À retenir :
- La migration progressive des workloads SCCM vers Intune évite les interruptions opérationnelles tout en modernisant la gestion des endpoints
- La cogestion SCCM-Intune permet de gérer simultanément les appareils sans transition brutale
- Chaque workload est transféré individuellement pour minimiser les risques et assurer une transition contrôlée
- Le tenant attach permet de lier SCCM à Intune, facilitant ainsi la cohabitation et la supervision des appareils
- L’automatisation via PowerShell et Graph API optimise les processus et réduit les erreurs humaines lors de la migration
- Les indicateurs de conformité et de santé des endpoints sont cruciaux pour garantir le succès de la migration et la sécurité des appareils
Comprendre la logique de migration progressive des workloads SCCM vers Intune
La migration progressive des workloads SCCM vers Microsoft Intune permet de transférer graduellement les charges de travail sans interruption. Cette approche repose sur la cogestion, qui autorise la coexistence SCCM et Intune en gérant simultanément les appareils via les deux plateformes.
Différence entre migration complète et progressive
Une migration complète implique le basculement immédiat de tous les appareils et services vers Microsoft Intune, ce qui présente des risques opérationnels élevés. À l’inverse, la migration progressive SCCM vers Intune s’effectue par étapes, en déplaçant un workload à la fois. Cette stratégie de migration des workloads réduit les perturbations, permet de tester chaque charge de travail et d’ajuster la configuration avant de poursuivre. Les entreprises conservent ainsi la maîtrise de leur transition MDM endpoint management Microsoft tout en garantissant la continuité de service.
Logique de la cogestion et glissement progressif des workloads
La cogestion (Co-management) constitue le pilier de cette approche. D’après Microsoft, la cogestion permet de gérer certaines charges de travail avec Configuration Manager et d’autres avec Intune (Source : Microsoft — 2025-12-15). Concrètement, le Configuration Manager client reste installé sur les appareils tout en étant également inscrits dans Microsoft Endpoint Manager. Les administrateurs définissent pour chaque workload quelle solution assure le pilotage : SCCM ou Intune. Ce glissement progressif s’effectue via des curseurs de charge de travail dans la console SCCM, permettant de basculer un groupe pilote avant un déploiement étendu.
Principaux workloads transférables
Plusieurs charges de travail clés peuvent être migrées individuellement. Le tableau ci-dessous présente les workloads les plus courants et leur portée :
| Workload | Description | Bénéfice de la migration vers Intune |
|---|---|---|
| Stratégies de conformité | Définissent les exigences de sécurité minimales pour les appareils | Application en temps réel via MDM Authority Intune, reporting centralisé |
| Applications clientes | Déploiement et mise à jour des applications métier et du Store | Distribution cloud native, support des appareils mobiles et Windows |
| Mises à jour Windows | Gestion des correctifs et des mises à jour de fonctionnalités | Déploiement simplifié via Windows Update for Business, réduction de la bande passante |
| Accès aux ressources | Profils Wi-Fi, VPN, certificats, e-mail | Provisionnement automatique pour tous types d’appareils |
En planifiant méticuleusement chaque étape, les organisations s’assurent d’un plan migration SCCM vers Microsoft Intune cohérent et maîtrisé. La suite de cet article détaillera les prérequis techniques indispensables pour activer cette cogestion et démarrer la transition en toute sérénité.
Préparer la cohabitation et la cogestion SCCM–Intune
La cogestion permet de gérer simultanément des appareils via SCCM et Intune, offrant une transition progressive sans interruption de service. Cette approche garantit la continuité opérationnelle tout en migrant vers une gestion moderne basée sur le cloud.
Créer le lien entre SCCM et le tenant Intune (tenant attach)
Le tenant attach constitue la première étape technique de la cohabitation SCCM-Intune. Cette fonctionnalité permet d’attacher votre site SCCM existant à votre tenant Microsoft Intune, créant ainsi un pont entre l’infrastructure on-premise et les services cloud. L’attachement du site SCCM au tenant Intune s’effectue directement depuis la console Configuration Manager, dans la section Cloud Services. Une fois le tenant attach activé, vous bénéficiez d’Endpoint Analytics, qui offre une visibilité centralisée sur la santé de vos appareils et permet d’identifier les opportunités d’optimisation avant même la bascule complète. Cette étape ne modifie pas la gestion active des appareils mais établit les canaux de communication nécessaires entre SCCM et Microsoft Graph API.
Configurer l’autorité MDM vers Intune
D’après Microsoft, le paramètre ‘MDM authority’ doit être défini sur Intune pour activer la cogestion (Source : Microsoft — 2025-12-15). Cette configuration détermine quelle plateforme détient l’autorité principale pour la gestion des appareils mobiles. Le basculement de l’autorité MDM vers Intune s’opère une seule fois et constitue un prérequis indispensable à la coexistence SCCM-Intune. Il est recommandé de consulter votre audit SCCM avant migration Microsoft Intune pour valider l’état de votre infrastructure. Cette modification peut être réalisée via le portail Intune ou à l’aide de PowerShell pour les environnements nécessitant une automatisation.
