Guide de planification de haut niveau pour passer aux points de terminaison natifs du cloud

Conseil

Lors de la lecture des points de terminaison natifs cloud, vous voyez les termes suivants :

• Point de terminaison : un point de terminaison est un appareil, tel qu’un téléphone mobile, une tablette, un ordinateur portable ou un ordinateur de bureau. Les « points de terminaison » et les « appareils » sont utilisés indifféremment.
• Points de terminaison managés : points de terminaison qui reçoivent des stratégies de l’organisation à l’aide d’une solution GPM ou d’objets stratégie de groupe. Ces appareils appartiennent généralement à l’organisation, mais peuvent également être des appareils BYOD ou personnels.
• Points de terminaison natifs cloud : points de terminaison joints à Microsoft Entra. Ils ne sont pas joints à AD local.
• Charge de travail : tout programme, service ou processus.

Ce guide de planification de haut niveau inclut des idées et des suggestions que vous devez prendre en compte pour votre adoption et votre migration vers des points de terminaison natifs du cloud. Il traite de la gestion des appareils, de l’examen et de la transition des charges de travail existantes, de l’apport de modifications à l’organisation, de l’utilisation de Windows Autopilot, etc.

Cette fonctionnalité s’applique à :

• Points de terminaison natifs cloud Windows

Le déplacement de vos points de terminaison Windows vers le cloud natif présente de nombreux avantages, notamment des avantages à long terme. Il ne s’agit pas d’un processus nocturne et doit être planifié pour éviter les problèmes, les pannes et l’impact négatif sur les utilisateurs.

Pour plus d’informations sur les avantages pour l’organisation et vos utilisateurs, consultez Présentation des points de terminaison natifs du cloud.

Pour réussir, prenez en compte les domaines clés décrits dans cet article pour votre planification et votre déploiement. Avec une planification, des communications et des mises à jour de processus appropriées, votre organisation peut être native dans le cloud.

Gérer des appareils à l’aide d’un fournisseur MDM natif cloud

La gestion de vos points de terminaison, y compris les points de terminaison natifs du cloud, est une tâche importante pour toutes les organisations. Avec les points de terminaison natifs cloud, les outils de gestion que vous utilisez doivent gérer les points de terminaison où qu’ils soient.

Si vous n’utilisez actuellement pas de solution de gestion des appareils mobiles (GPM) ou si vous souhaitez passer à une solution Microsoft, les articles suivants sont de bonnes ressources :

• Qu’est-ce que Microsoft Intune ?
• Prise en main de Microsoft Intune

Avec la famille de produits et services Microsoft Intune, vous disposez des options de gestion des points de terminaison suivantes :

• Microsoft Intune : Intune est 100 % basé sur le cloud et utilise le centre d’administration Intune pour gérer les appareils, gérer les applications sur les appareils, créer & déployer des stratégies, passer en revue les données de création de rapports, etc.

  Pour plus d’informations sur l’utilisation d’Intune pour gérer vos points de terminaison, accédez à :

  • Microsoft Intune gère en toute sécurité les identités, gère les applications et gère les appareils
  • Guide de déploiement : configurer ou passer à Microsoft Intune
  • Guide de planification pour Microsoft Intune

• Microsoft Configuration Manager : Configuration Manager utilise une infrastructure locale et peut gérer les serveurs. Lorsque vous utilisez la cogestion, certaines charges de travail utilisent Gestionnaire de configuration (localement) et certaines charges de travail utilisent Microsoft Intune (cloud).

  Pour les points de terminaison natifs cloud, vos solutions de Gestionnaire de configuration doivent utiliser une Passerelle de gestion cloud (CMG) et la cogestion.

Passer en revue vos charges de travail de point de terminaison et d’utilisateur

À un niveau élevé, le déploiement de points de terminaison natifs cloud nécessite des stratégies modernes pour l’identité, la distribution de logiciels, la gestion des appareils, les mises à jour du système d’exploitation et la gestion des données utilisateur et de la configuration. Microsoft propose des solutions qui prennent en charge ces domaines pour vos points de terminaison natifs cloud.

Pour commencer, examinez chaque charge de travail et déterminez comment elle peut ou prendra en charge vos points de terminaison natifs cloud. Certaines charges de travail peuvent déjà prendre en charge les points de terminaison natifs du cloud. La prise en charge native dépend de la charge de travail spécifique, de la façon dont votre organisation implémente les services de charge de travail et de la façon dont vos utilisateurs utilisent les services.

Pour déterminer si vos charges de travail prennent en charge les points de terminaison natifs cloud, vous devez examiner et valider ces services.

Si un service ou une solution ne prend pas en charge les points de terminaison natifs cloud, déterminez son impact et son importance sur vos utilisateurs et votre organisation. Lorsque vous disposez de ces informations, vous pouvez déterminer les étapes suivantes, notamment :

• Collaboration avec le fournisseur de services
• Mise à jour vers une nouvelle version
• Utilisation d’un nouveau service
• Implémentation d’une solution de contournement pour accéder à ce service et l’utiliser à partir d’un point de terminaison natif cloud
• Validation des exigences de service
• Accepter que le service n’est pas adapté au cloud natif, ce qui peut être acceptable pour vos utilisateurs et votre organisation

Dans les deux cas, vous devez planifier la mise à jour de vos charges de travail pour prendre en charge les points de terminaison natifs du cloud.

