Tutoriel : Activer la cogestion pour les clients du gestionnaire de configuration existants
Avec la cogestion, vous pouvez conserver vos processus établis d’utilisation de Configuration Manager pour gérer des PC dans votre organisation, tout en investissant dans le cloud en recourant à Intune pour la sécurité et la mise en service moderne.
Dans ce tutoriel, vous configurez la cogestion de vos appareils Windows 10 ou ultérieur qui sont déjà inscrits dans Configuration Manager. Ce didacticiel commence par le principe que vous utilisez déjà Configuration Manager pour gérer vos appareils Windows 10 ou version ultérieure.
Utilisez ce tutoriel dans les cas suivants :
Vous disposez d’un annuaire Active Directory local que vous pouvez connecter à l’ID Microsoft Entra dans une configuration Microsoft Entra hybride.
Si vous ne pouvez pas déployer un ID Microsoft Entra hybride qui joint votre AD local à votre ID Microsoft Entra, nous vous recommandons de suivre notre tutoriel complémentaire Activer la cogestion pour les nouveaux appareils Windows 10 basés sur Internet ou version ultérieure.
Vous avez des clients Configuration Manager existants que vous souhaitez attacher au cloud.
Dans ce tutoriel, vous allez :
- Passer en revue les prérequis pour Azure et votre environnement local
- Configurer l’ID Microsoft Entra hybride
- Configurer les agents clients Configuration Manager pour qu’ils s’inscrivent avec l’ID Microsoft Entra
- Configurer Intune pour l'inscription automatique des appareils.
- Activer la cogestion dans le gestionnaire de configuration
Configuration requise
Services et environnement Azure
Abonnement Azure (essai gratuit)
ID Microsoft Entra P1 ou P2
Abonnement Microsoft Intune
Conseil
Un abonnement Enterprise Mobility + Security (EMS) inclut à la fois l’ID Microsoft Entra P1 ou P2 et Microsoft Intune. Abonnement EMS (essai gratuit).
S’il n’est pas déjà présent dans votre environnement, au cours de ce tutoriel, vous allez configurer Microsoft Entra Connect entre votre annuaire Active Directory local et votre locataire Microsoft Entra.
Remarque
Les appareils inscrits uniquement avec l’ID Microsoft Entra ne sont pas pris en charge avec la cogestion. Cette configuration est parfois appelée jointure d’espace de travail. Ils doivent être joints à l’ID Microsoft Entra ou joints hybrides à Microsoft Entra. Pour plus d’informations, consultez Gestion des appareils avec l’état inscrit Microsoft Entra.
Infrastructure locale
- Une version prise en charge de Configuration Manager Current Branch
- L’autorité de gestion des appareils mobiles (GPM) doit être définie sur Intune.
Autorisations
Tout au long de ce didacticiel, utilisez les autorisations suivantes pour effectuer des tâches :
- Un compte administrateur de domaine sur votre infrastructure locale
- Un compte administrateur complet pour toutes les étendues dans Configuration Manager
- Un compte administrateur général dans l’ID Microsoft Entra
- Vérifiez que vous avez attribué une licence Intune au compte que vous utilisez pour vous connecter à votre locataire. Sinon, la connexion échoue avec le message d’erreur Une erreur inattendue s’est produite.
Configurer l’ID Microsoft Entra hybride
Lorsque vous configurez un ID Microsoft Entra hybride, vous configurez réellement l’intégration d’un AD local avec l’ID Microsoft Entra à l’aide de Microsoft Entra Connect et des services fédérés Active Directory (ADFS). Avec une configuration réussie, vos employés peuvent se connecter en toute transparence à des systèmes externes à l’aide de leurs informations d’identification AD locales.
Importante
Ce tutoriel détaille un processus simple de configuration de l’ID Microsoft Entra hybride pour un domaine managé. Nous vous recommandons de vous familiariser avec le processus et de ne pas vous appuyer sur ce tutoriel comme guide pour comprendre et déployer l’ID Microsoft Entra hybride.
