Guide de migration : Configurer ou déplacer vers Microsoft Intune

Une fois que vous avez planifié le passage à Microsoft Intune, l’étape suivante vous permet de choisir l’approche de migration adaptée à votre organization. Ces décisions dépendent de votre environnement de gestion des appareils mobiles (GPM) actuel, des objectifs métier et des exigences techniques.

Ce guide de migration répertorie et décrit vos options d’adoption ou de migration vers Intune, notamment :

• Vous n’utilisez pas de solution de gestion des appareils mobiles
• Vous utilisez une solution GPM partenaire tierce
• Vous utilisez Configuration Manager
• Vous utilisez une stratégie de groupe locale
• Vous utilisez Microsoft 365 Basic Mobilité et sécurité

Utilisez ce guide pour déterminer la meilleure approche de migration et obtenir des conseils & des recommandations.

Conseil

• Ce guide est constamment mis à jour. Veillez donc à ajouter des conseils ou à mettre à jour ceux que vous avez trouvé utiles.

• En complément de cet article, le Centre d'administration Microsoft 365 contient également des conseils de configuration. Le guide personnalise votre expérience en fonction de votre environnement. Pour accéder à ce guide de déploiement, accédez au guide de configuration Microsoft Intune dans le Centre d'administration Microsoft 365 et connectez-vous avec le Lecteur global (au minimum). Pour plus d’informations sur ces guides de déploiement et les rôles nécessaires, consultez Guides de déploiement avancés pour les produits Microsoft 365 et Office 365.

  Pour passer en revue les bonnes pratiques sans vous connecter et activer les fonctionnalités de configuration automatisée, accédez au portail d’installation de M365.

Avant de commencer

• Microsoft Intune est une solution native cloud qui permet de gérer les identités, les appareils et les applications. Si votre objectif est de devenir natif cloud, vous pouvez en savoir plus dans les articles suivants :

  • En savoir plus sur les points de terminaison natifs cloud
  • Qu’est-ce qu’Intune ?

• Votre déploiement Intune peut être différent d’un déploiement MDM précédent. Intune utilise le contrôle d’accès basé sur les identités. Il n’exige pas de proxy réseau pour l’accès aux données de l’organisation à partir d’appareils extérieurs au réseau.

Vous n’avez actuellement pas de fournisseur

Si vous n’utilisez actuellement aucun fournisseur GPM ou de gestion des applications mobiles (GAM), vous avez quelques options :

• Microsoft Intune : si vous souhaitez une solution cloud prête pour la gestion complète des appareils, accédez directement à Intune. Vous pouvez utiliser Intune pour case activée de conformité, configurer les fonctionnalités de l’appareil, déployer des applications et installer le système & mises à jour des applications. Vous bénéficiez également des avantages du centre d’administration Microsoft Intune, qui est une console web.

  • Vue d’ensemble des stratégies de protection des applications
  • Prise en main d’Intune
  • Étape 1 : Configurer Intune
  • Étape 2 : Ajouter, configurer et protéger des applications avec Intune
  • Étape 3 : Planifier les stratégies de conformité
  • Étape 4 : Créer des profils de configuration d’appareil pour sécuriser les appareils
  • Étape 5 : Inscrire des appareils

• Configuration Manager : si vous souhaitez combiner les fonctionnalités de Configuration Manager (local) avec Intune (cloud), envisagez l’attachement de locataire (dans cet article) ou la cogestion (dans cet article).

  Configuration Manager pouvez :

  • Gérer windows server local et certains appareils clients.
  • Gérer les mises à jour logicielles partenaires ou tierces.
  • Créez des séquences de tâches personnalisées lors du déploiement du système d’exploitation Windows.
  • Déployer et gérer de nombreux types d’applications.

Vous avez actuellement recours à un fournisseur MDM tiers

Les appareils ne doivent avoir qu’un seul fournisseur MDM. Si vous utilisez un autre fournisseur GPM, comme Workspace ONE (précédemment appelé AirWatch), MobileIron ou MaaS360, vous pouvez passer à Intune.