Vos charges de travail doivent avoir les caractéristiques suivantes :

• Accédez en toute sécurité aux applications et aux données à partir de n’importe quel emplacement des utilisateurs. L’accès ne nécessite pas de connexion à un réseau d’entreprise ou interne.
• Hébergé dans, hébergé par ou par le biais d’un service cloud.
• Ne nécessite pas ou ne dépend pas d’un appareil spécifique.

Charges de travail et solutions courantes

Les points de terminaison natifs cloud incluent également les services et les charges de travail qui prennent en charge les points de terminaison.

Les charges de travail suivantes sont la configuration, les outils, les processus et les services permettant la productivité des utilisateurs et la gestion des points de terminaison.

Vos charges de travail, détails et comment mettre à jour les charges de travail pour les points de terminaison natifs cloud peuvent être différents. En outre, vous n’avez pas besoin de migrer chaque charge de travail. Toutefois, vous devez prendre en compte chaque charge de travail, son impact sur la productivité des utilisateurs et les capacités de gestion des appareils. La conversion de certaines charges de travail pour utiliser des points de terminaison natifs cloud peut prendre plus de temps que d’autres. Les charges de travail peuvent également avoir des interdépendances les unes sur les autres.

• Identité de l’appareil

  L’identité d’un appareil est déterminée par les fournisseurs d’identité (IdP) qui connaissent l’appareil et une approbation de sécurité avec l’appareil. Pour les points de terminaison Windows, les fournisseurs d’identité les plus courants sont active directory (AD) local et l’ID Microsoft Entra. Les points de terminaison avec des identités provenant d’un de ces IDP sont généralement joints à un ou joints aux deux.

  • Pour les points de terminaison natifs cloud, la jonction Microsoft Entra est le meilleur choix pour l’identité de l’appareil. Elle ne nécessite aucune connectivité à un réseau, une ressource ou un service local.
  • La jonction AD locale et la jonction Microsoft Entra hybride nécessitent une connectivité à un contrôleur de domaine local. Ils ont besoin d’une connectivité pour la connexion initiale de l’utilisateur, pour fournir des stratégies de groupe et modifier les mots de passe. Ces options ne conviennent pas aux points de terminaison natifs cloud.

  Remarque

  L’inscription Microsoft Entra, parfois appelée « jonction d’espace de travail », est destinée uniquement aux scénarios BYOD (Apportez votre propre appareil). Il ne doit pas être utilisé pour les points de terminaison Windows appartenant à l’organisation. Certaines fonctionnalités peuvent ne pas être prises en charge ou ne pas fonctionner comme prévu sur les points de terminaison Windows inscrits microsoft Entra.

• Provisionner vos points de terminaison

  Pour les points de terminaison de jointure Microsoft Entra récemment déployés, utilisez Windows Autopilot pour préconfigurer les appareils. Rejoindre Microsoft Entra est généralement une tâche pilotée par l’utilisateur, et Windows Autopilot est conçu avec les utilisateurs à l’esprit. Windows Autopilot permet l’approvisionnement à l’aide du cloud depuis n’importe où sur Internet et par n’importe quel utilisateur.

  Pour plus d’informations, voir :

  • Vue d’ensemble de Windows Autopilot
  • Scénarios et fonctionnalités de Windows Autopilot

• Déployer des logiciels et des applications

  La plupart des utilisateurs ont besoin et utilisent des logiciels et des applications non inclus dans le système d’exploitation principal. Dans de nombreux cas, le service informatique ne connaît pas ou ne comprend pas les exigences spécifiques de l’application. Toutefois, la fourniture et la gestion de ces applications relèvent toujours de la responsabilité de votre équipe informatique. Les utilisateurs doivent être en mesure de demander et d’installer les applications dont ils ont besoin pour effectuer leur travail, quel que soit le point de terminaison qu’ils utilisent ou l’endroit d’où ils l’utilisent.

  • Pour déployer des logiciels et des applications, utilisez un système cloud, comme Intune ou Gestionnaire de configuration (avec une CMG et la cogestion).

  • Créez une base de référence des applications que vos points de terminaison doivent avoir, comme Microsoft Outlook et Teams. Pour les autres applications, laissez les utilisateurs installer leurs propres applications.

    Sur vos points de terminaison, vous pouvez utiliser l’application Portail d'entreprise comme référentiel d’applications. Vous pouvez également utiliser un portail orienté utilisateur qui répertorie les applications qui peuvent être installées. Cette option en libre-service réduit le temps d’approvisionnement des appareils nouveaux et existants. Cela réduit également la charge sur le service informatique, et vous n’avez pas besoin de déployer des applications dont les utilisateurs n’ont pas besoin.

  Pour plus d’informations, voir :

  • Déploiement d’applications Windows 10/11 à l’aide de Microsoft Intune
  • Présentation de la gestion des applications dans Gestionnaire de configuration
  • Référentiel d’applications privées dans Windows 11

• Configurer les paramètres d’appareil à l’aide de stratégies

  La gestion des stratégies et de la sécurité est essentielle dans la gestion des points de terminaison. Les stratégies de point de terminaison permettent à votre organisation d’appliquer une base de référence de sécurité spécifique et une configuration standard sur vos points de terminaison managés. Il existe de nombreux paramètres que vous pouvez gérer et contrôler sur vos points de terminaison. Créez des stratégies qui configurent uniquement ce qui est requis dans votre base de référence. NE CRÉEZ PAS de stratégies qui contrôlent les préférences utilisateur courantes.