Pour plus d’informations sur l’ID Microsoft Entra hybride, commencez par les articles suivants dans la documentation Microsoft Entra :
Configurer Microsoft Entra Connect
L’ID Microsoft Entra hybride nécessite la configuration de Microsoft Entra Connect pour synchroniser les comptes d’ordinateur dans votre annuaire Active Directory (AD) local et l’objet d’appareil dans l’ID Microsoft Entra.
À compter de la version 1.1.819.0, Microsoft Entra Connect vous fournit un Assistant pour configurer la jointure hybride Microsoft Entra. L’utilisation de cet Assistant simplifie le processus de configuration.
Pour configurer Microsoft Entra Connect, vous avez besoin des informations d’identification d’un administrateur général pour l’ID Microsoft Entra. La procédure suivante ne doit pas faire autorité pour la configuration de Microsoft Entra Connect, mais elle est fournie ici pour simplifier la configuration de la cogestion entre Intune et Configuration Manager. Pour obtenir le contenu faisant autorité sur ce et les procédures associées pour la configuration de l’ID Microsoft Entra, consultez Configurer la jonction hybride Microsoft Entra pour les domaines managés dans la documentation Microsoft Entra.
Configurer une jointure hybride Microsoft Entra à l’aide de Microsoft Entra Connect
Obtenez et installez la dernière version de Microsoft Entra Connect (1.1.819.0 ou version ultérieure).
Lancez Microsoft Entra Connect, puis sélectionnez Configurer.
Dans la page Tâches supplémentaires , sélectionnez Configurer les options de l’appareil, puis sélectionnez Suivant.
Dans la page Vue d’ensemble , sélectionnez Suivant.
Dans la page Se connecter à l’ID Microsoft Entra , entrez les informations d’identification d’un administrateur général pour l’ID Microsoft Entra.
Dans la page Options de l’appareil , sélectionnez Configurer la jointure hybride Microsoft Entra, puis sélectionnez Suivant.
Dans la page Systèmes d’exploitation des appareils, sélectionnez les systèmes d’exploitation utilisés par les appareils dans votre environnement Active Directory, puis sélectionnez Suivant.
Vous pouvez sélectionner l’option pour prendre en charge les appareils windows de niveau inférieur joints à un domaine, mais gardez à l’esprit que la cogestion des appareils n’est prise en charge que pour Windows 10 ou version ultérieure.
Dans la page SCP , pour chaque forêt locale, vous souhaitez que Microsoft Entra Connect configure le point de connexion de service (SCP), procédez comme suit, puis sélectionnez Suivant :
- Sélectionnez la forêt.
- Sélectionnez le service d’authentification. Si vous disposez d’un domaine fédéré, sélectionnez serveur AD FS, sauf si votre organisation a exclusivement des clients Windows 10 ou version ultérieure et que vous avez configuré la synchronisation ordinateur/appareil ou que votre organisation utilise SeamlessSSO.
- Cliquez sur Ajouter pour entrer les informations d’identification de l’administrateur d’entreprise.
Si vous avez un domaine managé, ignorez cette étape.
Dans la page Configuration de la fédération , entrez les informations d’identification de votre administrateur AD FS, puis sélectionnez Suivant.
Dans la page Prêt à configurer , sélectionnez Configurer.
Dans la page Configuration terminée , sélectionnez Quitter.
Si vous rencontrez des problèmes lors de la réalisation de la jonction hybride Microsoft Entra pour les appareils Windows joints à un domaine, consultez Résolution des problèmes de jointure hybride Microsoft Entra pour les appareils Windows actuels.
Configurer les paramètres client pour demander aux clients de s’inscrire avec l’ID Microsoft Entra
Utilisez les paramètres client pour configurer les clients Configuration Manager pour qu’ils s’inscrivent automatiquement avec l’ID Microsoft Entra.