Préparer les groupes pilotes et les premières politiques de conformité
La création de groupes pilotes dans Microsoft Entra ID permet de tester le transfert progressif de workloads spécifiques sans impacter l’ensemble du parc. Ces groupes doivent représenter un échantillon diversifié de votre infrastructure : différents types d’appareils, profils utilisateurs et scénarios d’usage. Un plan co management SCCM Intune Microsoft Entra ID structure cette phase de test. Le tableau ci-dessous détaille les workloads à prioriser dans votre plan de bascule vers la gestion moderne.
| Workload | Priorité | Impact métier | Complexité |
|---|---|---|---|
| Politiques de conformité | 1 | Faible | Faible |
| Accès aux ressources | 2 | Moyen | Moyen |
| Windows Update | 3 | Élevé | Moyen |
| Applications clientes | 4 | Élevé | Élevée |
Les premières politiques de conformité définissent les exigences minimales de sécurité que les appareils doivent respecter : chiffrement du disque, pare-feu activé, antivirus à jour. Cette approche progressive facilite la bascule SCCM vers Intune et prépare l’export des politiques SCCM vers Intune pour les workloads suivants.
Transférer les workloads et politiques vers Intune
Le transfert des workloads depuis SCCM vers Intune s’effectue de manière progressive en contrôlant chaque charge de travail individuellement. D’après Microsoft, le processus consiste à déplacer les charges vers Intune et à désinstaller ensuite le client Configuration Manager (Source : Microsoft — 2025-12-15). Cette approche permet de réduire les risques et de valider chaque étape avant de poursuivre la migration des applications vers Intune.
Procéder au glissement des workloads dans la console ConfigMgr
La console Configuration Manager offre un point de contrôle central pour orchestrer la migration progressive des workloads SCCM vers Intune. Dans l’onglet Co-management de la console, vous pouvez définir précisément quels groupes de dispositifs basculeront en premier. Les workloads éligibles incluent Applications, Compliance policies, Device Configuration, Endpoint Protection, Resource Access policies et Windows Update policies. Chaque workload peut être configuré selon trois états : Configuration Manager, Pilot Intune ou Intune. Le mode pilote permet de tester la migration sur un groupe restreint d’appareils avant de généraliser le transfert des stratégies SCCM.
Transférer les stratégies de conformité et de configuration
Le transfert des politiques de sécurité vers Intune nécessite une analyse approfondie des configurations existantes dans SCCM. Utilisez l’Intune Admin Center pour recréer les stratégies de conformité en définissant les exigences minimales : version du système d’exploitation, chiffrement BitLocker, état du pare-feu et niveau de mise à jour. Pour remplacer les GPO par Intune, exportez d’abord les paramètres depuis la Group Policy Management Console (GPMC) à l’aide de l’outil Group Policy Analytics disponible dans Endpoint Manager. Ce dernier compare les paramètres GPO avec les profils de configuration Intune et identifie les équivalences disponibles. Les stratégies migrées doivent être assignées aux mêmes groupes Azure AD que ceux utilisés dans le pilote de co-gestion.
Reconditionner les applications Win32 et déployer via Intune
Le déploiement d’applications Win32 avec Intune impose un reconditionnement des packages existants au format .intunewin. Utilisez l’outil Microsoft Win32 Content Prep Tool pour convertir vos fichiers d’installation depuis les formats MSI, EXE ou scripts PowerShell. Chaque application doit être accompagnée de règles de détection précises : recherche de clés de registre, présence de fichiers spécifiques ou version installée. Configurez les dépendances entre applications pour respecter les prérequis d’installation et définissez les règles de remplacement pour gérer les mises à jour. Le tableau suivant présente les principales différences entre les méthodes de déploiement :
| Critère | SCCM | Intune |
|---|---|---|
| Format de package | MSI, EXE natif, App-V | .intunewin (encapsulé) |
| Méthode de distribution | Point de distribution on-premises | Cloud via CDN Microsoft |
| Règles de détection | Scripts personnalisés, WMI | Registre, fichier, MSI code |
| Dépendances | Séquences de tâches complexes | Relations inter-applications |
| Ciblage | Collections basées sur requêtes | Groupes Azure AD dynamiques |
Superviser la bascule des workloads dans Endpoint Manager
La supervision de la migration s’effectue depuis l’Intune Admin Center, où plusieurs rapports permettent de suivre l’état d’avancement. Le rapport Co-management affiche la répartition des appareils entre Configuration Manager et Intune pour chaque workload. Consultez régulièrement les rapports de conformité pour identifier les dispositifs non conformes après migration. Windows Update for Business, intégré à Intune, remplace progressivement les stratégies de mise à jour SCCM et offre une visibilité en temps réel sur le déploiement des correctifs. Pour faciliter la migration des GPO vers les profils de configuration Intune, exploitez les journaux d’audit pour tracer toutes les modifications apportées aux stratégies. Cette phase de transfert vous prépare à finaliser la transition complète vers une gestion cloud des endpoints.