  • L’application de stratégies traditionnelles à l’aide d’une stratégie de groupe n’est pas possible avec les points de terminaison natifs du cloud. Au lieu de cela, vous pouvez utiliser Intune pour créer des stratégies afin de configurer de nombreux paramètres, notamment des fonctionnalités intégrées telles que le catalogue de paramètres et les modèles d’administration.

    Analyse de stratégie de groupe dans Intune peut analyser vos objets de stratégie de groupe locaux, voir si ces mêmes paramètres sont pris en charge dans le cloud et créer une stratégie à l’aide de ces paramètres.

  • Si vous avez des stratégies existantes qui émettent des certificats, gèrent BitLocker et fournissent une protection de point de terminaison, vous devez créer de nouvelles stratégies dans Intune ou Gestionnaire de configuration (avec une CMG et la cogestion).

    Pour plus d’informations, voir :

    • Utiliser des certificats pour l’authentification dans Microsoft Intune
    • Stratégie de chiffrement de disque pour la sécurité des points de terminaison dans Intune
    • Ajouter des paramètres Endpoint Protection dans Intune
    • Certificats dans Configuration Manager
    • Gestion BitLocker dans Configuration Manager
    • Endpoint Protection dans Configuration Manager

• Déployer des mises à jour de sécurité, de fonctionnalités et d’applications

  De nombreuses solutions locales ne peuvent pas déployer de mises à jour sur des points de terminaison natifs cloud ou les déployer efficacement. Du point de vue de la sécurité, cette charge de travail peut être la plus importante. Il doit s’agir de la première charge de travail que vous effectuez pour prendre en charge les points de terminaison Windows natifs du cloud.

  • Déployez des mises à jour Windows à l’aide d’un système cloud, comme Windows Update pour Entreprise. À l’aide de Intune ou Configuration Manager (avec une CMG et une cogestion), vous pouvez utiliser Windows Update for Business pour déployer des mises à jour de sécurité et des fonctionnalités.

    Pour plus d’informations, voir :

    • Gérer les mises à jour logicielles de Windows 10 et Windows 11 dans Intune
    • Intégrer Configure Manager à Windows Update pour Entreprise
    • Comment gérer les mises à jour apportées à Microsoft 365 Apps

  • Déployez les mises à jour d’application Microsoft 365 à l’aide des options suivantes :

    • Intune: créez une stratégie qui définit le canal de mise à jour, supprime d’autres versions d’application, etc.
    • Configuration Manager (avec une CMG et une cogestion) : gérez vos applications, notamment mettre à jour les statistiques, copier, mettre hors service, etc.

    Pour plus d’informations, voir :

    • Ajouter des applications Microsoft 365 aux appareils Windows 10/11
    • Tâches de gestion pour les applications Configuration Manager

• Gérer les données et les paramètres utilisateur

  Les données utilisateur incluent les éléments suivants :

  • Documents utilisateur
  • Configuration de l’application de messagerie
  • Favoris du navigateur web
  • Données spécifiques à l’application métier
  • Paramètres de configuration spécifiques à l’application métier

  Les utilisateurs doivent créer et accéder à leurs données à partir de n’importe quel point de terminaison. Ces données doivent également être protégées et peuvent être partagées avec d’autres utilisateurs.

  • Stockez les données utilisateur et les paramètres dans un fournisseur de stockage cloud, comme Microsoft OneDrive. Les fournisseurs de stockage cloud peuvent gérer la synchronisation des données, le partage, l’accès hors connexion, la résolution des conflits, etc.

    Pour plus d’informations, consultez le guide OneDrive pour les entreprises.

  Importante

  Certains paramètres utilisateur, tels que les préférences du système d’exploitation ou les paramètres spécifiques à l’application, sont stockés dans le Registre. L’accès à ces paramètres à partir de n’importe où peut ne pas être réaliste et peut être interdit de se synchroniser avec différents points de terminaison.

  Il est possible que ces paramètres puissent être exportés, puis importés dans un autre appareil. Par exemple, vous pouvez exporter les paramètres utilisateur à partir d’Outlook, de Word et d’autres applications Office.

• Accès aux ressources locales

  Certaines organisations ne peuvent pas migrer certaines charges de travail vers des solutions cloud natives. La seule option peut être d’accéder à des ressources ou services locaux existants à partir d’un point de terminaison natif cloud. Pour ces scénarios, les utilisateurs ont besoin d’y accéder.

  Pour ces services, ressources et applications locaux, tenez compte des tâches suivantes :

  • Authentification et autorisation: pour accéder aux ressources locales à partir de points de terminaison natifs cloud, les utilisateurs doivent s’authentifier et vérifier qui ils sont. Pour plus d’informations, accédez à l’authentification et à l’accès aux ressources locales avec un point de terminaison natif cloud.

  • Connectivité : passez en revue et évaluez les applications & ressources qui résident uniquement en local. La connectivité et l’accès à ces ressources doivent être disponibles hors site et sans aucune connectivité directe, comme un VPN. Cette tâche peut inclure le déplacement vers des versions SaaS de vos applications, à l’aide du proxy d’application Microsoft Entra, d’Azure Virtual Desktop, de Windows 365, de SharePoint, de OneDrive ou de Microsoft Teams.