Ouvrez la console> Configuration ManagerVue>d’ensemble des>paramètres du client, puis modifiez les paramètres client par défaut.
Sélectionnez Services cloud.
Dans la page Paramètres par défaut , définissez Inscrire automatiquement les nouveaux appareils joints au domaine Windows 10 avec l’ID Microsoft Entra sur = Oui.
Sélectionnez OK pour enregistrer cette configuration.
Configurer l’inscription automatique des appareils auprès d’Intune
Ensuite, nous allons configurer l’inscription automatique des appareils auprès d’Intune. Avec l’inscription automatique, les appareils que vous gérez avec Configuration Manager s’inscrivent automatiquement auprès d’Intune.
L’inscription automatique permet également aux utilisateurs d’inscrire leurs appareils Windows 10 ou version ultérieure dans Intune. Les appareils s’inscrivent lorsqu’un utilisateur ajoute son compte professionnel à son appareil personnel, ou lorsqu’un appareil d’entreprise est joint à l’ID Microsoft Entra.
Connectez-vous au portail Azure et sélectionnez Microsoft Entra ID>Mobility (MDM et GAM)>Microsoft Intune.
Configurer l’étendue de l’utilisateur MDM. Spécifiez l’une des options suivantes pour configurer les appareils des utilisateurs gérés par Microsoft Intune et accepter les valeurs par défaut pour les valeurs d’URL.
Certains : sélectionnez les groupes qui peuvent inscrire automatiquement leurs appareils Windows 10 ou ultérieur
Tout : tous les utilisateurs peuvent inscrire automatiquement leurs appareils Windows 10 ou version ultérieure
Aucun : Désactiver l’inscription automatique MDM
Importante
Si l’étendue de l’utilisateur GAM et l’inscription GPM automatique (étendue utilisateur MDM) sont activées pour un groupe, seule la gestion des applications mobiles est activée. Seule la gestion des applications mobiles (GAM) est ajoutée pour les utilisateurs de ce groupe lorsqu’ils rejoignent un appareil personnel sur l’espace de travail. Les appareils ne sont pas automatiquement inscrits à mdm.
Lorsque Configuration Manager est configuré pour inscrire des appareils auprès d’Intune, vous devez toujours modifier l’étendue de l’utilisateur MDM pour l’inscription des jetons d’appareil. Configuration Manager utilise les URL MDM qu’il stocke dans la base de données du site pour vérifier que le client appartient au locataire Intune attendu.
Sélectionnez Enregistrer pour terminer la configuration de l’inscription automatique.
Revenez à Mobilité (MDM et GAM), puis sélectionnez Inscription à Microsoft Intune.
Remarque
Certains locataires n’ont peut-être pas ces options à configurer.
Microsoft Intune est la façon dont vous configurez l’application MDM pour l’ID Microsoft Entra. L’inscription à Microsoft Intune est une application Microsoft Entra spécifique créée lorsque vous appliquez des stratégies d’authentification multifacteur pour l’inscription iOS et Android. Pour plus d’informations, consultez Exiger l’authentification multifacteur pour l’inscription d’appareils dans Intune.
Pour l’étendue de l’utilisateur MDM, sélectionnez Tout, puis Enregistrer.
Activer la cogestion dans le gestionnaire de configuration
Avec la configuration hybride de Microsoft Entra et les configurations du client Configuration Manager en place, vous êtes prêt à basculer le commutateur et à activer la cogestion de vos appareils Windows 10 ou ultérieur. L’expression Groupe pilote est utilisée dans les boîtes de dialogue de fonctionnalité de cogestion et de configuration. Un groupe pilote est un regroupement contenant un sous-ensemble de vos appareils Configuration Manager. Utilisez un groupe pilote pour vos tests initiaux, en ajoutant des appareils en fonction des besoins, jusqu’à ce que vous soyez prêt à déplacer les charges de travail pour tous les appareils Configuration Manager. Il n’existe pas de limite de temps sur la durée pendant laquelle un groupe pilote peut être utilisé pour les charges de travail. Un groupe pilote peut être utilisé indéfiniment si vous ne souhaitez pas déplacer la charge de travail vers tous les appareils Configuration Manager.