Les utilisateurs doivent désinscrire leurs appareils auprès du fournisseur GPM actuel avant de s’inscrire à Intune.

1. Configurez Intune, y compris la définition de l’autorité MDM sur Intune.

   Pour plus d’informations, voir :

   • Bien démarrer avec votre déploiement Microsoft Intune
   • Étape 1 : Configurer Intune.

2. Déployer des applications et créer des stratégies de protection des applications. L’idée est de protéger organization données dans vos applications pendant la migration et jusqu’à ce que les appareils soient inscrits & gérés par Intune.

   Pour plus d’informations, consultez Étape 2 : Ajouter, configurer et protéger des applications avec Intune.

3. Désinscrire les appareils du fournisseur GPM actuel.

   Quand les appareils sont désinscrits, ils ne reçoivent pas vos stratégies, y compris les stratégies qui assurent une protection. Les appareils sont vulnérables jusqu’à ce qu’ils s’inscrivent dans Intune et commencent à recevoir vos nouvelles stratégies.

   Indiquez aux utilisateurs des étapes de désinscription spécifiques. Tenez compte des conseils de votre fournisseur MDM existant en matière de désinscription d’appareils. Une communication claire et utile réduit les temps d’arrêt des utilisateurs finaux, l’insatisfaction et les appels du support technique.

4. Facultatif, mais recommandé. Si vous avez Microsoft Entra ID P1 ou P2, utilisez également l’accès conditionnel pour bloquer les appareils jusqu’à ce qu’ils s’inscrivent dans Intune.

   Pour plus d’informations, consultez Étape 3 : Planifier les stratégies de conformité.

5. Facultatif, mais recommandé. Créez une base de référence de conformité et de paramètres d’appareil que tous les utilisateurs et appareils doivent avoir. Ces stratégies peuvent être déployées lorsque les utilisateurs s’inscrivent dans Intune.

   Pour plus d’informations, consultez :

   • Étape 3 : Planifier les stratégies de conformité
   • Étape 4 : Configurer les fonctionnalités et les paramètres des appareils pour sécuriser les appareils et accéder aux ressources
   • Niveaux de protection et de configuration dans Microsoft Intune

6. Inscrivez-vous dans Intune. Veillez à donner aux utilisateurs des étapes d’inscription spécifiques.

   Pour plus d’informations, voir :

   • Étape 5 : Inscrire des appareils dans Microsoft Intune
   • Guide de déploiement de l’inscription Intune

Importante

Ne configurez pas Intune et aucune solution GPM tierce en même temps pour appliquer des contrôles d’accès aux ressources, notamment Exchange ou SharePoint.

Recommandations :

• Si vous passez d’un fournisseur GPM/GAM partenaire, notez les tâches que vous exécutez et les fonctionnalités que vous utilisez. Ces informations donnent une idée des tâches à effectuer également dans Intune.

• Utilisez une approche progressive. Commencez par un petit groupe d’utilisateurs pilotes, puis ajoutez des groupes supplémentaires jusqu’à parvenir à déploiement à grand échelle.

• Supervisez la charge du support technique et vérifiez que l’inscription réussit à chaque phase. Prévoyez dans le planning du temps pour évaluer les critères de réussite pour chaque groupe avant de migrer le groupe suivant.

  Votre déploiement pilote doit valider les tâches suivantes :

  • Les taux de réussite et d’échec des inscriptions sont conformes à vos attentes.

  • Productivité des utilisateurs :

    • Les ressources d’entreprise comme le VPN, le Wi-Fi, la messagerie et les certificats fonctionnent correctement.
    • Les applications déployées sont accessibles.

  • Sécurité des données :

    • Examinez les rapports de conformité pour y chercher des problèmes courants et des tendances. Communiquez à votre support technique les problèmes, les solutions et les tendances.
    • Les protections pour applications mobiles sont appliquées.

• Dès que vous êtes satisfait de la première phase de migration, répétez le cycle de migration pour la phase suivante.