  Remarque

  Microsoft Entra ne prend pas en charge le protocole d’authentification Kerberos. AD local prend en charge le protocole d’authentification Kerberos. Dans votre planification, vous pouvez en savoir plus sur Microsoft Entra Kerberos. Une fois configurés, les utilisateurs se connectent à un point de terminaison natif cloud à l’aide de leur compte Microsoft Entra et peuvent accéder aux applications ou services locaux qui utilisent l’authentification Kerberos.

  Microsoft Entra Kerberos :

  • N’est pas utilisé dans les solutions cloud natives.
  • Ne résout aucun problème de connectivité pour les ressources qui nécessitent une authentification via Microsoft Entra.
  • N’est pas la réponse ou la solution pour les exigences d’authentification de domaine via Microsoft Entra.
  • Ne répond pas aux problèmes d’authentification de l’ordinateur répertoriés dans les problèmes connus et les informations importantes.

  Pour une compréhension plus approfondie de Microsoft Entra Kerberos et des scénarios qu’il peut traiter, consultez les blogs suivants :

  • Pourquoi nous avons créé Microsoft Entra Kerberos (ouvre un site web externe)
  • Présentation approfondie : Fonctionnement de Microsoft Entra Kerberos (ouvre un autre site web Microsoft)
  • Fonctionnement de Microsoft Entra Kerberos (syfuhs.net) (ouvre un site web externe)

Effectuer la transition de vos charges de travail en plusieurs phases

La modernisation des charges de travail et l’adoption de points de terminaison natifs cloud nécessitent des modifications des processus et procédures opérationnels. Par exemple :

• Les administrateurs doivent comprendre comment les modifications apportées aux charges de travail existantes peuvent modifier leurs processus.
• Le service doit comprendre les nouveaux scénarios qu’il va prendre en charge.

Lorsque vous examinez vos points de terminaison et charges de travail, décomposez la transition en phases. Cette section fournit une vue d’ensemble de certaines phases recommandées que votre organisation peut utiliser. Ces phases peuvent être répétées autant de fois que nécessaire.

✅ Phase 1 : obtenir des informations sur vos charges de travail

Cette phase est la phase de collecte d’informations. Il vous permet d’établir l’étendue de ce que vous devez prendre en compte pour que votre organisation passe au cloud natif. Elle implique de définir exactement les services, produits et applications impliqués dans chaque charge de travail de votre environnement.

Dans cette phase :

1. Inventoriez les informations et les détails de votre charge de travail actuelle. Par exemple, connaître leur état actuel, ce qu’ils fournissent, qui ils servent, qui les gère, s’ils sont critiques pour le cloud natif et comment ils sont hébergés.

   Lorsque vous disposez de ces informations, vous pouvez comprendre et définir l’objectif final, qui doit être :

   • Pour prendre en charge les points de terminaison natifs cloud
   • Pour connaître les services, produits et applications utilisés par chaque charge de travail

   Vous devez vous coordonner avec les propriétaires des différents services, produits et applications. Vous souhaitez vous assurer que les points de terminaison natifs du cloud prennent en charge la productivité des utilisateurs sans contraintes de connectivité ou d’emplacement.

   Les applications métier, les sites web internes, les partages de fichiers, les exigences d’authentification, les mécanismes de mise à jour des applications et du système d’exploitation et la configuration des applications sont des exemples d’applications courantes. En fait, ils incluent tout ce dont les utilisateurs ont besoin pour effectuer entièrement leur travail.

2. Vérifiez l’état final de chaque charge de travail. Identifiez les bloqueurs connus qui empêchent d’atteindre cet état final ou de prendre en charge les points de terminaison natifs cloud.

   Certaines charges de travail et leurs services et applications peuvent déjà être compatibles avec le cloud ou activés. Certains peuvent ne pas l’être. L’obtention de l’état final pour chaque charge de travail peut nécessiter un investissement & un effort de l’organisation. Il peut s’agir de la mise à jour de logiciels, du « lift-and-shift » vers une nouvelle plateforme, de la migration vers une nouvelle solution ou de la modification de la configuration.

   Les étapes nécessaires pour chaque charge de travail sont différentes pour chaque organisation. Elles dépendent de la façon dont le service ou l’application est hébergé et accessible par les utilisateurs. Cet état final doit répondre au principal défi qui consiste à permettre aux utilisateurs d’effectuer leur travail sur un point de terminaison natif cloud, quel que soit l’emplacement ou la connectivité au réseau interne.

   En fonction de chaque état final défini, vous pouvez découvrir ou définir que l’activation cloud d’un service ou d’une application est difficile ou bloquée. Cette situation peut se produire pour différentes raisons, notamment des limitations techniques ou financières. Ces limitations doivent être claires et être comprises. Vous devez passer en revue leur impact et déterminer comment déplacer chaque charge de travail pour qu’elle soit native cloud.

✅ Phase 2 : Hiérarchiser les bloqueurs

Une fois que vous avez identifié les charges de travail clés et leurs bloqueurs d’état final, procédez comme suit :

1. Hiérarchisez chaque bloqueur et évaluez chaque bloqueur pour la résolution.

   Il se peut que vous ne souhaitiez pas ou que vous deviez traiter tous les bloqueurs. Par exemple, votre organisation peut avoir des charges de travail, ou une partie des charges de travail, qui ne prennent pas en charge vos points de terminaison natifs cloud. Ce manque de support peut être significatif ou non pour votre organisation ou vos utilisateurs. Vous et votre organisation pouvez prendre cette décision.

