Gérer les appareils Windows dans votre organization - transition vers une gestion moderne

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

L’utilisation d’appareils personnels pour le travail et des employés travaillant en dehors du bureau peut changer la façon dont votre organization gère les appareils. Certaines parties de votre organisation requièrent un contrôle minutieux et approfondi des appareils, tandis que d’autres peuvent rechercher une gestion reposant sur un scénario permettant d’accroître les capacités de la main d’œuvre moderne. Windows offre la flexibilité nécessaire pour répondre à ces exigences changeantes et peut facilement être déployé dans un environnement mixte. Vous pouvez déplacer le pourcentage d’appareils Windows progressivement, en suivant les planifications de mise à niveau normales utilisées dans votre organization.

Votre organization peut prendre en charge différents systèmes d’exploitation sur un large éventail de types d’appareils et les gérer via un ensemble commun d’outils tels que des Microsoft Configuration Manager, des Microsoft Intune ou d’autres produits tiers. Cette « diversité managée » vous permet à vos utilisateurs de bénéficier des améliorations de productivité disponibles sur leurs nouveaux appareils Windows (y compris la prise en charge des entrées tactiles et des entrées manuscrites enrichies), tout en conservant vos normes de sécurité et de facilité de gestion. Il peut vous aider, ainsi que vos organization, à tirer parti de Windows plus rapidement.

Cet article fournit des conseils sur les stratégies de déploiement et de gestion des appareils Windows, notamment le déploiement de Windows dans un environnement mixte. Il couvre les options de gestion ainsi que les quatre phases du cycle de vie de l’appareil :

• Déploiement et mise en service
• Identité et authentification
• Configuration
• Mise à jour et maintenance

Examen des options de gestion pour Windows

Windows offre une gamme d’options de gestion, comme illustré dans le diagramme suivant :

Comme indiqué dans le diagramme, Microsoft continue de fournir une prise en charge de la gestion et de la sécurité approfondies par le biais de technologies telles que la stratégie de groupe, Active Directory et Configuration Manager. Il offre également une approche « mobile-first, cloud-first » de gestion simplifiée et moderne à l’aide de solutions de gestion des appareils basées sur le cloud telles que Microsoft Enterprise Mobility + Security (EMS). Les futures innovations Windows, fournies via Windows as a Service, sont complétées par des services cloud tels que Microsoft Intune, Microsoft Entra ID, Azure Information Protection et Microsoft 365.

Déploiement et approvisionnement

Avec Windows, vous pouvez continuer à utiliser le déploiement de système d’exploitation traditionnel, mais vous pouvez également « gérer de façon prête à l’emploi ». Pour transformer de nouveaux appareils en appareils entièrement configurés et entièrement gérés, vous pouvez :

• Évitez de réimaginer à l’aide de l’approvisionnement dynamique, activé par un service de gestion des appareils basé sur le cloud tel que Windows Autopilot ou Microsoft Intune.

• Créer des packages d’approvisionnement autonomes créés à l’aide du Concepteur de configuration Windows. Pour plus d’informations, consultez Mise en service de packages pour Windows.

• Utilisez des techniques de création d’images traditionnelles telles que le déploiement d’images personnalisées à l’aide de Configuration Manager.

Vous disposez de plusieurs options de mise à niveau vers Windows 10 et Windows 11. Pour les appareils existants exécutant Windows 10, vous pouvez utiliser le processus de mise à niveau sur place robuste pour passer rapidement et de manière fiable à Windows 11 tout en conservant automatiquement toutes les applications, données et paramètres existants. L’utilisation de ce processus peut réduire les coûts de déploiement et améliorer la productivité, car les utilisateurs finaux peuvent être immédiatement productifs , tout est juste là où ils l’ont laissé. Vous pouvez également utiliser une approche de réinitialisation et de chargement classique si vous préférez, en utilisant les mêmes outils que vous utilisez aujourd’hui.

Identité et authentification

Vous pouvez utiliser Windows et des services tels que Microsoft Entra ID de nouvelles façons pour l’identité, l’authentification et la gestion basées sur le cloud. Vous pouvez offrir à vos utilisateurs la possibilité de « bring your own device » (BYOD) ou de « choisir votre propre appareil » (CYOD) à partir d’une sélection que vous mettez à disposition. Dans le même temps, vous pourrez gérer des PC et des tablettes qui doivent être joints à un domaine en raison d’applications ou de ressources spécifiques utilisées sur chacun d’eux.