  • Répétez les cycles successifs jusqu’à ce que tous les utilisateurs aient migré vers Intune.
  • Vérifiez que le support technique est prêt à porter assistance aux utilisateurs finaux tout au long de la migration. Exécutez une migration volontaire jusqu’à ce que vous puissiez estimer la charge de travail liée aux appels de support.
  • Ne définissez pas de dates limites pour l’inscription tant que votre support technique ne peut pas gérer tous les utilisateurs restants.

Informations utiles :

• Prise en main d’Intune
• Guide de déploiement de l’inscription Intune
• Étape 1 : Configurer Intune et votre locataire

Vous utilisez actuellement Configuration Manager

Configuration Manager prend en charge les serveurs Windows et les appareils clients Windows & macOS. Si votre organization utilise d’autres plateformes, vous devrez peut-être réinitialiser les appareils, puis les inscrire dans Intune. Une fois inscrits, ils reçoivent les stratégies et les profils que vous créez. Pour plus d’informations, consultez le Guide de déploiement– Inscription Intune.

Si vous utilisez actuellement Configuration Manager et que vous souhaitez utiliser Intune, voici les options qui s’offrent à vous.

Option 1 - Ajouter une attachement de locataire

L’attachement de locataire vous permet de charger vos appareils Configuration Manager dans votre organisation dans Intune, également appelée « locataire ». Après avoir attaché vos appareils, vous utilisez le centre d’administration Microsoft Intune pour exécuter des actions à distance, telles que la stratégie de synchronisation de l’ordinateur et de l’utilisateur. Vous pouvez aussi examiner vos serveurs locaux et obtenir des informations sur les systèmes d’exploitation.

L’attachement de client est inclus avec votre licence de cogestion Configuration Manager sans frais supplémentaires. Il s’agit du moyen le plus simple d’intégrer le cloud (Intune) à votre configuration locale Configuration Manager.

Pour plus d’informations, consultez Activer l’attachement de locataire.

Option 2 - Configurer la cogestion

Cette option fait appel à Configuration Manager pour certaines charges de travail et à Intune pour d’autres.

1. Dans Configuration Manager, configurez la cogestion.
2. Configurez Intune, y compris la définition de l’autorité MDM sur Intune.

Les appareils sont prêts à être inscrits dans Intune et reçoivent vos stratégies.

Informations utiles :

• Qu’est-ce que la cogestion ?
• Charges de travail de cogestion
• Basculer la charge de travail Gestionnaire de configuration vers Intune
• Questions fréquentes (FAQ) sur les licences et le produit Configuration Manager

Option 3 : Passer de Configuration Manager à Intune

La plupart des clients Configuration Manager existants veulent continuer d’utiliser Configuration Manager. Il inclut des services qui sont avantageux pour les appareils locaux.

Ces étapes constituent une vue d’ensemble et s’adressent uniquement aux utilisateurs qui souhaitent une solution à 100 % cloud. Voici ce que cette option vous permet de faire :

• Inscrivez les appareils clients Active Directory local Windows existants en tant qu’appareils dans Microsoft Entra ID.
• Déplacer vos charges de travail Configuration Manager locales existantes vers Intune.

Cette option est plus pratique pour les administrateurs, mais elle peut créer une expérience plus transparente pour les appareils clients Windows existants. Pour les nouveaux appareils clients Windows, nous vous recommandons de commencer à zéro avec Microsoft 365 et Intune (dans cet article).

1. Configurez Active Directory hybride et l’ID Microsoft Entra pour vos appareils. Microsoft Entra appareils joints hybrides sont joints à votre Active Directory local et inscrits avec votre ID Microsoft Entra. Lorsque les appareils sont dans Microsoft Entra ID, ils sont également disponibles pour Intune.

   L’ID Microsoft Entra hybride prend en charge les appareils Windows. Pour connaître les autres prérequis, notamment les exigences de connexion, consultez Planifier votre implémentation de jointure hybride Microsoft Entra.

