Gérer les appareils Windows de votre organisation - transition vers une gestion moderne

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

L’utilisation d’appareils personnels pour le travail et d’utilisateurs travaillant en dehors du bureau peut changer la façon dont votre organisation gère les appareils. Certaines parties de votre organisation requièrent un contrôle minutieux et approfondi des appareils, tandis que d’autres peuvent rechercher une gestion reposant sur un scénario permettant d’accroître les capacités de la main d’œuvre moderne. Windows offre la flexibilité nécessaire pour répondre à ces exigences changeantes et peut facilement être déployé dans un environnement mixte. Vous pouvez déplacer le pourcentage d’appareils Windows progressivement, en suivant les planifications de mise à niveau normales utilisées dans votre organisation.

Votre organisation peut prendre en charge différents systèmes d’exploitation sur un large éventail de types d’appareils et les gérer via un ensemble commun d’outils tels que Microsoft Configuration Manager, Microsoft Intune ou d’autres produits tiers. Cette « diversité managée » vous permet à vos utilisateurs de bénéficier des améliorations de productivité disponibles sur leurs nouveaux appareils Windows (y compris la prise en charge des entrées tactiles et des entrées manuscrites enrichies), tout en conservant vos normes de sécurité et de facilité de gestion. Il peut vous aider et votre organisation à tirer parti de Windows plus rapidement.

Cet article fournit des conseils sur les stratégies de déploiement et de gestion des appareils Windows, notamment le déploiement de Windows dans un environnement mixte. Il couvre les options de gestion ainsi que les quatre phases du cycle de vie de l’appareil :

• Déploiement et mise en service
• Identité et authentification
• Configuration
• Mise à jour et maintenance

Examen des options de gestion pour Windows

Windows offre une gamme d’options de gestion, comme illustré dans le diagramme suivant :

Comme indiqué dans le diagramme, Microsoft continue de fournir une prise en charge de la gestion et de la sécurité approfondies par le biais de technologies telles que la stratégie de groupe, Active Directory et Configuration Manager. Il offre également une approche « mobile-first, cloud-first » de gestion simplifiée et moderne à l’aide de solutions de gestion des appareils basées sur le cloud telles que Microsoft Enterprise Mobility + Security (EMS). Les futures innovations Windows, fournies via Windows as a Service, sont complétées par des services cloud tels que Microsoft Intune, Microsoft Entra ID, Azure Information Protection et Microsoft 365.

Déploiement et approvisionnement

Avec Windows, vous pouvez continuer à utiliser le déploiement de système d’exploitation traditionnel, mais vous pouvez également « gérer de façon prête à l’emploi ». Pour transformer de nouveaux appareils en appareils entièrement configurés et entièrement gérés, vous pouvez :

• Évitez de réinitialisation à l’aide de l’approvisionnement dynamique, activé par un service de gestion des appareils basé sur le cloud tel que Windows Autopilot ou Microsoft Intune.

• Créer des packages d’approvisionnement autonomes créés à l’aide du Concepteur de configuration Windows. Pour plus d’informations, consultez Mise en service de packages pour Windows.

• Utilisez des techniques de création d’images traditionnelles, telles que le déploiement d’images personnalisées à l’aide de Configuration Manager.

Vous disposez de plusieurs options pour la mise à niveau vers Windows 10 et Windows 11. Pour les appareils existants exécutant Windows 10, vous pouvez utiliser le processus de mise à niveau sur place robuste pour une migration rapide et fiable vers Windows 11 tout en conservant automatiquement toutes les applications, données et paramètres existants. L’utilisation de ce processus peut réduire les coûts de déploiement et améliorer la productivité, car les utilisateurs finaux peuvent être immédiatement productifs , tout est juste là où ils l’ont laissé. Vous pouvez également utiliser une approche de réinitialisation et de chargement classique si vous préférez, en utilisant les mêmes outils que vous utilisez aujourd’hui.

Identité et authentification

Vous pouvez utiliser Windows et des services tels que Microsoft Entra ID de nouvelles façons pour l’identité, l’authentification et la gestion basées sur le cloud. Vous pouvez offrir à vos utilisateurs la possibilité de « bring your own device » (BYOD) ou de « choisir votre propre appareil » (CYOD) à partir d’une sélection que vous mettez à disposition. Dans le même temps, vous pourrez gérer des PC et des tablettes qui doivent être joints à un domaine en raison d’applications ou de ressources spécifiques utilisées sur chacun d’eux.