Vous pouvez envisager la gestion des appareils et des utilisateurs selon les deux catégories suivantes :

• Appareils d’entreprise (CYOD) ou personnels (BYOD) utilisés par des utilisateurs mobiles pour des applications SaaS, ,telles qu’Office 365. Avec Windows, vos employés peuvent provisionner eux-mêmes leurs appareils :

  • Pour les appareils d’entreprise, ils peuvent configurer l’accès d’entreprise avec Microsoft Entra jointure. Lorsque vous leur proposez Microsoft Entra rejoindre avec l’inscription automatique Intune MDM, ils peuvent placer les appareils dans un état géré par l’entreprise en une seule étape, le tout à partir du cloud.

    Microsoft Entra rejoindre est également une excellente solution pour le personnel temporaire, les partenaires ou d’autres employés à temps partiel. Ces comptes peuvent être conservés séparément du domaine AD local, mais ont toujours accès aux ressources d’entreprise nécessaires.

  • De même, pour les appareils personnels, les employés peuvent bénéficier d’une nouvelle expérience BYOD simplifiée pour ajouter leur compte professionnel à Windows, puis accéder aux ressources de travail sur leur appareil.

• PC et tablettes joints à un domaine utilisés pour des applications classiques et l’accès aux ressources importantes. Ces applications et ressources peuvent être traditionnelles qui nécessitent une authentification ou l’accès à des ressources hautement sensibles ou classifiées locales.

  Avec Windows, si vous disposez d’un domaine Active Directory local intégré à Microsoft Entra ID, lorsque les appareils des employés sont joints, ils s’inscrivent automatiquement auprès de Microsoft Entra ID. Cette inscription fournit :

  • Une authentification unique pour l’accès aux ressources cloud et locales depuis n’importe où
  • Une itinérance d’entreprise des paramètres
  • Accès conditionnel aux ressources d’entreprise en fonction de l’intégrité ou de la configuration de l’appareil
  • Windows Hello Entreprise
  • Windows Hello

  Les PC et tablettes joints à un domaine peuvent continuer à être gérés avec Configuration Manager stratégie cliente ou de groupe.

À mesure que vous parcourez les rôles de votre organisation, vous pouvez utiliser l’arbre de décision pour commencer à identifier les utilisateurs ou les appareils qui nécessitent d’être joints à un domaine. Envisagez de basculer les utilisateurs restants vers Microsoft Entra ID.

Paramètres et configuration

Plusieurs facteurs, dont le niveau de gestion requis, les appareils et données gérées et les exigences du secteur, régissent les exigences de configuration. Dans le même temps, bien que les employés soient souvent préoccupés par l’application de stratégies strictes à leurs appareils personnels par les départements informatiques, ils veulent continuer d’avoir accès aux e-mails et documents d’entreprise. Vous pouvez créer un ensemble cohérent de configurations sur les PC, tablettes et téléphones via la couche GPM commune.

• GPM : la GPM vous permet de configurer les paramètres qui vous permettent d’atteindre votre objectif de gestion sans exposer tous les paramètres possibles. (En revanche, la stratégie de groupe expose des paramètres affinés que vous contrôlez individuellement.) L’un des avantages de la gestion des appareils mobiles est qu’il vous permet d’appliquer des paramètres de confidentialité, de sécurité et de gestion des applications plus étendus au moyen d’outils plus légers et plus efficaces. GPM vous permet également de cibler des appareils connectés à Internet pour gérer des stratégies sans utiliser de stratégie de groupe qui nécessite des appareils locaux joints à un domaine. Cette disposition fait de GPM le meilleur choix pour les appareils qui sont constamment en déplacement.

• Stratégie de groupe et Configuration Manager : votre organization peut encore avoir besoin de gérer les ordinateurs joints à un domaine à un niveau granulaire à l’aide des paramètres de stratégie de groupe. Si c’est le cas, la stratégie de groupe et les Configuration Manager restent d’excellents choix de gestion :

  • La stratégie de groupe est la meilleure façon de configurer de manière granulaire des PC et tablettes Windows joints à un domaine connectés au réseau d’entreprise à l’aide d’outils Windows. Microsoft continue d’ajouter des paramètres de stratégie de groupe à chaque nouvelle version de Windows.

  • Configuration Manager reste la solution recommandée pour une configuration granulaire avec un déploiement de logiciels robuste, des mises à jour Windows et un déploiement du système d’exploitation.

