Tutoriel : Activer la cogestion pour les clients du gestionnaire de configuration existants
Avec la cogestion, vous pouvez conserver vos processus établis d’utilisation de Configuration Manager pour gérer des PC dans votre organisation, tout en investissant dans le cloud en recourant à Intune pour la sécurité et la mise en service moderne.
Dans ce tutoriel, vous configurez la cogestion de vos appareils Windows 10 ou ultérieurs qui sont déjà inscrits dans Configuration Manager. Ce tutoriel commence par le principe que vous utilisez déjà Configuration Manager pour gérer vos appareils Windows 10 ou ultérieurs.
Utilisez ce tutoriel dans les cas suivants :
Vous disposez d’un Active Directory local auquel vous pouvez vous connecter à Microsoft Entra ID dans une configuration de Microsoft Entra hybride.
Si vous ne pouvez pas déployer un Microsoft Entra ID hybride qui joint votre ad local à Microsoft Entra ID, nous vous recommandons de suivre notre didacticiel complémentaire Activer la cogestion pour les nouveaux appareils Windows 10 internet ou ultérieurs.
Vous avez des clients Configuration Manager existants que vous souhaitez attacher au cloud.
Dans ce tutoriel, vous allez :
- Passer en revue les prérequis pour Azure et votre environnement local
- Configurer des Microsoft Entra ID hybrides
- Configurer Configuration Manager agents clients pour qu’ils s’inscrivent auprès de Microsoft Entra ID
- Configurer Intune pour l'inscription automatique des appareils.
- Activer la cogestion dans le gestionnaire de configuration
Configuration requise
Services et environnement Azure
Abonnement Azure (essai gratuit)
Microsoft Entra ID P1 ou P2
Abonnement Microsoft Intune
Conseil
Un abonnement Enterprise Mobility + Security (EMS) comprend à la fois Microsoft Entra ID P1 ou P2 et Microsoft Intune. Abonnement EMS (essai gratuit).
S’il n’est pas déjà présent dans votre environnement, au cours de ce tutoriel, vous allez configurer Microsoft Entra Connect entre votre Active Directory local et votre locataire Microsoft Entra.
Remarque
Les appareils inscrits uniquement avec Microsoft Entra ID ne sont pas pris en charge avec la cogestion. Cette configuration est parfois appelée jointure d’espace de travail. Elles doivent être jointes à Microsoft Entra ID ou Microsoft Entra jointure hybride. Pour plus d’informations, consultez Gestion des appareils avec Microsoft Entra’état inscrit.
Infrastructure locale
- Version prise en charge de Configuration Manager Current Branch
- L’autorité de gestion des appareils mobiles (GPM) doit être définie sur Intune.
Autorisations
Tout au long de ce didacticiel, utilisez les autorisations suivantes pour effectuer des tâches :
- Un compte administrateur de domaine sur votre infrastructure locale
- Un compte administrateur complet pour toutes les étendues de Configuration Manager
- Un compte administrateur général dans Microsoft Entra ID
- Vérifiez que vous avez attribué une licence Intune au compte que vous utilisez pour vous connecter à votre locataire. Sinon, la connexion échoue avec le message d’erreur Une erreur inattendue s’est produite.
Configurer des Microsoft Entra ID hybrides
Lorsque vous configurez une Microsoft Entra ID hybride, vous configurez réellement l’intégration d’un ad local avec Microsoft Entra ID à l’aide de Microsoft Entra Connect et des services fédérés Active Directory (ADFS). Avec une configuration réussie, vos employés peuvent se connecter en toute transparence à des systèmes externes à l’aide de leurs informations d’identification AD locales.
Importante
Ce tutoriel détaille un processus simple pour configurer des Microsoft Entra ID hybrides pour un domaine managé. Nous vous recommandons de vous familiariser avec le processus et de ne pas vous appuyer sur ce tutoriel comme guide pour comprendre et déployer des Microsoft Entra ID hybrides.
Pour plus d’informations sur les Microsoft Entra ID hybrides, commencez par les articles suivants de la documentation Microsoft Entra :
Configurer Microsoft Entra Connect
Les Microsoft Entra ID hybrides nécessitent la configuration de Microsoft Entra Connect pour conserver les comptes d’ordinateur dans votre Active Directory local (AD) et l’objet d’appareil dans Microsoft Entra ID synchronisés.
À compter de la version 1.1.819.0, Microsoft Entra Connect vous fournit un Assistant pour configurer Microsoft Entra jointure hybride. L’utilisation de cet Assistant simplifie le processus de configuration.