2. Dans Configuration Manager, configurez la cogestion.

3. Configurez Intune, y compris la définition de l’autorité MDM sur Intune.

4. Dans Configuration Manager, faites glisser toutes les charges de travail Configuration Manager vers Intune.

5. Sur les appareils, désinstallez le client Configuration Manager. Pour plus d’informations, consultez Désinstaller le client.

   Une fois Intune configuré, vous pouvez créer une stratégie de configuration d’application Intune qui désinstalle le client Configuration Manager. Par exemple, vous pouvez inverser les étapes de la procédure Installer le client Configuration Manager à l’aide d’Intune.

Les appareils sont prêts à être inscrits dans Intune et reçoivent vos stratégies.

Importante

L’ID de Microsoft Entra hybride prend uniquement en charge les appareils Windows. Configuration Manager prend en charge les appareils Windows et macOS. Pour les appareils macOS gérés dans Configuration Manager, vous pouvez :

1. Désinstaller le client Configuration Manager. Une fois désinstallés, les appareils ne reçoivent pas vos stratégies, notamment les stratégies qui assurent une protection. Ils sont vulnérables jusqu’à ce qu’ils s’inscrivent dans Intune et commencent à recevoir vos nouvelles stratégies.
2. Inscrivez les appareils dans Intune pour qu’ils reçoivent les stratégies.

Pour réduire les vulnérabilités, déplacez les appareils macOS après la configuration d’Intune et lorsque vos stratégies d’inscription sont prêtes à être déployées.

Option 4 - Démarrer à partir de zéro avec Microsoft 365 et Intune

Cette option s’applique aux appareils clients Windows. Si vous utilisez Windows Server, par exemple Windows Server 2022, n’utilisez pas cette option. Utilisez Configuration Manager.

Pour gérer vos appareils clients Windows :

1. Déployez Microsoft 365 en créant des utilisateurs et des groupes. N’utilisez pas et ne configurez pas Microsoft 365 Basic mobilité et sécurité.

   Liens utiles :

   • Guide de déploiement de Microsoft 365 Entreprise
   • Configurer Microsoft 365 Business

2. Configurez Intune, y compris la définition de l’autorité MDM sur Intune.

3. Sur les appareils existants, désinstallez le client Configuration Manager. Pour plus d’informations, consultez Désinstaller le client.

Les appareils sont prêts à être inscrits dans Intune et reçoivent vos stratégies.

Vous utilisez actuellement la stratégie de groupe locale

Dans le cloud, les fournisseurs GPM, comme Intune, gèrent les paramètres et les fonctionnalités sur les appareils. Les objets de stratégie de groupe (GPO) ne sont pas utilisés.

Lorsque vous gérez des appareils, les profils de configuration d’appareil Intune remplacent l’objet de stratégie de groupe local. Les profils de configuration d’appareil utilisent les paramètres exposés par Apple, Google et Microsoft.

Notamment :

• Sur les appareils Android, ces profils utilisent l’API de gestion Android et l’API EMM.
• Sur les appareils Apple, ces profils utilisent les charges utiles de gestion d’appareils.
• Sur les appareils Windows, ces profils utilisent les fournisseurs de services de configuration Windows (CSP).

Lorsque vous déplacez des appareils à partir d’une stratégie de groupe, utilisez l’analytique de stratégie de groupe. stratégie de groupe analytique est un outil et une fonctionnalité dans Intune qui analyse vos objets de stratégie de groupe. Dans Intune, vous importez vos objets de stratégie de groupe et vous voyez quelles stratégies sont disponibles (et non disponibles) dans Intune. Pour les stratégies disponibles dans Intune, vous pouvez créer une stratégie de catalogue de paramètres à l’aide des paramètres que vous avez importés. Pour plus d’informations sur cette fonctionnalité, consultez Créer une stratégie de catalogue de paramètres à l’aide de vos objets de stratégie de groupe importés dans Microsoft Intune.

Étape 1 : Configurer Microsoft Intune.