2. Pour prendre en charge les tests et la preuve de concept, commencez par un ensemble minimal de charges de travail. L’objectif est de tester et valider un échantillon de vos charges de travail.

   Dans le cadre du POC, identifiez un ensemble d’utilisateurs et d’appareils dans un pilote pour exécuter un scénario de production réel. Cette étape permet de prouver si l’état final active la productivité de l’utilisateur.

   Dans de nombreuses organisations, il existe un rôle ou un groupe d’activités qui est plus facile à migrer. Par exemple, vous pouvez cibler les scénarios suivants dans votre POC :

   • Une équipe de vente très mobile dont les principaux besoins sont des outils de productivité et une solution de gestion des relations avec la clientèle en ligne.
   • Travailleurs du savoir qui accèdent principalement au contenu déjà présent dans le cloud et qui s’appuient fortement sur les applications Microsoft 365
   • Appareils de travail de première ligne hautement mobiles ou qui se trouvent dans des environnements où ils n’ont pas accès au réseau de l’organisation

   Pour ces groupes, passez en revue leurs charges de travail. Déterminez comment ces charges de travail peuvent passer à la gestion moderne, notamment les identités, la distribution de logiciels, la gestion des appareils, etc.

   Pour chacune des zones de votre pilote, le nombre d’éléments ou de tâches doit être faible. Ce pilote initial vous aide à créer les processus et procédures requis pour d’autres groupes. Il vous aide également à créer votre stratégie à long terme.

   Pour obtenir des conseils et des conseils supplémentaires, consultez le guide de planification Microsoft Intune. Il s’applique à Intune, mais inclut également des conseils lors de l’utilisation de groupes pilotes et de la création de plans de déploiement.

✅ Phase 3 : Transition de vos charges de travail

Dans cette phase, vous êtes prêt à implémenter vos modifications.

1. Déplacez les charges de travail débloqués vers vos solutions cloud natives planifiées ou l’état final. Dans l’idéal, cette étape est divisée en éléments de travail plus petits. L’objectif est de poursuivre les opérations commerciales avec une interruption minimale.

2. Une fois que le premier ensemble de charges de travail prend en charge les points de terminaison natifs cloud, identifiez davantage de charges de travail et poursuivez le processus.

✅ Phase 4 : Préparer vos utilisateurs

Les utilisateurs ont des expériences différentes pour la réception, le déploiement et la prise en charge sur leurs appareils. Les administrateurs doivent :

• Passez en revue les processus et la documentation existants pour identifier où les modifications sont visibles par les utilisateurs.
• Mettez à jour la documentation.
• Créez une stratégie d’éducation pour partager les changements et les avantages que les utilisateurs auront.

Effectuer la transition de votre organisation en plusieurs phases

Les phases suivantes constituent une approche générale permettant aux organisations de déplacer leur environnement pour prendre en charge les points de terminaison Windows natifs du cloud. Ces phases sont parallèles à la transition des points de terminaison et des charges de travail utilisateur. Elles peuvent dépendre de la transition partielle ou complète de certaines charges de travail pour prendre en charge les points de terminaison Windows natifs du cloud.

✅ Phase 1 : Définir des points de terminaison, des dépendances et des jalons

Cette phase est la première étape pour que la migration de votre organisation soit entièrement native dans le cloud. Passez en revue ce que vous avez actuellement, définissez des critères de réussite et commencez à planifier la façon dont vos appareils seront ajoutés à Microsoft Entra.

1. Définir les points de terminaison qui nécessitent une identité cloud

   • Les points de terminaison qui utilisent l’accès à Internet nécessitent une identité cloud. Vous allez ajouter ces points de terminaison à Microsoft Entra.
   • Les points de terminaison qui n’utilisent pas Internet ou qui sont utilisés uniquement localement ne doivent pas avoir d’identité cloud. Ne migrez pas ces scénarios pour qu’ils soient natifs du cloud.

2. Définir des dépendances

   Les charges de travail, les utilisateurs et les appareils ont des dépendances techniques et non techniques. Pour effectuer une transition avec un impact minimal sur les utilisateurs et l’organisation, vous devez tenir compte de ces dépendances.

   Par exemple, une dépendance peut être :

   • Processus métier et continuité
   • Normes de sécurité
   • Lois et réglementations locales
   • Connaissances et utilisation de la charge de travail par l’utilisateur
   • Capital, coûts opérationnels et budget

   Pour chaque charge de travail, demandez « Qu’est-ce qui est affecté si nous modifions quelque chose concernant les services fournis par cette charge de travail ? ». Vous devez tenir compte des effets de cette modification.

3. Définir des jalons et des critères de réussite pour chaque charge de travail

   Chaque charge de travail a ses propres jalons et critères de réussite. Elles peuvent être basées sur l’utilisation de la charge de travail par l’organisation et son applicabilité à des points de terminaison et des utilisateurs spécifiques.

   Pour comprendre et définir la progression de la transition, suivez et surveillez ces informations.

4. Planifier votre déploiement Windows Autopilot

   • Déterminez comment et quand les appareils seront inscrits auprès de votre organisation.
   • Déterminez et créez les balises de groupe nécessaires pour cibler vos stratégies de Windows Autopilot.
   • Créez votre profil Windows Autopilot avec ses paramètres de configuration et ciblez les appareils qui recevront votre profil.