Lorsque vous activez la cogestion, vous affectez un regroupement en tant que groupe pilote. Il s’agit d’un groupe qui contient un petit nombre de clients pour tester vos configurations de cogestion. Nous vous recommandons de créer une collection appropriée avant de commencer la procédure. Vous pouvez ensuite sélectionner cette collection sans quitter la procédure. Vous pouvez avoir besoin de plusieurs regroupements, car vous pouvez attribuer un groupe pilote différent pour chaque charge de travail.
Remarque
Étant donné que les appareils sont inscrits dans le service Microsoft Intune en fonction de son jeton d’appareil Microsoft Entra, et non d’un jeton utilisateur, seule la restriction d’inscription Intune par défaut s’applique à l’inscription.
Activer la cogestion pour les versions 2111 et ultérieures
À compter de Configuration Manager version 2111, l’expérience d’intégration de la cogestion a changé. L’Assistant Configuration d’attachement au cloud facilite l’activation de la cogestion et d’autres fonctionnalités cloud. Vous pouvez choisir un ensemble simplifié de valeurs par défaut recommandées ou personnaliser vos fonctionnalités d’attachement cloud. Il existe également un nouveau regroupement d’appareils intégré pour les appareils éligibles à la cogestion afin de vous aider à identifier les clients. Pour plus d’informations sur l’activation de la cogestion, consultez Activer l’attachement cloud.
Remarque
Avec le nouvel Assistant, vous ne déplacez pas les charges de travail en même temps que vous activez la cogestion. Pour déplacer des charges de travail, vous allez modifier les propriétés de cogestion après l’activation de l’attachement au cloud.
Activer la cogestion pour les versions 2107 et antérieures
Lorsque vous activez la cogestion, vous pouvez utiliser le cloud public Azure, le cloud Azure Government ou le cloud Azure China 21Vianet (ajouté dans la version 2006). Pour activer la cogestion, suivez ces instructions :
Dans la console Configuration Manager, accédez à l’espace de travail Administration , développez Services cloud, puis sélectionnez le nœud Attachement au cloud . Sélectionnez Configurer l’attachement au cloud dans le ruban pour ouvrir l’Assistant Configuration de l’attachement au cloud.
Pour les versions 2103 et antérieures, développez Services cloud et sélectionnez le nœud Cogestion . Sélectionnez Configurer la cogestion dans le ruban pour ouvrir l’Assistant Configuration de la cogestion.
Dans la page d’intégration de l’Assistant, pour Environnement Azure, choisissez l’un des environnements suivants :
Cloud public Azure
Cloud Azure Government
Cloud Azure Chine (ajouté dans la version 2006)
Remarque
Mettez à jour le client Configuration Manager vers la dernière version sur vos appareils avant d’intégrer le cloud Azure Chine.
Lorsque vous sélectionnez le cloud Azure Chine ou le cloud Azure Government, l’option Charger vers le centre d’administration Microsoft Endpoint Manager pour l’attachement de locataire est désactivée.
Sélectionnez Se connecter. Connectez-vous en tant qu’administrateur général Microsoft Entra, puis sélectionnez Suivant. Vous vous connectez une seule fois pour les besoins de cet Assistant. Les informations d’identification ne sont pas stockées ou réutilisées ailleurs.
Dans la page Activation , choisissez les paramètres suivants :
Inscription automatique dans Intune : active l’inscription automatique des clients dans Intune pour les clients Configuration Manager existants. Cette option vous permet d’activer la cogestion sur un sous-ensemble de clients pour tester initialement la cogestion, puis déployer la cogestion à l’aide d’une approche progressive. Si l’utilisateur annule l’inscription d’un appareil, celui-ci sera réinscrit lors de la prochaine évaluation de la stratégie.
