Charges de travail de cogestion

Vous n’avez pas besoin de changer les charges de travail, ou vous pouvez les faire individuellement lorsque vous êtes prêt. Configuration Manager continue à gérer toutes les autres charges de travail, y compris celles que vous n’avez pas basculées vers Intune, et toutes les autres fonctionnalités de Configuration Manager qui ne sont pas prises en charge par la cogestion.

Si vous basculez une charge de travail vers Intune, mais que vous changez d’avis ultérieurement, vous pouvez la revenir à Configuration Manager.

La cogestion prend en charge les charges de travail suivantes :

Stratégies de conformité

Les stratégies de conformité définissent les règles et les paramètres auxquels doivent se conformer un appareil pour être considéré conforme par les stratégies d’accès conditionnel. Vous pouvez également utiliser les stratégies de conformité pour surveiller et corriger les problèmes liés aux appareils, indépendamment de l’accès conditionnel. Vous pouvez ajouter une évaluation des lignes de base de configuration personnalisées en tant que règle d’évaluation de stratégie de conformité. Pour plus d’informations, voir Inclure des lignes de base de configuration personnalisées dans le cadre de l’évaluation de la stratégie de conformité.

Pour plus d’informations sur la fonctionnalité Intune, voir Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.

Stratégies Windows Update

Windows update for Business policies let you configure deferral policies for Windows 10 or later feature updates or quality updates for Windows 10 or later devices managed directly by Windows Update for Business.

Pour plus d’informations sur la fonctionnalité Intune, voir Gérer Windows mises à jour logicielles dans Intune.

Stratégies d’accès aux ressources

Important

À compter de la version 2103 de Configuration Manager, ces fonctionnalités d’accès aux ressources d’entreprise de Configuration Manager et cette charge de travail de cogestion sont dépréciées. Utilisez Microsoft Intune pour déployer des profils d’accès aux ressources.

Les stratégies d’accès aux ressources configurent les paramètres de VPN, de Wi-Fi, des e-mails et des certificats sur les appareils.

Pour plus d’informations sur la fonctionnalité Intune, voir Déployer des profils d’accès aux ressources.

Notes

La charge de travail d’accès aux ressources fait également partie de la configuration de l’appareil. Ces stratégies sont gérées par Intune lorsque vous basculez la charge de travail de configuration de l’appareil.

Protection de point de terminaison

La charge de travail Endpoint Protection inclut la suite de fonctionnalités de protection anti-programmes malveillants Windows Defender :

  • Logiciel anti-programme malveillant Windows Defender
  • Windows Defender Application Guard
  • Pare-feu Windows Defender
  • Windows Defender SmartScreen
  • Chiffrement Windows
  • Windows Defender Exploit Guard
  • Windows Defender Application Control
  • Centre de sécurité Windows Defender
  • Windows Defender point de terminaison (désormais appelé Microsoft Defender pour point de terminaison)

Pour plus d’informations sur la fonctionnalité Intune, voir Windows 10 paramètres (et ultérieurs) pour protéger les appareils à l’aide d’Intune.

Notes

Lorsque vous basculez cette charge de travail, les stratégies Configuration Manager restent sur l’appareil jusqu’à ce que les stratégies Intune les passent outre. Ce comportement permet de s’assurer que l’appareil dispose toujours de stratégies de protection pendant la transition.

La charge Endpoint Protection charge de travail de l’appareil fait également partie de la configuration de l’appareil. Le même comportement s’applique lorsque vous basculez la charge de travail de configuration de l’appareil.

Lorsque la charge Endpoint Protection de travail se trouve avec Intune, les paramètres Windows Protection des informations personnelles s’appliquent à la fois à Configuration Manager et à Intune. Configuration Manager continuera d’appliquer Windows protection des informations jusqu’à ce que la charge de travail de configuration de l’appareil soit déplacée vers Intune.

Les Antivirus Microsoft Defender qui font partie du type de profil restrictions d’appareil pour la configuration de l’appareil Intune ne sont pas inclus dans l’étendue du curseur de protection des points de terminaison. Pour gérer Antivirus Microsoft Defender pour les appareils co-gérés avec le curseur de protection de point de terminaison activé, utilisez les nouvelles stratégies antivirus dans le Centre d’administration Microsoft Endpoint Manager > Endpoint Security > Antivirus. Le nouveau type de stratégie dispose d’options nouvelles et améliorées, et il permet la prise en charge des mêmes paramètres que ceux disponibles dans le profil des restrictions d’appareil.

La fonctionnalité Windows chiffrement inclut la gestion de BitLocker. Pour plus d’informations sur le comportement de cette fonctionnalité avec la cogestion, voir Déployer la gestion BitLocker.

Configuration des appareils

La charge de travail de configuration des appareils inclut les paramètres que vous gérez pour les appareils de votre organisation. Le changement de cette charge de travail déplace également l’accès aux Endpoint Protection charges de travail.