Pour configurer Microsoft Entra Connect, vous avez besoin des informations d’identification d’un administrateur général pour Microsoft Entra ID. La procédure suivante ne doit pas être considérée comme faisant autorité pour la configuration de Microsoft Entra Connect, mais elle est fournie ici pour simplifier la configuration de la cogestion entre Intune et Configuration Manager. Pour connaître le contenu faisant autorité sur ce sujet et les procédures associées pour la configuration de Microsoft Entra ID, consultez Configurer Microsoft Entra jointure hybride pour les domaines managés dans la documentation Microsoft Entra.
Configurer une jointure hybride Microsoft Entra à l’aide de Microsoft Entra Connect
Obtenez et installez la dernière version de Microsoft Entra Connect (1.1.819.0 ou version ultérieure).
Lancez Microsoft Entra Connect, puis sélectionnez Configurer.
Dans la page Tâches supplémentaires , sélectionnez Configurer les options de l’appareil, puis sélectionnez Suivant.
Dans la page Vue d’ensemble , sélectionnez Suivant.
Dans la page Se connecter à Microsoft Entra ID, entrez les informations d’identification d’un administrateur général pour Microsoft Entra ID.
Dans la page Options de l’appareil, sélectionnez Configurer Microsoft Entra jointure hybride, puis sélectionnez Suivant.
Dans la page Systèmes d’exploitation des appareils, sélectionnez les systèmes d’exploitation utilisés par les appareils dans votre environnement Active Directory, puis sélectionnez Suivant.
Vous pouvez sélectionner l’option pour prendre en charge les appareils windows de niveau inférieur joints à un domaine, mais gardez à l’esprit que la cogestion des appareils n’est prise en charge que pour Windows 10 ou une version ultérieure.
Dans la page SCP, pour chaque forêt locale que vous souhaitez Microsoft Entra Connect pour configurer le point de connexion de service (SCP), procédez comme suit, puis sélectionnez Suivant :
- Sélectionnez la forêt.
- Sélectionnez le service d’authentification. Si vous disposez d’un domaine fédéré, sélectionnez serveur AD FS, sauf si votre organization a des clients exclusivement Windows 10 ou ultérieurs et que vous avez configuré la synchronisation ordinateur/appareil ou que votre organization utilise SeamlessSSO.
- Cliquez sur Ajouter pour entrer les informations d’identification de l’administrateur d’entreprise.
Si vous avez un domaine managé, ignorez cette étape.
Dans la page Configuration de la fédération , entrez les informations d’identification de votre administrateur AD FS, puis sélectionnez Suivant.
Dans la page Prêt à configurer , sélectionnez Configurer.
Dans la page Configuration terminée , sélectionnez Quitter.
Si vous rencontrez des problèmes lors de Microsoft Entra jonction hybride pour les appareils Windows joints à un domaine, consultez Résolution des problèmes de jointure hybride Microsoft Entra pour les appareils Windows actuels.
Configurer les paramètres client pour demander aux clients de s’inscrire auprès de Microsoft Entra ID
Utilisez paramètres client pour configurer Configuration Manager clients pour qu’ils s’inscrivent automatiquement auprès de Microsoft Entra ID.
Ouvrez la console> Configuration ManagerVue d’ensemble> desparamètres client de l’administration>, puis modifiez les paramètres client par défaut.
Sélectionnez Services cloud.
Dans la page Paramètres par défaut, définissez Inscrire automatiquement les nouveaux appareils joints au domaine Windows 10 avec Microsoft Entra ID sur = Oui.
Sélectionnez OK pour enregistrer cette configuration.
Configurer l’inscription automatique des appareils pour Intune
Ensuite, nous allons configurer l’inscription automatique des appareils avec Intune. Avec l’inscription automatique, les appareils que vous gérez avec Configuration Manager s’inscrivent automatiquement avec Intune.
L’inscription automatique permet également aux utilisateurs d’inscrire leurs appareils Windows 10 ou ultérieurs à Intune. Les appareils s’inscrivent lorsqu’un utilisateur ajoute son compte professionnel à son appareil personnel ou lorsqu’un appareil d’entreprise est joint à Microsoft Entra ID.
Connectez-vous au Portail Azure et sélectionnez Microsoft Entra ID>Mobilité (GPM et GAM)>Microsoft Intune.
Configurer l’étendue de l’utilisateur MDM. Spécifiez l’une des options suivantes pour configurer les appareils des utilisateurs gérés par Microsoft Intune et accepter les valeurs par défaut pour les valeurs d’URL.
Certains : sélectionnez les Groupes qui peuvent inscrire automatiquement leurs appareils Windows 10 ou ultérieurs
Tout : tous les utilisateurs peuvent inscrire automatiquement leurs appareils Windows 10 ou ultérieurs
Aucun : Désactiver l’inscription automatique MDM
Importante
Si l’étendue de l’utilisateur GAM et l’inscription GPM automatique (étendue utilisateur MDM) sont activées pour un groupe, seule la gestion des applications mobiles est activée. Seule la gestion des applications mobiles (GAM) est ajoutée pour les utilisateurs de ce groupe lorsqu’ils rejoignent un appareil personnel sur l’espace de travail. Les appareils ne sont pas automatiquement inscrits à mdm.
