout en préservant les investissements existants dans System Center Configuration Manager.
Le concept de co-management et ses prérequis techniques
Le co-management constitue une architecture de co-management hybride avec Microsoft Entra ID qui nécessite plusieurs prérequis matériels et logiciels. Les terminaux doivent exécuter Windows 10 version 1709 minimum ou Windows 11, et être déjà gérés par System Center Configuration Manager dans sa version 1710 ou ultérieure. Sur le plan logiciel, les organisations doivent disposer d’une licence Microsoft Intune ainsi qu’un tenant Microsoft 365 actif. L’infrastructure doit également permettre la communication Internet des appareils vers les services cloud Microsoft, avec des URL spécifiques autorisées dans les pare-feu. Pour accompagner cette transition, un plan migration SCCM Intune co management structuré s’avère indispensable pour orchestrer le basculement progressif des charges de travail.
Cohabitation entre SCCM et Intune pour la gestion des terminaux
La cogestion SCCM Intune pour postes Windows 10 et Windows 11 permet une répartition flexible des responsabilités entre les deux outils. Configuration Manager conserve généralement la gestion des applications métier lourdes, du déploiement d’images système et des mises à jour de fonctionnalités majeures. Microsoft Intune prend en charge les stratégies de conformité, la configuration des appareils mobiles, les stratégies d’accès conditionnel et la gestion des applications cloud. Cette architecture de gestion des terminaux Microsoft 365 offre un tableau de bord unifié permettant aux administrateurs de piloter l’ensemble de leur parc depuis la console Configuration Manager ou le portail Microsoft Endpoint Manager, selon leurs besoins opérationnels.
Scénarios d’inscription et d’enrôlement dans Entra ID
L’inscription des appareils dans Microsoft Entra ID constitue le socle technique de toute architecture hybride. Trois scénarios principaux coexistent : l’enregistrement Entra ID (Azure AD registered) pour les appareils personnels utilisés en BYOD, la jonction Entra ID (Azure AD joined) pour les terminaux entièrement cloud, et la jonction hybride Entra ID (Hybrid Azure AD joined) pour les machines déjà jointes à un domaine Active Directory on-premises. Ce dernier scénario représente le point d’entrée privilégié pour activer le co-management, car il permet de synchroniser l’identité des appareils entre l’infrastructure locale et le cloud sans perturber les processus existants.
| Scénario d’enrôlement | Type d’appareil | Identité | Usage recommandé |
|---|---|---|---|
| Azure AD registered | Personnel (BYOD) | Compte utilisateur | Accès aux ressources cloud limitées |
| Azure AD joined | Professionnel cloud-only | Compte organisationnel | Nouveaux déploiements cloud-first |
| Hybrid Azure AD joined | Professionnel domaine AD | Hybride (AD + Entra ID) | Migration progressive SCCM vers Intune |
Cette compréhension des fondamentaux techniques permet désormais d’explorer les étapes concrètes de déploiement et de configuration du co-management au sein de votre infrastructure existante.
Mettre en place l’architecture hybride pour la gestion cloud-first des postes
La mise en œuvre d’une architecture hybride SCCM Intune repose sur une configuration progressive qui permet de basculer les workloads de gestion vers le cloud tout en maintenant l’infrastructure existante. Cette approche garantit une transition contrôlée vers une stratégie cloud-first pour la gestion des endpoints.
Étapes techniques de configuration
La préparation de System Center Configuration Manager constitue le point de départ. Il convient d’abord de vérifier que l’infrastructure SCCM est à jour (version 1810 minimum recommandée) et que les prérequis réseau sont satisfaits. Ensuite, l’activation de Microsoft Intune comme autorité MDM s’impose. D’après Microsoft, pour activer le co-management, il faut configurer Intune en autorité MDM et activer la cogestion dans Configuration Manager (Source : Microsoft — 2025-12-15).
La mise en place de Microsoft Entra Connect constitue le pont indispensable entre l’Active Directory local et Microsoft Endpoint Manager. Cette synchronisation d’identités permet aux appareils d’être reconnus dans les deux environnements, facilitant ainsi la migration progressive des workloads SCCM vers Intune. La configuration du connecteur cloud doit inclure la synchronisation des groupes de sécurité et des unités organisationnelles pertinentes pour le périmètre de co-management.