Optimiser, superviser et sécuriser la migration progressive
La réussite d’une migration progressive repose sur une supervision continue et une automatisation rigoureuse permettant de détecter rapidement les anomalies et de garantir la conformité. Intégrer des mécanismes de pilotage et de sécurisation dès la phase de transition assure une stabilité opérationnelle et réduit les risques post-migration SCCM.
Automatiser les exportations et déploiements avec PowerShell et Graph API
L’automatisation via PowerShell et Microsoft Graph API fluidifie les opérations répétitives et limite les erreurs humaines. D’après Microsoft, les politiques de conformité peuvent être exportées et importées via des scripts PowerShell depuis Microsoft Graph (Source : Microsoft — 2025-12-15). Cette approche permet de répliquer des configurations complexes entre environnements de test et production, d’accélérer les déploiements de stratégies de sécurité, et de standardiser les processus. L’automatisation PowerShell Intune devient ainsi un levier stratégique pour l’optimisation post-migration SCCM Intune, notamment lors du déploiement massif de profils de configuration ou de scripts de remédiation.
Superviser les postes hybrides Azure AD Join et Entra ID Join
Les environnements de co-gestion génèrent des architectures hybrides où coexistent des terminaux Azure AD Join (désormais Entra ID Join) et des postes classiques. Le pilotage et l’optimisation post-migration nécessitent un tableau de bord unifié recensant l’état de jointure, les versions de système d’exploitation et les agents installés. Endpoint Analytics offre une visibilité en temps réel sur la santé des périphériques, les temps de démarrage, les erreurs d’application et les recommandations de performances. Intégrer ces indicateurs au sein d’un processus de supervision post-migration SCCM garantit une détection proactive des déviations et facilite le pilotage du changement.
Mettre en œuvre les stratégies de sécurité et conformité
La sécurisation des endpoints passe par le déploiement de Microsoft Defender for Endpoint (MDE) et de stratégies de conformité Intune strictes. Ces politiques définissent les exigences minimales (chiffrement BitLocker, mises à jour système, détection des menaces) et bloquent l’accès aux ressources pour les appareils non conformes. Windows Update for Business automatise le déploiement des correctifs en fonction de groupes cibles et de fenêtres de maintenance, réduisant ainsi la surface d’attaque. La sécurisation migration workloads Intune impose également une segmentation des politiques par profil d’utilisateur et niveau de criticité, afin d’éviter les interruptions de service tout en maintenant un haut niveau de protection.
Exploiter les rapports et indicateurs Intune pour un pilotage continu
Le tableau ci-dessous synthétise les principaux indicateurs à surveiller pour garantir une transition maîtrisée :
| Indicateur | Source | Objectif |
|---|---|---|
| Taux de conformité des appareils | Rapports Intune | Identifier les postes non conformes et déclencher des actions correctives |
| Scores de santé des endpoints | Endpoint Analytics | Anticiper les défaillances matérielles ou logicielles |
| Délais de déploiement des mises à jour | Windows Update for Business | Mesurer l’efficacité du patch management |
| Détection et réponse aux menaces | Microsoft Defender for Endpoint | Réduire le temps de réponse aux incidents de sécurité |
Ces métriques doivent alimenter des revues régulières avec les équipes IT et sécurité, afin d’ajuster les stratégies en fonction de l’évolution des usages et des menaces. Dans le chapitre suivant, nous aborderons les meilleures pratiques de conduite du changement pour accompagner les utilisateurs finaux tout au long de cette transformation.
Conclusion
La migration progressive des workloads SCCM vers Microsoft Intune repose sur une planification rigoureuse, une gouvernance claire et une supervision continue des environnements hybrides. La cohabitation entre SCCM et Intune offre aux entreprises la flexibilité nécessaire pour opérer une bascule progressive vers Intune sans interruption de service, tout en permettant d’adapter le rythme aux contraintes métier et techniques de chaque organisation.
Le succès de ce projet dépend directement du pilotage de la conformité et de la gestion unifiée SCCM-Intune. Selon Microsoft, tenant attach permet de surveiller les appareils on-premise dans le centre d’administration Intune (Source : Microsoft — 2025-08-21), facilitant ainsi la supervision centralisée durant la transition.
Pour garantir l’industrialisation et la sécurisation du modern management des postes, il est vivement recommandé de s’appuyer sur un partenaire expérimenté tel qu’Eliadis, capable de structurer chaque phase de la migration workloads SCCM Intune et d’assurer l’intégration avec Microsoft Entra ID et Microsoft 365.
FAQ