   Pour plus d’informations, voir :

   • Vue d’ensemble de Windows Autopilot
   • Scénarios et fonctionnalités de Windows Autopilot

✅ Phase 2 : Activer l’identité hybride cloud de point de terminaison (facultatif)

Pour être entièrement natifs cloud, Microsoft recommande de réinitialiser les points de terminaison Windows existants dans le cadre d’un cycle d’actualisation matérielle. Lorsque vous réinitialisez, le point de terminaison est restauré aux paramètres d’usine. Toutes les applications, paramètres et données personnelles sur l’appareil sont supprimés.

Si vous n’êtes pas prêt à réinitialiser vos points de terminaison, vous pouvez activer la jonction Microsoft Entra hybride. Une identité cloud est créée pour les points de terminaison de jointure Hybride Microsoft Entra. N’oubliez pas que la jonction Microsoft Entra hybride nécessite toujours une connectivité locale.

N’oubliez pas que la jonction Microsoft Entra hybride est une étape de transition vers le cloud natif et n’est pas l’objectif final. L’objectif final est que tous les points de terminaison existants soient entièrement natifs du cloud.

Lorsque les points de terminaison sont entièrement natifs du cloud, les données utilisateur sont stockées dans un fournisseur de stockage cloud, comme OneDrive. Par conséquent, lorsqu’un point de terminaison est réinitialisé, les applications utilisateur, la configuration et les données sont toujours accessibles et peuvent être répliquées sur un point de terminaison nouvellement provisionné.

Pour plus d’informations, consultez :

• Jointure Microsoft Entra et Jointure Hybride Microsoft Entra
• Configurer la jointure Microsoft Entra hybride

Remarque

Microsoft ne dispose pas d’un utilitaire de migration pour convertir des points de terminaison existants à partir d’un domaine local joint ou d’un Microsoft Entra hybride joint à Microsoft Entra. Microsoft recommande la réinitialisation et le redéploiement de ces appareils dans le cadre d’une actualisation matérielle.

✅Phase 3 : Configuration Manager d’attachement cloud (facultatif)

Si vous utilisez Configuration Manager, le cloud associe votre environnement à Microsoft Intune. Si vous n’utilisez pas Configuration Manager, ignorez cette étape.

Lorsque vous attachez le cloud, vous pouvez gérer à distance vos points de terminaison clients, co-gérer vos points de terminaison avec Intune (cloud) et Configuration Manager (local), et accéder au Centre d’administration Intune.

Pour plus d’informations, consultez Attacher votre environnement Configuration Manager dans le cloud et Parcourir le Centre d’administration Microsoft Intune.

✅ Phase 4 : Créer une preuve de concept jointe à Microsoft Entra

Cette phase critique peut démarrer à tout moment. Il permet d’identifier les problèmes potentiels, les problèmes inconnus et valide les fonctionnalités globales et les solutions à ces problèmes. Comme pour tous les contrôleurs de domaine, l’objectif est de prouver et de valider les fonctionnalités dans un environnement d’entreprise réel au lieu d’un environnement lab.

Les étapes importantes de cette phase sont les suivantes :

1. Implémenter une configuration de base de référence minimale à l’aide d’Intune

   Cette étape est importante. Vous ne souhaitez pas présenter de points de terminaison à votre réseau ou à la production qui :

   • Ne suivez pas les normes de sécurité de votre organisation
   • Ne sont pas configurés pour que les utilisateurs effectuent leur travail.

   Cette configuration minimale n’a pas et ne doit pas avoir toutes les configurations possibles appliquées. N’oubliez pas que l’objectif est de découvrir d’autres configurations requises pour que les utilisateurs réussissent.

2. Configurer Windows Autopilot pour les points de terminaison joints à Microsoft Entra

   L’utilisation de Windows Autopilot pour provisionner de nouveaux points de terminaison et reprovisionner des points de terminaison existants est le moyen le plus rapide d’introduire des systèmes joints à Microsoft Entra dans votre organisation. Il s’agit d’une partie importante du POC.

3. Déployer une preuve de concept pour les systèmes joints à Microsoft Entra

   • Utilisez une combinaison de points de terminaison qui représentent différentes configurations et utilisateurs. Vous souhaitez que la validation de ce nouvel état système soit aussi importante que possible.

   • Seule une utilisation réelle de la production par des utilisateurs de production réels validera entièrement les charges de travail et leurs fonctionnalités. Grâce à une utilisation quotidienne naturelle des points de terminaison Microsoft Entra de preuve de concept, les utilisateurs testent et valident organiquement vos charges de travail.

   • Créez des listes de vérification des fonctionnalités et des scénarios critiques pour l’entreprise et fournissez ces listes à vos utilisateurs POC. Les listes de vérification sont spécifiques à chaque organisation et peuvent changer à mesure que les charges de travail sont transférées vers des charges de travail adaptées au cloud natives.

4. Valider les fonctionnalités

   La validation est un processus répétitif. Il est basé sur les charges de travail et leur configuration au sein de votre organisation.

   • Collectez les commentaires des utilisateurs sur les points de terminaison POC, les charges de travail et leurs fonctionnalités. Ces commentaires doivent être des utilisateurs qui ont utilisé les points de terminaison natifs du cloud.

     D’autres bloqueurs, précédemment inconnus ou non pris en compte pour les charges de travail/scénarios, peuvent être découverts.