Mise à jour et maintenance

Avec Windows as a Service, votre service informatique n’a plus besoin d’effectuer de processus d’imagerie complexes (par réinitialisation et chargement) avec chaque nouvelle version de Windows. Que ce soit sur le canal de disponibilité générale ou sur le canal de maintenance Long-Term, les appareils reçoivent les dernières mises à jour de fonctionnalités et de qualité par le biais de processus de mise à jour corrective simples, souvent automatiques. Pour plus d’informations, consultez Scénarios de déploiement Windows.

La GPM avec Intune propose des outils permettant d’appliquer les mises à jour Windows sur les ordinateurs clients de votre organisation. Configuration Manager autorise les fonctionnalités de suivi et de gestion enrichies de ces mises à jour, y compris les fenêtres de maintenance et les règles de déploiement automatiques.

Étapes suivantes

Vous pouvez suivre différentes étapes pour commencer le processus de modernisation de la gestion des appareils dans votre organization :

Évaluez les pratiques de gestion courantes et recherchez les investissements que vous pourriez faire aujourd’hui. Parmi vos pratiques actuelles, lesquelles peuvent rester inchangées et lesquelles pouvez vous changer ? Plus précisément, quels éléments de la gestion traditionnelle avez-vous besoin de conserver et lesquels pouvez-vous moderniser ? Que vous preniez des mesures pour réduire la création d’images personnalisées, réévaluer la gestion des paramètres ou réévaluer l’authentification et la conformité, les avantages peuvent être immédiats. Vous pouvez utiliser l’analytique de stratégie de groupe dans Microsoft Intune pour vous aider à déterminer les stratégies de groupe prises en charge par les fournisseurs GPM basés sur le cloud, y compris les Microsoft Intune.

Évaluez les différents cas d’utilisation et les besoins de gestion dans votre environnement. Existe-t-il des groupes d’appareils qui pourraient bénéficier d’une gestion plus allégée et simplifiée ? Les appareils BYOD, par exemple, sont des candidats naturels à la gestion basée sur le cloud. Les utilisateurs ou les appareils traitant une quantité plus élevée de données réglementées requièrent un domaine Active Directory sur site pour l’authentification. Configuration Manager et EMS vous offrent la possibilité d’implémenter par étapes des scénarios de gestion modernes tout en ciblant différents appareils de la façon la mieux adaptée aux besoins de votre entreprise.

Passez en revue les arbres de décision de cet article. Avec les différentes options de Windows, ainsi que Configuration Manager et Enterprise Mobility + Security, vous avez la possibilité de gérer la création d’images, l’authentification, les paramètres et les outils de gestion pour n’importe quel scénario.

Procédez par étape. Passer à la gestion moderne des appareils ne doit pas être une transformation du jour au lendemain. Vous pouvez intégrer de nouveaux systèmes d’exploitation et appareils tout en conservant les anciens. Avec cette « diversité managée », les utilisateurs peuvent bénéficier d’améliorations de productivité sur les appareils Windows modernes, tout en continuant à gérer les anciens appareils conformément à vos normes de sécurité et de gestion. La stratégie CSP MDMWinsOverGP permet aux stratégies GPM d’être prioritaires sur la stratégie de groupe lorsque la stratégie de groupe et ses stratégies GPM équivalentes sont définies sur l’appareil. Vous pouvez commencer à implémenter des stratégies GPM tout en conservant votre environnement de stratégie de groupe. Pour plus d’informations, notamment la liste des stratégies GPM avec des stratégies de groupe équivalentes, consultez Stratégies prises en charge par la stratégie de groupe.

Optimisez vos investissements existants. Dans le cadre du passage d’une gestion sur site classique à une gestion moderne basée sur le cloud, tirez profit de l’architecture hybride et flexible de Configuration Manager et Intune. La cogestion vous permet de gérer simultanément des appareils Windows à l’aide de Configuration Manager et de Intune. Pour plus d’informations, consultez les articles suivants :

• Cogestion pour les appareils Windows
• Préparer les appareils Windows pour la cogestion
• Basculer les charges de travail Configuration Manager vers Intune
• Tableau de bord de cogestion dans Configuration Manager

Articles connexes

• Qu’est-ce que Intune ?
• Fournisseur de solutions Cloud de stratégie
• Informations de référence sur les fournisseurs de services de configuration