Vous pouvez envisager la gestion des appareils et des utilisateurs selon les deux catégories suivantes :

• Appareils d’entreprise (CYOD) ou personnels (BYOD) utilisés par des utilisateurs mobiles pour des applications SaaS, ,telles qu’Office 365. Avec Windows, vos utilisateurs peuvent provisionner eux-mêmes leurs appareils :

  • Pour les appareils d’entreprise, ils peuvent configurer l’accès d’entreprise avec la jonction Microsoft Entra. Lorsque vous leur proposez une jonction Microsoft Entra avec une inscription GPM Intune automatique, ils peuvent placer les appareils dans un état géré par l’entreprise en une seule étape, le tout à partir du cloud.

    La jonction Microsoft Entra est également une excellente solution pour le personnel temporaire, les partenaires ou d’autres utilisateurs à temps partiel. Ces comptes peuvent être conservés séparément du domaine AD local, mais ont toujours accès aux ressources d’entreprise nécessaires.

  • De même, pour les appareils personnels, les utilisateurs peuvent utiliser une nouvelle expérience BYOD simplifiée pour ajouter leur compte professionnel à Windows, puis accéder aux ressources professionnelles sur l’appareil.

• PC et tablettes joints à un domaine utilisés pour des applications classiques et l’accès aux ressources importantes. Ces applications et ressources peuvent être traditionnelles qui nécessitent une authentification ou l’accès à des ressources hautement sensibles ou classifiées locales.

  Avec Windows, si vous disposez d’un domaine Active Directory local intégré à l’ID Microsoft Entra, lorsque les appareils des employés sont joints, ils s’inscrivent automatiquement avec l’ID Microsoft Entra. Cette inscription fournit :

  • Une authentification unique pour l’accès aux ressources cloud et locales depuis n’importe où
  • Une itinérance d’entreprise des paramètres
  • Accès conditionnel aux ressources d’entreprise en fonction de l’intégrité ou de la configuration de l’appareil
  • Windows Hello Entreprise
  • Windows Hello

  Les PC et tablettes joints à un domaine peuvent continuer à être gérés avec la stratégie de groupe ou de client Configuration Manager .

À mesure que vous parcourez les rôles de votre organisation, vous pouvez utiliser l’arbre de décision pour commencer à identifier les utilisateurs ou les appareils qui nécessitent d’être joints à un domaine. Envisagez de basculer les utilisateurs restants vers l’ID Microsoft Entra.

Paramètres et configuration

Plusieurs facteurs, dont le niveau de gestion requis, les appareils et données gérées et les exigences du secteur, régissent les exigences de configuration. Pendant ce temps, les utilisateurs sont fréquemment préoccupés par l’application de stratégies strictes à leurs appareils personnels, mais ils veulent toujours accéder à la messagerie et aux documents de l’entreprise. Vous pouvez créer un ensemble cohérent de configurations sur les PC, tablettes et téléphones via la couche GPM commune.

• GPM : la GPM vous permet de configurer les paramètres qui vous permettent d’atteindre votre objectif de gestion sans exposer tous les paramètres possibles. (En revanche, la stratégie de groupe expose des paramètres affinés que vous contrôlez individuellement.) L’un des avantages de la gestion des appareils mobiles est qu’il vous permet d’appliquer des paramètres de confidentialité, de sécurité et de gestion des applications plus étendus au moyen d’outils plus légers et plus efficaces. GPM vous permet également de cibler des appareils connectés à Internet pour gérer des stratégies sans utiliser de stratégie de groupe qui nécessite des appareils locaux joints à un domaine. Cette disposition fait de GPM le meilleur choix pour les appareils qui sont constamment en déplacement.

• Stratégie de groupe et Configuration Manager : votre organisation peut toujours avoir besoin de gérer les ordinateurs joints à un domaine à un niveau granulaire à l’aide des paramètres de stratégie de groupe. Si c’est le cas, la stratégie de groupe et Configuration Manager continuent d’être d’excellents choix de gestion :

  • La stratégie de groupe est la meilleure façon de configurer de manière granulaire des PC et tablettes Windows joints à un domaine connectés au réseau d’entreprise à l’aide d’outils Windows. Microsoft continue d’ajouter des paramètres de stratégie de groupe à chaque nouvelle version de Windows.