Rôles et responsabilités IT dans le modèle hybride
L’architecture de gestion des postes de travail hybride redéfinit les attributions au sein des équipes IT. Les administrateurs SCCM conservent la responsabilité des mises à jour système et du déploiement applicatif sur site, tandis que les gestionnaires Intune prennent en charge les politiques de conformité, la gestion des applications mobiles et le provisionnement des appareils distants. Une coordination étroite entre ces rôles garantit la cohérence des stratégies appliquées.
| Workload | Responsable | Environnement |
|---|---|---|
| Mises à jour Windows | SCCM / Intune | Hybride ou Cloud |
| Politiques de conformité | Intune | Cloud |
| Applications métier | SCCM | On-premises |
| Configuration des appareils | Intune | Cloud |
| Antivirus et sécurité | Intune / Defender | Cloud |
Gouvernance et conformité des endpoints
La modernisation de la gestion des postes de travail sous une approche cloud-first impose un cadre de gouvernance renforcé. Les politiques de conformité définies dans Intune permettent de contrôler l’accès conditionnel aux ressources d’entreprise en fonction de critères de sécurité : chiffrement, version du système, présence d’antivirus. Les rapports centralisés dans Microsoft Endpoint Manager offrent une visibilité complète sur l’état de santé du parc, facilitant les audits et la réponse aux exigences réglementaires. Cette transition nécessite une planification rigoureuse pour maintenir la continuité opérationnelle tout en adoptant progressivement les capacités cloud.
Gérer les workloads et la sécurité dans un environnement cogéré
La gestion unifiée des terminaux en co-management repose sur une bascule progressive des charges de travail entre SCCM et Intune, permettant d’adapter le pilotage selon les besoins métier. Cette approche garantit la conformité et la sécurité des points de terminaison cloud-first tout en préservant les investissements existants.
Gérer la transition des workloads entre SCCM et Intune
Le co-management offre une gestion mixte des workloads où chaque charge de travail peut être pilotée indépendamment. Les mises à jour Windows Update for Business transitent progressivement vers Intune, permettant un déploiement cloud-native des correctifs sans infrastructures on-premises. La protection des points de terminaison s’orchestre via Microsoft Defender for Endpoint, intégré nativement aux deux plateformes. Le remplacement des GPO par des stratégies de configuration Intune s’opère graduellement : les Group Policy Objects complexes migrent vers des profils de configuration cloud, assurant une cohérence entre appareils hybrides et distants. D’après Microsoft Tech Community, les Cloud PCs Entra ID Joined peuvent être gérés par Intune, avec une cogestion facultative pour des scénarios cloud-first (Source : Microsoft Tech Community — 2024-10-28). Cette flexibilité facilite l’adoption progressive d’une stratégie cloud-first tout en maintenant la gouvernance historique.
Stratégies de conformité et sécurisation des endpoints
La sécurité des points de terminaison dans un contexte de travail hybride exige des stratégies de conformité strictes, définies dans Intune et appliquées via Microsoft Conditional Access. Ces politiques vérifient l’état de santé des appareils (chiffrement, version OS, présence d’antivirus) avant d’autoriser l’accès aux ressources M365. L’intégration avec Microsoft Entra ID et Conditional Access établit un modèle Zero Trust : seuls les terminaux conformes et identifiés accèdent aux données sensibles. Microsoft Defender for Endpoint enrichit cette posture en fournissant une visibilité continue des menaces, des alertes contextuelles et des réponses automatisées. Les administrateurs pilotent la conformité depuis un tableau de bord unifié, réduisant les angles morts de sécurité.
Évolution progressive des modes de pilotage
Le tableau ci-dessous illustre les trois phases d’évolution des workloads SCCM vers Intune :
| Phase | Workloads SCCM | Workloads Intune | Objectif |
|---|---|---|---|
| Phase 1 – Pilote | Inventaire, déploiement d’applications complexes | Conformité, accès conditionnel | Valider la gouvernance cloud |
| Phase 2 – Hybride étendu | Déploiement OS, tâches séquencées | Mises à jour, protection endpoint, profils de configuration | Élargir le périmètre cloud |
| Phase 3 – Cloud-first | Scénarios legacy critiques | Ensemble des workloads modernes | Achever la modernisation |
Cette progression par étapes assure une transition maîtrisée, où chaque phase consolide les acquis avant d’étendre le périmètre cloud. Les équipes IT ajustent le curseur de pilotage selon la maturité organisationnelle, garantissant une adoption sans rupture et une montée en compétence continue des administrateurs.
Planifier la continuité, la bascule et l’optimisation du modèle hybride
Anticiper l’évolution vers un modèle cible de gestion des terminaux dans le cloud nécessite une planification rigoureuse de la migration et de la continuité d’activité. La stratégie de transition cloud-first SCCM Intune repose sur une réduction progressive de l’empreinte SCCM au profit d’Intune, tout en préservant la capacité à revenir en arrière si nécessaire.
