On en parlait dans notre article, la «cogestion» ou co-management est la première étape fondamentale sur la voie de la gestion moderne pour pouvoir utiliser les périphériques Windows existants et la configuration «tels quels», tout en ajoutant un outil de gestion moderne. Après cela, vous pourrez passer au Modern Management, car le passage au monde moderne ne se fera pas du jour au lendemain pour la plupart des organisations. Pour ce faire il existe plusieurs scenarii que nous vous décrivons ci-dessous:
Clients Windows 10 sans ConfigMgr
Option 1 : (la seule option pour les clients sans ConfigMgr): Machines jointes hybrides
(Active Directory On-Premise associé + Azure AD registered/ joined+ GPO pour définir l’enrollement automatique sur MDM)
Si vous n’utilisez pas ConfigMgr, pour activer la «co-management», vous devez simplement vous assurer que vos clients Windows 10 (1709 et versions ultérieures) sont configurés avec le paramètre GPO pour permettre l’inscription automatique au MDM.
Après cela, commencez à déplacer la configuration des GPO et ajoutez une nouvelle configuration à MDM au lieu d’utiliser les GPO. Décomissionnez l’infrastructure locale telle que WSUS et commencez à vous fier à Windows Update for Business. Regardez aussi dans AutoPilot.
Clients avec ConfigMgr (System Center Configuration Manager – SCCM)
Option 2: machines jointes hybrides (avec la cogestion dans ConfigMgr non configurée)
(Active Directory On-Premise joined + Azure AD registered/ joined+ GPO pour définir l’inscription automatique MDM + agent ConfigMgr installé via ConfigMgr)
Cette option signifie que vous connectez simplement vos clients Windows 10 à votre solution MDM avec le paramètre GPO pour activer l’inscription automatique à MDM. L’étape suivante est d’arrêtez de faire ce que vous faites avec les GPO et ConfigMgr, et commencer à le faire directement depuis votre solution MDM. Il s’agit de l’option la moins onéreuse lorsque vous essayez de toucher le moins possible à la solution ConfigMgr et de commencer immédiatement à vous éloigner de ConfigMgr.
Cette option est plus adaptée aux environnements ConfigMgr plus petits et plutôt simples.
Option 3: machines jointes hybrides (avec la cogestion dans ConfigMgr activée)
(Active Directory On-Premise joined + Azure AD registred / joined + co-management activée dans ConfigMgr + Agent ConfigMgr installé via ConfigMgr)
Nous supposons que selon ce que Microsoft décrit il s’agit là du vraie «co-management» .
C’est la méthode recommandée pour la plupart des organisations qui souhaitent se lancer dans le Modern Management.
Option 4: Machines jointes au cloud (avec la cogestion dans ConfigMgr activée)
(Azure AD joined + MDM joined + agent ConfigMgr déployé via Intune)
Cette option est intéressante, mais comme les périphériques ne sont pas connectés à un annuaire Active Directory local, vous devez avoir déplacé toutes les GPO et réussi à fournir un accès à toutes les ressources locales aux utilisateurs lorsqu’ils se trouvent en dehors du réseau d’entreprise.
Cette option est davantage destinée à une utilisation future, bien que cette option puisse déjà convenir à certains clients.
Remarque : Même si les périphériques ne sont pas connectés à Active Directory On-Premise, ils peuvent utiliser l’authentification unique pour accéder aux recours sur le réseau interne, tels que les imprimantes, les partages réseau et les autres ressources du domaine Active Directory. Cela est vrai tant que le périphérique se trouve sur un réseau interne et est en contact avec un contrôleur de domaine sur site, un Kerberos TGT étant émis pour accéder aux ressources sur site.