   • Utilisez les jalons et les critères de réussite précédemment établis pour chaque charge de travail. Ils vous aideront à déterminer la progression et l’étendue du POC.

✅ Phase 5 : Microsoft Entra rejoindre vos points de terminaison Windows existants

Cette phase effectue la transition de l’approvisionnement du nouveau point de terminaison Windows vers microsoft Entra joint. Une fois que tous les blocages et problèmes ont été résolus, vous pouvez déplacer les appareils existants pour qu’ils soient entièrement natifs du cloud. Vous avez le choix parmi les options suivantes :

• Option 1 : remplacez vos appareils. Si les appareils sont en fin de vie ou ne prennent pas en charge la sécurité moderne, le meilleur choix est de les remplacer. Les appareils modernes prennent en charge des fonctionnalités de sécurité nouvelles et améliorées, notamment la technologie Module de plateforme sécurisée (TPM) (TPM).

• Option 2 : Réinitialiser les appareils Windows. Si vos appareils existants prennent en charge les fonctionnalités de sécurité les plus récentes, vous pouvez réinitialiser les appareils. Pendant l’expérience OOBE (out of box experience) ou lorsque les utilisateurs se connectent, ils peuvent joindre les appareils à Microsoft Entra.

  Avant de réinitialiser un point de terminaison Windows existant, veillez à :

  1. Supprimez l’appareil dans Intune.
  2. Supprimez l’inscription de l’appareil Windows Autopilot.
  3. Supprimez l’objet d’appareil Microsoft Entra existant.

  Ensuite, réinitialisez l’appareil et réapprovisionnez le point de terminaison.

Lorsque les appareils sont prêts, joignez ces appareils à Microsoft Entra à l’aide de l’option qui convient le mieux à votre organisation. Pour plus d’informations, consultez Appareils joints à Microsoft Entra et Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.

Déplacer à partir d’objets de stratégie de groupe (GPO)

De nombreuses organisations utilisent des objets de stratégie de groupe pour configurer et gérer leurs points de terminaison Windows.

Au fil du temps, cela devient compliqué en raison d’un manque de documentation, d’un manque de clarté dans l’objectif ou les exigences de la stratégie, de l’utilisation de stratégies héritées ou non fonctionnelles et de l’utilisation de fonctionnalités complexes. Par exemple, il peut y avoir des stratégies qui incluent des filtres WMI, ont des structures d’unité d’organisation complexes et utilisent le blocage d’héritage, le bouclage ou le filtrage de sécurité.

Gérer les paramètres à l’aide d’Intune

Microsoft Intune dispose de nombreux paramètres intégrés qui peuvent être configurés et déployés sur vos points de terminaison natifs cloud. Lorsque vous passez à Intune pour la gestion des stratégies, vous disposez de certaines options.

Ces options ne s’excluent pas nécessairement mutuellement. Vous pouvez migrer un sous-ensemble de stratégies et commencer pour d’autres.

• Option 1 : Démarrer nouveau (recommandé) : Intune dispose de nombreux paramètres pour configurer et gérer vos points de terminaison. Vous pouvez créer une stratégie, ajouter et configurer des paramètres dans la stratégie, puis déployer la stratégie.

  De nombreuses stratégies de groupe existantes incluent des stratégies qui peuvent ne pas s’appliquer aux points de terminaison natifs du cloud. Le démarrage à zéro permet à une organisation de valider et de simplifier ses stratégies appliquées existantes, tout en éliminant les stratégies héritées, oubliés ou même dangereuses. Intune dispose de modèles intégrés qui regroupent des paramètres communs, tels que VPN, le Wi-Fi, la protection des points de terminaison, etc.

• Option 2 : Migrer: cette option implique de supprimer les stratégies existantes et de les déplacer vers le moteur de stratégie Intune. Cela peut être lourd et prendre du temps. Par exemple, vous pouvez avoir de nombreuses stratégies de groupe existantes et il y aura des différences entre les paramètres locaux et dans le cloud.

  Si vous choisissez cette option, vous devez examiner et analyser vos stratégies de groupe existantes, et déterminer si elles sont toujours nécessaires ou valides sur vos points de terminaison natifs cloud. Vous souhaitez éliminer les stratégies inutiles, y compris les stratégies qui peuvent entraîner une surcharge, ou dégrader les performances du système ou l’expérience utilisateur. Ne déplacez pas vos stratégies de groupe vers Intune tant que vous ne savez pas ce qu’elles font.

Fonctionnalités Intune que vous devez connaître

Intune dispose également de fonctionnalités intégrées qui peuvent vous aider à configurer vos points de terminaison natifs cloud :

• Analyse de stratégie de groupe : vous pouvez importer vos objets de stratégie de groupe dans le Centre d’administration Microsoft Intune et exécuter une analyse sur les stratégies. Vous pouvez voir les stratégies qui existent dans Intune et voir les stratégies déconseillées.

  Si vous utilisez des objets de stratégie de groupe, l’utilisation de cet outil constitue une première étape utile.

  Pour plus d’informations, consultez Analyse des stratégies de groupe dans Intune.

• Catalogue de paramètres: consultez tous les paramètres disponibles dans Intune, puis créez, configurez et déployez une stratégie à l’aide de ces paramètres. Les tâches que vous pouvez effectuer à l’aide du catalogue de paramètres dans Intune peuvent également être une bonne ressource. Si vous créez des objets de stratégie de groupe, le catalogue de paramètres est une transition naturelle vers la configuration de point de terminaison natif cloud.