Vous pouvez toujours déployer des paramètres à partir de Configuration Manager sur des appareils co-gérés, même si Intune est l’autorité de configuration des appareils. Cette exception peut être utilisée pour configurer les paramètres dont votre organisation a besoin, mais qui ne sont pas encore disponibles dans Intune. Spécifiez cette exception sur une ligne de base de configuration configuration Manager. Activez l’option pour toujours appliquer cette ligne de base même pour les clients co-gérés lors de la création de la ligne de base. Vous pouvez le modifier ultérieurement sous l’onglet Général des propriétés d’une ligne de base existante.

Pour plus d’informations sur la fonctionnalité Intune, voir Créer un profil d’appareil dans Microsoft Intune.

Notes

Une stratégie créée à partir du catalogue de paramètres est contrôlée par le curseur de charge de travail configuration de l’appareil, quel que soit le contenu de la stratégie.

Lorsque vous basculez la charge de travail de configuration de l’appareil, elle inclut également des stratégies pour la fonctionnalité Windows protection des informations. Seules les stratégies d’Intune s’appliquent une fois la charge de travail de configuration de l’appareil déplacée vers Intune.

Applications Office « Démarrer en un clic »

Cette charge de travail gère les Microsoft 365 Apps sur les appareils co-gérés.

  • Après le déplacement de la charge de travail, l’application s’affiche dans le Portail d'entreprise sur l’appareil

  • 24 heures peuvent être nécessaires pour que les mises à jour Office apparaissent sur le client, sauf si les appareils ont été redémarrés

  • Il existe une nouvelle condition globale, Are Office 365 applications gérées par Intune sur l’appareil. Cette condition est ajoutée par défaut en tant qu’exigence aux nouvelles applications Microsoft 365. Lorsque vous basculez cette charge de travail, les clients cogérés ne respectent pas l’exigence sur l’application et n’installent pas l’instance de Microsoft 365 déployée via Configuration Manager.

Les mises à jour peuvent être gérées à l’aide de l’une des fonctionnalités suivantes :

Pour plus d’informations sur la fonctionnalité Intune, voir Ajouter Microsoft 365 applications à Windows appareils avec Microsoft Intune.

Applications clientes

Conseil

Cette fonctionnalité peut apparaître dans la liste des fonctionnalités sous forme d’applications mobiles pour les appareils co-gérés.

Utilisez Intune pour gérer les applications clientes et les scripts PowerShell sur des appareils Windows 10 ou ultérieurs. Après avoir basculé cette charge de travail, toutes les applications déployées à partir d’Intune sont disponibles dans le Portail d’entreprise. Les applications que vous déployez à partir de Configuration Manager sont disponibles dans le Centre logiciel.

Pour plus d’informations sur la fonctionnalité Intune, voir Qu’est-ce Microsoft Intune des applications ?

Notes

Dans Windows 10 version 1903 et ultérieures, les scripts PowerShell s’exécutent toujours sur les appareils co-gérés même si vous n’avez pas basculé la charge de travail des applications clientes vers Intune.

Lorsque vous activez le cache connecté Microsoft sur vos points de distribution Configuration Manager, ils peuvent servir Microsoft Intune applications Win32 aux clients co-gérés. Pour plus d’informations, consultez Microsoft Connected Cache dans Configuration Manager.

Diagramme pour les charges de travail d’application

Diagramme des charges de travail des applications de cogestion.

Conseil

Vous pouvez configurer le Portail d'entreprise pour afficher également les applications Configuration Manager. Si vous modifiez cette expérience de portail d’application, cela modifie les comportements décrits dans le diagramme ci-dessus. Pour plus d’informations, consultez Utilisation de l’application Portail d’entreprise sur des appareils comanagés.

Problèmes connus

S’applique aux versions 2006 et antérieures

Lorsque la charge Endpoint Protection de travail est déplacée vers Intune, le client peut toujours respecter les stratégies définies par Configuration Manager et Microsoft Defender.

Pour contourner ce problème, appliquez le CleanUpPolicy.xml à l'ConfigSecurityPolicy.exe une fois que les stratégies Intune ont été reçues par le client en suivant les étapes ci-dessous :

  1. Copiez et enregistrez le texte ci-dessous CleanUpPolicy.xml sous .

    <?xml version="1.0" encoding="UTF-8"?>
    <SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>
    
  2. Ouvrez une invite de commandes avec élévation de élévation de pouvoir ConfigSecurityPolicy.exe . En règle générale, ce exécutable se trouve dans l’un des répertoires suivants :

    • C:\Program Files\Windows Defender
    • C:\Program Files\Microsoft Security Client
  3. À partir de l’invite de commandes, passez le fichier xml pour nettoyer la stratégie. Par exemple, ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.

Prochaines étapes

Comment changer de charge de travail