  • Configuration Manager reste la solution recommandée pour une configuration granulaire avec un déploiement de logiciels robuste, des mises à jour Windows et un déploiement de système d’exploitation.

Mise à jour et maintenance

Avec Windows as a Service, votre service informatique n’a plus besoin d’effectuer de processus d’imagerie complexes (par réinitialisation et chargement) avec chaque nouvelle version de Windows. Que ce soit sur le canal de disponibilité générale ou sur le canal de maintenance Long-Term, les appareils reçoivent les dernières mises à jour de fonctionnalités et de qualité par le biais de processus de mise à jour corrective simples, souvent automatiques. Pour plus d’informations, consultez Scénarios de déploiement Windows.

La GPM avec Intune propose des outils permettant d’appliquer les mises à jour Windows sur les ordinateurs clients de votre organisation. Configuration Manager autorise les fonctionnalités de suivi et de gestion enrichies de ces mises à jour, y compris les fenêtres de maintenance et les règles de déploiement automatiques.

Étapes suivantes

Vous pouvez suivre différentes étapes pour commencer le processus de modernisation de la gestion des appareils dans votre organisation :

Évaluez les pratiques de gestion courantes et recherchez les investissements que vous pourriez faire aujourd’hui. Parmi vos pratiques actuelles, lesquelles peuvent rester inchangées et lesquelles pouvez vous changer ? Plus précisément, quels éléments de la gestion traditionnelle avez-vous besoin de conserver et lesquels pouvez-vous moderniser ? Que vous preniez des mesures pour réduire la création d’images personnalisées, réévaluer la gestion des paramètres ou réévaluer l’authentification et la conformité, les avantages peuvent être immédiats. Vous pouvez utiliser l’analytique de stratégie de groupe dans Microsoft Intune pour vous aider à déterminer les stratégies de groupe prises en charge par les fournisseurs GPM basés sur le cloud, y compris Microsoft Intune.

Évaluez les différents cas d’utilisation et les besoins de gestion dans votre environnement. Existe-t-il des groupes d’appareils qui pourraient bénéficier d’une gestion plus allégée et simplifiée ? Les appareils BYOD, par exemple, sont des candidats naturels à la gestion basée sur le cloud. Les utilisateurs ou les appareils traitant une quantité plus élevée de données réglementées requièrent un domaine Active Directory sur site pour l’authentification. Configuration Manager et EMS vous offrent la possibilité d’implémenter par étapes des scénarios de gestion modernes tout en ciblant différents appareils de la façon la mieux adaptée aux besoins de votre entreprise.

Passez en revue les arbres de décision de cet article. Avec les différentes options de Windows, ainsi que Configuration Manager et Enterprise Mobility + Security, vous avez la possibilité de gérer la création d’images, l’authentification, les paramètres et les outils de gestion pour n’importe quel scénario.

Procédez par étape. Passer à la gestion moderne des appareils ne doit pas être une transformation du jour au lendemain. Vous pouvez intégrer de nouveaux systèmes d’exploitation et appareils tout en conservant les anciens. Avec cette « diversité managée », les utilisateurs peuvent bénéficier d’améliorations de productivité sur les appareils Windows modernes, tout en continuant à gérer les anciens appareils conformément à vos normes de sécurité et de gestion. La stratégie CSP MDMWinsOverGP permet aux stratégies GPM d’être prioritaires sur la stratégie de groupe lorsque la stratégie de groupe et ses stratégies GPM équivalentes sont définies sur l’appareil. Vous pouvez commencer à implémenter des stratégies GPM tout en conservant votre environnement de stratégie de groupe. Pour plus d’informations, notamment la liste des stratégies GPM avec des stratégies de groupe équivalentes, consultez Stratégies prises en charge par la stratégie de groupe.

Optimisez vos investissements existants. Dans le cadre du passage d’une gestion sur site classique à une gestion moderne basée sur le cloud, tirez profit de l’architecture hybride et flexible de Configuration Manager et Intune. La cogestion vous permet de gérer simultanément des appareils Windows à l’aide de Configuration Manager et d’Intune. Pour plus d’informations, consultez les articles suivants :

• Cogestion pour les appareils Windows
• Préparer les appareils Windows pour la cogestion
• Basculer les charges de travail Configuration Manager vers Intune
• Tableau de bord de cogestion dans Configuration Manager

Articles connexes

• Qu’est-ce qu’Intune ?
• Fournisseur de services de configuration Policy
• Informations de référence sur les fournisseurs de services de configuration