Lorsque Configuration Manager est défini pour inscrire des appareils à Intune, vous devez toujours modifier l’étendue utilisateur MDM pour l’inscription des jetons d’appareil. Configuration Manager utilise les URL MDM qu’il stocke dans la base de données du site pour vérifier que le client appartient au locataire Intune attendu.
Sélectionnez Enregistrer pour terminer la configuration de l’inscription automatique.
Revenez à Mobilité (MDM et GAM), puis sélectionnez Microsoft Intune Inscription.
Remarque
Certains locataires n’ont peut-être pas ces options à configurer.
Microsoft Intune est la façon dont vous configurez l’application MDM pour Microsoft Entra ID. Microsoft Intune Inscription est une application Microsoft Entra spécifique créée lorsque vous appliquez des stratégies d’authentification multifacteur pour l’inscription iOS et Android. Pour plus d’informations, consultez Exiger l’authentification multifacteur pour l’inscription d’appareils dans Intune.
Pour l’étendue de l’utilisateur MDM, sélectionnez Tout, puis Enregistrer.
Activer la cogestion dans le gestionnaire de configuration
Une fois les Microsoft Entra hybrides configurés et Configuration Manager les configurations clientes en place, vous êtes prêt à basculer le commutateur et à activer la cogestion de vos appareils Windows 10 ou ultérieurs. L’expression Groupe pilote est utilisée dans les boîtes de dialogue de fonctionnalité de cogestion et de configuration. Un groupe pilote est un regroupement contenant un sous-ensemble de vos appareils Configuration Manager. Utilisez un groupe pilote pour vos tests initiaux, en ajoutant des appareils en fonction des besoins, jusqu’à ce que vous soyez prêt à déplacer les charges de travail pour tous les appareils Configuration Manager. Il n’existe pas de limite de temps sur la durée pendant laquelle un groupe pilote peut être utilisé pour les charges de travail. Un groupe pilote peut être utilisé indéfiniment si vous ne souhaitez pas déplacer la charge de travail vers tous les appareils Configuration Manager.
Lorsque vous activez la cogestion, vous affectez un regroupement en tant que groupe pilote. Il s’agit d’un groupe qui contient un petit nombre de clients pour tester vos configurations de cogestion. Nous vous recommandons de créer une collection appropriée avant de commencer la procédure. Vous pouvez ensuite sélectionner cette collection sans quitter la procédure. Vous pouvez avoir besoin de plusieurs regroupements, car vous pouvez attribuer un groupe pilote différent pour chaque charge de travail.
Remarque
Étant donné que les appareils sont inscrits dans le service Microsoft Intune en fonction de son jeton d’appareil Microsoft Entra, et non d’un jeton utilisateur, seule la restriction d’inscription Intune par défaut s’applique à l’inscription.
Activer la cogestion pour les versions 2111 et ultérieures
À compter de Configuration Manager version 2111, l’expérience d’intégration de la cogestion a changé. L’Assistant Configuration d’attachement au cloud facilite l’activation de la cogestion et d’autres fonctionnalités cloud. Vous pouvez choisir un ensemble simplifié de valeurs par défaut recommandées ou personnaliser vos fonctionnalités d’attachement cloud. Il existe également un nouveau regroupement d’appareils intégré pour les appareils éligibles à la cogestion afin de vous aider à identifier les clients. Pour plus d’informations sur l’activation de la cogestion, consultez Activer l’attachement cloud.
Remarque
Avec le nouvel Assistant, vous ne déplacez pas les charges de travail en même temps que vous activez la cogestion. Pour déplacer des charges de travail, vous allez modifier les propriétés de cogestion après l’activation de l’attachement au cloud.
Activer la cogestion pour les versions 2107 et antérieures
Lorsque vous activez la cogestion, vous pouvez utiliser le cloud public Azure, Azure Government cloud ou le cloud Azure Chine 21Vianet (ajouté dans la version 2006). Pour activer la cogestion, suivez ces instructions :
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Attachement au cloud. Sélectionnez Configurer l’attachement au cloud dans le ruban pour ouvrir l’Assistant Configuration de l’attachement au cloud.
Pour les versions 2103 et antérieures, développez Services cloud et sélectionnez le nœud Cogestion. Sélectionnez Configurer la cogestion dans le ruban pour ouvrir l’Assistant Configuration de la cogestion.