  Lorsqu’il est combiné avec l’analytique de stratégie de groupe, vous pouvez déployer les stratégies que vous avez utilisées localement sur vos points de terminaison natifs cloud.

  Pour plus d’informations, consultez Catalogue de paramètres dans Intune.

• Modèles d’administration: ces modèles sont similaires aux modèles ADMX utilisés localement et sont intégrés à Intune. Vous ne les téléchargez pas. Ces modèles incluent de nombreux paramètres qui contrôlent les fonctionnalités dans Microsoft Edge, Internet Explorer, applications Microsoft Office, le Bureau à distance, OneDrive, les mots de passe, les codes confidentiels, etc.

  Si vous utilisez des modèles d’administration localement, leur utilisation dans Intune est une transition naturelle.

  Pour plus d’informations, consultez Modèles d’administration dans Intune.

  Vous pouvez également ingérer un ensemble existant de stratégies ADMX pour les applications Win32 et Pont du bureau. Pour plus d’informations, voir :

  • Présentation des stratégies ADMX - Gestion des clients Windows
  • Activer les stratégies ADMX dans MDM - Gestion des clients Windows
  • Ingestion de stratégie ADMX d’application Win32 et Pont du bureau - Gestion des clients Windows

  Remarque

  À compter de Windows 10 version 1703, la prise en charge de la configuration de la stratégie MDM (Mobile Gestion des appareils) a été étendue pour permettre l’accès à l’ensemble sélectionné de modèles d’administration stratégie de groupe (stratégies ADMX) pour les PC Windows à l’aide du fournisseur de services de configuration de stratégie (CSP). La configuration des stratégies ADMX dans le fournisseur de solutions Cloud de stratégie est différente de la façon classique de configurer une stratégie MDM traditionnelle.

• Bases de référence de sécurité: une base de référence de sécurité est un groupe de paramètres Windows préconfigurés. Ils vous aident à appliquer et à appliquer des paramètres de sécurité granulaires recommandés par les équipes de sécurité. Lorsque vous créez une base de référence de sécurité, vous pouvez également personnaliser chaque ligne de base pour appliquer uniquement les paramètres souhaités.

  Vous pouvez créer une base de référence de sécurité pour Windows, Microsoft Edge, etc. Si vous ne savez pas par où commencer ou si vous souhaitez que les paramètres de sécurité soient recommandés par les experts en sécurité, examinez les bases de référence de sécurité.

  Pour plus d’informations, consultez Bases de référence de sécurité dans Intune.

Utiliser Windows Autopilot pour provisionner des points de terminaison Windows nouveaux ou existants

Si vous achetez des points de terminaison auprès d’un fabricant OEM ou d’un partenaire, vous devez utiliser Windows Autopilot.

Vous trouverez ci-dessous certains des avantages :

• Processus d’installation intégré de Windows: il présente une expérience personnalisée, guidée et simplifiée pour l’utilisateur final.

• Envoyez des points de terminaison directement aux utilisateurs finaux: les fournisseurs et les fabricants OEM peuvent expédier des points de terminaison directement à vos utilisateurs. Les utilisateurs reçoivent les points de terminaison, se connectent avec leur compte d’organisation (user@contoso.com), et Windows Autopilot provisionne automatiquement le point de terminaison.

  Cette fonctionnalité permet de limiter la surcharge et les coûts liés aux processus informatiques internes et à l’expédition très tactiles.

  Pour de meilleurs résultats, préinscrivez vos points de terminaison auprès des fabricants OEM ou des fournisseurs. La préinscription permet d’éviter les retards qui peuvent se produire lors de l’inscription manuelle des points de terminaison.

• Les utilisateurs peuvent réinitialiser eux-mêmes les points de terminaison existants : si les utilisateurs ont des points de terminaison Windows existants, ils peuvent réinitialiser eux-mêmes les appareils. Lorsqu’ils sont réinitialisés, les points de terminaison sont restaurés à un état de base et managé minimal. Elle ne nécessite pas d’intervention informatique à coût élevé ni d’accès physique au point de terminaison.

Remarque

Il n’est pas recommandé d’utiliser Windows Autopilot pour joindre des points de terminaison microsoft Entra hybrides. Cela fonctionne, mais il y a quelques défis. Sur les points de terminaison nouvellement provisionnés, utilisez la jointure Windows Autopilot à Microsoft Entra (et non la jointure Microsoft Entra hybride).

Pour vous aider à déterminer la méthode de jointure qui convient à votre organisation, accédez à Jointure Microsoft Entra ou Joint à Microsoft Entra hybride.

Pour plus d’informations sur Windows Autopilot, accédez à :

• Vue d’ensemble de Windows Autopilot
• Scénarios et fonctionnalités Windows Autopilot
• FAQ sur Windows Autopilot

Suivez les conseils sur les points de terminaison natifs cloud

1. Vue d’ensemble : que sont les points de terminaison natifs cloud ?
2. Didacticiel : Démarrage avec des points de terminaison Windows natifs cloud
3. Concept : Joint à Microsoft Entra et Joint à Microsoft Entra hybride
4. Concept : points de terminaison natifs cloud et ressources locales
5. 🡺 Guide de planification de haut niveau (vous êtes ici)
6. Problèmes connus et informations importantes