Utilisez actuellement Microsoft 365 Basic Mobilité et sécurité

Si vous avez créé et déployé Microsoft 365 Basic stratégies mobilité et sécurité, vous pouvez migrer les utilisateurs, les groupes et les stratégies vers Microsoft Intune.

Pour plus d’informations, consultez Migrer de Microsoft 365 Basic Mobilité et sécurité vers Intune.

Migration de locataire à locataire

Un locataire est votre organization dans Microsoft Entra ID, comme Contoso. Il inclut un service Microsoft Entra dédié instance que Contoso reçoit lorsqu’il obtient un service cloud Microsoft, comme Microsoft Intune ou Microsoft 365. Microsoft Entra ID est utilisé par Intune et Microsoft 365 pour identifier les utilisateurs et les appareils, contrôler l’accès aux stratégies que vous créez, etc.

Dans Intune, vous pouvez exporter et importer certaines de vos stratégies avec Microsoft Graph et Windows PowerShell.

Supposons que vous créiez un abonnement d’essai Microsoft Intune. Dans ce locataire d’essai, vous disposez de stratégies permettant de configurer des applications et des fonctionnalités, de vérifier la conformité, etc. Vous souhaitez déplacer ces stratégies vers un autre locataire.

Cette section montre comment utiliser les scripts Microsoft Graph pour la migration d’un locataire vers un locataire. Il répertorie également certains types de stratégies qui peuvent ou ne peuvent pas être exportés.

Importante

• Cette procédure s’appuie sur les exemples Graph Intune en version bêta de GitHub. Ces exemples de scripts apportent des modifications à votre locataire. Ils sont disponibles en l’état et doivent être validés à l’aide d’un compte de locataire « de test » ou hors production. Veillez à ce qu’ils respectent les directives de sécurité de votre organisation.
• Les scripts n’exportent ni n’importent pas toutes les stratégies, notamment les profils de certificat. Attendez-vous à effectuer plus de tâches que celles qui sont disponibles dans ces scripts. Vous devrez recréer certaines stratégies.
• Pour migrer l’appareil d’un utilisateur, l’utilisateur doit désinscrire l’appareil de l’ancien locataire, puis réinscrire dans le nouveau locataire.

Téléchargement des exemples et exécution du script

Cette section donne une vue d’ensemble des étapes à suivre Utilisez ces étapes comme conseils et sachez que vos étapes spécifiques peuvent être différentes.

1. Téléchargez les exemples et utilisez Windows PowerShell pour exporter vos stratégies :

   1. Accédez à microsoftgraph/powershell-intune-samples, puis sélectionnez Code>Télécharger le fichier ZIP. Extrayez le contenu du fichier .zip.

   2. Ouvrez l’application Windows PowerShell en tant qu’administrateur, puis changez de répertoire pour accéder à votre dossier. Par exemple, entrez la commande suivante :

      cd C:\psscripts\powershell-intune-samples-master

   3. Installez le module PowerShell AzureAD :

      Install-Module AzureAD

      Sélectionnez Y pour installer le module à partir d’un référentiel non approuvé. L’installation peut prendre quelques minutes.

   4. Accédez au dossier contenant le script que vous souhaitez exécuter, par exemple CompliancePolicy :

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. Exécutez le script d’exportation. Par exemple, entrez la commande suivante :

      .\CompliancePolicy_Export.ps1

      Connectez-vous à votre compte. Lorsque cela vous est demandé, entrez le chemin auquel seront placées les stratégies. Par exemple, entrez :

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   Dans votre dossier, les stratégies sont exportées.

2. Importez vos stratégies dans le nouveau locataire :

   1. Accédez au dossier PowerShell contenant le script que vous souhaitez exécuter, par exemple CompliancePolicy :

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. Exécutez le script d'importation. Par exemple, entrez la commande suivante :

      .\CompliancePolicy_Import_FromJSON.ps1

      Connectez-vous à votre compte. Lorsque cela vous est demandé, entrez le chemin du fichier .json de stratégie que vous souhaitez importer. Par exemple, entrez :

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. Connectez-vous au Centre d’administration Intune. Les stratégies que vous avez importées s’affichent.