Dans la page d’intégration de l’Assistant, pour Environnement Azure, choisissez l’un des environnements suivants :
Cloud public Azure
Azure Government cloud
Cloud Azure Chine (ajouté dans la version 2006)
Remarque
Mettez à jour le client Configuration Manager vers la dernière version sur vos appareils avant d’intégrer le cloud Azure Chine.
Lorsque vous sélectionnez le cloud Azure Chine ou Azure Government cloud, l’option Charger vers le centre d’administration Microsoft Endpoint Manager pour l’attachement de locataire est désactivée.
Sélectionnez Se connecter. Connectez-vous en tant qu’administrateur général Microsoft Entra, puis sélectionnez Suivant. Vous vous connectez une seule fois pour les besoins de cet Assistant. Les informations d’identification ne sont pas stockées ou réutilisées ailleurs.
Dans la page Activation , choisissez les paramètres suivants :
Inscription automatique dans Intune : active l’inscription automatique des clients dans Intune pour les clients Configuration Manager existants. Cette option vous permet d’activer la cogestion sur un sous-ensemble de clients pour tester initialement la cogestion, puis déployer la cogestion à l’aide d’une approche progressive. Si l’utilisateur annule l’inscription d’un appareil, celui-ci sera réinscrit lors de la prochaine évaluation de la stratégie.
- Pilote : seuls les clients Configuration Manager membres de la collection d’inscription automatique Intune sont automatiquement inscrits dans Intune.
- Tout : activez l’inscription automatique pour tous les clients exécutant Windows 10 version 1709 ou ultérieure.
- Aucun : désactivez l’inscription automatique pour tous les clients.
inscription automatique Intune : ce regroupement doit contenir tous les clients que vous souhaitez intégrer à la cogestion. Il s’agit essentiellement d’un sur-ensemble de toutes les autres collections intermédiaires.
L’inscription automatique n’est pas immédiate pour tous les clients. Ce comportement permet une meilleure mise à l’échelle de l’inscription pour les environnements volumineux. Configuration Manager aléatoire l’inscription en fonction du nombre de clients. Par exemple, si votre environnement a 100 000 clients, lorsque vous activez ce paramètre, l’inscription se produit sur plusieurs jours.
Un nouvel appareil cogéré est désormais automatiquement inscrit dans le service Microsoft Intune en fonction de son jeton d’appareil Microsoft Entra. Il n’est pas nécessaire d’attendre qu’un utilisateur se connecte à l’appareil pour que l’inscription automatique démarre. Cette modification permet de réduire le nombre d’appareils avec l’inscription status connexion utilisateur en attente. Pour prendre en charge ce comportement, l’appareil doit exécuter Windows 10 version 1803 ou ultérieure. Pour plus d’informations, consultez Status d’inscription à la cogestion.
Si vous avez déjà inscrit des appareils en cogestion, les nouveaux appareils sont maintenant inscrits immédiatement après avoir satisfait aux conditions préalables.
Pour les appareils Basés sur Internet qui sont déjà inscrits dans Intune, copiez et enregistrez la commande dans la page Activation. Vous allez utiliser cette commande pour installer le client Configuration Manager en tant qu’application dans Intune pour les appareils Basés sur Internet. Si vous n’enregistrez pas cette commande maintenant, vous pouvez consulter la configuration de la cogestion à tout moment pour obtenir cette commande.
Conseil
La commande s’affiche uniquement si vous avez rempli toutes les conditions préalables, telles que la configuration d’une passerelle de gestion cloud.
Dans la page Charges de travail, pour chaque charge de travail, choisissez le groupe d’appareils à déplacer pour la gestion avec Intune. Pour plus d’informations, consultez Charges de travail.
Si vous souhaitez uniquement activer la cogestion, vous n’avez pas besoin de changer de charge de travail maintenant. Vous pouvez changer de charge de travail ultérieurement. Pour plus d’informations, consultez Comment changer de charge de travail.
- Pilote Intune : change la charge de travail associée uniquement pour les appareils dans les regroupements pilotes que vous allez spécifier dans la page Préproduction. Chaque charge de travail peut avoir un regroupement pilote différent.
- Intune : bascule la charge de travail associée pour tous les appareils Windows 10 ou ultérieurs cogérés.
Importante
Avant de changer de charge de travail, veillez à configurer et déployer correctement la charge de travail correspondante dans Intune. Assurez-vous que les charges de travail sont toujours gérées par l’un des outils de gestion de vos appareils.
Dans la page Préproduction, spécifiez le regroupement pilote pour chacune des charges de travail définies sur Pilote Intune.
Pour activer la cogestion, terminez l’Assistant.
Étapes suivantes
- Passer en revue les status des appareils cogérés avec le tableau de bord de cogestion
- Commencer à obtenir une valeur immédiate à partir de la cogestion
- Utiliser l’accès conditionnel et les règles de conformité Intune pour gérer l’accès des utilisateurs aux ressources d’entreprise