- Pilote : seuls les clients Configuration Manager qui sont membres de la collection d’inscription automatique Intune sont automatiquement inscrits dans Intune.
- Tout : activez l’inscription automatique pour tous les clients exécutant Windows 10 version 1709 ou ultérieure.
- Aucun : désactivez l’inscription automatique pour tous les clients.
Inscription automatique Intune : cette collection doit contenir tous les clients que vous souhaitez intégrer à la cogestion. Il s’agit essentiellement d’un sur-ensemble de toutes les autres collections intermédiaires.
L’inscription automatique n’est pas immédiate pour tous les clients. Ce comportement permet une meilleure mise à l’échelle de l’inscription pour les environnements volumineux. Configuration Manager aléatoire l’inscription en fonction du nombre de clients. Par exemple, si votre environnement a 100 000 clients, lorsque vous activez ce paramètre, l’inscription se produit sur plusieurs jours.
Un nouvel appareil cogéré est désormais automatiquement inscrit dans le service Microsoft Intune en fonction de son jeton d’appareil Microsoft Entra. Il n’est pas nécessaire d’attendre qu’un utilisateur se connecte à l’appareil pour que l’inscription automatique démarre. Cette modification permet de réduire le nombre d’appareils avec l’état d’inscription En attente de la connexion de l’utilisateur. Pour prendre en charge ce comportement, l’appareil doit exécuter Windows 10 version 1803 ou ultérieure. Pour plus d’informations, consultez État de l’inscription à la cogestion.
Si vous avez déjà inscrit des appareils en cogestion, les nouveaux appareils sont maintenant inscrits immédiatement après avoir satisfait aux conditions préalables.
Pour les appareils Basés sur Internet qui sont déjà inscrits dans Intune, copiez et enregistrez la commande dans la page Activation . Vous allez utiliser cette commande pour installer le client Configuration Manager en tant qu’application dans Intune pour les appareils basés sur Internet. Si vous n’enregistrez pas cette commande maintenant, vous pouvez consulter la configuration de la cogestion à tout moment pour obtenir cette commande.
Conseil
La commande s’affiche uniquement si vous avez rempli toutes les conditions préalables, telles que la configuration d’une passerelle de gestion cloud.
Dans la page Charges de travail , pour chaque charge de travail, choisissez le groupe d’appareils à déplacer pour la gestion avec Intune. Pour plus d’informations, consultez Charges de travail.
Si vous souhaitez uniquement activer la cogestion, vous n’avez pas besoin de changer de charge de travail maintenant. Vous pouvez changer de charge de travail ultérieurement. Pour plus d’informations, consultez Comment changer de charge de travail.
- Intune pilote : bascule la charge de travail associée uniquement pour les appareils dans les regroupements pilotes que vous allez spécifier dans la page Préproduction . Chaque charge de travail peut avoir un regroupement pilote différent.
- Intune : modifie la charge de travail associée pour tous les appareils Windows 10 ou ultérieur cogérés.
Importante
Avant de changer de charge de travail, veillez à configurer et déployer correctement la charge de travail correspondante dans Intune. Assurez-vous que les charges de travail sont toujours gérées par l’un des outils de gestion de vos appareils.
Dans la page Préproduction , spécifiez le regroupement pilote pour chacune des charges de travail définies sur Pilote Intune.
Pour activer la cogestion, terminez l’Assistant.
Étapes suivantes
- Passer en revue l’état des appareils cogérés avec le tableau de bord de cogestion
- Commencer à obtenir une valeur immédiate à partir de la cogestion
- Utiliser l’accès conditionnel et les règles de conformité Intune pour gérer l’accès utilisateur aux ressources d’entreprise