Actions impossibles

Certains types de stratégies ne sont pas exportables. D’autres peuvent être exportés, mais ne peuvent pas être importés vers un autre locataire. La liste suivante vous servira de guide. Sachez qu’il existe d’autres types de stratégies qui ne sont pas répertoriés.

Type de stratégie ou de profil	Informations
Applications
Applications métier Android	❌ Exportation ❌ Importation Pour ajouter votre application métier à un nouveau locataire, il vous faut également les fichiers sources de l’application .apk d’origine.
Apple – Programme d’achats en volume (VPP)	❌ Exportation ❌ Importation Ces applications sont synchronisées avec le Programme Apple VPP. Dans le nouveau locataire, vous ajoutez votre jeton VPP, ce qui permet d’afficher vos applications disponibles.
Applications métier iOS/iPadOS	❌ Exportation ❌ Importation Pour ajouter votre application métier à un nouveau locataire, il vous faut également les fichiers sources de l’application .ipa d’origine.
Google Play d’entreprise	❌ Exportation ❌ Importation Ces applications et ces liens Web sont synchronisés avec Google Play d’entreprise. Dans le nouveau locataire, vous ajoutez votre compte Google Play d’entreprise, ce qui permet d’afficher vos applications disponibles.
Microsoft Store pour Entreprises	❌ Exportation ❌ Importation Ces applications sont synchronisées avec Microsoft Store pour Entreprises. Dans le nouveau locataire, vous ajoutez votre compte Microsoft Store pour Entreprises, ce qui permet d’afficher vos applications disponibles.
Application Windows (Win32)	❌ Exportation ❌ Importation Pour ajouter votre application métier à un nouveau locataire, il vous faut également les fichiers sources de l’application .intunewin d’origine.
Stratégies de conformité
Actions à effectuer en cas de non-conformité	❌ Exportation ❌ Importation Il est possible qu’il y ait un lien vers un modèle d’e-mail. Lorsque vous importez une stratégie comportant des actions de non-conformité, ce sont les actions de non-conformité par défaut qui sont ajoutées à la place.
Affectations	✔️ Exportation ❌ Importation Les affectations sont ciblées sur un ID de groupe. Dans un nouveau locataire, l’ID de groupe est différent.
Profils de configuration
E-mail	✔️ Exportation ✔️ Si un profil de messagerie n’utilise pas de certificats, l’importation doit fonctionner. ❌ Si un profil de messagerie utilise un certificat racine, le profil ne peut pas être importé dans un nouveau locataire. L’ID de certificat racine est différent dans un nouveau locataire.
Certificat SCEP	✔️ Exportation ❌ Importation Les profils de certificat SCEP utilisent un certificat racine. L’ID de certificat racine est différent dans un nouveau locataire.
VPN	✔️ Exportation ✔️ Si un profil VPN n’utilise pas de certificats, l’importation doit fonctionner. ❌ Si un profil VPN utilise un certificat racine, le profil ne peut pas être importé dans un nouveau locataire. L’ID de certificat racine est différent dans un nouveau locataire.
Wi-Fi	✔️ Exportation ✔️ Si un profil Wi-Fi n’utilise pas de certificats, l’importation doit fonctionner. ❌ Si un profil Wi-Fi utilise un certificat racine, le profil ne peut pas être importé dans un nouveau locataire. L’ID de certificat racine est différent dans un nouveau locataire.
Affectations	✔️ Exportation ❌ Importation Les affectations sont ciblées sur un ID de groupe. Dans un nouveau locataire, l’ID de groupe est différent.
Sécurité des points de terminaison
Détection et réponse du point de terminaison	❌ Exportation ❌ Importation Cette stratégie est liée à Microsoft Defender pour point de terminaison. Dans le nouveau locataire, vous configurez Microsoft Defender pour point de terminaison, qui comprend automatiquement la stratégie Protection évolutive des points de terminaison.

Prochaines étapes

• Prise en main d’Intune
• Guides de déploiement d’inscription