Définir les scénarios de migration progressive
La migration vers Microsoft Intune peut s’opérer selon plusieurs approches complémentaires. Une migration par vagues consiste à déplacer les charges de travail une par une, en commençant par exemple par la gestion des stratégies de conformité, puis les applications, et enfin la configuration complète des terminaux. Cette méthode limite les risques et permet d’ajuster la stratégie au fil des retours terrain.
Une migration par populations d’utilisateurs permet quant à elle de cibler des groupes pilotes avant un déploiement généralisé. Les utilisateurs nomades ou les équipes Microsoft 365 fortement connectées au cloud constituent souvent les premiers bénéficiaires de cette transition. D’après Microsoft, la Cloud Management Gateway (CMG) permet à Configuration Manager de gérer les clients distants via Azure, facilitant ainsi la continuité durant la phase hybride (Source : Microsoft — 2024-12-16). Cette passerelle assure que les terminaux hors réseau d’entreprise restent administrables pendant la bascule progressive.
Mettre en œuvre des mécanismes de rollback et de reprise d’activité
Tout projet de stratégie de transition cloud-first SCCM Intune doit intégrer des procédures de rollback pour préserver la stabilité opérationnelle. Il est essentiel de maintenir temporairement les infrastructures SCCM existantes en mode de secours, permettant de réactiver rapidement la gestion on-premise en cas de dysfonctionnement critique sur Intune. Les snapshots de machines virtuelles, les sauvegardes de bases de données Configuration Manager et la documentation des configurations facilitent cette reprise d’activité.
L’authentification via Microsoft Entra ID garantit également la continuité d’accès aux ressources cloud et hybrides, même en cas de basculement partiel. Les tests de basculement et de réintégration doivent être planifiés à intervalles réguliers pour valider la résilience de l’architecture hybride avant d’entamer la phase finale de réduction de l’empreinte SCCM au profit d’Intune.
Analyser les gains en coûts et simplification IT
L’optimisation des coûts d’exploitation de la gestion de parc constitue un levier majeur pour justifier la transition vers un modèle cloud-first durable. Le tableau ci-dessous synthétise les principaux postes de gains identifiés lors d’une migration vers Intune :
| Poste de coût | Modèle SCCM on-premise | Modèle hybride Intune |
|---|---|---|
| Infrastructure serveurs | Élevé (matériel, licences Windows Server) | Réduit (hébergement Azure limité) |
| Maintenance et mises à jour | Charge IT importante | Automatisée par Microsoft |
| Gestion des clients distants | VPN ou passerelle complexe | Native via Cloud Management Gateway |
| Évolutivité | Investissement matériel additionnel | Élastique et à la demande |
La stratégie de continuité d’activité cloud s’accompagne également d’une simplification des processus IT : moins de points de défaillance, une meilleure intégration avec Microsoft 365, et une administration centralisée via Microsoft Entra ID. Eliadis accompagne ses clients dans cette analyse financière et opérationnelle, en identifiant les quick wins et en structurant un plan de décommissionnement progressif de SCCM. Cette approche garantit un retour sur investissement mesurable tout en préparant une transition sereine vers la dernière phase du projet.
Conclusion
L’architecture hybride SCCM / Intune en co-management permet aux entreprises d’accélérer leur stratégie cloud-first tout en préservant leurs investissements existants. Ce modèle de cogestion Microsoft Endpoint Manager favorise une transition progressive vers une architecture de gestion unifiée cloud, adaptée aux enjeux actuels de modernisation de la gestion des postes de travail.
Les apports du co-management sont multiples : sécurité renforcée grâce à Microsoft Entra ID et aux politiques centralisées de Microsoft Intune, efficacité accrue par l’automatisation des déploiements, et gouvernance optimisée des endpoints. Selon Microsoft, le co-management requiert des appareils Windows 10 ou ultérieurs (Source : Microsoft — 2024-12-04), un prérequis qui garantit la compatibilité avec les fonctionnalités modernes de Microsoft 365.
Pour réussir cette transformation digitale, une planification accompagnée est essentielle. Eliadis, partenaire Microsoft expert en infrastructure et migration cloud, offre l’accompagnement nécessaire pour concevoir, déployer et optimiser votre architecture hybride SCCM Intune, en alignant technologie et objectifs métiers pour une adoption réussie.
FAQ
